Wer eine Flasche Wein kaufen möchte, muss dafür im Laden unter Umständen den Personalausweis zücken. Erst nach einem prüfenden Blick des Kassierers auf das Geburtsdatum können Kund:innen dann bezahlen – oder nicht.
Weit mehr Daten könnten schon bald bei der geplanten EUDI-Wallet ausgetauscht werden, warnt die Nichtregierungsorganisation epicenter.works in einer Stellungnahme. Wer die digitale Brieftasche künftig einsetzt, könnte dann sogar gezwungen sein, die eigenen biometrischen Gesichtsdaten an Unternehmen weiterzugeben.
Verantwortlich dafür sind Änderungen der Europäischen Kommission, so die österreichische Nichtregierungsorganisation. Die Kommission höhle im Nachhinein die rechtlich vorgegebenen Schutzgarantien aus, auf die sich EU-Parlament und der Rat geeinigt hatten.
Mit der „European Digital Identity Wallet“ sollen sich künftig Bürger:innen und Organisationen online und offline ausweisen können. Die Bundesregierung hat ihren Start in Deutschland zum 2. Januar 2027 angekündigt.
Wenn soziale Plattformen Gesundheitsdaten abfragen
Konkret bezieht sich die Kritik von epicenter.works auf drei aktuelle Konsultationsentwürfe von sogenannten Durchführungsrechtsakten. Diese Rechtsvorschriften regeln die praktische Umsetzung von EU-Verordnungen. Insgesamt 40 von ihnen will die Kommission erlassen, bevor die digitale Brieftasche verfügbar ist.
Als besonders problematisch bewertet epicenter.works die Regelung, wonach „relying parties“ (zu deutsch: „vertrauenswürdige Parteien“) je nach Mitgliedstaat sogenannte Registrierungszertifikate nicht verpflichtend, sondern nur optional erhalten sollen.
Vertrauenswürdige Parteien können Unternehmen und öffentliche Einrichtungen sein. Sie müssen sich laut eIDAS-Verordnung, die der europäischen Wallet zugrundeliegt, vorab in einem EU-Mitgliedstaat registrieren. Dabei müssen sie darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden.
Diese Datenbeschränkung lässt sich technisch mit Registrierungszertifikaten kontrollieren. Sie dienen als eine Art Datenausweis, mit dem sich die vertrauenswürdigen Parteien gegenüber den Wallets legitimieren und die Abfragekategorien beschränken. Registrieren sich Nutzer:innen etwa mit Hilfe der Wallet bei einem sozialen Netzwerk, soll das so erst gar keine Gesundheitsdaten abfragen können.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Die eIDAS-Verordnung sieht solche Registrierungszertifikate zwar nicht explizit vor. Allerdings könne eine Wallet ohne diese technisch nicht ohne weiteres überprüfen, ob Informationsanfragen angemessen sind, schreibt epicenter.works. Und das widerspreche Artikel 5b Abs. 3 der Verordnung, wonach vertrauenswürdige Parteien nur jene Daten abfragen dürfen, die sie auch bei ihrer Registrierung angegeben haben.
Die Nichtregierungsorganisation plädiert daher für technische Kontrolle statt nur für Vertrauen. Andernfalls könnten etwa Unternehmen die vorgesehenen Schutzmaßnahmen relativ leicht umgehen, indem sie einen Mitgliedstaat als Niederlassungsort wählen, der keine Registrierungszertifikate ausstellt. „Unternehmen aus Ländern wie Irland könnten Schutzmechanismen der Wallet umgehen, so dass illegale Anfragen nach zu vielen Informationen möglich werden“, sagt Thomas Lohninger von epicenter.works.
EU-Kommission handelt „unprofessionell“
Es ist nicht das erste Mal, dass die Kommission die rechtlichen Vorgaben aus Sicht zivilgesellschaftlicher Organisationen untergraben will.
Bereits im November 2024 hatte die Kommission versucht, die Registrierung von vertrauenswürdigen Parteien freiwillig zu machen. Damals hatte sie die zweite Charge an Durchführungsrechtsakten veröffentlicht. Nachdem mehrere Organisationen gefordert hatten, die dort aufgemachten „Schlupflöcher“ zu schließen, korrigierte die Kommission vorübergehend ihre Position, nur um wenige Wochen später zu ihrer ursprünglichen Forderung zurückzukehren.
„Dieses inkonsequente Vorgehen der […] EU-Kommission in einer so wichtigen Angelegenheit ist unprofessionell“, schreibt epicenter.works in der aktuellen Stellungnahme, „und es untergräbt das Vertrauen der Öffentlichkeit in das künftige eIDAS-Ökosystem erheblich.“ Die Nichtregierungsorganisation fordert die Kommission erneut dazu auf, „die Registrierung von vertrauenswürdigen Parteien verbindlich vorzuschreiben“. Nur so sei ein einheitliches Schutzniveau in der gesamten EU zu gewährleisten.
