Die technische Umsetzung der europäischen digitalen Identitäts-Wallet wurde im Rat der EU abgelehnt. Formal gesehen kam es gar nicht zu einer Abstimmung, weil die Kommission erkannte, dass sie unter den Mitgliedstaaten keine Mehrheit für ihren Vorschlag bekommen würde und deshalb die Abstimmung von der Tagesordnung nahm. Seit 2021 arbeiten wir an der zugrundeliegenden Gesetzgebung (eIDAS-Verordnung). Wir freuen uns, dass die von uns im Gesetz hart erkämpften Datenschutzgarantien (noch) nicht durch schwache Durchsetzungsakte verwässert werden. 

In so genannten Durchführungsrechtsakten werden technische Spezifikationen und das Innenleben der Europäischen Wallet festgelegt. Bei der Wallet handelt es sich um eine App, die es den Bürger:innen ermöglichen soll, sich gegenüber Unternehmen und Behörden zu identifizieren und Informationen über sich staatlich zu verifizieren – um sich auf Websites anzumelden, Dokumente zu unterschreiben etc. Nach den Plänen der EU soll die Wallet zur allgegenwärtigen Plattform für die Anmeldung in sozialen Medien, für Arztbesuche, elektronische Behördendienste, öffentliche Verkehrsmittel, Bankgeschäfte und Altersverifizierung werden.

Um die jetzige Sperrminorität gegen die aktuellen Vorschläge der Kommission zu erreichen, haben wir viele Gespräche mit Gesetzgebern geführt, umfangreiche rechtliche Analysen durchgeführt und konkrete Verbesserungsvoschläge für die Durchführungsakte vorgelegt. Die künftige Kommissarin für Digitales, Henna Virkkunen, wird die Verantwortung dafür haben, die europäische Wallet für digitale Identitäten wieder so weit zu bringen, dass sie das Vertrauen der Nutzer:innen verdient.

Was bedeutet das für den Zeitplan der Wallet?

Diese (nicht-) Entscheidung bedeutet, dass der ursprüngliche Zeitplan, die Wallet den EU-Bürger:innen spätestens im November 2026 zur Verfügung zu stellen, nicht eingehalten werden kann. In der Vergangenheit führte die Ablehnung von Durchführungsrechtsakten zu Verschiebungen von etwa einem Jahr. In diesem Fall erwarten wir eine schnellere Reparatur und vielleicht eine weitere Abstimmung im November auf der Grundlage eines aktualisierten Gesetzestextes. Die zusätzliche Zeit sollte für die Verbesserung des Textes genutzt werden. Sorgfalt muss wichtiger sein als Schnelligkeit.

Am 22. Oktober wurden nur die fünf Durchführungsrechtsakte zur Abstimmung gestellt, die für den Beginn der zweijährigen Umsetzungsfrist für die Mitgliedstaaten erforderlich sind. Die meisten anderen Rechtsakte stehen (noch) nicht zur öffentlichen Konsultation, obwohl sie wichtige Teile des Gesetzes betreffen, wie die Registrierung von Unternehmen für das eIDAS-Ökosystem und das berüchtigte QWACS (Artikel 45). Darauf warten wir weiterhin.

UPDATE: Theoretisch wäre eine Abstimmung vor der obligatorischen zweiwöchigen internen Konsultationsfrist möglich, wenn die Mitgliedstaaten die Änderungen der Rechtsakte einstimmig annehmen. Damit könnte der November noch eingehalten werden.

Was können wir von der Wallet erwarten?

Welche Schutzmaßnahmen die Nutzer:innen von der neuen Europäischen Wallet für digitale Identitäten erwarten können, seht ihr in diesem Überblick. Usere Analyse basiert auf der neuesten Version der Durchführungsrechtsakte (Stand: 22. Oktober 2024).

Das Gute

Die gute Nachricht ist, dass unsere Forderung nach Unbeobachtbarkeit aufgegriffen wurde. Ganz im Sinne der eIDAS-Gesetzgebung wird der Anbieter der Wallet (häufig die Regierung) nicht in der Lage sein, Kenntnisse über konkretes Nutzerverhalten zu erlangen oder Aktivitäten zu verfolgen, wenn dies nicht unbedingt erforderlich ist oder wenn Nutzer:innen vorher ausdrücklich ihre Zustimmung gegeben haben. Dank unserer Empfehlung werden außerdem die Transaktionsprotokolle über alles, was Nutzer:innen tun, nur auf den jeweiligen eigenen Geräten und nicht in einer Cloud gespeichert.

Zweitens soll der Schutz vor Tracking und Profiling (Unverknüpfbarkeit) die User vor den spionierenden Augen von Datenmakler:innen, Kreditscoring oder Big Tech schützen. Die rechtlichen Verpflichtungen in dieser Hinsicht sind ziemlich stark. Jedoch können diese Versprechen mit den technischen Standards, die die Gesetze vorschreiben, nicht eingehalten werden. Der Rechtstext und die technischen Spezifikationen sind miteinander nicht vereinbar. In diesem Bereich müssen wir in Zukunft mit weiteren großen Hürden rechnen.

Drittens wollte die Europäische Kommission die Datenschutzrechte der Nutzer:innen einschränken und ihnen nur erlauben, sich bei ihrer lokalen Datenschutzbehörde zu beschweren. Zum Glück hat sie ihren Kurs komplett geändert, so dass sie jetzt die Möglichkeit haben, sich an eine Datenschutzbehörde ihrer Wahl zu wenden.

