Die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen am Binnenmarkt“ (eIDAS) von 2014 war ein wichtiger erster Schritt: Sie hat sichere digitale Identitäten und Vertrauensdienste europaweit etabliert und damit die Voraussetzungen für die Digitalisierung von Wirtschaft und Verwaltung in Europa geschaffen. Allerdings blieben die Ergebnisse hinter den Erwartungen im Bereich der Verwendung der elektronischen Identifizierung eID zurück – auch weil sie nicht konsequent in allen Mitgliedstaaten umgesetzt wurde. So hatten bis 2021 nur 14 von 27 EU-Staaten eine digitale Identität für ihre Bürger und Bürgerinnen eingeführt. Aus Sicht der EU-Kommission wurde eine Neufassung der eIDAS-Verordnung notwendig, um Mängel der aktuellen Verordnung zu beseitigen und neue technische Möglichkeiten zu berücksichtigen.
Gesellschaft soll von Digitalisierung profitieren und selbstbestimmt bleiben
Die Grundprämissen für diese Weiterentwicklung waren insbesondere staatliche Souveränität, gegenseitige Anerkennung, harmonisierte Standards und – aus der Sicht der Nutzenden – hohe Sicherheit, Transparenz, Benutzerfreundlichkeit und Selbstbestimmtheit.
Gerade letztere wird durch Dominanz globaler Tech-Giganten in der digitalen Transformation infrage gestellt. Dies ist insbesondere bei digitalen Identitäten und dem europäischen Vertrauensraum eine Herausforderung für die digitale Souveränität. Sollen Bürger und Bürgerinnen von der Digitalisierung selbstbestimmt profitieren, sollte die Nutzung der digitalen Identitäten auch unabhängig von sogenannten Single-Sign-ons der „US-Internetriesen“ erfolgen können.
Digitale Identitäten über Grenzen hinweg
Die eIDAS-Novelle verpflichtet die EU-Mitgliedstaaten, natürlichen und juristischen Personen eine sogenannte EUDI-Wallet zur Verfügung zu stellen. Diese digitale Brieftasche soll eine digitale Identität, qualifizierte elektronische Signatur und qualifiziertes elektronisches Siegel sowie weitere sogenannte Attribute wie etwa Bildungsabschluss oder Fahrerlaubnis enthalten. Sie wird über Ländergrenzen hinweg sowohl gegenüber dem Staat als auch in der Privatwirtschaft in der EU und dem Europäischen Wirtschaftsraum (EWR) nutzbar sein.
Damit werden die Voraussetzungen dafür geschaffen, EU-Bürgern und -Bürgerinnen einen einfachen Zugang zu einem weiten Spektrum öffentlicher und privater Online-Dienste zu ermöglichen. Sie müssen dafür weder private Identifizierungsmethoden nutzen noch unnötig personenbezogene Daten weitergeben. Sie behalten stets die Hoheit über ihre eigenen Daten. Zugleich wird die Bereitstellung der qualifizierten digitalen Signatur ein entscheidender Faktor sein, die Digitalisierung der Verwaltung weiter voranzubringen.
Weitere Vertrauensdienste für den europäischen Vertrauensraum
Zusätzlich setzt eIDAS 2.0 auf neue Regelungen zu Vertrauensdiensten: So sollen Webbrowser den Nutzenden künftig qualifizierte Zertifikate für die Website-Authentifizierung anzeigen, sogenannte QWACs. Nutzende können dann erkennen, dass nach EU-Standards überprüft wurde, ob hinter der aufgerufenen Website wirklich jenes Unternehmen steht, das im Browser angezeigt wird. Phishing-Attacken können so verhindert und der Verbraucherschutz gestärkt werden.
Die EU-Kommission hat sich mit ihrem Vorschlag bewusst gegen die Marktmacht globaler Digitalkonzerne gestellt. Diese haben eigene Ökosysteme – mit von ihnen geprüften Anbietern von Zertifikaten, an denen sie festhalten wollen. Es ist ein mutiger Schritt, gegen diesen großen Widerstand eigene europäische Standards – deren Anwendung transparent von europäischen Aufsichtsbehörden überwacht werden – als Grundlage für den Europäischen Vertrauensraum zu setzen.
