Digitale Brieftasche
EU-Kommission will Amazon dein Gesicht geben
Ende dieses Jahres soll die digitale Brieftasche fĂŒr alle kommen. Doch BĂŒrgerrechtsorganisationen warnen, dass die EU-Kommission zentrale Datenschutzgarantien aushöhlen und Nutzer:innen zur Weitergabe biometrischer Daten zwingen will. Wer eine Flasche Wein kaufen möchte, muss dafĂŒr im Laden unter UmstĂ€nden den Personalausweis zĂŒcken. Erst nach einem prĂŒfenden Blick des Kassierers auf das Geburtsdatum können Kund:innen dann bezahlen â oder nicht.
Weit mehr Daten könnten schon bald bei der geplanten EUDI-Wallet ausgetauscht werden, warnt die Nichtregierungsorganisation epicenter.works in einer Stellungnahme. Wer die digitale Brieftasche kĂŒnftig einsetzt, könnte dann sogar gezwungen sein, die eigenen biometrischen Gesichtsdaten an Unternehmen weiterzugeben.
Verantwortlich dafĂŒr sind Ănderungen der EuropĂ€ischen Kommission, so die österreichische Nichtregierungsorganisation. Die Kommission höhle im Nachhinein die rechtlich vorgegebenen Schutzgarantien aus, auf die sich EU-Parlament und der Rat geeinigt hatten.
Mit der âEuropean Digital Identity Walletâ sollen sich kĂŒnftig BĂŒrger:innen und Organisationen online und offline ausweisen können. Die Bundesregierung hat ihren Start in Deutschland zum 2. Januar 2027 angekĂŒndigt.
Wenn soziale Plattformen Gesundheitsdaten abfragen
Konkret bezieht sich die Kritik von epicenter.works auf drei aktuelle KonsultationsentwĂŒrfe von sogenannten DurchfĂŒhrungsrechtsakten. Diese Rechtsvorschriften regeln die praktische Umsetzung von EU-Verordnungen. Insgesamt 40 von ihnen will die Kommission erlassen, bevor die digitale Brieftasche verfĂŒgbar ist.
Als besonders problematisch bewertet epicenter.works die Regelung, wonach ârelying partiesâ (zu deutsch: âvertrauenswĂŒrdige Parteienâ) je nach Mitgliedstaat sogenannte Registrierungszertifikate nicht verpflichtend, sondern nur optional erhalten sollen.
VertrauenswĂŒrdige Parteien können Unternehmen und öffentliche Einrichtungen sein. Sie mĂŒssen sich laut eIDAS-Verordnung, die der europĂ€ischen Wallet zugrundeliegt, vorab in einem EU-Mitgliedstaat registrieren. Dabei mĂŒssen sie darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden.
Diese DatenbeschrĂ€nkung lĂ€sst sich technisch mit Registrierungszertifikaten kontrollieren. Sie dienen als eine Art Datenausweis, mit dem sich die vertrauenswĂŒrdigen Parteien gegenĂŒber den Wallets legitimieren und die Abfragekategorien beschrĂ€nken. Registrieren sich Nutzer:innen etwa mit Hilfe der Wallet bei einem sozialen Netzwerk, soll das so erst gar keine Gesundheitsdaten abfragen können.
Die eIDAS-Verordnung sieht solche Registrierungszertifikate zwar nicht explizit vor. Allerdings könne eine Wallet ohne diese technisch nicht ohne weiteres ĂŒberprĂŒfen, ob Informationsanfragen angemessen sind, schreibt epicenter.works. Und das widerspreche Artikel 5b Abs. 3 der Verordnung, wonach vertrauenswĂŒrdige Parteien nur jene Daten abfragen dĂŒrfen, die sie auch bei ihrer Registrierung angegeben haben.
Die Nichtregierungsorganisation plĂ€diert daher fĂŒr technische Kontrolle statt nur fĂŒr Vertrauen. Andernfalls könnten etwa Unternehmen die vorgesehenen SchutzmaĂnahmen relativ leicht umgehen, indem sie einen Mitgliedstaat als Niederlassungsort wĂ€hlen, der keine Registrierungszertifikate ausstellt. âUnternehmen aus LĂ€ndern wie Irland könnten Schutzmechanismen der Wallet umgehen, so dass illegale Anfragen nach zu vielen Informationen möglich werdenâ, sagt Thomas Lohninger von epicenter.works.
