Schon seit einiger Zeit wird in Österreich an einer elektronischen ID gearbeitet - kurz, einer e-ID. Zuletzt war diese Form des elektronischen Ausweises im Gespräch im Zusammenhang mit dem e-Führerschein, der ab dem Frühjahr 2021 eingeführt werden soll. Dabei setzt die Bundesregierung im dazugehörigen Gesetzesvorschlag auf Freiwilligkeit. Eine Umstellung ist also nicht zwingend. Die elektronische ID bildet dabei die technische Basis und Infrastruktur für den elektronischen Ausweis. Auch im Passwesen soll es dadurch zu Änderungen kommen, denn beim Ausstellen eines Passes oder Personalausweises soll dieser künftig ausgegeben werden. Wie diese konkret aussehen werden, wissen wir noch nicht. So soll im Passwesen jedenfalls der elektronische Ausweis als Nachweis von personenbezogenen Daten dienen. Zuständig für dieses Vorhaben sind Digitalisierungsministerin Schramböck und Innenminister Nehammer.

Daten sollen auch Dritten zur Verfügung gestellt werden dürfen, allerdings nur durch explizite Einwilligung des/der Betroffene*n. Auch hier bleibt die konkrete Ausgestaltung abzuwarten und zunächst soll das nicht für Private, sondern nur für den öffentlichen Bereich möglich sein. Derzeit läuft eine Ausschreibung für diese Plattform (Wallet), mit der staatliche Identitätsdaten und andere Merkmale wie Studierendenausweise oder Lenkerberechtigungen auch für die Wirtschaft zugänglich gemacht werden sollen.

Logische Konsequenz oder Fallstrick?

So praktisch eine e-ID auch erscheinen mag und so sehr sie als logische Evolution des Ausweises kommuniziert wird, so vorsichtig muss man sein, wenn es um die Erstellung, Speicherung und den Zugriff auf sensible Identitätsdaten geht. Oberste Vorsicht geboten ist besonders dann, wenn Privatwirtschaft und Staat gemeinsame Infrastrukturen dafür nutzen. Die Datensicherheit sollte hierbei eine zentrale Rolle spielen. 

Neben den technischen Anforderungen, die solche Infrastrukturen erfüllen müssen, sehen wir unsere Position auch in einer politisch-gesellschaftlichen. Wie ist das System implementiert und wie invasiv geht es mit den Daten der Bürger*innen um? 

Was wir erwarten und was wir wollen

1. Wir befürworten weiterhin ein dezentrales, unbeobachtbares Identitätssystem. Einzelne Ausweis- oder Login-Vorgänge dürfen nicht in einer zentralen Datenbank erfasst werden. Bei einem analogen Ausweis gibt es auch kein Protokoll dafür, wo ich mich damit ausweise und ein elektronischer Ausweis darf diesbezüglich kein Datenschutznachteil sein. Das lässt sich nur über die richtige Architektur eines solchen Systems erreichen, wie zum Beispiel durch Verwendung kryptographischer Pseudonyme, die sogenannte "Unlinkability" garantieren (siehe z.B. https://link.springer.com/chapter/10.1007/978-3-319-92925-5_24, https://digidow.eu).
2. Bei Public Private Partnership, also dem Zugriff privater Unternehmen, braucht es eine starke Kontrolle der Use Cases. Identitätsdiebstahl und Schindluder mit Identitäten können sonst nicht vermieden werden. Wenn die einzige Schranke für die Verbreitung staatlicher Identitätsdaten die einmalige Zustimmung der Betroffenen ist, dann haben bald JÖ-Karte und alle österreichischen Tageszeitungen für Werbezwecke unsere Identitätsdaten.
3. Anwendungsfälle für staatliche Identität müssen im Vorhinein von der Datenschutzbehörde auf Datensparsamkeit geprüft werden. Eine Zweckbindung aller dieser Use Cases wäre sinnvoll und ein Verbot der Weitergabe der Daten an Dritte für die selben Zwecke. Ansonsten ist es nur eine Frage der Zeit bis diese auch bei Google und Facebook landen.
4. Wallets müssen zertifiziert sein. Das In-Verkehr-bringen von Wallets, die dem nicht entsprechen, muss technisch und rechtlich ausgeschlossen werden. Diese Software muss quelloffen und bestenfalls unter freier Lizenz veröffentlicht sein, damit alles nachvollziehbar ist und Menschen mit freien Betriebssystemen nicht ausgeschlossen werden.
5. Es muss ein einfach zugängliches Verzeichnis aller Zustimmungen geben, die der User erteilt hat. Soweit es technisch und rechtlich machbar ist, muss es eine Widerrufsmöglichkeit der Zustimmung und Beauskunftung der Daten geben. Wenn die Identitätsdaten am eigenen Smartphone liegen, kann eine Aufzeichnung aller Weitergaben direkt dort erfolgen.
6. Die eID darf nicht dazu führen, dass unser Recht auf pseudonyme und anonyme Nutzung von IT-Systemen untergraben wird. Im Regierungsprogramm wurde einem Klarnamenszwang oder einem digitalen Ausweiszwang eine klare Abfuhr erteilt und man hat sogar das Gegenteil festgeschrieben: "Durchgängige Etablierung des Prinzips der anonymen Nutzung von technischen Infrastruktur-Systemen"

Teile dieser Forderungen haben wir bereits in unserer parlamentarichen Stellungnahem im Begutachtungsprozess der 2017 Novelle des eGovernment-Gesetzes niedergeschrieben. Die Debatte drehte sich damals nur um den ersten Anwendungsfall. Die rechtliche Grundlage auf die aktuellen Pilotprojekte wurde bereits geschaffen. Der Druck der Wirtschaft ist so groß, wie wir das in Österreich bisher selten erlebt haben. Angefangen von Banken, die damit ihre rechtlichen Know-Your-Customer Vorgaben und fraud-detection umsetzten wollen, über Mobilfunker, die durch die Registrierungspflicht bereits Identitätsdaten haben und eigene (sehr schlechte) Systeme ins Spiel bringen wollen, bis hin zu österreichischen Medien, die damit ihre Abos abwickeln wollen und personalisierte Werbung auf ihren Medien schalten wollen, und natürlich die bestehenden Trust-Service Provider in Österreich.

Von der ÖVP hört man auch immer noch den Wunsch irgendwann einen digitalen Ausweiszwang einzuführen, auch wenn dieses Projekt von den Grünen im aktuellen Koalitionsabkommen herausverhandelt wurde. Zuletzt hat das ganze Thema noch eine europäische Dimension, da in dem Arbeitsprogramm der EU-Kommission ebenfalls eine Reform der EIDAS-Verordnung angekündigt wurde. 

Ihr merkt, uns wird nicht langweilig. Es gibt zweifelsohne sinnvolle Anwendungsbeispiele für eine elektronsische Identität und ein datenschutzfreundliches System sollte machbar sein. Neben den technischen Architekturfragen, muss man aber auch einige rechtliche Safeguards einführen und bestehendes Datenschutzrecht ist dazu unzureichend. Elektronische Identität ist ein wichtiges Thema für die Zukunft und damit auch für uns. Wir werden uns weiter in der politischen Debatte einbringen und euch darüber aufklären, was da auf uns zu kommt.