Digitales EU-Identifikationssystem kommt ohne Datenschutz
Von Erich Moechel
Der größte Posten im aktuellen EU-Förderprogramm zur Digitalisierung ist mit 37 Millionen Euro die Entwicklung einer EU-weiten Infrastruktur für digitale Ausweise (eID). Im Rahmen dieses Programm sollen Lösungen zur technischen Umsetzung der kommenden eIDAS-Verordnung entwickelt werden.
Datenschützer üben schon am Ansatz des Kommissionsentwurfs zu dieser Verordnung heftige Kritik, da deren technische Umsetzung völlig abgekoppelt ist. Die Kommission hat sich durch eine sogenannte Verordnungsermächtigung selbst ermächtigt, den ausgehandelten Gesetzestext nachträglich zu verändern. Datenschutz wird darin kaum erwähnt.
EU Kommission
Diese Infografik der Kommission soll eIDAS, das für Electronic IDentification, Authentication and Trust Services steht, den EU-Bürgern bringen. Wer im EU-Ausland etwa für eine Arbeitsgenehmigung die Geburtsurkunde oder braucht, soll diese künftig elektronisch anfordern können, weil die E-Government-Systeme der Behörden dann über das eIDAs-System direkt vernetzt sind. Dasselbe soll auch für grenzüberschreitende Geschäftsprozesse gelten, in denen amtliche Dokumente benötigt werden. An dieser Gleichsetzung aber entzündet sich die Kritik (siehe unten)
Die Verordnungsselbstermächtigung der Kommission
Im Rahmen der digitalen Forschungsförderung werden aktuell auch 17 Mio Euro an Projekte zum Datamining in europäischen Innenministerien vergeben.
„Wir haben bis jetzt gezählte 28 Passagen im Verordnungstext identifiziert, in denen diese Verordnungsermächtigung der Kommission schlagend wird“, sagte Thomas Lohninger von der Datenschutzorganistation Epicenter.works zu ORF.at. Hier könne die Kommission selbst entscheiden, wie der Verordnungstext dieser Passagen formuliert werde, die Abgeordneten wüssten bei weiten Teilen der Verordnung jetzt also überhaupt nicht, worüber sie genau diskutierten. Die technische Umsetzung eines so hochkomplexen Unterfangens wie ein auf digitale Signaturen gestützter, grenz- und sprachraumüberschreitender Amtsverkehr sei aber logischerweise der Schlüssel für jede solche Regelung.
Während mit der Verordnung also nur der Rahmen definiert wird, sollen die Möglichkeiten der technischen Umsetzung erst durch das Forschungsförderprogramm ausgelotet werden. Da die Ausschreibung erst Mitte Mai endet, ist mit der Zuteilung der Fördergelder nicht vor Ende des Jahres zu rechnen. Die Laufzeit dieser Förderprogramme beträgt 24 Monate, das heißt, eine technische Umsetzung zeichnet sich auf diesem Weg frühestens irgendwann des Jahres 2025 ab. „Derzeit fehlen sämtliche Details der technischen Umsetzung, mit denen die Verordnung aber steht und fällt“, so Lohninger weiter. Dass dabei eine so unsaubere Vorgangsweise gewählt werde, nähre den Verdacht, dass es hinter den Kulissen bereits Absprachen mit europäischen Unternehmen aus der Identifikationsbranche gebe.
EU Kommission
Im digitalen Forschungsförderungsprogramm der Kommission werden die Vorteile der elektronischen Dokumentenverkehrs für Bürger hervorgehoben. Von Altersnachweisen im Netz bis zu Logins bei Google oder Facebook (siehe unten), von Interaktionen mit den Ämtern bis zu geschäftlichen Transaktionen sollen praktisch alle Lebensbereiche über das grenzüberschreitende eIDAS-System abgedeckt werden.
Datenschutz nicht vorgesehen
Die EU-Verordnungen zu digitalen Diensten und digitalen Märkten stehen kurz vor dem Abschluss. Das eIDAS-Framework soll künftig Grundlage auch für Internettransaktionen sein.
