EU-weite Online-Ausweise: "Aus Datenschutzsicht hochproblematisch"
Experten warnen, dass die EU-Kommission mit der geplanten europäischen digitalen Identität jedem Bürger eine lebenslange Identifikationsnummer zuweisen will.
Thomas Lohninger, Geschäftsführer der zivilgesellschaftlichen Organisation epicenter.works aus Österreich, hat den Verordnungsentwurf der EU-Kommission für eine europäische digitale Identität (EUid) scharf kritisiert. Es handle sich "leider aus Datenschutzsicht" um ein "hochproblematisches Dossier", monierte er am Freitag auf einer Online-Veranstaltung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zum Europäischen Datenschutztag.
Lebenslanger eindeutiger Identifikator
Laut dem Vorschlag der Kommission müssen EU-Staaten Bürgern und Unternehmen künftig digitale Brieftaschen zur Verfügung stellen. In diesen "E-Wallets" sollen diese ihre nationale elektronische Identität (eID) mit den Nachweisen anderer persönlicher Attribute wie Führerschein, Abschlusszeugnissen, Geburts- oder Heiratsurkunde und ärztlichen Rezepten verknüpfen können.
Es gebe zwar großen Bedarf für eine solche Lösung zum Ausweisen im Internet, meinte Lohninger. Bei der Ansage der Kommission, dass die Nutzer dabei die Kontrolle über ihre Daten behalten sollten, handle es sich aber um ein Lippenbekenntnis. Artikel 11a des Entwurfs sehe einen lebenslangen eindeutigen Identifikator vor, "der jedem Menschen zugewiesen und abgeprüft werden soll". Damit könnten Informationen aus zahlreichen Lebensbereichen zusammengeführt und der Bürger gläsern werden.
"Einladung zum Identitätsdiebstahl"
Die Unbeobachtbarkeit dieser Systeme sei enorm wichtig, führte der Aktivist aus: "Wir landen sonst im Panoptikum." Auch Artikel 6a sehe aber breite Überwachungsmöglichkeiten vor. Er öffne das Konzept für die elektronische Brieftasche für die Wirtschaft bis hin zur Medienbranche, die darüber Abonnements abschließen und zielgerichtete Werbung schalten könne. Die Klausel hebele ferner die im Sinne der Datenminimierung eigentlich vorgesehene selektive Offenlegung von Attributen aus. Eine entsprechende Prüfung solcher Zusätze werde damit vor jeder Authentifizierung nötig.
Zudem sei das nachträgliche Entziehen von Berechtigungen gar nicht vorgesehen, kritisierte Lohninger. Bei der geforderten informierten Einwilligung in die Freigabe von Attributen drohe zudem das gleiche Problem wie bei der Datenschutz-Grundverordnung (DSGVO) und dem damit verknüpften Abnicken etwa von Cookie-Bannern. Auch die Sicherheit von Smartphones, auf denen die EUid in einer "Wallet" vor allem gespeichert werden soll, sei zweifelhaft: Es gebe viele Android-Geräte und iPhones, "die keine Updates mehr bekommen". Dabei handle es sich um eine "Einladung zum Identitätsdiebstahl".
Self-Sovereign Identity
Die Voraussetzung für die Akzeptanz der EUid sei "ein hohes Maß an Vertrauenswürdigkeit", betonte die saarländische Datenschutzbeauftragte Monika Grethel. Die digitale Brieftasche müsse "datensparsam und datenschutzfreundlich ausgestaltet" werden, der Nutzer in jedem Fall im Einklang mit dem Konzept der Self-Sovereign Identity (SSI) Herr seiner Daten und der Optionen zur Weitergabe an Dritte sein.
Eine "eindeutige, dauerhafte Kennung" müsse auf wenige Ausnahmefälle begrenzt sein und einer strengen Zweckbindung unterliegen, forderte Grethel. Sie erinnerte an die Debatte über die Steuer-ID als einheitliche Personenkennziffer bei der laufenden Registermodernisierung, gegen die Datenschützer Sturm gelaufen waren. Die Politik müsse sicherstellen, dass Diensteanbieter und Identitätsprovider "sensible Informationen nicht für kommerzielle Zwecke missbrauchen oder mit anderen Daten zusammenführen".
