eIDAS-Regulation
Europäischem Digitalmarkt droht nächste Fragmentierung
Die eIDAS-Verordnung soll es allen EU-Bürgerinnen und Bürgern sowie Unternehmen ermöglichen, digitale Identitäten zu speichern, wiederzuverwenden und elektronische Dokumente untereinander auszutauschen. Der Charme der geplanten Verordnung liegt darin, dass eine einzige verifizierte, digitale Identität geschaffen werden soll, die innerhalb eines sogenannten Identity Wallets (ID-Wallet) auf dem Smartphone gespeichert wird. Mit diesem sollen alle EU-Bürgerinnen und Bürger Zugang zu öffentlichen und privaten Onlinediensten erhalten. Der ID-Wallet soll sowohl die Identifizierung (Wer ist der Nutzer?) als auch die Authentifizierung (Ist es ein bereits bekannter Nutzer?) von Bürgern in der digitalen Welt beschleunigen, vereinfachen und zusätzlich absichern.
Die digitale Identität, so zumindest die Idee, soll für eine größtmögliche Anzahl von Fällen - auch über EU-Ländergrenzen hinweg - wiederverwendbar sein. An anderer Stelle habe ich bereits erörtert, warum das in Deutschland durch die uneinheitlichen Vertrauensniveaus (Level of Assurance, LoA), die in verschiedenen Branchen zum Einsatz kommen, möglicherweise schwierig wird. Das LoA dient dazu, den Grad des Vertrauens, den die ausstellende Partei in einen vorgelegten Ausweis beziehungsweise in eine Identität hat, anzugeben.
Geplanter EUDI-Wallet nur mit Sicherheitsniveau "hoch"
Nun droht aufgrund des aktuellen eIDAS 2.0-Entwurfs und der von der EU zuletzt angekündigten Toolbox (Architecture Reference Framework, ARF) Ungemach. Denn laut dem derzeitigen Ansatz der EU wird geplant, die EU-weite ID-Wallet (European Union Digital Identity, EUDI) nur auf dem Niveau "hoch" zuzulassen. Zur Erinnerung: Die EU definiert mit eIDAS drei aufsteigende Vertrauensniveaus:
von "niedrig",
über "substanziell",
bis "hoch".
Der gegenwärtige Vorschlag würde dazu führen, dass in einigen EU-Ländern nur die staatlichen eID-Verfahren oder Offline-Verfahren für das Onboarding in den EU-Wallet verwendet werden dürften.
In Deutschland würde das konkret bedeuten, dass nur der elektronische Personalausweis mit freigeschalteter Online-Ausweisfunktion eID, gemeinsam mit einem NFC-fähigen Smartphone, verwendet werden dürften, um eine digitale Identität auf dem höchsten Sicherheitsniveau zu erstellen. In Italien wiederum wäre ein Onboarding in den EUDI-Wallet über eine Online-Videoidentifikation möglich, da die italienischen Behörden diesem Verfahren - auf nationaler Ebene - das Sicherheitsniveau "hoch" bescheinigen.
Trotz dieser frappierenden Unterschiede in den Sicherheitsniveaus würden diese auch mit eIDAS 2.0 weiterhin Bestand haben. Es wird hier vonseiten der EU aktuell keine StandardisierungStandardisierung angestrebt. Die anhaltende Verzögerung der Veröffentlichung der ARF-Toolbox steht hierbei sinnbildlich für die Unstimmigkeiten innerhalb der europäischen Mitgliedsstaaten. Alles zu Standardisierung auf CIO.de
Hoheitliche Anwendungen versus Privatwirtschaft
Damit droht potenziell die nächste Fragmentierung in der EU, nämlich zwischen hoheitlichen (staatlichen) und privatwirtschaftlichen Anwendungen. In der Wirtschaft definiert sich der Großteil der Anwendungsfälle, wie die Eröffnung eines Bankkontos oder die qualifizierte elektronische Signatur (QES), auf dem Niveau "substanziell". Anwendungsbeispiele wie die Mietwagenleihe mit Altersverifizierung wiederum benötigen nur das "niedrige" LoA. Allein Behördengänge und Anwendungsfälle aus dem staatlichen Gesundheitswesen würden auf dem "hohen" Vertrauensniveau eingeordnet.
