eID

Wir beobachten die Verhandlungen um die EU Digital Identity Wallet seit dem ersten Tag – haben über 20 Statements und sieben offene Briefe verfasst, viereinhalb Jahre lang jeden Entwurf gelesen und jede Änderung verfolgt. Was wir gelernt haben: Die Kommission hat keinerlei Skrupel, Schutzmaßnahmen rückgängig zu machen, die sie gerade erst eingeführt hat. Und genau das passiert jetzt wieder.

Deshalb brauchen wir Deine Unterstützung. Im Gesetzgebungsprozess hart erkämpfte Schutzrechte können schnell und unauffällig in einem technischen Anhang verschwinden. Wir passen auf, dass das nicht passiert – aber das erfordert das Lesen Hunderten Seiten von Rechts- und Technikdokumenten, juristische Analysen und die Koordination mit Partnern in ganz Europa. Wenn du möchtest, dass wir weiterhin dran bleiben - werde jetzt Fördermitglied!

In 4 Minuten erklärt: Was hat die EU-Kommission vor?

Wo wir derzeit stehen

Wenn die EU ein Gesetz verabschiedet, ist das noch nicht das Ende der Geschichte. Das Gesetz legt die Ziele und den Rahmen fest. Bei technischen Fragen schreiben die Kommission und die EU-Mitgliedstaaten jedoch gemeinsam das technische Regelwerk, das bestimmt, wie das Gesetz in der Praxis tatsächlich funktioniert. Wie beim Hausbau: Das Parlament genehmigt die Vision des Architekten, aber die Bauarbeiter entscheiden, wie dick die Wände sind, wo die Türen hinkommen und ob die Schlösser tatsächlich funktionieren. Derzeit treffen die Bauarbeiter aber Entscheidungen, die dem widersprechen, was die Architekten beabsichtigt haben.

Die aktuellen Entwürfe lösen kritische, noch offene Datenschutzbedenken nicht und verschlechtern die Situation in mehreren Punkten sogar. Das alarmierendste Beispiel: verpflichtende biometrische Gesichtsbilder in jeder Wallet.

Wir fordern die Kommission und die Mitgliedstaaten auf, den Kurs zu ändern und endlich Datenschutzrisiken und die Grundrechte der Nutzer:innen ernst zu nehmen.

Unser offener Brief 

Die fünf zentralen Probleme im Überblick:

  • Schlupflöcher bei Registrierungszertifikaten ermöglichen übermäßige Datenanforderungen
  • Geschwächte Pseudonymitätsrechte ermöglichen übermäßige Identifizierung
  • Biometrische Gesichtsbilder im Mindestdatensatz verpflichtend
  • Big Tech kann eine echte Wallet-Integration umgehen
  • Trackingschutz grundlegend geschwächt

Die fünf Probleme

Offen Hintertüren

Wenn ein Unternehmen oder eine Behörde die EU-Wallet nutzen möchte, um Daten von Nutzer:innen anzufordern, muss es sich vorab registrieren und erklären, welche Daten es für welchen Zweck benötigt. Es darf nicht mehr Informationen verlangen als nötig. Diese Regel gegen übermäßige Datenanforderungen ist einer der zentralen Schutzmaßnamen für Nutzer:innen der EUDI-Wallet.

Der aktuelle Entwurf macht jene Zertifikate optional, die es dem Wallet ermöglichen, unzulässige Datenanforderungen zu erkennen. Ein Unternehmen kann sich in einem Mitgliedstaat registrieren, in dem solche Zertifikate nicht verpflichtend sind so EU-weit Daten von Nutzer:innen abfragen, ohne dass die Rechtmäßigkeit geprüft wird. Auf dieses Problem haben wir gemeinsam mit 14 Organisationen bereits in einem früheren offenen Brief hingewiesen. Die Kommission korrigierte den Fehler zunächst, nur um vor einem Jahr wieder zurückzurudern und die problematische Regelung erneut einzuführen. 

