EU-weite Identität fürs Internet : Wie mit der EUid eine Art digitaler Schengen-Raum entsteht

Wofür braucht man überhaupt eine harmonisierte digitale Identität in Europa? EU-Kommissionspräsidentin Ursula von der Leyen formulierte es im September 2020 wie folgt [2]: „Jedes Mal, wenn eine Website uns auffordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was mit unseren Daten geschieht. Aus diesem Grund wird die Kommission demnächst eine sichere europäische digitale Identität vorschlagen. Eine, der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten wie verwendet werden.“

Eine EU-weit akzeptierte digitale Identität könnte vieles vereinfachen: Möchte ein:e EU-Bürger:in in einem anderen Land leben und arbeiten, muss sie/er sich dort vor Ort registrieren. In Spanien braucht man etwa eine lokale Steuernummer – und diese bekommt nur, wer eine Krankenversicherung vorweisen kann. Bislang sind dazu mindestens zwei Behördengänge plus jede Menge Papier notwendig – online könnte so etwas mit erheblich weniger Aufwand ablaufen.

Staatliche Digitalvorhaben sind bislang nicht immer durch zügige Umsetzung und nachhaltigen Erfolg im Einsatz aufgefallen. Doch die aktuelle Initiative für EU-weite digitale Identitäten hat viel Potenzial und auch wertvolle Lehren aus früheren Projekten gezogen, meint unser Autor.

In ähnlicher Weise könnte etwa auch eine Abiturientin aus dem polnischen Slubice profitieren, die an der renommierten Europa-Universität Viadrina im benachbarten Frankfurt/Oder studieren möchte. Sofern sie einen der begehrten wirtschaftswissenschaftlichen Studienplätze ergattern konnte, wäre es zukünftig vielleicht möglich, die Registrierung am heimischen Schreibtisch abzuwickeln, indem sie ihr neues polnisches „European Digital Identity Wallet“ auf dem Handy öffnet und sich mit ihrer digitalen ID und ihren in der sicheren App bestätigten Kontaktdaten inklusive E-Mail-Adresse und Handy-Nummer ausweist. Die Viadrina könnte ihre Anmeldung dank digitaler Übertragung per europaweit gültigem Zertifikat innerhalb weniger Minuten erledigen.

Derartige Szenarien sind zwar heute noch Zukunftsmusik – allerdings ist ihre Realisierung sehr wahrscheinlich, denn einige von der Europäischen Kommission initiierte Pilotprojekte (sog. Large-Scale-Pilots, LSPs) arbeiten bereits an Beispielen wie diesem. Im Zentrum solcher digitalen Prozesse steht der vor fast zwei Jahren vorgestellte Rahmen einer digitalen europäischen Identität (EUid), der die Akzeptanz von harmonisierten nationalen Identitäten in der ganzen EU beschreibt. Dabei haben deren „Erfinder“ von Anfang an eine Reihe entscheidender Dinge bedacht – auch um frühere Fehler gemeinsamer Projekte auf europäischer Ebene zu vermeiden.

Standards-Set statt „Super-ID“

Da wäre zunächst die Architektur der EUid: In dem im Juni 2021 von der Europäischen Kommission präsentierten „Vorschlag für einen Rahmen für eine europäische digitale Identität (EUid)“ [1] geht es trotz des Namens eben nicht um eine „einheitliche europäische Identität“, sondern um die generelle Möglichkeit der grenzüberschreitenden Identifikation für knapp 450 Millionen EU-Bürger:innen. Die Idee dahinter ist ein „European Digital Identity Wallet“ (EUDI-Wallet), das die grenzüberschreitende Nutzung der in ihm abgelegten Daten zur Identifizierung oder als Nachweis (beispielsweise eine Fahrerlaubnis), ermöglicht. Dabei geht es aber auch nicht um eine einzelne digitale EU-Brieftasche zur digitalen Identität, sondern vielmehr um gemeinsame technische Standards und rechtliche Bedingungen für digitale ID-Wallets der 27 Mitgliedstaaten.

Den Online-Ausweis als Personal-Identification-Data (PID) digital in einer Handy-App zu nutzen, soll in Deutschland noch dieses Jahr mit der „Smart-eID“ auf ausgewählten Smartphones möglich werden. Wenn es zusätzlich sogenannte Credentials umfasst – also hinterlegte Berechtigungen und Nachweise wie Führerschein, Gesundheitskarte, Berufsnachweis der zuständigen Kammer oder bestätigte Daten zu Zahlungen und Kommunikation –, kann ein solches Wallet sowohl für hoheitliche Aufgaben als auch für regulierte Dienstleistungen und private Angebote nützlich sein – und dies zukünftig EU-weit und grenzüberschreitend. Naheliegende Einsatzszenarien reichen von digitalen Behördengängen bis zur Registrierung einer Mobilfunk-SIM-Karte – national vertrauenswürdig abgesichert und europaweit akzeptiert.

