Offener BriefEU-Kommission soll „Schlupflöcher“ bei digitaler Brieftasche schließen

In Brüssel wird derzeit ausgehandelt, wie die europäische digitale Brieftasche künftig funktioniert. Entsprechende Vorlagen der EU-Kommission hat die Zivilgesellschaft wiederholt scharf kritisiert. 15 Organisationen fordern die Kommission nun dazu auf, die rechtlichen Vorgaben einzuhalten und den Verbraucher:innenschutz zu stärken.

- - in Nutzerrechte - 4 Ergänzungen
Ein Loch in einer Betonfläche
Ein Schlupfloch unterhöhlt das Vertrauen in die Gesamtstatik. – Gemeinfrei-ähnlich freigegeben durch unsplash.com James Fitzgerald

Bei der Umsetzung von Projekten steckt der Teufel meist im Detail. Diese Erfahrung muss derzeit auch die europäische digitale Brieftasche machen.

Aktuell werden in Brüssel die technischen Vorgaben für die „European Digital Identity Wallet“ (EUDI-Wallet) verhandelt. Mit solchen EUDI-Wallets sollen sich künftig Bürger:innen und Organisationen online und offline ausweisen können, zudem lassen sich darin Identitätsdaten und amtliche Dokumente speichern und verwalten. Sensibler geht es also kaum.

Ein Bündnis aus 15 zivilgesellschaftlichen Organisationen warnt nun in einem offenen Brief vor den jüngsten Plänen der EU-Kommission. Diese würden es Unternehmen ermöglichen, mehr Daten aus den Wallets der Bürger:innen abzufragen, als es laut Gesetz erlaubt ist. Das Bündnis fordert die Kommission dazu auf, diese „Schlupflöcher“ zu schließen.

Zu den Organisationen, die den offenen Brief unterzeichnet haben, gehören unter anderem European Digital Rights (EDRi), die Electronic Frontier Foundation, Homo Digitalis, Digitalcourage und die Österreichische Bundesarbeitskammer.

Anhaltende Kritik aus der Zivilgesellschaft

Die EUDI-Wallet ist derzeit eines der größten digitalpolitischen Projekte der Europäischen Union. Ihr liegt die eIDAS-Reform zugrunde, die im Mai vergangenen Jahres in Kraft trat.

Bevor die Wallet wie geplant im Herbst 2026 starten kann, muss die EU-Kommission noch eine Reihe sogenannter Durchführungsrechtsakte erlassen. Insgesamt 40 dieser detaillierten Vorschriften für eine einheitliche Durchführung der eIDAS-Reform sind vorgesehen.

Die ersten fünf Entwürfe für Durchführungsrechtsakte hatte die Kommission im August vergangenen Jahres vorgelegt. Schon diese hatten für erhebliche Kritik aus der Zivilgesellschaft gesorgt, weil sie nicht den rechtlichen Vorgaben der reformierten eIDAS-Verordnung entsprochen hätten.

Eine ähnliche Kritik entzündet sich auch an der zweiten Charge der Rechtsakte. Anfang Dezember vergangenen Jahres bemängelte epicenter.works unter anderem den Vorschlag der Kommission, die Ausgabe sogenannter Registrierungszertifikate für sogenannte relying parties (deutsch: „vertrauenswürdige Parteien“) optional zu machen. Aus Sicht der Bürgerrechtsorganisation droht die Kommission damit „einen zentralen Pfeiler der Schutzmaßnahmen des eIDAS-Ökosystems“ einzureißen.

Die „vertrauenswürdigen Parteien“ können Unternehmen oder öffentliche Einrichtungen sein. Gemäß eIDAS-Verordnung müssen sie sich vorab in ihren jeweiligen EU-Mitgliedstaaten registrieren und darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Das soll gewährleisten, dass sie auch grenzüberschreitend nur jene Informationen aus den Wallets abfragen, die sie laut Gesetz erhalten dürfen.

Die Zertifikate sollen dies technisch sicherstellen: Vereinfacht formuliert dienen sie als eine Art Datenausweis, mit dem sich die relying parties gegenüber den Wallets der Nutzer:innen legitimieren und zudem die Abfragekategorien beschränken. Eine Anmeldung über die EUDI-Wallet bei einem sozialen Netzwerk soll dann beispielsweise ausschließen, dass dabei Gesundheitsdaten abgefragt werden.

Nutzende sollten die alleinige Kontrolle haben

An die Kritik aus dem vergangenen Dezember knüpfen die 15 Organisationen an, die den offenen Brief unterzeichnet haben.

Sie kritisieren, dass der von der Kommission vorgelegte Entwurf eine verbindliche Regelung verhindere, weil er es den EU-Ländern überlässt, Registrierungszertifikate zur Pflicht zu machen. Das gehe zulasten der Verbraucher:innen. Denn die Nutzenden müssten dann im Einzelfall entscheiden, ob sie mit einer bestimmten vertrauenswürdigen Partei interagieren oder nicht. Damit würden sie jedoch „anfällig für illegale und möglicherweise betrügerische Anfragen nach ihren Daten“, so der offene Brief.

Darüber hinaus untergrabe die Kommission mit ihrem Entwurf den Europäischen Binnenmarkt sowie das mit der eIDAS-Verordnung angestrebte Vertrauensniveau, das in allen EU-Staaten gleich sein soll.

