eID & digitale öffentliche Infrastruktur
Digitale Identitäten können unser Leben erleichtern. Werden sie aber falsch umgesetzt, öffnen digitale Identitätssysteme Tür und Tor für die Massenüberwachung alltäglicher Aktivitäten der Nutzenden und den Missbrauch unserer sensibelsten Daten. Daher fordern wir seit Anfang an eine sichere digitale Identität, die die Rechte der Nutzenden schützt und niemandem aufgezwungen werden kann. Das kann nur mit starken technischen und rechtlichen Schutzmaßnahmen für den Datenschutz, Vorhersehbarkeit, Inklusivität, Zugänglichkeit und die Freiwilligkeit dieser Systeme funktionieren. Wir haben Allianzen gebildet, Analysen veröffentlicht und Gesetzgeber aufgefordert, die richtigen Entscheidungen zu treffen – bei öffentlichen Veranstaltungen, mit gemeinsamen Stellungnahmen und persönlich im Europäischen Parlament.
Der Begriff „digitale öffentliche Infrastruktur“ (DPI) umfasst neben der digitalen Identität auch digitale Zahlungen und den Datenaustausch. Solche Systeme bieten eine digitale Plattform, die vom Staat oder in dessen Auftrag geschaffen wird und von Personen und Unternehmen genutzt wird, um Daten, Identitäten, Geld, Waren und Dienstleistungen auf regulierte Weise auszutauschen und bestimmte Rechtssicherheit zu bieten.
Risikoreiche Systeme
Mit der Schaffung benutzerfreundlicher, kostengünstiger und rechtsverbindlicher digitaler Identitätsplattformen riskieren wir, die Anonymität in vielen täglichen Interaktionen zu verlieren. Dieses Risiko der sogenannten Über-Identifizierung verstärkt sich, wenn digitale Identitätssysteme für den privaten Sektor geöffnet werden. Wenn wir ständig nach sensiblen Informationen zu Gesundheit, Finanzen oder Identität gefragt werden, besteht auch die Gefahr, dass wir zu viele persönliche Informationen preisgeben. Da es sich um Systeme für allgemeine Zwecke handelt, die in alle Lebensbereiche vom Einkaufen über Arztbesuche, öffentliche Verkehrsmittel bis hin zu Online-Aktivitäten reichen, kann die Beobachtung des Nutzer:innenverhaltens eine panoptische Situation schaffen, in der die Betreiber des Systems jederzeit alles über jeden wissen.
Kein digitales System wird für alle Menschen geeignet sein. Wir dürfen die älteren, weniger digital gebildeten, datenschutzfreundlicheren oder staatenlosen Menschen nicht vergessen. Deshalb müssen wir sicherstellen, dass das Gesetz alle schützt, die sich gegen die Nutzung des Systems entscheiden. Es muss ein Recht geben, sich von digitalen Identitätssystemen abzumelden, ohne negative Folgen wie höhere Preise oder Verweigerung von Dienstleistungen. Der gesetzliche und administrative Rahmen muss auch sicherstellen, dass jede:r ein Recht auf kostenlosen Zugang zu digitaler öffentlicher Infrastruktur hat.
Damit ein DPI-Ökosystem das Vertrauen der Menschen verdient, braucht es einen starken Schutz vor böswilligen Akteuren und datenhungrigen Unternehmen. Unternehmen und Einrichtungen des öffentlichen Sektors sollten ihre Anwendungsfälle registrieren müssen und darauf beschränkt sein, von den Menschen nur die dafür notwendigen Informationen zu verlangen. Böswillige Akteure müssen aus dem Ökosystem ausgeschlossen und ihre Registrierung widerrufen werden. In vielen Situationen wäre es nicht gerechtfertigt, die gesamte Last des Nein-Sagens auf die Schultern der Nutzenden zu legen. Die Nutzenden müssen die Kontrolle über ihren gesamten Transaktionsverlauf haben. Sie brauchen Möglichkeiten, ihre Rechte als Betroffene auszuüben, darunter fallen zB. die Einreichung einer Beschwerde gegen ein Unternehmen und die Forderung nach Löschung der eigenen Daten. Der Nutzende muss auch immer wissen, von wem eine Informationsanfrage kommt (symmetrische Identifizierung).
