Der Begriff „digitale öffentliche Infrastruktur“ (DPI) umfasst neben der digitalen Identität auch digitale Zahlungen und den Datenaustausch. Solche Systeme bieten eine digitale Plattform, die vom Staat oder in dessen Auftrag geschaffen wird und von Personen und Unternehmen genutzt wird, um Daten, Identitäten, Geld, Waren und Dienstleistungen auf regulierte Weise auszutauschen und bestimmte Rechtssicherheit zu bieten.

Mit der Schaffung benutzerfreundlicher, kostengünstiger und rechtsverbindlicher digitaler Identitätsplattformen riskieren wir, die Anonymität in vielen täglichen Interaktionen zu verlieren. Dieses Risiko der sogenannten Über-Identifizierung verstärkt sich, wenn digitale Identitätssysteme für den privaten Sektor geöffnet werden. Wenn wir ständig nach sensiblen Informationen zu Gesundheit, Finanzen oder Identität gefragt werden, besteht auch die Gefahr, dass wir zu viele persönliche Informationen preisgeben. Da es sich um Systeme für allgemeine Zwecke handelt, die in alle Lebensbereiche vom Einkaufen über Arztbesuche, öffentliche Verkehrsmittel bis hin zu Online-Aktivitäten reichen, kann die Beobachtung des Nutzer:innenverhaltens eine panoptische Situation schaffen, in der die Betreiber des Systems jederzeit alles über jeden wissen.

Kein digitales System wird für alle Menschen geeignet sein. Wir dürfen die älteren, weniger digital gebildeten, datenschutzfreundlicheren oder staatenlosen Menschen nicht vergessen. Deshalb müssen wir sicherstellen, dass das Gesetz alle schützt, die sich gegen die Nutzung des Systems entscheiden. Es muss ein Recht geben, sich von digitalen Identitätssystemen abzumelden, ohne negative Folgen wie höhere Preise oder Verweigerung von Dienstleistungen. Der gesetzliche und administrative Rahmen muss auch sicherstellen, dass jede:r ein Recht auf kostenlosen Zugang zu digitaler öffentlicher Infrastruktur hat.

Damit ein DPI-Ökosystem das Vertrauen der Menschen verdient, braucht es einen starken Schutz vor böswilligen Akteuren und datenhungrigen Unternehmen. Unternehmen und Einrichtungen des öffentlichen Sektors sollten ihre Anwendungsfälle registrieren müssen und darauf beschränkt sein, von den Menschen nur die dafür notwendigen Informationen zu verlangen. Böswillige Akteure müssen aus dem Ökosystem ausgeschlossen und ihre Registrierung widerrufen werden. In vielen Situationen wäre es nicht gerechtfertigt, die gesamte Last des Nein-Sagens auf die Schultern der Nutzenden zu legen. Die Nutzenden müssen die Kontrolle über ihren gesamten Transaktionsverlauf haben. Sie brauchen Möglichkeiten, ihre Rechte als Betroffene auszuüben, darunter fallen zB. die Einreichung einer Beschwerde gegen ein Unternehmen und die Forderung nach Löschung der eigenen Daten. Der Nutzende muss auch immer wissen, von wem eine Informationsanfrage kommt (symmetrische Identifizierung).

Biometrische Daten werden sehr oft zur Authentifizierung einer Person in einem digitalen Identitätssystem verwendet. Solche Daten sind besonders sensibel, da sie nicht wie ein Passwort geändert werden können. Dazu kommt, dass nicht jeder alle Finger, Augen oder andere Merkmale hat. Deshalb sollte Biometrie keine Voraussetzung für die Nutzung digitaler öffentlicher Infrastrukturen sein. Das Hochladen solcher Daten in eine Cloud erfordert die vorherige ausdrückliche Zustimmung des Nutzenden und muss besonders geschützt werden.