EU-Kommission handelt âunprofessionellâ
Es ist nicht das erste Mal, dass die Kommission die rechtlichen Vorgaben aus Sicht zivilgesellschaftlicher Organisationen untergraben will.
Bereits im November 2024 hatte die Kommission versucht, die Registrierung von vertrauenswĂŒrdigen Parteien freiwillig zu machen. Damals hatte sie die zweite Charge an DurchfĂŒhrungsrechtsaktenveröffentlicht. Nachdem mehrere Organisationen gefordert hatten, die dort aufgemachten âSchlupflöcherâ zu schlieĂen, korrigierte die Kommission vorĂŒbergehend ihre Position, nur um wenige Wochen spĂ€ter zu ihrer ursprĂŒnglichen Forderung zurĂŒckzukehren.
âDieses inkonsequente Vorgehen der [âŠ] EU-Kommission in einer so wichtigen Angelegenheit ist unprofessionellâ, schreibt epicenter.works in der aktuellen Stellungnahme, âund es untergrĂ€bt das Vertrauen der Ăffentlichkeit in das kĂŒnftige eIDAS-Ăkosystem erheblich.â Die Nichtregierungsorganisation fordert die Kommission erneut dazu auf, âdie Registrierung von vertrauenswĂŒrdigen Parteien verbindlich vorzuschreibenâ. Nur so sei ein einheitliches Schutzniveau in der gesamten EU zu gewĂ€hrleisten.
Kommission will Recht auf PseudonymitÀt beschneiden
Die eIDAS-Verordnung sieht auĂerdem vor, dass sich Wallet-Nutzer:innen im Alltag auch mit selbstgewĂ€hlten Pseudonymen gegenĂŒber Unternehmen und Behörden ausweisen können, sofern aus rechtlicher Sicht keine weiteren Daten erforderlich sind. So sollen sie ihre IdentitĂ€t und ihre persönlichen Daten vor ĂŒbermĂ€Ăigen Zugriff schĂŒtzen. Dieses Recht auf PseudonymitĂ€t greife die Kommission auf zweierlei Art an, kritisiert epicenter.works.
Zum einen unterscheide die Kommission nicht klar zwischen AnwendungsfĂ€llen der Wallet, in denen die vertrauenswĂŒrdige Partei gesetzlich dazu verpflichtet ist, Nutzer:innen zu identifizieren, und solchen, in denen eine solche Verpflichtung nicht besteht. Dabei sei diese Unterscheidung essentiell, um die Rechte der Nutzer:innen zu wahren.
Zum anderen beschrĂ€nke die Kommission den Gebrauch von Pseudonymen auf AuthentifizerungsmaĂnahmen â also etwa auf die Verwendung von pseudonymen Logins bei Webdiensten. âDie Kommission legt die eIDAS-Verordnung sehr einseitig ausâ, schreibt epicenter.works. âUnd sie ĂŒbersieht dabei, dass die vertrauenswĂŒrdigen Parteien dazu verpflichtet sind, Pseudonyme generell zu akzeptieren, unabhĂ€ngig von der Authentifizierungsfunktion der Wallet.âDamit könnten Unternehmen die rechtliche IdentitĂ€t von Nutzer:innen abfragen, ohne dass dies erforderlich ist.
Gerade vor dem Hintergrund der aktuellen Debatte um Alterskontrollen sei diese Verengung fahrlĂ€ssig: âSoziale Medienplattformen, Pornografie-Websites, GlĂŒcksspiel- und andere Online-Anbieter werden derzeit als potenzielle vertrauende Parteien diskutiertâ, mahnt epicenter.works. âDiese Anbieter seien möglicherweise sehr daran interessiert, IdentitĂ€tsdaten von Nutzer:innen zu erhalten, verfĂŒgen jedoch ĂŒber keine Rechtsgrundlage, um eine solche Identifizierung zu verlangen.â
Biometrische Gesichtsdaten sollen ebenfalls in die Wallet
Die ĂŒbermittelten Informationen könnten sogar biometrische Gesichtsdaten enthalten. Die Kommission will diese verpflichtend in jenen Datensatz aufnehmen, der zur Identifizierung von Nutzer:innen verwendet wird. Bislang soll dieses âMinimum-Datensetâ den vollen Name, das Geburtsdatum und den Geburtsort sowie die NationalitĂ€t enthalten.
Unternehmen wie Amazon könnten damit nicht nur Namen und Anschrift ihrer Kund:innen erhalten, sondern auch eine Bilddatei mit deren Gesicht. Die Kommission nehme hier eine âmassive Verschiebungâ vor, kritisiert epicenter.works, die der Gesetzestext explizit nicht vorsehe. Gleichzeitig wĂŒrde damit âdie gesamte Verarbeitung ĂŒber die EUDI-Wallet unter Artikel 9 der Datenschutzgrundverordnung fallen, was wesentlich strengere SchutzmaĂnahmen erfordern wĂŒrde.â
âWir sind wirklich entsetzt, welche Ănderungen vor dem Start der digitalen Brieftasche nun vorgebracht werdenâ, sagt Thomas Lohninger. âVerpflichtende Gesichtsbilder wĂŒrden ganz neue Gefahren durch biometrische Daten bei Online-Plattformen mit sich bringen. Offenbar ist die Akzeptanz in der Industrie fĂŒr die Politik relevanter als das Vertrauen aus der Bevölkerung.â
epicenter.works fordert die Kommission auf, die entsprechende Stelle aus dem Entwurf ersatzlos zu streichen. Gleichzeitig mahnt sie, dass die Kommission das gesamte Projekt gefĂ€hrde, indem sie kurz vor dem Start der Wallet derart weitreichende Ănderungen an den technischen Spezifikationen vornehme.
Offener Brief erinnert Kommission an rechtliche Vorgaben
An die Kritik von epicenter.works knĂŒpfen zehn europĂ€ische Organisationen an, die heute gemeinsam einen offenen Brief publiziert haben. Sie richten sich darin unter anderem an die VizeprĂ€sidentin der EU-Kommission, Henna Virkkunen. Initiiert hat das Schreiben die Vereinigung von BĂŒrgerrechtsorganisationen European Digital Rights, zu den Unterzeichnern zĂ€hlen unter anderem der Chaos Computer Club und die Digitale Gesellschaft aus Deutschland, Homo Digitalis aus Griechenland, IT-Pol aus DĂ€nemark, ApTI aus RumĂ€nien und Vrijschrift.org aus den Niederlanden.
Die Organisationen zeigen sich âzutiefst besorgtâ darĂŒber, dass die Kommission die Grundrechte von Millionen EU-BĂŒrger:innen aushöhlen wolle. Die aktuell vorliegenden EntwĂŒrfe der DurchfĂŒhrungsrechtsakte âbergen die Gefahr, einige der zentralen SchutzmaĂnahmen zu schwĂ€chen, die die eIDAS-Verordnung vorsieht.â Das sei umso dramatischer, weil derzeit auch darĂŒber diskutiertwird, die Wallet fĂŒr Alterskontrollen zu verwenden.
Der offene Brief ruft die Kommission und die Mitgliedsstaaten dazu auf, die BefĂŒrchtungen der Zivilgesellschaft ernstzunehmen und die rechtlichen Vorgaben der eIDAS-Verordnung einzuhalten. Die digitale Brieftasche könne nur dann erfolgreich sein, wenn sie einen starken Datenschutz und Rechtssicherheit böte â und zwar in allen EU-Staaten gleichermaĂen.
Daniel Leisegang ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zu seinen Schwerpunkten zĂ€hlen die Gesundheitsdigitalisierung, Digital Public Infrastructure und die sogenannte KĂŒnstliche Intelligenz. Daniel war einst Redakteur bei den âBlĂ€tternâ. 2014 erschien von ihm das Buch »Amazon â Das Buch als Beute«; 2016 erhielt er den Alternativen Medienpreis in der Rubrik âMedienkritikâ. Er gehört dem Board of Trustees von Eurozine und dem Kuratorium der Stiftung Warentest an. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-30-5771482-28⏠(Montag bis Freitag, jeweils 8 bis 18 Uhr). Dieser Beitrag ist eine Ăbernahme von netzpolitik, gemĂ€ss Lizenz Creative Commons BY-NC-SA 4.0.
Asahi đđ | UFP-Liaison đ
Not AI đŸ
RedBent
Cauca
bijram
Dr. Clarissa Vogler
Bench Mark
Phi
News Bot