Die wichtigsten Fragen und Antworten zur digitalen Brieftasche
Kommission will Recht auf Pseudonymität beschneiden
Die eIDAS-Verordnung sieht außerdem vor, dass sich Wallet-Nutzer:innen im Alltag auch mit selbstgewählten Pseudonymen gegenüber Unternehmen und Behörden ausweisen können, sofern aus rechtlicher Sicht keine weiteren Daten erforderlich sind. So sollen sie ihre Identität und ihre persönlichen Daten vor übermäßigen Zugriff schützen. Dieses Recht auf Pseudonymität greife die Kommission auf zweierlei Art an, kritisiert epicenter.works.
Zum einen unterscheide die Kommission nicht klar zwischen Anwendungsfällen der Wallet, in denen die vertrauenswürdige Partei gesetzlich dazu verpflichtet ist, Nutzer:innen zu identifizieren, und solchen, in denen eine solche Verpflichtung nicht besteht. Dabei sei diese Unterscheidung essentiell, um die Rechte der Nutzer:innen zu wahren.
Zum anderen beschränke die Kommission den Gebrauch von Pseudonymen auf Authentifizerungsmaßnahmen – also etwa auf die Verwendung von pseudonymen Logins bei Webdiensten. „Die Kommission legt die eIDAS-Verordnung sehr einseitig aus“, schreibt epicenter.works. „Und sie übersieht dabei, dass die vertrauenswürdigen Parteien dazu verpflichtet sind, Pseudonyme generell zu akzeptieren, unabhängig von der Authentifizierungsfunktion der Wallet.“Damit könnten Unternehmen die rechtliche Identität von Nutzer:innen abfragen, ohne dass dies erforderlich ist.
Wir sind communityfinanziert
Unterstütze auch Du unsere Arbeit mit einer Spende.
Gerade vor dem Hintergrund der aktuellen Debatte um Alterskontrollen sei diese Verengung fahrlässig: „Soziale Medienplattformen, Pornografie-Websites, Glücksspiel- und andere Online-Anbieter werden derzeit als potenzielle vertrauende Parteien diskutiert“, mahnt epicenter.works. „Diese Anbieter seien möglicherweise sehr daran interessiert, Identitätsdaten von Nutzer:innen zu erhalten, verfügen jedoch über keine Rechtsgrundlage, um eine solche Identifizierung zu verlangen.“
Biometrische Gesichtsdaten sollen ebenfalls in die Wallet
Die übermittelten Informationen könnten sogar biometrische Gesichtsdaten enthalten. Die Kommission will diese verpflichtend in jenen Datensatz aufnehmen, der zur Identifizierung von Nutzer:innen verwendet wird. Bislang soll dieses „Minimum-Datenset“ den vollen Name, das Geburtsdatum und den Geburtsort sowie die Nationalität enthalten.
Unternehmen wie Amazon könnten damit nicht nur Namen und Anschrift ihrer Kund:innen erhalten, sondern auch eine Bilddatei mit deren Gesicht. Die Kommission nehme hier eine „massive Verschiebung“ vor, kritisiert epicenter.works, die der Gesetzestext explizit nicht vorsehe. Gleichzeitig würde damit „die gesamte Verarbeitung über die EUDI-Wallet unter Artikel 9 der Datenschutzgrundverordnung fallen, was wesentlich strengere Schutzmaßnahmen erfordern würde.“
„Wir sind wirklich entsetzt, welche Änderungen vor dem Start der digitalen Brieftasche nun vorgebracht werden“, sagt Thomas Lohninger. „Verpflichtende Gesichtsbilder würden ganz neue Gefahren durch biometrische Daten bei Online-Plattformen mit sich bringen. Offenbar ist die Akzeptanz in der Industrie für die Politik relevanter als das Vertrauen aus der Bevölkerung.“
epicenter.works fordert die Kommission auf, die entsprechende Stelle aus dem Entwurf ersatzlos zu streichen. Gleichzeitig mahnt sie, dass die Kommission das gesamte Projekt gefährde, indem sie kurz vor dem Start der Wallet derart weitreichende Änderungen an den technischen Spezifikationen vornehme.
Offener Brief erinnert Kommission an rechtliche Vorgaben
An die Kritik von epicenter.works knüpfen zehn europäische Organisationen an, die heute gemeinsam einen offenen Brief publiziert haben. Sie richten sich darin unter anderem an die Vizepräsidentin der EU-Kommission, Henna Virkkunen. Initiiert hat das Schreiben die Vereinigung von Bürgerrechtsorganisationen European Digital Rights, zu den Unterzeichnern zählen unter anderem der Chaos Computer Club und die Digitale Gesellschaft aus Deutschland, Homo Digitalis aus Griechenland, IT-Pol aus Dänemark, ApTI aus Rumänien und Vrijschrift.org aus den Niederlanden.
