Seit mehr als fünf Jahren begleiten wir die Europäische Digitale Identitäts-Wallet. Wir haben Stellungnahmen eingereicht, technische Entwürfe analysiert, zivilgesellschaftliche Koalitionen aufgebaut und für Schutzmaßnahmen gekämpft, die Europas digitale Identitätsinfrastruktur von Grund auf datenschutzfreundlich machen würden.

Im März haben wir gemeinsam mit EDRi, der Arbeiterkammer und Bürgerrechts- und Verbraucherschutzorganisationen einen offenen Brief veröffentlicht: Das neueste Paket der eIDAS-Durchführungsrechtsakte würde zentrale Schutzmaßnahmen in der EU-Wallet aushöhlen. Im Mai kam die Antwort der Europäischen Kommission.

Sie bestätigt leider ein Muster, das wir im gesamten eIDAS-Prozess immer wieder beobachten: Die Kommission bekennt sich zu Datenschutz, Nutzer:innenkontrolle und Datensparsamkeit, und verabschiedet gleichzeitig technische Regeln, die genau diese Ziele in der Praxis untergraben.

Technische Systeme schützen Grundrechte nicht dadurch, dass ein Gesetz es verspricht. Sie schützen sie, indem ihre Architektur Missbrauch von vornherein unmöglich macht.

Unsere Bedenken bleiben unverändert.

Rechte auf dem Papier schützen niemanden

Die Kommission hat in ihrer Antwort immer wieder auf die rechtlichen Verpflichtungen aus der Verordnung verwiesen. Doch in digitalen Systemen hängt der Schutz von Grundrechten nicht vom Wortlaut eines Gesetzes ab, sondern davon, wie die Technik gebaut ist. Wenn eine Technologie Risiken schafft statt sie zu verhindern, helfen abstrakte Rechte niemandem. Die technischen Spezifikationen der Kommission unterlaufen den Schutz, den die eIDAS-Verordnung eigentlich garantieren soll, unter anderem weil der Druck aus der Industrie zu groß ist.

Die Probleme, die wir seit Jahren benennen, fanden sich auch im jüngsten Paket: fehlende Registrierungszertifikate, verpflichtende biometrische Daten, keine brauchbare Pseudonymität, Schlupflöcher für Big-Tech-Konzerne und ein geschwächter Schutz vor Tracking. In unserer Gegendarstellung haben wir das im Detail aufgezeigt.

Die Mitgliedstaaten wehren sich

Das jüngste Paket der Durchführungsrechtsakte sollte am 6. Mai 2026 von den Mitgliedstaaten abgestimmt werden. Doch der Widerstand war so groß, dass die Kommission ihren Vorschlag zurückziehen musste. Mehrere Regierungen kritisierten, dass kurz vor dem Stichtag noch komplexe technische Standards nachgereicht wurden. Ein sicheres, robustes Produkt sei so schlicht nicht mehr realisierbar. Eine qualifizierte Mehrheit von 14 Mitgliedstaaten (Deutschland, Frankreich, Spanien, Polen, Rumänien, die Niederlande, Österreich, Ungarn, Finnland, Schweden, Slowenien, Norwegen und Luxemburg) forderte, dass Registrierungszertifikate endlich verpflichtend werden. Ein echter Erfolg, der unsere jahrelange Arbeit direkt bestätigt.

Auch beim Thema Biometrie formierte sich Widerstand. Zehn Mitgliedstaaten – Belgien, Deutschland, Spanien, Italien, Finnland, Dänemark, Rumänien, Estland, die Niederlande und Luxemburg – sprachen sich klar gegen verpflichtende Porträtfotos in der Wallet aus. Zu Recht: Nach dem Kommissionsvorschlag würde bei jeder Nutzung der Wallet, ob zum Altersnachweis, zum Vertragsabschluss oder zum Online-Einkauf, ein Lichtbild an das jeweilige Unternehmen oder die jeweilige Behörde übertragen. Arbeitgeber, Polizei oder Grenzkontrollen: Es ist leicht vorstellbar, in welchen Situationen Menschen kaum eine andere Wahl hätten, als ihre biometrischen Daten herauszugeben.

Das ist eine Ausweitung des Anwendungsbereichs ohne jede Grundlage in der Verordnung. Die eIDAS-Verordnung erwähnt Biometrie mit keinem Wort. Das Europäische Parlament hatte auf entsprechende Schutzmaßnahmen verzichtet, weil die Kommission ausdrücklich zugesagt hatte, Biometrie werde nicht Teil der Wallet. Jetzt, wo das Parlament nicht mehr am Tisch sitzt, werden diese Zusagen stillschweigend aufgegeben.

Wir haben dafür gesorgt, dass das nicht unbemerkt bleibt. Das Thema wurde vor der Abstimmung bei Politico und EurActiv aufgegriffen, und die Europaabgeordnete Romana Jerković, die eIDAS-Berichterstatterin des Europäischen Parlaments, hat der Kommission einen formellen Protestbrief geschickt.

Teilerfolg am 18. Juni

Am 18. Juni fand eine weitere Abstimmung statt. Das finale Textdokument liegt uns noch nicht vor, aber die wesentlichen Ergebnisse sind bekannt.

Bei den Registrierungszertifikaten haben wir nach jahrelangem Druck gewonnen. Die Wallet kann nun wirksam verhindern, dass Dienste mehr Daten abfragen als erlaubt. Ein echter Fortschritt, der ohne den anhaltenden Einsatz der Zivilgesellschaft und einer Koalition von Mitgliedstaaten nicht möglich gewesen wäre.

Bei den biometrischen Porträtfotos ist das Ergebnis gemischter. Mitgliedstaaten sind verpflichtet, ein Lichtbild in die Wallet aufzunehmen, können aber eine Opt-out-Möglichkeit anbieten. Ob dieses Opt-out in der Praxis wirklich wass wert ist, hängt davon ab, wie die einzelnen Länder es umsetzen. Beim Trackingschutz, beim Recht auf Pseudonymität und bei den Big-Tech-Schlupflöchern haben wir leider verloren.

Wie es jetzt weitergeht

Die Mitgliedstaaten haben nun ein halbes Jahr Zeit, die Wallet an ihre Bevölkerung auszugeben. Bereits jetzt drängt Google darauf, sich im europäischen Digitalidentitäts-Ökosystem festzusetzen. Gleichzeitig wird diskutiert, ob die Wallet zur Altersverifikation auf Social-Media-Plattformen und Pornoseiten genutzt werden soll. Damit würde sensible Identitätsinfrastruktur in die Hände einiger der unvertrauenswürdigsten Akteure im Netz gelegt werden.

Wir bleiben als zivilgesellschaftliche Kontrollinstanz für das eIDAS-Ökosystem aktiv. Im Rahmen des APTITUDE-Projekts beobachten wir, wie die Mitgliedstaaten die Wallet konkret umsetzen.

Europas digitale Identitätsinfrastruktur wird nicht an Versprechen in Pressemitteilungen oder Rechtstexten gemessen werden. Sie wird daran gemessen, was sie im Alltag der Menschen tatsächlich tut. Solange keine unabhängigen Audits vorliegen, können wir niemandem empfehlen, die EU-Wallet zu nutzen und besonders nicht in Online-Situationen, in denen Tracking eine Rolle spielt.