eIDAS-ReformDigitale Brieftasche birgt „beispielloses Risiko“ für die Privatsphäre

Bürgerrechtsorganisationen, Wissenschaftler:innen und Forschungseinrichtungen kritisieren die geplante ID-Wallet, die derzeit auf EU-Ebene diskutiert wird. Sie fordern den Rat der Europäischen Union, das EU-Parlament und die Kommission zu grundlegenden Korrekturen bei Datenschutz und Privatsphäre auf.

Eine Illustration zeigt einen Kunden, dessen Barcode beim Einkaufen gescannt wird
Die ID-Wallet könnte den gläsernen Kunden noch gläserner machen, so die Befürchtung eines offenen Briefes. – Alle Rechte vorbehalten IMAGO / Ikon Images

Die EU plant, die sogenannte „European Digital Identity Wallet“ (ID-Wallet) einzuführen. Die digitale Brieftasche sollen EU-Bürger:innen künftig bei Verwaltungsgängen und Bankgeschäften, aber auch bei Arztbesuchen, Alterskontrollen oder beim Internet-Shopping einsetzen können. Den Weg dahin wird die eIDAS-2.0-Verordnung ebnen, die derzeit im Trilog der EU verhandelt wird.

In einem heute veröffentlichten offenen Brief kritisieren 22 Nichtregierungsorganisationen, Wissenschaftler:innen und Forschungseinrichtungen, dass die geplante Verordnung erhebliche Lücken aufweise. Sie richten den Blick vor allem auf den Datenschutz und die Privatsphäre sowie auf mögliche Betrugsszenarien. Zu den Unterzeichnenden gehören epicenter.works, European Digital Rights, Privacy International und viele andere.

„Geschenk für Google und Facebook“

Dem Brief zufolge stellt die geplante digitale Brieftasche ein „beispielloses Risiko“ für die Privatsphäre der EU-Bürger:innen  dar.

So sei etwa vorgesehen, dass Banken und Versicherungen ähnliche Know-Your-Customer-Anforderungen erfüllen müssten wie die „überwachungsgetriebenen Geschäftsmodelle“ der Tech-Konzerne. Anhand solcher Anforderungen müssen Unternehmen die Identität Ihrer Kund:innen überprüfen, bevor sie mit ihnen Geschäfte eingehen.

Aus Sicht der Unterzeichnenden drohe eIDAS 2.0 damit zu einem „Geschenk für Google und Facebook“ zu werden. Mit Hilfe der digitalen Brieftasche könnten die Konzerne die Privatsphäre der EU-Bürger:innen noch weiter aushöhlen.

Gegen eine dauerhafte Personenkennziffer

Der Brief warnt zudem davor, eine eindeutige und dauerhafte Kennung für die EU-Bürger:innen einzuführen. Eine solche „Seriennummer für Menschen“ würde es Unternehmen ermöglichen, das Nutzungsverhalten Einzelner online wie offline „mit ungekannter Genauigkeit“ zu erfassen. Eindeutige Personenkennziffern sind in Deutschland verfassungsrechtlich umstritten, wie die Debatte um die Steuer-ID und die Registermodernisierung zeigt.

Die Kommission sieht in ihrem Entwurf vor, eine eindeutige, dauerhafte Personenkennziffer (Unique identifier) einzuführen. Der Kompromissvorschlag des EU-Parlaments tut dies ebenfalls, will deren Einsatz allerdings auf grenzüberschreitende Verwaltungsdienste beschränken.

Demnach soll die Personenkennziffer nur dann abgefragt werden, wenn beispielsweise eine deutsche Staatsbürgerin in Belgien mit der dortigen Verwaltung kommuniziert und die Angabe der Nummer rechtlich erforderlich ist. Allerdings birgt aus Sicht von Datenschützer:innen bereits die Einführung einer Personenkennziffer die Gefahr, dass deren Nutzung – im Sinne einer schleichenden Zweckentfremdung (Function Creep) – später ausgeweitet werden könnte. Zur einheitlichen Personenkennziffer gibt es technische Alternativen.

Um der Gefahr einer drohenden Überidentifizierung zu begegnen, spricht sich der offene Brief – wie auch der Kompromissvorschlag des EU-Parlaments – für datensparsame Authentifizierungsmöglichkeiten aus. Neben personenbezogenen Daten sollten auch pseudonymisierte Daten und Zero-Knowledge-Proofs (zu Deutsch: Null-Wissen-Beweis) zum Einsatz kommen. Diese könnten Nutzer:innen verwenden, sofern eine namentliche Identifizierung nicht gesetzlich vorgeschrieben ist.

