Nach über zweijährigen Verhandlungen wurde am Mittwoch, 8. November 2023, die große Reform zur digitalen Identität in der Europäischen Union abgeschlossen. Die sogenannte „eIDAS-Verordnung“ wird einen vollständig harmonisierten Rahmen für die rechtsverbindliche Identifizierung von Personen, den Nachweis von Eigenschaften und die Anmeldung bei Websites und Apps schaffen. Bis 2026 müssen alle 27 EU-Mitgliedstaaten ihren Bürger:innen und Einwohner:innen eine so genannte „European Digital Identity Wallet“ (kurz: „Wallet“) bereitstellen. Die große Neuerung besteht darin, dass dieses System nicht nur für elektronische Behördendienste (eGovernment) gedacht ist, sondern auch der private Sektor in der Lage sein wird, seine Kund:innen oder Besucher:innen nach Informationen über sich selbst zu fragen. Öffentliche E-Government-Websites und große Technologieunternehmen wie Google, Facebook oder Amazon müssen die Wallet als Möglichkeit zur Anmeldung bei ihren Diensten anbieten.

Vom ersten Tag an waren wir sehr besorgt über diesen Gesetzentwurf und haben vor seinem Potenzial gewarnt, die Anonymität im Internet zu untergraben und Missbrauchsszenarien gegen gefährdete Gruppen der Gesellschaft zu ermöglichen sowie die Risiken von Tracking und Spionage. Wir veröffentlichten fünf Positionspapiere, sprachen in zwei Ausschüssen des Europäischen Parlaments, entwarfen Änderungsanträge, standen in ständigem Kontakt mit Gesetzgeber:innen aus dem Parlament, dem Rat und der Kommission, hielten öffentliche Reden über das Gesetz, beantworteten endlose Medienanfragen und schickten drei offene Briefe, von denen der letzte von über 400 Akademiker:innen und 30 NGOs unterzeichnet wurde. Was hat das genützt? Werfen wir einen Blick auf den aktuellen Text.

Das Gute

Schutz vor Diskriminierung

Ein zentraler Pfeiler für den Schutz der Wahlfreiheit und der Eingliederung aller Gruppen in die Gesellschaft ist der Schutz vor Diskriminierung. Das geht über die Freiwilligkeit der Wallet hinaus, die bereits im ursprünglichen Vorschlag verankert war. Alle vier Ausschüsse des Europäischen Parlaments haben mit großer Mehrheit beschlossen, dass der Zugang zu öffentlichen und privaten Dienstleistungen, der Zugang zum Arbeitsmarkt und die unternehmerische Freiheit für natürliche und juristische Personen, die die Wallet nicht nutzen, in keiner Weise eingeschränkt oder benachteiligt werden dürfen. Der endgültige Text stellt sicher, dass von jedem, der sich in einer bestimmten Situation gegen die Nutzung der Wallet entscheidet, nicht verlangt werden kann, einen höheren Preis zu zahlen oder vom Zugang zu einer Dienstleistung oder Ware ausgeschlossen zu werden. Diese Bestimmung war eine unserer Hauptforderungen, um beispielsweise Menschen ohne Smartphone (ältere Menschen, Kinder usw.) oder Leute, die die Risiken der Wallet vermeiden möchten, zu schützen und ihre Teilhabe an der Gesellschaft zu sichern. Weiters sollen Personen geschützt werden, deren offizielle Daten nicht mit ihrer tatsächlichen Identität übereinstimmen (z. B. Trans-Personen).

Regulierung der Anwendungsfälle

Die große Neuerung der eIDAS-Reform besteht darin, dass auch der Privatsektor die Wallet nutzen kann, um Kund:innen, Nutzer:innen oder Besucher:innen nach ihren persönlichen Daten zu fragen. Diese Informationen können von der Regierung ausgestellt werden, wie z. B. der echte Name, das Geburtsdatum, der Bildungsabschluss, Impfbescheinigungen, Fahrkarten für öffentliche Verkehrsmittel oder der Führerschein, aber sie können auch aus dem privaten Sektor stammen, wie z. B. bei Kundenbindungsprogrammen oder Kreditwürdigkeitsprüfungen. In diesem Zusammenhang müssen wir von den schlimmsten Formen des Überwachungskapitalismus ausgehen und von Versuchen der Unternehmen, vertrauenswürdige Informationen über eine Person zu erhalten, die für diese sehr schädlich sein können. In Hinsicht auf eine realistische Einschätzung dieses Risikos haben wir gefordert, dass die Informationen, die Unternehmen von Personen abfragen können, eingeschränkt werden.

