eID

Wir kämpfen unablässig für die Rechte und den Schutz der Nutzer:innen in der kommenden eID-Wallet. Doch der jüngste Entwurf der Durchführungsrechtsakte lässt uns einmal mehr zwiegespalten zurück. Einerseits hat die Kommission wichtige Schutzmechanismen angepasst, die wir kürzlich in einem offenen Brief gefordert haben, gleichzeitig lasst sie datenschutzfeindliche Relikte wieder aufleben.

Der Weg zu einer nutzerfreundlichen und sicheren europäischen eID bleibt holprig. Nachdem wir in der eIDAS-Verordnung mehrere Schutzmechanismen durchsetzen konnten, versucht die Kommission diese jetzt bei der technischen Umsetzung zu umgehen.

Letzte Woche haben wir einen offenen Brief veröffentlicht und die Kommission aufgefordert, gefährliche Schlupflöcher zu schließen, die zu ernsthaften Datenschutz- und Transparenzproblemen führen würden.

Kurz danach hat uns der aktualisierte Durchführungsrechtsakt erreicht. Zuerst schien der neueste Entwurf ein Schritt in die richtige Richtung zu sein - bis wir völlig neue Schwachstellen entdeckten, die nicht nur die Privatsphäre der Nutzer:innen gefährden, sondern auch der Einigung des Europäischen Parlaments eindeutig widersprechen.
 

Ein Schritt Richtung Datenschutz…

Die gute Nachricht: Unser offener Brief hat gewirkt! Nachdem wir uns gemeinsam mit 14 anderen Organisationen an die Kommission gewandt haben, hat sie entscheidende Schutzmaßnahmen eingeführt. Unser größter Erfolg: Registrierungszertifikate sind jetzt verpflichtend für alle EU-Mitgliedstaaten. Nur so kann die Wallet überprüfen, wer berechtigt ist, welche Informationen von Nutzer:innen abzufragen.

Das bedeutet, dass jede sog. „vertrauende Partei“ (Unternehmen, Staat oder wer auch immer über die Wallet Informationen abfragt) die Kategorien von Daten (Name, Geburtsdatum, Gesundheitsdaten, ...) registrieren muss, die sie abfragen möchte. Nur so kann die Wallet die Nutzer:innen zuverlässig vor zu weit gehenden Anfragen warnen und Klarheit und Sicherheit für ein vertrauenswürdiges eIDAS-Ökosystem schaffen.

Mehr dazu in unserem Blogpost: 

Zivilgesellschaft fordert: EU-Kommission muss Schlupflöcher in der eID schließen!
 

...und gleich zwei wieder zurück

Wie mittlerweile zu erwarten, folgt auf jeden Erfolg für den Datenschutz im Rahmen der eIDAS-Durchführungsbestimmungen ein neues Schlupfloch. So auch diesmal.

Der neueste Entwurf der Kommission:

Untergräbt die Transparenz

Eine tragende Säule von Vertrauen im eIDAS-Ökosystem ist das öffentliche Register der vertrauenden Parteien. Dieses Register ist entscheidend, um die Kontrolle durch öffentliche Akteure zu ermöglichen und Transparenz zu gewährleisten. Das derzeitige System macht es jedoch fast unmöglich, sich einen aussagekräftigen Überblick darüber zu verschaffen, wie vertrauende Parteien digitale Identitäten nutzen - und untergräbt damit den eigentlichen Zweck eines Transparenzregisters.

Hindert das Recht auf Pseudonyme

Im aktuellen Entwurf der Durchführungsrechtsakte wird nicht klar zwischen Fällen unterschieden, in denen eine vertrauende Partei rechtlich verpflichtet ist, Wallet-Nutzer zu identifizieren, und anderen Situationen, in denen eine solche Identifizierung optional ist. Praktisch gesehen weiß die Wallet nicht, ob sie mit einer Bank interagiert, die gesetzlich verpflichtet ist zu wissen, wer ihre Kunden sind, oder mit Facebook, das kein Recht hat, uns zu identifizieren oder zu verfolgen.

Das Recht auf Verwendung von Pseudonymen hängt von dieser Unterscheidung ab. Daher ist es von zentraler Bedeutung, dass die vertrauenden Parteien ausdrücklich angeben, ob eine gesetzliche Identifizierungspflicht für sie gilt und auf welcher Rechtsgrundlage. Dieser Mangel an Klarheit hebt das Recht auf Pseudonymität auf und macht seine Durchsetzung nahezu unmöglich.

