Europa bekommt ein neues digitales Identitätssystem für alle Bürger:innen. Wird die EU ein globales Vorbild in diesem wichtigen Bereich werden? Wird Europa Goldstandards für den Schutz von sensiblen Userdaten und digitalen Identitäten bzw. Geldbörsen setzen? Im Gegensatz zu diesen frühen Versprechen mussten Datenschutzverbände allerdings letzten Dezember vor den beispiellosen Risiken und Mängeln der neuen europäischen digitalen Identität warnen. Denn die vom Rat der EU repräsentierten Mitgliedsstaaten haben sich geweigert, die sensiblen Gesundheits-, Finanz- und Identitätsdaten aller Europäer:innen zu schützen. Mit dem Vorschlag des Rats könnte sich kein:e Nutzer:in mehr darauf verlassen, dass ihre hochsensiblen Daten, die sie dieser digitalen Geldbörse anvertraut, und ihr Nutzungsverhalten vor Überwachung sicher sind.

Es gibt noch Hoffnung

Noch gibt es allerdings Hoffnung für ein inklusives und sicheres digitales Identitätssystem; und die liegt beim Europaparlament. Um den Schutz der Grundrechte zu gewährleisten, muss das Parlament seine starke Position zu Sicherheitsmaßnahmen für die Privatsphäre in der Verordnung beibehalten, die die Zivilgesellschaft und Wissenschaft schon lange einfordern. Um auf die potenziell schweren Folgen des digitalen Ausweises aufmerksam zu machen – sollte das System leichtfertig ohne richtigen Schutz eingeführt werden – und die daher nötigen Sicherheitsmaßnahmen, haben 39 NGOs, Wissenschaftler:innen und unabhängige Expert:innen aus der ganzen Welt einen offenen Brief an Mitglieder des Europäischen Parlaments (MEPs) geschickt. In diesem Brief mahnen sie die EU, ihre Verantwortung für den Schutz von hochsensiblen Daten aller Europäer:innen wahrzunehmen.

Echte Wahlmöglichkeit & Datensicherheit

Jede Person muss die echte Wahl haben, ob sie die neue digitale Identität benützen möchte oder nicht. Ohne starke Antidiskriminierungsmaßnahmen in der neuen Verordnung werden diejenigen zurückgelassen, die den neue digitalen Ausweis nicht benutzen können oder wollen. Niemand sollte einen Nachteil haben, nur weil sie oder er z.B. kein Smartphone hat. Diejenigen, die sich hingegen für die digitale Identität entscheiden, sollten sicher sein können, dass niemand ausspioniert, wo bzw. bei welchen Services sie ihre Geldbörse benutzen oder welche Information sie damit teilen – weder Regierungen, noch private Unternehmen.

Privacy by Design

Die NGOs und Expert:innen rufen die Mitglieder des Europaparlaments daher dazu auf, die Prinzipien „Privacy by Design“ und „Privacy by Default“ einzuhalten. Diesen wichtigen Grundsätzen nach darf es technisch gar nicht möglich sein, dass Unternehmen oder Behörden beobachten können, wann und wo jede einzelne Person ihre digitale Geldbörse benutzt oder welche weiteren Informationen sie enthält – z.B. über ihr Bildungs- oder Finanzleben. Wenn das nicht gewährleistet ist, läuft das digitale Identitätssystem Gefahr, ein beispielloses Panoptikon für hochsensible Daten aller Bürger:innen zu werden. Die EU sollte daher dem guten Beispiel des europäischen digitalen COVID-Zertifikats folgen. Dieses enthält nämlich die nötigen Sicherheitsmaßnahmen für die Privatsphäre, um das Verhalten seiner Nutzer:innen vor Beobachtung und Überwachung durch Staaten und Unternehmen zu schützen.

Keine eindeutige Identifikationsnummer

Ein „lifelong unique identifier“, also eine mögliche Personenkennzahl, die alle Bürger:innen in der EU lebenslang haben, ist ein weiteres Szenario, das es unbedingt zu verhindern gilt. Es würde vehement dem Prinzip von „Privacy by Design“ widersprechen, ein Prinzip, das immerhin in der EU-weit gültigen DSGVO festgeschrieben ist.

