EU-Wallet & Data Act: EU-Abgeordnete wollen Online-Ausweis ohne Dauerkennung
EU-Parlamentarier haben die Weichen für die digitale Identität EUid und Vorgaben zum Datenteilen gestellt. Sie sind gegen ein dauerhaftes Personenkennzeichen.
(Bild: Arnont.tp/Shutterstock.com)
Der federführende Industrieausschuss des EU-Parlaments (ITRE) hat sich in der Abstimmung über die geplante Verordnung für eine europäische digitale Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) gegen eine verpflichtende lebenslange Personenkennziffer ausgesprochen. Jeder Mitgliedsstaat soll sich stattdessen weiter für Kennungen entscheiden können, die bei einzelnen Anbietern wechseln.
Im Vorfeld war besonders umstritten, dass die persönliche Wallet laut dem ursprünglichen Vorschlag der EU-Kommission mit einem lebenslangen eindeutigen Identifikator verbunden werden soll. Kritikern zufolge könnten so Informationen aus vielen Lebensbereichen zusammengeführt und die Bürger gläsern werden.
E-Wallets für alle Bürger und Unternehmen
Bei der Initiative zur Reform der eIDAS-Verordnung geht es darum, dass die EU-Länder künftig allen Bürgern und Unternehmen E-Wallets zur Verfügung stellen müssen. Darin sollen Nutzer ihre nationale elektronische Identität (eID) etwa auf einem Smartphone speichern und mit Nachweisen anderer persönlicher Attribute wie Führerschein, Abschlusszeugnissen, Geburts- oder Heiratsurkunde und ärztlichen Rezepten verknüpfen können. Der ITRE beschloss seine Änderungsanträge zum Kommissionsentwurf mit großer Mehrheit von 55 zu 8 Stimmen bei zwei Enthaltungen.
Das Parlamentsplenum muss die Korrekturen noch formal bestätigen, was Mitte März erfolgen soll. Damit steht dann die Position der Abgeordneten für die Verhandlungen mit dem EU-Ministerrat. Die Mitgliedsstaaten wollen "das Konzept der eindeutigen und dauerhaften Kennung" für die Online-Brieftaschen beibehalten, sodass es hier zu harten Verhandlungen kommen könnte. Laut den ITRE-Kompromissanträgen muss eine zweifelsfreie Identifizierung von Wallet-Nutzern von den EU-Ländern nur noch für den grenzüberschreitenden Einsatz gegenüber öffentlichen Einrichtungen sichergestellt werden. Ein Personenkennzeichen würde so etwa noch abgefragt, wenn ein Deutscher mit der Verwaltung in Österreich kommuniziert und die Kennung dafür nötig ist.
Offener Quellcode gefordert
Der Ausschuss drängt zudem darauf, dass der Quellcode der EUid-Wallet offen einsehbar ist, was wohl auf eine Open-Source-TEchnik hinauslaufen würde. Bürgern wollen die Abgeordneten die Wahl lassen, ob sie ihre digitale Identität bei öffentlichen oder privaten Dienste-Anbietern einsetzen. Sie sollen so nicht benachteiligt werden, wenn sie kein Smartphone besitzen oder sich anderweitig ausweisen wollen. Pseudonyme können zum Tragen kommen, wenn eine Identifizierung mit Klarnamen nicht gesetzlich vorgeschrieben ist. Sie sollen verschlüsselt auf den Endgeräten hinterlegt werden.
Der Entwurf enthält ausführliche Bestimmungen zur sicheren Beantragung, Erlangung, Speicherung, Kombination und Nutzung von persönlichen Identifikationsdaten und elektronischen Zertifikaten, die zur Online- und Offline-Authentifizierung sowie für den Zugang zu Waren und öffentlichen und privaten Dienstleistungen verwendet werden können. Regierungen und Anbieter von Attributen wollen die Volksvertreter durch technische Mittel daran hindern, das konkrete Nutzerverhalten zu beobachten. Zugelassene vertrauenswürdige Stellen müssen ihre Anwendungsfälle anmelden und sich selbst identifizieren, bevor sie Nutzer über die Geldbörse nach Informationen fragen dürfen. Vermittler zwischen beiden Seiten sollen keine Kenntnis über den Inhalt der Transaktion erlangen dürfen.
Kritiker warnen vor Wegfall der Anonymität
Trotz der Nachbesserungen gibt der EU-Abgeordnete Patrick Breyer (Piratenpartei) keine Entwarnung: "Wir müssen uns der großen Gefahr entgegenstemmen, dass die geplante 'digitale Identität' schrittweise die Anonymität im Internet verdrängen könnte, die uns vor Profiling und Identitätsdiebstahl schützt." Er will daher über den mitberatenden Innenausschuss noch eine Ergänzung des Verhandlungsmandats erreichen, "dass Dienste auch ohne elektronische Identifizierung oder Authentifizierung nutzbar bleiben, soweit dies möglich ist". Wallets sollten zudem ausschließlich dezentral auf dem eigenen Gerät gespeichert werden. Jan Oetjen, Geschäftsführer von Web.de und GMX, kritisiert, dass eine "Staats-Wallet" im Raum stehe, "die gleich schon zu Beginn eine Identifizierung per Personalausweis erfordert". Massenanwendungsfälle wie E-Mail, Messenger, soziale Netzwerke sowie Streaming- und Mobilitätsservices blieben so außen vor.
Allgemeines Datengesetz
Der ITRE hat zudem einstimmig mit 59 Befürwortern bei elf Enthaltungen die Position des Parlaments zum umkämpften Entwurf für ein allgemeines Datengesetz vorbereitet. Kernanliegen dieses Vorhabens ist es, den Datenaustausch zwischen Unternehmen untereinander und mit der öffentlichen Hand voranzubringen und neue Datenzugangsrechte für Nutzer bei vernetzten Produkten einzuführen. Die Abgeordneten stützen hier den Kurs der Kommission für den "Data Act" prinzipiell, wollen aber der Wirtschaft mehr Spielraum beim Datenteilen lassen.
Unternehmen sollen so etwa entscheiden können, welche Informationen weitergegeben werden dürfen. Produktherstellern wollen es die Parlamentarier ermöglichen, bestimmte Daten nicht von vornherein "by Design" zur Verfügung zu stellen. Der Mittelstand soll besser vor missbräuchlichen Vertragsklauseln geschützt werden. Die Abgeordneten wollen die Bestimmungen zum Schutz von Geschäftsgeheimnissen verschärfen und verhindern, dass Konkurrenten den erweiterten Zugang zu Daten nutzen, um Dienste oder Geräte nachzubauen. Sie legen auch strengere Bedingungen für Datenanfragen von Unternehmen an Behörden fest. Der Wechsel zwischen Anbietern von Cloud-Diensten soll erleichtert, der Schutz gegen unrechtmäßige internationale Datenübertragungen durch Betreiber wie Amazon, Google, Microsoft & Co. erhöht werden.
(mack)
