EUid: EU-Kommission legt einheitliche technische Standards für Wallets fest

Auf Basis des Rechtsakts für eine europäische digitale Identität (EUid) müssen die EU-Staaten künftig allen Bürgern und Unternehmen eine Wallet zur Verfügung stellen. In der digitalen Brieftasche sollen Nutzer ihre nationale eID insbesondere auf Mobilgeräten speichern und mit Nachweisen anderer persönlicher Attribute wie Führerschein, Geburtsurkunde und Arztrezepten verknüpfen können. Die EU-Kommission hat nun einheitliche Standards und Verfahren für die technischen Funktionen und zur Zertifizierung festgelegt, damit die Wallets interoperabel sind und in der ganzen EU akzeptiert werden.

Mit vier Durchführungsverordnungen will die Kommission sicherstellen, dass die technischen Funktionen der Brieftaschen in allen Mitgliedsstaaten gleich sind. Dabei geht es etwa um Datenformate für die grenzüberschreitende Nutzung digitaler Dokumente und Maßnahmen zur Gewährleistung der Zuverlässigkeit und Sicherheit der Brieftaschen. Die Brüsseler Regierungsinstitution betont: In den Wallets werde "der Schutz personenbezogener Daten und der Privatsphäre gewährleistet". Pflicht sei etwa eine lokale Speicherung. Nutzer behielten die Kontrolle darüber, welche Informationen sie weitergeben. Bei der Entwicklung der Brieftaschen finde kein Tracking oder Profiling statt. Ferner werde ein Datenschutz-Dashboard eingebaut. Diese biete "vollständige Transparenz" darüber, "wie und mit wem Informationen aus der Wallet geteilt werden".

Fortschritte beim Datenschutz

Das sah nicht immer so aus. Die Bürgerrechtsorganisation Epicenter.works kritisierte etwa noch im Oktober, dass mit den Durchführungsakten das Recht auf die Verwendung von Pseudonymen bei der European Digital Identity (EUDI) nicht gewahrt werde. Es drohten "Über-Identifizierung" und der Verlust der Anonymität. Bankenverbände und andere Lobbygruppen hätten sich zudem dafür eingesetzt, biometrische Daten für die Brieftasche vorzuschreiben. Die Mitgliedstaaten würden angehalten, dies umzusetzen. Mittlerweile sprechen die Aktivisten aber von großen Schritten bei den abschließenden Verhandlungen. Die überarbeiteten Verordnungen sähen nun etwa Privacy by Design vor: Das gewährleiste, dass vertrauliche Daten vor Missbrauch durch Regierungen oder private Unternehmen geschützt seien. Protokolle (Logs) verblieben auf dem Gerät des Nutzers.

Die fünfte Verordnung legt einen Rahmen für die Zertifizierung fest. Auch hier habe man einen Schwerpunkt auf den Datenschutz gelegt, hebt die Kommission hervor. Sie ist überzeugt: "Digitale Brieftaschen werden privaten Nutzern und Unternehmen eine universelle, vertrauenswürdige und sichere Möglichkeit bieten, sich beim grenzüberschreitenden Zugang zu öffentlichen und privaten Dienstleistungen auszuweisen". Beispiele seien die Eröffnung eines Bankkontos, Altersnachweise, die Anmietung eines Autos oder die Ausstellung von Flugtickets. Die Durchführungsverordnungen sollen zeitnah im EU-Amtsblatt veröffentlicht und 20 Tage später in Kraft treten. Hierzulande läuft ein Wettbewerb, um Prototypen für EUid-Wallets zu programmieren.

(nen)