Egal ob Personalausweis, Reisepass oder Führerschein: Die wichtigsten Ausweisdokumente muss man innerhalb der Europäischen Union fast immer in Papier- oder Scheckkartenformat bei sich tragen. Zumindest bisher. Die EU-Gesetzgeber arbeiten an einer europäischen E-ID, einem digitalen Ausweis am Smartphone also. Dieser soll länderübergreifend funktionieren und für Behördengänge, den Hotel-Check-in oder den Log-in bei Onlineplattformen wie Facebook und Google genutzt werden können. Ein ambitioniertes Projekt, das die EU-Kommission mit fester Entschlossenheit vorantreibt. Bis zum Jahr 2030, so der Plan, sollen schon 80 Prozent der Bevölkerung zum Handy statt zur Brieftasche greifen.

Dieses wichtige, aber datenschutztechnisch heikle Vorhaben, hat nun die nächste Hürde im Gesetzgebungsverfahren genommen. Am Donnerstag hat der zuständige Ausschuss für Industrie, Forschung und Energie (ITRE) im EU-Parlament erfolgreich über eine Kompromissvereinbarung abgestimmt. Der ausgearbeitete Standpunkt wurde mit großer Mehrheit angenommen. Ein wichtiger Schritt, der einen Vorausblick auf die kommenden Verhandlungen ermöglicht. Während der EU-Rat keine allzu großen Anpassungen am Entwurf der EU-Kommission vorgenommen hat, scheinen sich die Parlamentarier nämlich für eine Stärkung der Privatsphäre einzusetzen.

Stärkere Schutzmaßnahmen

Darauf hofft auch die österreichische Grundrechtsorganisation Epicenter Works: "Um den Schutz der Grundrechte zu gewährleisten, muss das Parlament seine starke Position zu Sicherheitsmaßnahmen für die Privatsphäre in der Verordnung beibehalten", schreibt diese in einem Blogbeitrag. Die Zivilgesellschaft und Wissenschaft würden dies schon lange fordern. Diese Kritik ist nicht neu. Datenschützerinnen und Datenschützer warnen schon seit der erstmaligen Präsentation des Gesetzesentwurfs vor den Risiken und Nebenwirkungen der E-ID. Aber: Warum genau ist diese eigentlich umstritten?

Mitgliedsstaaten werden im Rahmen der Einführung dazu verpflichtet, eine sogenannte Wallet-App (ähnlich zur österreichischen E-Ausweise-App für den digitalen Führerschein) einzurichten. Damit User fehlerfrei identifiziert werden können, sollen Menschen eine lebenslang gültige Kennziffer erhalten, schreibt Epicenter Works. Unternehmen wie Facebook könnten es allerdings "kaum erwarten, einen behördlichen, eindeutigen, lebenslangen Identifikator" zu erhalten, mit denen sie ihre Userinnen und User fehlerfrei identifizieren können.

Probleme von Targeting bis Diskriminierung

Denn: Digitalkonzerne wie Google und Meta generieren einen Großteil ihrer Einnahmen über den Verkauf von personalisierter Werbung, die möglichst genau auf die Interessen und die Lebensrealität von Internetnutzern zugeschnitten ist. Sollte die EU-Bevölkerung dank E-ID damit beginnen, sich mit staatlich verifizierten Informationen bei sozialen Medien einzuloggen, könnte unter Umständen auch die Identität von Werbeempfängerinnen verifiziert werden – was wiederum das Targeting präziser machen könnte.

Dabei handelt es sich laut den Datenschützern aber nicht um die einzige Gefahr. Der Kommissionsentwurf würde ermöglichen, von zentraler Stelle aus nachzuverfolgen, wann, wo und wofür die Bevölkerung ihre E-ID einsetzt. Das berge die Gefahr der Überwachung aller Anwendungen im Offline- und Onlinebereich. Um die Privatsphäre zu garantieren, sei es notwendig, dass "die Unbeobachtbarkeit aller Identitäts- und Attributüberprüfungen per Gesetz gewährleistet wird".

Ein wichtiger Aspekt, der in der Diskussion um Digitalisierung gern vergessen wird, ist außerdem die mögliche Diskriminierung älterer Gesellschaftsmitglieder. Noch immer gibt es unzählige Menschen ohne Smartphone, die durch die Einführung neuer, durchaus interessanter Tools nicht außen vor gelassen werden dürfen – und keine Nachteile erhalten sollten, wenn sie Behördentermine stattdessen physisch antreten möchten.

Nicht in Stein gemeißelt

Eine Reihe dieser Kritikpunkte hat sich der ITRE-Ausschuss tatsächlich vorgeknöpft. Wohl am wichtigsten ist ein Änderungsantrag, laut dem Regierungen auf technischer Ebene daran gehindert werden sollen, das konkrete Nutzerverhalten einzusehen. Teilnehmende Privatunternehmen sollen bei der Registrierung außerdem dazu verpflichtet werden, ihre Anwendungsfälle bekanntzugeben. Sie sollen nur genau jene Daten sehen können, die notwendig sind. Nicht zuletzt fordert der Ausschuss, dass die eingangs beschriebene Kennziffer für Nutzer nicht permanent sein sollte. Das würde das Tracking der Anwendung erschweren.

Ermöglicht wird die E-ID übrigens durch eine Novelle der E-IDAS-Verordnung. Mit dieser wurde 2014 ein Rechtsrahmen für elektronische Transaktionen innerhalb der EU geschaffen. Nun wird sie überarbeitet.

Mit der heutigen Abstimmung ist die Aktualisierung des Gesetzes alles andere als in Stein gemeißelt. Die genannten Änderungsanträge zeigen dennoch eine Stoßrichtung innerhalb des EU-Parlaments auf, die von den Positionen der EU-Kommission und des EU-Rats abweicht. Egal, ob der Entwurf in aktueller Form das Plenum passieren wird oder nicht, die Parlamentarier dürften nicht von ihrem Datenschutzfokus abweichen. (Mickey Manakas, 9.2.2023)