Standpunkte Digitale Wallets: Nur mit der Privatwirtschaft

Kurz vor der Bundestagswahl brachte die deutsche Bundesregierung am 23. September 2021 unerwartet eine eigene Identity Wallet, die App „ID Wallet” heraus. Damit sollten sich der Personalausweis und der deutsche Führerschein auf dem Smartphone abspeichern lassen.

Nach weniger als einer Woche wurde die App jedoch aufgrund von unzureichender IT-Infrastruktur und Sicherheitsbedenken wieder vom Markt genommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer offiziellen Stellungnahme den Wallet Piloten stark kritisiert und sogar von der Verwendung über den Piloten hinaus abgeraten. Laut Bundesregierung soll die Wallet nachgebessert und im Laufe des nächsten Jahres wieder auf den Markt gebracht werden. Was zurück bleibt, sind zahlreiche negative Nutzerbewertungen und enttäuschte Bürger.

Dennoch, der Ansturm der Nutzer und das große Interesse in den Medien zeigen, dass die Bevölkerung sich digitale Identity Wallet-Lösungen wünscht. Der Rückzug der ID Wallet wirft die Frage auf, ob die Bundesregierung mit der Entwicklung einer eigenen Wallet den richtigen Weg gewählt hat.

Mit dem im Juni 2021 veröffentlichten Gesetzesentwurf eIDAS 2.0 wurde auf europäischer Ebene ein Plan für ein europäisches Identity Wallet Ökosystem vorgestellt, die EU-ID.

Bei Identity Wallets handelt es sich um eine Art digitale Brieftaschen auf dem Smartphone, die es den Bürgern ermöglichen sollen, sich nicht nur europaweit zu identifizieren, sondern auch Ausweise, Führerscheine oder andere wichtige Dokumente, wie Heiratsurkunden, darin abzuspeichern. Zwar gibt es in den einzelnen EU-Mitgliedstaaten bereits verschiedene Methoden zur Identifizierung im Internet, aber durch Identity Wallets soll es nun erstmals möglich sein, Identitäten zur mehrmaligen Nutzung abzuspeichern.

Aktuell handelt es sich bei eIDAS 2.0 noch um einen Gesetzesentwurf und technische Standards, Sicherheitsanforderungen und ein genaues Konzept müssen erst ausgearbeitet werden. Bekannt ist jedoch, dass es keine zentrale europäische Identity Wallet geben wird. Stattdessen soll ein europaweites Ökosystem geschaffen werden.

Mit Inkrafttreten von eIDAS 2.0 erwartet die einzelnen EU-Staaten eine Frist von zwölf Monaten, um ihren Bürgern Zugang zu Identity Wallets-Lösungen zur Verfügung zu stellen. Dabei bieten sich bei der nationalen Umsetzung zwei mögliche Wege für Deutschland.

In der ersten Option bringt der Staat selbst eine Lösung für seine Bürger und Unternehmen auf den Markt oder beauftragt hierfür ein einziges Unternehmen damit dieses Wallet zu entwickeln. Eine zweite und denkbar bessere Option für die Bürger ist es, wenn der Staat den regulatorischen und sicherheitstechnischen Rahmen definiert und die Zulassung und Entwicklung privatwirtschaftlicher Wallet-Anwendungen ermöglicht. Dieses Modell machen andere Staaten seit Jahren erfolgreich vor. Die zukünftige Bundesregierung hat jetzt die Chance, den richtigen Weg für die digitale Identität einzuschlagen und damit die Digitalisierung in Deutschland voranzubringen.

Ein staatlich überwachter Zertifizierungsrahmen ist der einzige Weg, der einen offenen Wettbewerb bietet. So hat die EU-Kommission im Rahmen des eIDAS-Abschlussberichts festgestellt, dass die privaten Vertrauensdienste sich bewährt haben, während die staatlichen eID-Verfahren sich nicht in der breiten Masse durchsetzen konnten. So wird auch die deutsche eID zehn Jahre nach der Einführung 2010 wegen ihrer Nutzerunfreundlichkeit nicht von den Bürgen und der Wirtschaft angenommen. Die privaten Vertrauensdienste funktionieren bereits nach einem solchen staatlichen Zertifizierungsprogramm und sind bei Nutzerfreundlichkeit und Marktakzeptanz, aber auch bei der Sicherheit ein großer Erfolg.

