Die Fraktion der CDU/CSU im Bundestag hat am 8.08.23 eine kleine Anfrage an die Bundesregierung zum aktuellen Stand der eIDAS-2.0 – Verordnung gerichtet. Am 1.09. hat die Bundesregierung ihre Antworten veröffentlicht^[1]Vgl. dazu: Im Dschungel der digitalen Identität.

Eine Auswahl der Fragen mit den Antworten der Bundesregierung:

• Welche Vor- und Nachteile sieht die Bundesregierung in der Bereitstellung staatlicher Wallets, privater Wallets oder staatlicher und privater Wallets im Rahmen der eIDAS-Verordnung (eIDAS-VO), welche dieser Varianten bevorzugt sie derzeit, und warum?

Eine Einschätzung zu den verschiedenen Arten der Bereitstellung einer Wallet für digitale Identitäten ist auch Gegenstand des Konsultationsprozesses zum Gesamtsystem der deutschen eIDAS-Umsetzung. Auf Grundlage einer transparenten Evaluation im Rahmen des Prozesses werden geeignete Gestaltungsoptionen mit Blick auf nachhaltige Betriebsmodelle, alltagsrelevante Anwendungsfälle, die technische Umsetzung sowie unter Berücksichtigung der Rahmenbedingungen (wie Large Scale Pilots „POTENTIAL“, GovLabDE Digitale Identitäten, nationale und europäische Gesetzgebung, etc.) definiert. Die Bundesregierung möchte den Ergebnissen dieses Prozesses nicht vorgreifen.

• Wie möchte die Bundesregierung angesichts der Umsetzung einer EUWallet sicherstellen, dass die Nutzung von Identifizierungsdaten auf das rechtlich absolut Notwendige reduziert wird, um etwaigen verfassungsrechtlichen Bedenken aus dem Weg zu gehen?

Die Wahrung der Privatsphäre und der Sicherheit der Daten der Bürgerinnen und Bürger hat für die Bundesregierung hohe Priorität. Das anwendbare Datenschutzrecht, insbesondere die DSGVO, wird bei der Umsetzung beachtet und die Beschränkung der Verarbeitung von personenbezogenen Identifizierungsdaten auf das rechtlich absolut Notwendige wird durch technische und organisatorische Maßnahmen sichergestellt werden. Auf technischer Ebene kann dies durch den Einsatz von Berechtigungen ermöglicht werden, die nur den Abruf der für den jeweiligen Anwendungsfall benötigten Identifizierungsdaten erlauben.

Insbesondere in Fällen, in denen eine namentliche Identifizierung für den konkreten Anwendungsfall nicht erforderlich ist, soll die Nutzung der Wallet anonym oder zumindest pseudonym ermöglicht werden. Dies fördert auch das Vertrauen in das System, was essenziell für eine breite Akzeptanz und Nutzung ist.

Ein Ziel des Konsultationsprozess ist es auch, mit Expertinnen und Experten und anderen relevanten Akteuren zusammenzuarbeiten, um möglichen Bedenken von Beginn an gerecht zu werden.

• Wie bewertet die Bundesregierung die Gefahren der Überidentifizierung als auch des Trackings und der Profilbildung von Individuen, und wie möchte sie diesen Gefahren begegnen?

Das Zielbild (Anlage 1*) des GovLabDE Digitale Identitäten – der interministeriellen Arbeitsgruppe der Bundesregierung zur Umsetzung der digitalen Identitäten – folgt den Grundsätzen „privacy by design“ und „security by design“. Damit wird eine Zero-Trust-Architektur angestrebt. Die etablierten Verfahren der eID verhindern Tracking und Profilbildung von Individuen, da das eID-System auf einer dezentralen Logik aufbaut und Identifizierungs- und Authentifizierungsvorgänge nicht zentral zusammenlaufen. Daher kann die Identifizierung und Authentifizierung über Dienste hinweg nicht nachvollzogen beziehungsweise verfolgt werden. Dieses Zielbild gilt auch für die Weiterentwicklung des eID-Systems hin zur eIDAS-Kompatibilität.

• Plant die Bundesregierung, die Anwendungsfälle für digitale Identifizierung eindeutig zu begrenzen, und wenn ja auf welche (bitte nach Anwendungsfällen auflisten)?

Die Bundesregierung weist darauf hin, dass das Rechtssetzungsverfahren zur Änderung der eIDAS-Verordnung auf EU-Ebene noch nicht abgeschlossen ist. Nach Abschluss des Verfahrens wird die Bundesregierung prüfen, ob Anwendungsfälle ggf. zu regulieren sind.