Der Gefahr des Betrugs begegnen

Schließlich weisen die Unterzeichnenden darauf hin, dass die ID-Wallet neue Möglichkeiten des Betrugs und des Missbrauchs biete. Die Gefahr sei auch deshalb groß, weil die digitale Brieftasche sensible Identitäts-, Finanz- und Gesundheitsdaten von Millionen Menschen enthalten soll. Damit böte sie ein überaus interessantes Ziel für Kriminelle.

Dennoch seien bislang keine Rechtsmittel vorgesehen, die es nationalen Behörden ermöglichen würde, gegen betrügerische Akteure vorzugehen und diese aus dem eIDAS-Ökosystem auszuschließen.

Der Brief schließt mit dem Hinweis, dass die European Digital Identity Wallet nur mit entsprechenden Sicherheitsvorkehrungen das Vertrauen der EU-Bürger:innen gewinnen und zu einer „sehr leistungsfähigen Plattform für digitale Interaktionen“ werden könne. Dafür aber müsse sie die Grundrechte respektieren und die Privatsphäre aller schützen.

eIDAS 2.0: Digitale Brieftasche für alle EU-Bürger:innen

eIDAS 2.0 soll eine Regulierung aus dem Jahr 2014 reformieren. Das Kürzel eIDAS steht für „Electronic IDentification, Authentication and Trust Services“. Im Dezember hatte der Rat der Europäischen Union seine zustimmende Position zu dem Vorhaben abgegeben; im Frühjahr folgte das EU-Parlament. Den entsprechenden Verordnungsentwurf hatte die EU-Kommission im Juni 2021 vorgelegt.

Die Verordnung befindet sich derzeit in den Trilogverhandlungen. Voraussichtlich in der zweiten Jahreshälfte werden Rat und Parlament sie beschließen. Der Trilog wird unter anderem darüber entscheiden, ob die ID-Wallet mit einer der Einführung einer eindeutigen Personenkennung einhergeht, welche Rolle Pseudonymen bei elektronischen Transaktionen zukommt und ob der Code unter einer Open-Source-Lizenz veröffentlicht wird.

Vor zwei Wochen hat das Bundesinnenministerium einen Konsultationsprozess zur ID-Wallet gestartet.

8 Ergänzungen

  1. Das Vertrauen der Bevölkerung interessiert halt leider nicht, wenn man wie bei Bund-ID zur Nutzung zwingen kann…

  2. Datengierige gegen Datensparsame.
    Daten-Angriffskrieg gegen Daten-Selbstverteidigung.

    Wer den Stecker zieht oder die Ladung des Akkus verweigert kämpft nicht nur für die eigene Freiheit.

  3. Die Verfasser*innen der Forderung scheinen wohl nicht ganz verstanden zu haben, dass behördliche, staatliche und privatwirtschaftliche Seiten so etwas wie „digitale Identitäten“ doch gar nicht aus purer Menschenliebe in die Welt setzen oder um Gesellschaft und Individuum einen selbstlosen Gefallen zu tun.

    Es geht bei der Digitalisierung (im Kapitalismus) doch ganz eindeutig und ausschließlich um erweiterte Formen der Ausbeutung und um die Steuerung und Optimierung von Gesellschaft und Individuum rein nach Interessen des Marktes und der globalen Konkurrenzfähigkeit. Dass „digitale Identitäten“ gläserne Kund*innen und Bürger*innen schaffen, die Privatsphäre weiter schleifen und schließlich auch als Schlüsselinstrument einer zunehmend autoritären Sicherheitspolitik und digitalkapitalistischen Scoring-Gesellschaft dienen – genau das ist ja der Sinn der Sache und nicht etwa ein Versehen, eine Fahrlässigkeit oder ein unnötiges Ärgernis.

    1. Ich habe einen Namen, der einmalig ist auf der Welt.
      Ob jemand nun meinen Namen kennt, oder meine ID, macht also NULL Unterschied.
      Wenn jeder mit einer ID agieren muss, wäre das nur gerecht.

  4. @postdemocracy Dem kann ich inhaltlich nur zustimmen. Mich wundert enorm, wie kurzsichtig die technische Kritik derzeit ausfällt. Dieses „jaja, kann man machen, aber schau mal, so geht es viel besser“ kommt oft so schräge oportun, dass mir schwer fällt zu glauben es handelt sich dabei nicht um eine Bewerbung. Was den Menschen oben im Artikel unrecht tut. Den Gedanken, dass aus der bisherigen Sicht da gehörig was übersehen wird, kann man nicht weniger als deutlich hervorheben.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.