Die EUid-Wallet soll zukünftig europaweit sichere digitale Identitätsnachweise und weitere Funktionen ermöglichen - das bedeutet für Viele neue Pflichten
Die EU plant derzeit eine Überarbeitung der Verordnung über die elektronische Identifizierung und Vertrauensdienste in Europa (eIDAS-Verordnung). Einer der Herzstücke der neuen „eIDAS 2.0“ soll eine „Brieftasche für die europäische digitale Identität“ werden, mit der sich EU-Bürger europaweit sicher elektronisch ausweisen und weitere Funktionen nutzen können sollen. Für Behörden und viele Unternehmen soll die Akzeptanz dieser EU Digital Identity Wallet – oder kurz EUid-Wallet – zur Pflicht werden. Ein erster Überblick
Bisherige digitale Identifizierungssysteme nicht ausreichend
Die eIDAS-Verordnung von 2014 enthielt noch keine Verpflichtung für die Mitgliedstaaten, ihren Bürgern* und Unternehmen ein digitales Identifizierungssystem bereitzustellen. Aktuell werden deshalb auch nicht in allen Mitgliedsstaaten solche Systeme angeboten. Doch selbst dort, wo solche Systeme bereits angeboten werden, wie beispielsweise in Deutschland mit der Online-Ausweisfunktion des Personalausweises, werden sie noch äußerst zurückhaltend genutzt. Es fehlt schlicht an der Verbreitung und der Akzeptanz, was sich gegenseitig bedingt.
Zudem gibt es immer wieder Sicherheitsbedenken bei bestehenden Identifizierungssystemen. So kündigte beispielsweise die Bundesnetzagentur Ende November 2023 an, dass ab dem 21. Dezember 2023 keine automatisierten Videoidentverfahren mehr verwendet werden dürften, um elektronische Unterschriften zu generieren. Grund hierfür seien Sicherheitsbedenken wegen zunehmenden Möglichkeiten der Videomanipulation.
Neuer Aufschwung mit dem Politikprogramm 2030 für die digitale Dekade?
Die fehlende Möglichkeit eines einfachen und sicheren Identitätsnachweises stellt dabei ein Problem mit großer Tragweite dar, ist sie doch letztlich Voraussetzung für eine erfolgreiche Digitalisierung der Wirtschaft und Verwaltung. Hier will die EU nun ansetzen. Mit ihrem Politikprogramm 2030 für die digitale Dekade hat sie sich zum Ziel gesetzt, dass bis spätestens 2030 nicht nur alle wichtigen öffentlichen Dienste online verfügbar sind, sondern auch, dass alle Personen eine sichere elektronische Identität (eID) bekommen. Mit der Überarbeitung der eIDAS-Verordnung soll nun neben weiteren wichtigen Punkten mit der EUid-Wallet ein für alle Mitgliedsstaaten verbindliches digitales Identifizierungssystem geschaffen werden. Dabei sollen bereits bestehende elektronische Authentifizierungssysteme der Mitgliedsstaaten nicht durch die EUid-Wallet ersetzt werden. Vielmehr soll auf den nationalen Systemen aufgebaut werden. Die EU-Kommission, der Rat der EU und das EU-Parlament konnten Anfang November 2023 bereits die Trilogverhandlungen mit einer Einigung zur Abänderung der der Verordnung über die elektronische Identifizierung und Vertrauensdienste in Europa beenden.
Identitätsnachweis und mehr zukünftig per Handy-App
Der Verordnungsvorschlag nach den Trilogverhandlungen sieht vor, dass die EUid-Wallet als App für mobile Endgeräte ausgestaltet werden soll, die die einzelnen Mitgliedsstaaten bereitstellen. Nutzer sollen ihre grundlegenden persönlichen Daten in die App hochladen und die App dann als digitalen Personalausweis nutzen können. Darüber hinaus soll die App etliche weitere Funktionen bieten. So soll die EUid-Wallt auch zur digitalen Aufbewahrung dienen für wichtige Dokumente wie beispielsweise Führerschein, Reisepass, Zeugnisse, Vollmachten, Arztrezepte, Tickets oder Kredit- und Bankkarten. Die EUid-Wallet soll dabei so nutzbar sein, als ob der Nutzer die jeweiligen Dokumente in einer ‚echten‘ Brieftasche bei sich trägt. Geplant ist außerdem, dass Nutzer mit der EUid-Wallet eine elektronische Signatur generieren können, mit der Dokumente wie Arbeits- oder Mietverträge elektronisch unterzeichnet werden können. Außerdem soll die EUid-Wallet eine Übersicht über alle hiermit getätigten Transaktionen bieten.
Datenschutz und Cybersicherheit sollen oberste Priorität haben
Der Verordnungsgeber betont im Rahmen der EUid-Wallet, dass der Datenschutz und die Cybersicherheit oberste Priorität haben sollen. Im Rahmen der Identifizierungsfunktion soll es deshalb den Nutzern ermöglicht werden, nur bestimmte persönliche Attribute nachzuweisen, ohne dass die übrigen gespeicherten persönliche Angaben preisgegeben werden. Geht es beispielsweise auf einer Online-Plattform um die Altersverifikation, soll der Nutzer auch nur sein Alter mithilfe der EUid-Wallet bestätigen können.