Der derzeitige Text stellt sicher, dass sich alle Anbieter in dem Land, in dem sie ansässig sind, registrieren, sich mit ihren Kontaktdaten identifizieren, Informationen über den Anwendungsfall, für den sie die Wallet nutzen wollen, und die konkreten Informationen, die sie von Nutzer:innen abfragen wollen, bereitstellen. Die Wallet beschränkt dann die Informationen, die der entsprechende Anbieter abfragen kann, auf das, was in ihrer Registrierung steht. Wenn sich z. B. ein Spirituosengeschäft zur Altersverifizierung registriert, kann es keine anderen Informationen abfragen, die in der Wallet enthalten sein könnten, wie z. B. Gesundheitsinformationen. Außerdem müssen die Liste der registrierten Unternehmen, ihre Anwendungsfälle und die Informationen, die sie abfragen wollen, online öffentlich zugänglich sein. Wenn Nutzer:innen über die Wallet aufgefordert werden, Informationen über sich preiszugeben, sehen sie zunächst die Identität des Unternehmens, das sie darum bittet. Nutzer:innen können sich dann weigern, einzelne oder alle angeforderten Informationen weiterzugeben. Wenn sich ein Anbieter falsch verhält, können Nutzer:innen ihre Zustimmung zur Weitergabe ihrer Daten widerrufen und sich bei einer nationalen Regulierungsbehörde beschweren. Dies wiederum kann dazu führen, dass das Unternehmen aus dem System ausgeschlossen wird (siehe Datenschutz-Cockpit und Forum-Shopping weiter unten).

Eindeutiger Identifikator

Der ursprüngliche Vorschlag sah eine Seriennummer für alle Menschen vor, indem eine eindeutige und dauerhafte Kennung für jede:n vorgeschrieben wurde. Eine solche Nummer hätte es ermöglicht, alle Aktivitäten eines Nutzers oder einer Nutzerin in allen Bereichen der Gesellschaft (Gesundheit, Verkehr, Finanzen, Handel usw.) einander zuzuordnen. Die Verfolgung und Erstellung von Profilen online und offline wäre einfacher geworden als je zuvor. Wir hatten von Anfang an das vorrangige Ziel, diese Seriennummer zu verhindern und wir haben gewonnen. In der endgültigen Fassung wird eine eindeutige und dauerhafte Kennung nicht mehr erwähnt, und es sind sogar zusätzliche Datenschutzvorkehrungen vorgesehen, die das Tracking verhindern sollen.

Recht auf Pseudonymität

Viele Menschen sind online auf Anonymität angewiesen, um ihre Menschenrechte, insbesondere das Recht auf freie Meinungsäußerung, wahrnehmen zu können. Die Wallet schafft eine technische Infrastruktur, die es ermöglichen könnte, Menschen einfach und ohne nennenswerte Kosten online und offline in großem Umfang zu identifizieren. Bei vielen Online-Interaktionen ist dies genau das, was Unternehmen gerne hätten: staatlich zertifizierte Identitätsinformationen über uns, insbesondere bei überwachungsbasierter Werbung. Der endgültige Text der eIDAS-Verordnung setzt dem ein Recht auf Pseudonymität entgegen. Es erlaubt den Nutzer:innen, ein von der Wallet generiertes Pseudonym zu verwenden, das nur lokal gespeichert wird. Dieses Recht kann jedoch durch nationales und EU-Recht eingeschränkt werden.

Selektive Offenlegung, Zero-Knowledge und Unverknüpfbarkeit

Wenn ein Unternehmen in der Wallet nach Informationen fragt, kann der oder die Nutzer:in zustimmen, alles, nichts oder nur Teile dessen, wonach gefragt wurde, „selektiv“ preiszugeben. Die Wallet sollte auch die Möglichkeit bieten, zu beweisen, dass ein bestimmtes Attribut über die eigene Person wahr ist, ohne die zugrunde liegenden Informationen preiszugeben. Dies wird als „Zero-Knowledge“ bezeichnet. Ein Beispiel hierfür ist der Nachweis, dass eine Person über 18 Jahre alt ist, ohne ihr Geburtsdatum preiszugeben. Leider wird „Zero-Knowledge“ nur von den Mitgliedstaaten in einem Erwägungsgrund gefordert, so dass es möglicherweise nicht in allen Ländern verfügbar ist.