Eine solche universelle Identifikationsnummer würde nicht nur die Privatsphäre in sehr sensiblen Bereichen des Alltags untergraben, sondern wäre sogar problematisch in Hinblick auf die Verfassung einiger EU-Staaten. Nur wenn diese ernste Bedrohung ausgeschlossen wird, kann der digitale Ausweis eine echte, privatsphärefreundliche Alternative zu den vorherrschenden Log-in-Services von Big-Tech-Unternehmen für verschiedene Websites werden.

Zugriffsregulierung & Netzsicherheit

Um das exzessive Sammeln von Daten durch Unternehmen und Regierungen zu verhindern, muss sich das Parlament auch für eine strenge Regulierung von Anwendungsfällen (Use-Cases) und Autorisierungsmechanismen starkmachen – das heißt, die Regulierung davon, wer von einer bestimmten Nutzerin oder einem Nutzer welche Informationen in ihrer oder seiner digitalen Geldbörse anfragen darf. Neben rechtmäßigen Anfragen muss auch ein starker Schutz gegen illegale Angriffe auf diese riesige Sammlung von Identitäts-, Finanz- und Gesundheitsdaten bedacht werden, genauso wie effektive Rechtshilfemechanismen in potenziellen Betrugsfällen.

Einigung im Industrieausschuss

Inzwischen hat sich gestern der führende ITRE-Ausschuss im EU-Parlament auf eine Position bei der eIDAS-Verordnung geeinigt. Hier sind unsere ersten Hot-Takes zum aktuellen Stand im Parlament:

The lead ITRE committee has reached a conclusion on the big EU digital identity reform (#eIDAS regulation). Here is our hot take on the compromise agreement that will be voted on on 9. February.

✅ Discrimination protections are strong and cover public & private services. No natural person can be worse off for not using the digital identity, also in the labour market or commercial sphere.
✅ The European Digital Identity (EUID) Wallet has to be open source.

✅ Governments & attribute providers are prevented by technical means from observing concrete user behaviour. This provision was exclusive LIBE competency.
❓ Although, a privacy dashboard is to contain all user transactions and with explicit consent there can be cloud backups.

✅ Relying parties must register their use cases & identify before being allowed to ask users for info via the wallet. The list of relying parties is public.
❌ Those registrations only need to be ex-ante approved when asking for special categories of data (e.g. health).

✅ Intermediaries that stand between users and relying parties shall not obtain knowledge about the contents of the transaction.

❌ No technical assurance that relying parties can’t go beyond their registered use case.
✅ Users can complain about overreaching info requests. Explicit mention of data minimalism.
❌ Complaints ONLY go to the to the national authority of the relying party’s member state.

✅ Users have a right to pseudonymity in cases where identification is not mandated by law.
✅ Users have the right for data portability between wallets. But wallets need to be issued on behalf of a member state.

✅ Unique identifiers are no longer persistent – also in the PID minimum data set. That is a huge win!
✅ They are limited to cross-border cases for public services that have a legal KYC requirement.
❌ They can also be sector-specific instead of only relying-party-specific.

❓E-government services & Very Large Online Platforms (Google, Facebook,…) are obliged to support the wallet.
✅ Only companies with legal KYC requirements are forced to use the wallet, TOS are out. SMEs will be under a self-regulatory regime, but that‘s no longer binding.

✅ Zero knowledge proof & selective disclosure are core functions of the wallet.
❌ Nothing besides the principle of data minimalism obliges relying parties to use these privacy friendly methods instead of asking for full date of births, addresses, etc.

❌ QWACs are still in the text & every web browser must include TSPs in their root CA store. That enables www traffic interception & mass surveillance.
❓ Browsers can exclude individual certs in cases of substantiated breaches of security or privacy. That’s not sufficient!

✅ Articles giving legal effect to distributed ledgers (blockchain) have been removed.
✅ Minimum penalties for offences of TSPs are 7-10 million or %-revenue of global turnover.
❌ Some penalties can be freely set by states, those will be disproportionate & not dissuasive.

✅ A European Digital Identity Framework Board will help with harmonised enforcement.
❌ Regulators don’t have to be independent agencies.
❌ Their mandate is unclear. Not enough lessons are drawn from the GDPR enforcement failures. The “Irish-problem” is not resolved.

❓ Security hinges strongly on certifications. Gov issued wallets are certified by other branches of that same government. If there ever is a breach, the damage will be enormous. We’re sure many will try. Privacy breaches oblige the wallet to be put out of service.

Once this compromise passes ITRE, the plenary will vote in March. We hope, some of these points can be addressed with amendments. There is still room for improvement before Trialog begins later this year.