Pilotprojekte im großen Stil

Das EUDI-Wallet hat – anders als es beim elektronischen Personalausweis der Fall war – die Chance, durch die Integration privater Berechtigungen echten Nutzen für alle zu schaffen. Dazu könnten beliebige Nachweise oder auch Bahn-, Flug- und Hotel-Tickets gehören. Das wird bereits anhand einzelner Themen konkret ausprobiert:

In diesen Wochen beginnen vier von der EU-Kommission initiierte Konsortien – bestehend aus nationalen Behörden und Unternehmen – damit, in den angesprochenen Large-Scale-Pilots (LSPs) Szenarien für die grenzüberschreitende Identifikation umzusetzen. So arbeiten etwa im deutsch-französisch geführten „POTENTIAL“-Konsortium 146 Behörden und Unternehmen aus 20 Ländern (19 EU-Staaten und die Ukraine) zusammen und investieren mehr als 60 Millionen Euro, um beispielsweise die Bankkonto-Eröffnung, SIM-Karten-Registrierung, die Führerschein-Überprüfung und die Ausstellung eines E-Rezepts auf die europäische Ebene zu heben (www.digital-identity-wallet.eu).

Eine andere Gruppe kümmert sich um Zahlungswege, Geschäftsreisen und die digitale Identität von Organisationen: Das „EUDI Wallet Consortium – EWC“ hat fünf Arbeitspakete geschnürt, die von rechtlichen Rahmenbedingungen über die praktische Nutzung digitaler Reisenachweise, Wallets für natürliche sowie juristische Personen und die Interoperabilität von Anwendungen bis hin zur Umsetzung mit Partnern reichen (https://eudiwalletconsortium.org). Dabei hat EWC auch Organisationen aus den Nicht-Mitgliedstaaten Großbritannien, Norwegen und der Ukraine mit im Boot.

Das Vier-Länder-Konsortium „Nordic-Baltic eID Project – NOBID“ fokussiert sich auf den Zahlungsverkehr von Island über Deutschland bis nach Italien (www.nobidconsortium.com). Und das vierte durch die EU geförderte Konsortium kümmert sich um die bereits erwähnten Credentials, also zukünftig hinterlegbare Berechtigungen und Bescheinigungen: „Digital Credentials for Europe – DC4EU“ entwickelt Lösungen rund um die digitale Identität, Zertifikate, Nachweise zur Ausbildung und die Sozialversicherung (https://dc4eu.eu).

Die Aktivitäten der Konsortien legen nahe, dass in den kommenden Monaten die Entwicklung der technischen Möglichkeiten auf Hochtouren laufen wird. Dabei kommen neben der elektronischen Identität auch qualifizierte Vertrauensdienste wie elektronische Signaturen, Zeitstempel und Siegel sowie ein Dienst für elektronische Einschreiben und qualifizierte Website-Zertifikate zum Tragen.

Ein Blick auf den Zeitplan von POTENTIAL verrät beispielsweise, wann man die neuen Services bereitstellen will: Nach aktueller Planung soll im April 2025 die Zusammenarbeit nationaler ID-Wallets in Europa lebendig werden. Und den Plänen der EU-Kommission zufolge sollen 2030 bis zu 80 % der Einwohner die digitale Identität grenzüberschreitend nutzen können. Das führt zu der Schlüsselfrage: Wie kann die EU-Kommission in dieser relativ kurzen Zeit dafür sorgen, dass alle 27 Mitgliedstaaten mit unterschiedlicher Historie, Kultur und teilweise divergenten Interessen bei der EUid zusammenarbeiten?

Selbstverwaltungsansatz

So sehr wir Reisefreiheit und gemeinsame Währung schätzen, so sehr erleben wir doch fast täglich in den Nachrichten, wie langwierig Entscheidungsprozesse in der EU sein können. An dieser Stelle setzt – neben der grundlegenden Verpflichtung zur Einführung und gegenseitiger Anerkennung nationaler eIDs – eine zweite kluge Entscheidung der EU-Kommission an, nämlich der gesetzliche Rahmen: Statt wie bei anderen Themen ein vollständig neues Gesetzgebungsverfahren anzuschieben, haben sich die Kommissare darauf verständigt, mit dem „Vorschlag für einen Rahmen für eine europäische digitale Identität“ auf der seit 2014 bestehenden Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (eIDAS-Verordnung, [4]) aufzusetzen und diese weiterzuentwickeln.

Die Idee, die ID-Wallets auf nationaler Ebene anzusiedeln, sowie die angedachte selbstbestimmte Verwaltung der Wallets und der darin enthaltenen Daten und Dokumente durch die Nutzer:innen (etwa in Bezug auf Meldeadresse, Kontodaten oder geschäftliche Dokumente) hält der Autor im Grundsatz für richtig. Zugleich ist das Ziel eines EUDI-Wallet auch für juristische Personen begrüßenswert.