Biometrische Daten werden sehr oft zur Authentifizierung einer Person in einem digitalen Identitätssystem verwendet. Solche Daten sind besonders sensibel, da sie nicht wie ein Passwort geändert werden können. Dazu kommt, dass nicht jeder alle Finger, Augen oder andere Merkmale hat. Deshalb sollte Biometrie keine Voraussetzung für die Nutzung digitaler öffentlicher Infrastrukturen sein. Das Hochladen solcher Daten in eine Cloud erfordert die vorherige ausdrückliche Zustimmung des Nutzenden und muss besonders geschützt werden.
Aktivitäten
Unsere Arbeit zu diesem Thema hat 2017 mit einer rechtlichen Analyse des österreichischen nationalen digitalen Identitätssystems gestartet. Mit der COVID-19-Pandemie wurden wir in eine große Debatte über öffentliche digitale Systeme zur Bewältigung des Gesundheitsnotstands geworfen. Am bekanntesten waren die contact tracing Systeme und die digitalen EU-COVID-Zertifikate (QR-Codes für Impfung, Genesung, Testung), die beide vorbildlich für ihre hohen Datenschutzstandards waren und das Vertrauen großer Teile der Gesellschaft gewonnen haben. Von 2021 bis 2024 waren wir intensiv an der Schaffung des europäischen digitalen Identitätssystems (eIDAS-Reform, EU-ID-Wallet) beteiligt. Ab 2023 haben wir auch am digitalen Euro und der Gesetzgebung zum Recht auf Bargeld gearbeitet. Im Februar 2024 wurde unser Geschäftsführer zum Vorsitzenden der Governance-Arbeitsgruppe des DPI-Safeguards-Projekts des Tech-Envoy der Vereinten Nationen ernannt. Ziel dieses Projekts ist es, globale Sicherheitsmaßnahmen für digitale öffentliche Infrastrukturen zu schaffen.
Globaler Rahmen für Schutzmaßnahmen der Vereinten Nationen
Unmittelbar nach Abschluss unserer Arbeit auf EU-Ebene starteten die Vereinten Nationen ihr Projekt zur Schaffung eines globalen Rahmens für die Sicherheit digitaler öffentlicher Infrastrukturen. Wir beteiligen uns an diesem Projekt mit unserem Geschäftsführer, der im Februar 2024 zum Vorsitzenden der Governance-Arbeitsgruppe ernannt wurde. Solche Systeme sind weltweit verbreitet, und sehr oft sehen wir, dass sie gegen gefährdete Teile der Gesellschaft missbraucht werden oder negative Folgen für den Datenschutz der gesamten Bevölkerung haben. Da globale Institutionen wie die Weltbank und Stiftungen digitale öffentliche Infrastrukturen fördern und auch auf deren Interoperabilität drängen, hoffen wir, dass dieses Projekt die Risiken dieser Systeme aufzeigen und die Schutzmaßnahmen für sie verbessern kann. Der Abschlussbericht wird bis Ende 2024 erwartet, dazu sollen einige Abschnitte über digitale öffentliche Infrastrukturen in den Global Digital Compact aufgenommen werden.
Europäisches System (eIDAS, EU-ID-Wallet)
Die europäische digitale Identitätsbrieftasche („Wallet“) ist eine leistungsstarke, universell einsetzbare Technologie zur Identifizierung, Authentifizierung und Überprüfung von Merkmalen natürlicher und juristischer Personen gegenüber Behörden und privaten Unternehmen, digital sowie analog. In der Praxis wird jedes EU-Land eine solche „Wallet“ als App für Smartphones bereitstellen, mit der Bürger:innen Informationen wie Namen, Geburtsdatum, Familienstand, finanzielle Situation, Bildungsabschlüsse oder COVID-19-Impfstatus gegenüber anderen rechtsverbindlich nachweisen können. Auch große Online-Plattformen wie Facebook, Amazon oder Google werden verpflichtet sein, dieses System zu unterstützen. E-Government-Dienste, Banken, Energieversorger und öffentliche Verkehrsdienste werden ebenfalls zur Nutzung verpflichtet sein. Bis 2030 strebt die Europäische Kommission an, dass 80% der EU-Bürger:innen das System nutzen. Das Interesse der Industrie an dieser Reform ist enorm, weil sie dann nicht mehr selbst erhebliche Ressourcen für die Überprüfung ihrer Kunden:innen (KYC) aufwenden muss.
