Stell dir vor, jemand überreicht dir ein wunderschön verpacktes Geschenk, nur damit du wenig später feststellen musst: die Box ist leer. So fühlte sich das Versprechen der Kommission an, die Nutzer:innen in der europäischen eID-Brieftasche zu schützen. Sorgfältig präsentiert, um Vertrauen aufzubauen, wurde es ebenso schnell wieder zurückgezogen. Dieser Taschenspielertrick weckt nicht nur den Anschein von Täuschung, er untergräbt auch das Vertrauen, dass es überhaupt ein ernsthaftes Engagement für den Schutz der Nutzer:innen gegeben hatte.

Erst Mitte November feierten wir einen wichtigen Meilenstein bezüglich der kommenden europäischen eID. Das ist entscheidend, denn wir sind nun in der heißen Phase, in der die inneren Abläufe und technischen Sicherheitsvorkehrungen unter der Haube der digitalen Brieftasche durch Durchführungsakte definiert werden. Der erste Satz dieser Durchführungsakte wurde bereits am 21. November 2024 angenommen: Nach umfangreichen Debatten mit den Mitgliedstaaten und der EU-Kommission, mehreren Analysen und vorgeschlagenen Änderungen folgten die Verhandler:innen unserer Empfehlung: Die Bürger:innen erhielten endlich die Garantie, gewarnt zu werden, wenn ein Dienst illegal versucht, übermäßig Daten aus ihrer digitalen Brieftasche abzufragen. Nur zwei Wochen später jedoch machte die Kommission diese wichtige Verbesserung mit einem rechtlichen Trick bedeutungslos.

Eine große Verbesserung zum Schutz der Bürger:innen...

Stell dir vor, deine Lieblings-Social-Media-Plattform fordert plötzlich jedes Mal, wenn du dich anmeldest, Zugriff auf deine Gesundheitsdaten – Informationen, die eindeutig nicht notwendig sind, um den Dienst bereitzustellen. Wenn die Plattform gemäß ihrem Registrierungszertifikat also nur berechtigt ist, auf deinen Namen und deine E-Mail-Adresse zuzugreifen, ist so eine überbordende Anfrage illegal. Im Fall so eines rechtswidrigen Versuchs auf deine Daten zuzugreifen würdest du – gemäß dem ersten Satz an Umsetzungsvorgaben für die Wallet – über das illegale Verhalten der Social-Media-Plattform gewarnt werden. Diese Warnung gibt dir zumindest die Möglichkeit, deine Rechte auszuüben und solche illegalen Informationsanfragen abzulehnen.

So weit so gut – Bevor wir aber darauf eingehen, wie die EU-Kommission diese wichtige Sicherheitsvorkehrung bedeutungslos macht, möchten wir zumindest einen weiteren wichtigen Schritt in Richtung einer sicheren digitalen ID anerkennen, der durch diesen ersten Satz von Umsetzungsvorgaben gewährleistet wird. Die offizielle Veröffentlichung dieser ersten Reihe an technischen Vorgaben am 28. November 2024 markiert den Beginn der zweijährigen Umsetzungsfrist. Das bedeutet, dass die EU-Mitgliedstaaten bis zum 28. November 2026 mindestens eine eIDAS-Wallet für ihre Bürger:innen bereitstellen müssen.

Die Informationen darüber, wie und wo du deine Brieftasche verwendest – beim Arzt, beim Online-Login, um öffentliche Verkehrsmittel zu nutzen, wann immer du deine Identität nachweist usw. – bleiben auf deinem Gerät. Das verhindert, dass der Walletanbieter das Alltagsleben der Nutzer:innen ausspionieren kann, wo persönliche Informationen nicht für das Funktionieren der Wallet notwendig sind oder der Nutzer nicht seine ausdrückliche Zustimmung gegeben hat.

Außerdem hat die Kommission auf uns gehört indem sie den Bürger:innen ermöglicht Informationsanfragen abzulehnen oder nur teilweise zu beantworten. Wenn ein Dienst deine vollständigen ID-Informationen verlangt, kannst du z.B. nur deinen Namen offenlegen, ohne dein Geburtsdatum oder andere Daten zu teilen, oder du kannst die Anfrage ganz ablehnen.

Bei der Umsetzung des Rechts auf die Verwendung eines Pseudonyms gibt es jedoch erhebliche Mängel. Außerdem hat die Kommission plötzlich zwei weitere optionale eindeutige Identifikatoren zur Wallet hinzugefügt, ohne dass ein klarer Bedarf besteht (E-Mail und Telefonnummer). Mehr über Erfolge und Mängel in der ersten Reihe an technischen Vorgaben für Europas digitale ID:

Unsere Schnellanalyse (EN)

… aufgehoben durch einen Taschenspielertrick der EU-Kommission

Und nun zum frustrierenden Teil: Nur zwei Wochen nachdem die EU-Kommission sich verpflichtet hatte, die Bürger:innen vor übermäßigen Datenanforderungen zu schützen, macht sie diese wichtige Verbesserung mit einem rechtlichen Trick bedeutungslos.

