Tschechische Präsidentschaft treibt digitale Identität voran
Die tschechische EU-Ratspräsidentschaft hat letzte Woche einen neuen Kompromiss vorgelegt, der auf einer Debatte auf Botschafterebene basiert und die heikelsten Fragen im Zusammenhang mit der europäischen digitalen Identität behandelt.
Die tschechische EU-Ratspräsidentschaft hat letzte Woche einen neuen Kompromiss vorgelegt, der die heikelsten Fragen im Zusammenhang mit der europäischen digitalen Identität behandelt.
Der fünfte Kompromiss, der EURACTIV vorliegt, soll am heutigen Dienstag (25. Oktober) in der Arbeitsgruppe Telekommunikation diskutiert werden. Das Dokument ist das Ergebnis der Verhandlungen der EU-Mitgliedsstaaten vom 14. Oktober, die dem Dossier einen politischen Impuls geben sollte.
Die Tschechen versuchten, bei den politisch heikelsten Themen wie den Anwendungsfällen, dem Grad der Sicherheit und den vertrauenswürdigen Anbietern eine gemeinsame Basis zu finden. Das Treffen am Dienstag könnte entscheidend dafür sein, ob die tschechische Präsidentschaft beim Telekommunikationsrat am 6. Dezember eine allgemeine Annäherung erreichen kann, da die Positionen von Frankreich und Deutschland weiterhin schwierig sind.
Anwendungsfälle
Die E-Wallet wird ein Identifikations- und Authentifizierungsinstrument für Personen und Organisationen vor Behörden und privaten Einrichtungen sein. Da sie jedoch sensible Informationen enthalten wird, besteht auch die Möglichkeit des Missbrauchs in Form von Betrug oder Identitätsdiebstahl.
Daher hat die französische Ratspräsidentschaft den Grundsatz eingeführt, dass Organisationen, die die E-Wallet nutzen wollen, die sogenannten vertrauenden Parteien, die nationalen Behörden über die Anwendungsfälle informieren müssen.
Der Anwendungsfall würde dann die Art der Informationen begrenzen, die eine Organisation anfordern kann. Wenn eine vertrauende Partei beispielsweise nur überprüfen darf, ob die betreffende Person minderjährig ist, sollte sie nicht in der Lage sein, andere sensible Informationen wie die Wohnadresse abzufragen.
Die tschechische Ratspräsidentschaft wiederum überließ den Registrierungsprozess dem Ermessen der nationalen Behörden, die entscheiden können, ob sie eine Überprüfung vornehmen wollen, was sie als „leichtes Meldeverfahren“ bezeichnen.
Sicherheitsniveau
Der neue Text stellt klar, dass die E-Wallet im Rahmen des Cybersicherheitsgesetzes einem speziellen Zertifizierungssystem mit einem hohen Sicherheitsniveau unterliegen sollte. Das Sicherheitsniveau ist ein heikles Thema, für bestimmte Mitgliedstaaten wie Frankreich und Deutschland, die mehr Flexibilität gefordert haben.
In diesem Zusammenhang heißt es in dem Dokument, dass technische „Unzulänglichkeiten das Erreichen eines hohen Sicherheitsniveaus für europäische digitale Identitätsbörsen erschweren könnten, weshalb die Präsidentschaft aktiv nach Möglichkeiten sucht, dieses Problem direkt in der Verordnung zu behandeln.“
So prüft die tschechische Präsidentschaft beispielsweise die Möglichkeit, die Verwendung externer Token ausdrücklich als Übergangslösung zuzulassen, bis eine dauerhafte Lösung gefunden ist.
Datensatzabgleich
Eine große Herausforderung, mit der sich der EU-Rat auseinandersetzen musste, ist die Frage der grenzüberschreitenden Interoperabilität der E-Wallet. Die ursprüngliche Idee war, eine eindeutige Identifikationsnummer zu haben, die es ermöglicht, ein und dieselbe Person im Ausland zu erkennen.
