Alle EU-Staaten müssen den Bürgern und Unternehmen künftig digitale Brieftaschen zur Verfügung stellen. In diesen "E-Wallets" sollen diese ihre nationale elektronische Identität (eID) mit anderen Dokumenten wie Führerschein, Abschlusszeugnissen, Geburts- oder Heiratsurkunde und ärztlichen Rezepten verknüpfen können. Dies sieht der Verordnungsentwurf für eine europäische digitale Identität (EUid) vor, den die EU-Kommission am Donnerstag vorgestellt hat.

Die Bürger "werden in der Lage sein, mit einem Klick auf ihrem Handy ihre Identität nachzuweisen und Dokumente in elektronischer Form aus ihren EUid-Brieftaschen weiterzugeben", kündigt die Kommission an. Der Online-Ausweis müsse künftig von jedem Mitgliedsstaat ausgegeben und anerkannt werden. Auch "sehr große Plattformen" wie Facebook, Google & Co. sowie Dienstleister wie Banken sollen verpflichtet werde, den Einsatz der EUid-Wallet auf Verlangen des Nutzers etwa zum Nachweis seines Alters jenseits eigener Login-Dienste zu akzeptieren.

Der "endlose Kampf" endet

Die für Digitales zuständige Kommissionsvizepräsidentin Margrethe Vestager sprach von einem wichtigen Schritt, "um unser Alltagsleben zu vereinfachen und sich zwischen den Mitgliedsstaaten zu bewegen". Nutzer der EUid könnten künftig in jedem Mitgliedstaat ohne zusätzliche Kosten und mit weniger Hürden dasselbe tun wie zuhause, also etwa außerhalb ihres Heimatlandes eine Wohnung mieten oder ein Bankkonto eröffnen. Der "endlose Kampf", Dokumente hin- und her zu senden, sowie Wartestunden in den Bürgerämtern entfielen.

Mit der Initiative strebe die Kommission eine sichere und transparente Lösung auf Basis der bestehenden eIDAS-Verordnung an, betonte die Dänin: "Es geht um unsere Identität und die damit verknüpften Daten." Jeder könne selbst entscheiden, wie viel er über sich preisgeben wolle etwa für einen Login-Prozess. Es müssten nicht mehr persönliche Informationen geteilt werden als heute im analogen Verfahren. Der Einsatz der EUiD sei freiwillig. Bisher hätten aber erst 14 der 27 Mitgliedsstaaten einen Online-Ausweis ausgegeben, noch weniger erlaubten damit eine grenzüberschreitende Identifizierung. Es gelte daher, eine übergreifende Infrastruktur zu schaffen.

"Security by Design"

Die E-Wallet werde den Zugriff von Hackern auf sehr sensible persönliche Daten nicht vereinfachen, versprach Binnenmarktkommissar Thierry Breton. Dank "Security by Design" werde die Brieftasche eher einem "digitalen Safe" ähneln, "der unsere Identität schützt". Die Schutzvorkehrungen seien höher als bei vergleichbaren bereits auf dem Markt verfügbaren Lösungen. Entscheidend für das Projekt sei eine "ultrasichere Verschlüsselung". Dabei müsse sich die EU etwa schon auf die Post-Quanten-Kryptografie ausrichten.

Mit bestehenden Single-Sign-on-Diensten nutzten private Anbieter wie Facebook und Google oft ihre Position aus, da sie bereits große Datenmengen über die User gesammelt hätten, monierte der Franzose. Diese privaten Anbieter seien so eher Rivalen für die Souveränität der Mitgliedsstaaten. Es gehe darum, dass die Bürger ihre Daten besser kontrollieren könnten. Die Verordnung dürfte laut Breton so eine ähnliche Wirkung entfalten wie der Wegfall der Roaming-Gebühren.

Die Kommission will auf Basis einer Empfehlung mit den EU-Staaten und dem Privatsektor bereits vor dem Beschluss der Verordnung durch das Parlament und den Ministerrat zusammenarbeiten, um die Technik sowie den weiteren erforderlichen Rahmen etwa in Form von Normen für die EUid vorzubereiten. Sie strebt an, dass das entsprechende Instrumentarium bis September 2022 steht. Danach soll der Werkzeugkasten in Pilotprojekten getestet werden. Anwendbar sein wird die Verordnung laut dem Plan ein Jahr nach ihrer Verabschiedung. Ausgeben können die virtuelle Brieftasche staatliche und private Stellen.

Geräte müssen sicher sein

Der Bundestag hatte im Mai bereits einen Gesetzentwurf beschlossen, wonach die Bundesbürger von September an die mit dem Personalausweis verknüpfte eID direkt in ihrem Smartphone oder Tablet speichern können. Ein entsprechendes Mobilgerät benötigt dafür aber eine eingebettete Sicherheitsarchitektur auf hohem Niveau. Momentan leisten dies nur Samsung-Geräte der Reihe Galaxy S20. Auch diese verdanken dies nur dem staatlich geförderten Projekt Optimos 2.0.

Das Bundeswirtschaftsministerium fördert aktuell bis zu vier weitere große IT-Projekte im "Schaufenster Sichere Digitale Identitäten" mit gut 50 Millionen Euro, um die Möglichkeiten einer digitalen Ausweisfunktion auf Mobiltelefonen neuerer Generationen zu demonstrieren. Die eID auf dem elektronischen Personalausweis kommt bisher nicht vom Fleck: Laut dem E-Government-Monitor 2020 haben erst sechs Prozent der Befragten die Online-Ausweisfunktion schon einmal genutzt – genauso viele wie 2019. Dabei ist ein spezielles Lesegerät nicht mehr nötig, wenn ein Handy über einen NFC-Chip zur Nahfeldkommunikation verfügt.

Der IT-Verband Bitkom begrüßte den Ansatz der Kommission: Die geplante Verordnung biete die Chance, Vertrauensdienste und digitale Identitäten "fest im europäischen Wirtschaftsraum zu verankern". Das Vorhaben sollte als "wichtiger Beitrag für mehr Daten- und Verbraucherschutz in Deutschland verstanden und gefördert werden". Auch der eco-Verband der Internetwirtschaft lobte, dass sich die Kommission "nun endlich für eine weitere Stärkung von Vertrauensdiensten einsetzt". Dies "löst uns aus der Abhängigkeit von einzelnen monopolierten Anbietern".

(vbr)