Digitalisierung-KI icon

Digitalisierung & KI

Standpunkte Klare EU-Vorgaben für Digitale Identität nötig

Tim Kremer und Christian Lange-Hausstein (Sparkassen- und Giroverband)
Tim Kremer und Christian Lange-Hausstein (Sparkassen- und Giroverband) Foto: Privat

Mit ihrer Digital Identity Wallet will die EU die Souveränität Europas an einem neuralgischen Punkt stärken. Dazu verpflichtet sie sowohl Behörden als auch große Plattformen, die Wallet in ihren Prozessen zu akzeptieren. Doch wie die Kooperation zwischen Staat und Zahlungsdienstleistern aussehen soll, ist noch unklar, schreiben Christian Lange-Hausstein und Tim Kremer vom Deutschen Sparkassen- und Giroverband .

von Tim Kremer und Christian Lange-Hausstein

veröffentlicht am 07.12.2023

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Die Novellierung der eIDAS-Verordnung zu einer „eIDAS 2.0“ ist ein zentraler Bestandteil der Digitalstrategie der Europäischen Union. Neben vielen Detailänderungen soll mit der eIDAS 2.0 vor allem die EU Digital Identity Wallet eingeführt werden. Als Basisfunktion bietet die Wallet EU-Bürgerinnen und -Bürgern die Möglichkeit, sich europaweit mit ihrer hoheitlichen Identität elektronisch auszuweisen. Personen werden sich auch bei staatlichen Online-Diensten und Angeboten großer Internetkonzerne anmelden können.

Alleiniger Fokus auf die europäische ID

Auch Deutschland scheint, wie Tagesspiegel Background berichtete, jetzt voll auf die europäische Version der digitalen Identität zu setzen. Eigentlich sollte noch im vierten Quartal 2023 die Smart-eID erscheinen. Das ist eine Art Kopie der Daten aus dem Personalausweis, die auf mobilen Endgeräten gespeichert und unabhängig von der Ausweiskarte abgerufen werden kann. Doch dieser Ansatz fiel den Haushaltsverhandlungen zum Opfer. Aus Marktsicht einerseits verkraftbar: Unternehmen können sich auf die europäische Variante der digitalen Identität konzentrieren. Anderseits auch ein ziemliches Klumpenrisiko, das alle Teilnehmenden jetzt zum Erfolg zwingt.

Häufige Nutzung indiziert starke Verbreitung

Schon Anfang November 2023 beendeten das Europäische Parlament und der Rat die Trilog-Verhandlungen über die eIDAS 2.0, final verabschiedet wurde die Verordnung aber noch nicht. Viel gestritten wurde über den Einfluss, den technische Vorgaben der Wallet auf die Privatsphäre im Internet haben.

Eine weitere Schwachstelle der Novellierung hat weniger Aufmerksamkeit bekommen, dabei ist sie aus der Sicht vieler Beteiligter erfolgskritisch. Nach weit verbreiteter Meinung müssen digitale Identitäten gerade von Banken akzeptiert werden, um sich in einer Gemeinschaft durchzusetzen. Als Vorbild werden Norwegen, Schweden, Dänemark und Finnland genannt. Dort hat man einen Schulterschluss zwischen ID-Anbietern und Banken schon vor Jahren gewagt und eine breite Nutzung in der Bevölkerung erreicht. Das liegt auch nahe, wenn man sich vor Augen hält, dass es sich um mehrere Milliarden Transaktionen pro Jahr in Europa allein im Zahlungsverkehr handelt. Wer etwa den Login in das Online-Banking oder die Freigabe einer Online-Zahlung mit einer bestimmten Wallet erledigen kann, hat auch ständig Anlass, diese Wallet zu nutzen.

Unklarer Verordnungstext

Tatsächlich teilt auch die EU-Kommission in einer Pressemitteilung mit, die Wallet würde es Nutzern ermöglichen, Zahlungen auszulösen. Das Problem: Der Verordnungstext, der bald verabschiedet werden soll, sagt etwas anderes. Während Behörden und große Technologieunternehmen zweifelsfrei verpflichtet sind, die Wallet zu akzeptieren, bleibt der Text bei Zahlungsdienstleistern im Ungefähren. Banken und Zahlungsdienstleister verpflichtet er dazu, die Wallet zu akzeptieren, wenn sie verpflichtet sind, eine „starke Kundenauthentifizierung für Online-Identifizierung“ durchführen („strong user authentication for online identification“).