Unsere Arbeit zu diesem Thema hat 2017 mit einer rechtlichen Analyse des österreichischen nationalen digitalen Identitätssystems gestartet. Mit der COVID-19-Pandemie wurden wir in eine große Debatte über öffentliche digitale Systeme zur Bewältigung des Gesundheitsnotstands geworfen. Am bekanntesten waren die contact tracing Systeme und die digitalen EU-COVID-Zertifikate (QR-Codes für Impfung, Genesung, Testung), die beide vorbildlich für ihre hohen Datenschutzstandards waren und das Vertrauen großer Teile der Gesellschaft gewonnen haben. Von 2021 bis 2024 waren wir intensiv an der Schaffung des europäischen digitalen Identitätssystems (eIDAS-Reform, EU-ID-Wallet) beteiligt. Ab 2023 haben wir auch am digitalen Euro und der Gesetzgebung zum Recht auf Bargeld gearbeitet. Im Februar 2024 wurde unser Geschäftsführer zum Vorsitzenden der Governance-Arbeitsgruppe des DPI-Safeguards-Projekts des Tech-Envoy der Vereinten Nationen ernannt. Ziel dieses Projekts ist es, globale Sicherheitsmaßnahmen für digitale öffentliche Infrastrukturen zu schaffen.

Unmittelbar nach Abschluss unserer Arbeit auf EU-Ebene starteten die Vereinten Nationen ihr Projekt zur Schaffung eines globalen Rahmens für die Sicherheit digitaler öffentlicher Infrastrukturen. Wir beteiligen uns an diesem Projekt mit unserem Geschäftsführer, der im Februar 2024 zum Vorsitzenden der Governance-Arbeitsgruppe ernannt wurde. Solche Systeme sind weltweit verbreitet, und sehr oft sehen wir, dass sie gegen gefährdete Teile der Gesellschaft missbraucht werden oder negative Folgen für den Datenschutz der gesamten Bevölkerung haben. Da globale Institutionen wie die Weltbank und Stiftungen digitale öffentliche Infrastrukturen fördern und auch auf deren Interoperabilität drängen, hoffen wir, dass dieses Projekt die Risiken dieser Systeme aufzeigen und die Schutzmaßnahmen für sie verbessern kann. Der Abschlussbericht wird bis Ende 2024 erwartet, dazu sollen einige Abschnitte über digitale öffentliche Infrastrukturen in den Global Digital Compact aufgenommen werden.

Die europäische digitale Identitätsbrieftasche („Wallet“) ist eine leistungsstarke, universell einsetzbare Technologie zur Identifizierung, Authentifizierung und Überprüfung von Merkmalen natürlicher und juristischer Personen gegenüber Behörden und privaten Unternehmen, digital sowie analog. In der Praxis wird jedes EU-Land eine solche „Wallet“ als App für Smartphones bereitstellen, mit der Bürger:innen Informationen wie Namen, Geburtsdatum, Familienstand, finanzielle Situation, Bildungsabschlüsse oder COVID-19-Impfstatus gegenüber anderen rechtsverbindlich nachweisen können. Auch große Online-Plattformen wie Facebook, Amazon oder Google werden verpflichtet sein, dieses System zu unterstützen. E-Government-Dienste, Banken, Energieversorger und öffentliche Verkehrsdienste werden ebenfalls zur Nutzung verpflichtet sein. Bis 2030 strebt die Europäische Kommission an, dass 80% der EU-Bürger:innen das System nutzen. Das Interesse der Industrie an dieser Reform ist enorm, weil sie dann nicht mehr selbst erhebliche Ressourcen für die Überprüfung ihrer Kunden:innen (KYC) aufwenden muss.

ZUM BLOGPOST
 

2017 wurde die rechtliche Grundlage für das System der ID Austria im nationalen Recht geschaffen. Schon damals haben wir auf einige Mängel des Systems hingewiesen und Änderungen gefordert. Viele dieser Forderungen wurden später in Systeme aufgenommen, die auf die ID Austria aufbauen, aber die zugrunde liegende Technologie steht nach wie vor im Widerspruch zu Privacy-by-Design. In der aktuellen Debatte geht es vor allem darum, dass die ID Austria verpflichtend wird, indem bestimmte Gruppen der Gesellschaft zur Nutzung gezwungen werden. Kein technisches System sollte Voraussetzung für den Erhalt wesentlicher staatlicher Dienstleistungen oder Informationen von Arbeitgeber:innen sein. Wir haben solche Fälle gesammelt und den Medien zur Kenntnis gebracht, um Druck für ein Wahlrecht für alle zu erzeugen. Unsere Analyse von ID Austria und mehreren angrenzenden Systemen findet ihr in unserem Blogpost und unseren Medienauftritten.