Elektronische Identität: EU-Bürger sollen digitale Brieftasche bekommen

EU-Bürger sollen künftig europaweit eine einheitliche digitale Identität nutzen können. Dazu stelle die EU-Kommission am Donnerstag in Brüssel einen Entwurf für eine entsprechende Verordnung (PDF) vor. Die Bürger sollen ihre Identität per Smartphone mithilfe einer sogenannten EUid-Brieftasche (E-Wallet) nachweisen können.

"Sehr große Plattformen werden verpflichtet sein, die Verwendung von EUid-Brieftaschen auf Verlangen des Nutzers, beispielsweise zum Nachweis seines Alters, zu akzeptieren", teilte die Kommission mit. Demnach müssten Anbieter wie Google oder Facebook auch die neue EU-ID zum Login ermöglichen. Eine pseudonyme Nutzung der elektronischen Identität wird in dem Vorschlag aber ausdrücklich untersagt.

Die EU hat bereits 2014 eine erste Verordnung für elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (engl. eIDAS) beschlossen. Darauf basiert unter anderem das deutsche Vertrauensdienstegesetz. Die eIDAS-Verordnung soll nun um bürgerbezogene Anwendungen wie Single-Sign-On-Dienste ergänzt werden. Eine komplett neue Verordnung ist nicht vorgesehen.

Eindeutige Kennziffer und biometrische Authentifizierung

Die Ergänzungen sehen vor, dass die Mitgliedstaaten Bürgern und Unternehmen digitale Brieftaschen zur Verfügung stellen, "in denen sie ihre nationale digitale Identität mit den Nachweisen anderer persönlicher Attribute (z. B. Führerschein, Abschlusszeugnisse, Bankkonto usw.) verknüpfen können". Diese Brieftaschen könnten von Behörden oder privaten Einrichtungen bereitgestellt werden, sofern sie von einem Mitgliedstaat anerkannt sind. Einen Nutzungszwang soll es jedoch nicht geben.

Die Verordnung macht keine konkreten Vorgaben, wie die Mitgliedstaaten die Identität der Bürger überprüfen sollen, beispielsweise durch Video-Ident-Verfahren oder durch bestehende Dienste wie den ePerso. Die Brieftaschen sollen jedoch "ein Höchstmaß an Sicherheit für die zur Authentifizierung verwendeten personenbezogenen Daten gewährleisten, unabhängig davon, ob diese Daten lokal oder auf cloudbasierten Lösungen gespeichert werden", heißt es in Erwägungsgrund 11. Daher könnten auch biometrische Verfahren für die Authentifizierung genutzt werden.

Zudem soll jedem Bürger bei der Anmeldung ein "eindeutiges und dauerhaftes Identifizierungsmerkmal" zugewiesen werden, um die Nutzer in den erforderlichen Fällen eindeutig identifizieren zu können. Das könnte eine Personenkennziffer sein.

IT-Branche begrüßt Vorschlag

Vizekommissionspräsidentin Margrethe Vestager erläuterte: "Dank der europäischen digitalen Identität werden wir in jedem Mitgliedstaat ohne zusätzliche Kosten und mit weniger Hürden dasselbe tun können wie zu Hause, ob wir nun außerhalb unseres Heimatlandes eine Wohnung mieten oder ein Bankkonto eröffnen wollen."

Der IT-Branchenverband Eco begrüßte den Vorschlag. "Sowohl die Gesellschaft als auch Verwaltungen und Wirtschaft in Europa würden von einer stärkeren Verbreitung entsprechender Vertrauensdienste profitieren, weil das die Nutzerakzeptanz stärkt. Ziel muss ein europäisches Ökosystem zur Ausgabe und Verifizierung digitaler Identitäten und Nachweise auf Basis von Self-Sovereign Identity (SSI) sein", sagte Eco-Vorstand Norbert Pohlmann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Dies löse die Nutzer "aus der Abhängigkeit von einzelnen monopolierten Anbietern und fördert eine unabhängige sowie schnellere Digitalisierung. Damit stärken wir insbesondere die Privatsphäre und den souveränen Umgang der Nutzer mit den eigenen privaten Daten", sagte Pohlmann weiter. Dazu brauche es einen offenen Standard, auf dessen Grundlage jeder seine digitalen Identitäten verwalten könnte. "Interoperabilität sollte daher ein zentrales Kriterium im Rahmen der neuen eIDAS-Verordnung sein", forderte Pohlmann.

Kritik von Datenschützer

Kritik an den Plänen kam vom Europaabgeordneten Patrick Breyer. Der Piratenpolitiker und Datenschützer forderte unter anderem den Verzicht auf die eindeutige Personenkennziffer. Zudem müsse eine pseudonyme Nutzung der Identität möglich sein. Die Daten seien dezentral zu speichern und nicht in einer staatlichen Datenbank. Ebenfalls müsse alle Software quelloffen sein.