E-Brieftasche: EU-Kommission will ständige Personenkennung durch die Hintertür

Bürgerrechtler beklagen ein Foulspiel der EU-Kommission bei der europäischen digitalen Identität: Firmen dürften verifizierte Ausweisdaten abfragen.

In Pocket speichern vorlesen Druckansicht 105 Kommentare lesen
Eine Zeichnung, auf der ein Chef zu sehen ist, der seinen Mitarbeiter mit einer Lupe beobachtet.

(Bild: Elnur/Shutterstock.com)

Lesezeit: 3 Min.

Die Umsetzung der Verordnung für eine europäische elektronische Identität (EUid) auf Basis digitaler Brieftaschen (E-Wallets) sorgt weiter für Wirbel. Besonders umstritten war zwischen den EU-Staaten und dem Parlament die von der EU-Kommission geforderte Pflicht, den vorgesehenen elektronischen Identitätsnachweis (eID) als lebenslange Personenkennziffer auszugestalten. Der Gesetzgeber entschied sich letztlich gegen das Konzept einer "eindeutigen und dauerhaften Kennung" bei den Online-Brieftaschen. Die Kommission will ihre Idee nun aber durch die Hintertür einführen, mit einem Rechtsakt zur Umsetzung der eIDAS-Verordnung.

Laut Artikel 11a der eIADS-Verordnung sollen Mitgliedstaaten einen eindeutigen Identitätsabgleich natürlicher Personen durchführen, wenn der jeweilige Staat bei grenzüberschreitenden Diensten auf die elektronische Identität solcher Personen vertraut. Geht es nach dem Entwurf der Kommission für die Ausführungsbestimmungen, sollen allerdings auch private Unternehmen auf diesen hoheitlichen zentralisierten Dienst zur Identitätsprüfung zugreifen dürfen.

Dies soll nicht nur möglich sein, wenn die Nutzeridentifizierung durch nationales oder EU-weites Recht vorgeschrieben ist, sondern ausdrücklich auch bei "Know your Customer"-Fällen. In diesen sind Finanzinstitute angewiesen, die Identität von Kunden zu verifizieren. Vor allem der Kreditkarten-Konzern Visa drängt hier auf Erleichterungen.

Die Kommission überschreite damit eine rote Linie und gehe "eklatant über ihre Grenzen hinaus", moniert die österreichische Bürgerrechtsorganisation Epicenter.works in einer Stellungnahme. Der private Sektor sei ausdrücklich vom Identitätsabgleich im Sinne der Verordnung ausgeschlossen worden. Ein zentralisiertes System für den Identitätsabgleich mit einem eindeutigen und permanenten Personenkennzeichen habe der Gesetzgeber generell nicht vorgesehen. Die Kommission wolle Artikel 11 unzulässigerweise erweitern und die politische Übereinkunft missachten. Epicenter.works fordert daher: "Um das Vertrauen in das eIDAS-Ökosystem und den demokratischen Prozess aufrechtzuerhalten, müssen diese neuen Bestimmungen umgehend gestrichen werden."

Kritiker befürchten, dass über den Abgleich der lebenslangen Kennziffer Informationen aus vielen Lebensbereichen zusammengeführt und die Bürger gläsern werden könnten. Niemand dürfe Interaktionen von EUid-Nutzern zentral beobachten und Informationen aus Bereichen wie E-Government, Bankgeschäften, Fahrten mit öffentlichen Verkehrsmitteln oder Logins bei Sozialen Netzwerken verknüpfen können. Übel stößt Epicenter.works zudem auf, dass die Kommission die Aufnahme weiterer, optionaler Datensätze für Identitätsabgleiche vorsieht. Das würde die Identifizierung geradezu sabotieren, sofern nicht alle Beteiligten den selben optionalen Datensatz gespeichert hätten.

Zusammen mit 14 anderen Bürgerrechtsorganisationen wie European Digital Rights (EDRi) und der Electronic Frontier Foundation kritisiert Epicenter.works weiter, dass das vorgeschriebene öffentliche Register der die EUid nutzenden Parteien mangelhaft sei. So sehe die derzeitige Bestimmung keine Möglichkeit vor, alle registrierten Stellen aufzulisten. Damit könnten etwa Verbraucherschützer nicht erkennen, wie Arbeitgeber oder Unternehmen die Identitäten verwendeten. Auf diese Weise wäre es beispielsweise Facebook möglich, Schutzmaßnahmen zu umgehen und von europäischen Nutzern alle Daten aus der Wallet zu verlangen. Zudem habe die Kommission bereits mit ersten Durchführungsakten das Recht, Pseudonyme zu verwenden, verwässert. Mit den jüngsten Entwürfen habe sich die Situation weiter verschlechtert.

(ds)