Manchmal hängt es nur an einem einzigen Wort. Etwa dann, wenn das englische Verb „may“ statt „shall“ verwendet wird. Das erste lässt sich mit einem freiwilligen „können“ übersetzen, das zweite mit einem verpflichtenden „sollen“.
Je nachdem, welches dieser Worte verwendet wird, drohe eines der größten digitalpolitischen Vorhaben der EU in eine bedrohliche Schieflage zu geraten, warnt die österreichische Nichtregierungsorganisation epicenter.works. Bei der geplanten „European Digital Identity Wallet“ (EUDI-Wallet) versuche die EU-Kommission derzeit, den Daten- und Verbraucherschutz der Nutzer:innen auszuhebeln, indem sie geringfügige, aber folgenreiche Änderungen an geplanten Rechtsakten vornehme.
Mit der digitalen Brieftasche sollen sich Bürger:innen und Organisationen ab Herbst 2026 sicher und datenschutzkonform ausweisen können, so das Versprechen der EU. Doch nun drohe die Überidentifikation, mahnt epicenter.works, da etwa Unternehmen auf unverhältnismäßig viele persönliche Daten Zugriff erhalten sollen. Sie hätten damit die Möglichkeit, noch genauere Profile ihrer Nutzer:innen anzulegen.
Kommission will Datensparsamkeit aushebeln
Eigentlich sollen Organisationen und Unternehmen künftig nur jene Daten in der Wallet einsehen können, die sie laut Gesetz auch einsehen dürfen. Am Flughafen ist das beispielsweise die Bordkarte, bei der Autovermietung neben den Adressdaten der Führerschein und beim Behördengang die persönlichen Identifikationsdaten.
Diese Datensparsamkeit je nach Anwendungsfall schreibt die eIDAS-Verordnung explizit vor. Schon als das Europaparlament sie im Februar 2024 verabschiedete, mahnten Bürgerrechtsorganisationen an, dass sich die rechtlichen Vorgaben in der technischen Umsetzung widerspiegeln müssten. Offenbar zu Recht.
Insgesamt 40 Durchführungsrechtsakte muss die EU-Kommission für eine einheitliche Umsetzung der eIDAS-Reform erlassen. Am 9. April verhandelt das zuständige eIDAS-Komitee in Brüssel die zweite Charge dieser Rechtsakte. Für dieses Treffen hat die Kommission offenbar Vorschläge für die technische Umsetzung vorgelegt, die „Registrierungszertifikate“ für sogenannte relying parties (deutsch: „vertrauenswürdige Parteien“) optional machen.
Können heißt nicht müssen
Die eIDAS-Verordnung sieht vor, dass sowohl Unternehmen als auch öffentliche Einrichtungen „vertrauenswürdige Parteien“ sein können. Bevor diese Nutzer:innendaten abfragen dürfen, müssen sie sich laut Gesetzestext vorab in ihren jeweiligen EU-Mitgliedstaaten registrieren und dabei darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Damit soll eine Kontrolle gewährleistet sein, wer welche Daten abfragen darf.
Die Registrierungszertifikate dienen dabei als eine Art Datenausweis, mit denen sich die vertrauenswürdigen Parteien gegenüber den Wallets der Nutzer:innen legitimieren. Sie beschränken auch die Abfragekategorien und schließen so technisch aus, dass beispielsweise soziale Netzwerke oder irgendwelche Apps sensible Gesundheitsdaten aus den digitalen Brieftaschen abfragen können.
Die Kommission will es nun offenbar den einzelnen EU-Staaten überlassen, ob sie diese Registrierungszertifikate ausgeben. Wörtlich heißt es in dem aktuellen Entwurf: „Member States may authorise at least one certificate authority to issue wallet-relying party registration certificates.“. Zu deutsch: „Die Mitgliedstaaten können mindestens eine Zertifizierungsstelle dazu ermächtigen, Zulassungsbescheinigungen für jene Parteien auszustellen, die auf die digitale Brieftasche angewiesen sind.“
Verzichten Mitgliedsländer auf die nurmehr optionale Zertifizierung, erhielten die relying partners dann aber quasi einen Freifahrtschein, mit dem sie nach Belieben Daten von Nutzer:innen abfragen können, warnt epicenter.works. Unternehmen wie Facebook oder Amazon könnten dann potenziell auf die gleichen Daten zugreifen wie Verwaltungsbehörden oder Banken. Statt Datensparsamkeit droht ein unnötiger Datenabfluss.
Die NGO fordert daher, in dem Kommissionsentwurf das optionale „may“ durch das zwingende „shall“ zu ersetzen – und die Ausstellung von Registrierungen damit zur EU-weiten Pflicht zu erklären.
Ein europäischer Flickenteppich droht
Andernfalls drohe ein Flickenteppich unterschiedlich strenger Regulierungen, warnt epicenter.works. Er würde es Unternehmen erlauben, sich in jenen EU-Staaten niederzulassen, die keine verpflichtende Zertifikatsvergabe vorsehen.
