Änderungen an der europäischen digitalen Brieftasche zu Interoperabilität und Datenschutz
Die Berichterstatterin im EU-Parlament hat eine Reihe von Vorschlägen zur Verbesserung der europäischen digitalen Brieftasche als Teil der neuen eIDAS-Verordnung vorgelegt.
Die Berichterstatterin im Europäischen Parlament hat eine Reihe von Vorschlägen zur Verbesserung der europäischen digitalen Brieftasche als Teil der neuen eIDAS-Verordnung vorgelegt, die sich auf Interoperabilität, Datenschutz und gleichberechtigten Zugang konzentrieren.
Im Juni 2021 schlug die Europäische Kommission eine Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (eIDAS) vor, die darauf abzielt, die digitale Identifizierung in der ganzen EU zu harmonisieren. Bis 2023 muss jeder Mitgliedstaat den Bürgern:innen und Unternehmen eine digitale Brieftasche für Identitäten (EDIW) zur Verfügung stellen.
Das Dossier war dann Gegenstand eines langwierigen Kompetenzstreits zwischen den Ausschüssen des Europäischen Parlaments, der zu einer komplexen Vereinbarung mit dem Industrieausschuss (ITRE) an vorderster Front und den Ausschüssen für Verbraucherschutz (IMCO) und bürgerliche Freiheiten mit einigen ausschließlichen Zuständigkeiten (LIBE) führte.
Romana Jerković, die für das Dossier zuständige Abgeordnete im ITRE-Ausschuss, hat letzte Woche ihren Berichtsentwurf veröffentlicht, der wesentliche Änderungen am ursprünglichen Text beinhaltet.
„Ein harmonisierter Rahmen für die digitale Identität hat das Potenzial, die Betriebskosten im Zusammenhang mit Ausweisverfahren, zum Beispiel beim Onboarding von neuen Kunden, erheblich zu senken und Kosten oder Schäden im Zusammenhang mit Cyberkriminalität, wie Datendiebstahl und Online-Betrug, zu verringern, Innovation und Wettbewerbsfähigkeit zu unterstützen und die digitale Umwandlung der kleinen und mittleren Unternehmen (KMU) in der Union zu fördern“, schrieb Jerković in dem Bericht.
Dem Bericht zufolge zielt dieser Rahmen darauf ab, „nationale digitale Identitätslösungen zu ergänzen“ und sollte sowohl für die Identifizierung als auch für die Authentifizierung verwendet werden, sowohl online als auch offline.
Um eine breite Nutzung des Rahmens zu gewährleisten und den Verwaltungsaufwand zu verringern, schlug Jerković die Anwendung des „Einmal-Prinzips“ vor, bei dem Bürger:innen und Unternehmen die gleichen Daten nicht mehrfach an Behörden übermitteln müssen.
Weitere Änderungen bezogen sich auf Datenschutz und -zugang, Transparenz und grenzüberschreitende Identifizierung.
Datenschutz und Sicherheit
Um die Bedenken hinsichtlich des Datenschutzes auszuräumen, sollen sowohl die Cybersicherheit als auch der Datenschutz dem „Security-by-design“-Prinzip folgen. Dem Entwurf zufolge „muss es technisch unmöglich sein, Informationen über die Nutzung der Brieftasche oder ihrer Eigenschaften zu erhalten.“
Personenbezogene Daten dürfen nur auf dem Gebiet der Europäischen Union gespeichert und verarbeitet werden, wo Unionsrecht und nationales Recht gelten.
Die Nutzer:innen sollten ausdrücklich ihr Einverständnis erteilen, damit Informationen aus der digitalen Brieftasche in der Cloud gespeichert werden können. Die Verwendung von biometrischen Daten sollte keine Voraussetzung für ihre Nutzung sein und diese dürfen nicht in der Cloud gespeichert werden.
Die angeforderten Nutzerinformationen sollten „für den beabsichtigten Anwendungsfall notwendig und verhältnismäßig“ sein, gemäß dem Grundsatz der Datenminimierung.
Bei der Ratssitzung der Telekommunikationsminister:innen (3. Juni) äußerte der italienische Minister für Digitales Bedenken hinsichtlich der Auswirkungen auf die Sicherheit im Internet. Nach dem überarbeiteten Artikel 45 des Textes wären Browser gezwungen, Qualifizierte Zertifikate für die Website-Authentifizierung (QWACs) von Zertifizierungsstellen zu akzeptieren, unabhängig davon, ob sie den Sicherheitsstandards des Browsers entsprechen.
