Die Wahrscheinlichkeit wächst, dass die EUDI-Wallet vor dem Europäischen Gerichtshof verhandelt wird. Eben davor hatten vor gut einem Monat mehrere dutzend Nichtregierungsorganisationen und IT-Sicherheitsexpert:innen gewarnt. In einem offenen Brief hatten sie „die verantwortlichen EU-Politiker:innen“ aufgefordert, „die technischen Anforderungen für die europäische EUDI-Wallet zu überdenken“. Andernfalls behalte man sich vor, „jeden Durchführungsrechtsakt, der gegen die zugrundeliegende eIDAS-Verordnung verstößt, vor dem Europäischen Gerichtshof anzufechten“.

Die EUDI-Wallet ist aktuell das größte digitalpolitische Projekt der Europäischen Union. Ihr liegt die eIDAS-Reform zugrunde, die im Mai dieses Jahres in Kraft trat. Demnach müssen alle EU-Mitgliedstaaten ihren Bürger:innen bis zum Herbst 2026 eine sogenannte „European Digital Identity Wallet“ anbieten, mit der sie sich dann online und offline ausweisen können.

Nur wenige Tage nach dem offenen Brief hat die EU-Kommission fünf Durchführungsverordnungen für die eIDAS-Wallet vorgelegt. Sie benennen auf Grundlage der rechtlichen Verordnung technische und organisatorische Anforderungen, die Anbieter und Betreiber von EUDI-Wallets einhalten müssen. Gestern veröffentlichte die Kommission überraschend vier weitere Durchführungsverordnungen, allerdings noch ohne den Rechtstext.

Einer Analyse von epicenter.works zufolge hat die Kommission in den ersten fünf Verordnungsentwürfen zwar einige der Kritikpunkte aus der Zivilgesellschaft aufgegriffen. Dennoch weisen die technischen Vorgaben weiterhin „alarmierende Mängel“ auf, so epicenter.works. Unter anderem würden zentrale Datenschutzgarantien der zugrundeliegenden eIDAS-Verordnung nicht umgesetzt.

Freie Wahl beim Pseudonym

Die Kritik des offenen Briefes entzündete sich an drei zentralen Punkten: Erstens an der Aushöhlung von Pseudonymen, zweitens an der unsicheren Verschlüsselung und drittens an unzureichenden Datenschutzanforderungen. Diese Probleme bestehen laut epicenter.works im Wesentlichen fort.

Zwar begrüßt die Nichtregierungsorganisation, dass die aktuellen Vorgaben nicht länger vorsehen, dass Strafverfolgungsbehörden Pseudonyme rückwirkend auf ihre rechtlichen Identität zurückführen können. Diese Bestimmungen hatten aus Sicht der Organisation „in krassem Widerspruch zu den gesetzlichen Vorgaben“ gestanden.

Rechtsextreme Kräfte sind auf dem Vormarsch.

Wir halten mit unserer Arbeit dagegen.

Allerdings müsse aus Datenschutzgründen auch sichergestellt sein, dass Nutzer:innen ihre Pseudonyme selbst auswählen dürfen. Nur so werde das in der eIDAS-Verordnung vorgesehene Recht auf Pseudonymität wirksam, schreibt epicenter.works. Zugleich sollten die technischen Vorgaben grenzüberschreitend und EU-weit festlegen, dass vertrauenswürdige Parteien keine persönlichen Daten der Nutzer:innen abfragen können, wenn sie dazu kein Recht haben.

Schwacher Schutz vor Tracking

Darüber hinaus weist epicenter.works darauf hin, dass die Durchführungsverordnungen der gesetzlichen Grundlage widersprächen. So sähen die technischen Anforderungen vor, dass Anbieter von EUDI-Wallets fortwährend prüfen können, ob eine digitale Brieftasche noch gültig ist. Damit aber wäre es möglich, Nutzer:innen dauerhaft zu tracken, warnt epicenter.works.

Eigentlich schreibt die eIDAS-Verordnung das Prinzip der Unlinkability vor. Es besagt, dass verschiedene Identifizierungsvorgänge nicht miteinander verknüpft werden dürfen. Konkret bedeutet das: Kauft eine Person etwa wiederholt Alkohol im selben Geschäft und weist dabei ihr Alter mittels Wallet nach, darf der Verkäufer die verschiedenen Vorgänge nicht dazu nutzen, um das Kaufverhalten dieser Person über einen längeren Zeitraum hinweg nachzuvollziehen.