SSI mit nutzerzentriertem ID-Management
"Man muss wachsam sein, damit es nicht zum Albtraum wird", ergänzte der Saarbrücker Rechtsinformatiker Christoph Sorge. Die eID im deutschen Personalausweis, die in die EU-Wallet integriert werden könnte, sei die datensparsamere, bereits notifizierte Variante und "schon ziemlich genial gemacht". Die "schöne Lösung", für die es aber noch zu wenig Anwendungen gebe, ersetze den sonst nötigen Identitätsprovider "durch ein vertrauenswürdiges Endgerät wie den elektronischen Personalausweis". Dieser bestätige, dass eine Person echt ist. Der Inhaber könne dann selektiv Informationen über sich herausgeben.
Standardisierungsarbeiten an einer weiterentwickelten SSI mit nutzerzentriertem ID-Management seien schon recht weit fortgeschritten, erläuterte der Professor. Unproblematisch sei es damit immer, wenn nur ein Attribut wie der Besitz eines Führerscheins bestätigt und genutzt werde. Schwieriger werde es, eine Unverknüpfbarkeit im Zusammenhang mit zwei oder mehr "Dingen" sicherzustellen und ein Pseudonym aufrechtzuerhalten. Seine größte Befürchtung sei aber, dass die EUid zum Rohrkrepierer werde und Apple, Google & Co. als Identitätsprovider reüssierten.
Einfach, hochsicher und datenschutzkonform
Die SSI sei ein "sehr intelligenter Ansatz", fand auch Arno Fiedler, Vizevorsitzender des Verbands Sichere Digitale Identität (VSDI). Diesen hätten aber neben den großen US-Internetkonzernen etwa auch Alibaba und Tencent im Blick. Er habe daher vor allem Angst, "dass chinesische Initiativen sowas entwickeln". Er forderte daher auch Kompromissbereitschaft bei den Datenschützern, um das EU-Projekt zum Start zu bringen. Dafür sei ein Zugriff auf verschiedene Register nötig, um etwa auch Dienstausweise für Polizisten oder Ärzte als Attribute einbringen zu können.
Fiedler mahnte auch dazu, zahlreiche Anwendungsbeispiele vom Smart Home und Bildung über Gesundheit und Finanzen bis zur Verwaltung zu bespielen, um die EUid für Nutzer attraktiv zu machen. Er gab zu bedenken, dass die Wallet-Architektur eigentlich schon im Dezember hätte stehen sollen. Diesen Zeitplan habe die Kommission gerissen. So sei es fraglich, ob alle Mitgliedsstaaten die digitale Brieftasche bis 2024 bereitstellen könnten.
Eine möglichst breit einsetzbare eID spiele die "alles entscheidende Rolle" bei der geplanten "Ende-zu-Ende-Digitalisierung" der Verwaltung, unterstrich der IT-Beauftragte der Bundesregierung, Markus Richter. "Wir werden nur erfolgreich sein, wenn wir eine einfach nutzbare, hochsichere und zugleich datenschutzkonforme Identitätslösung bereitstellen." Er rief dazu auf, eine "echte Koalition von allen Beteiligten" zu bilden. In Bezug auf internationale Cloud-Anbieter forderte er: "Wir müssen verhindern, dass einseitig das Thema Identitäten an die Hyperscaler geht, die Lock-in-Effekte kreieren."
Die Bundesregierung war voriges Jahr mit einer "ID Wallet" vorgeprescht, in dem Nutzer zunächst den digitalen Führerschein ablegen können sollten. Das Vorhaben scheiterte angesichts des unerwartet hohen Interesses an der App und Kritik, dass die Infrastruktur dahinter nebst der eingesetzten Blockchain-Technik angreifbar sein könnte. "Grundlegende Hausaufgaben sind nicht gemacht worden", räumte Richter ein. "Wir müssen Sicherheitsaspekte und Man-in-the-Middle-Angriffe ernst nehmen", um Identitätsklau zu verhindern. Die Initiative sei inzwischen neu in der Regierung verortet worden. Parallel gehe es darum, die Smart eID auf Handys auszurollen.
Breite Aufklärungskampagnen mit Prominenten und Influencern für den Online-Ausweis und dessen Fortentwicklungen hielt Ann Cathrin Riedel vom liberalen Netzpolitikverein Load für angebracht. Die zuständigen Ministerien seien in der Pflicht, "so etwas mitzudenken und in Budgets einzuspeisen". Sonst werde sich eine derart komplexe Technik allenfalls durchsetzen, wenn Apple und Google die Standards setzten.
(bme)