Der endgültige technische Entwurf der Europäischen Digital Identity Wallet wird derzeit verhandelt. Diese Blaupausen werden einen großen Einfluss darauf haben, ob die Nutzer:innen bei der Nutzung des kommenden europäischen digitalen Identitätssystems ausreichend geschützt sind oder nicht. Konkret wird das derzeit in den eIDAS-Durchführungsrechtsakten zwischen den EU-Mitgliedstaaten und der Europäischen Kommission verhandelt.

Die positiven Änderungen in der ersten Reihe technischer Vorschriften zeigen: Zivilgesellschaft wirkt! Gemeinsam mit 15 Organisationen danken wir den Verhandlungsführer:innen und würdigen diese bedeutenden Verbesserungen für den Schutz der Privatsphäre und der Menschenrechte. Die jüngsten Vorschläge weisen jedoch nach wie vor einige schwerwiegende Datenschutz- und Transparenzprobleme auf, die wir in unserem offenen Brief an die Europäische Kommission ansprechen.

Was ist das Problem?

Die eIDAS-Verordnung legt konkrete Regeln für Unternehmen und Regierungsbehörden fest, die auf personenbezogene Daten aus den Wallets der Bürger:innen zugreifen möchten. Dies kann beispielsweise eine Online-Plattform, ein öffentliches Verkehrsunternehmen oder dein Arzt sein. Diese sogenannten „vertrauenden Parteien“ (engl. „relying parties“) sind verpflichtet, ihre beabsichtigte Nutzung der Wallet zu registrieren, d.h. welche Attribute sie von den Nutzer:innen anfordern möchten. Die Verordnung verbietet ihnen außerdem, Informationen anzufordern, die über ihre Registrierung hinausgehen. Das könnte beispielsweise bedeuten, dass ein Onlineshop laut seiner Registrierung nur nach deinem Namen und deiner Adresse fragen darf, nicht aber nach deinem Geburtsdatum oder anderen Informationen. Eine Pornoplattform könnte die Wallet nutzen, um dein Alter zu überprüfen, könnte aber keine anderen Informationen über dich erfahren oder anderen Mittel verwenden, um dein Verhalten zu verfolgen.

Um alle vor solchen illegalen Anfragen zu schützen, muss die EU-Wallet für digitale Identitäten wissen, auf welche personenbezogenen Daten eine vertrauende Partei tatsächlich zugreifen darf. Die EU-Kommission schlägt jedoch ein Schlupfloch vor, die es dem Mitgliedstaat, der die vertrauende Partei registriert hat, überlassen würde, zu entscheiden, ob die Wallet über den Inhalt der Registrierung Bescheid weiß oder nicht. Dies würde es Facebook Irland ermöglichen, die Schutzmaßnahmen zu umgehen und europäische Nutzer:innen um alles zu bitten. Darüber hinaus besteht die Gefahr, dass das öffentliche Register der vertrauenden Parteien ohne harmonisierte Spezifikationen darüber, wie man darauf zugreifen kann und welche Ergebnisse zu erwarten sind, nutzlos ist. Letztendlich wird das Vertrauen, das wir in die Wallet setzen, von den Schutzmaßnahmen und der Transparenz abhängen, auf die wir uns verlassen können.

15 Organisationen fordern: Die Schlupflöcher der Kommission müssen geschlossen werden!

Wenn diese Schlupflöcher bestehen bleiben, hätte dies katastrophale Folgen. Jede Diskriminierung aufgrund eines illegalen Zugriffs auf Attribute in der Wallet (Gesundheit, Geschlecht, Einkommen usw.) bliebe unkontrolliert. Angesichts der laxen Durchsetzung des Datenschutzes in Ländern wie Irland würden Unternehmen wie Facebook Irland wahrscheinlich ein Wildcard-Zertifikat erhalten, das sie praktisch dazu befähigt, beliebige Daten anzufordern. Mitgliedstaaten, die sich dem Schutz ihrer Nutzer:innen vor illegalen Anfragen verschrieben haben (z. B. Deutschland, die Niederlande, Spanien oder Österreich), wären dagegen nicht in der Lage, dies zu tun.

Wir fordern daher die Kommission auf, die Ausstellung von Registrierungszertifikaten für vertrauende Parteien für alle vertrauenden Parteien verbindlich vorzuschreiben und eine harmonisierte Spezifikation für den Zugriff auf das Register der vertrauenden Parteien jedes Mitgliedstaats herauszugeben.

Lies unseren Brief