Eine digitale Brieftasche ist  eine elektronische Version Ihrer Brieftasche und Zahlungsmethoden. Die EU führt sie jetzt ein. Gut und schön, aber wie lange bleibt sie freiwillig? Und wie sicher ist das Ganze?

Am Donnerstag, dem 29. Februar, votierte das EU-Parlament für die Einführung einer EU-weiten digitalen Brieftasche (European Digital Identity Wallet, kurz: EUDI-Wallet). Sie soll sowohl für die elektronische Authentifizierung (europäische digitale Identität, kurz: eID) und den Zugang zu öffentlichen und privaten Dienstleistungen eingesetzt werden können als auch für die Speicherung, die Freigabe und die digitale Unterzeichnung von Dokumenten wie etwa Führerschein, Krankenkarte, Impfpass, ärztliche Rezepte, Berufszertifikate, Reisetickets, Zeugnisse oder Verträge. Künftig können EU-Bürger also vom Mobiltelefon aus mit einem Klick elektronische Dokumente aus ihren digitalen Brieftaschen weiterleiten und beispielsweise auch online ein Bankkonto eröffnen. Über ein sogenanntes Datenschutz-Dashboard sollen die Nutzer dabei die volle Kontrolle über ihre Daten behalten und auch die Löschung ihrer Daten beantragen können. Noch ist die Nutzung der Brieftasche freiwillig.

 Die neue Verordnung („Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung eines Rahmens für eine europäische digitale Identität“) wird von den EU-Institutionen als direkte Reaktion auf die Empfehlungen der Konferenz über die Zukunft Europas verkauft. Hier erhielten die EU-Bürger von April 2021 bis Mai 2022 die Gelegenheit, ihre Ideen zur EU-Politikgestaltung einzubringen. Allerdings entpuppt sich diese vorgebliche Bürgerbeteilung bei genauerem Hinsehen als Farce (wir berichteten hier). Nun wird also die Einführung der europäischen digitalen Identität (eID) und der europäischen digitalen Brieftasche (EUDI-Wallet) damit gerechtfertigt, dass sie auf Wunsch der Bürger erfolge. Das Prozedere der Einführung der digitalen Brieftasche nahm ihren Anfang jedoch bereits mit der eIDAS-Verordnung aus dem Jahr 2014. Das Parlament hat der neuen Verordnung mit 335 zu 190 Stimmen bei 31 Enthaltungen jetzt endgültig grünes Licht gegeben. Sie muss nur noch vom EU-Ministerrat formell gebilligt werden, um Gesetz zu werden.

 Der Gesetzestext (P9_TA(2024)0117), der in der offiziellen deutschen Übersetzung mit „Rahmen für eine europäische digitale Identität“ betitelt ist, umfasst in der bislang vorliegenden Fassung 214 Seiten. Als Begründung für die Verordnung wird u.a. angeführt: „Alle Unionsbürger und in der Union ansässige Personen sollten das Recht auf eine digitale Identität haben, über die sie die alleinige Kontrolle ausüben und die es ihnen ermöglicht, ihre Rechte im digitalen Umfeld wahrzunehmen und an der digitalen Wirtschaft teilzuhaben. Um dieses Ziel zu erreichen, sollte ein europäischer Rahmen für eine digitale Identität geschaffen werden, der Unionsbürgern und in der Union ansässigen Personen Zugang zu privaten und öffentlichen Online- und Offline-Diensten ermöglicht. Ein harmonisierter Rahmen für eine digitale Identität sollte zur Schaffung einer digital stärker integrierten Union beitragen, indem er die digitalen Schranken zwischen den Mitgliedstaaten abbaut, die Unionsbürger und in der Union ansässige Personen in die Lage versetzt, die Vorteile der Digitalisierung zu nutzen, und gleichzeitig die Transparenz und den Schutz ihrer Rechte erhöht.“

