Digitale Brieftasche: Zivilgesellschaft und IT-Fachleute schlagen Alarm

Teilen

Die Kritik an der europäischen digitalen Brieftasche reißt nicht ab. Nun warnen mehrere dutzend Nichtregierungsorganisationen und IT-Sicherheitsexpert:innen eindringlich davor, dass die EU einen gefährlichen Irrweg einschlägt.

Die EU befindet sich auf einem Irrweg, so die eindringliche Mahnung eines offenen Briefes – Gemeinfrei-ähnlich freigegeben durch unsplash.com Kevin Clyde Berbano

Schon bald sollen alle EU-Bürger:innen über eine digitale Brieftasche verfügen, mit der sie sich online wie offline ausweisen können. Das größte digitalpolitische Projekt der Europäischen Union befindet sich derzeit in der Umsetzung.

Doch nun warnen knapp 30 Nichtregierungsorganisationen und gut ein Dutzend IT-Sicherheitsfachleute in einem offenen Brief eindringlich davor, dass die EU dabei einen gefährlichen Irrweg einschlägt.

Unterzeichnet haben den Brief unter anderem epicenter.works, Access Now, European Digital Rights (EDRi), Digitalcourage und die European Sex Workers‘ Rights Alliance.

Sie fordern „die verantwortlichen EU-Politiker:innen auf, einen Schritt zurückzutreten und die technischen Anforderungen für die europäische eID zu überdenken – ein großes System, das die sensibelsten Bildungs-, Gesundheits- und Finanzdaten der EU-Bürger:innen speichern und verarbeiten soll“.

Die Kritik entzündet sich vor allem an drei Punkten: erstens an der Aushöhlung von Pseudonymen, zweitens an der unsicheren Verschlüsselung und drittens an unzureichenden Datenschutzanforderungen.

Drei zentrale Kritikpunkte

Die eIDAS-Reform sieht vor, dass Nutzer:innen der digitalen Brieftasche immer dann ein Pseudonym verwenden können, wenn sie nicht dazu verpflichtet sind, ihre legale Identität preiszugeben.

Der Umsetzungsentwurf sieht jedoch vor, dass Strafverfolgungsbehörden diese Pseudonyme rückwirkend auf ihre rechtliche Identität zurückführen können. Diese „Hintertür“ widerspreche eindeutig den rechtlichen Vorgaben, kritisieren die Unterzeichnenden.

Zudem sollen für die digitale Brieftasche Verschlüsselungsverfahren eingesetzt werden, die nicht den Anforderungen der eIDAS-Reform entsprechend. Diese seien veraltet und entsprächen nicht dem Stand der Technik, heißt es in dem offenen Brief. Er greift damit die Kritik der Kryptografen von Mitte Juni auf. Nach Ansicht der Fachleute lässt sich dieses Problem nur beheben, wenn grundlegend andere kryptografische Lösungen zum Einsatz kommen.

Schließlich weisen die Unterzeichnenden darauf hin, dass die aktuellen Datenschutzanforderungen wesentliche Vorgaben der Verordnung „völlig ignorieren“. Dazu gehören die Unverknüpfbarkeit, die Unbeobachtbarkeit und der sogenannte Zero Knowledge Proof (zu Deutsch: Null-Wissen-Beweis).

Unbeobachtbarkeit bedeutet, dass Wallet-Anbieter die in den Wallets gespeicherten Daten weder einsehen noch sammeln dürfen. Nur die Nutzer:innen sollen der Wallet entnehmen können, welche Transaktionen sie getätigt haben. Das Prinzip der Unverknüpfbarkeit besagt, dass verschiedene Identifizierungsvorgänge nicht zusammengeführt werden dürfen – zum Beispiel, um so das Kaufverhalten über verschiedene Einkäufe hinweg nicht nachvollziehen zu können.

Mit Hilfe des Zero Knowledge Proofs können Nutzer:innen Angaben zu ihrer Identität bestätigen, ohne persönliche Informationen über sich preiszugeben. Beispielsweise könnten sie gegenüber einem Anbieter nachweisen, dass sie volljährig sind, ohne zusätzlich ihr Geburtsdatum preiszugeben.

Warnung vor rechtlichen Schritten

Angesichts dieser Probleme fordert der offene Brief, dass die EU sich mehr Zeit für die Umsetzung nimmt. „Um die Bürger:innen zu schützen und die notwendigen Schutzmaßnahmen sorgfältig umzusetzen, bedarf es realistischer Fristen“, mahnen die Unterzeichnenden.

Sollte die EU die gesetzlich vorgeschriebenen Datenschutzgarantien der eIDAS-Verordnung nicht umsetzen, würde die digitale Brieftasche die EU-Bürger:innen nur unzureichend vor Tracking, staatlicher Überwachung, Überidentifizierung sowie Betrug und Identitätsdiebstahl schützen. In diesem Fall, so die Unterzeichnenden, müsse die Öffentlichkeit vor der digitalen Brieftasche der EU gewarnt werden.

Außerdem behalten sich die Organisationen vor, „jeden Durchführungsrechtsakt, der gegen die zugrundeliegende eIDAS-Verordnung verstößt, vor dem Europäischen Gerichtshof anzufechten“.

eIDAS-Reform: Digitale Brieftasche für alle EU-Bürger:innen

Die eIDAS-Reform trat im Mai dieses Jahres in Kraft. Sie baut auf einer Regulierung aus dem Jahr 2014 auf; die Abkürzung eIDAS steht für „Electronic IDentification, Authentication and Trust Services“.

Die neue Verordnung sieht vor, dass alle EU-Mitgliedstaaten ihren Bürger:innen bis zum Herbst 2026 eine sogenannte „European Digital Identity Wallet“ (EUDI-Wallet) anbieten müssen.

Die Wallet soll laut EU-Verordnung freiwillig, kostenlos und vor allem sicher sein. Außerdem sollen die Nutzer:innen transparent darüber bestimmen können, welche Daten sie an wen weitergeben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.