eIDAS: Ob die digitale Brieftasche in zwei Jahren kommt, ist fraglich​

Geht es nach der EU-Kommission, sollen ab Herbst 2026 alle EU-Bürger und -Bürgerinnen eine europäische digitale Brieftasche nutzen können. Am Dienstag musste die EU-Kommission allerdings eine wichtige Abstimmung verschieben. Einzelne Regierungen und Bürgerrechtler kritisieren das Vorhaben in seiner derzeitigen Form. Für keinen der fünf Entwürfe, die die Kommission vorgelegt hatte, zeichnete sich im eIDAS-Komitee eine Mehrheit ab. Das Komitee besteht aus je einem Vertreter der einzelnen EU-Mitgliedsstaaten.

In den fünf Dokumenten, den Entwürfen für sogenannte Durchführungsrechtsakte, werden Anforderungen technischer und organisatorischer Natur benannt, die die Anbieter und Betreiber der geplanten digitalen Brieftasche einhalten sollen: Da geht es etwa um Funktionen, technische Zertifizierungen und Protokolle.

Alarmierende Mängel

Lange zuvor gab es bereits Kritik von Bürgerrechtsverbänden und Experten: Die technischen Vorgaben, die in den Entwürfen formuliert werden, wiesen alarmierende Mängel auf, warnten diese im August in einem offenen Brief.

Auch aus der Bundesregierung kam Kritik: Ende August äußerten Stefan Schnorr, Staatssekretär im Digitalministerium und der Beauftragte der Bundesregierung für Informationstechnik Markus Richter in einem Brief an den damaligen EU-Binnenmarktkommissar Thierry Breton Sorge über die Gründlichkeit und Qualität der technischen Spezifikationen und der Durchführungsbestimmungen.

Zusammen mit Vertretern aus Frankreich, den Niederlanden und Spanien hat Deutschland Alternativentwürfe für die Durchführungsrechtsakte verfasst und an die EU-Kommission geschickt. Sie fokussieren die Themenbereiche Sicherheit, Datenschutz und Interoperabilität stärker sowie Zertifizierungen und die Einhaltung von Normen. Daraufhin wurden die Entwürfe überarbeitet und die Abstimmung vertagt.

Eine Sprecherin der Kommission sagte gegenüber Netzpolitik, man halte an dem Ziel fest, die Durchführungsrechtsakte bis zum 21. November 2024 zu beschließen. Dabei wolle man eine möglichst umfassende Einigung zwischen den Mitgliedsstaaten erzielen. Insgesamt gibt es 40 solcher Akte, bisher standen laut Netzpolitik nur fünf davon auf einer Sitzungsagenda.

In der Kritik stand die eIDAS-Novelle bereits im vergangenen Jahr. Neben der digitalen Brieftasche umfasst die Neufassung der Verordnung auch das Thema Webseitenauthentifizierung, also das Verfahren, mit dem Browser und Server eine verschlüsselte Verbindung aushandeln. Die Novelle will sogenannte Qualified Website Authentication Certificates (QWAC) vorantreiben, indem die Browserhersteller gezwungen werden sollten, diese zu akzeptieren. In den Erwägungsgründen der Verordnung wird immerhin betont, dass Browserhersteller weiterhin "ihre eigenen Verfahren und Kriterien" anwenden dürfen, "um die Privatsphäre der Online-Kommunikation durch Verschlüsselung und andere bewährte Methoden zu wahren und zu schützen." Kritiker, darunter Mozilla und die Electronic Frontier Foundation, begrüßten die Ergänzung, andere zeigten sich weiterhin skeptisch.

(kst)