Null-Wissen-Beweis
In dem Bericht wird auch vorgeschlagen, eine Behauptung zu überprüfen, ohne dabei die Quelldaten offenzulegen, die sie belegt. Ein solcher Null-Wissen-Beweis-Ansatz (Zero-Knowledge Proof), der auf kryptografischen Algorithmen basiert, würde es beispielsweise ermöglichen, das Alter oder den Standort einer Person nachzuweisen, ohne die Privatsphäre des Nutzers zu verletzen.
Auch könnte die Anonymität gewahrt werden, während überprüft wird, dass eine Aktion von einer echten Person ausgeführt wird. Daher vertritt der Bericht die Ansicht, dass dieser Ansatz bei der Bekämpfung von Bots und Desinformation helfen könnte.
Zugang
Große Plattformen, die für den Zugang zu Online-Diensten eine Benutzeridentifizierung oder -authentifizierung verlangen, sollen verpflichtet werden, die europäischen digitalen Brieftaschen anzunehmen – auf freiwilligen Antrag des Nutzers.
Der Einsatz der Brieftasche für die europäische digitale Identität soll auf freiwilliger Basis erfolgen und kostenlos sein.
Nutzer:innen, die die Europäische Brieftasche nicht verwenden, sollen beim Zugang zu staatlichen Diensten, zum Arbeitsmarkt oder bei der Ausübung ihrer Geschäftstätigkeit nicht eingeschränkt werden. Dessen Nutzer:innen sollen hingegen keine Privilegien bei öffentlichen und privaten Dienstleistungen erhalten.
Für die Berichterstatterin sollten die Mitgliedstaaten einen gleichberechtigten Zugang zu elektronischen Identifizierungsmitteln für alle, einschließlich benachteiligter Gruppen, sicherstellen.
Transparenz
Im Hinblick auf die Transparenz und Vergleichbarkeit aller Aussteller von digitalen Brieftaschen wurde die Kommission aufgefordert, ein öffentliches Register mit den wichtigsten Spezifikationen zu führen. Diese Informationen sollten den Bürgern:innen und Unternehmen von den Mitgliedsstaaten öffentlich zugänglich gemacht werden.
In dem Entwurf wird außerdem gefordert, dass die potenziellen Vorteile der EDIW der Öffentlichkeit gut vermittelt werden und dass sichergestellt wird, dass die Bürger:innen in der Lage sind, sie zu nutzen.
Grenzüberschreitende Identifizierung von Nutzern
Anstelle der von der Kommission vorgeschlagenen „einzigen Identifizierung“ schlug ITRE die Terminologie „grenzüberschreitende Nutzeridentifizierung“ vor und unterstrich die Notwendigkeit der Interoperabilität.
Jedes EU-Land wird seine eigene nationale Brieftasche einrichten, die über „ein Minimum an persönlichen Identifikationsdaten“, die die Identifizierung der Nutzer:innen ermöglichen, innerhalb der gesamten Union interoperabel sein muss.
Diese Notwendigkeit, die grenzüberschreitende Funktionsfähigkeit zu gewährleisten, stand auch im Mittelpunkt des Treffens der EU-Telekommunikationsminister:innen im Rat letzte Woche. Den Haag und Warschau sind allerdings der Meinung, dass das System nicht verpflichtend sein sollte, da die öffentlichen Einrichtungen weiterhin eine Alternative anbieten sollten.
Governance
Der ITRE-Berichtsentwurf wurde um ein ganzes Kapitel zur Governance ergänzt. Jeder Mitgliedstaat soll mindestens eine „nationale zuständige Behörde“ und eine „nationale zentrale Anlaufstelle“ öffentlich einrichten oder benennen.
Der einheitliche Ansprechpartner soll eine Verbindungsfunktion haben, die die grenz- und sektorübergreifende Zusammenarbeit sicherstellt.
Auf der Grundlage des Berichtsentwurfs von ITRE können bis zum 28. Juni Änderungsanträge eingereicht werden.
[Bearbeitet von Luca Bertuzzi und Nathalie Weatherald]