Die Organisationen fordern die Kommission dazu auf, einen neuen Entwurf für den Durchführungsrechtsakt vorzulegen, der alle vertrauenswürdigen Parteien ausnahmslos dazu verpflichtet, Registrierungszertifikate auszustellen. „Wir sind überzeugt, dass die Aufrechterhaltung des Vertrauens in das eIDAS-Ökosystem enorm wichtig ist“, so die Organisationen.“Nur die Nutzenden sollten die alleinige Kontrolle über ihre Daten haben sowie über die Art und Weise, wie sie die EUDI-Wallet verwenden.“

Der offene Brief im Wortlaut

Dear Executive Vice-President Henna Virkkunen, Director-General Roberto Viola, Acting Director Christiane Kirketerp de Viron,

The undersigned consumer protection and human rights organizations want to thank the Commission for the important work on the eIDAS implementing acts. We welcome the recent adoption for the first batch of implementing acts regarding the provisions in Article 5a of the eIDAS regulation and acknowledge the positive changes to the text which significantly improved the privacy and human rights safeguards of the European Digital Identity Wallet.

The aim of the present letter, however, is to draw your attention to risks we identified in the recently proposed second batch of implementing acts. These concern in particular Article 5b of eIDAS. We are of the opinion that upholding trust in the eIDAS ecosystem is of utmost importance and that only the users are in sole control over their data and the way they use the European Digital Identity Wallet. The eIDAS regulation obliges relying parties to register their intended use of the Wallet and prohibits them from asking information going beyond that registration. (See Article 5b paragraph 1 and 3 of Regulation (EU) 2024/1183.) Protecting users from such illegal requests for information (‘over-asking’) requires providing them with the information if a particular request adheres to the registration of that relying party. This is done via relying party registration certificates.

While these certificates are an essential precondition for the enforcement of the eIDAS regulation, the informed user’s choice and trust into the system, the draft implementing act proposes that Member States can choose not to issue such certificates at all. All European Digital Identity Wallets would be unable to protect their users from over-asking, if the Member State where the relying party is registered has not issued these certificates.

This leaves users vulnerable to illegal and potentially fraudulent requests for their information and puts undue burden on them. In the absence of such certificates a cautions user would have to choose not to interact with relying parties from such EU countries. Thereby, the Commission’s draft would undermine the single market and prevent the harmonized trust level eIDAS aims to achieve.

Furthermore, eIDAS requires Member States to issue a public machine-readable interface to obtain all registered relying parties with the complete information they have provided. The draft implementing acts lack a harmonized specification to access such interfaces, rendering them meaningless for any public watchdog wishing to gain transparency about the eIDAS ecosystem.

To conclude, for the upcoming comitology meeting,3 the undersigned organizations ask you to propose a text that mandates the issuance of relying party registration certificates for all relying parties and to issue a harmonized specification to access the relying party registry of each Member State.

Sincerely,

  • epicenter.works – for digital rights (Austria)
  • European Digital Rights (Europe)
  • Chamber for Workers and Employees (Austria)
  • D3 – Defesa dos Direitos Digitais (Portugal)
  • Homo Digitalis (Greece)
  • IT-Political Association of Denmark (Denmark)
  • Digital Courage (Germany)
  • Stichting Vrijschrift (the Netherlands)
  • Digitale Gesellschaft Switzerland (Switzerland)
  • Citizen D (Slovenia)
  • SHARE Foundation (Serbia)
  • EFN – Electronic Frontier Norway (Norway)
  • EFF – Electronic Frontier Foundation (International)
  • ApTI – Asociația pentru Tehnologie și Internet (Romania)
  • Danes je nov dan (Slovenia)

Link: Der offene Brief bei epicenter.works

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Daniel ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zu seinen Schwerpunkten zählen die Gesundheitsdigitalisierung, Digital Public Infrastructure und die sogenannte Künstliche Intelligenz. Daniel war einst Redakteur bei den »Blättern für deutsche und internationale Politik«. 2014 erschien von ihm das Buch »Amazon – Das Buch als Beute«; 2016 erhielt er den Alternativen Medienpreis in der Rubrik »Medienkritik«. Er gehört dem Board of Trustees von Eurozine an.

Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-‭30-5771482-28‬ (Montag bis Freitag, jeweils 8 bis 18 Uhr).

Veröffentlicht 20.01.2025 um 15:56
Kategorie
Schlagworte
Weitere Artikel
Datenschutz

Nach Amtsantritt von TrumpTransatlantisches Datenabkommen bekommt erste Risse

Die EU-Kommission verspricht, dass Daten von EU-Bürger:innen in den USA ähnlich geschützt sind wie in der EU. Diese Zusage hatten ihr Fachleute nie so recht abgenommen. Nun stellt Donald Trump die rechtliche Grundlage für den transatlantischen Datenaustausch schon in seinen ersten Tagen als US-Präsident auf die Probe.

Lesen Sie diesen Artikel: Transatlantisches Datenabkommen bekommt erste Risse

4 Ergänzungen

  1. Ein Hinweis: Ich glaube es liegt ein Übersetzungsfehler vor: relying party = vertrauende Partei. Im Text ist es übersetzt mit „vertrauenswürdige Partei“.

    Antworten

    1. Ich finde den Begriff in diesem Zusammenhang nicht leicht zu übersetzen. „Vertrauende Parteien“ passt aus meiner Sicht nicht ganz. Die Parteien müssen nicht uns vertrauen. Sondern die „Parteien“ selbst müssen sich registrieren, damit wir ihnen unsere Daten anvertrauen können. Sie müssen also vertrauenswürdig sein. Daher habe ich diesen Begriff so gewählt.

      Antworten

  2. Mir wäre ja lieber, wenn die EU-Kommission die „Digitale Brieftasche“ komplett bleiben lässt. Aber leider fragt mich niemand und zweitens ist „Scheiß drauf, wir lassen es.“ mutmaßlich generell keine Option.

    Antworten

  3. Digitale Projekte der EU? Das kann ja was werden… XD nicht!

    Gegen eine flächendeckende Einführung von GNU Taler hätte ich aber nichts einzuwenden.

    Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.