Von Ralf Keuper
Anlässlich des Datenschutztages richtete das Datenschutzzentrum Saarland heute die Online-Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) aus.
Während der Veranstaltung, die von Ralph Szepanski (ZDF) souverän und sachkundig moderiert wurde, diskutierten die Teilnehmerinnen und Teilnehmer über die datenschutzrechtlichen und dazugehörigen technischen Implikationen einer europaweiten digitalen Identität.
Der Staatssekretär Dr. Markus Richter im Bundesministerium des Innern und für Heimat betonte, dass der Staat mit der Smart eID nur die “Steckdose” liefert[1]Die Smart eID dient lediglich zur Initial-Identifizierung, der Bereitstellung der Primäridentität; die Privatwirtschaft liefert, bestätigt und nutzt die Attribute; alles andere liegt in den Händen der Privatwirtschaft. Die Steckdose allein funktioniert nicht. Ziel ist es, ein Ökosystem aufzubauen, von dem die Smart eID nur ein Teil ist. Zwar gelte für die Verwaltung “Digtal first”, keinesfalls jedoch “Digital Only”. Laut Richter steht Europa angesichts der Bestrebungen von GAFAM und chinesischer Konzerne wie Tencent und Alibaba im Bereich der Digitalen Identitäten unter Zeit- und Handlungsdruck.
Christoph Sorge, Inhaber des Lehrstuhls für Rechtsinformatik an der Universität des Saarlandes, ging in seinem Beitrag Technische Aspekte datenschutzgerechter digitaler Identitäten zunächst auf das Konzept der Identität und des Identitätsmanagements ein. Auf eine Formel gebracht ist die Identität die Teilmenge der Attributwerte einer Person, die diese Person in einer Menge von Personen ausreichend identifiziert. Die Herausforderung im Identitätsmanagement besteht in der Unverkettbarkeit der Identitätsdaten[2]Vgl. dazu: Verkettung digitaler Identitäten, d.h. es muss ausgeschlossen sein, dass Online-Dienste oder staatliche Stellen auf Basis ihrer Daten ein vollständiges Profil der Nutzerin/des Nutzers erstellen können.
Problematisch ist das dann, wenn für einen Vorgang mehr als nur die Bestätigung eines oder mehrerer Attribute benötigt wird. – Beispiel: Nachweis des Besitzes einer Fahrerlaubnis ohne Offenlegung des Namens Michael Mustermann.
Mit Blick auf Selbstverwaltete Digitale Identitäten (SSI) gilt die Einschränkung, dass die Ausstellung von Verifiable Credentials immer noch vertrauenswürdige Stellen benötigt. Schwierig ist auch die Zusammenführung der Attribute (Verifiable Credentials, VC). Bis auf Weiteres bleibt die Daseinsberechtigung auch für eID-Lösungen ohne SSI bestehen. In dem Zusammenhang sollte man die Möglichkeiten der Blockchain nicht überbewerten; die Realisierung von SSI ist auch gänzlich ohne Blockchain möglich. Letztendlich hängt der Erfolg einer ID-Lösung von der tatsächlichen Durchsetzungsfähigkeit als Ergebnis von Marktmacht und Standardisierungserfolgen ab.
Arno Fiedler, stellvertretender Vorsitzender des Verbands Sichere Digitale Identität e.V. (VSDI), hob in seinem Vortrag EINE EIDAS-WALLET: HOFFNUNGSTRÄGER FÜR DIE DIGITALE SOUVERÄNITÄT EUROPAS? die Vorzüge der geplanten EU-Identität hervor. Diese sehe vor, dass die Staaten in der EU-ID Wallet ihre nationalen eID-Lösungen integrieren. Identitätsdienstleister haben die Möglichkeit, attestierte Attribute bereitzustellen, die für verschiedene Anwendungsfälle (Finanzen, Reise, Gesundheit, Versicherungen) genutzt werden können.
