Thomas Lohninger, Geschäftsführer der zivilgesellschaftlichen Organisation epicenter.works aus Österreich, hat den Verordnungsentwurf der EU-Kommission für eine europäische digitale Identität (EUid) scharf kritisiert. Es handle sich "leider aus Datenschutzsicht" um ein "hochproblematisches Dossier", monierte er am Freitag auf einer Online-Veranstaltung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zum Europäischen Datenschutztag.

Lebenslanger eindeutiger Identifikator

Laut dem Vorschlag der Kommission müssen EU-Staaten Bürgern und Unternehmen künftig digitale Brieftaschen zur Verfügung stellen. In diesen "E-Wallets" sollen diese ihre nationale elektronische Identität (eID) mit den Nachweisen anderer persönlicher Attribute wie Führerschein, Abschlusszeugnissen, Geburts- oder Heiratsurkunde und ärztlichen Rezepten verknüpfen können.

Es gebe zwar großen Bedarf für eine solche Lösung zum Ausweisen im Internet, meinte Lohninger. Bei der Ansage der Kommission, dass die Nutzer dabei die Kontrolle über ihre Daten behalten sollten, handle es sich aber um ein Lippenbekenntnis. Artikel 11a des Entwurfs sehe einen lebenslangen eindeutigen Identifikator vor, "der jedem Menschen zugewiesen und abgeprüft werden soll". Damit könnten Informationen aus zahlreichen Lebensbereichen zusammengeführt und der Bürger gläsern werden.

"Einladung zum Identitätsdiebstahl"

Die Unbeobachtbarkeit dieser Systeme sei enorm wichtig, führte der Aktivist aus: "Wir landen sonst im Panoptikum." Auch Artikel 6a sehe aber breite Überwachungsmöglichkeiten vor. Er öffne das Konzept für die elektronische Brieftasche für die Wirtschaft bis hin zur Medienbranche, die darüber Abonnements abschließen und zielgerichtete Werbung schalten könne. Die Klausel hebele ferner die im Sinne der Datenminimierung eigentlich vorgesehene selektive Offenlegung von Attributen aus. Eine entsprechende Prüfung solcher Zusätze werde damit vor jeder Authentifizierung nötig.

Zudem sei das nachträgliche Entziehen von Berechtigungen gar nicht vorgesehen, kritisierte Lohninger. Bei der geforderten informierten Einwilligung in die Freigabe von Attributen drohe zudem das gleiche Problem wie bei der Datenschutz-Grundverordnung (DSGVO) und dem damit verknüpften Abnicken etwa von Cookie-Bannern. Auch die Sicherheit von Smartphones, auf denen die EUid in einer "Wallet" vor allem gespeichert werden soll, sei zweifelhaft: Es gebe viele Android-Geräte und iPhones, "die keine Updates mehr bekommen". Dabei handle es sich um eine "Einladung zum Identitätsdiebstahl".

Self-Sovereign Identity

Die Voraussetzung für die Akzeptanz der EUid sei "ein hohes Maß an Vertrauenswürdigkeit", betonte die saarländische Datenschutzbeauftragte Monika Grethel. Die digitale Brieftasche müsse "datensparsam und datenschutzfreundlich ausgestaltet" werden, der Nutzer in jedem Fall im Einklang mit dem Konzept der Self-Sovereign Identity (SSI) Herr seiner Daten und der Optionen zur Weitergabe an Dritte sein.

Eine "eindeutige, dauerhafte Kennung" müsse auf wenige Ausnahmefälle begrenzt sein und einer strengen Zweckbindung unterliegen, forderte Grethel. Sie erinnerte an die Debatte über die Steuer-ID als einheitliche Personenkennziffer bei der laufenden Registermodernisierung, gegen die Datenschützer Sturm gelaufen waren. Die Politik müsse sicherstellen, dass Diensteanbieter und Identitätsprovider "sensible Informationen nicht für kommerzielle Zwecke missbrauchen oder mit anderen Daten zusammenführen".