Kuketz-Blog 🛡19h ago

Das deutsche EUDI-Wallet (Sprind) setzt auf Google Play Integrity und Apple App Attest zur Geräteverifizierung – beides proprietäre Attestierungsdienste der jeweiligen Plattformhersteller.

Nach heutigem Dokumentationsstand ist für Android ein Aktivierungspfad vorgesehen, der Google Play Integrity voraussetzt. Ein degoogletes Android ohne Google-Play-Komponenten fällt damit voraussichtlich raus. Was das in der Praxis bedeutet: Kein Custom-ROM, kein entsperrter Bootloader, kein degoogeltes Android.

Der digitale EU-Ausweis – ein staatliches Identitätsmittel – hängt damit strukturell von Google und Apple ab. Ob das im Sinne digitaler Souveränität ist, darf jeder selbst beurteilen.

Technische Details 👇

https://bmi.usercontent.opencode.de/eudi-wallet/wallet-development-documentation-public/latest/architecture-concept/06-mobile-devices/02-mdvm/#motivation

/kuk

Mobile Device Vulnerability Management Concept - German National EUDI Wallet: Architecture Documentation

Show threadcaneToad 19h ago

@kuketzblog Ist dieses Vorgehen eigentlich justiziabel? Mich stört schon sehr lange wenn Stellen der Öffentlichen Hand digitale Lösungen entwickeln, die mit Elementen kommerzieller dritter Anbieter "angereichert" werden. Da wir Bürgerinnen und Bürger digitale Dienstleistungen mit unseren Steuern bezahlen, werden wir so zusätzlich zur Lieferung von geldwerten Daten an kommerzielle Dritte gezwungen, wenn so Zeugs in diese Dienstleistungen eingebaut wird. Immerhinn geht es beim digitalen EU-Ausweis um hoheitliche Aufgaben, da haben US-TechBros in der Wertschöpfungskette aber auch garnix zu suchen.

Ich bin juristisch nicht in der Lage, das ausreichend zu beurteilen, das wäre aber viellecht ein Thema für eine Kampagne und Klage durch eine kompetente Organisation. Ich wär dabei.

Show threadCytro16h ago
@dazzr @kuketzblog
Also als Unternehmer bin ich dazu angehalten den Datenschutz nach BDSG und DSGVO zu wahren. Das schlieĂźt aktuell mit dem CloudAct und dem Schrems II Urteil die Nutzung von Diensten der USA komplett aus. Ich Frage mich, wieso hierbei wieder mit zwei Waagen gemessen wird.
Show threadFranz Philippe Bachmann

@cytro @dazzr @kuketzblog – Es gibt seit 2023 einen #Angemessenheitsbeschluss der EU-Kommission nach Art. 45 #DSGVO für die USA als Drittland:
đź”— https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023D1795

Wenn die Bedingungen des #TADPF eingehalten werden, was manchmal ĂĽbersehen wird, dann darf ein Verantwortlicher Daten in die #USA ĂĽbermitteln, also US-Dienste nutzen. Man kann den Beschluss zu Recht kritisieren, aber er ist gĂĽltig und kann als Grundlage fĂĽr DatenĂĽbermittlungen verwendet werden.

L_2023231DE.01011801.xml

10:29amWeb