Um den Datenschutz- und Cybersicherheitsstandards zu genügen, sieht der Verordnungsvorschlag vor, dass die EUid-Wallet von unabhängigen Stellen zertifiziert wird. Zudem soll der Quellcode der Anwendung veröffentlicht werden, damit jeder die vorgeschlagene technologische Struktur überprüfen kann. Ob dies wirklich reichen wird, um den berechtigten Sicherheitsbedenken in Bezug auf die aktuellen Identifizierungssysteme zu begegnen, bleibt abzuwarten.
EUid-Wallet Pflicht für sehr große Online-Plattformen und andere
Die Nutzung der EUid-Wallet soll für EU-Bürger freiwillig und kostenlos sein. Gleichzeitig sollen alle EU-Bürger und Unternehmen einen Anspruch auf eine EUid-Wallet haben, die in allen Mitgliedstaaten anerkannt wird. Hierdurch ergibt sich für viele Unternehmen die Pflicht, die Nutzung einer EUid-Wallet zu ermöglichen bzw. im Rahmen ihrer Dienste anzubieten.
Neben öffentlichen Behörden sollen nach dem Verordnungsvorschlag insbesondere sehr große Online-Plattformen und Suchmaschinen im Sinne des Digital Services Acts (sog. VLOPs bzw. VLOSEs) zur Akzeptanz von EUid-Wallets verpflichtet werden. Die EU-Kommission hat bislang 17 sehr große Online-Plattformen und 2 sehr große Online-Suchmaschinen benannt. Zudem sollen auch solche Anbieter verpflichtet werden, die gesetzlich zu einer „starken Nutzerauthentifizierung für Online-Identifizierung“ verpflichtet sind. Das zielt insbesondere auf Banken und Zahlungsdienstleister ab. Allerdings ist nach dem aktuellen Verordnungsvorschlag noch unklar, welche Dienste und Vorgänge der Banken und Zahlungsdienstleister tatsächlich betroffen sind. Während bei der Eröffnung eines Kontos eine solche „starke Nutzerauthentifizierung“ verpflichtend sein mag, trifft das nicht zwangsläufig auch auf andere Online-Authentifizierungsvorgänge zu. Insbesondere die bekannte Zwei-Faktor-Authentifizierung dient nämlich nicht dazu, den Nutzer zu identifizieren, sondern vielmehr die Übereinstimmung von zwei verschiedenen Faktoren, wie beispielsweise Kartenummer und PIN, zu überprüfen. Auch hier besteht also noch Klärungsbedarf.
Tests laufen bereits im Rahmen von EU-Pilotprojekten
Nach eigenen Angaben führt die EU-Kommission bereits seit April 2023 in mehreren groß angelegten Pilotprojekten Tests der EUid-Wallet durch. Dabei sollen mithilfe von Prototypen der EUid-Wallet elf verschiedene Anwendungsfälle getestet werden. Zu den Anwendungsfällen zählen unter anderem: mobiler Führerschein, elektronische Gesundheitsdienste, digitale Zahlungen, Bankkontoeröffnung, Reisedokumente, Zahlungsdienste, Bildungsabschlüsse, berufliche Qualifikationen, SIM Registrierung. Über 250 Unternehmen der Privatwirtschaft und öffentliche Stellen nehmen an den Pilotprojekten teil.
Ausblick – ein langer Weg!
Auch wenn die Trilogverhandlungen nach eigenen Angaben erfolgreich beendet werden konnten und bereits offiziell eine „endgültige Einigung“ begrüßt wurde, wurde die Verordnung bislang noch nicht final verabschiedet. Hierzu bedarf es insbesondere noch der förmlichen Annahme durch das EU-Parlament und den Rat. Allerdings werden viele strittige Punkte trotz der Einigung der gesetzgebenden EU-Organe noch hitzig diskutiert.
Neben einzelnen Aspekten zur EUid-Wallet betrifft das auch weitere Themen, die ebenfalls in der neuen eIDAS-Verordnung 2.0 geregelt werden sollen, insbesondere die qualifizierten Webseitenzertifikate (QWACs). Hier bleibt die weitere Entwicklung abzuwarten. Sobald eine wirklich endgültige Einigung erzielt und die Verordnung im Amtsblatt veröffentlicht wird, sollen dann sechs bis zwölf Monate später Durchführungsbestimmungen erlassen werden, in denen die technischen Spezifikationen für die EUid-Wallet und für deren Zertifizierung festgelegt werden. Erst 24 Monate nach Erlass dieser Durchführungsverordnung sollen die Mitgliedstaaten dann verpflichtet sein, ihren Bürgern und Unternehmen die EUid-Wallet zur Verfügung zu stellen. Das zeigt, dass noch ein langer Weg vor uns liegt, bis wir die EUid-Wallet wirklich auf dem Smartphone in unserer Tasche haben.
Aufgrund des immensen Umsetzungsbedarfs sollten sich Unternehmen aber schon bald mit dem Thema beschäftigen. Das gilt insbesondere für diejenigen Unternehmen, für die die Nutzung und Akzeptanz der EUid-Wallet verpflichtend sein wird.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