Kern des Ganzen ist die von der Kommission so genannte „digitale Brieftasche“ („digital wallet“), die dafür sorgen soll, das Prinzip der Datensparsamkeit umzusetzen, die in der Datenschutzgrundverordnung festgeschrieben ist. Bei jedem Transfer könne der Brieftaschenbesitzer selbst entscheiden, welche Daten bzw. Dokumente an wen übertragen werden, damit würden also nur die nötigen übermittelt. Das ist einer von insgesamt lediglich vier Verweisen auf die Datenschutzgrundverordnung, allesamt in der Einleitung und den Erläuterungen des Kommissionsentwurf, nicht aber im Text. Und das bei einer Verordnung zur digitalen Identität, die zur Übermittlung der mithin sensitivsten persönlichen Daten und Urkunden etwa im Gesundheitsbereich dienen soll.
„Die in Artikel 6a Absatz 11 vorgesehenen delegierten Rechtsakte der Kommission“ - also die Verordnungsselbstermächtigung - „erlauben es der Kommission ganz allein festzulegen, wie die digitale Brieftasche in der Praxis funktionieren soll“, sagte Thomas Lohninger. Wenn sich das darauf beschränke, angesichts neuer technologischer Entwicklungen gewisse Spezifikationen zu aktualisieren, so sei das durchaus akzeptabel. Aber Herangehsweise und Prinzipien in der Umsetzung dieser Verordnung, die Transfers persönlicher bis intimer Daten quer durch die EU zum Inhalt hat, „müssen unbedingt in der Verordnung selbst verankert sein.“
EU Kommission
Und dann soll die dіgitale Brieftasche nach Willen der Kommission noch neben „einem Minimum an persönlichen Daten zur Identifikation auch einen einen einzigartigen und und persistenten Identifikator enthalten“. Das heißt, allen EU-Bürger:innen wird eine individuelle Zahlen/Buchstabenkombination zugewiesen, über die sämtliche Einträge zu einer bestimmten Person in allen Datenbanken der nationalen Behörden verknüpfbar werde. Die obige Passage stammt aus dem zuletzt in den Text eingefügten Artikel 11a des Kommissionsentwurfѕ. Weitere Kritikpunkte finden sich in mehreren Analysen und Stellungnahmen, die Epicenter.works zu eIDAS verfasst hat.
Keine Schutzmaßnahmen gegen Missbrauch
Im Frühjahr 1999 nahm das erste Gesetz zur digitalen Signatur in Österreich langsam Gestalt an.
„Die Zuordnung einer solchen lebenslang gültigen ID geht schon einmal gar nicht“ sagte Lohninger. In Deutschland sei dies beispielsweise durch einen Spruch des Bundesverfassungsgerichts verboten worden, denn die Missbrauchsgefahr sei groß: „Was passiert, wenn in einem Mitgliedsstaat beschlossen wird, sämtliche Identifikations- und Authentifizierungsvorgänge mitzuloggen?“ In der Verordnung fehlten derzeit sämtliche Schutzmechanismen gegen derartigen Missbrauch durch die Staaten und ihre Organe selbst. Eine solche Regelung müsse aber Unbeobachtbarkeit der Bürger*innen garantieren und Schutz vor Tracking bieten.
Wenn sowohl im echten Leben wie auch als Kopie im Netz ein Ausweis vorgelegt werden muss, ist dieser Vorgang nur dem Ausweisinhaber und der anfordernden Entität bekannt. Im eIDAS-System sind an diesem Vorgang jedoch staatliche Stellen beteiligt, das unterscheidet eine elektronische ID mit Datenbankabgleichen grundsätzlich von einem analogen Identitätsdokument. Wie dieser Identifikationsmechanismus und wie die Rahmenbedingungen dazu aussehen sollen, das lässt der Kommissionsentwurf jedoch völlig offen, die Kommission selbst behält sich darüber die Alleinentscheidung vor.
Eine Sache des Vertrauens
Diese Herangehensweise der Kommission an eine Regulierung, die das Wort „Vertrauen“ („Trust“) im Titel trägt, lässt sich beim besten Willen nicht als vertrauenswürdig bezeichnen, dieser absichtlich lückenhafte Kommissionsentwurf wirft nämlich mehr Fragen auf, als er beantwortet. Nach der Lektüre dieser Dokumente kann man sich des Eindrucks nicht erwehren, dass hinter den Kulissen der Kommission bereits Entscheidungen zur Umsetzung gefallen sind, die der Öffentlichkeit noch vorenthalten werden.
Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 10.04.2022