Das Recht auf Anonymität – still begraben

Die eIDAS-Verordnung ist eindeutig: Nutzer:innen haben das Recht, die Wallet pseudonym zu verwenden, sofern kein Gesetz sie zur Identifizierung verpflichtet. Social-Media-Plattformen, Porno-Websites, Glücksspieldienste, Nachrichtenportale – keiner dieser Dienste hat eine Rechtsgrundlage, ihre Nutzer:innen zu identifizieren. Trotzdem besteht oft ein starkes kommerzielles Interesse daran.

Die aktuellen Entwürfe schränken dieses Recht drastisch ein. Nach dem vorgeschlagenen Wortlaut würde Pseudonymität nur für Authentifizierungszwecke gelten – also beim Einloggen. Nach dem Einloggen könnten Dienste auch Daten verlangen, auf die sie keinen Anspruch haben. Die Wallet hätte keinen Mechanismus, um dies zu verhindern, was zu einer drastischen Überidentifizierung führen würde.

Dein Gesicht in der Wallet

Die beunruhigendste neue Entwicklung: Die Kommission schlägt vor, ein verpflichtendes biometrisches Foto in den Mindestdatensatz aufzunehmen, den jede EUDI-Wallet enthalten muss. Bei jeder Nutzung – z. B. Altersnachweis, Bücher bestellen, Verträge unterzeichnen – könnte potenziell ein Gesichtsbild übermittelt werden.

Rückblick: Während der Trilog-Verhandlungen zur eIDAS-Verordnung wurde eine Formulierung, die Nutzer:innen explizit vor biometrischer Verarbeitung schützen sollte, ausdrücklich aus dem Text gestrichen. Die Kommission scheint nun obligatorische Biometrie über einen Durchführungsrechtsakt einzuführen – und damit das Parlament vollständig zu umgehen.

Freifahrtschein für Big Tech

Die eIDAS-Verordnung verpflichtet sehr große Online-Plattformen wie Google, Meta, Apple & Co., das EUDI-Wallet als Login-Option zu akzeptieren. Dies war als struktureller Eingriff gedacht: die Gatekeeper des Internets zu zwingen, sich für eine europäische öffentliche Infrastruktur für digitale Identitäten zu öffnen.

Doch die aktuellen technischen Spezifikationen erlauben auch bestehende Passkey-Lösungen – also Google Passkeys oder iCloud Keychain – als Ersatz für eine echte EUDI-Wallet-Integration. Das bedeutet: Wir bleiben bei denselben proprietären Optionen wie zuvor, während die Verordnung den Anschein erweckt, das Problem gelöst zu haben. Die zuständige Digital-Kommissarin Henna Virkkunen hat „Tech-Souveränität" in ihrer Berufsbezeichnung – tut aber offenbar das Gegenteil.

Hindern ist nicht Verhindern

Die technische Architektur des EUDI-Wallets soll es Anbietern oder anderen Parteien nicht erlauben, Daten zu erlangen, die eine Nachverfolgung, Verknüpfung oder Korrelation von Transaktionen oder Nutzerverhalten ermöglichen. Der Standard ist Verhinderung. Nicht Reduzierung. Nicht Minimierung. Verhinderung.

Im aktuellen Durchführungsrechtsakt wurde diese Verpflichtung still umformuliert. Der Text verlangt nun Widerrufsmechanismen, die datenschutzfreundlich sind und die Verknüpfbarkeit oder Nachverfolgbarkeit lediglich „behindern" – nicht verhindern. Der Unterschied ist nicht semantisch. Etwas, das nur behindert wird, kann von einem hinreichend entschlossenen Angreifer immer noch erreicht werden. Etwas, das verhindert wird, nicht.

Das ist kein Redaktionsfehler. Es ist eine substanzielle Schwächung eines Schutzes, der ausdrücklich in die Verordnung aufgenommen wurde. Ein Durchführungsrechtsakt kann den Standard der Verordnung, die er umsetzt, rechtlich nicht absenken. Aber genau das tut dieser hier.

Wie geht’s weiter?