Wegweisend sei vor allem die eIDAS 2.0 – Verordnung, worin Selbstverwaltete Digitale Identitäten (SSI) besondere Berücksichtigung finden[3]Vgl. dazu: Nationale und europäische Sicht auf eIDAS 2.0 – Aufwand und Nutzen. Verteilte SSI-Infrastrukturen sind jedoch nicht per se vertrauenswürdig. Die Souveränität setzt die Kontrolle bzw. Vertrauen über die verwendete HW und SW voraus. Der letzte Punkt sei besonders wichtig, da eine verlässliche Nutzung von „Secure Elements“ als Hardware-Sicherheitsanker ein kritischer Erfolgsfaktor ist. Hervorzuheben sei ferner das Schaufensterprojekt des Bundesministeriums für Wirtschaft und Klimaschutz.
Dennoch bleiben Herausforderungen: So müssen ID-Lösungen den gesamten Lebenszyklus der Identität und der Attribute berücksichtigen. So kann einem die Fahrerlaubnis entzogen werden, was wiederum entsprechende Anpassungen/Aktualisierungen zur Folge hat. Weiterhin sind die Unterschiede in den Rechtssystemen der Länder von nicht zu unterschätzendem Einfluss. So sind in den USA und Großbritannien Ausweissysteme, wie in Deutschland, nicht vorhanden, was es der Privatwirtschaft erleichtert, eigene Lösungen auf den Markt zu bringen. Sollte es in der EU nicht gelingen, eine Lösung zu entwickeln, die von der deutlichen Mehrheit der ca. 400 Mio. Einwohner genutzt wird, sei die kritische Masse nicht gegeben, um sich gegen GAFAM und chinesische Lösungen zu behaupten.
Thomas Lohninger, Geschäftsführer des österreichischen EDRi-Mitglieds epicenter.works, vertrat die Zivilgesellschaft[4]Vgl. dazu: Our position on Electronic Identity. Entscheidend ist für ihn, welche Schutzziele eine EU-ID erfüllt und inwieweit die Interessen der Privatwirtschaft berücksichtigt oder begrenzt werden. Wichtig ist auch, inwieweit sich die DSGVO in der Realität durchsetzen lässt. Fatal wäre es, wenn der private Sektor einen besseren Zugang zu den von der Regierung zertifizierten Daten der Bürger erhält und damit Facebook und Google sowie die Werbeindustrie gestärkt werden[5]The EU has introduced a new ‘digital’ ID. Here’s what it means for you.
Fazit
Die Diskussion hat gezeigt, dass sich auf europäischer Ebene ebenso wie in Deutschland in den letzten Jahren auf dem Gebiet der Digitalen Identitäten einiges getan hat. Neben Aktionismus, wie der misslungenen Einführung des digitalen Führerscheins, gibt es durchaus Lichtblicke, wie in Gestalt der Schaufensterprojekte und eIDAS 2.0. Wir stehen momentan an einem Wendepunkt. Wenn es uns in der EU in den nächsten 2-3 Jahren nicht gelingt, eine Lösung zu lancieren, die Benutzerfreundlichkeit und Sicherheit in Einklang bringt und von den Bürgerinnen und Bürgern, aber eben auch von der Privatwirtschaft akzeptiert wird, dann werden Google, Apple & Co. diese Lücke gerne schließen. Apple ist in den USA bereits in der Position, den Bundesstaaten seine Bedingungen zu diktieren[6]Staatliche Vereinbarungen offenbaren Apples Kontrolle über Mobile-ID-Programme.
References
↑1 | Die Smart eID dient lediglich zur Initial-Identifizierung, der Bereitstellung der Primäridentität; die Privatwirtschaft liefert, bestätigt und nutzt die Attribute |
---|---|
↑2 | Vgl. dazu: Verkettung digitaler Identitäten |
↑3 | Vgl. dazu: Nationale und europäische Sicht auf eIDAS 2.0 – Aufwand und Nutzen |
↑4 | Vgl. dazu: Our position on Electronic Identity |
↑5 | The EU has introduced a new ‘digital’ ID. Here’s what it means for you |
↑6 | Staatliche Vereinbarungen offenbaren Apples Kontrolle über Mobile-ID-Programme |
Kommentare sind geschlossen.