Bald sollen 80 Prozent der Bürgerinnen und Bürger in der EU ihre Brieftasche auch digital nutzen können.
imago images/photothek

Die umstrittene eIDAS-Verordnung der Europäischen Union ist beschlossene Sache. Am Dienstag wurde der Entwurf vom Rat angenommen, damit kann das Regelwerk zur elektronischen Identität im Jahr 2026 in Kraft treten. Im Wesentlichen müssen die EU-Mitgliedsstaaten bis 2026 ihren Bürgerinnen und Bürgern eine Brieftasche für die digitale Identität zur Verfügung stellen und gemäß der überarbeiteten Verordnung EUid-Brieftaschen aus anderen Mitgliedsstaaten akzeptieren. In Österreich ist das bereits der Fall: Die ID Austria ist nichts anderes als die Umsetzung der Verordnung.

Eine Wallet für digitale Dokumente und Ausweise

Durch die neuen Brieftaschen für die Europäische Digitale Identität werden alle Bürgerinnen und Bürger in die Lage versetzt, auf Onlinedienste mit ihren nationalen digitalen Identifizierungen zuzugreifen. Private Identifizierungsmethoden sind nicht mehr nötig. Das soll auch verhindern, dass persönliche Daten unnötigerweise weitergegeben werden, denn die eIDs dürfen nur tatsächlich notwendige Informationen enthalten. Wenn es beispielsweise um einen Altersnachweis geht, wird der abfragenden Plattform auch nur das Alter der Person weitergeben. Bislang war es bei zahlreichen Onlineplattformen nötig, einen Ausweis hochzuladen, der deutlich mehr Angaben enthielt als notwendig.

Die Brieftasche wird ein Dashboard aller Transaktionen enthalten, auf das der Inhaber sowohl online als auch offline zugreifen kann, und die Möglichkeit bieten, eventuelle Verstöße gegen den Datenschutz zu melden. Außerdem soll die Interaktion zwischen den Wallets möglich sein. Um beim Beispiel Österreich zu bleiben: Man soll etwa den digitalen Zulassungsschein weitergeben können – diese vorgeschriebene Möglichkeit ist aktuell hierzulande noch nicht umgesetzt. Der Entwurf sieht darüber hinaus vor, dass es keine Diskriminierung zwischen Nutzerinnen und Nutzern der Online-Wallets und jenen geben darf, die die digitale Brieftasche nicht nützen möchten. Die Ausstellung, Verwendung und der Widerruf wird für natürliche Personen kostenlos sein.

Minimale Nachbesserung bei Zertifikaten

Kritik gab es vor allem an der Regelung, wonach Browser wie Chrome, Edge, Firefox, Opera oder Safari sogenannte Qualified Website Authentication Certificates (QWACs) akzeptieren müssen. Sprich: Die Hersteller der Browser werden dazu gezwungen staatliche Root-Zertifikate zu akzeptieren. Solche Zertifikate spielen für die Verschlüsselung und damit die Absicherung des Datenverkehrs eine zentrale Rolle. Wer hier eigene Zertifikate einbringen kann, kann auch theoretisch über "Man in the Middle"-Attacken den gesamten Datenverkehr mitlesen. Dass dieses massive Überwachungspotenzial nicht bloß hypothetisch ist, zeigt ein Blick in die Vergangenheit: Haben doch Länder wie China, Russland oder Kasachstan genau das immer wieder probiert.

Genau an dieser Regelung gab es massive Kritik von Bürgerrechtlern und aus der Wissenschaft. Am Gesetzestext wurde ein wenig nachgeschärft. Nutzerinnen und Nutzer sollen nun überprüfen können, wer hinter einer Website steht. Außerdem wurde die Klausel eingeführt, wonach die Webseitenzertifikate den "derzeit etablierten Sicherheitsregeln und -standards der Branche" entsprechen müssen. Im Notfall dürfen Browser die Zertifikate auch ablehnen – aber nur in Fällen "begründeter Bedenken hinsichtlich Sicherheitsverletzungen oder eines Integritätsverlusts eines bestimmten Zertifikats oder eines Satzes von Zertifikaten können Anbieter von Webbrowsern Vorsorgemaßnahmen in Bezug auf dieses Zertifikat oder diesen Satz von Zertifikaten ergreifen", wie es im Artikel 45 heißt.

Der neue Artikel ermöglicht es den Browsern künftig, Vorsorgemaßnahmen "in Fällen begründeter Bedenken hinsichtlich Sicherheitsverletzungen oder eines Integritätsverlusts eines bestimmten Zertifikats oder eines Satzes von Zertifikaten" zu ergreifen, wird das Gesetz in dem Artikel des Fachmediums zitiert. In einem Erwägungsgrund wird angeführt, dass die Anbieter der Browser weiterhin die Freiheit haben, "die Websicherheit, die Domänenauthentifizierung und die Verschlüsselung des Webverkehrs in der Weise und mit der Technologie sicherzustellen, die sie für am besten geeignet halten".

Die überarbeitete Verordnung wird in den kommenden Wochen im Amtsblatt der EU veröffentlicht und 20 Tage nach ihrer Veröffentlichung in Kraft treten. Die Verordnung wird bis 2026 vollständig umgesetzt. (pez, 28.3.2024)