Das Schlechte

Der größte Fehler der Europäischen Kommission bestand darin, sich den Interessen der Wirtschaft zu beugen und illegale Anfragen nach personenbezogenen Daten über die Wallet zuzulassen. Die eIDAS-Verordnung sieht eindeutig vor, dass Unternehmen ihre Anwendungsfälle für die Wallet und die Informationen, die sie von den Nutzer:innen abfragen wollen, registrieren müssen. Anfragen über diese Registrierung hinaus sind zwar illegal, die Kommission hat sich jedoch entschieden, die Nutzer:innen technisch nicht vor diesen illegalen Anfragen zu schützen. Sie ging sogar so weit, die Registrierungen nicht zu harmonisieren oder zusammenzufassen, was es sogar datenschutzfreundlichen Mitgliedstaaten erschwert, ihre Bürger:innen zu schützen. Damit gibt es eine Neuauflage der Cookie-Banner, bei der die User ständig aufgefordert werden, ihre Daten herauszugeben, ohne dass sie jemals eine sinnvolle Wahlmöglichkeit haben.

Ähnlich schlimm ist, dass das Recht auf die Verwendung von Pseudonymen nicht gewahrt wird. Die eIDAS-Verordnung würde vorschreiben, dass Nutzer:innen immer dann ein Pseudonym (zB. einen Nickname) verwenden können, wenn ein Unternehmen nicht gesetzlich verpflichtet ist, seine Kund:innen zu identifizieren. Das ist wichtig, da die Wallet von Facebook, Fluggesellschaften, Supermärkten und in vielen anderen alltäglichen Situationen verwendet werden wird. Wir haben immer von einer Gefahr der „Über-Identifizierung“ und dem Verlust der Anonymität gesprochen. In der Praxis bedeutet das, dass die Wallet in vielen Situationen kein sicheres Tool sein wird, das ohne massive Beeinträchtigung der Privatsphäre verwendet werden kann. So ist zum Beispiel die Online-Altersverifizierung vom Tisch, wenn wir nicht wollen, dass unsere Kinder ständig ihre Identitätsdaten an übergriffige Unternehmen weitergeben müssen. Die Kommission zementierte diese problematische Entscheidung sogar noch mit einer (in letzter Minute vorgenommenen) Änderung des Artikels für Pseudonyme. Diese schreibt vor, dass die Wallet bei jeder pseudonymen Authentifizierung alle Identitätsinformationen oder andere Attribute, die das Unternehmen anfordert, herausgeben muss. Nutzer:innen haben so keine Möglichkeit, die Herausgabe der persönlichen Daten zu verweigern, ohne ganz auf die Nutzung der Wallet zu verzichten.

Letztendlich wurden in den endgültigen Rechtsakten zwar einige unserer Ideen aufgegriffen, um sicherzustellen, dass der Widerruf von Attributen nicht durch die Weitergabe personenbezogener Daten an Dritte erfolgt. Aber wichtige Datenschutzgarantien, die die Kommission selbst in ihrer früheren technischen Spezifikation vorgeschlagen hat, wurden vernachlässigt. Es gab einen heftigen Streit zwischen den Mitgliedstaaten über die Wiedereinführung eines eindeutigen, dauerhaften Identifikators. So eine Seriennummer für Menschen oder ein Super-Cookie, das Menschen überallhin verfolgt, wurde in einer Lesung kurzfristig wieder eingeführt, mutmaßlich in der Hoffnung, dass niemand sie finden würde. Dies ist höchst undemokratisch, weil das eine der Hauptbedingungen des Europäischen Parlaments für die Zustimmung zur eIDAS-Reform war.

Das Hässliche

Die Europäische Digitale Identitäts-Wallet wird über digitale Wege verfügen, um Beschwerden an die Datenschutzbehörden und Löschungsanträge an jedes Unternehmen zu senden, das persönliche Daten erhoben hat. Die Kommission hat es jedoch verabsäumt, einen Rückkanal einzurichten, und der Mindestdatensatz enthält auch keine E-Mail-Informationen. Wir haben nachdrücklich darauf hingewießen, dass Unternehmen und Datenschutzbehörden so in eine Situation geraten könnten, in der sie den Nutzer:innen der digitalen Wallet einen Brief schicken müssen, weil es keine andere Möglichkeit gibt, sie zu erreichen.

Der ganze Zweck der Durchführungsakte bestand darin, eine harmonisierte Interoperabilität der Wallet zu gewährleisten. Dabei wurde vergessen, dass dies auch für Löschungsanträge und Beschwerden gelten sollte. Da kein technischer Standard dafür definiert wurde, wird jede nationale Wallet ihr eigenes Verfahren zur Übermittlung solcher Anfragen einführen. Das bedeutet nicht nur einen enormen Verwaltungsaufwand für alle, sondern verlangsamt auch die Durchsetzung der DSGVO und die Einhaltung der Rechte der Betroffenen.

Bankenverbände und andere Lobbygruppen haben sich sehr dafür eingesetzt, biometrische Daten für die Brieftasche vorzuschreiben. Diesem Vorstoß wurde teilweise mit mehreren Änderungsanträgen entsprochen, die die Biometrie zwar nicht zwingend vorschreiben, aber nachdrücklich darauf hinweisen, dass die Mitgliedstaaten sie umsetzen sollten. Der Mindestdatensatz enthielt auch Fotos mit Gesicht, die im allerletzten Moment zur Formulierung "biometrische Bilder" umgewandelt wurden, um einen öffentlichen Aufschrei während der Konsultation zu verhindern.

Datenschutzfreundliche Technologien wie Zero-Knowledge Proofs werden in den Rechtsakten nicht ein einziges Mal erwähnt, ebenso wie vielversprechende Technologien wie BBS+. Die Kommission hat in einer neuen Lesung in allen fünf Rechtsakten versprochen, dass diese Dokumente regelmäßig aktualisiert werden, um den neuesten Stand der Technik zu berücksichtigen. Wir werden dies sicherlich weiterhin aufmerksam verfolgen.