Am 6. Dezember 2022 hat der EU-Rat seinen Standpunkt zur vorgeschlagenen Reform der eIDAS-Verordnung aus dem Jahre 2014 festgelegt. eIDAS setzt die Regeln für elektronische Identifizierung und Vertrauensdienste in Europa. Mit dem Update eIDAS 2.0 will die EU den nationalen Flickenteppich digitaler IDs auflösen und einem europaweit geltenden ID-Standard zum Durchbruch verhelfen. Die Positionierung des EU-Parlaments wird in wenigen Tagen erwartet. Damit die eIDAS-Reform gelingt, müssen allerdings dringend einige Kernanforderungen erfüllt werden.
Mit eIDAS 2.0 sollen die EU-Mitgliedsstaaten verpflichtet werden, eine elektronische Brieftasche (ID-Wallet) anzubieten, mit der sich Bürgerinnen und Bürger EU-weit ausweisen und identifizieren können, um öffentliche und private Dienstleitungen in Anspruch zu nehmen. Damit zielt die Reform auf einen gemeinsamen Rechtsrahmen für Verwaltung und Privatwirtschaft: Mit einer einzigen digitalen Identität sollen neue Möglichkeiten für den Zugang zu öffentlichen und privaten Online-Diensten geschaffen werden. Aber der Vorschlag des EU-Rates hat einen folgenschweren Konstruktionsfehler, der die Verbreitung des Standards weiter lähmen wird.
Hoheitliche Identifizierung erst dann, wenn man sie braucht
Denn schaut man sich die Dienste einmal hinsichtlich des geforderten Identifizierungsniveaus und der Nutzungshäufigkeit an, so stellt man zweierlei fest: Erstens gibt es nur eine begrenzte Anzahl von Anwendungen, die eine hochrangige Überprüfung erfordern (z. B. Personenstandsdokumente, Kreditauskünfte, Einkommensnachweise). Diese sind zwar für eine flächendeckende Digitalisierung der Verwaltung notwendig, werden aber von Seiten der Bürgerinnen und Bürger sehr selten – im Schnitt weniger als einmal pro Jahr – genutzt.
Zweitens: Die Mehrheit der Anwendungsfälle für eine Online-Identifizierung liegt im privaten Sektor. Dabei handelt es sich um täglich genutzte Dienste wie E-Mail, soziale Netzwerke, Messenger, Musik- und Videostreaming sowie Mobilitätsservices. Ihnen gemeinsam ist, dass sie keinen hohen qualifizierten Identitätsnachweis erfordern. Wer Erfolg mit einer Identitätslösung haben will, kann auf die Integration dieser Anwendungsfälle nicht verzichten, um schnell Verbreitung bei Nutzern und Unternehmen zu finden und akzeptiert zu werden.
Die Abstimmung im EU-Rat Anfang Dezember ging jedoch anders aus. Die Mitgliedsstaaten haben für eine Fokussierung auf höhere Verbindlichkeitsstufen der Identifizierung votiert. Diese Festlegung führt dazu, dass man sich erst per Personalausweis identifizieren muss, um die Wallet überhaupt nutzen zu können. Damit wird die Wallet praktisch zum Staatssystem, deren Funktion nur dann gewährleistet ist, nachdem sich der Nutzer staatlich identifiziert hat.
Aufgrund der wenigen Anwendungsmöglichkeiten ist die Wahrscheinlichkeit hoch, dass die Nutzenden sich nicht identifizieren und damit auf die Aktivierung der Wallet gänzlich verzichten. Um dies zu vermeiden, muss die Wallet mit den niederrangigeren Massenanwendungsfällen kompatibel gemacht werden. Andernfalls wird die Staats-Wallet bestenfalls eine weitere inaktive App auf dem Smartphone sein und sich zu den 80 Prozent der nicht genutzten Anwendungen gesellen.
Apple, Google, Facebook: Konkurrenz für die EU-ID
Eine an der täglichen Praxis orientierte EU-ID sollte daher eine staatliche Identifizierung erst dann fordern, wenn es für die Nutzenden einen konkreten Anwendungsfall und damit den Bedarf gibt (Prinzip des Upgrades). Auch ohne diese staatliche Identifizierung sollte die Wallet bereits für Anwendungsfälle mit geringeren Qualifikationsanforderungen nutzbar sein. Es ist dabei unstrittig, dass auch weiterhin die Hoheit über die Identifizierungsmittel, wie die eID, in der alleinigen Verantwortung der Mitgliedstaaten liegt. Genauso klar ist, dass sich jede privatwirtschaftliche Wallet nach eIDAS zertifizieren lassen muss. Der Zugang zum Zertifizierungsverfahren sollte jedem Betreiber einer Wallet offenstehen.
