Frankreich testet mit seiner Regierungs-App France Identité eine Altersverifikation, die nicht nur datenschutzkonform ist, sondern strukturell nicht nachverfolgbar — ein Ansatz, der die institutionelle Logik des EUDI Wallet auf die Probe stellt und zeigt, wie weit Privacy-by-Design als Systemprinzip reichen kann.
Die Frage, ob digitale Identitätsinfrastrukturen datenschutzfreundlich gestaltet werden können, ist in der europäischen Debatte längst nicht mehr nur normativ. Sie ist technisch operationalisiert worden — und Frankreich liefert dafür gerade einen aufschlussreichen Praxisfall.
Die staatliche App France Identité, die bereits digitale Führerscheine und Gesundheitsausweise integriert, hat ihre Sandbox-Umgebung nun auch für iOS-Entwickler geöffnet und damit Parität mit der bereits bestehenden Android-Sandbox hergestellt. Beide Versionen unterstützen OID4VP 1.0 (OpenID for Verifiable Presentations), den Protokollstandard, der für die Interoperabilität im Rahmen des EUDI Wallet vorgesehen ist. Das ist weniger eine technische Randnotiz als eine strategische Weichenstellung: Wer Entwickler frühzeitig in eine standardkonforme Testumgebung einlädt, schafft Pfadabhängigkeiten — sowohl auf der Anbieter- als auch auf der Verifier-Seite.
Analytisch bedeutsamer ist indes das, was France Identité parallel dazu erprobt: eine Altersverifikation, die strukturell nicht nachverfolgbar ist. Der erste entsprechende Test unter Realbedingungen wurde nach Angaben des Programms erfolgreich abgeschlossen. Das Prinzip dahinter ist technisch elegant und institutionell weitreichend — und es lohnt sich, kurz bei den Mechanismen zu verweilen, weil sie den Unterschied zu bloßen Datenschutzzusagen erst verständlich machen..
Das zugrundeliegende Verfahren heißt BBS+ und gehört zur Familie der Zero-Knowledge-Kryptographie. Vereinfacht gesagt: Wenn ein Nutzer sein Alter nachweist, erzeugt das System keinen festen, wiedererkennbaren Ausweis, der bei jedem Vorzeigen identisch aussieht. Stattdessen wird für jede Transaktion ein kryptographisch frischer Nachweis generiert — mathematisch einwandfrei, aber jedes Mal anders. Zwei Präsentationen desselben Credentials sind für keinen Beobachter miteinander verknüpfbar, auch dann nicht, wenn mehrere Verifier ihre Daten zusammenlegen. Zusätzlich entfällt der Rückkanal zum Aussteller: Wenn ein Anbieter die Gültigkeit eines Altersausweises prüft, fragt er nicht beim staatlichen Identitätsdienst nach — was dieser dann wissen würde. Stattdessen prüft er lokal gegen eine veröffentlichte Statusliste. Der Aussteller erfährt nicht, wann und wo das Credential genutzt wird. Schließlich wird nicht das Geburtsdatum übermittelt, sondern ausschließlich ein geprüftes Prädikat — etwa: Diese Person ist volljährig — ohne den zugrundeliegenden Wert jemals preiszugeben.
Das Ergebnis: Der Identitätsanbieter ist konstruktionsbedingt nicht in der Lage, separate Altersverifikations-Transaktionen ein und demselben Nutzer zuzuordnen. Nicht als Datenschutzversprechen, das vertraglich abgesichert werden muss — sondern als Eigenschaft der Systemarchitektur selbst. Was nicht verknüpft werden kann, kann auch nicht missbraucht werden.
Dieser Ansatz folgt den Anforderungen, die die Europäische Kommission im Age Verification Use Case Manual für das EUDI Wallet festgeschrieben hat: selektive Offenlegung und datenschutzwahrende Standards für grenzüberschreitende Altersverifikation. France Identité implementiert damit keine eigene Interpretation, sondern das, was die europäische Regulierungsarchitektur als Maßstab setzt. Das ist relevant für die Bewertung der nationalen Position: Frankreich agiert nicht als Sonderweg, sondern als Vorreiter innerhalb des europäischen Rahmens.
Der Kontext verschärft die Bedeutung dieses Schritts. Frankreich gehört zu den sieben EU-Mitgliedstaaten — neben Dänemark, Griechenland, Italien, Spanien, Zypern und Irland —, die sich dazu verpflichtet haben, ihre nationale Altersverifikationslösung in das EUDI Wallet zu integrieren. Unter eIDAS 2.0 sind alle Mitgliedstaaten verpflichtet, bis Ende 2026 ein EUDI Wallet anzubieten. Die Frist ist eng, und wer jetzt eine funktionierende, standardkonforme und datenschutztechnisch ausgereifte Infrastruktur vorweisen kann, besetzt eine politisch wie technisch exponierte Position.
Das Konsortium hinter der französischen Implementierung — France Titres, Orange Business, Sopra Steria und Thales — ist ein Indikator für die institutionelle Ernsthaftigkeit des Vorhabens. Es handelt sich nicht um ein Pilotprojekt an der Peripherie der öffentlichen Verwaltung, sondern um eine koordinierte, staatlich verankerte Infrastrukturinitiative. Der Vergleich mit deutschen Ansätzen, die häufig an Abstimmungskosten zwischen Bundesbehörden, Länderkompetenzen und privatwirtschaftlichen Partnern scheitern, drängt sich auf — ohne dass er hier ausgeführt werden müsste, um seine Wirkung zu entfalten.
Was France Identité in der Summe zeigt: Privacy-by-Design ist keine Eigenschaft, die man einer fertigen Infrastruktur nachträglich hinzufügt. Sie ist eine Architekturentscheidung, die früh getroffen werden muss — und die, wenn sie konsequent umgesetzt wird, die institutionelle Akzeptanz solcher Systeme substanziell verändert. Für die EUDI Wallet-Debatte, die in Deutschland noch immer stark von Governance-Fragen und Interoperabilitätskonflikten dominiert wird, ist das ein strukturell bedeutsamer Hinweis.
Ralf Keuper
Quelle:
France Identité Adds iOS Sandbox and Tests Privacy-Preserving Age Verification https://idtechwire.com/france-identite-adds-ios-sandbox-and-tests-privacy-preserving-age-verification/