Die Corona-Krise hält uns den Spiegel vor: Sie zeigt, was bei der Digitalisierung funktioniert, auf welche Lösungen wir zurückgreifen können und auf welche nicht. Schaut man etwas genauer auf die Problembereiche der Digitalisierung, landet man schnell bei den digitalen Identitäten. Sie identifizieren Personen und Objekte eindeutig im digitalen Raum und sind Voraussetzung für die meisten digitalen Angebote. Wer seine Kinder im Homeschooling begleitet, eine Terminbuchung bei Ärzten und die Einsicht in MRT-Bilder online erledigen will oder im WirVsVirus-Hackathon eine App für die Nachbarschaftshilfe entwickelt hat, stößt auf ein gemeinsames Problem: das Gestrüpp unterschiedlicher digitaler Identitäten, das Fehlen von Standardlösungen, die mangelnde Interoperabilität über einzelne Anwendungen hinweg. Trotz jahrelanger Anstrengung ist es Deutschland nicht gelungen, eine einheitliche, einfach nutzbare und sichere digitale Identität zur Verfügung zu stellen.
Weder Google noch der Personalausweis lösen das Problem
Tech-Konzerne wie Google, Facebook oder Amazon versuchen die Zersplitterung mit ihren Single-Sign-On-Diensten über Login-Buttons mit einfacher Nutzung und großer Reichweite zu überwinden. Die breite Nutzung dieser Angebote in Europa würde jedoch die Abhängigkeit von globalen Plattformunternehmen weiter verstärken; die technologische Souveränität Europas wäre dahin.
Eine praktikable Alternative kann der Personalausweis nicht bieten. Er ist geeignet für Online-Identifizierungen auf hohem Vertrauensniveau wie die Eröffnung eines Kontos. Zwar lässt er sich mittlerweile direkt mit dem Smartphone auslesen, doch für die alltäglichen Logins ist er zu kompliziert. Nur wenige Online-Dienste binden ihn deshalb ein.
Zersplitterter Markt – auch durch Gesetze
Europäische Single-Sign-On-Dienste wie Verimi, yes oder netID bleiben bisher noch Insellösungen. Ihre Angebote sind für Endkunden schwer vergleichbar. Mal liegt der Schwerpunkt auf einer vertrauenswürdigen Identifizierung, mal auf einem einfachen Login, mal auf einer übergreifenden Nutzung von Daten.
Die Zersplitterung des Marktes digitaler Identitäten hat auch der Gesetzgeber verursacht. Wo immer der Staat bei der Digitalisierung mitmischt, im Gesundheitswesen, bei Banken, in der Justiz oder bei den Behörden, gibt es Sonderregelungen, spezielle Anforderungen, eigene Lösungen. Zwar hat die EU mit der eIDAS-Verordnung einen Rechtsrahmen für digitale Identitäten verabschiedet. In die deutsche Gesetzgebung hat das wenig Eingang gefunden – zumal die EU-Verordnung nur für rechtliche Anerkennung von Identitäten sorgt, nicht für technische Interoperabilität.
Deutsche Sonderlösungen wie das ELSTER-System der Finanzämter werden weiter ausgebaut, die 11 Millionen Schülerinnen und Schüler sollen nach dem Willen der KMK bis Ende 2024 (!) einen digitalen Schülerausweis für das Login bekommen. Das Resultat ist ein Flickenteppich unterschiedlicher Login-Lösungen – technisch inkompatibel, mit verschiedenen Sicherheits- und Vertrauensniveaus, kaum marktfähig.
Vom Flickenteppich zur gemeinsamen Lösung
Über zwei Jahre hinweg haben wir am Digital Society Institute der ESMT Berlin Stand und Perspektiven digitaler Identitäten in Deutschland untersucht. In acht Workshops mit allen relevanten Sektoren haben wir die verschiedenen Sichtweisen zusammengebracht. Ein gemeinsamer Wille ist da. Die Bereitschaft ist groß, sich in sektorübergreifende, intuitiv nutzbare Lösungen einzubringen, die auf interoperablen und offenen Standards basieren und – je nach Anwendungskontext – unterschiedliche Sicherheitsniveaus gewährleisten.
Jedoch: Es fehlt ein Rahmen für eine solche Lösung, eine Governance-Struktur, die Wirtschaft und Staat zusammenbringt. Dass ein solches System möglich ist, zeigen die Beispiele im europäischen Ausland. Die skandinavischen Länder stellen eine digitale Identität zur Verfügung, die jeder sowohl für digitale Behördengänge als auch für Bankgeschäfte und Online-Shopping nutzen kann. In den Niederlanden und Italien haben Staat und Wirtschaft ähnliche Kooperationen gestartet.
Partnerschaft zwischen Wirtschaft und Staat
Deutschland sollte diesen Beispielen folgen und in Partnerschaft von Wirtschaft und Staat eine gemeinsame Lösungsarchitektur für sektorübergreifende Identitäten entwickeln und umsetzen. Eine nationale Partnerschaft könnte ein auf interoperablen und offenen Standards basierendes Ökosystem schaffen, in dem alle Anbieter und Anwender mitwirken können, die Mindeststandards erfüllen, etwa bei Datenschutz und IT-Sicherheit. Zum Ökosystem müsste auch die Möglichkeit für die Nutzer und Nutzerinnen gehören, ihre digitalen Identitäten sektor- und dienstübergreifend zu verknüpfen, eine Art Standard-ID einzurichten.
Wer im Markt die Standards erfüllt, muss mit seinen Angeboten überall eingesetzt werden können, im Gesundheitswesen ebenso wie bei den Banken, in der Steuerverwaltung oder beim Shopping. Die bestehenden nationalen Lösungen in anderen europäischen Staaten sollten von Anfang an angebunden werden, um einen Rahmen und ein Level Playing Field zu schaffen – damit Europas Digitalisierung auch langfristig auf vertrauenswürdigen digitalen Identitäten aufbauen kann.
Der Informatiker Martin Schallbruch und die Politikwissenschaftlerin Isabel Skierka sind Researcher am Digital Society Institute der ESMT Berlin. Ihre Forschung zu digitalen Identitäten haben sie gemeinsam mit Tanja Strüve in einem Reader und einem Konferenzpapier veröffentlicht; sie werden sie am 26. Mai von 16.00 – 17.15 Uhr in einem Online-Briefing vorstellen und diskutieren.