Erschwerend für die Akzeptanz der EU-Wallet kommt hinzu, dass die EU im Bereich der Massenanwendungen mit bereits etablierten Verfahren wie den ID-Systemen der großen US-Anbieter (Apple-ID, Facebook Connect, Login mit Google) konkurriert. Diese fokussieren sich aktuell auf Nutzer, die keine separaten IDs für jeden einzelnen Dienst erstellen wollen, sondern auf universelle Logins setzen. Diese Entwicklung ist sehr gefährlich, denn die mächtigen Tech-Konzerne sind in der Lage, ihre ID-Dienste mithilfe ihrer Plattformdominanz durchzusetzen und somit einfach Fakten zu schaffen und die Standards nach ihren Vorstellungen zu setzen.
Europa braucht daher ein Gegengewicht: eine sichere Online-Identifikation, die das Einverständnis der Nutzer einholt und zugleich bei der Verarbeitung ihrer Daten den Logiken der Datenschutzgrundverordnung folgt. Diese zeichnet sich durch Datensparsamkeit aus, indem sie nur Daten erhebt, die zur Nutzung der entsprechenden Dienste wirklich nötig sind. Digitale IDs von offiziellen Stellen sollten ebenso für diesen Zweck nutzbar sein wie die von kommerziellen Akteuren, die im europäischen Binnenmarkt operieren. Es gibt bereits ID-Standards in Europa sowie nationale Initiativen, die im Gegensatz zu den geschlossenen Ökosystemen von Google, Facebook und Apple einen Ansatz verfolgen, der für alle Marktteilnehmer offen ist. Manche von ihnen haben bereits eine beachtliche Zahl von Partnern gewonnen, bei deren Diensten sich die ID nutzen lässt.
Die Verknüpfung einer staatlich ausgegebenen Identität mit einer vom Nutzer selbst gewählten Online-Identität innerhalb einer Wallet ist daher der Schlüssel für den Erfolg der EU-ID. Hierzu müssen zum einen die unterschiedlichen Vertrauensstufen in der Wallet abgebildet werden. Zum anderen muss die Nutzung der Wallet über bereits bestehende Online-Identitäten aus dem Privatsektor attraktiv gemacht werden.
Um mit Blick auf die dominierenden US-Unternehmen das erklärte Ziel einer europäischen Alternative zu erreichen, sind folgende Anforderungen an die eIDAS-Reform unabdingbar:
- Jede Wallet (auch privatwirtschaftliche) muss sich rein technisch bereits vorab nach den Kriterien für eine EU-Wallet prüfen und zertifizieren lassen können.
- Sie darf die entsprechende Kennzeichnung – pro Nutzer – jedoch erst führen, sobald der jeweilige Nutzer seine Identität, auf hohem Niveau, nach den Kriterien der eIDAS 2.0 nachgewiesen und mit „einer“ Wallet verknüpft hat. Das kann in der Wallet stattfinden, sobald ein konkreter Anwendungsfall es erfordert.
- Eine „Wallet“ wird erst durch die Verknüpfung mit einer staatlichen Identität zur „echten“, zertifizierten „EU-Wallet“, nach den Kriterien von eIDAS 2.0.
- Ein EU-weites Level Playing Field muss sichergestellt sein, sei es durch Gutachter (Peer-Reviews) oder mittels einer EU-weit zentralen Kontrolle durch Konformitätsbewertungsstellen.
- Jegliche Datenhaltung muss auf Europa beschränkt werden, um auch wirklich sicher stellen zu können, dass die besonders kritischen Identitätsdaten nicht in die Hände fremder Behörden geraten.
Die EU-Kommission strebt an, dass bis zum Jahr 2030 rund 80 Prozent der Bürgerinnen und Bürger die Wallet nutzen. Ohne die Einbindung bereits existierender privatwirtschaftlicher IDs, Anwendungsfälle und Wallets wird dies nicht gelingen. Durch eine strenge Zertifizierung nach eIDAS 2.0 mit ausschließlicher Datenhaltung in Europa lässt es sich ferner vermeiden, dass die EU-Wallet in die Hände marktmächtiger US-Plattformen fällt, die mit ihren ID-Lösungen in alle Märkte drängen und bisher sehr wenig Bereitschaft gezeigt haben, europäische Lösungen zu schaffen.
Der Autor Jan Oetjen ist Geschäftsführer von Web.de und GMX sowie Vorsitzender des Stiftungsrats der European netID Foundation.