Welche Auswirkungen solche weißen Flecken auf der europäischen Landkarte haben, zeigt seit Jahren exemplarisch die Sonderrolle Irlands in der Union. Zahlreiche Tech-Konzerne haben die Grüne Insel als ihren europäischen Sitz auserkoren – wegen der niedrigen Steuern und weil die irische Datenschutzbehörde die Datenschutzgrundverordnung überaus nachsichtig auslegt.
Gleichzeitig würde dies auch das Recht der Nutzer:innen aushöhlen, Pseudonyme zu nutzen. Deren Einsatz hänge maßgeblich davon ab, dass in der Praxis klar geregelt sei, wann sich Nutzer:innen notwendigerweise ausweisen müssen und wann nicht, betont epicenter.works. Fehlt aber eine solche einheitliche Regelung, wird auch das Recht auf Pseudonymität faktisch hinfällig.
EU-Kommission baut Schlupflöcher ein
Es ist nicht das erste Mal, dass Vertreter:innen der Zivilgesellschaft die Kommission dafür kritisieren, Schlupflöcher in die EUDI-Wallet zu reißen, die Unternehmen die Datenabfrage erleichtern.
Die Kommission sei berüchtigt dafür, in letzter Minute Änderungen einzuführen, die den Schutz der Nutzer:innen aushöhlen, kritisiert daher auch zu Recht epicenter.works.
Würde sie sich damit durchsetzen, verlören die Nutzer:innen nicht nur die Kontrolle über ihre Daten, so die eindringliche Warnung der NGO. Sondern die Kommission würde auch die rechtlichen Vorgaben der eIDAS-Verordnung verletzen.
Und jetzt soll mir mal jemand erklären wieso man die EU-Kommision nicht als ein Verein von Lobbyh“%§$ bezeichnen soll.
Ganz toll noch mehr Daten in die USA zu transferieren, und dann gleich noch zu den Tech-Konzernen – am besten gleich noch die Gesundheitsdaten (wie es Herr Lauterbach eh will)
Abgesehen dass man noch nicht kapiert hat dass die USA schon längst kein Safe Harbour-Gebiet mehr ist, ein weiterer Grund diesen digitalen Schnickschnack gleich gar nicht zu nutzen.
Eigentlich braucht es ja auch keiner.
Ich lasse mich nicht durch Bequemlichkeiten ködern.
Ich bin keine wandelnde Datenschleuder zum Wohle anderer.
Was mir schadet benutze ich nicht!
Grundsätzlich gute Einstellung.
Leider werden die Wahlmöglichkeiten ständig geringer ☹️🤮
„Die Kommission sei berüchtigt dafür, in letzter Minute Änderungen einzuführen, die den Schutz der Nutzer:innen aushöhlen, kritisiert daher auch zu Recht epicenter.works.“
Sie ist nicht nur berüchtigt dafür sondern dieses Vorgehen hat Struktur und System. Bei epicenter.works und Co. scheint man noch immer nicht ganz verstanden zu haben (oder zu wollen), dass eine“ Digitale Identität“ einzig und ausschließlich dazu dient, die maximale Überwachung und Kontrolle der Menschen zu Profitzwecken für Staaten und Konzerne im Internet und in der vormals analogen Lebenswelt zu ermöglichen. Ansonsten bräuchte man auch keine „Digitale Identität“. Dass da vorab irgendwelche Limitierungen und Datenschutzversprechen gemacht werden und dann gebrochen werden, ist auch kein Versehen, keine Überraschung, keine unvorhersehbare Entwicklung oder eine Marotte der Kommission sondern ganz einfach eine Taktik zur Schaffung von Akzeptanzen und Tatsachen. Die EU wendet dies auch in anderen Bereichen immer und immer wieder an.
Gründe doch auszuwandern: Gesamtsituation + 1
Wer noch was mit „nichts zu Verbergen“ hat, sollte mal in die USA gucken, auf Basis von was für Daten da so Leute in Autos gezerrt und in Camps zur Deportation gebracht werden, mit der Aussicht in einer Art KZ in El Salvador zu landen, falls mal jemand einen Fehler macht. Dabei hat die derzeitige Regierung keine Lust, etwas an der Praxis zu ändern.
Heißt: andere entscheiden zu anderen Zeitpunkten, wann wer was zu verbergen gehabt hätte.
Das Taktieren der EU KOM verwirrt echt. Epicenter-.works hatte schon Ende 2024 genau vor dem hier genannten Problem gewarnt. Wenig später gab man Anfang 2025 Entwarnung, das Problem sei vom Tisch. Nun lese ich, dass das Problem wieder „da“ ist. Dieses Hin- und Her lähmt auch die Möglichkeit, politisch oder zivilgesellschaftlich größeren Protest dagegen zu organisieren. Vielleicht sollte man das einfach mal tun…