EU-Kommission probt Eigenermächtigung Verordnete digitale Identität hebelt Privatsphäre aus

Von Mario Martin

Im Sommer des letzten Jahres legte die EU-Kommission eine Verordnung zur Schaffung einer einheitlichen europäischen digitalen Identität vor. Diese „eIDAS-Verordnung“ setzt den Rahmen für das geplante “Electronic IDentification, Authentication and Trust Services”-System.

Für das Projekt stehen 37 Millionen Euro zur Verfügung, die für die Entwicklung der Infrastruktur für digitale Ausweise durch das EU-Förderprogramm für Digitalisierung bereitgestellt werden. Betreut wird das Projekt durch das spanische Unternehmen “Electronic Identification, S.L.”, kurz eID. Laut eigener Angabe ist eID “der weltweit führende Anbieter von Systemen zur Fernidentifizierung von Benutzern per Video-Streaming. Das Unternehmen wurde 2013 als Softwarehersteller im Bereich der Regulierungstechnologie (RegTech) gegründet.”

Das eIDAS-System soll den Bewohnern der EU eine digitale Identität bringen, die über die Ländergrenzen mit den E-Government-Systemen der Behörden vernetzt ist und damit für die Überprüfung von Rechtsakten innerhalb der Länder genutzt werden kann.

Die über das eIDAS-System abrufbaren amtlichen Dokumente sollen praktisch in allen Lebensbereichen einsetzbar werden, sowohl im privaten Geschäftsbereich, z. B. als Logins auf Facebook und Google, als auch bei der Interaktion mit staatlichen Stellen, z. B. (laut folgender Grafik) beim Beantragen einer Aufenthaltsgenehmigung.

Offen bleibt die Frage, wie oft der Fall vorkommt, dass ein deutscher Staatsbürger überhaupt in Belgien – einem Land des Schengenraumes – eine Aufenthaltsgenehmigung beantragen möchte. Zumal der deutscher Personalausweis dann EU-weit als digitale Identität dienen würde.

“Die eIDAS-Verordnung wird Unternehmen, Bürgern und Behörden helfen, sichere und nahtlose elektronische Interaktionen durchzuführen”, preist die EU-Kommission das Vorhaben an.

Begründet wird das eIDAS-Projekt von der Kommission mit einem erhöhten Bedarf an “vertrauenswürdigen und sicheren Lösungen für die digitale Identität”. Die derzeitige Lösung würde den gestiegenen Marktanforderungen nicht gerecht. Das Konzept einer “starren Identität” hätte ausgedient und erfordere nun die “Bereitstellung und Verwendung einzelner Attribute dieser Identität”. Die Einführung würde mit Effizienzgewinnen und einem hohen Maße an Vertrauen einhergehen, das dem neuen System angeblich entgegengebracht würde.

Daran bestehen jedoch erhebliche Zweifel. Das Projekt verursacht vielmehr ein hohes Maß an Misstrauen.

Datenschützer kritisieren das Projekt scharf. Denn die EU-Kommission hat durch eine “Verordnungsermächtigung” die Möglichkeit, die Verordnung nachträglich eigenständig zu ändern und nicht definierte Inhalte nach eigenem Gusto auszulegen. Was Kritiker fast schon an ein Vorgehen des sowjetischen Politbüros erinnert, kann hier von der ehrwürdigen EU-Kommission betrieben werden: die nachträgliche eigenmächtige Änderung von Verordnungen ohne demokratisch-legislativen Prozess.

In einem Gespräch mit dem österreichischen Radiosender orf.at FM4, berichtet Thomas Lohninger von der Datenschutzorganistation Epicenter.works von der Analyse der Verordnung und des Projekts.

Seine Kollegen und er identifizierten 28 Passagen, bei denen die Verordnungsermächtigung innerhalb der Rahmenverordnung greifen würde. Hier könne die EU-Kommission also später selbst entscheiden, wie der resultierende Gesetzestext formuliert wird. Die Abgeordneten hatten somit gar keine Möglichkeit gehabt, darüber Bescheid zu wissen, worüber sie abstimmten, als sie die Verordnung im November letzten Jahres annahmen.

Die Passagen finden sich insbesondere im Hinblick auf die technischen Details der Umsetzung. Diese würden überhaupt nicht genannt und unterlägen allesamt der Verordnungsermächtigung, warnt Lohninger: “Die technische Umsetzung eines so hochkomplexen Unterfangens wie ein auf digitale Signaturen gestützter, grenz- und sprachraumüberschreitender Amtsverkehr sei aber logischerweise der Schlüssel für jede solche Regelung.”

Die unsaubere Vorgehensweise nähre den Verdacht, dass hinter verschlossenen Türen bereits Absprachen mit europäischen Unternehmen aus der Identifikationsbranche bestehen könnten.

Sollte diese Vermutung korrekt sein, spräche das aber dafür, dass im stillen Kämmerlein bereits an der eID entwickelt wird. Daher erscheint es zumindest leicht widersprüchlich, wenn der Datenschützer mit einem Produkt erst im Jahre 2025 rechnet, da die Vergabe der Fördergelder erst im Mai diesen Jahres erfolgt. Es wäre nicht der erste Fall, in dem die Vergabe eines Großprojekts längst entschieden ist, aber der Rechtsweg proforma eingehalten werden muss.

Weiterhin beklagt Lohninger, das Thema Datenschutz werde in der Verordnung fast vollständig ausgeklammert, obwohl es bei der digitalen Identität um die Übermittlung der sensitivsten persönlichen Daten und Urkunden etwa im Gesundheitsbereich geht.

