Manchmal hängt es nur an einem einzigen Wort. Etwa dann, wenn das englische Verb „may“ statt „shall“ verwendet wird. Das erste lässt sich mit einem freiwilligen „können“ übersetzen, das zweite mit einem verpflichtenden „sollen“.

Je nachdem, welches dieser Worte verwendet wird, drohe eines der größten digitalpolitischen Vorhaben der EU in eine bedrohliche Schieflage zu geraten, warnt die österreichische Nichtregierungsorganisation epicenter.works. Bei der geplanten „European Digital Identity Wallet“ (EUDI-Wallet) versuche die EU-Kommission derzeit, den Daten- und Verbraucherschutz der Nutzer:innen auszuhebeln, indem sie geringfügige, aber folgenreiche Änderungen an geplanten Rechtsakten vornehme.

Mit der digitalen Brieftasche sollen sich Bürger:innen und Organisationen ab Herbst 2026 sicher und datenschutzkonform ausweisen können, so das Versprechen der EU. Doch nun drohe die Überidentifikation, mahnt epicenter.works, da etwa Unternehmen auf unverhältnismäßig viele persönliche Daten Zugriff erhalten sollen. Sie hätten damit die Möglichkeit, noch genauere Profile ihrer Nutzer:innen anzulegen.

Kommission will Datensparsamkeit aushebeln

Eigentlich sollen Organisationen und Unternehmen künftig nur jene Daten in der Wallet einsehen können, die sie laut Gesetz auch einsehen dürfen. Am Flughafen ist das beispielsweise die Bordkarte, bei der Autovermietung neben den Adressdaten der Führerschein und beim Behördengang die persönlichen Identifikationsdaten.

Diese Datensparsamkeit je nach Anwendungsfall schreibt die eIDAS-Verordnung explizit vor. Schon als das Europaparlament sie im Februar 2024 verabschiedete, mahnten Bürgerrechtsorganisationen an, dass sich die rechtlichen Vorgaben in der technischen Umsetzung widerspiegeln müssten. Offenbar zu Recht.

Insgesamt 40 Durchführungsrechtsakte muss die EU-Kommission für eine einheitliche Umsetzung der eIDAS-Reform erlassen. Am 9. April verhandelt das zuständige eIDAS-Komitee in Brüssel die zweite Charge dieser Rechtsakte. Für dieses Treffen hat die Kommission offenbar Vorschläge für die technische Umsetzung vorgelegt, die „Registrierungszertifikate“ für sogenannte relying parties (deutsch: „vertrauenswürdige Parteien“) optional machen.

Können heißt nicht müssen

Die eIDAS-Verordnung sieht vor, dass sowohl Unternehmen als auch öffentliche Einrichtungen „vertrauenswürdige Parteien“ sein können. Bevor diese Nutzer:innendaten abfragen dürfen, müssen sie sich laut Gesetzestext vorab in ihren jeweiligen EU-Mitgliedstaaten registrieren und dabei darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Damit soll eine Kontrolle gewährleistet sein, wer welche Daten abfragen darf.

Die Registrierungszertifikate dienen dabei als eine Art Datenausweis, mit denen sich die vertrauenswürdigen Parteien gegenüber den Wallets der Nutzer:innen legitimieren. Sie beschränken auch die Abfragekategorien und schließen so technisch aus, dass beispielsweise soziale Netzwerke oder irgendwelche Apps sensible Gesundheitsdaten aus den digitalen Brieftaschen abfragen können.

Die Kommission will es nun offenbar den einzelnen EU-Staaten überlassen, ob sie diese Registrierungszertifikate ausgeben. Wörtlich heißt es in dem aktuellen Entwurf: „Member States may authorise at least one certificate authority to issue wallet-relying party registration certificates.“. Zu deutsch: „Die Mitgliedstaaten können mindestens eine Zertifizierungsstelle dazu ermächtigen, Zulassungsbescheinigungen für jene Parteien auszustellen, die auf die digitale Brieftasche angewiesen sind.“

Verzichten Mitgliedsländer auf die nurmehr optionale Zertifizierung, erhielten die relying partners dann aber quasi einen Freifahrtschein, mit dem sie nach Belieben Daten von Nutzer:innen abfragen können, warnt epicenter.works. Unternehmen wie Facebook oder Amazon könnten dann potenziell auf die gleichen Daten zugreifen wie Verwaltungsbehörden oder Banken. Statt Datensparsamkeit droht ein unnötiger Datenabfluss.

Die NGO fordert daher, in dem Kommissionsentwurf das optionale „may“ durch das zwingende „shall“ zu ersetzen – und die Ausstellung von Registrierungen damit zur EU-weiten Pflicht zu erklären.

Ein europäischer Flickenteppich droht

Andernfalls drohe ein Flickenteppich unterschiedlich strenger Regulierungen, warnt epicenter.works. Er würde es Unternehmen erlauben, sich in jenen EU-Staaten niederzulassen, die keine verpflichtende Zertifikatsvergabe vorsehen.

Welche Auswirkungen solche weißen Flecken auf der europäischen Landkarte haben, zeigt seit Jahren exemplarisch die Sonderrolle Irlands in der Union. Zahlreiche Tech-Konzerne haben die Grüne Insel als ihren europäischen Sitz auserkoren – wegen der niedrigen Steuern und weil die irische Datenschutzbehörde die Datenschutzgrundverordnung überaus nachsichtig auslegt.

Gleichzeitig würde dies auch das Recht der Nutzer:innen aushöhlen, Pseudonyme zu nutzen. Deren Einsatz hänge maßgeblich davon ab, dass in der Praxis klar geregelt sei, wann sich Nutzer:innen notwendigerweise ausweisen müssen und wann nicht, betont epicenter.works. Fehlt aber eine solche einheitliche Regelung, wird auch das Recht auf Pseudonymität faktisch hinfällig.

EU-Kommission baut Schlupflöcher ein

Es ist nicht das erste Mal, dass Vertreter:innen der Zivilgesellschaft die Kommission dafür kritisieren, Schlupflöcher in die EUDI-Wallet zu reißen, die Unternehmen die Datenabfrage erleichtern.

Die Kommission sei berüchtigt dafür, in letzter Minute Änderungen einzuführen, die den Schutz der Nutzer:innen aushöhlen, kritisiert daher auch zu Recht epicenter.works.

Würde sie sich damit durchsetzen, verlören die Nutzer:innen nicht nur die Kontrolle über ihre Daten, so die eindringliche Warnung der NGO. Sondern die Kommission würde auch die rechtlichen Vorgaben der eIDAS-Verordnung verletzen.