Unter den neuen Vertrauensdiensten findet sich auch die qualifizierte elektronische Attestierung von Attributen (QEAA). Dieser Dienst folgt der Idee, dass eine Identität bedeutend mehr umfasst als Vor- und Zuname, Wohnort und Geburtsdatum. Deshalb sollen qualifizierte Vertrauensdiensteanbieter weitere Attribute wie Bildungsabschlüsse oder die Angehörigkeit zu einer Berufsgruppe bestätigen können. Der Dienst ergänzt damit die Funktionalität der EUDI-Wallet. Die entsprechenden Attribute können bei spezifischen Online-Transaktionen genutzt werden: bei einer Online-Bewerbung etwa eine Berufsqualifikation oder der Clubbesuch mit dem Nachweis der Volljährigkeit. Dabei wird auch das Prinzip der Datensparsamkeit beachtet, sodass die vertrauende Stelle nur die hier unbedingt nötigen Daten erhält.
Ausgestaltung der Wallet entscheidet über Erfolg
eIDAS 2.0 soll zudem mehr Einheitlichkeit bei Vertrauensdiensten und digitalen Identitäten in allen EU-Mitgliedstaaten gewährleisten. Bei der Umsetzung der Wallet sind diverse Herausforderungen zu meistern:
Es müssen die sogenannten delegierten Rechtsakte erlassen und die nötigen einheitlichen Standards und Normen in der EU geschaffen und europaweit technisch implementiert werden. Die Vielfalt der Anwendungsfälle, die Benutzerfreundlichkeit, die Interoperabilität und die Vertrauenswürdigkeit der Lösungen werden mitentscheidend dafür sein, ob das Potenzial der Wallet ausgeschöpft wird.
Aus Sicht des qualifizierten Vertrauensdiensteanbieters D-Trust wäre dabei zielführend, wenn der Bund eine nationale EUDI-Wallet mit der eID als Kernidentität und offenen Schnittstellen als nutzbare Referenzimplementierung zur Verfügung stellte. Die Ausgabe privatwirtschaftlicher Nachweise sowie die Entwicklung kompatibler Wallets oder Apps sollte darüber hinaus allen Marktteilnehmern offenstehen. So können einerseits Datenschutz, Sicherheit und Vertrauen bestmöglich gewährleistet werden und zugleich ein gesunder Wettbewerb entstehen.
Digitale Identität und Vertrauensdienste gehören dabei zusammen, denn die Anbieter von Vertrauensdiensten müssen die grundlegenden Komponenten des europäischen Vertrauensraums letztlich auch bereitstellen.
Gemeinsame Kraftanstrengung notwendig
Die EU-Kommission hat das Ziel formuliert, dass bis zum Jahr 2030 mindestens 80 Prozent der Bürger und Bürgerinnen eine digitale Identität nutzen. Erreicht werden kann dies nur, wenn alle Beteiligten zusammenarbeiten und ein Ökosystem für digitale Identitäten etablieren, das die Forderungen nach Sicherheit, Transparenz, Selbstbestimmtheit, Benutzerfreundlichkeit und vielen Einsatzmöglichkeiten gewährleistet.
Das Bundesministerium des Innern und für Heimat hat dafür bereits einen umfassenden Konsultationsprozess aufgesetzt. Zugleich arbeitet Deutschland unter anderem beim französisch-deutsch geführten Konsortium Potential mit, an dem insgesamt 20 Staaten beteiligt sind. Hier sollen Anwendungsfälle für die grenzüberschreitende digitale Identifizierung und der Einsatz von Vertrauensdiensten erprobt werden – und die Ergebnisse bei der Entwicklung der deutschen Wallet einfließen. Die Bundesdruckerei sowie der qualifizierte Vertrauensdiensteanbieter D-Trust bringen sich bei diesen Umsetzungsprozessen zur Stärkung der digitalen Zukunft Europas umfassend ein.
Kim Nguyen ist Geschäftsführer des qualifizierten Vertrauensdienstleisters D-Trust GmbH, einem Unternehmen der Bundesdruckerei-Gruppe, in dem er seit 2004 tätig ist. Er studierte Mathematik und Physik in Göttingen, Cambridge und Essen, wo er im Jahre 2001 in reiner Mathematik promovierte.