• Wird die eID das einzige Identifizierungsmittel für die Authentifizierung sein oder wird es andere Authentifizierungsmittel (z. B. Brieftasche mit mDL [Mobile Driving License]) geben, die Deutschland in Betracht ziehen wird?

Neben der deutschen eID wird an der EU-Wallet gearbeitet, die nach eIDASVerordnung ein Identifizierungs-/Authentisierungsmittel sein soll. Bei der mDL (mobile driving license) handelt es sich im Kontext dieser Verordnung im Wesentlichen um einen Nachweis einer Berechtigung (sogenannter „Credential“) und kein Identifizierungsmittel. Daneben gibt es in Deutschland z. B. auch im privatwirtschaftlichen Bereich noch Identifizierungs- und Authentisierungsmittel, die für verschiedenste Dienste nutzbar sind. Gemäß der eIDAS-Verordnung sind schon jetzt weitere Identifizierungsmittel aus anderen EU-Mitgliedstaaten möglich. Mit der Novellierung der eIDAS-Verordnung werden von anderen Mitgliedstaaten herausgegebene oder zertifizierte EUdi-Wallets als Identifizierungsmittel auch in Deutschland anwendbar sein

• Plant die Bundesregierung, neben der eID auch alternative, nutzerfreundliche und sichere Identifizierungsverfahren, die bereits jetzt hohe Nutzungsraten in der Privatwirtschaft genießen und welche die Anforderungen an das Vertrauensniveau gemäß der eIDAS-2.0-Verordnung erfüllen, zuzulassen?

Im Kontext der eIDAS-Verordnung sind in Bezug auf eIDs nicht nur ein, sondern verschiedene Vertrauensniveaus („niedrig“, „substantiell“, „hoch“) definiert. Die EUdi-Wallet soll zukünftig ein hohes Vertrauensniveau erreichen.
Die deutsche eID, als sicheres und nutzerfreundliches Identifizierungsverfahren, entspricht dem sichersten Vertrauensniveau „hoch“. In Deutschland gibt es derzeit kein alternatives Identifizierungsverfahren, das die gleichen hohen Sicherheitsvoraussetzungen erfüllt. Für Anwendungen, die Vertrauensniveau „hoch“ benötigen, ist daher die Verwendung der deutschen eID notwendig. Für Dienste, die ein niedrigeres Vertrauensniveau erfordern oder spezialgesetzliche Anforderungen haben, können, wie auch in der Vergangenheit, zusätzlich andere Identifizierungsverfahren zugelassen werden, die unterschiedliche Vertrauensniveaus erreichen

• Welche und wie viele digitale Verwaltungsdienstleistungen wurden nach Kenntnis der Bundesregierung von Bundesbürgern mit dem neuen Personalausweis und insbesondere mithilfe der AusweisApp2 seit Einführung von 2014 bis 31. Juli 2023 insgesamt beantragt (bitte die Verwaltungsdienstleistungen nach Anzahl der Häufigkeit der erfolgreichen Nutzung von 2014 bis 2023 auflisten)?

Von Januar 2020 bis einschließlich Juni 2023 wurden auf den eID-Servern der Bundesdruckerei GmbH für Bund und Länder insgesamt rund 9,86 Mio. Transaktionen verzeichnet. Dabei entfallen 6 399 540 Transaktionen auf den eIDService Bund und 3 464 421 auf den eID-Service der Länder

• Was sind die Gründe dafür, dass bisher nur die Bundesdruckerei Berechtigungszertifikate für die eID ausgeben darf, und ist zukünftig vorgesehen, dass weitere Akteure diese ausgeben dürfen?

Grundsätzlich steht das Anbieten und Herausgeben von Berechtigungszertifikaten für die eID allen Unternehmen und Marktteilnehmer frei und ist möglich. In Deutschland ist jedoch die Firma D-Trust GmbH derzeit alleiniger Anbieter
von technischen Berechtigungszertifikaten. Da es sich jedoch um einen offenen Markt handelt, besteht die Möglichkeit, dass weitere Akteure aus der Privatwirtschaft eID-Berechtigungszertifikate ausgeben können.

• Wie beurteilt die Bundesregierung den Erfolg der bisherigen Pilotprojekte im Rahmen der Entwicklung der Smart-eID, und ist die Anbindung an das Nutzerkonto BundID bereits erfolgt?

Die bisherige Pilotphase war erfolgreich und lieferte wertvolle Erkenntnisse, die insbesondere zur Optimierung der Nutzendenführung der Smart-eID genutzt wurden. Insgesamt wurden 150 Testkarten für die Teilnahme an der Pilotphase versendet. Die Anbindung an das Nutzerkonto BundID wurde vorbereitet.