Der EU-Rat hat seine Position zur europäischen digitalen Identität auf der Sitzung des Telekommunikationsrats am Dienstag (6. Dezember) formalisiert.
Die europäische digitale Identität soll eine öffentliche Version von digitalen Geldbörsen in jedem Mitgliedsstaat schaffen, die verwendet werden kann, um bestimmte Aspekte wie das Alter in jedem anderen EU-Land zu identifizieren, zu authentifizieren oder zu überprüfen.
Diese Brieftaschen werden die Form von Apps für Smartphones haben. Im digitalen Bereich will die EU mit den Identifizierungssystemen konkurrieren, die derzeit von Big Tech-Unternehmen wie Amazon, Google und Facebook angeboten werden.
„Wir sehen einen massiven Fortschritt darin, wie Menschen ihre Identität und Anmeldeinformationen im täglichen Kontakt mit öffentlichen und privaten Einrichtungen verwenden und wie sie digitale Dienste nutzen“, sagte Ivan Bartos, stellvertretender tschechischer Ministerpräsident für Digitalisierung.
Datensatzabgleich
Der ursprüngliche Vorschlag, um sicherzustellen, dass nationale E-Wallets miteinander kommunizieren, bestand darin, eine eindeutige Kennung zu haben, eine einzelne Nummer, die einer Person zugeordnet ist. Diese Funktion könnte jedoch erhebliche Auswirkungen auf den Datenschutz haben, da sie die Person verfolgen kann und ein verfassungsrechtliches Problem für Deutschland darstellt.
Eine datenschutzfreundlichere Lösung wurde beim Datensatzabgleich gefunden, einer Funktion, die die nationalen Regierungen bereitstellen müssen und die darin besteht, verschiedene Informationen wie Geburtsdatum und Wohnadresse aus offiziellen Dokumenten zu berücksichtigen.
Innerhalb dieser Vereinbarung wurde die eindeutige Kennung beibehalten, obwohl Formulierungen eingeführt wurden, die die EU-Länder verpflichten, personenbezogene Daten zu schützen und die Erstellung von Benutzerprofilen zu verhindern.
Kritiker warnten davor, dass dies zu schaffen sein könnte eine Schwachstelle für kriminelle Missbräuche, insbesondere in grenzüberschreitenden Fällen. Benutzer könnten die Mitgliedstaaten auffordern, ihre eindeutigen Kennungen in letzter Minute zu löschen und zu ersetzen.
Versicherungsstufe
Eine viel diskutierte Frage bezog sich auf das Sicherheitsniveau der digitalen Brieftasche, das für die Verhinderung von Identitätsdiebstahl von grundlegender Bedeutung sein wird. Die Kontroverse wurde durch die Tatsache angeheizt, dass bestehende nationale E-Wallets wie das französische nicht mit strengeren Sicherheitsanforderungen kompatibel sind.
Da es eine überwältigende Mehrheit für ein hohes Sicherheitsniveau gab, wurde ein Kompromiss gefunden, indem spezifische Onboarding-Verfahren für Benutzer von nationalen Wallets mit einem niedrigeren Vertrauensniveau zugelassen wurden.
Vertrauende Parteien
Ein weiterer kritischer Aspekt war, ob die sogenannten vertrauenden Parteien, die Organisationen oder Einzelpersonen, die digitale Identitäten verwenden, dies den Mitgliedstaaten über ihre Verwendung mitteilen müssen. Der Text lässt den nationalen Behörden einen Ermessensspielraum darüber, ob die Meldung obligatorisch ist.
Der Ansatz der tschechischen Ratspräsidentschaft bestand darin, die erforderlichen Informationen auf ein Minimum zu reduzieren und den Meldeprozess zu automatisieren oder über einfache Verfahren zur Selbstauskunft kostengünstig und risikobasiert zu gestalten.
Gleichzeitig beinhaltet der Kompromiss die Möglichkeit einer spezifischen Regelung auf der Grundlage sektoraler Anforderungen, insbesondere wenn die verarbeiteten Daten besonders sensibel sind, wie z. B. Gesundheitsdaten.
Zertifizierung
Die Verordnung beauftragt ENISA, die Cybersicherheitsagentur der EU, ein Zertifizierungssystem gemäß dem EU-Cybersicherheitsgesetz speziell für die elektronische Geldbörse herauszugeben. Bis dahin gelten die gemeinsamen Kriterien des Cybersecurity Act.
Die Mitgliedstaaten werden öffentliche und private Stellen benennen, die die Wallets zertifizieren, und die nationalen Cybersicherheitsbehörden können die Wallets der anderen über einen Peer-Review-Mechanismus gegenprüfen.
Kryptographischer Speicher
Ein grundlegender Aspekt der Sicherheit von E-Wallets besteht darin, dass die offiziellen Dokumente mit Technologien wie Secure Element, einem Chip, der den unbefugten Zugriff auf sensible Daten verhindern soll, verschlüsselt und sicher gespeichert werden.
Da diese Technologie in Smartphones jedoch noch nicht weit genug verbreitet ist, wurde eine Übergangsmaßnahme aufgenommen, um die verschlüsselten Daten außerhalb des Mobiltelefons beispielsweise über einen externen Token zu speichern, bis zertifizierte sichere Speicher im Marktangebot eine weite Verbreitung finden.
Interoperabilität
Gemäß dem kürzlich verabschiedeten Digital Markets Act müssen die Technologieunternehmen, die so in bestimmten Märkten verankert sind, um als Gatekeeper bezeichnet zu werden, den Zugang zu Hardware- und Softwarefunktionen sicherstellen, um sicherzustellen, dass sie mit Konkurrenzprodukten oder -diensten kompatibel sind.
Der allgemeine Ansatz verdeutlicht diese Verknüpfung mit der digitalen Geldbörse und verlangt von den Gatekeepern, für ihre Betriebssysteme, Geräte und Dienste eine kostenlose und wirksame Interoperabilität auf dem gleichen Niveau wie für ihre eigenen Produkte und Dienste sicherzustellen.
Elektronische Bescheinigung
Jede Institution, die Attribute wie Diplome und Geburtsurkunden ausstellt, wird ermächtigt, ein qualifizierter Anbieter zu werden. Diese Dokumente hätten im elektronischen Format den gleichen Rechtswert wie auf Papier.
Unter bestimmten Bedingungen können auch private Einrichtungen als qualifizierte Dienstleister im Auftrag von Behörden auftreten.
Zeitleiste
Bevor die Zweijahresfrist für die Umsetzung der Brieftasche beginnt, muss die Kommission Durchführungsrechtsakte zu den technischen und betrieblichen Spezifikationen und Cybersicherheitsanforderungen erlassen, die innerhalb von sechs Monaten nach Inkrafttreten der Verordnung einzuhalten sind.
[Edited by Nathalie Weatherald]