Tschechische Ratspräsidentschaft will Arbeitsmethoden der Digital Identity Wallet klären
Die tschechische EU-Ratspräsidentschaft hat einen vierten Kompromisstext zur Europäischen Digitalen Identität (eIDs) in Umlauf gebracht, den EURACTIV im Vorfeld der Sitzung der Telekommunikations-Arbeitsgruppe am Mittwoch (28. September) gesehen hat.
Die tschechische EU-Ratspräsidentschaft hat einen vierten Kompromisstext zur Europäischen Digitalen Identität (eIDs) in Umlauf gebracht, den EURACTIV im Vorfeld der Sitzung der Telekommunikations-Arbeitsgruppe am Mittwoch (28. September) gesehen hat.
Der Rat konzentriert sich nun auf die Fragen rund um die genauen Arbeitsmethoden der EU-weit einsetzbaren Brieftasche für digitale Identitäten.
Der Text geht auf zusätzliche Kommentare und Vorschläge zurück, die die Delegationen im September nach der Präsentation und Diskussion des dritten Kompromisses des Rates am 5. und 8. September erteilt haben.
Die Kommission nahm den Vorschlag für diese Verordnung am 3. Juni 2021 an und änderte damit die eIDAS-Verordnung aus 2014, die sichere grenzüberschreitende Transaktionen ermöglichte. Aufgrund seiner technischen Komplexität hat das Dossier bisher nur begrenzte Fortschritte gemacht.
„Aspekte wie die Kosten, aber auch die Offline-Nutzung und das Zusammenspiel mit weiteren Regelungen müssen dringend geklärt werden“, sagt Rebekka Weiß, Leiterin des Bereichs Vertrauen und Sicherheit beim Digitalverband Bitkom, gegenüber EURACTIV.
Offline-Nutzung
Der letzte Kompromiss änderte die Definitionen von „Offline-Nutzung europäischer digitaler Identitäts-Brieftaschen“ und „vollständige Offline-Nutzung europäischer digitaler Identitäts-Brieftaschen“ zu „hybrider Nutzung europäischer digitaler Identitäts-Brieftaschen“ und „Offline-Nutzung von europäischen digitalen Identitäts-Brieftaschen“.
Die hybride Nutzung bedeutet eine Interaktion zwischen einem Nutzer und einer vertrauenden Partei an einem physischen Ort, wobei die Brieftasche zum Zweck der Interaktion nicht auf entfernte Systeme über elektronische Kommunikationsnetze zugreifen muss.
Die Offline-Nutzung hingegen bedeutet eine Interaktion zwischen einem Nutzer und einer vertrauenden Partei an einem physischen Ort, wobei weder die Geldbörse noch die vertrauende Partei auf entfernte Systeme zugreifen müssen.
Der tschechische Ratsvorsitz hat die Ausnahmeregelung für Organisationen beibehalten, die die Brieftasche für die Registrierung nutzen, da es sich um eine risikoärmere Anwendung handelt. Die Organisation müsste jedoch weiterhin ein Minimum an Informationen auf automatisiertem oder halbautomatischem Wege pflegen.
Zertifizierung und Anwendungsfälle
Positiv ist laut Weiß, dass auch der Aspekt der Standardisierung und Zertifizierung in die Entwicklung der Brieftasche und der entsprechenden Anwendungsfälle einbezogen wird.
„Für die Endnutzer schaffen die Zertifizierung und die gleichen Anforderungen innerhalb des europäischen Marktes das nötige Vertrauen, was zu einer breiten Nutzung der Identitäts-Brieftasche beitragen wird“, so Weiß.
Der Kompromisstext stellt klar, dass die Einhaltung der Anforderungen an das Sicherheitsniveau elektronischer Identitätssysteme beispielsweise durch ein entsprechendes Zertifizierungssystem für Cybersicherheit zertifiziert werden kann, wie es derzeit von der EU-Cybersicherheitsagentur ENISA vorangetrieben wird.
Mit dem vierten Kompromiss wurden die Anwendungsfälle stärker in den Mittelpunkt gerückt und erwähnt. „Das macht noch einmal deutlich, dass die Entwicklung digitaler Identitäten und der Brieftasche kein Selbstzweck ist“, so Weiß.
So wurden Beispiele für den Einsatz von elektronischen Ledgern in öffentlichen digitalen Diensten und eine Erläuterung des Zusammenhangs mit der Geldtransferverordnung gegeben.
Schließlich müsse der Fokus immer darauf liegen, welche Potenziale vorhanden sind und welche Vereinfachungen die Brieftasche für Bürger und Unternehmen sowie für die (digitale) Verwaltung bringen wird, fügte sie hinzu.
Datenschutz
Nach mehreren Anfragen von Mitgliedstaaten stellte die tschechische Präsidentschaft klar, dass mindestens zwei verschiedene Authentifizierungsfaktoren für eine solide Benutzeridentifizierung verwendet werden müssen. Sie müssen entweder aus den Kategorien des Wissens, des Besitzes oder der Vererbung stammen.
Diese Faktoren müssen unabhängig voneinander sein, falls einer davon durchbrochen wird, und so gestaltet sein, dass die Vertraulichkeit der Authentifizierungsdaten geschützt wird, so der Kompromisstext.
Ein weiterer Vorschlag, der am Mittwoch diskutiert werden soll, ist die Anregung einiger Mitgliedstaaten, dass qualifizierte Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, kryptografische Algorithmen nach dem Stand der Technik unterstützen sollten.
Das Konzept der selektiven Offenlegung von Daten, das durch Datenminimierung zum Schutz personenbezogener Daten beitragen soll, wurde weiter ausgearbeitet. „Selektive Offenlegung ist ein Konzept, das den Eigentümer von Daten ermächtigt, nur bestimmte Teile eines größeren Datensatzes offenzulegen, damit die empfangende Stelle nur die benötigten Informationen erhält“, heißt es in dem Text.
