Spenden

Dieser Artikel ist mehr als 1 Jahr alt.

Digitale BrieftascheEU-Kommission holt den Super-Cookie zurück

In Brüssel werden derzeit die technischen Anforderungen an die europäische digitale Brieftasche verhandelt. Einmal mehr gibt es dabei massive Kritik am Vorgehen der EU-Kommission. Sie weite rechtliche Vorgaben zugunsten von Unternehmen erheblich aus, so der Vorwurf.

  • Daniel Leisegang
Daniel Leisegang
11
Schokokekse liegen auf einer weißen Tischdecke
Es gibt Schoko-Cookies und Super-Cookies – Gemeinfrei-ähnlich freigegeben durch unsplash.com: RUMEYSA AYDIN

Die EU-Kommission bleibt am Ball – und ihr gelingt ein Hattrick. Bereits zum dritten Mal innerhalb weniger Wochen hagelt es für ihre Vorschläge zur Ausgestaltung der europäischen digitalen Brieftasche Kritik.

Konkret geht es um die technischen Vorgaben für die „European Digital Identity Wallet“ (EUDI-Wallet). Mit ihr sollen sich Bürger:innen und Organisationen künftig on- und offline ausweisen können. In der digitalen Brieftasche lassen sich Identitätsdaten und amtliche Dokumente speichern und verwalten. Um derart sensible Daten von Millionen Menschen zu schützen, sind wirksame Schutzvorkehrungen essenziell.

Bevor die Wallet wie geplant im Herbst 2026 starten kann, wird die EU-Kommission insgesamt 40 Durchführungsrechtsakte für eine einheitliche Umsetzung der eIDAS-Reform erlassen. Die zweite Charge dieser Rechtsakte verhandelt am 6. Februar das eIDAS-Komitee, dem Vertreter:innen aller EU-Staaten angehören. Für dieses Treffen hat die Kommission aus Sicht von epicenter.works ein besonders fieses Foulspiel begangen.

BMI: Durchführungsrechtsakt muss rechtlichen Anforderungen „gerecht werden“

Die österreichische Nichtregierungsorganisation wirft der Kommission vor, ein Schlupfloch in eine gesetzlich fixierte Übereinkunft zu reißen. Am 22. Januar hat die Kommission den Verhandlungsführer:innen des eIDAS-Komitees den Entwurf eines Durchführungsrechtsakts zugesandt. Wie uns das Bundesinnenministerium (BMI) auf Anfrage bestätigte, sieht dieser Entwurf vor, dass Privatunternehmen unter bestimmten Voraussetzungen bei grenzüberschreitenden Aktivitäten die Personenkennziffer abfragen können.

Das geht für epicenter.works zu weit. Mit ihrem Versuch, die Personenkennziffer auch für Unternehmen nutzbar zu machen, weite die Kommission die strikten rechtlichen Vorgaben der eIDAS-Verordnung im Nachhinein aus und überschreite damit eine „rote Linie“, so epicenter.works in ihrer Analyse.

Innerhalb der Bundesregierung sei die rechtliche Bewertung zu dieser Frage noch nicht abgeschlossen, sagt ein Sprecher des Bundesinnenministeriums. Allerdings müsse der Durchführungsrechtsakt den Anforderungen der revidierten eIDAS-Verordnung „gerecht werden“.

„Die Bundesregierung hat sich in den Verhandlungen zur Revision der eIDAS-Verordnung stets für ein hohes Datenschutzniveau eingesetzt und hält auch im Kontext der Durchführungsrechtsakte daran fest“, so der Sprecher weiter. Diese Anforderungen an den Datenschutz sollten auch „bei der Architektur für die deutschen Wallets Berücksichtigung finden“.

Streit um den „Super-Cookie“

Um den „Grenzüberschreitenden Identitätsabgleich“ aus Artikel 11a schwelte bereits während der Trilog-Verhandlungen vor rund zwei Jahren ein heftiger Streit. Die Kommission wollte eine eindeutige, dauerhafte Personenkennziffer einführen, die nicht nur Behörden, sondern auch Privatunternehmen für den Identitätsabgleich mit der Wallet nutzen können. Mit Hilfe eines solchen „Super-Cookies“, warnten hingegen Datenschützer:innen, könnten Unternehmen das Nutzungsverhalten Einzelner „mit ungekannter Genauigkeit“ erfassen.

Nach zähen Verhandlungen beschränkte das EU-Parlament den Einsatz der Personenkennziffer auf grenzüberschreitende Verwaltungsdienste. Laut der reformierten eIDAS-Verordnung soll die Personenkennziffer nur dann aus der EUDI-Wallet abgefragt werden, wenn etwa eine deutsche Staatsbürgerin in Belgien mit der dortigen Verwaltung kommuniziert und die Angabe der Nummer rechtlich gefordert wird. Privatunternehmen dürfen die Kennziffer hingegen unter keinen Umständen abfragen.