Die Organisationen zeigen sich „zutiefst besorgt“ darüber, dass die Kommission die Grundrechte von Millionen EU-Bürger:innen aushöhlen wolle. Die aktuell vorliegenden Entwürfe der Durchführungsrechtsakte „bergen die Gefahr, einige der zentralen Schutzmaßnahmen zu schwächen, die die eIDAS-Verordnung vorsieht.“ Das sei umso dramatischer, weil derzeit auch darüber diskutiert wird, die Wallet für Alterskontrollen zu verwenden.
Der offene Brief ruft die Kommission und die Mitgliedsstaaten dazu auf, die Befürchtungen der Zivilgesellschaft ernstzunehmen und die rechtlichen Vorgaben der eIDAS-Verordnung einzuhalten. Die digitale Brieftasche könne nur dann erfolgreich sein, wenn sie einen starken Datenschutz und Rechtssicherheit böte – und zwar in allen EU-Staaten gleichermaßen.
„„Soziale Medienplattformen, Pornografie-Websites, Glücksspiel- und andere Online-Anbieter werden derzeit als potenzielle vertrauende Parteien diskutiert““
Soso… All jene Seitenarten, vor denen man die aaaarmeen Kiiinder durch Altersknotrollen „schützen“ will sind jetzt vertrauende Partner. Interessant.
Da die Kommission das ganze EUDI-Projekt offenbar in voller Absicht gegen die Wand fahren (sprich: unsicher machen) will, bin ich mal gespannt, was am Ende rauskommt oder ob es sich in die Liste gescheiterter Projekte einreihen wird.
Andererseits:
Was will man von einer EU erwarten, die
– permanent erweiterte Vorratsdatenspeicherung will
– mit ihrerer Going-Dark-Gruppe jegliche digitalen Sicherheiten bekämpft
– mit fehleranfälliger Chatkontrolle die Bürger ausspionieren will und massenhaft unschuldige Verdächtigungen bereitwillig in Kauf nimmt
– alle Bürger außer ihre Freunde in Politik und Strafverfolgung andauernd unter permanenten Generalverdacht stellen will usw
Spätestens seit der Going-Dark-Gruppe war eigentlich klar, dass diese EUDI-Wallet unmöglich das Ziel haben kann, datenschutzfreundlich geschweige denn anonym zu sein.
Wer permanent so entschlossen die digitalen Grundrechte und Sicherheiten seiner Bürger angreifen will bzw angreift, wird bei so einem sensiblen Thema keine 180 Grad-Wende machen und plötzlich Anonymität garantieren.
So oft wie die Kommission jetzt schon versucht hat, Unsicherheiten einzubauen, ist es irgendwann mehr als auffällig.
Wenn sich das nicht wendet und dieses Ding wirklich so unsicher entwickelt und released wird, kann man nur auf breite Ablehnung und einen sehr großen Shitstorm hoffen.
Man hat als Bürger aber doch noch die Wahl diese Digitale Wallet einfach NICHT Anlegen und zu benutzen oder? Zumindest nehme ich an das man sich selbst aktiv dafür (Login, Account) einbringen müsste ansonsten gibt es die für einen selbst nicht. Bedenklich wird es dann doch erst wenn die einem zwangsweise aufgeholfen wird und man das nicht (mehr) ablehnen könnte. ePerso in Stahletui aufbewahren -> SAFE. :-/
Ansonsten erwarte ich davon eigentlich nichts besseres mehr.
Aber „Realistisch“ betrachtet gibt es dann noch weitere Eskalationsstufen.
1. Die Wirtschaft könnte jede andere Methode außer der Wallet für Login und Zahlungen ablehnen oder beliebig unkomfortabel machen.
2. Dann erst macht man sie verpflichtend um die letzten Renitenten Verweigerer in die Wallet ähh den Datenozean zu „pressen“.
G. Orwell wir kommen… :-/
Ich fürchte das eines Tages dann die ID genutzt werden muss um noch jedwede Website aufrufen zu können. Totale Ausweispflicht und damit Überwachbarkeit im Internet.
„Wenn man einen Trog aufstellt, kommen die Schweine.“
Das ist Alt. Ist es heute nicht oft schon so das die Schweine beim „Bauern“ nachfragen ob er nicht bitte-bitte einen Trog aufstellen könnte – weil sie so hungrig sind. Nach Daten!
Ich werde allen Menschen die mir wichtig sind jedenfalls abraten die EUID jemals zu installieren und bin mir sicher sie werden das weitergeben. Die Graphentheorie spricht hier für mich und ehe jemand lacht: wie wurden wohl facebook und whatsapp groß?
Richtig: Menschen haben Menschen gefragt: „Hast du …“? Das kann man auch umdrehen:“ Wie? Du installierst dir die EUID ??? Bist du von allen guten Geistern verlassen?“
Die EUID ist tot und nun wohl offiziell eine Bedrohung für freie Bürger.
„eine Bedrohung für freie Bürger“
Nope. Für alle Bürger. Einige merken nicht, dass dieselben Cliquen mit denselben Prinzipien am Abschöpfen sind. Geostrategie gibt’s nach der Klospülung. Ist halt nur schwer dranzukommen, bei dem ganzen Geröhr‘.