ID Austria
2017 wurde die rechtliche Grundlage für das System der ID Austria im nationalen Recht geschaffen. Schon damals haben wir auf einige Mängel des Systems hingewiesen und Änderungen gefordert. Viele dieser Forderungen wurden später in Systeme aufgenommen, die auf die ID Austria aufbauen, aber die zugrunde liegende Technologie steht nach wie vor im Widerspruch zu Privacy-by-Design. In der aktuellen Debatte geht es vor allem darum, dass die ID Austria verpflichtend wird, indem bestimmte Gruppen der Gesellschaft zur Nutzung gezwungen werden. Kein technisches System sollte Voraussetzung für den Erhalt wesentlicher staatlicher Dienstleistungen oder Informationen von Arbeitgeber:innen sein. Wir haben solche Fälle gesammelt und den Medien zur Kenntnis gebracht, um Druck für ein Wahlrecht für alle zu erzeugen. Unsere Analyse von ID Austria und mehreren angrenzenden Systemen findet ihr in unserem Blogpost und unseren Medienauftritten.
Zentrale Forderungen für sichere(re) Systeme
- Alle Bürger:innen und Bewohner:innen eines Landes haben das Recht, eine digitale Identität kostenlos zu erhalten. Die Nutzung der DPI ist freiwillig und horizontale Verpflichtungen schützen Personen, die das System nicht nutzen, vor Ausgrenzung, Verweigerung von Waren oder Dienstleistungen oder Benachteiligung im privaten oder öffentlichen Sektor.
- Nutzende, die in einem DPI-System interagieren, kennen immer die Identität der anderen Partei, bevor persönliche Informationen ausgetauscht werden. Denn es macht einen Unterschied wer anfragt. Jede von Nutzenden angeforderte Informationskategorie muss in einem öffentlichen Register aller DPI-Anwendungsfälle enthalten sein. Nutzende können Beschwerden einreichen und Unternehmen können aus dem DPI-Ökosystem ausgeschlossen werden.
- Ohne Zustimmung der Nutzenden werden keine persönlichen Informationen weitergegeben. Nutzende können wählen, ob eine Informationsanfrage vollständig, gar nicht oder teilweise beantwortet wird, indem nur ausgewählte Teile der angeforderten Informationen offengelegt werden.
- Eine datenschutzfreundliche Technologie verhindert, dass die Betreiberbehörde der DPI ohne Zustimmung der Nutzenden Informationen über konkretes Nutzerverhalten erhält. Tägliche Interaktionen auf der DPI sind für die Regierung und angeschlossene Unternehmen unsichtbar.
- Nutzende, die über die DPI mit anderen Parteien interagieren, sind durch datenschutzfördernde Technologien wie paarweise pseudonyme Identifikatoren, Zero-Knowledge-Proofs und Unlinkability vor Tracking und Profiling geschützt. Nutzende können nicht mit einem eindeutigen und dauerhaften Identifikator identifiziert werden.
- Nutzende haben das Recht, frei gewählte Pseudonyme zu verwenden, die nicht mit ihrer realen Identität verknüpft sind, wenn keine gesetzliche Verpflichtung besteht, sich zu identifizieren.
- Alle DPI-Komponenten müssen als Open Source für die öffentliche Prüfung verfügbar sein. Steuerfinanzierte DPI müssen unter einer freien Softwarelizenz verfügbar sein.
- Nutzenden der DPI muss eine vollständige Liste der Transaktionen zur Verfügung stehen. Dazu gehören die Identität aller Parteien, mit denen interagiert wurde, alle weitergegebenen Informationen und Möglichkeiten zur Beantragung der Löschung.
- Biometrische Authentifizierung darf keine Voraussetzung für die Nutzung von DPI sein. Es muss eine Möglichkeit geben, eine digitale Identität zu erhalten und DPI zu nutzen, ohne biometrische Informationen weiterzugeben. Die Speicherung biometrischer Informationen auf einem zentralen Server erfordert die vorherige ausdrückliche Zustimmung der Nutzenden. Biometrische Informationen müssen besonders geschützt werden.
Medienbeiträge zum Thema
Titel | Datum | Medium | Medium Details | Medientyp | Vereinserwähnung |
---|---|---|---|---|---|
EUid: EU-Kommission legt einheitliche technische Standards für Wallets fest | 29.11.2024 | Heise.de | Web | Ja | |
EU Commision avoids significant delays in digital wallet with last-minute agreement | 21.11.2024 | MLex | Web | Ja | |
Mit heißer Nadel gestrickt: EUDI soll kommen | 20.11.2024 | heise.de | heise+ | Web | Ja |
Kommentar: Natürlich spart ein EU-Großprojekt mal wieder an der falschen Stelle | 15.11.2024 | Heise.de | Web | Ja | |
Behind the Scenes of eIDAS: A Look at Article 45 and Its Implications | 07.11.2024 | blog.mozilla.org | Web | Ja |