Um zu überprüfen, ob deine Lieblings-Social-Media-Plattform übermäßige Daten anfordert, muss deine Wallet natürlich wissen, auf welche Art von Daten die Plattform überhaupt zugreifen darf. Hier kommen die sogenannten „Registrierungszertifikate“ ins Spiel. Diese Zertifikate, die von den EU-Mitgliedstaaten ausgestellt werden, ermöglichen es deiner digitalen Brieftasche, automatisch zu prüfen, auf welche Informationen ein bestimmter Dienst (z.B. eine Online-Plattform, ein öffentliches Verkehrsunternehmen, deine Ärztin usw.) zugreifen darf – also z.B. nur auf deinen Namen oder vielleicht auch deine Adresse und dein Geburtsdatum oder deine Bildungszertifikate. So kann die Wallet auch feststellen, ob die Anfrage illegal ist.

Alarmierender Weise macht die Kommission diese Registrierungszertifikate im aktuellen zweiten Satz von Vorgaben für die eID plötzlich optional. Das bedeutet, dass jeder Mitgliedstaat entscheiden kann, ob Unternehmen, Regierungen und andere Stellen innerhalb ihrer Zuständigkeit überhaupt verpflichtet sind, die Informationen bereitzustellen, welche Datenkategorien sie von den Nutzer:innen anfordern möchten. Die Kommission entfernt damit im Wesentlichen die verpflichtende automatische Überprüfung illegaler Datenanforderungen. Damit könntest du nicht mehr feststellen, ob „keine Warnung von der Wallet“ bedeutet, dass z.B. eine Abfrage deines Geburtsdatums durch einen Online-Shop rechtmäßig ist oder ob es einfach bedeutet, dass das Land, in dem der Onlineshop angesiedelt ist, einfach keine Registrierungszertifikate verlangt und die Anfrage möglicher Weise illegal ist.

Schlupflöcher zur Umgehung automatischer Überprüfungen

Das bedeutet auch, dass Unternehmen, die auf deine Daten zugreifen möchten, dieser automatischen Überprüfung entkommen können. Vielleicht hat dein Wohnsitzland die Zertifikate umgesetzt, die notwendig sind, damit dich deine Wallet über illegale Datenanforderungen warnen kann oder sie sogar automatisch herausfiltert. Deine Lieblings-Social-Media-Plattform könnte sich jedoch in einem anderen Land befinden, das sich entschieden hat, solche Registrierungszertifikate nicht auszustellen, und es deiner Wallet damit unmöglich macht, dich zu schützen.

Es besteht kein Zweifel, dass ein Land wie Irland – das dafür bekannt ist, EU-Recht gegen internationale Unternehmen nicht durchzusetzen – Facebook Irland erlauben würde, von den Nutzer:innen alles zu verlangen, indem es einfach dieses Schlupfloch nutzt. Ohne verpflichtendes Registrierungszertifikat könnte das soziale Netzwerk problemlos alle gewünschten Daten erhalten. Kein Land könnte damit seine Bürger:innen vor illegalen Informationsanfragen aus anderen EU-Ländern schützen. Das untergräbt das Vertrauen in grenzüberschreitende Interaktionen und in weiterer Folge das gesamte eIDAS-Ökosystem – wodurch das eID-Projekt von Anfang an zum Scheitern verurteilt wäre.

Registrierungszertifikate müssen verpflichtend sein

Wie wir sehen können, macht die EU-Kommission unseren hart erkämpften Schutz aus dem ersten Satz von Durchführungsakten nur zwei Wochen später mit dem zweiten Satz völlig obsolet. Das ist nicht nur frustrierend für Datenschutzbefürworter – es bringt die Nutzer:innen tatsächlich in Gefahr und widerspricht direkt dem Kernziel der eIDAS-Verordnung: umfassendes Vertrauen in das EU-System der digitalen Identität zu fördern. Wenn die EU-Kommission weiterhin so handelt, riskiert sie das Vertrauen der Nutzer:innen in die digitale ID zu untergraben und die Brieftasche selbst überflüssig zu machen.

Wir sprechen uns daher entschieden gegen die Annahme des Vorschlags der EU-Kommission aus und plädieren dafür, die Registrierungszertifikate für Services in allen EU-Mitgliedstaaten obligatorisch zu machen.

Lies die ganze Analyse (EN)