Allerdings: Eine Pflicht, für online abgewickelte Identifizierungsvorgänge eine starke Kundenauthentifizierung durchzuführen, gibt es nicht. Die starke Kundenauthentifizierung, auch Zwei-Faktor-Authentifizierung genannt, beschreibt einen auf zwei Faktoren beruhenden Vorgang, mit dem Zahlungsdienstleister die erbrachten technischen Identitätsnachweise prüfen; zum Beispiel, ob eine PIN zur Karte passt. Dieser Vorgang dient aber nicht dazu, Personen zu identifizieren, wie das aus geldwäscherechtlichen Gründen etwa bei der Eröffnung eines Kontos erforderlich ist. Die Akzeptanzpflicht, die der Verordnungsentwurf enthält, könnte also niemanden treffen.

Erkennbarer, aber wenig belastbarer Wille

Es gibt zahlreiche Anhaltspunkte dafür, dass mit der eIDAS 2.0 eigentlich eine Pflicht der Zahlungsdienstleister zur Akzeptanz der Wallet geregelt werden sollte. In den dem Verordnungsentwurf vorangestellten Erwägungsgründen ist etwa davon die Rede, dass mit der Wallet die Online-Identifizierung zum Zwecke der Kontoanmeldung und der Einleitung von Transaktionen im Bereich der Zahlungsdienste unterstützt werden soll.

Auch in anderen Gesetzen bringt der Gesetzgeber diesen Willen zum Ausdruck. In den Erwägungsgründen des Entwurfs einer neuen Verordnung über Zahlungsdienste (PSR) heißt es konkret, dass die Wallet auch die Authentifizierung von Zahlungen ermöglichen soll. In den Begleitmaterialien zu ihrem Vorschlag für einen digitalen Euro setzt die EU-Kommission auch voraus, dass auch Zahlungen mit dem digitalen Euro mit der Identity Wallet autorisiert werden können. Solche Quellen haben aber nicht die Verbindlichkeit eines Gesetzestextes. Der Europäische Gerichtshof hat auch schon mehrfach ausdrücklich ausgesprochen, dass er den Erwägungsgründen nur ein geringes Gewicht bei der Auslegung unklarer Passagen von Verordnungen beimisst.

Klarstellung wäre einfach

Über die Folgen solcher Unklarheiten für das Verhalten der europäischen Zahlungsdienstleister lässt sich nur spekulieren. Klar ist bei aller Heterogenität aber: Die bestehenden Systeme funktionieren. Klar ist auch, dass die Anbindung der Wallet an ihre Systeme für alle Marktteilnehmer mit einem erheblichen zeitlichen und finanziellen Aufwand verbunden wäre. Nicht nur Skeptikern, sondern auch Befürwortern einer solchen Wallet wäre mit einer Klarstellung geholfen. Unklarheiten können Entscheidungen für die Anbindung der Wallet oder für Alternativen verzögern.

Der europäische Verordnungsgeber kann diese Unsicherheit mit minimalen Änderungen am Gesetzestext beseitigen, und zwar sowohl dann, wenn er eine Akzeptanzpflicht regeln wollte, als auch dann, wenn er das Gegenteil im Sinne hat. Er könnte entweder den Zusatz „for online identification“ in der eIDAS 2.0 definieren. Über diese Definition könnte er regeln, welche Vorgänge genau Gegenstand der Akzeptanzpflicht sein sollen. Er könnte aber auch den Zusatz „for online identification“ einfach streichen. Dann enthielte die Vorschrift für jede Art von starker Kundenauthentifizierung eine Pflicht zur Akzeptanz der Wallet. Wichtig ist in beiden Fällen eines: mehr Klarheit.

Christian Lange-Hausstein und Tim Kremer sind Rechtsanwälte im Digitallabor des Deutschen Sparkassen- und Giroverbandes e.V. Der Gastbeitrag basiert auf einem Diskussionspapier der beiden Autoren. Die in diesem Artikel geäußerten Ansichten geben ausschließlich deren persönliche Meinung wieder.

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen