Das Europäische Parlament und der Rat der EU haben kürzlich eine Vereinbarung zur Einführung des europäischen Digital Identity Wallets getroffen. Damit ist nun der rechtliche Rahmen für eine digitale Identität geschaffen, die es allen EU-Bürgerinnen und -Bürgern ermöglicht, unter Beachtung des Datenschutzes öffentliche und private Online-Dienste grenzüberschreitend zu nutzen.
Ein Kommentar von Philip Hallenborg, Gründer und CEO von ZealiD.
Diese Vereinbarung schließt die Verpflichtung für große Online-Plattformen wie Amazon oder Facebook sowie private Dienste ein, die gesetzlich zur Authentifizierung ihrer Nutzer verpflichtet sind, das Wallet für die Anmeldung zu akzeptieren. Zusätzlich ist die EU Wallet darauf ausgerichtet, alle anderen privaten Dienstleister anzusprechen und diesen neue Geschäftsmodelle zu ermöglichen. Dennoch wirft die EU Wallet viele Fragezeichen angesichts der Umsetzung und der Sicherheit auf.
Leider haben die europäischen Länder, Behörden und Gerichte bisher die eIDAS-Verordnung alles andere als effektiv umgesetzt, sodass der Eindruck entsteht, sie sei gescheitert. eIDAS sieht zwei Arten von digitalen Identitäten vor: staatlich ausgestellte eIDs und qualifizierte Zertifikate mit zugehörigen Signaturen.
Die Entwicklung des eID-Systems ist jedoch selbst nach sieben Jahren immer noch mit erheblichen Herausforderungen verbunden. Nur wenige Mitgliedsstaaten der EU haben bisher mehr als 20 Prozent ihrer Bevölkerung mit funktionierenden eIDs ausgestattet.
Warum hat sich die eID bisher nicht erfolgreich durchgesetzt?
- Staatliche eID-Initiativen fehlen entweder ganz, oder sie bieten keine akzeptable Benutzererfahrung. In einigen Ländern müssen Bürgerinnen und Bürger zum Beispiel zusätzlich eine PIN eingeben, um den Chip auf ihrem Ausweis zu verwenden. Das ist umständlich und schränkt die Wirksamkeit ein.
- Privatwirtschaftliche Initiativen stoßen in vielen Ländern auf Hindernisse, häufig aufgrund von Haftungsbedenken. Das bremst Innovationen aus und limitiert mögliche Anwendungsfälle, Produkte und Nutzererlebnisse.
- Die EU verweist auf länderspezifische Regeln, statt ETSI-Standards zu übernehmen. In den Fällen, in denen private eID-Initiativen erlaubt sind, ist es verboten, digitale Identitäten an Nicht-Staatsbürger oder Nicht-Einwohner eines Mitgliedstaates auszustellen. Das führt zu weiteren Einschränkungen.
- Es gibt zu wenig Use Cases, die von den Behörden unterstützt werden, wie zum Beispiel digitale Führerscheine. Ohne überzeugende Anwendungen sind Bürgerinnen und Bürger wenig motiviert, die eID zu nutzen.
- Viele Menschen glauben, dass das stärkste eID-Sicherheitslevel „hoch“ nicht durch Remote-Registrierung erreicht werden kann. Obwohl diese Annahme nicht wissenschaftlich belegt ist, erschwert sie private Investitionen. So bleiben Indentitätsfragen allein Behörden wie der Polizei überlassen. Die französische PVID-Gesetzgebung zeigt jedoch, dass sich die eID-Vertrauensstufe „hoch“ sehr wohl remote erzielen lässt.
- Die EU verweist auf länderspezifische Regeln, statt ETSI-Standards zu übernehmen. In den Fällen, in denen private eID-Initiativen erlaubt sind, ist es verboten, digitale Identitäten an Nicht-Staatsbürger oder Nicht-Einwohner eines Mitgliedstaates auszustellen. Das führt zu weiteren Einschränkungen.
Der deutsche Personalausweis mit PIN-Code stößt beispielsweise bisher bei den Bürgern auf wenig Begeisterung. Gleichzeitig hemmt das Verbot privater Initiativen in Deutschland und anderen Ländern die Innovation. Schweden hingegen hat überhaupt keine staatlich unterstützte eID, sondern setzt ausschließlich auf private Initiativen.
Die Erfolgsgeschichten in den nordischen Ländern, den baltischen Staaten und Italien gehen auf die Zeit vor eIDAS zurück und verdanken ihren Fortschritt eher privaten Initiativen als der EU- oder Regierungspolitik.
Welche Herausforderungen bringt die EU Wallet mit sich?
- Für den Zugriff auf die digitale Brieftasche ist eine eID mit eIDAS-Level „hoch“ erforderlich. An der hohen Sicherheitsanforderung ist nichts auszusetzen. Aber um eine Metapher zu gebrauchen: Die EU schreibt einen modernen Hochgeschwindigkeitszug vor, ohne zu berücksichtigen, dass es keine Gleise gibt.
Regierungen sind keine guten Gleisbauer. Wenn man jedem Land erlaubt, seine eigenen Gleisstandards zu entwerfen und gleichzeitig dem Privatsektor verbietet, einen Beitrag zu leisten, wird es keine Gleise geben. - Die Nationalstaaten haben bisher keine überzeugenden Anwendungsfälle geschaffen, die die Akzeptanz fördern würden, wie etwa digitale Führerscheine. Selbst wenn es also Gleise für den Zug gäbe, hätte der Zug keine sinnvollen Ziele für seine Fahrgäste.
Die meisten EU-Mitgliedsstaaten haben noch keine angemessenen digitalen öffentlichen Dienstleistungen bereitgestellt. Nur einige wenige Länder wie Portugal und Polen machen Fortschritte mit Initiativen wie digitalen Führerscheinen. Nach wie vor ist es in der EU nur selten möglich, qualifizierte Bescheinigungen von Behörden zu erhalten.
Ohne überzeugende Anwendungsfälle fehlt den Bürgern aber die Motivation, die Funktion „eID hoch“ zu nutzen, selbst wenn sie auf physischen Ausweisen verfügbar ist. Solange öffentliche Stellen außerdem Probleme mit der effektiven Handhabung qualifizierter Signaturen haben, lässt das zweifeln, ob sie überhaupt in der Lage sind, qualifizierte Bescheinigungen zu erstellen.
Qualifizierte Zertifikate funktionieren
Ist eIDAS 1.0 also ein Fehlschlag? Nein, nicht ganz. Es gibt ein einziges, wirklich erfolgreiches Produkt, das aus eIDAS 1.0 hervorgegangen ist: das qualifizierte Zertifikat zusammen mit seinen Derivaten wie der qualifizierten Signatur.
Aus dem Katalog der eIDAS-Vertrauensdienste hat sich die Einführung qualifizierter Zertifikate als relativ gelungen erwiesen, insbesondere auf dem italienischen Markt. Das Erfolgsrezept dahinter ist eine einheitliche Gesetzgebung, die Einhaltung der ETSI-Standards und ein gemeinsames Framework für die Konformitäts-Bewertung in allen EU-Ländern. Diese Faktoren erleichtern Privatinitiativen und führen zu einer verbesserten Nutzbarkeit, Produktinnovation und bedarfsorientierten Anwendungsfällen