Die EUid: viele Vorteile und noch mehr Herausforderungen?
Veröffentlicht am 29.06.2021
Bis voraussichtlich 2026 soll jeder Mitgliedstaat der Europäischen Union seinen Bürgern ein ID-Wallet anbieten, das überall in der EU anerkannt ist. Wie viele nationale Interessen verträgt die EUid? Und was ist nötig, um ihre Akzeptanz zu erhöhen? Patrick von Braunmühl, Leiter Public Affairs der Bundesdruckerei GmbH, gibt Auskunft.
Auf dem Weg zur europäischen digitalen Identität
Wie viele nationale Interessen verträgt die EUid? Und was ist nötig, damit Europas digitale Identität gegen die Single-Sign-on-Dienste der großen Plattformen besteht? Patrick von Braunmühl, Leiter Public Affairs der Bundesdruckerei GmbH, gibt Auskunft.
Die Süddeutsche Zeitung* schrieb, die EU habe am 3. Juni womöglich das Ende der Passwörter verkündet. Wie realistisch ist diese Einschätzung?
Auf jeden Fall ist die EUid eine sehr gute Alternative zur klassischen Nutzername-Passwort-Kombination. Einige sprechen ja sogar vom EU-Single-Sign-on. Die Europäische Kommission hat den Bürgern und Unternehmen hier ein Angebot gemacht: für eine universelle Möglichkeit, sich zu identifizieren, aber eben auch für einen sehr bequemen Weg, Berechtigungen vorzulegen – z. B. Führerschein, Bahnticket oder Zeugnisse.
Was ist konkret geplant?
Jeder Mitgliedstaat muss seinen Bürgern bis voraussichtlich 2026 ein sicheres, datenschutzkonformes ID-Wallet anbieten, das überall in der EU anerkannt ist und auf der eID des jeweiligen Landes basiert. Die darüber bereitgestellte sog. Person Identification Data (PID), bei uns der Personalausweis, stellt die Identität des Wallet-Inhabers sicher. Und sie erlaubt es, dem ID-Wallet nach und nach weitere Berechtigungsnachweise – sogenannte Credentials – hinzuzufügen. Eine wichtige Rolle werden dabei die bisherigen Vertrauensdiensteanbieter spielen, die Credentials überprüfen und verifizieren. Das Bemerkenswerte: Bisher verband man hoheitliche IDs eher mit Behördengängen. Allerdings wird die Verordnung der Europäischen Kommission ebenso in der Privatwirtschaft bestimmte Branchen und Plattformen dazu verpflichten, die EUid zu akzeptieren. Bald können wir also nicht nur unsere Ausweise, sondern auch andere Berechtigungsnachweise wie z.B. einen Führerschein online vorlegen.
Wie steht es denn um die Umsetzung in Deutschland?
Mit der Smart-eID soll ab Herbst eine Ableitung des Personalausweises aufs Smartphone kommen. Außerdem engagiert sich die Bundesregierung im Konsortium POTENTIAL gemeinsam mit 19 weiteren Staaten beim EU Förderaufruf für „Large-Scale Pilots“ (LSP) mit der Umsetzung von Anwendungsfällen zur Pilotierung eIDAS-konformer Wallets. Deutschland ist hier im Lead beim Thema „SIM-Registrierung“ und „Mobiler Führerschein“. Die Bundesdruckerei unterstützt die LSP-Umsetzung im Auftrag des Bundesministeriums des Innern und für Heimat. Die grenzüberschreitende Umsetzung der Use Cases ist ab 2024, nationale Tests sind ab ca. Ende 2023 geplant.
Am Ende wird es wohl noch 26 weitere europäische ID-Wallets geben. Warum stellt die EU kein übergreifendes System zur Verfügung?
Tatsächlich gab es diese Option in der Roadmap der Europäischen Kommission. Ich glaube aber, sie hat erkannt, dass eine EU-Lösung in den Mitgliedstaaten nicht durchsetzbar ist. Identitäten sind eben ein klassisches nationalstaatliches Thema. Bisher existiert auch noch kein EU-Personalausweis. Insofern war es vernünftig, eher einen Rahmen für die Interoperabilität der verschiedenen nationalen Systeme zu schaffen. Eine Vereinheitlichung hätte darüber hinaus sowieso kaum Vorteile gehabt. Denn nicht alle Länder teilen die gleichen Vorstellungen zur Digitalisierung und zu digitalen Identitäten. Von daher: Es braucht natürlich ein bestimmtes Mindestniveau für die gegenseitige Anerkennung der ID-Wallets. Aber ein komplett einheitliches Modell wäre illusorisch gewesen. Dafür würde man jahrelang verhandeln und sich am Ende wahrscheinlich doch nicht einigen.