Außerdem gibt es in der Praxis selten die eine Lösung für alle Anwendungsfälle. Unterschiedliche Industrien und Einsatzbereiche haben verschiedene Anforderungen an ein Wallet und die darin abzuspeichernden Daten. Daher gibt es bereits heute eine breite Palette an Identifizierungsmethoden.

Technologien entwickeln sich heute rasant. Der Staat wird bei der fortschreitenden Entwicklung nicht mithalten können und das Feld im Zweifel außereuropäischen Anbietern wie Apple und Google überlassen. Nur ein offener, transparenter und fairer Wettbewerb kann dies verhindern und gewährleisten, dass Schlüsseltechnologien und Daten in Europa bleiben.

Ein offener Wettbewerb bedeutet nicht nur die Teilnahme der Privatwirtschaft, sondern auch einheitliche Wettbewerbsbedingungen für alle auf dem Markt verfügbaren Anbieter und Anwendungen. Am Ende sollte der Bürger frei entscheiden können, welches Identity Wallet er nutzen möchte, sofern dieses die notwendigen Sicherheitsstandards erfüllt.

Das Gleiche gilt für die Datenhoheit der Bürger. Jeder Bürger sollte die Möglichkeit haben, seine Daten bei Bedarf zwischen zugelassenen Identity Wallets zu übertragen. Ein offener Wettbewerb bedeutet also auch Datensouveränität für die Bürger.

Ein hervorragendes Beispiel ist hier die digitale Identität SPID aus Italien. Das Public Digital Identity System wurde zwar von der staatlichen Agency for Digital Italy (AgID) entwickelt, aber erlaubt es sowohl Behörden als auch privaten Dienstleistern, die SPID für italienische Bürger zu erzeugen. Die sogenannten Digital Identity Provider (IdP), also private Identitätsdienstleister, können sich durch die AgID zertifizieren lassen, um eine SPID zu generieren. Dabei hat der Bürger eine freie und breite Auswahl, bei welchem Identity Provider und mit welcher Identifizierungsmethode er seine SPID erstellen möchte. Ebenso ist es möglich, mehrere digitale Identitäten bei unterschiedlichen Identitätsdienstleistern zu führen. Damit zeigt die italienische SPID, wie ein offenes Ökosystem aus Staat, Behörden und der privaten Wirtschaft nutzerfreundliche Identity-Lösungen für die Bürger liefern kann.

Nach einem Blick auf die schleichende Verbreitung der deutschen eID, sowie dem aktuellen Fehlstart der ID Wallet und einem zweiten Blick in das europäische Ausland, ist eindeutig, dass nutzerfreundliche Identity Wallet Lösungen nur gemeinsam mit der Privatwirtschaft entwickelt werden können.

Dabei soll nicht infrage gestellt werden, dass Identität eine zentrale Säule des Staates ist und durch diesen ausgegeben werden muss. Auch Ansätze wie das VideoIdent-Verfahren nutzen den staatlichen Ausweis und damit die staatliche Identität. Für eine erfolgreiche Identität ist der Staat als Vertrauensanker und Rahmengeber unerlässlich. Er gibt die Sicherheitsrichtlinien vor und sorgt für die Zertifizierungen. Die Entwicklung und der Betrieb von nutzerfreundlichen Lösungen ist jedoch eindeutig eine Stärke der Privatwirtschaft und sollte dieser überlassen werden. So entsteht ein gesundes Ökosystem, in dem stets der Nutzer im Mittelpunkt steht.

Die zukünftige Regierung hat jetzt die Chance sich von Anfang an, der Privatwirtschaft und dem freien Markt zu öffnen und dabei alle verfügbaren Kompetenzen und Dynamiken zu bündeln. Nur wenn Bund und Privatwirtschaft ihre Stärken vereinen, können sich Identity Wallets in Deutschland durchsetzen und ein Erfolg werden.

Armin Bauer ist Mitgründer und CTO von IDnow, eine Plattform für Identitätsprüfung.