(BS) Noch diese Woche standen und stehen entscheidende Abstimmungen über die eIDAS-Verordnung der EU an. Diese macht den Weg frei für eine europäische Digitale Identität. Aber noch kursiert ein offener Brief gegen Teile des Gesetzes. Und in Deutschland stellen sich jetzt schon Umsetzungsfragen.
Die EU-Verordnung über elektronische Identifizierungs-, Authentifizierungs- und Vertrauensdienste (electronic IDentification, Authentication and Trust Services, eIDAS) bestimmt, wie sich EU-Bürgerinnen und -Bürger in Zukunft digital identifizieren können. Dazu müssen die Mitgliedstaaten ihren Bürgern eine digitale Brieftasche, die sogenannte Wallet, anbieten, in der Ausweise, Zeugnisse und weitere Dokumente gespeichert werden können. Die EU-Staaten werden verpflichtet, diese digitalen Identitäten gegenseitig anzuerkennen. Darüber hinaus regelt das Gesetz, wie sich Webseiten gegenüber den Browsern authentifizieren müssen. Laut der Parlamentarischen Staatssekretärin im Bundesdigitalministerium (BMDV), Daniela Kluckert (FDP), sollte der Rat der EU am 5. Dezember abstimmen. Am 7. Dezember stimmte dann der zuständige Ausschuss für Industrie, Forschung und Energie (ITRE) des EU-Parlaments für den Trilogkompromiss ab. Vor allem auf dem ITRE-Ausschuss ruhte die gesamte Hoffnung der Kritikerinnen und Kritiker der Verordnung. Denn die Innovationsvorhaben haben teilweise auch für Kritik, Ängste und Fragen gesorgt. So sprachen sich die Electronic Frontier Foundation (eff), der österreichische Verein epicenter.works und Cyber-Sicherheitsforschende in einem offenen Brief für Änderungen an Artikel 45 der Verordnung aus. Dieser legt fest, dass Webseiten sogenannte „Qualifizierte Zertifikate für die Website-Authentifizierung“ (QWAC) senden müssen. In Deutschland haben unter anderem die Gesellschaft für Informatik (GI) und die Digitale Gesellschaft den offenen Brief unterschrieben.
Die Unterzeichner des offenen Briefs wollen die EU-Zertifikate nicht in ihre Root Stores übernehmen. In solchen Root Stores speichern Browser, welche Zertifikate vertrauenswürdig sind. Mit Zertifikaten verschlüsselt eine Webseite ihren Datenaustausch mit Surfenden und verifiziert sich gegenüber der Nutzerin als Webseite. Die EU wolle „extended versions“ dieser Zertifikate nutzen, erläuterte BMDV-Referentin Marlene Letixerant im Digitalauschuss. DieReferentin erklärte, dass die QWACs Informationen über den Betreiber einer Domain enthielten. Dazu müsse dieser sich gegenüber einer akkreditierten Konformitätsbewertungsstelle ausweisen. Es gebe einen umfangreichen Prüfungsprozess. So sind Domain-Anbieter nicht mehr vollständig anonym. Dies solle verhindern, dass gefälschte Webseiten das Internet überfluten. In ihrem offenen Brief kritisieren die Gegner dieser Authentifizierung, dass dies nur staatliche Überwachung erleichtere. Nach der eIDAS-Verordnung könne jeder EU-Staat ein Zertifikat in die Root Stores der Browser einspeichern, das es ihm erlaube, den Traffic aller EU-Bürgerinnen und -Bürger mitzulesen.
Doch der Staat braucht die eIDAS-Verordnung. „Digitale Identitäten und Vertrauensdienste sind ein unverzichtbares Element der Digitalisierung“, stellte Daniela Kluckert bei der Berichterstattung im Digitalausschuss letzte Woche klar. Die Staatssekretärin betonte, dass die Nutzung der Wallet freiwillig sein werde. Es werde „keine dauerhafte einheitliche Personenkennung“ vergeben. Dagegen habe sich die deutsche Seite erfolgreich gewehrt. Dies beuge einer Profilbildung vor.
Auch andere Fragen zur Umsetzung der digitalen Wallet müssen beantwortet werden. „Für Deutschland müssen wir noch klären, wie die Herausgabe und Bereitstellung einer nationalen Wallet aussehen wird“, berichtet Hagen-Joachim Saxowski. Der Referatsleiter im Bundesministerium des Innern und für Heimat (BMI) sagt aber, dass der Online-Ausweis die Basis sein werde. Dieser bediene das Vertrauensniveau „Hoch“, das auch die eIDAS-Verordnung erfordert. Mitte des nächsten Jahres wolle das BMI einen Prototypen haben. Damit sollen dann die Use Cases verprobt werden, verspricht Saxowski. Das Architekturkonzept für die Infrastruktur stehe bei Open Code zur Kommentierung bereit. Bis Ende des Jahres 2026 oder Anfang 2027 werde das BMI dann die fertige deutsche Wallet bereitstellen.