Gläserne Patienten

 Das klingt nach einer schönen neuen Welt, in der lästige Behördengänge und Komplikationen bei der Anerkennung von Bildungsabschlüssen der Vergangenheit angehören. Doch der grenzenlose Datentransfer hat natürlich auch Kehrseiten. Welche Konsequenzen könnte es beispielsweise haben, wenn der Zugang zu Gesundheitsdaten für Forschungszwecke grenzenlos erleichtert wird? Werden die EU-Bürger dadurch möglicherweise nicht doch zu gläsernen Patienten? Zumal schon die Daten der elektronischen Patientenakte nicht etwa bei den Krankenkassen, sondern bei privaten Unternehmen wie etwa dem Softwarekonzern IBM gespeichert werden. Und IBM Consulting arbeitet wiederum mit Microsoft zusammen, um Unternehmen bei der Beschleunigung der Einführung generativer KI zu unterstützen. Auch dass der Datenzugriff für Unternehmen vereinfacht werden soll, kann Vorteile haben, wenn dadurch etwa Betriebskosten gesenkt werden können. Doch welche Möglichkeiten eröffnen sich tatsächlich durch die Bereitstellung einer fast unendlichen Menge an hochwertigen Industriedaten? Und was würde es bedeuten, wenn Datenbanken miteinander verknüpft würden und etwa das europäische Reise-Informations- und -Genehmigungssystem ETIAS auf digitale Impfzertifikate zurückgreifen könnte? Schließlich sind Impfzertifikate laut Kommissionsbeschluss (EU) 2022/1612 vom 16. Februar 2022 in der „Liste von Optionen für die Anforderung zusätzlicher Angaben oder Unterlagen von Antragstellern“ im Rahmen von ETIAS ausdrücklich aufgeführt.

Die in New York ansässige Organisation ID2020 arbeitet zusammen mit der Digital Impact Alliance sogar schon längst an einer transnationalen digitalen Identität für alle Menschen weltweit. Beteiligt daran sind Hightech-Konzerne, Stiftungen und Organisationen wie etwa Microsoft, die Rockefeller Foundation, die Bill & Melinda Gates Foundation, die Impfallianz GAVI, UNDP (Entwicklungsprogramm der Vereinten Nationen) und UNHCR (Flüchtlingskommissariat der Vereinten Nationen). Vorgeblich soll die transnationale digitale Identität zum Wohle der Menschen eingesetzt werden. Wie ja auch die Einführung des digitalen COVID-Zertifikats der EU mit der „Vereinfachung von Reisen in Europa“ begründet wurde und dessen Benutzung „freiwillig“ war. Konkret bedeutete das: Wenn man reisen wollte, musste man sich „freiwillig“ für die CovPass-App oder den entsprechenden QR-Code und damit auch für die Genimpfung entscheiden. Entschied man sich „freiwillig“ dagegen, durfte man eben – vollkommen „freiwillig“ – einfach nur nicht reisen.

 Sehr anschaulich wird diese „Freiwilligkeit“ auf der Webseite des Bundesministeriums für Gesundheit ausgeführt. Hier heißt es wörtlich (!) in leichter Sprache: „Warum brauche ich die CovPass-App?  Die Nutzung von der CovPass-App ist freiwillig. Das bedeutet: Sie entscheiden, ob Sie die App benutzen möchten. In der CovPass-App können Sie wichtige Infos zur Corona-Impfung speichern. Diese Infos sind dann immer auf Ihrem Handy. Andere Personen können Sie nach den Infos zur Corona-Impfung fragen. Zum Beispiel: Wenn Sie zu einem Konzert gehen. Wenn Sie jemanden im Kranken-Haus besuchen wollen. Dann können Sie die CovPass-App öffnen. Und die Infos zeigen. Sie brauchen dann keinen Nachweis auf Papier. Die Infos sind in der App gespeichert. Warum brauche ich die CovPass-Check-App?  Die CovPass-Check-App prüft, ob eine Person eine Corona-Impfung hat. Manche Menschen brauchen eine Corona-Impfung. Zum Beispiel: Wenn sie auf ein Konzert gehen wollen. Wenn sie jemanden im Kranken-Haus besuchen wollen. Wenn sie in den Urlaub fahren wollen. Diese Menschen brauchen dann einen Nachweis für die Corona-Impfung. Die CovPass-Check-App prüft den Nachweis. Sie brauchen die CovPass-Check-App zum Beispiel: Wenn Sie bei einem Konzert arbeiten. Wenn Sie im Kranken-Haus arbeiten. Wenn Sie im Hotel arbeiten. Dann müssen Sie den Impf-Nachweis von Besuchern prüfen. Die CovPass-Check-App hilft Ihnen dabei.“

„Vertrauensdiensteanbieter“ und „vertrauender Beteiligter“

 Nach den Erfahrungen der Coronajahre steht zu befürchten, dass die Nutzung der digitalen Brieftasche auf eine vergleichbare „Freiwilligkeit“ hinauslaufen wird. Auch der QR-Code soll offenbar prinzipiell im Einsatz bleiben. So ist beispielsweise zu lesen: „Authentifizierung im Offline-Modus wäre in vielen Sektoren wichtig, unter anderem im Gesundheitssektor, wo Dienstleistungen häufig im Rahmen persönlicher Kontakte erbracht werden, und es sollte möglich sein, dabei die Echtheit elektronischer Verschreibungen anhand von QR-Codes oder ähnlicher Technik zu überprüfen.“ Immerhin sollen Pseudonyme möglich sein: „Europäische Brieftaschen für die Digitale Identität sollten eine Funktion zum Generieren von nutzergewählten und nutzerverwalteten Pseudonymen für die Authentifizierung beim Zugang zu Online-Diensten enthalten.“