Nun scheint die Herausforderung der Interoperabilität aber auch nicht gerade klein …
Die Beratungen zu den Architekturstandards werden nicht einfach, keine Frage. Insbesondere mit Blick auf die Sicherheitsanforderungen. Schon bei den Verhandlungen zur letzten eIDAS-Verordnung brachen massive Konflikte auf – und damals ging es „nur“ um die gegenseitige Anerkennung der eID. Bei der Umsetzung legten die Aufsichtsbehörden der Mitgliedstaaten die Messlatte für Vertrauensdienste dann mitunter noch unterschiedlich hoch. Die EU wird deshalb durch mehr Durchführungsrechtsakte für eine stärkere Harmonisierung sorgen. Der Cybersecurity Act liefert dafür schon einige Referenzen – hier gibt die European Union Agency for Cybersecurity (ENISA) bestimmte europaweit verbindliche Standards und Zertifizierungsanforderungen vor. Außerdem könnte der ambitionierte Zeitrahmen der EUid helfen: Alle Beteiligten wissen, dass es schnell gehen muss. Schließlich befinden sie sich in Sachen digitale Identitäten in Konkurrenz zu den großen Plattformen. Jetzt heißt es: Schnell schalten, sonst ist der Zug abgefahren. Umso wichtiger ist es übrigens, nicht erst das Gesetz fertig zu machen und dann über die Technik zu sprechen, sondern beides parallel zu tun.
Eine noch größere Herausforderung könnte die gesellschaftliche Akzeptanz sein. In Umfragen zu digitalen Identitäten spricht sich zwar stets der Löwenanteil für eine hoheitliche und gegen eine privatwirtschaftliche Lösung aus. In der Realität erfreuen sich die Single-Sign-on-Dienste der amerikanischen Plattformen jedoch trotzdem enormer Beliebtheit. Wie trägt man die EUid in die Breite?
Es mag ein wenig platt klingen, trifft aber den entscheidenden Punkt: Die Politik muss die Menschen mitnehmen. Das klappt zum einen durch Kommunikation und Aufklärung. Beispiel: Corona-Warn-App. Hier hat eine Aufklärungskampagne zu einer hohen Akzeptanz geführt. Zum anderen zählt die Usability – die EUid sollte bequem sein und das Leben wirklich einfacher machen. Zugleich braucht es genügend Anwendungen. So unbeliebt Behördengänge auch sind – wirklich viele von ihnen muss ein Bürger pro Jahr nicht bewältigen. Heißt: Eine ID nur fürs E-Government wird die Menschen hierzulande kaum begeistern. Gelingt es jedoch, das ID-Wallet ähnlich nutzbar zu machen wie ein Single Sign-on, sieht die Sache anders aus. Dann fällt das Argument der Datensouveränität wirklich ins Gewicht und die Menschen würden die staatlich autorisierte Lösung nutzen.
Das heißt doch auch, dass die Privatwirtschaft entscheidend zur Akzeptanz der EUid beitragen kann, oder?
Richtig. Allein im Gesundheits- und Finanzwesen sind die Einsatzmöglichkeiten vielfältig. Und gerade für KMU und Start-ups dürfte es sich lohnen, auf ein hoheitliches ID-System aufzusetzen. Denn sie würden dadurch den direkten Kontakt zum Kunden bekommen und damit ihre Abhängigkeit von den großen Plattformen oder virtuellen Maktplätzen verringern. Eine echte Win-win-Situation: Die Unternehmen profitieren und bauen gleichzeitig die kritische Masse an Anwendungsmöglichkeiten auf, um die EUid in die Breite zu tragen.
Könnten wir hier von stark digitalisierten Ländern wie Estland lernen?
Absolut. Wir können eine Menge von Estland und den skandinavischen Ländern lernen. Allerdings hat jeder Staat seine ganz individuellen Voraussetzungen. Estland ist ein kleines Land, das nach der Unabhängigkeit von der Sowjetunion viele Prozesse ganz neu definieren musste. Das hat es dort leichter gemacht, schon früher auf Digitalisierung zu setzen.
*Quelle: https://www.sueddeutsche.de/wirtschaft/eidas-personalausweis-euid-1.5312314