Sensible Daten könnten an die Öffentlichkeit gelangen

Die Verordnung sieht an mehreren Stellen weitere Schutzmaßnahmen vor, die Unobservability (zu Deutsch: Unbeobachtbarkeit) gewährleisten soll. Das bedeutet unter anderem, dass Wallet-Anbieter die in den Wallets gespeicherten Daten weder einsehen noch sammeln dürfen. Nur die Nutzer:innen sollen der Wallet entnehmen können, welche Transaktionen sie getätigt haben.

„In den Durchführungsverordnungen werden diese Anforderungen weder erwähnt noch werden Wege aufgezeigt, wie sie bei der technischen Umsetzung eingehalten werden können“, schreibt epicenter.works. Damit verhindern die Verordnungen in technischer Hinsicht nicht, dass Nutzungsverhalten verfolgt, verknüpft oder zusammengeführt wird. so die Organisation.

×

20 Euro für 20 Jahre

Aus einem ähnlichen Grund kritisiert epicenter.works, dass die Durchführungsverordnungen ein öffentliches Verzeichnis vorsehen, in dem die Daten hinterlegt werden, die von Anbietern persönlicher Identifizierungsdaten widerrufen wurden. Es bedürfe nicht viel Phantasie, so epicenter.works, sich vorzustellen, dass damit sensible Informationen an die Öffentlichkeit gelangen könnten.

„Die EU-Kommission schlägt eine Wallet komplett ohne Datenschutz vor“, sagt Thomas Lohninger, Geschäftsführer bei epicenter.works, gegenüber netzpolitik.org. „Damit gäbe es kein Recht auf Pseudonymität und keinen Schutz vor Überidentifizierung. Das vollständige Nutzungsverhalten wäre für alle Staaten zentral einsehbar, obwohl die Wallet vom Arztbesuch bis zum öffentlichen Verkehr eingesetzt werden wird.“

Uneinheitlicher Datenschutz über Grenzen hinweg

Obendrein habe sich die Kommission offenbar dafür entschieden, eine zentrale Säule des Nutzer:innenschutzes schlichtweg zu ignorieren, schreibt epicenter.works. So fehle in den Durchführungsverordnungen eine wirksame grenzüberschreitende Regulierung von Anwendungsfällen. Damit aber drohten mehr Daten als erforderlich ausgetauscht zu werden, was zulasten der Privatsphäre der Nutzer:innen gehe, so die Organisation.

Sie kritisiert außerdem, dass die Durchführungsverordnungen keine grenzüberschreitende Beschwerde- und Löschmöglichkeiten für die Nutzer:innen vorsieht. Deren konkrete Umsetzung obliege damit den Mitgliedstaaten, was einen einheitlichen Datenschutz innerhalb der EU unterlaufe. Und weil die Verordnung nicht dazu verpflichte, dass Nutzer:innen eine E-Mail-Adresse angeben müssen, könnte dies am Ende zu der „peinlichen Situation“ führen könnte, dass Nutzer:innen und Datenschutzbehörden bei Beschwerden auf dem Postweg miteinander kommunizieren.

Mitgliedstaaten sollen Notbremse ziehen

„Es scheint fast so, als ob die Durchführungsbestimmungen den ursprünglichen Vorschlag der Europäischen Kommission vom Juni 2021 widerspiegeln“, schreibt epicenter.works. „Außer Acht gelassen werden hingegen die vom Europäischen Parlament und vom Rat hinzugefügten Schutzmaßnahmen.“

Da aber der Erfolg der EUDI-Wallets in hohem Maße vom Vertrauen der Bürger:innen abhänge, sollten die Mitgliedstaaten nun die Notbremse ziehen und die aufgezeigten Probleme lösen, sagt Thomas Lohninger. „Andernfalls müssten Daten- und Verbraucherschützer:innen nicht nur vor dieser Wallet warnen, sondern wir sollten dagegen auch vor Gericht ziehen.“