Identitätsdaten für Unternehmen

Die Organisation epicenter.works kritisiert zwei weitere Aspekte an dem aktuellen Vorgehen der Kommission: Erstens habe diese die monierten Änderungen an den Entwürfen erst vorgenommen, nachdem die öffentliche Konsultation durch Bürger:innen und Unternehmen abgeschlossen war.

Und zweitens komme die Kommission mit ihrem intransparenten Vorgehen ausgerechnet einer Aufforderung von Visa nach. Im Rahmen des Konsultationsprozesses hatte das Kreditkartenunternehmen die Kommission explizit dazu aufgefordert, die grenzüberschreitende Personenkennziffer auch für Privatunternehmen verfügbar zu machen.

Epicenter.works fordert die Kommission auf, die im Nachhinein hinzugefügten Bestimmungen zu entfernen. Nur so könne „das Vertrauen in das eIDAS-Ökosystem und in den demokratischen Prozess“ gewahrt werden.

Aller Versuche sind drei

Es ist nicht das erste Mal, dass Vertreter:innen der Zivilgesellschaft die Kommission dafür kritisieren, Schlupflöcher in die EUDI-Wallet zu reißen, die Unternehmen den Datenabgriff erleichtern.

Die ersten fünf Entwürfe für Durchführungsrechtsakte hatte die Kommission im vergangenen August vorgelegt. Aus Sicht der Zivilgesellschaft hätten sie es den Unternehmen ermöglicht, mehr private Daten als erforderlich aus den Wallets abzufragen.

Und auch mit der zweiten Charge an Durchführungsrechtsakten hätte die Kommission überbordende Datenanfragen von Unternehmen ermöglicht, ohne dass sich die Nutzenden der Brieftasche wirksam dagegen hätten wehren könnten – und damit einen „zentralen Schutzpfeiler des eIDAS-Ökosystems“ eingerissen – so die Warnung von epicenter.works vor wenigen Wochen.

Mindestens dreißig Durchführungsrechtsakte muss die Kommission in den kommenden Monaten noch vorlegen. Es bleibt zu hoffen, dass sie nicht jedes Mal versucht, weitere Schlupflöcher in die digitale Brieftasche zu reißen.

Update, 6.2.2025, 15 Uhr: Wir haben den Text um die Antwort des Bundesinnenministeriums ergänzt, die heute bei uns einging.

Über die Autor:innen

  • Daniel Leisegang
    Darja Preuss
    Daniel Leisegang

    Daniel ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zu seinen Schwerpunkten zählen die Gesundheitsdigitalisierung, Digital Public Infrastructure und die sogenannte Künstliche Intelligenz. Daniel war einst Redakteur bei den "Blättern". 2014 erschien von ihm das Buch "Amazon – Das Buch als Beute"; 2016 erhielt er den Alternativen Medienpreis in der Rubrik "Medienkritik". Er gehört dem Board of Trustees von Eurozine und dem Kuratorium der Stiftung Warentest an.

    Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-30-5771482-28‬ (Montag bis Freitag, jeweils 8 bis 18 Uhr).

Veröffentlicht

Kategorie

Schlagwörter

, , , ,

Weiterlesen

Offener Brief

EU-Kommission soll „Schlupflöcher“ bei digitaler Brieftasche schließen

Ein Loch in einer Betonfläche
Auf den Punkt

Die digitale Brieftasche hat ein Problem.

EU-Kommission

Zeitplan für europäische digitale Brieftasche wankt

Die designierte EU-Kommissarin Henna Virkkunen

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

11 Kommentare zu „EU-Kommission holt den Super-Cookie zurück“

  1. Postdemocracy

    ,

    Ich verstehe ja nicht, warum das irgendwen wundert oder noch entstetzt. Der Zweck einer „digitalen Identität“ ist nun mal die Massenüberwachung zur Erhebung und Kommerzialisierung von Daten sowie zum Steuern der Gesellschaft nach profitorientierten Kriterien. Der oder zumindest ein Zweck der EU-Kommission ist – so zeigt es das bisherige Handeln vergangener Kommissionen und dieser – die Interessen von Konzernen und Machtpolitik abseits demokratischer und transparenter Prinzipien und Praktiken durchzusetzen. Bereits dass die Kommission die Möglichkeit dazu hat, dies so oft zu versuchen, zeigt zudem dass es ein strukturelles Problem der postdemokratischen EU ist, das nicht durch Wahlen behoben werden kann.

    1. Punkt

      ,

      Leider muss ich dem zustimmen.

      Allerdings könnte das Problem schon durch Wahlen zumindest abgeschwächt werden. WENN Parteien, die den Datenschutz deutlich stärker in den Fokus rücken, vermehrt in den Landesparlamenten bzw. EU-Parlament sitzen würden.
      Aber anscheinend kann oder will die Bevölkerung in Europa nicht soweit denken. Schade.

  2. Bit-te-1-Bit und das gute XUNIL

    ,

    Postdemocracy:
    Du bringst es auf den Punkt. Und deshalb wird es für mich weiterhin nur eine Brieftasche geben. Nämlich die, die in die Jackentasche passt, aus weichem Leder ist und keinen Akku braucht.

    1. Pranee

      ,

      …irgendwann wird leider der Punkt kommen, in denen technische Massenüberwachung selbst den größten Linux-Nerd einholen wird.

      Sei es der digitale Personalausweis, den der gute Datenschützer streng genommen boykottieren muss, gezwungenes e‑Banking wenn du auf deinen Lohn zurückgreifen musst, die Tatsache dass wir das Internet nur nutzen können, wenn wir uns für Vodafone, Telekom oder O2 entscheiden müssen. Vielleicht in einem Jahrzehnt der Einkauf im Supermark mit Skeletterkennung. Und noch weitere Dinge, die uns lieber auswandern lassen wollen auf eine abgelegene Insel.

      1. Bit-te-1-Bit und das gute XUNIL

        ,

        „…irgendwann wird leider der Punkt kommen, in denen technische Massenüberwachung selbst den größten Linux-Nerd einholen wird.“

        Wenn du auf dem letzten CCC-Treffen gewesen wärst, wärst du eventuell anderer Meinung ;-)

        Aber Du hast recht – man versucht mit allen Mitteln, den Menschen komplett digital zu versklaven. Jedoch werden proportional zur Überwachungszunahme sowohl juristische Gegenmaßnahmen als auch technisch-digitale Gegenwehr, gekoppelt mit heftigem Protest und zivilem Ungehorsam, keine (kreativen) Grenzen kennen.

        1. Pranee

          ,

          Ein CCC-Treffen wird aufgrund der extremen Distanz niemals in Frage kommen. Für einen Flug wird zwingend vorgeschrieben, sich gläsern zu machen. Auch ein Bahnticket zwingt dich mittlerweile, dich gläsern zu machen.

          Ein CCC-Livestream wird aufgrund der hier mangelhaften Internetverbindung auch nicht in Frage kommen.

          Einzig Schwarzfahren ist möglich. Oder eine 750km lange Radtour über mindestens zwei Mittelgebirge. :^)

    2. Johnny

      ,

      Die Brieftasche gehört in die *vordere* Hosentasche, nicht in die Jackentasche. Aus der
      *hinteren* Hosentasche wird sie zu einfach gestohlen (Kripo und Presse warnen schon seit Jahrzehnten vor der Methode „Opfer einsauen, anrempeln, zugreifen, in der Masse abtauchen“) und aus der Jackentasche kann sie zu einfach herausfallen oder man verliert sie dadurch, dass man die Jacke irgendwo vergisst.

      Ich habe mein Portemonnaie schon immer in der vorderen Hosentasche und es ist mir noch niemals gestohlen worden.

      1. Bit-te-1-Bit und das gute XUNIL

        ,

        Oki, zugegeben, ich hätte besser „Innentasche der Jacke“ schreiben sollen. Denn die meinte ich ;-)
        Vordere Hosentasche ist zu unbequem.

  3. Schlumpi

    ,

    Mal sehen was für Verbrechen dann beispielsweise Friedrich Merz, oder auch Robert Habeck begehen.
    Sprich, es wird kommen wie es immer gekommen ist, sobald die Daten massenhaft vorhanden sind werden sie abgegriffen und missbraucht.
    Bin mal gespannt wie dann die Beweislast gehandhabt wird.

    1. Anonym

      ,

      Leute wie Friedrich Merz und Robert Habeck sind einen Beobachtungsdruck gewohnt, der Sie und mich vermutlich in den Wahnsinn treiben würde, und die können damit leben.

  4. Anonym

    ,

    Man könnte soviel Steuern sparen, wenn man Politiker in Therapie schicken würde, wo ihnen abgewöhnt wird, sich ständig mit Lösungen zu befassen zu denen man die Probleme erst noch finden muss.

    Ich habe nämlich gerne so viele digitale Identitäten wie ich will, statt einer einzigen, wie die EU-Kommission und die sie bestechenden und/oder erpressenden Leute es anscheinend gerne hätten.

Dieser Artikel ist älter als 1 Jahr, daher sind die Ergänzungen geschlossen.