Wenn ein Unternehmen nicht nach der Identität einer Nutzerin oder eines Nutzers fragt, sondern nur nach einem bestimmten Attribut über sie, muss dies so geschehen, dass mehrere Nachweise von Attributen nicht miteinander verknüpft werden können. „Unverknüpfbarkeit“ bedeutet also, dass mehrere Interaktionen mit demselben oder mit verschiedenen Unternehmen nicht miteinander verknüpft werden können, wodurch verhindert wird, dass Nutzer:innen nachverfolgt und profiliert werden können. In der Praxis bedeutet dies z.B., dass, wenn eine Person jeden Samstagabend in einem Club ihr Alter mit der Wallet nachweist, die digitalen Aufzeichnungen verhindern, dass der oder die Besitzer:in des Clubs weiß, dass es sich jede Woche um dieselbe Person handelt. Auch wenn online eine Altersüberprüfung oft keine gute Idee ist, begrenzen diese Methoden zur Wahrung der Privatsphäre zumindest das Risiko.

Datenschutz-Cockpit

Die Wallet wird eine vollständige Transaktionshistorie aller Informationsanfragen enthalten, die der oder die Nutzer:in jemals erhalten hat sowie Informationen über die Unternehmen, die die Informationen anfordern und möglicherweise die Informationen, die der oder die Nutzer:in ihnen mitgeteilt hat. Außerdem muss die Wallet laut der finalen Fassung des Gesetzes die Möglichkeit bieten, die Löschung personenbezogener Daten aus den Aufzeichnungen des Unternehmens zu beantragen und eine Beschwerde bei der nationalen Datenschutzbehörde einzureichen.

Das Schlechte

Unbeobachtbarkeit

Die größte Schande dieser Reform ist die Tatsache, dass es absolut keine Sicherheitsvorkehrungen gibt, die die Regierungen, die die Wallet zur Verfügung stellen, daran hindern, alles zu überwachen, was Nutzer:innen mit ihr machen. Da dieses Instrument in allen Lebensbereichen (Gesundheit, Verkehr, Finanzen, Online usw.) eingesetzt werden kann, ist die Menge der Informationen, die eine Regierung über das Leben der Menschen erhalten kann, geradezu panoptisch. Die Nutzer:innen der Wallet könnten ihr gesamtes Leben in diesem einen Datensatz über ihre Nutzung der Wallet widergespiegelt finden. Dies wäre mit technischen Standards, die die Unbeobachtbarkeit sicherstellen, völlig vermeidbar gewesen. Das Europäische Parlament hat einen großartigen Text angenommen, der genau das bewirkt hätte. Leider enthält der finale Text sehr locker gefasste Bestimmungen, die es den Regierungen erlauben, alles zu erfahren, was ein:e Nutzer:in tut – auch ohne seine oder ihre Zustimmung. Es ist nur eine Frage der Zeit, bis die Strafverfolgungsbehörden Zugang zu diesen Informationen verlangen werden.

Update 2023-11-14: Nach der Einigung gab es noch Änderungen in Erwägungsgrund 11c, der den Wallet-Anbieter dazu verpflichtet, „die Unbeobachtbarkeit zu gewährleisten, indem er keine Daten sammelt und keinen Einblick in die Transaktionen der Nutzer der Wallet hat. Dies bedeutet, dass die Anbieter nicht in der Lage sein sollten, die Einzelheiten der vom Nutzer getätigten Transaktionen einzusehen“. (Originalzitat auf Englisch in unserem englischen Blogpost.) Hiervon können Ausnahmen gemacht werden, wenn dies für die Erbringung bestimmter Dienste erforderlich ist und der oder die Nutzer:in eine ausdrückliche Zustimmung für diesen bestimmten Dienst erteilt hat (Datensicherung, Bearbeitung von Beschwerden usw.). Dies ist tatsächlich eine sinnvolle Verbesserung, die uns eine Chance für eine unbeobachtbare Architektur geben könnte. Wie viel Gewicht sie aber hat, hängt ganz von der Umsetzung ab (siehe technische Entwürfe unten).

