Künftig sollen sich alle EU-Bürger:innen mit einer digitalen Brieftasche ausweisen können. Die sogenannte „European Digital Identity Wallet“ (ID-Wallet) soll on- wie offline bei Verwaltungsgängen und Bankgeschäften, aber auch bei Arztbesuchen, Alterskontrollen oder beim Internetshopping zum Einsatz kommen.

Derzeit verhandeln der EU-Ministerrat, das EU-Parlament und die Kommission die eIDAS-2.0-Verordnung im Trilog, der letzten Phase der europäischen Gesetzgebung. Sie soll der ID-Wallet den Weg ebnen. Bereits am kommenden Mittwoch wollen die drei EU-Institutionen einen gemeinsamen Kompromissentwurf beschließen.

Knapp eine Woche vor dem Treffen haben mehr als 400 IT-Sicherheitsexpert:innen und Forschende sowie rund 30 Organisationen der Zivilgesellschaft in einem offenen Brief die sich abzeichnende Einigung kritisiert. Zu den NGOs zählen unter anderem der Chaos Computer Club, die Electronic Frontier Foundation, European Digital Rights (EDRi) und La Quadrature du Net.

Die Unterzeichnenden befürchten, dass die Verordnung es staatlichen Behörden ermöglicht, die Kommunikation im Netz umfassend zu überwachen. Auf Kritik stoßen insbesondere Artikel 45 und Artikel 6 der geplanten eIDAS-Reform.

Artikel 45: Gefahr für die vertrauliche und sichere Kommunikation im Internet

Artikel 45 schreibt den Anbietern von Webbrowsern vor, Zertifikate zu akzeptieren, die einzelne EU-Mitgliedstaaten bereitstellen. Die Unterzeichnenden des offenen Briefes mahnen, dass dies schwerwiegende Folgen für die Privatsphäre und die Sicherheit aller europäischen Bürger:innen und das Internet insgesamt haben wird.

Die Zertifikate sollen sicherstellen, dass sich Webseiten eindeutig und sicher gegenüber Browsern identifizieren. Erst danach erfolgt die verschlüsselte Kommunikation zwischen den einzelnen Nutzer:innen und der Webseite.

Staatliche Behörden könnten selbst erstellte Zertifikate dazu missbrauchen, um beliebige Webseiten zu kompromittieren. Auf diese Weise könnten sie nicht nur die Internetkommunikation ihrer jeweiligen Staatsbürger:innen, sondern die aller EU-Bürger:innen ausspähen.

Der offene Brief fordert die Trilog-Partner daher dazu auf, „klarzustellen, dass Artikel 45 nicht in Vertrauensentscheidungen über kryptografische Schlüssel und Zertifikate eingreift, die zur Sicherung des Internetverkehrs verwendet werden.“

Auch Mozilla kritisiert in einer eigenen Stellungnahme, dass der Trilog-Kompromiss bislang „keine unabhängige Kontrolle […] über die von den Mitgliedstaaten […] genehmigten Schlüssel und deren Verwendung“ vorsieht. Dies sei besorgniserregend, da das Prinzip der Rechtsstaatlichkeit in den EU-Mitgliedstaaten unterschiedlich angewandt werde und es „dokumentierte Fälle von Zwang durch die Geheimpolizei zu politischen Zwecken“ gebe.

Die Kritik an den Zertifikaten ist nicht neu. Bereits der ursprüngliche Entwurf der Kommission sah vor, dass Browseranbieter sogenannte Qualified Website Authentication Certificates (QWACs) nutzen sollen. Diese Zertifikate gelten als veraltet, untauglich und relativ unsicher. Ein Kompromissvorschlag des EU-Parlaments sah daher vor, dass Browser-Anbieter Zertifikate entfernen können, wenn diese nachweislich eine Gefahr für die Sicherheit oder den Datenschutz darstellen. Die sich abzeichnende Trilog-Vereinbarung geht hinter diesen Kompromissvorschlag zurück.

Artikel 6: Fehlende verpflichtende Schutzmaßnahmen

Ein weiterer zentraler Kritikpunkt des offenen Briefes ist die geplante Verknüpfung von Personendaten. Auch wenn die EU-Kommission betont, mit der eIDAS-2.0-Verordnung den Datenschutz stärken zu wollen, zeichne sich derzeit das Gegenteil ab, so die Unterzeichnenden.

Konkret sieht der aktuell diskutierte Verordnungsentwurf vor, dass sogenannte vertrauende Parteien (relying parties) Daten aus der ID-Wallet verknüpfen oder nachverfolgen können. Zu den vertrauenden Parteien zählen auch Regierungen. Sie könnten damit Erkenntnisse über das konkrete Nutzungsverhalten gewinnen, selbst wenn die Inhaber:innen der digitalen Brieftaschen dem nicht zugestimmt haben.

Der offene Brief begrüßt zwar die im Gesetzentwurf enthaltenen Bestimmungen, die einen strengen Schutz vor Tracking und Profiling vorsehen. Allerdings sei dieser Schutz derzeit nicht verpflichtend, sondern nur optional vorgesehen. Entsprechende Vorkehrungen sollten jedoch zwingend erforderlich sein, da die ID-Wallet sensible Identitäts-, Finanz- und Gesundheitsdaten enthalten werde – und das millionenfach.

Die Unterzeichnenden fordern die Trilog-Partner dazu auf, zur Parlamentsposition zurückzukehren, die einen strengen Schutz vorschreibt. „Ohne eine garantierte Nichtverknüpfung und Nachverfolgbarkeit von Personendaten“, heißt es in dem offenen Brief, „wird die Privatsphäre von EU-Bürger:innen massiv eingeschränkt.“