Verbraucherschutz: Warnung vor massivem Tracking bei digitaler EU-Brieftasche

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Vorschläge der EU-Kommission zur Umsetzung der Verordnung für eine europäische elektronische Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) widersprechen Interessen der Verbraucher. Das geht aus einem Gutachten hervor, das der Bundesverband der Verbraucherzentralen (vzbv) jetzt veröffentlicht hat. Sie machen es Verbrauchern etwa schwer, sich einen Überblick darüber zu verschaffen, wie öffentliche Verwaltungen, Unternehmen und andere Akteure ihre Daten und ihre digitale Identität nutzen. Durch die Hintertür könnten Nutzer der Wallet, in der unter anderem Ausweisdokumente digital hinterlegt sein sollen, zudem umfassend verfolgt werden.

Ein wunder Punkt bei der auch als European Digital Identity (EUDI) bekannten EUid ist laut der Analyse mit Stand November der Datenschutz. Erstellt hat die Analyse die Security-Firma Defendo IT im Auftrag des vzbv. Ein großes Problem beim aktuellen Stand der Spezifikation ist demnach: Diensteanbieter, die die geplante EU-Wallet zur Identifikation zulassen, könnten mit den Emittenten der eID-Lösung im Geheimen zusammenarbeiten, um Nutzer umfassend zu tracken.

Um diese Risiken zu verringern, wären "erhebliche Änderungen an den zugrunde liegenden Protokollen und Algorithmen" nötig, heißt es in der Untersuchung. Es gebe daher auch bereits Warnungen, dass die entsprechende Spezifikation gar nicht mehr mit der ihr zugrundeliegenden Novelle der eIDAS-Verordnung vereinbar sein könnte. Der befürchtete Missbrauch würde aktuell lediglich durch potenziell verhängte Bußgelder und Haftungsaspekte konterkariert.

Politik müsste Nutzerschutz festschreiben

Die Forscher erläutern: Abhängig von der Implementierung der EUDI-Wallet – insbesondere der Nutzerauthentifizierung – würden die Aussteller der Zugangsdaten bei jeder Vorlage dieser Credentials kontaktiert. Sie erführen so auch, welche Attribute präsentiert werden. Standardmäßig erfahre der Emittent zwar keine Informationen über die Drittparteien, die die Lösung verwenden. Die Software der Brieftasche sei zudem potenziell in der Lage, Anfragen zu fälschen, um die tatsächlichen Nutzungsmuster zu verschleiern. Durch die Nutzung des Secure Elements des Smartphones des Anwenders entfalle auch die Notwendigkeit, den Aussteller zu kontaktieren.

Wenn Emittenten jedoch mit den die EUid nutzenden Dienstleistern zusammenarbeiteten, "können sie erkennen, wo und wann Anmeldeinformationen vorgelegt werden, und so Verhaltensprofile erstellen", ist der Studie zu entnehmen. Die User hätten dann keine Möglichkeit, diese Absprachen zu erkennen. Es gebe auch keinen technischen Mechanismus, um das damit durchführbare flächendeckende Tracking wirksam zu verhindern: "Die einzigen Schutzmaßnahmen gegen dieses Verhalten sind gesetzlicher Natur."

Anonyme Credentials wären wichtig

EUDI-Diensteanbieter könnten nachfolgende Authentifizierungen desselben Nutzers einander zuordnen, auch ohne Absicht des Nutzers, erneut identifizierbar zu sein. Wenn sich ein Anwender etwa bei einem qualifizierten Vertrauensdiensteanbieter authentifiziere, um eine elektronische Signatur zu erstellen, sei eine Identifikationsprüfung notwendig. Dadurch erfahre der Dienstleister persönliche Identifikationsdaten des Nutzers und sei so in der Lage, spätere Zugriffe auf seinen Dienst wiederzuerkennen. Prinzipiell sei es aber auch denkbar, die alleinige Prüfung qualifizierter elektronischer Signaturen ohne Angabe personenbezogener Daten durch User durchzuführen.

Ein Anbieter könnte in diesem Fall Nutzer nicht tracken. Es gebe auch bereits den Vorschlag, anonyme Anmeldeinformationen ohne Tracking-Möglichkeit zu verwenden. Lediglich eine dauerhafte Personenkennziffer könnte eine Ausnahme darstellen. Eine solche Kennung will die Kommission laut Kritikern durch die Hintertür einführen. Die Forscher drängen daher darauf, die Spezifikation, den Architektur- und Referenzrahmen sowie den deutschen Vorschlag zur EUDI-Umsetzung gründlich zu überarbeiten, um den Einsatz anonymer Credentials zu integrieren.

Digitale Monopole nicht anfüttern

"Eine digitale Brieftasche, in der alle wichtigen Dokumente hinterlegt sind, kann viele Prozesse vereinfachen", kommentiert Michaela Schröder vom vzbv die Ergebnisse der Gutachter. "Gleichzeitig droht die Gefahr des Datenmissbrauchs durch Tracking und Profilbildung." Damit Verbraucher eine digitale Brieftasche bedenkenlos nutzen könnten, müssten Daten dabei "sparsam erhoben und automatisch die sicherste Einstellung gewählt" werden. Nur so könne das nötige hohe Schutzniveau gewährleistet werden und Vertrauen entstehen.

Der vzbv fordert in einem Positionspapier, dass nur für die Dienstleistung zwingend notwendige Daten von Anbietern abgefragt werden dürften. Privatwirtschaftlichen Serviceleistern sollte es verboten werden, Informationen aus der digitalen Brieftasche für ihr übriges Geschäft zu verwenden. Insbesondere die Verknüpfung der Daten mit amtlichen Dokumenten müsse verhindert werden.

Nutzer sind gespalten

Die digitale Brieftasche dürfe nicht dazu führen, dass Google, Amazon oder Apple ihre Monopolstellungen weiter ausbauen, postuliert Schröder. Nutzer dürften nicht dazu gedrängt werden, Produkte oder Dienstleistungen des jeweiligen Brieftaschen-Herausgebers zu kaufen oder einzusetzen. Zu bedenken sei auch die Gefahr, dass Verbraucher dazu verleitet oder faktisch gezwungen würden, mehr Daten mit den Digitalkonzernen zu teilen. Dies wäre etwa der Fall, wenn die Wallet dieses Unternehmens "in ein mobiles Betriebssystem eingebettet ist, das mehrere Dienste miteinander verbindet".

Bis Herbst 2026 sind alle EU-Mitgliedstaaten verpflichtet, ihren Bürgern EUid-Wallets bereitzustellen. Laut einer repräsentativen Online-Umfrage des Marktforschungsinstituts Eye Square im Auftrag des vzbv würden 44 Prozent der Teilnehmer ihren Personalausweis oder ihren Führerschein in einer solchen digitalen Brieftasche hinterlegen. Gut ein Drittel (34 Prozent) würde dies aber nicht tun. 22 Prozent sind sich noch unschlüssig.

(dahe)