Bislang gibt es allerdings keinen garantierten Schutz etwa vor Hackerangriffen und Identitätsdiebstahl. Das ist besonders insofern problematisch, als digitale Identitäten die Voraussetzung für die Etablierung einer weitgehend bargeldlosen Gesellschaft bieten könnten, wie sie etwa in Indien in den letzten Jahren zu beobachten war. Gerade erst im vergangenen Jahr kam es dort nun zu einem riesigen Datenleck, wodurch persönliche Daten von einem Großteil der indischen Bevölkerung ins Darknet gelangten. Doch nicht nur Indien, sondern auch die deutsche Postbank hatte im vergangenen Jahr Pannen zu verzeichnen. Es bleibt also abzuwarten, inwieweit die EU-Bürger der Wallet vertrauen werden.

Im Gesetzestext fallen dementsprechend oft Begriffe wie „Vertrauensdiensteanbieter“ und „vertrauender Beteiligter“. Letzterer sei „eine natürliche oder juristische Person, die auf eine elektronische Identifizierung, europäische Brieftaschen für die Digitale Identität oder andere Mittel zur elektronischen Identifizierung oder einen Vertrauensdienst vertraut.“ Und weiter: „Wenn ein vertrauender Beteiligter beabsichtigt, für die Bereitstellung öffentlicher oder privater Dienste auf europäische Brieftaschen für die Digitale Identität zurückzugreifen, registriert sich der vertrauende Beteiligte in dem Mitgliedstaat, in dem er niedergelassen ist.“ Vertrauensdiensteanbieter sind zuständig für beispielsweise die Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln, elektronischen Zeitstempeln und Zertifikaten zur Website-Authentifizierung sowie für die Zustellung elektronischer Einschreiben. Zudem sollen Statistiken erhoben werden u.a. zur Zahl der natürlichen und juristischen Personen, die über eine gültige europäische Brieftasche für die digitale Identität verfügen; zur Art und Anzahl der Dienste, die die Verwendung der europäischen Brieftasche für die digitale Identität akzeptieren; zur Anzahl der Beschwerden von Nutzern sowie zu Daten über Cybersicherheitsvorfälle.

Immer mehr Befugnisse

Auch für die sogenannten sehr großen Online-Plattformen wie etwa Amazon, Booking.com oder Facebook, die durch das EU-Gesetz über digitale Dienste (Digital Services Act, kurz: DSA) verpflichtet sind, ihre Nutzer zu authentifizieren, gilt, dass sie die europäischen Brieftaschen für die Digitale Identität akzeptieren müssen. In der Verordnung werden auch schon zukünftige Entwicklungen bedacht: „Um diese Verordnung mit globalen Entwicklungen in Einklang zu halten und den bewährten Verfahren im Binnenmarkt zu folgen, sollten von der Kommission erlassene delegierte Rechtsakte und Durchführungsrechtsakte regelmäßig überprüft und erforderlichenfalls aktualisiert werden.

Bei der Bewertung der Notwendigkeit dieser Aktualisierungen sollte neuen Technologien, Praktiken, Standards oder technischen Spezifikationen Rechnung getragen werden.“ Außerdem müssen die EU-Staaten Aufsichtstellen einrichten, die die in ihrem Hoheitsgebiet niedergelassenen Vertrauensdiensteanbieter kontrollieren und der Kommission bis zum 31. März jedes Jahres einen Bericht darüber vorlegen müssen.

 Insgesamt werden mit der Einführung der eID und der EUDI-Wallet abermals Strukturen geschaffen, die im schlimmsten Fall dazu führen könnten, dass Regierungen oder Unternehmen jeden EU-Bürger in hohem Maße kontrollieren und überwachen könnten. Mit den übrigen Gesetzeswerken der EU im Digitalbereich wie dem Digital Services Act, dem Data Act, dem Data Governance-Act, dem European Media Freedom Act und dem Digital Markets Act erhält die EU-Kommission immer weiter reichende Befugnisse, durch die sie sich zum obersten Zensor des Internets in Europa aufschwingt.

Martina Binnig lebt in Köln und arbeitet u.a. als Musikwissenschaftlerin (Historische Musikwissenschaft). Außerdem ist sie als freie Journalistin tätig.