Den Reisepass, Führerschein und Universitätsabschluss am Handy speichern. Behördengänge online abwickeln, sich bei Plattformen wie Facebook und Google mit staatlich verifizierten Identitätsdaten einloggen. Oder auch die Reservierung eines Hotelzimmers und Mietwagens mit ebendiesen abschließen – und zwar grenzüberschreitend in allen Mitgliedstaaten der Europäischen Union. All das soll mit einer E-ID der EU bald Realität werden, wie der STANDARD berichtete.

Was die einen bejubeln, bereitet anderen Sorgen. Die finale Ausgestaltung des Gesetzestextes steht zwar noch nicht fest. Datenschützer warnen aber schon jetzt vor einer Reihe möglicher Gefahren für europäische Bürgerinnen und Bürger. Vorteile biete der Entwurf derzeit primär Big Tech, heißt es.

Dabei ist das Vorhaben durchaus ambitioniert. Das EU-weit anerkannte staatliche System soll eine Konkurrenz zum Angebot der größten Digitalkonzerne etablieren. Auf vielen Webseiten erlauben diese aktuell den Log-in mit abgespeicherten Accountdaten. Außerdem würde die Einführung einer E-ID einen Digitalisierungsschub bedeuten. Vorbei wären die Zeiten, in denen man alle wichtigen Dokumente in Papier- oder Scheckkartenformat archivieren – und herauskramen muss, wenn man sie nutzen will. Behördengänge, also zum Beispiel die Meldung eines Wohnsitzes, sollen dadurch auch im Ausland digital und im Handumdrehen abgewickelt werden können.

Schwere Kritik an Gesetzesentwurf

Den Nutzen dieser Funktionen bestreiten auch Datenschützerinnen und Datenschützer nicht. Allerdings sei vorgesehen, allen Menschen eine eindeutige digitale Kennung zuzuweisen, die lebenslang für die Identifikation genutzt werden kann. Das Problem soll also einerseits in derzeit schwammig formulierten Sicherheitsvorkehrungen liegen, andererseits darin, dass sich beliebige Privatunternehmen als Serviceprovider registrieren können. "Staatlich verifizierte Identitätsdaten sind der heilige Gral für Unternehmen", sagt Thomas Lohninger von der Grundrechtsorganisation Epicenter Works gegenüber dem STANDARD.

Schon jetzt sammeln Facebook, Google und Co fleißig Daten, um personalisierte Werbung verkaufen zu können. Das Nutzungsverhalten wird dafür im ganzen Internet nachverfolgt. Meistens fehlt den Konzernen allerdings die Möglichkeit, Userinnen eindeutig mit Klarnamen zu identifizieren. Eine Hürde, die laut Lohninger mit der Einführung der E-ID wegfallen könnte. Dem aktuellen Gesetzesentwurf zufolge müssten sich Unternehmen nur als Serviceprovider melden, nicht aber um eine Zulassung ansuchen. Eine Einschränkung der gespeicherten Daten, auf die sie zugreifen können, gebe es derzeit auch noch nicht.

Mögliche Lösungen mit Problempotenzial

Eine mögliche Lösung diskutiert dem Datenschützer zufolge der Europäische Rat. Dieser erwäge eine verpflichtende Zulassung für private Anbieter durch Mitgliedstaaten, in deren Rahmen mögliche Anwendungsfälle geprüft werden sollen. Darüber hinaus erwäge man, die digitale Geldbörse – also die Smartphone-Wallet, in der die E-ID gespeichert werden soll – einzuschränken. Dadurch könnte zum Beispiel Facebook für den Log-in nur jene Daten abfragen, die es wirklich für die Identifizierung von Usern benötigt. Für die Durchsetzung sollen die Staaten verantwortlich sein, in denen betroffene Unternehmen ihren Sitz haben. Auch das ist nicht unumstritten. Wenn gewünscht, könnten sich Firmen in einem Land niederlassen, das ihnen besonders wohlgesinnt ist.

Davon abgesehen sei es jedoch grundsätzlich "essenziell, dass die Authentifizierung immer anonym passieren muss", sagt Lohninger. Die eigene Identität solle nur im Falle jener Dienste offenbart werden, bei denen es nicht vermeidbar sei, zum Beispiel im Kontakt mit Anwälten, einer Bank oder einem Behördengang – nicht aber dann, wenn man eine Amazon-Bestellung aufgibt oder sich auf Social-Media-Plattformen anmelden will.