Die Übermittlung geschehe über eine “digitale Wallet” (digitale Brieftasche), die das Kernkonzept der eID darstelle und die alle Nachweise und Urkunden beinhaltet. Der Nutzer kann entscheiden, welche Daten bzw. Dokumente mit der Wallet an wen übertragen werden.

“Innerhalb von 6 Monaten nach Inkrafttreten dieser Verordnung legt die Kommission technische und betriebliche Spezifikationen und Bezugsnormen für die Anforderungen [..] im Wege eines Durchführungsrechtsakts zur Umsetzung der EUid-Brieftasche fest”, heißt es in der Verordnung Artikel 6a Absatz 11.

Hier finden wir also erneut Carte Blanche für die EU-Kommission hinsichtlich der technischen Umsetzung.

Jedoch müssten Herangehensweise und Prinzipien der technischen Umsetzung “unbedingt in der Verordnung selbst verankert sein“, kritisiert der IT-Experte.

Hochproblematisch wäre der Umstand, dass die dіgitale Brieftasche nach Willen der Kommission noch neben „einem Minimum an persönlichen Daten zur Identifikation auch einen einzigartigen und persistenten Identifikator enthalten“ soll.

Dieses Minimum an persönlichen Daten finden wir innerhalb der Verordnung im Anhang Annex V. Folgende Attribute (sog. Personenidentifizierungsdaten) sind dann über den Identifikationscode jeder Person abrufbar:

1. Adresse,
2. Alter,
3. Geschlecht,
4. Personenstand,
5. Familienzusammensetzung,
6. Staatsangehörigkeit,
7. Bildungsabschlüsse, Titel und Erlaubnisse,
8. Berufsqualifikationen, Titel und Berechtigungen,
9. behördliche Genehmigungen und Lizenzen,
10. Finanz- und Unternehmensdaten.

Und dies sind nur die Mindestanforderungen. Möglich, dass die Liste noch ergänzt wird.

In Artikel 11a der Verordnung “Eindeutige Identifizierung” heißt es: “Die Mitgliedstaaten nehmen den genannten Mindestsatz von Personenidentifizierungsdaten im Einklang mit dem Unionsrecht für die Zwecke dieser Verordnung eine eindeutige und dauerhafte Kennung auf, damit der Nutzer auf dessen Verlangen identifiziert werden kann, falls die Identifizierung des Nutzers gesetzlich vorgeschrieben ist.”

Natürlich geschieht die Identifizierung der Person nur “auf dessen Verlangen”. Wer könnte daran zweifeln?

Wird die eindeutige Identifizierung umgesetzt, wird jedem Individuum also eine Zahlen/Buchstabenkombination zugewiesen. An dieser Nummer hängen alle im eIDAS-System gespeicherten Dokumente und Urkunden. Somit werden die Einträge einer Person über diesen einzigartigen Identifikator abrufbar und könnten über alle nationalen Datenbanken der Behörden verknüpft werden.

„Was passiert, wenn in einem Mitgliedsstaat beschlossen wird, sämtliche Identifikations- und Authentifizierungsvorgänge mitzuloggen?“, fragt der Datenschützer. Der Verordnung fehlten jegliche Schutzmechanismen gegen derartigen Missbrauch durch die Staaten und ihre Organe selbst.

Während bisher bei der Vorlage eines Ausweises keine dritte Partei involviert war, würden mit dem eIDAS-System bei jeder Interaktion nun ebenfalls die staatlichen Stellen beteiligt und könnten mitlesen.

Wie der Identifikationsmechanismus dann am Ende technisch aussehen soll, fällt ebenfalls unter den Vorbehalt der Verordnungsermächtigung, ist also bisher unbekannt.

Die EU-Kommission arbeitet mit dieser einer Demokratie unwürdigen Eigenermächtigung weiter am nächsten Schritt hin zur vollständigen Kontrolle aller Lebensbereiche, die durch weitere digitale Projekte wie der Einführung von Sozialkreditsystemen flankiert wird.

Das sowjetische Politbüro, meinen Kritiker, wäre stolz gewesen auf die von Frau von der Leyen geleitete EU-Kommission. Passenderweise bezeichnete Michail Gorbatschow die Europäische Union als „den neuen europäischen Sowjet“, als er im Jahr 2000 Großbritannien besuchte (The Daily Telegraph, London, 24th March 2000, Peterborough column).

Namentlich gekennzeichnete Beiträge geben immer die Meinung des Autors wieder, nicht meine. Ich schätze meine Leser als erwachsene Menschen und will ihnen unterschiedliche Blickwinkel bieten, damit sie sich selbst eine Meinung bilden können.

Mario Martin ist Ökonom und arbeitet als Software-Projektmanager in Berlin.

mehr von Mario Martin auf reitschuster.de

WHO beauftragt länderübergreifenden digitalen Impfpass

Die digitale Identität nimmt weiter Form an. Unter dem Deckmantel der Biosicherheit treiben Unternehmen, NGOs und Staaten einen digitalen Impfpass als Kontrollwerkzeug voran. Von Mario Martin.

Luca-App-Gründer will Impfpass und Personalausweis zusammenlegen

Die für die Corona-Kontaktnachverfolgung entwickelten Apps sind für die Betreiber ein Segen. Unsummen fließen in ihre Kassen. Dabei ergibt das Konzept der Kontaktnachverfolgung auf Basis positiver Tests keinen Sinn. Immerhin sind die Apps ausgezeichnete Kontrollwerkzeuge. Von Mario Martin.

Starker Tobak: “Kultur der Toleranz für Polizeigewalt”

Nils Melzer erhebt schwere Vorwürfe, nachdem er das Vorgehen der Polizei bei den Berliner Corona-Protesten untersuchte: Dass es keine Sanktionen gegen Polizeigewalt gebe, sei Systemversagen. Von Mario Martin.