Eine einzige Nummer, mit der eine Person verfolgt werden kann, stellt in Deutschland jedoch ein verfassungsrechtliches Problem dar. Die Lösung, die gefunden wurde, war das sogenannte Record-Matching, das darin besteht, verschiedene Informationen wie Geburtsdatum und Wohnort miteinander zu vergleichen, um die Person zu identifizieren.
Im vorherigen Kompromiss schlugen die Tschechen vor, die Möglichkeit für eindeutige Identifikatoren offenzulassen, wenn dies nach nationalem Recht und einer etwas undefinierten Verwaltungspraxis zulässig ist. Diese Ausnahme wurde in dem neuen Text gestrichen.
Allerdings wurde die Möglichkeit sektorspezifischer Identifikatoren eingeführt.
Interoperabilität
Der Kompromiss sieht vor, dass große Technologieunternehmen wie Google und Apple, die im Rahmen des Gesetzes über digitale Märkte als Gatekeeper benannt werden, die Interoperabilität der digitalen Geldbörsen mit ihren Betriebssystemen kostenlos gewährleisten müssen.
Der Text räumt den EU-Ländern zwar die Flexibilität ein, zusätzliche Funktionen in die E-Wallet aufzunehmen, legt aber auch fest, dass diese Funktionen nicht grenzüberschreitend anerkannt werden.
Die Mitgliedsstaaten sollen auch die Interoperabilität für die Anbieter von elektronischen Einschreibediensten fördern, die die Übermittlung von Daten ermöglichen und sie gegen das Risiko von Verlust, Diebstahl oder Beschädigung schützen.
Vertrauenswürdige Anbieter
Die elektronische digitale Identität wird von qualifizierten Vertrauensdienstleistern ausgestellt, die regelmäßig überprüft werden. Die Präsidentschaft hat jedoch „unterschiedliche Auffassungen“ darüber festgestellt, ob die Aufsichtsbehörde an solchen geplanten Audits teilnehmen sollte oder nicht.
Daher sieht der Kompromiss vor, dass die Vertrauensdiensteanbieter die Aufsichtsbehörde frühzeitig informieren und die Aufsichtsbehörde als Beobachter an den Audits teilnehmen kann.
Außerdem wurde die Formulierung hinzugefügt, dass diese Dienste „die technische Sicherheit und Zuverlässigkeit der von ihnen unterstützten Prozesse gewährleisten müssen. Dazu gehört auch die Verwendung geeigneter kryptographischer Algorithmen, Schlüssellängen und Hashfunktionen in den Systemen.“
Sicherheit der Website
Frühere Versionen des Textes sahen die Verwendung von qualifizierten Website-Authentifizierungszertifikaten von zuverlässigen Dienstleistern in Webbrowsern vor. Dieser Ansatz rief Widerstand hervor, da er den Ländern die Macht über den Dienst geben würde, der feststellt, ob eine Website sicher ist.
Obwohl die Bedenken in dem Text anerkannt werden, gibt es immer noch keine Sicherheitsvorkehrungen, die verhindern, dass der Datenverkehr zu bestimmten Websites von Behörden blockiert wird.
Gebühren und Übergangsmaßnahmen
Der Text stellt klar, dass die Ausgabe, die Nutzung zur Authentifizierung und der Widerruf von Wallets für Privatpersonen kostenlos sein sollen.
Den bestehenden Diensten wird eine Frist von zwei Jahren eingeräumt, um die Anforderungen an die Vertrauensdienste zu erfüllen.
Darüber hinaus sind private Organisationen, die unter EU oder nationalem Recht stehen, verpflichtet, Online-Authentifizierungsmaßnahmen zu verwenden und müssen die E-Wallet innerhalb von sechs Monaten nach der Bereitstellung der Wallet akzeptieren.
[Bearbeitet von Nathalie Weatherald]
