Einführung einer EUid: Stellungnahme von Bitkom

Von Ralf Keuper

Zur Einführung der EUid hat sich auch der Branchenverband der deutschen Informations- und Telekommunikationsbranche (Bikom) geäußert[1]Rückmeldung von: Bitkom e.V.. Daraus einige Passagen:

3) Zu Artikel 6a (Einführung einer European Digital Identity Wallet)

Mit Bezug auf Artikel 6a Absatz 3 Buchstabe b) (“European Digital Identity Wallets shall enable the user to: […] (b) sign by means of qualified electronic signatures”) sollte gewährleistet werden, dass das Wallet als Identifizierungs- und Authentisierungsinstrument für die Verwendung eines qualifizierten elektronischen Zertifikats für eine qualifizierte elektronische Signatur dient, das von einem QTSP ausgestellt wurde, der vom Eigentümer des Wallets (bzw. je nach Prozess und Anwendungsfall, von der Relying Party) frei gewählt wurde. Anderenfalls besteht die Gefahr, dass wenn der Walletanbieter selbst als QTSP tätig ist, diese freie Wahl „eingeschränkt“ werden könnte (mit negativen Auswirkungen auf den fairen Wettbewerb im digitalen Binnenmarkt bzw. Erleichterung von Monopolen bzw. marktbeherrschende Stellungen).

14) Authentifizierung / Biometrie

Die Verbreitung der EU eID Wallet wird wesentlich von der Usability abhängen. Ein alleinige Nutzung einer PIN hat sich als nicht sicher und nicht nutzerfreundlich gezeigt. Biometrie als Authentifizierungsverfahren sollten möglich gemacht werden. Dahingehend sollte ebenso auf ein Zertifizierungsprogramm für das Sicherheitsniveau der biometrischen Sensoren abgestellt werden

15) Offenes Ökosystem / Wahlfreiheit

Um das Ziel eines offenen Ökosystems zu erreichen ist ein besonderer Fokus auf die Interoperabilität und Übertragbarkeit der Identitäten und Attribute in den Wallets zu legen. Um ein europäisches Ökosystem zu etablieren sollte es beispielsweise möglich sein, die Identität eines deutschen Bürgers in die Wallet eines anderen Mitgliedsstaates zu legen (z.B. eine französische EU eID Wallet). Ebenso muss die Wahlfreiheit der Bürger gewährt bleiben und sichergestellt werden, dass der VO Entwurf die Möglichkeit eröffnet, dass der Bürger seine Identität aus zwischen zwei zertifizierten Wallets transferieren kann. Dies ergibt sich auch aus der Notwendigkeit Backups zu ermöglichen: Hier muss ein Transfer auf ein neues Gerät möglich sein sowie ein verschlüsseltes Backup möglich sein.

16) Datenschutz und Cybersicherheit (insb. im Kontext der NIS2-RL)

Der eIDAS-Vorschlag führt in Artikel 3 Nr. 53) die Definition des „electronic ledger ” ein („tamper proof electronic record of data, providing authenticity and integrity of the data it contains, accuracy of their date and time, and of their chronological ordering“). Die Definition ist sehr offen und selbst mit Hilfe von Präambeln und anderen Verweisen ist es nicht klar, was das Ziel der Verordnung zu diesem Thema ist, und auch nicht, was „electronic ledger“ nach diesem Artikel tatsächlich ist. Es könnte sinnvoll sein, die folgenden Punkten besser zu verdeutlichen:

Definition von „electronic ledger“: angesichts der Definition könnten heute viele Instrumente die Unveränderbarkeit und Zeitstempelung von Daten gewährleisten – und werden auch dafür verwendet. Es könnte nützlich sein, mehr Details hinzuzufügen, um zu verstehen, worin der Wert eines neuen qualifizierten Vertrauensdienstes besteht, und um hervorzuheben, welche Aufgaben ein „electronic ledger“ besser erfüllen kann als die bestehenden Vertrauensdienste. Diese Klarstellung wird auch eine Doppelregulierung des Themas vermeiden: viele der heute von Regierungen und Unternehmen genutzten elektronischen Ledger sind bereits in den Mitgliedstaaten reguliert.

References

Dieser Beitrag wurde unter Datenschutz, Digitale Identitäten, Signing, Standards/Protokolle veröffentlicht. Setze ein Lesezeichen auf den Permalink.