Das Hässliche

QWACs

Die Idee, Inhaber:innen eines Domänennamens im Webbrowser sichtbar zu machen, wurde 2009 von allen Browsern der Welt verworfen. Im Jahr 2021 hielt es die Kommission für eine gute Idee, die ganze Welt zu zwingen, diese Idee der „erweiterten Validierung“ von Mitte 2000 unter dem neuen Namen „Qualified Website Authentication Certificates (QWACs)“ wieder einzuführen. Auch wenn dies niemand nutzen wird, besteht der eigentliche Schaden dieses Systems darin, dass jeder Webbrowser in der Welt gezwungen wird, den Stammzertifikaten aller europäischen Vertrauensdiensteanbieter zu vertrauen, unabhängig davon, ob diese tatsächlich vertrauenswürdig sind oder nicht.

Als Reaktion auf die Enthüllungen über die staatliche Massenüberwachung durch Edward Snowden ist der Anteil des verschlüsselten Internetverkehrs von weniger als der Hälfte auf 95% gestiegen. Die Sicherheit dieser Verschlüsselung hängt von den Listen vertrauenswürdiger Zertifikate in den Browsern ab, und Regierungen in aller Welt haben wiederholt versucht, dieses System anzugreifen. Mit dem ursprünglichen Vorschlag hätte die EU die gesamte Vertrauensarchitektur des World Wide Web zerstört und selbst wenn festgestellt worden wäre, dass ein Zertifikat zu Überwachungszwecken verwendet wird, hätte es keine rechtliche Handhabe gegeben, um dem Browser zu erlauben, das Zertifikat zu entfernen.

Die letzte Wendung dieser Geschichte besteht darin, dass die Verhandlungsführer nur wenige Tage vor der endgültigen Einigung einer Änderung des Textes zugestimmt haben, die den Browsern die Freiheit gibt, die Domänenauthentifizierung und die Verschlüsselung des Webverkehrs auf eine Weise und mit einer Technologie zu schützen, die sie für am besten geeignet halten. In der Praxis bedeutet dies, dass die Browser eine Möglichkeit haben werden, sich gegen QWACs zu wehren, die die Verschlüsselung untergraben, indem sie von TLS getrennt werden. So können wir zumindest von Browsern wie Mozillas Firefox erwarten, dass sie sich gegen die Aushöhlung der Vertrauensarchitektur des Webs wehren. Bei anderen wie Microsofts Edge haben wir weniger Hoffnung.

Forum-Shopping

„Forum-Shopping“ bedeutet, gezielt den Gerichtsstand zum eigenen Vorteil auszuwählen. Einige Länder in der EU haben es sich zum Geschäftsmodell gemacht, die EU-Gesetze gegenüber großen Unternehmen nicht durchzusetzen. Was die neue europäische digitale Identität betrifft, so unterliegen Facebook Irland oder Online-Glücksspielunternehmen in Malta der alleinigen Regulierung durch ihre nationalen Behörden. Während sich andere EU-Gesetze wie die DSGVO oder der DSA bemüht haben, dieses Problem zu lösen, macht das eIDAS-Gesetz nicht einmal den Versuch. Wenn Facebook Irland plötzlich den echten Namen, Finanz- oder Gesundheitsdaten von einer Person verlangt, obwohl es das nicht darf, wird die Beschwerde nicht mit gebührender Sorgfalt bearbeitet, denn die irische Datenschutzbehörde sieht es ironischerweise als ihre Aufgabe an, Facebook und nicht uns und unsere Daten zu schützen. In solchen Fällen haben die Aufsichtsbehörden anderer EU-Länder also keine Möglichkeit, ein Unternehmen aus dem Wallet-Ökosystem zu werfen, wenn es in einem dieser sicheren Häfen ansässig ist. Die einzige Schutzmaßnahme dagegen besteht darin, die Wallet nicht zum Austausch von Daten zu verwenden, wenn das Unternehmen, das die Daten anfordert, aus einem dieser Länder stammt.

Sicherheit und Zertifizierungen

Die Wallet wird von einem EU-Mitgliedstaat ausgegeben. Derselbe Mitgliedstaat muss Zertifizierungsstellen benennen, die prüfen, ob die nationale Wallet tatsächlich sicher und gesetzeskonform ist. Außerdem wird es in den ersten Jahren keinen EU-weiten Sicherheitsstandard geben, sondern nur nationale Sicherheitszertifizierungssysteme. Diese Systeme werden zwischen den Mitgliedstaaten erörtert werden, aber in der Praxis werden wir sehr unterschiedliche Sicherheitsniveaus zwischen den Mitgliedstaaten sehen, was viele Nutzer:innen gefährden könnte. Das Backend der Wallet erhält möglicherweise überhaupt keine Sicherheitszertifizierung. Ursprünglich sollte die Wallet nur dann zertifiziert werden, wenn sie die Datenschutzstandards und die DSGVO einhält. Da sich die Mitgliedstaaten jedoch erfolgreich dagegen gewehrt haben, liegt es nun an ihnen, zu entscheiden, ob ihre nationale Wallet als gemäß der Datenschutzbestimmungen zertifiziert wird oder nicht.

