Die EU-Kommission präsentiert ihr eIDAS Dashboard als zentrales Nervensystem der europäischen Vertrauensarchitektur für die EUDI Wallet – eine Liste von Listen, die Vertrauen in Institutionen statt in Personen organisieren soll. Doch zwischen dem Anspruch, ein vollständiges Trust Framework abzubilden, und dem tatsächlichen Ausbaustand klafft eine Lücke: Zentrale Funktionalitäten befinden sich noch in Entwicklung, während erste konkrete Einträge – eine dänische Altersverifikation, eine Trusted List für Moldau und die Ukraine – bereits zeigen, in welche Richtung sich das System ausdehnt. Ein Blick auf die stille Infrastrukturarbeit hinter der European Digital Identity.


Digitale Identität wird gern als Frage der Nutzeroberfläche verhandelt – Wallet-Apps, Nutzerfreundlichkeit, Interoperabilität zwischen Mitgliedstaaten. Die eigentliche Konstruktionsarbeit findet jedoch eine Ebene tiefer statt, dort, wo entschieden wird, wem in diesem System überhaupt vertraut werden darf. Genau hier setzt das eIDAS Dashboard an, das von DG DIGIT und DG CNECT entwickelt und betrieben wird und als Auskunftsinstrument für das European Digital Identity Trust Framework fungiert.

Aus systemtheoretischer Perspektive (Luhmann) ist das kein technisches Detail, sondern die eigentliche Funktion des Vorhabens: Vertrauen wird nicht mehr zwischen Personen oder einzelnen Institutionen ausgehandelt, sondern in ein System verlagert, das durch Listen, Register und maschinenlesbare Formate Komplexität reduziert. Die Wallet-Nutzerin muss nicht wissen, wer hinter einem PID Provider oder einem WRPAC Provider steht – sie muss nur wissen, dass die Aufnahme in eine offizielle Liste bestimmten Kriterien genügt. Das Dashboard ist damit weniger eine Datenbank als ein Vertrauensersatzmechanismus: Es objektiviert Zugehörigkeit zu einem legitimen Kreis von Akteuren, wo vorher persönliche oder vertragliche Vertrauensbeziehungen nötig gewesen wären.

Diese Konstruktion folgt einer klar erkennbaren Konstellationslogik. Die aktuell veröffentlichten Listen – PID Providers, Wallet Providers, WRPAC Providers, Registrare, Register – bilden das Grundgerüst einer Ökonomie geliehenen Vertrauens: Der einzelne Nutzer verlässt sich nicht auf eigene Prüfung, sondern auf die Prüfleistung, die durch Aufnahme in die Liste bereits erbracht wurde. Genau darin liegt aber auch die strukturelle Verwundbarkeit des Modells. Wo Vertrauen an ein zentrales Verzeichnis delegiert wird, wird die Integrität dieses Verzeichnisses selbst zur kritischen Ressource – und zu einem attraktiven Angriffspunkt.

Bemerkenswert ist der gegenwärtige Ausbaustand. Die Kommission stellt das Dashboard als tragende Säule des Trust Framework dar, während zentrale Bausteine – der Catalogue of Attributes and Schemes, die Pub-EAA Providers-Funktionalität – noch in Entwicklung sind. Diese Diskrepanz zwischen kommunizierter Vollständigkeit und operativer Realität ist ein wiederkehrendes Muster bei groß angelegten Infrastrukturprojekten der öffentlichen Hand: Der Rahmen wird als fertig präsentiert, während er in Wirklichkeit inkrementell befüllt wird. Für eine kritische Bewertung bedeutet das: Aussagen über die Funktionsfähigkeit der EUDI-Wallet-Architektur sollten sich derzeit eher an dem orientieren, was tatsächlich live ist, als an der Rahmenerzählung.

Zwei konkrete, bereits produktive Einträge verdienen genauere Betrachtung, weil sie zeigen, in welche Richtung sich das System bewegt.

Erstens die Altersverifikation. Der erste Eintrag in der entsprechenden Trusted List ist der dänische AltID Certificate Issuance Service (Bevisudstedelsesservice). Dass ausgerechnet Dänemark hier den Anfang macht, passt zu einem Land mit vergleichsweise weit entwickelter digitaler Verwaltungsinfrastruktur. Für die Konstellationsanalyse ist relevant, dass Altersverifikation ein Anwendungsfall ist, der über den ursprünglichen Kernzweck der Wallet – Identitätsnachweis gegenüber Behörden – hinausweist in Richtung privatwirtschaftlicher Nutzung, etwa Plattformregulierung, Jugendschutz im Netz, Zugangskontrollen. Diese Ausweitung ist ökonomisch naheliegend, verändert aber die Risikostruktur des gesamten Systems: Ein Instrument, das für hoheitliche Zwecke konzipiert wurde, wird zunehmend zur Infrastruktur für kommerzielle Zugangskontrolle.

Zweitens die Third Countries AdES List of Trusted Lists (TC AdES LOTL), die mit Moldau und der Ukraine startet. Hier zeigt sich eine geopolitische Dimension, die über technische Interoperabilität hinausgeht. Die Einbindung von Beitrittskandidaten beziehungsweise EU-nahen Staaten in die europäische Vertrauensarchitektur für digitale Signaturen ist zugleich ein Instrument der Annäherung und ein Testfall dafür, ob sich das eIDAS-Modell auch außerhalb der EU-Rechtsordnung durchsetzen lässt. Die Auswahl gerade dieser beiden Länder ist stark von der aktuellen politischen Konstellation geprägt – EU-Erweiterungsdynamik, Krieg in der Ukraine – und nicht von der stabileren rechtlich-institutionellen Struktur, die das eIDAS-Regelwerk selbst bildet. Sie lässt sich daher nicht ohne weiteres als Blaupause für eine allgemeine Internationalisierungsstrategie lesen.

Schließlich die angekündigte Weiterentwicklung der eSignature Digital Signature Services (DSS), einer Open-Source-Bibliothek, die künftig auch die Ausstellung und Prüfung von Electronic Attestations of Attributes (EAAs) unterstützen soll. Auch das ist unspektakulär, aber folgenreich: EAAs sind der Baustein, der die Wallet von einem reinen Identitätsnachweis zu einem Träger beliebiger geprüfter Attribute – Qualifikationen, Mitgliedschaften, Berechtigungen – weiterentwickelt. Dass diese Funktionalität in eine bestehende Open-Source-Bibliothek integriert wird, statt in proprietärer Software der Kommission, ist im Sinne der Transparenz zu begrüßen, verlagert aber auch Verantwortung und Prüfaufwand auf eine Entwickler-Community, deren Kapazitäten begrenzt sind.

In der Summe zeigt sich am eIDAS Dashboard ein typisches Muster europäischer Digitalinfrastrukturpolitik: ambitionierte Rahmensetzung, inkrementeller Ausbau, und eine stille Verschiebung der Anwendungsfälle von der ursprünglich intendierten hoheitlichen Nutzung hin zu kommerziellen und geopolitischen Feldern. Ob daraus tatsächlich die versprochene Vertrauensinfrastruktur für ein europäisches digitales Identitätsökosystem entsteht, wird sich weniger an der Vollständigkeit der Listen entscheiden als an der Frage, ob die dahinterliegenden Prüf- und Aufsichtsmechanismen mit dem Tempo der Anwendungsausweitung Schritt halten.

Ralf Keuper


Quelle:

eIDAS Dashboard evolving to meet Europe’s broad digital ID ambitions