eIDAS: Vertrauensbruch statt Datenschutz
Seit Juni 2021 verfolgen wir die eIDAS-Reform und haben den Gesetzgebern schon zahlreiche Inputs geliefert. Im Februar 2024 hat das EU-Parlament die eIDAS-Verordnung verabschiedet, die den Rahmen für eine „European Digital Identity Wallet“ schafft. Diese digitale Wallet soll es den Bürger:innen ermöglichen, sich sowohl online als auch offline rechtlich verbindlich auszuweisen, Dokumente zu unterschreiben, sich auf Websites anzumelden und persönliche Daten zu teilen. Jetzt hat die Europäische Kommission die technischen Leitlinien zur Umsetzung veröffentlicht – das Architectural Reference Framework (ARF) 1.4.
Der Erfolg der europäische Wallet hängt davon ab, ob das Vertrauen der Bürger:innen gewonnen und eine belastbare Infrastruktur in unserer datengetriebenen Wirtschaft geschaffen werden kann. Unsere Analyse zeigt aber, dass dieses Ziel leider völlig verfehlt wurde. Wir sehen gravierende Mängel im ARF, die entweder der Verordnung widersprechen oder wichtige Elemente davon einfach ignorieren. Wenn diese massiven Probleme ungelöst bleiben, werden die Rechte und die Privatsphäre der Nutzer:innen erheblich beeinträchtigt. Wir fordern die Europäische Kommission auf, diese kritischen Punkte zu beheben:
„Pseudonymität“
Ein zentraler Aspekt des Datenschutzes ist die Fähigkeit, Pseudonyme zu verwenden. Wenn Nutzer:innen nicht gesetzlich verpflichtet sind ihre wahre Identität auszuweisen, gibt die eIDAS-Verordnung ihnen das Recht, nicht ihren echten Namen angeben zu müssen. Das ARF führt jedoch das Konzept eines „Pseudonym-Anbieters“ ein, das in der Verordnung überhaupt nicht erwähnt wird. Dieser Anbieter könnte Pseudonyme mit der echten Identität der Nutzer:innen verknüpfen. Die vorgeschlagene Implementierung erlaubt Strafverfolgungsbehörden sogar, Pseudonyme nachträglich mit der rechtlichen Identität zu re-identifizieren. So wird nicht nur der Zweck der Pseudonymität untergraben, sondern auch die Möglichkeit für Massenüberwachung geschaffen. Diese Überwachungslücke ist in der eIDAS-Verordnung nicht vorgesehen, sondern wurde uns durch ein geleaktes Dokument zugespielt.
Ausufernde Datenanforderung
Gemäß der eIDAS-Verordnung müssen Parteien die auf von der Wallet bereitgestellten Daten vertrauen (sogenannte relying parties) registriert sein. Zusätzlich müssen sie alle Arten von Informationen angegeben, die sie von ihren Nutzer:innen anfordern möchten. So soll übermäßige Datenanforderungen verhindert und die Privatsphäre geschützt werden. Das ARF setzt diese Anforderung aber nicht ausreichend durch. Es erlaubt relying parties auch Informationen anzufordern, die nicht in ihrer Registrierung aufgeführt sind. Das öffnet die Tür zu unbefugten Datenanforderungen und untergräbt das Vertrauen in das digitale Identitätssystem. Wir könnten also beim Einkaufen im Supermarkt oder auch bei der Nutzung öffentlicher Verkehrsmittel nach sensiblen Gesundheitsinformationen gefragt werden.
Unvollständiger Transaktionsverlauf
Das ARF versäumt es, stornierte Transaktionen in im Transaktionsverlauf der Nutzer:innen aufzuführen. Laut Artikel 5a(4)(d)(i) der Verordnung soll der Transaktionsverlauf „alle ausgetauschten Daten“ umfassen, was also auch stornierte Transaktionen einschließen würde. Durch das Auslassen dieser Daten wird den Nutzer:innen eine vollständige Aufzeichnung ihrer Interaktionen vorenthalten, die für Transparenz und Rechenschaftspflicht wesentlich wäre. Die Informationsanfragen, die Nutzer:innen ablehnen, könnten die sensibelsten sein.
Keine Standardisierung von Löschanfragen oder Beschwerden
Die Verordnung schreibt vor, dass Nutzer:innen die Löschung ihrer Daten von den relying parties verlangen können. Das ARF spezifiziert diese Funktion jedoch nicht ausreichend und überlässt die Umsetzung den nationalen Behörden, ohne einen standardisierten, grenzüberschreitenden Prozess sicherzustellen. Diese fehlende Standardisierung könnte zu einer inkonsistenten Durchsetzung der Nutzerrechte in den verschiedenen EU-Ländern führen. Das könnte es den Nutzer:innen erschweren, ihre Rechte effektiv auszuüben.