Hinzu komme, dass von zentraler Stelle getrackt werden könnte, wann, wo und wofür man die E-ID einsetzt. Von staatlicher Seite könnte laut den Grundrechtsorganisationen EDRi und Epicenter Works dadurch konkret nachverfolgt werden, wenn Bürgerinnen sich für die Flugbuchung ausweisen, bei Instagram einloggen oder zum Beispiel Alkohol kaufen. Um das zu verhindern, solle die Beglaubigung der Attribute nicht an vorangegangene Authentifizierungen geknüpft werden.

Unentbehrlich seien außerdem Antidiskriminierungsbestimmungen, betont Lohninger. "Der Geschäftsverkehr darf nicht eingeschränkt werden, wenn man die Wallet nicht nutzen will oder kann", sagt er. Es gebe noch immer einen signifikanten Anteil an Menschen, der bis heute kein Smartphone nutzt oder dieses nicht sicher bedienen kann. Außerdem sind Millionen älterer Geräte im Umlauf, die vonseiten der Hersteller keine Sicherheitsupdates mehr erhalten. Es müsse also möglich sein, Behördengänge entweder weiterhin analog oder aber ohne ein Smartphone durchzuführen.

Eingriff in die Authentifizierung im Internet

Ein weiterer Kritikpunkt betrifft nicht die E-ID per se, sondern einen geplanten Eingriff in die Webauthentifizierung, der mit der geplanten Novelle der E-IDAS-Verordnung stattfinden könnte. Die EU hat mit ebendieser Verordnung bereits 2014 einen Rechtsrahmen für elektronische Transaktionen innerhalb der Union geschaffen. Mit der nun anstehenden Reform soll der EU-weite digitale Ausweis eingeführt werden – aber nicht nur, wie Sicherheitsexperten in einem offenen Brief an das EU-Parlament kritisieren.

Um Menschen im Internet vor Betrug oder Identitätsdiebstahl zu schützen, erhalten Webseiten Zertifikate, mit dem ihnen Vertrauenswürdigkeit attestiert wird. Kontrolliert wird dieser Prozess aktuell von den Browserbetreibern, also von Firefox, Chrome oder Safari, die sicherstellen müssen, dass ausgestellte Zertifikate auch tatsächlich vertrauenswürdig sind. Mit der E-IDAS-Reform könnte sich das nun ändern. Der Gesetzesentwurf sieht vor, dass Browser sogenannte Qualified Website Authentification Certificates (QWACs), also Webzertifikate der EU unterstützen müssen. Diese seien schon 2014 geschaffen worden. Eine Umsetzung erfolgte wegen technischer Mängel allerdings nie, heißt es in dem Schreiben. Nun warnen die Sicherheitsexperten erneut, dass das Vorhaben zu Cybersicherheitsrisiken für Internetnutzer führen würde.

Grund dafür ist, dass das Gesetz bestimmten Zertifikaten erlauben würde, bestehende Sicherheitsstandards zu umgehen. Das erhöhe das Risiko, dass Zertifikate an Cyberkriminelle ausgegeben werden – und Sicherheitsexpertinnen nicht mehr rasch genug auf entstehende Risiken reagieren könnten. Zwar verstehe man, dass das Ziel der Novelle eine erhöhte Sicherheit sei, schreiben die Forschenden in ihrem Fazit. In der Praxis hätte es aber den gegenteiligen Effekt.

Wie es weitergeht

Trotz all dieser Kritik muss festgehalten werden, dass der Gesetzestext noch nicht in Stein gemeißelt ist. Noch bis Juni können im EU-Parlament Änderungsvorschläge eingebracht werden. Eine erste Abstimmung im Ausschuss erwartet Lohninger dann im Juli, im November soll eine erste Lesungsposition im Parlament entschieden werden. Es bleibt also noch Zeit für eine Überarbeitung etwaiger Kritikpunkte, auch wenn der Datenschützer seinen Optimismus im Zaum hält. Dennoch kann sich in den kommenden Monaten noch einiges tun. Es bleibt also spannend, in welche Richtung sich das Projekt E-ID entwickeln wird. (Mickey Manakas, 10.4.2022)