Die Novellierung der eIDAS-Verordnung zu einer „eIDAS 2.0“ ist ein zentraler Bestandteil der Digitalstrategie der Europäischen Union. Neben vielen Detailänderungen soll mit der eIDAS 2.0 vor allem die EU Digital Identity Wallet eingeführt werden. Als Basisfunktion bietet die Wallet EU-Bürgerinnen und -Bürgern die Möglichkeit, sich europaweit mit ihrer hoheitlichen Identität elektronisch auszuweisen. Personen werden sich auch bei staatlichen Online-Diensten und Angeboten großer Internetkonzerne anmelden können.
Alleiniger Fokus auf die europäische ID
Auch Deutschland scheint, wie Tagesspiegel Background berichtete, jetzt voll auf die europäische Version der digitalen Identität zu setzen. Eigentlich sollte noch im vierten Quartal 2023 die Smart-eID erscheinen. Das ist eine Art Kopie der Daten aus dem Personalausweis, die auf mobilen Endgeräten gespeichert und unabhängig von der Ausweiskarte abgerufen werden kann. Doch dieser Ansatz fiel den Haushaltsverhandlungen zum Opfer. Aus Marktsicht einerseits verkraftbar: Unternehmen können sich auf die europäische Variante der digitalen Identität konzentrieren. Anderseits auch ein ziemliches Klumpenrisiko, das alle Teilnehmenden jetzt zum Erfolg zwingt.
Häufige Nutzung indiziert starke Verbreitung
Schon Anfang November 2023 beendeten das Europäische Parlament und der Rat die Trilog-Verhandlungen über die eIDAS 2.0, final verabschiedet wurde die Verordnung aber noch nicht. Viel gestritten wurde über den Einfluss, den technische Vorgaben der Wallet auf die Privatsphäre im Internet haben.
Eine weitere Schwachstelle der Novellierung hat weniger Aufmerksamkeit bekommen, dabei ist sie aus der Sicht vieler Beteiligter erfolgskritisch. Nach weit verbreiteter Meinung müssen digitale Identitäten gerade von Banken akzeptiert werden, um sich in einer Gemeinschaft durchzusetzen. Als Vorbild werden Norwegen, Schweden, Dänemark und Finnland genannt. Dort hat man einen Schulterschluss zwischen ID-Anbietern und Banken schon vor Jahren gewagt und eine breite Nutzung in der Bevölkerung erreicht. Das liegt auch nahe, wenn man sich vor Augen hält, dass es sich um mehrere Milliarden Transaktionen pro Jahr in Europa allein im Zahlungsverkehr handelt. Wer etwa den Login in das Online-Banking oder die Freigabe einer Online-Zahlung mit einer bestimmten Wallet erledigen kann, hat auch ständig Anlass, diese Wallet zu nutzen.
Unklarer Verordnungstext
Tatsächlich teilt auch die EU-Kommission in einer Pressemitteilung mit, die Wallet würde es Nutzern ermöglichen, Zahlungen auszulösen. Das Problem: Der Verordnungstext, der bald verabschiedet werden soll, sagt etwas anderes. Während Behörden und große Technologieunternehmen zweifelsfrei verpflichtet sind, die Wallet zu akzeptieren, bleibt der Text bei Zahlungsdienstleistern im Ungefähren. Banken und Zahlungsdienstleister verpflichtet er dazu, die Wallet zu akzeptieren, wenn sie verpflichtet sind, eine „starke Kundenauthentifizierung für Online-Identifizierung“ durchführen („strong user authentication for online identification“).
Allerdings: Eine Pflicht, für online abgewickelte Identifizierungsvorgänge eine starke Kundenauthentifizierung durchzuführen, gibt es nicht. Die starke Kundenauthentifizierung, auch Zwei-Faktor-Authentifizierung genannt, beschreibt einen auf zwei Faktoren beruhenden Vorgang, mit dem Zahlungsdienstleister die erbrachten technischen Identitätsnachweise prüfen; zum Beispiel, ob eine PIN zur Karte passt. Dieser Vorgang dient aber nicht dazu, Personen zu identifizieren, wie das aus geldwäscherechtlichen Gründen etwa bei der Eröffnung eines Kontos erforderlich ist. Die Akzeptanzpflicht, die der Verordnungsentwurf enthält, könnte also niemanden treffen.
Erkennbarer, aber wenig belastbarer Wille
Es gibt zahlreiche Anhaltspunkte dafür, dass mit der eIDAS 2.0 eigentlich eine Pflicht der Zahlungsdienstleister zur Akzeptanz der Wallet geregelt werden sollte. In den dem Verordnungsentwurf vorangestellten Erwägungsgründen ist etwa davon die Rede, dass mit der Wallet die Online-Identifizierung zum Zwecke der Kontoanmeldung und der Einleitung von Transaktionen im Bereich der Zahlungsdienste unterstützt werden soll.
Auch in anderen Gesetzen bringt der Gesetzgeber diesen Willen zum Ausdruck. In den Erwägungsgründen des Entwurfs einer neuen Verordnung über Zahlungsdienste (PSR) heißt es konkret, dass die Wallet auch die Authentifizierung von Zahlungen ermöglichen soll. In den Begleitmaterialien zu ihrem Vorschlag für einen digitalen Euro setzt die EU-Kommission auch voraus, dass auch Zahlungen mit dem digitalen Euro mit der Identity Wallet autorisiert werden können. Solche Quellen haben aber nicht die Verbindlichkeit eines Gesetzestextes. Der Europäische Gerichtshof hat auch schon mehrfach ausdrücklich ausgesprochen, dass er den Erwägungsgründen nur ein geringes Gewicht bei der Auslegung unklarer Passagen von Verordnungen beimisst.
Klarstellung wäre einfach
Über die Folgen solcher Unklarheiten für das Verhalten der europäischen Zahlungsdienstleister lässt sich nur spekulieren. Klar ist bei aller Heterogenität aber: Die bestehenden Systeme funktionieren. Klar ist auch, dass die Anbindung der Wallet an ihre Systeme für alle Marktteilnehmer mit einem erheblichen zeitlichen und finanziellen Aufwand verbunden wäre. Nicht nur Skeptikern, sondern auch Befürwortern einer solchen Wallet wäre mit einer Klarstellung geholfen. Unklarheiten können Entscheidungen für die Anbindung der Wallet oder für Alternativen verzögern.
Der europäische Verordnungsgeber kann diese Unsicherheit mit minimalen Änderungen am Gesetzestext beseitigen, und zwar sowohl dann, wenn er eine Akzeptanzpflicht regeln wollte, als auch dann, wenn er das Gegenteil im Sinne hat. Er könnte entweder den Zusatz „for online identification“ in der eIDAS 2.0 definieren. Über diese Definition könnte er regeln, welche Vorgänge genau Gegenstand der Akzeptanzpflicht sein sollen. Er könnte aber auch den Zusatz „for online identification“ einfach streichen. Dann enthielte die Vorschrift für jede Art von starker Kundenauthentifizierung eine Pflicht zur Akzeptanz der Wallet. Wichtig ist in beiden Fällen eines: mehr Klarheit.
Christian Lange-Hausstein und Tim Kremer sind Rechtsanwälte im Digitallabor des Deutschen Sparkassen- und Giroverbandes e.V. Der Gastbeitrag basiert auf einem Diskussionspapier der beiden Autoren. Die in diesem Artikel geäußerten Ansichten geben ausschließlich deren persönliche Meinung wieder.