Die EU-Kommission bleibt am Ball – und ihr gelingt ein Hattrick. Bereits zum dritten Mal innerhalb weniger Wochen hagelt es für ihre Vorschläge zur Ausgestaltung der europäischen digitalen Brieftasche Kritik.
Konkret geht es um die technischen Vorgaben für die „European Digital Identity Wallet“ (EUDI-Wallet). Mit ihr sollen sich Bürger:innen und Organisationen künftig on- und offline ausweisen können. In der digitalen Brieftasche lassen sich Identitätsdaten und amtliche Dokumente speichern und verwalten. Um derart sensible Daten von Millionen Menschen zu schützen, sind wirksame Schutzvorkehrungen essenziell.
Bevor die Wallet wie geplant im Herbst 2026 starten kann, wird die EU-Kommission insgesamt 40 Durchführungsrechtsakte für eine einheitliche Umsetzung der eIDAS-Reform erlassen. Die zweite Charge dieser Rechtsakte verhandelt am 6. Februar das eIDAS-Komitee, dem Vertreter:innen aller EU-Staaten angehören. Für dieses Treffen hat die Kommission aus Sicht von epicenter.works ein besonders fieses Foulspiel begangen.
BMI: Durchführungsrechtsakt muss rechtlichen Anforderungen „gerecht werden“
Die österreichische Nichtregierungsorganisation wirft der Kommission vor, ein Schlupfloch in eine gesetzlich fixierte Übereinkunft zu reißen. Am 22. Januar hat die Kommission den Verhandlungsführer:innen des eIDAS-Komitees den Entwurf eines Durchführungsrechtsakts zugesandt. Wie uns das Bundesinnenministerium (BMI) auf Anfrage bestätigte, sieht dieser Entwurf vor, dass Privatunternehmen unter bestimmten Voraussetzungen bei grenzüberschreitenden Aktivitäten die Personenkennziffer abfragen können.
Das geht für epicenter.works zu weit. Mit ihrem Versuch, die Personenkennziffer auch für Unternehmen nutzbar zu machen, weite die Kommission die strikten rechtlichen Vorgaben der eIDAS-Verordnung im Nachhinein aus und überschreite damit eine „rote Linie“, so epicenter.works in ihrer Analyse.
Innerhalb der Bundesregierung sei die rechtliche Bewertung zu dieser Frage noch nicht abgeschlossen, sagt ein Sprecher des Bundesinnenministeriums. Allerdings müsse der Durchführungsrechtsakt den Anforderungen der revidierten eIDAS-Verordnung „gerecht werden“.
„Die Bundesregierung hat sich in den Verhandlungen zur Revision der eIDAS-Verordnung stets für ein hohes Datenschutzniveau eingesetzt und hält auch im Kontext der Durchführungsrechtsakte daran fest“, so der Sprecher weiter. Diese Anforderungen an den Datenschutz sollten auch „bei der Architektur für die deutschen Wallets Berücksichtigung finden“.
Streit um den „Super-Cookie“
Um den „Grenzüberschreitenden Identitätsabgleich“ aus Artikel 11a schwelte bereits während der Trilog-Verhandlungen vor rund zwei Jahren ein heftiger Streit. Die Kommission wollte eine eindeutige, dauerhafte Personenkennziffer einführen, die nicht nur Behörden, sondern auch Privatunternehmen für den Identitätsabgleich mit der Wallet nutzen können. Mit Hilfe eines solchen „Super-Cookies“, warnten hingegen Datenschützer:innen, könnten Unternehmen das Nutzungsverhalten Einzelner „mit ungekannter Genauigkeit“ erfassen.
Nach zähen Verhandlungen beschränkte das EU-Parlament den Einsatz der Personenkennziffer auf grenzüberschreitende Verwaltungsdienste. Laut der reformierten eIDAS-Verordnung soll die Personenkennziffer nur dann aus der EUDI-Wallet abgefragt werden, wenn etwa eine deutsche Staatsbürgerin in Belgien mit der dortigen Verwaltung kommuniziert und die Angabe der Nummer rechtlich gefordert wird. Privatunternehmen dürfen die Kennziffer hingegen unter keinen Umständen abfragen.
Identitätsdaten für Unternehmen
Die Organisation epicenter.works kritisiert zwei weitere Aspekte an dem aktuellen Vorgehen der Kommission: Erstens habe diese die monierten Änderungen an den Entwürfen erst vorgenommen, nachdem die öffentliche Konsultation durch Bürger:innen und Unternehmen abgeschlossen war.
Und zweitens komme die Kommission mit ihrem intransparenten Vorgehen ausgerechnet einer Aufforderung von Visa nach. Im Rahmen des Konsultationsprozesses hatte das Kreditkartenunternehmen die Kommission explizit dazu aufgefordert, die grenzüberschreitende Personenkennziffer auch für Privatunternehmen verfügbar zu machen.
Epicenter.works fordert die Kommission auf, die im Nachhinein hinzugefügten Bestimmungen zu entfernen. Nur so könne „das Vertrauen in das eIDAS-Ökosystem und in den demokratischen Prozess“ gewahrt werden.
Aller Versuche sind drei
Es ist nicht das erste Mal, dass Vertreter:innen der Zivilgesellschaft die Kommission dafür kritisieren, Schlupflöcher in die EUDI-Wallet zu reißen, die Unternehmen den Datenabgriff erleichtern.
Die ersten fünf Entwürfe für Durchführungsrechtsakte hatte die Kommission im vergangenen August vorgelegt. Aus Sicht der Zivilgesellschaft hätten sie es den Unternehmen ermöglicht, mehr private Daten als erforderlich aus den Wallets abzufragen.
Und auch mit der zweiten Charge an Durchführungsrechtsakten hätte die Kommission überbordende Datenanfragen von Unternehmen ermöglicht, ohne dass sich die Nutzenden der Brieftasche wirksam dagegen hätten wehren könnten – und damit einen „zentralen Schutzpfeiler des eIDAS-Ökosystems“ eingerissen – so die Warnung von epicenter.works vor wenigen Wochen.
Mindestens dreißig Durchführungsrechtsakte muss die Kommission in den kommenden Monaten noch vorlegen. Es bleibt zu hoffen, dass sie nicht jedes Mal versucht, weitere Schlupflöcher in die digitale Brieftasche zu reißen.
Update, 6.2.2025, 15 Uhr: Wir haben den Text um die Antwort des Bundesinnenministeriums ergänzt, die heute bei uns einging.
Ich verstehe ja nicht, warum das irgendwen wundert oder noch entstetzt. Der Zweck einer „digitalen Identität“ ist nun mal die Massenüberwachung zur Erhebung und Kommerzialisierung von Daten sowie zum Steuern der Gesellschaft nach profitorientierten Kriterien. Der oder zumindest ein Zweck der EU-Kommission ist – so zeigt es das bisherige Handeln vergangener Kommissionen und dieser – die Interessen von Konzernen und Machtpolitik abseits demokratischer und transparenter Prinzipien und Praktiken durchzusetzen. Bereits dass die Kommission die Möglichkeit dazu hat, dies so oft zu versuchen, zeigt zudem dass es ein strukturelles Problem der postdemokratischen EU ist, das nicht durch Wahlen behoben werden kann.
Leider muss ich dem zustimmen.
Allerdings könnte das Problem schon durch Wahlen zumindest abgeschwächt werden. WENN Parteien, die den Datenschutz deutlich stärker in den Fokus rücken, vermehrt in den Landesparlamenten bzw. EU-Parlament sitzen würden.
Aber anscheinend kann oder will die Bevölkerung in Europa nicht soweit denken. Schade.
Postdemocracy:
Du bringst es auf den Punkt. Und deshalb wird es für mich weiterhin nur eine Brieftasche geben. Nämlich die, die in die Jackentasche passt, aus weichem Leder ist und keinen Akku braucht.
…irgendwann wird leider der Punkt kommen, in denen technische Massenüberwachung selbst den größten Linux-Nerd einholen wird.
Sei es der digitale Personalausweis, den der gute Datenschützer streng genommen boykottieren muss, gezwungenes e-Banking wenn du auf deinen Lohn zurückgreifen musst, die Tatsache dass wir das Internet nur nutzen können, wenn wir uns für Vodafone, Telekom oder O2 entscheiden müssen. Vielleicht in einem Jahrzehnt der Einkauf im Supermark mit Skeletterkennung. Und noch weitere Dinge, die uns lieber auswandern lassen wollen auf eine abgelegene Insel.
„…irgendwann wird leider der Punkt kommen, in denen technische Massenüberwachung selbst den größten Linux-Nerd einholen wird.“
Wenn du auf dem letzten CCC-Treffen gewesen wärst, wärst du eventuell anderer Meinung ;-)
Aber Du hast recht – man versucht mit allen Mitteln, den Menschen komplett digital zu versklaven. Jedoch werden proportional zur Überwachungszunahme sowohl juristische Gegenmaßnahmen als auch technisch-digitale Gegenwehr, gekoppelt mit heftigem Protest und zivilem Ungehorsam, keine (kreativen) Grenzen kennen.
Ein CCC-Treffen wird aufgrund der extremen Distanz niemals in Frage kommen. Für einen Flug wird zwingend vorgeschrieben, sich gläsern zu machen. Auch ein Bahnticket zwingt dich mittlerweile, dich gläsern zu machen.
Ein CCC-Livestream wird aufgrund der hier mangelhaften Internetverbindung auch nicht in Frage kommen.
Einzig Schwarzfahren ist möglich. Oder eine 750km lange Radtour über mindestens zwei Mittelgebirge. :^)
Die Brieftasche gehört in die *vordere* Hosentasche, nicht in die Jackentasche. Aus der
*hinteren* Hosentasche wird sie zu einfach gestohlen (Kripo und Presse warnen schon seit Jahrzehnten vor der Methode „Opfer einsauen, anrempeln, zugreifen, in der Masse abtauchen“) und aus der Jackentasche kann sie zu einfach herausfallen oder man verliert sie dadurch, dass man die Jacke irgendwo vergisst.
Ich habe mein Portemonnaie schon immer in der vorderen Hosentasche und es ist mir noch niemals gestohlen worden.
Oki, zugegeben, ich hätte besser „Innentasche der Jacke“ schreiben sollen. Denn die meinte ich ;-)
Vordere Hosentasche ist zu unbequem.
Mal sehen was für Verbrechen dann beispielsweise Friedrich Merz, oder auch Robert Habeck begehen.
Sprich, es wird kommen wie es immer gekommen ist, sobald die Daten massenhaft vorhanden sind werden sie abgegriffen und missbraucht.
Bin mal gespannt wie dann die Beweislast gehandhabt wird.
Leute wie Friedrich Merz und Robert Habeck sind einen Beobachtungsdruck gewohnt, der Sie und mich vermutlich in den Wahnsinn treiben würde, und die können damit leben.
Man könnte soviel Steuern sparen, wenn man Politiker in Therapie schicken würde, wo ihnen abgewöhnt wird, sich ständig mit Lösungen zu befassen zu denen man die Probleme erst noch finden muss.
Ich habe nämlich gerne so viele digitale Identitäten wie ich will, statt einer einzigen, wie die EU-Kommission und die sie bestechenden und/oder erpressenden Leute es anscheinend gerne hätten.