Es war ein letzter Versuch, das sich Abzeichnende noch zu stoppen. Anfang November wandten sich hundert Forscherinnen und Forscher sowie zahlreiche Datenschutzorganisationen in einem öffentlichen Brief an die EU-Gremien. Dessen Inhalt: Die anvisierte Novelle für die eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services), in der es um die Schaffung einer europäischen digitalen Identität (eID) auf Basis von digitalen Brieftaschen (E-Wallets) geht, ist eine große Gefahr für die Privatsphäre aller EU-Bürgerinnen und -Bürger. Diese Warnungen verhallten nun ungehört.

Die Verhandlerinnen und Verhandler der eIDAS-Novelle
Zumindest die Verhandlerinnen und Verhandler scheinen mit der eIDAS-Novelle sehr zufrieden zu sein.
Breton / X

Die Verhandlungsführer des EU-Parlaments, des Ministerrats und der Kommission haben sich auf die europäische digitale Brieftasche geeinigt. Das verkündete nicht nur EU-Kommissar Thierry Breton stolz über seine Social-Media-Kanäle, in einer offiziellen Pressemitteilung liefert die Europäische Kommission nun weitere Details.

Es bleibt dabei

Dabei wird schnell klar: Die umstrittenen Qualified Website Authentication Certificates (QWACs) sind weiter Teil von eIDAS 2.0, wie das Projekt auch genannt wird. Darüber werden sämtliche Webbrowser – also von Chrome über Edge und Firefox bis zu Safari – dazu gezwungen, staatliche Root-Zertifikate zu akzeptieren.

Solche Zertifikate spielen für die Verschlüsselung und damit die Absicherung des Datenverkehrs eine zentrale Rolle. Wer hier eigene Zertifikate einbringen kann, kann auch theoretisch über "Man in the Middle"-Attacken den gesamten Datenverkehr mitlesen. Dass dieses massive Überwachungspotenzial nicht bloß hypothetisch ist, zeigt ein Blick in die Vergangenheit, haben doch Länder wie China, Russland oder Kasachstan genau das immer wieder probiert.

In der finalen Fassung der Verordnung wurden zwar nach dem offenen Brief in letzter Minute noch kleinere Anpassungen im Hinblick auf die QWACs vorgenommen, Kritiker gehen aber davon aus, dass diese Maßnahmen substanziell nichts ändern werden.

Browserhersteller wie Google (Chrome) oder Mozilla (Firefox) hatten im Vorfeld öffentlich vor diesem Schritt gewarnt, bei der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) geht man gar davon aus, dass diese dazu führen könnte, dass die Hersteller künftig zwei Versionen ihrer Software anbieten: eine unsichere für die EU und eine sichere für den Rest der Welt.

Klare Worte

In einer Stellungnahme findet denn auch Patrick Breyer, Europaabgeordneter für die Piratenpartei, klare Worte: "Diese Verordnung ist ein Blankoscheck zur Online-Überwachung der Bürger und gefährdet unsere Privatsphäre und Sicherheit im Internet."

Es werde mit der Verordnung aber nicht nur die Browsersicherheit untergraben, Beyer sieht auch grundlegende Probleme bei der europaweiten digitalen ID. "Überidentifizierung wird nach und nach unser Recht auf anonyme Nutzung digitaler Dienste aushöhlen", prognostiziert er. Für ihn ist die Idee, sich mit einer einheitlichen ID überall anmelden zu können – etwa auch bei Facebook oder Google –, eine Falle. Denn genau das sieht die Verordnung vor, dass also neben Behörden auch private Firmen die digitale Brieftasche nutzen können.

Vorgeschichte

Im Vorfeld wurde mehr als zwei Jahre lang über die eIDAS-Novelle verhandelt, ein erster Entwurf wurde bereits im Juni 2021 vorgestellt. Seitdem wurde sie auf Druck von Datenschützern in einigen Punkten entschärft. So war ursprünglich eine eindeutige und dauerhafte Personenkennziffer für alle Nutzer angedacht. Das hätte ein umfassendes Tracking von Personen erlaubt und wurde mittlerweile gestrichen.

Eine weitere Verbesserung seit dem Erstentwurf: Es gibt nun ein explizites Diskriminierungsverbot. Wer sich gegen die Nutzung der digitalen Brieftasche entscheidet, darf also keine Nachteile haben. Bei einem anderen Punkt hat man hingegen nicht auf die Kritik gehört: Sämtliche Transaktionsdaten der ID Wallet werden nämlich zentral erfasst – zwar von der eigentlichen ID getrennt, theoretisch ließen sich diese Datensätze aber wieder zusammenführen.

Panoptikum

Das Resümee von Thomas Lohninger von der Datenschutz-NGO Epicenter Works fällt entsprechend negativ aus: "Leider war der Zeitdruck der Verhandler am Ende stärker als ihre Sorgfalt. Bei diesem wichtigen Thema könnten wir das noch alle bereuen." Denn: "Alles, was man darüber tut, kann von staatlicher Seite eingesehen werden. Nachdem die Wallet in allen Lebensbereichen eingesetzt werden soll, hat der Staat damit die panoptische Vogelperspektive auf alles, was die Bevölkerung mit der Wallet macht."

Die Chancen, dass die neue Verordnung noch einmal verändert wird, sind jedenfalls gering. Als nächster Schritt steht nun nur noch ein "technisches Treffen" an, bei dem es darum geht, den Text juristisch zu bereinigen, inhaltliche Änderungen gibt es dabei nicht. Noch im Dezember soll der EU-Rat die Verordnung verabschieden, das Parlament folgt dann im Februar. Bis Herbst 2026 müssen dann sämtliche Mitgliedsstaaten eine entsprechende Lösung anbieten. (apo, 10.11.2023)