Dazu muss es aus Sicht der D-Trust als Vertrauensdiensteanbieter allerdings eine harmonisierte Kennung von Unternehmen auf europäischer Ebene geben. In diesem Zusammenhang ist wichtig, dass bei der künftigen Möglichkeit digitaler Unterschriften – sprich Signaturen – auch Unternehmen ihre elektronischen Siegel nutzen können, beispielsweise um ausgestellte Fahrscheine als echt zu verifizieren. Diese Forderung unterstützen im Gesetzgebungsverfahren mittlerweile auch das Europäische Parlament (www.europarl.europa.eu/news/de/headlines/society/20230302STO76818/) sowie die Mitgliedstaaten im gemeinsamen Standpunkt des Rates (https://europa.eu/!FDYTJ9).

Eine zentrale Frage bleibt, ob auch die Hersteller von Smartphones mitspielen werden – schließlich müssen die ID-Wallets auf deren Plattformen laufen. D-Trust und der Autor plädieren dafür, Endgerätehersteller und Mobilfunknetzbetreiber stärker als bisher zu verpflichten, um den digitalen Brieftaschen den Zugriff auf deren Secure-Elements (SEs) und Software zu ermöglichen. Der Europäische Rat hat sich in den Augen des Autors hierzu ebenfalls positiv positioniert. Es bleibt zu hoffen, dass sich das EU-Parlament und die EU-Kommission dieser Sichtweise im anstehenden Trilogverfahren der drei beteiligten EU-Institutionen anschließen.

Zentrale Unterstützung

Der Plan der EU-Kommission zur erfolgreichen Einführung der EUid ist, die europaweite Umsetzung durch zahlreiche Durchführungsakte für spezifischere Fragen zu beschleunigen und zu vereinheitlichen. Daher sei eine rhetorische Frage gestattet: Was ist für die Hersteller der führenden Smartphone-Betriebssysteme Android und iOS sinnvoller – die Berücksichtigung unterschiedlicher technischer Spezifikationen für den Betrieb 27 nationaler ID-Wallets oder eine gemeinsame technische Spezifikation für alle ID-Wallets aus den EU-Staaten? D-Trust geht davon aus, dass – vergleichbar mit der EU Datenschutzgrundverordnung (DSGVO) – gemeinsame Standards unterm Strich einfacher und wirtschaftlicher sind. Bei einem Markt mit fast 450 Millionen Einwohnern als potenziellen Kunden sicherer Smartphones dürfte sich diese Frage beizeiten zugunsten der Kooperation im Sinne der Akzeptanz einer gemeinsamen europäischen technischen Spezifikation von selbst beantworten.

Fazit

Gemeinsame rechtliche und technische Rahmenbedingungen für die digitalen Identitäten der EU-Bürger:innen, eine europaweit verbindliche Durchsetzung in allen 27 Mitgliedstaaten, die gleichzeitige Entwicklung hoheitlicher wie regulierter und marktwirtschaftlicher Möglichkeiten in europaweiten Pilotprojekten sowie der Grundsatz der eigenverantwortlichen Verwaltung der digitalen Brieftaschen (Wallets) durch die Bürger:innen selbst bieten die Chance zu einem echten europäischen Erfolgsmodell – vergleichbar der Einführung der Gemeinschaftswährung Euro oder des Schengen-Raums, also des freien Reisens ohne Kontrollen an den Binnengrenzen.

Erstmals entwickelt sich auf europäischer Ebene eine überzeugende Möglichkeit, um globalen Technologie-Plattformen und ihren Single-Sign-on-Lösungen mit E-Mail, Passwort und/oder Handy eine staatlich zertifizierte und damit wirklich sichere Alternative entgegenzusetzen. Erstmals rückt die umfassende Möglichkeit des selbstbestimmten Einsatzes zertifizierter, digitaler Brieftaschen in allen Lebenslagen und (zumindest) in allen 27 Mitgliedstaaten in den Mittelpunkt – von persönlichen Nachweisen über Bankgeschäfte bis hin zu Dienstreisen.

Dr. Kim Nguyen leitet seit Juni 2012 als Geschäftsführer die D-Trust GmbH, ein qualifizierter Vertrauensdienstleister und Unternehmen der Bundesdruckerei-Gruppe. Er studierte Mathematik und Physik in Göttingen, Cambridge und Essen, wo er 2001 in reiner Mathematik promoviert hat.

Literatur

[1] Europäische Union, Empfehlung (EU) 2021/946 der Kommission vom 3. Juni 2021 für ein gemeinsames Instrumentarium der
Union für ein koordiniertes Herangehen an einen Rahmen für die europäische digitale Identität, in: Amtsblatt der Europäischen Union L 210, S. 51, Juni 2021, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri= CELEX%3A32021H0946
[2] Europäische Kommission, Europäische digitale Identität, „Faktenseite“, https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digitalage/european-digital-identity_de
[3] Europäische Kommission, Kommission schlägt vertrauenswürdige und sichere digitale Identität für alle Europäerinnen und Europäer vor – Fragen und Antworten, Juni 2021, https://ec.europa.eu/commission/presscorner/detail/de/QANDA_21_2664
[4] Europäische Union, Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, in: Amtsblatt der Europäischen Union L 257, S. 73, August 2014, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32014R0910