Mit der Zustimmung zur Änderung der eIDAS-Verordnung bereitet der EU-Rat den Weg für die EUid-Wallet. Diese soll bis 2030 flächendeckend in Europa genutzt werden können. Datenschützer kritisieren den Vorstoß.
Überblick zur EUid-Wallet
Der EU-Rat hat die Änderung der Verordnung über elektronische Identifizierung und elektronische Transaktionen im Binnenmarkt (eIDAS-Verordnung) aus dem Jahr 2014 beschlossen. Die Anpassung der Verordnung an die aktuellen Gegebenheiten schafft den Rahmen für eine europäische digitale Identität. Zentrales Element dabei ist die Einführung einer EUid-Wallet, einer digitalen Brieftasche: Ausweise, Gesundheitskarten, Zeugnisse und viele andere Dokumente sollen EU-Bürgerinnen und EU-Bürger schon bald in einer App digital auf dem Smartphone hinterlegt haben und nutzen. Die EUid-Wallet ist allerdings ein Albtraum für Datenschützer und Bürgerrechtler.
Im Dezember 2022 hat der EU-Rat der Änderung der Verordnung (EU) Nr. 910/2014 zugestimmt, die in Kürze vom Europäischen Parlament verabschiedet werden wird. Die eIDAS-Verordnung regelt seit 2014 die „elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen“ (Electronic IDentification, Authentication and Trust Services) im europäischen Binnenmarkt. Die Änderung verpflichtet alle EU-Mitgliedsstaaten dazu, eine „Brieftasche für die europäische digitale Identität“, die auch als EUid-Brieftasche, EUid-Wallet oder einfach nur als ID-Wallet bezeichnet wird, bereitzustellen. Gemeint ist damit eine Smartphone-App, die eine einheitliche Online- und Offline-Identifizierung von EU-Bürgerinnen und EU-Bürgern innerhalb der Europäischen Union ermöglicht. Gleichzeitig soll die App als Sammelordner für digitale Dokumente aller Art dienen und z. B. Ausweise, Gesundheitskarten, Zeugnisse, aber auch Eintritts- oder Mitgliedskarten DSGVO-konform aufnehmen und bereitstellen können.
Digitale Identitäten für unterschiedlichste Zwecke
Ziel der EU ist es, mit der Änderung der eIDAS-Verordnung den Rahmen für eine einheitliche europäische digitale Identität zu schaffen und nationalen Alleingängen entgegenzuwirken. Auf der Basis der eIDAS-Verordnung von 2014 haben bisher nur 19 der 27 EU-Mitgliedsstaaten digitale Identitätsnachweise eingeführt, von denen die meisten nicht miteinander kompatibel sind. So kann etwa der deutsche digitale Personalausweis nur innerhalb Deutschlands eingesetzt werden.
Anders als bisher sieht die überarbeitete eIDAS-Verordnung auch vor, dass die digitalen Ausweise und Dokumente, die in der EUid-Wallet vorhanden sind, nicht nur von Behörden, sondern auch von privaten Unternehmen genutzt werden können. Große Internetplattformen wie Google, Amazon, Facebook und eBay, aber auch Banken und Versicherungen sollen verpflichtet werden, die EUid-Wallet zu unterstützen. Andere Anbieter, wie Reiseveranstalter, Hotels, Autovermieter oder Online-Händler können das System freiwillig nutzen.
Nach dem Willen der EU bleibt die Datenhoheit dabei immer bei den EU-Bürgern. In ihrer Rede zur Lage der Union, formulierte die Präsidentin der Europäischen Kommission, Ursula von der Leyen, dies so: „Die Bürgerinnen und Bürger [können die europäische digitale Identität] überall in Europa nutzen, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.“
Harsche Kritik von Datenschützern und Bürgerrechtlern
Während Behörden und Unternehmen die geplante Änderung der eIDAS-Verordnung durchaus positiv sehen, ist die EUid-Wallet für viele Datenschützer, Bürgerrechtler und IT-Sicherheitsexperten ein digitaler Albtraum. Wie auch der Bundesdatenschutzbeauftragte Prof. Ulrich Kleber warnen sie davor, dass bei einer „universellen“ digitalen Brieftasche, die außer mit einer staatlich signierten Ausweiskopie noch mit diversen anderen Dokumenten gefüllt ist, neben dem zentralen Datenklau ein profilübergreifendes Tracking drohe. Außerdem würden dort Informationen aus zahlreichen Lebensbereichen zusammengeführt, die die EU-Bürgerinnen und EU-Bürgern „gläsern“ machten. Da die Wallet-App nicht nur bei Behörden und Banken, sondern etwa auch bei Arztbesuchen, Alterskontrollen, Konzert-, Kino- und Theaterbesuchen oder bei Reise- und Hotelbuchungen eingesetzt werden soll, müssten auch Vorkehrungen dafür getroffen werden, dass nicht länger benötigte Daten unverzüglich gelöscht werden.
Da viele rechtliche und technische Details noch gar nicht feststehen, kann die Umsetzung der geplanten eIDAS-Verordnung noch nicht bewertet werden. Auf besonders massive Kritik stößt aber bereits jetzt, dass in der vorliegenden Fassung der Änderung vorgesehen ist, dass beim Datentransfer mit QWACs (Qualified Website Authentication Certificates) veraltete und unsichere Sicherheitszertifikate eingesetzt werden sollen.
EUid-Wallets werden ab 2024 eingeführt
Nachdem das Europäische Parlament der Änderung der eIDAS-Verordnung zugestimmt hat, soll diese noch 2023 in den einzelnen EU-Mitgliedsstaaten umgesetzt werden. Die ersten EUid-Wallets sollen 2024 eingeführt werden. Bis 2030 soll jeder Mitgliedsstaat die EUid-Wallet bereitgestellt haben. Erklärtes Ziel der EU ist es, dass 2030 bereits 80 Prozent aller Bürgerinnen und Bürger die EUid-Wallet nutzen.