EU-Kommission höhlt Datenschutz der digitalen Brieftasche aus
Das Need-to-know-Prinzip der kommenden EUDI-Wallet für Ausweisdokumente war eine ihrer Stärken. Ausgerechnet das verwässert die EU-Kommission aber nun.
(Bild: Ivan Marc / shutterstock.com)
Eigentlich soll die europäische digitale Brieftasche ein Musterbeispiel für Datensparsamkeit werden: Wer etwa beim Weinkauf nur sein Alter nachweisen muss, gibt auch nur das Alter preis – so zumindest der Plan. Doch die EU-Kommission untergräbt in ihren aktuellen Durchführungsrechtsakten zur eIDAS-Verordnung genau dieses Prinzip. Die österreichische Nichtregierungsorganisation epicenter.works warnt in einer ausführlichen Stellungnahme davor, dass Unternehmen weit mehr Daten abfragen könnten als nötig.
Im Zentrum der Kritik stehen drei aktuelle KonsultationsentwĂĽrfe der EU-Kommission fĂĽr sogenannte DurchfĂĽhrungsrechtsakte. Insgesamt 40 solcher Rechtsvorschriften will die Kommission erlassen, bevor die European Digital Identity Wallet (EUDI-Wallet) verfĂĽgbar ist. Sie regeln die praktische Umsetzung der eIDAS-Verordnung 2.0, die im Mai 2024 in Kraft trat und den rechtlichen Rahmen fĂĽr die digitale Brieftasche bildet. Die Bundesregierung hat den Start der deutschen EUDI-Wallet zum 2. Januar 2027 angekĂĽndigt und bereits eine Testumgebung bereitgestellt.
Technische Lösung nur optional
Das Problem liegt bei den Registrierungszertifikaten für „Relying Parties“ – also Unternehmen und Behörden, die Daten aus der Wallet abfragen wollen. Laut eIDAS-Verordnung müssen sich solche vertrauenswürdigen Parteien vorab in einem EU-Mitgliedstaat registrieren und dabei angeben, welche Daten sie zu welchem Zweck anfordern. Facebook braucht keinen Geburtsort, Erotikseiten keine Klarnamen – das leuchtet ein. Die daraufhin ausgestellten Registrierungszertifikate setzen diese Beschränkung technisch durch: Sie funktionieren als eine Art Datenausweis, mit dem sich anfragende Stellen gegenüber der Wallet legitimieren.
Die Kommission formuliert in ihren neuen Entwürfen jedoch, dass Mitgliedstaaten solche Zertifikate lediglich ausstellen „können“, nicht „müssen“. Ohne Zertifikat kann eine Wallet aber rein technisch nicht überprüfen, ob eine Datenanfrage dem registrierten Zweck entspricht. „Unternehmen aus Ländern wie Irland könnten Schutzmechanismen der Wallet umgehen, sodass illegale Anfragen nach zu vielen Informationen möglich werden“, warnt Thomas Lohninger von epicenter.works bei Netzpolitik.org.
Ein Unternehmen könnte demnach einfach einen Niederlassungsort in einem Mitgliedstaat, der keine Zertifikate verlangt, wählen und dann auch von deutschen Nutzern mehr Daten abfragen als nötig. Laut epicenter.works widerspricht das Artikel 5b Absatz 3 der eIDAS-Verordnung, wonach vertrauenswürdige Parteien nur jene Daten abfragen dürfen, die sie bei ihrer Registrierung angegeben haben.
Biometrie statt Pseudonym
Neben der technischen Kontrolle steht auch das in der eIDAS-Verordnung verankerte Recht auf Pseudonymität unter Druck. Nutzer sollten sich demnach im Alltag mit selbst gewählten Pseudonymen ausweisen können, sofern keine gesetzliche Identifizierungspflicht besteht. Die Kommission beschränkt den Pseudonym-Gebrauch in ihren Entwürfen jedoch auf reine Authentifizierungsvorgänge – etwa pseudonyme Logins bei Webdiensten.
epicenter.works kritisiert diese enge Auslegung: Gerade vor dem Hintergrund der aktuellen Debatte um Alterskontrollen auf sozialen Medien, Glücksspiel- und Pornografie-Seiten sei das fahrlässig. Denn mit so einer engen Auslegung könnten solche – möglicherweise sehr an Klarnamen interessierten – Parteien vollständige Identitätsdaten erhalten, trotz fehlender Rechtsgrundlage.
Videos by heise
Besonders brisant: Die Kommission will nun auch biometrische Gesichtsdaten verpflichtend in den bewusst minimal gehaltenen Mindestdatensatz zur Personenidentifizierung (Person Identification Data, PID) aufnehmen. Bislang umfasst dieser Datensatz Name, Geburtsdatum, Geburtsort und Staatsangehörigkeit. Dabei fallen biometrische Daten unter Artikel 9 der DSGVO und unterliegen damit besonders strengen Verarbeitungsregeln. Ohne verpflichtende Registrierungszertifikate könnten auch diese sensiblen Daten an Unternehmen fließen, die sie nicht benötigen. Zehn Nichtregierungsorganisationen, darunter EDRi und der Chaos Computer Club, forderten daher am 10. März 2026 verpflichtende Registrierungszertifikate in einem offenen Brief an EU-Kommissarin Henna Virkkunen.
Wiederholtes Muster
Bereits im November 2024 hatte die Kommission versucht, die Registrierung vertrauenswürdiger Parteien freiwillig zu machen. Nach Protesten zivilgesellschaftlicher Organisationen korrigierte sie vorübergehend ihre Position – nur um wenige Wochen später zur ursprünglichen Forderung zurückzukehren. epicenter.works bezeichnet dieses Vorgehen als unprofessionell und warnt, dass es „das Vertrauen der Öffentlichkeit in das künftige eIDAS-Ökosystem erheblich“ untergrabe.
Die Wallet-Entwicklung in Deutschland schreitet derweil voran. Die Bundesagentur für Sprunginnovationen (Sprind) hat zusammen mit dem BSI und der Bundesdruckerei einen funktionsfähigen Prototypen vorgeführt, der den Personalausweis per NFC auslesen und signierte Ausweisdaten lokal speichern kann. BSI-Präsidentin Claudia Plattner demonstrierte die App auf der re:publica und betonte, Datenschutz sei ein zentrales Unterscheidungsmerkmal gegenüber kommerziellen Anbietern. Auch der digitale Führerschein soll bis 2030 in die EUDI-Wallet integriert werden.
Ob die technischen Schutzmaßnahmen in der Praxis wirken, hängt nun maßgeblich davon ab, wie die Kommission ihre Durchführungsrechtsakte finalisiert. epicenter.works fordert, Registrierungszertifikate EU-weit verpflichtend zu machen und biometrische Daten aus dem PID-Mindestdatensatz zu streichen. Nur so lasse sich ein einheitliches Datenschutzniveau gewährleisten – und verhindern, dass die digitale Brieftasche zum Freibrief für Datensammler wird.
(kki)