Führt eindeutigen Identifikator (wieder) ein

Noch besorgniserregender sind die umstrittenen Änderungen, die hinter verschlossenen Türen vorgenommen wurden, nachdem der öffentliche Konsultationsprozess bereits abgeschlossen war, und zwar auf ausdrücklichen Wunsch mächtiger Branchenvertreter. Diese Änderungen führen einen eindeutigen, dauerhaften Identifikator wieder ein und dehnen seinen Anwendungsbereich auf den privaten Sektor aus. Nutzer:innen soll so eine lebenslange, unveränderliche digitale Identitätsnummer zugewiesen werden.

Dieser Vorschlag widerspricht eindeutig der eIDAS-Verordnung. Das Europäische Parlament hat bereits eine klare rote Linie gegen eine solche Identifikationsnummer gezogen - jetzt wird sie auf undemokratische Weise durch einen Durchführungsrechtsakt wieder eingeführt.

Diese Datenschutz- und Transparenzmängel untergraben das Vertrauen in das eIDAS-Ökosystem und den gesamten demokratischen Prozess. Sie müssen dringend behoben werden.
 

Schlupflöcher müssen geschlossen werden: Konkrete Lösungen

Um diese Lücken zu schließen und die bestmöglichen Voraussetzungen für die Sicherheit der eIDAS- Wallet zu schaffen, haben wir der Europäischen Kommission eine detaillierte Stellungnahme vorgelegt, in der wir unsere Bedenken darlegen und konkrete Lösungen vorschlagen.

Zur ganzen Analyse (EN)

Da du hier bist!

… haben wir eine Bitte an dich. Für Artikel wie diesen analysieren wir Gesetzestexte, bewerten Regierungsdokumente oder lesen Allgemeine Geschäftsbedingungen (wirklich!). Wir sorgen dafür, dass möglichst viele Menschen sich mit komplizierten juristischen und technischen Inhalten befassen und auch verstehen, dass sie große Auswirkungen auf unser Leben haben. Diese Arbeit machen wir aus der festen Überzeugung, dass wir gemeinsam stärker sind als alle Lobbyisten, Machthabende und Konzerne. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!

Jetzt Fördermitglied werden

Ähnliche Artikel:

Gesundheit, Finanzen, Online-Verhalten: Digitale IDs sind im Begriff, ein integraler Bestandteil sehr sensibler Aspekte unseres Lebens zu werden. Gemeinsam mit einer internationalen Koalition machen wir deutlich: Bürger:innen werden der Europäischen Digitalen ID Wallet kein Vertrauen schenken, wenn…

eID

Ein ereignisreiches und erfolgreiches Jahr: Das war 2024 in der Netzpolitik.

Bildung , Bundestrojaner , Datenschutz und Privatsphäre , Digitaler Euro - Bargeld , eID , Gesichtserkennung , Internal , IT-Sicherheit , KI , Netzneutralität , Plattformregulierung , Rechtsstaat , Transparenz/Open Government , Überwachung , UN-Cybercrime-Convention , Whistleblowing

Nachdem die Europäische Kommission sich verpflichtet hatte, Nutzer:innen vor übermäßigen Datenabfragen in der europäischen eID zu schützen, untergräbt sie diese wichtige Verbesserung nur zwei Wochen später mit einem rechtlichen Taschenspielertrick.

eID

Bildung , Bundestrojaner , Chatkontrolle , AMS , COVID-19 , Datenschutz und Privatsphäre , Digitaler Euro - Bargeld , eID , Gesichtserkennung , HEAT , IT-Sicherheit , KI , Netzneutralität , Plattformregulierung , PNR , Rechtsstaat , Staatsschutzgesetz , Transparenz/Open Government , Überwachung , Überwachungspaket , UN-Cybercrime-Convention , Urheberrecht , Vorratsdatenspeicherung

Unsere Bemühungen, die schlechten Vorschläge für eine europäische eID-Einführung scheitern zu lassen, konnten eine Sperrminorität der EU-Mitgliedstaaten in der Ausschusssitzung überzeugen. Die Kommission hat erkannt, dass sie unter den Mitgliedstaaten keine Mehrheit für ihren Vorschlag finden würde…

eID

Vom Arztbesuch bis zum Fahrschein für öffentliche Verkehrsmittel: Die europäische eID wird unsere sensibelsten persönlichen Daten in einer Vielzahl von alltäglichen Anwendungen verarbeiten. Doch Schnelligkeit scheint der Europäischen Kommission wichtiger zu sein als ein gut funktionierendes und…

eID