Geht es nach den Vorstellungen des EU-Parlaments, wird die EUiD so ausgestattet, dass der Quellcode für die digitale Brieftasche unter einer Open-Source-Lizenz bereitgestellt und für Überprüfungen veröffentlicht wird. Die Nutzer sollen die Möglichkeit haben, sämtliche Transaktionen über die Identität per Dashboard nachzuverfolgen. Darin enthalten ist eine Liste aller vertrauenswürdigen Parteien, mit denen der Nutzer eine Verbindung aufgebaut hat. Sofern möglich, sollen auch die geteilten Daten aufgeführt werden^[1]Europaparlament will lebenslange Personenkennziffer stoppen^[2]EU-Wallet & Data Act: EU-Abgeordnete wollen Online-Ausweis ohne Dauerkennung^[3]Die größten Chancen und Risiken einer elektronischen Identität für die EU^[4]Kritik an digitaler EU-Identität.

Weiterhin lehnen die EU-Abgeordneten den Vorschlag ab, den Bürgern der EU-Staaten eine eindeutige und dauerhafte Kennung zuzuweisen. Allerdings sieht der Kompromissvorschlag des EU-Parlaments vor, die Personenkennziffer auf grenzüberschreitende Verwaltungsdienste zu beschränken. Datenschützer monieren, dass die Einführung einer Personenkennziffer die Gefahr mit sich bringt, deren Nutzung – im Sinne einer schleichenden Zweckentfremdung (Function Creep) – zu einem späteren Zeitpunkt auszuweiten^[5]Beim europäischen ID-Wallet droht die Überidentifikation.

Die Nutzer können sich mit der ID-Wallet authentifizieren, ohne personenbezogene Daten preiszugeben. Der Kompromissvorschlag sieht vor, dass Pseudonyme für all jene Anwendungsfälle verwendet werden können, bei denen eine Identifizierung mit dem Realnamen nicht gesetzlich vorgeschrieben ist. Die Pseudonyme werden verschlüsselt auf den Endgeräten abgelegt.

Datenschützer sehen die Gefahr der Hyperidentifikation, d.h. die Nutzer werden mit mehr oder weniger sanftem Druck dazu veranlasst, mehr Daten preiszugeben als für den Vorgang nötig sind. Die Bedeutung der technischen Standards sei ebenso hoch wie die der gesetzlichen Bestimmungen. Kritisiert wird zudem, dass sich die “relying parties” laut Kompromissvorschlag nicht registrieren müssen, wenn sie Daten über das ID-Wallet abfragen wollen.

In einem offenen Brief an das EU-Parlament fordern Nichtregierungsorganisationen und Datenschützer u.a. dazu auf, einen starken Nichtdiskriminierungsschutz gesetzlich zu verankern für Bevölkerungsgruppen, die das neue digitale Identitätssystem nicht nutzen wollen oder können. Es sollte für die Emittenten des Systems, die mit ihnen verbundenen Unternehmen oder die Anbieter von Attributen technisch unmöglich sein, Kenntnis darüber zu erlangen, wie die Nutzer das System verwenden. Privacy by Design schließt die Schaffung eines eindeutigen und dauerhaften Identifikators aus, der verwendet werden kann, um das Nutzerverhalten über Interaktionen mit einzelnen Unternehmen oder Regierungsstellen zu verfolgen. “Es wäre blauäugig von der Europäischen Union zu glauben, dass eine eindeutige und dauerhafte Kennung nicht von Big-Tech-Unternehmen missbraucht würde, um ihre Nutzer zu verfolgen und zu überwachen. Ein solcher “Super-Cookie” würde nicht nur verfassungsrechtliche Bedenken in mehreren Mitgliedstaaten aufwerfen, sondern auch den Zweck dieser Verordnung, datenschutzfreundliche Alternativen zu den marktbeherrschenden Big Tech-Unternehmen zu bieten, konterkarieren.  Letztlich wird das System an der Robustheit und Wirksamkeit seiner technischen und rechtlichen Garantien gegen das Tracking und Profiling des Nutzerverhaltens gemessen“.