Gemeinsam mit unserem Dachverband EDRi haben wir an der öffentlichen Konsultation teilgenommen. Spannend dabei: Viele Unternehmensvertreter:innen loben die EU-Kommission ausdrücklich für ihre Bemühungen, den Datenschutz zu schwächen.

Wir veröffentlichen deshalb gemeinsam mit anderen Digital- und Verbraucherschutzorganisationen einen offenen Brief, um Alarm zu schlagen. Wir werden weiterhin öffentlich und hinter den Kulissen für diese dringend notwendigen Korrekturen kämpfen. Eine Entscheidung wird Ende März oder im zweiten Quartal erwartet. Die Wallet soll bis Ende 2026 verfügbar sein.

Wusstest du, dass epicenter.works gerade eine Plattform zur Unterstützung der Aufsicht und Durchsetzung von eIDAS entwickelt? Sie heißt whoidentifies.meabonniere unseren Newsletter, um auf dem Laufenden zu bleiben!

Da du hier bist!

… haben wir eine Bitte an dich. Für Artikel wie diesen analysieren wir Gesetzestexte, bewerten Regierungsdokumente oder lesen Allgemeine Geschäftsbedingungen (wirklich!). Wir sorgen dafür, dass möglichst viele Menschen sich mit komplizierten juristischen und technischen Inhalten befassen und auch verstehen, dass sie große Auswirkungen auf unser Leben haben. Diese Arbeit machen wir aus der festen Überzeugung, dass wir gemeinsam stärker sind als alle Lobbyisten, Machthabende und Konzerne. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!

Jetzt Fördermitglied werden

Ähnliche Artikel:

Transparenz für Europas digitale Identität. Nach den Plänen der EU soll Digitale Identität zu einem zentralen Bestandteil unseres Lebens und unseres Online-Alltags werden.

Datenschutz und Privatsphäre , eID , IT-Sicherheit , Transparenz/Open Government

Ein ereignisreiches und erfolgreiches Jahr: Das war unser Jubiläumsjahr 2025.

Bildung , Bundestrojaner , Datenschutz und Privatsphäre , Digitaler Euro - Bargeld , eID , Gesichtserkennung , IT-Sicherheit , KI , Netzneutralität , Transparenz/Open Government , UN-Cybercrime-Convention , Überwachung

Altersverifikation muss nicht gleich Überwachung oder das Aufgeben von Privatsphäre bedeuten. Wir schlagen eine neue, datensparsame Lösung vor, die Kinder schützt, ohne das offene Internet zu gefährden.

eID

Unter dem Schlagwort „Vereinfachung“ plant die Europäische Kommission, zentrale digitale Schutzgesetze aufzuschnüren: von Datenschutz über Cybersicherheit bis hin zu Künstlicher Intelligenz. Was nach Bürokratieabbau klingt, lässt in Wirklichkeit Europas digitale Schutzmauern bröckeln. Statt Klarheit…

eID , IT-Sicherheit , KI

Datenschutz ist das Fundament vertrauenswürdiger digitaler öffentlicher Infrastruktur - Wir helfen mit unserem neuen e-Learning mit. „Privacy in Digital Public Infrastructures“ taucht ein in das Zusammenspiel von Datenschutz und öffentlicher digitaler Infrastruktur.

Bildung , Datenschutz und Privatsphäre , eID , IT-Sicherheit , Überwachung

Heute, an unserem 15. Geburtstag, setzten wir den Startschuss für das 15-jährige Jubiläumsjahr von epicenter.works. Wir blicken zurück auf große Herausforderungen, bedeutende Erfolge und die täglichen Kämpfe, die unsere Arbeit für unser aller Grundrechte ausmachen.

Bundestrojaner , Chatkontrolle , Datenschutz und Privatsphäre , Digitaler Euro - Bargeld , eID , Gesichtserkennung , Internal , IT-Sicherheit , KI , Netzneutralität , Plattformregulierung , Rechtsstaat , Staatsschutzgesetz , Transparenz/Open Government , Überwachung , UN-Cybercrime-Convention , Urheberrecht , Veranstaltungen , Vorratsdatenspeicherung , Whistleblowing , Bildung