Open Source

Der Programmcode der Wallet-App muss als Open Source lizenziert und öffentlich einsehbar sein. Leider wurde diese Verpflichtung von den Mitgliedstaaten heftig bekämpft und in letzter Minute verwässert, um die Software des Backends davon auszunehmen. So gibt die Verordnung in ihrer jetzigen Form den Mitgliedstaaten die Möglichkeit, den Quellcode des Backends aus „hinreichend gerechtfertigten Gründen, insbesondere aus Gründen der öffentlichen Sicherheit“ geheim zu halten. Dies verhindert nicht nur eine öffentliche Kontrolle. Es enthält der Öffentlichkeit auch ein riesiges Stück Software vor, das mit öffentlichen Geldern bezahlt wurde und das – mit einer offenen oder freien Lizenz – der Entwicklung unzähliger anderer IT-Anwendungen hätte zugute kommen können.

Technische Entwürfe

Sechs Monate nach der Verabschiedung des Gesetzes muss die Kommission die technischen Spezifikationen bekannt geben, wie die Wallet funktionieren soll. Daher hat sich in den letzten zwei Jahren eine Gruppe von Vertreter:innen aus den Mitgliedstaaten unter völliger Geheimhaltung und mit viel Einfluss von Industriegruppen getroffen, um diesen technischen Standard vorzubereiten. Das von ihnen erstellte Dokument trägt die Bezeichnung „Architecture Reference Framework“ (ARF) und wurde zuletzt im Januar 2023 als Version 1.0 veröffentlicht. Die jüngste interne Version 1.2 stammt vom Juni 2023 und beide könnten nicht weiter vom demokratisch vereinbarten Rechtstext entfernt sein: Fast alle in der Gesetzgebung vorgesehenen Schutzmaßnahmen, die wir hier erläutert haben, fehlen im ARF. Ohne immensen Aufwand wird entweder der Zeitplan nicht eingehalten oder der Wallet wird misstraut werden, weil sie gegen das Gesetz verstößt.

Hilf auch du bei wichtigen digitalen Reformen

Abschließend ist es wichtig zu sagen, dass wir uns mehr Aufmerksamkeit für diese ganze Reform gewünscht hätten. Wir waren die einzige zivilgesellschaftliche Organisation, die sich mit eIDAS beschäftigte, und auch unsere Kolleg:innen aus dem viel größeren Bereich des Verbraucherschutzes mussten die Priorität dieses Themas schon früh herabstufen. Wir haben mehr als zwei Jahre lang an diesem komplexen, technischen Thema gearbeitet, ohne dass es dafür spezielle Mittel oder Projekte gab. Als Watchdog lassen wir uns von den Risiken leiten, die wir für die Bevölkerung vermeiden können, und nicht von der Belohnung, die wir erhalten könnten oder von den Genehmigungen, die andere uns erteilen. Wir können dies nur tun, weil wir über tausend Fördermitglieder haben, die diesen Kampf für die Freiheit mit ihren wiederkehrenden Spenden finanzieren. Bitte denk auch du über einen Beitritt nach!

UPDATE:

Am Mittwoch, den 8. November 2023, trafen sich die Verhandlungsführer:innen zum letzten politischen Trilog und einigten sich auf den Text, der die Grundlage für diesen Blogpost bildet. Es wird ein letztes technisches Treffen geben, um die Sprache zu bereinigen, aber wesentliche Änderungen im Trilog sind nicht geplant. Die Mitgliedstaaten werden voraussichtlich im Dezember 2023 im Rat der EU abstimmen und das Parlament wird am 28. November im ITRE-Ausschuss und im Februar 2024 im Plenum abstimmen. Letztlich hängen die Änderungen von der politischen Mehrheit ab. Wir haben diese Analyse auf den endgültigen Text für den politischen Trilog gestützt, von dem wir erwarten, dass er Gesetz wird. In der Zwischenzeit wurde der endgültige Gesetzestext auf der Website des ITRE-Ausschusses veröffentlicht.