Fehlende Unbeobachtbarkeit & Unverknüpfbarkeit
Unbeobachtbarkeit ist ein wesentliches Datenschutzprinzip, das sicherstellt, dass die Aktivitäten der Nutzer:innen nicht über das notwendige Maß hinaus verfolgt oder überwacht werden können. Im ARF wird dieses Erfordernis überhaupt nicht erwähnt, was ermöglicht, dass Anbieter Daten über Nutzerverhalten sammeln und missbrauchen. Diese Auslassung stellt ein erhebliches Datenschutzrisiko dar und widerspricht der Absicht der Verordnung, die Daten der Nutzer:innen zu schützen.
Das gleiche Problem gilt für die Unverknüpfbarkeit. Die Verordnung verlangt, dass Transaktionen nicht auf die Nutzer:innen zurückgeführt werden können. Das aktuelle ARF erfüllt diesen Standard nicht. Es basiert auf Technologien, die keine ausreichenden Unverknüpfbarkeitsgarantien bieten. Dieses Versäumnis untergräbt die Privatsphäre der Nutzer:innen und entspricht nicht den Anforderungen der eIDAS-Verordnung.
Überwachung auf Eigeninitiative
Beunruhigenderweise scheint das ARF auf eigene Initiative Überwachungselemente einzuführen. Das Konzept eines Pseudonym-Anbieters, der Pseudonyme mit echten Identitäten verknüpfen kann, ist ein solches Beispiel. Diese Ergänzung ist in der Verordnung nicht vorgesehen und stellt eine unnötige und gefährliche Ausweitung der Überwachungsfähigkeiten dar. Das ist eine erhebliche Bedrohung für die Privatsphäre der Nutzer:innen und schwächt so das Vertrauen der Bürger:innen in die europäische Wallet.
Was muss geändert werden?
Um das ARF mit der eIDAS-Verordnung in Einklang zu bringen und einen stabilen Datenschutz zu gewährleisten, müssen folgende Änderungen implementiert werden:
-
Das Konzept des Pseudonym-Anbieters muss entfernt werden. Pseudonyme müssen lokal generiert und gespeichert werden, ohne die Möglichkeit, sie mit echten Identitäten zu verknüpfen.
-
Durchsetzung strenger Anforderungen an die Registrierung von relying parties, um unbefugte Informationsanforderungen zu verhindern.
-
Stornierte Transaktionen müssen in die Transaktionshistorie, um eine vollständige Aufzeichnung der Nutzerinteraktionen zu gewährleisten.
-
Implementierung von standardisiertem, grenzüberschreitenden Prozess für Löschanfragen und Datenschutzbeschwerden, um einen konsistenten Schutz der Nutzerrechte zu gewährleisten.
-
Integration von Maßnahmen zur Unbeobachtbarkeit, um zu verhindern, dass Wallet-Anbieter die Aktivitäten der Nutzer:innen verfolgen.
-
Verwendung von modernen datenschutzfreundlichen Technologien, um Unverknüpfbarkeit und Zero-Knowledge-Beweise sicherzustellen.
-
Entfernung aller Überwachungselemente, die durch das ARF eingeführt wurden und nicht in der eIDAS-Verordnung vorgeschrieben sind.
Fazit
Das eIDAS ARF 1.4 soll den Rahmen für die Europäische Digitale Identitäts-Wallet bereitstellen. Um den Anforderungen der Verordnung überhaupt gerecht zu werden und die höchsten Datenschutzstandards einzuhalten, muss es aber dringend überarbeitet werden. Der aktuelle Entwurf führt unnötige Überwachungselemente ein und gefährdet die Privatsphäre der Nutzer:innen. Nur durch die Umsetzung unserer wichtigen Empfehlungen kann die Wallet das Vertrauen der Bürger:innen gewinnen und ein sicheres und datenschutzfreundliches digitales Identitätssystem in Europa aufbauen.
Da du hier bist!
… haben wir eine Bitte an dich. Für Artikel wie diesen analysieren wir Gesetzestexte, bewerten Regierungsdokumente oder lesen Allgemeine Geschäftsbedingungen (wirklich!). Wir sorgen dafür, dass möglichst viele Menschen sich mit komplizierten juristischen und technischen Inhalten befassen und auch verstehen, dass sie große Auswirkungen auf unser Leben haben. Diese Arbeit machen wir aus der festen Überzeugung, dass wir gemeinsam stärker sind als alle Lobbyisten, Machthabende und Konzerne. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!
Jetzt Fördermitglied werden