Lesetip: Nach Hack-Nachweis - Keine Video-Identifizierung für Krankenkassen
Die skalierenden Anwendungsfälle wie Mietwagenleihen, Check-ins in Hotels oder Bankkontoeröffnungen könnten also mit barrierefreien Onboarding-Verfahren wie automatisierten oder videobasierten Identifizierungsmethoden genutzt werden. Um den EUDI-Wallet in Deutschland zu erstellen, dürfe jedoch nur die eID zum Einsatz kommen.
Ändert die EU den aktuellen Entwurf nicht, könnte es also dazu kommen, dass ein Nutzer die digitale Identität, die er soeben per VideoIdent-Verfahren für die Eröffnung eines Bankkontos erstellt hat, am gleichen Tag nicht für seinen Behördengang einsetzen kann. Das verkompliziert den Prozess unnötig und würde der flächendeckenden Verbreitung der EUDI-Wallet, zumindest in Deutschland, im Weg stehen.
Im schlimmsten Fall würde das Ziel, eine einzige digitale Identität für alle EU-Bürger zu schaffen, damit komplett verfehlt, da es keine Brücke zwischen den hoheitlichen und den wirtschaftlichen Anforderungen gäbe. Stattdessen hätten die Nutzer mindestens zwei Anwendungen zur Identifizierung auf ihrem Smartphone: Eine, die sie für privatwirtschaftliche Anwendungsfälle einsetzen können, bei der die Registrierung für die App einfach und schnell digital über bewährte Verfahren erfolgen kann, und eine andere für die hoheitlichen Anwendungsfälle, für die sich der Kunde nur über Offline-Methoden oder das in Deutschland bisher wenig verbreitete eID-Verfahren identifizieren kann. Die Nutzung und Verbreitung der EUDI-Wallet würde gerade in Deutschland durch die enge Beschränkung des zugelassenen Onboardings stark ausgebremst.
Wallet-Import aus dem innereuropäischen Ausland
Weil die Anbieter von Dienstleistungen im Bereich Mobilität, Transport, Telekommunikation oder im Hotel- und Gastgewerbe aber ein gesteigertes Interesse daran haben, dass Kunden künftig von einer ID-Wallet Gebrauch machen, werden sie Wallet-Lösungen von privaten Anbietern verwenden. Diese werden dann entweder nur dem LoA "substanziell" entsprechen oder von Anbietern aus anderen EU-Ländern kommen, in denen das Kunden-Onboarding auf LoA "hoch" über andere, leicht zugängliche Identifizierungsmethoden funktioniert.
Deutsche Bürgerinnen und Bürger könnten ihre Wallet dann beispielsweise aus Italien 'importieren' und so die Notwendigkeit einer Verifizierung über die eID oder in einem Offlineprozess umgehen. Dadurch würde der Anbietermarkt in Deutschland benachteiligt und es würde sich ein ähnlich fragmentiertes Bild wie schon unter eIDAS 1.0 ergeben. Unter dieser Verordnung haben die deutschen Regulatoren zum Beispiel die eIDAS-konforme Legitimation für die nationalen Vetrauensdiensteanbieter (Trust Service Provider, TSP) auf Einmalzertifikate beschränkt. Das heißt die deutschen Anbieter dürfen nur Kurzzeitzertifikate ausstellen, die an den jeweiligen Anwendungsfall gebunden sind, während ein italienischer TSP aber ein Langzeitzertifikat auf Basis einer Videolegitimation ausstellen darf. Die deutsche Beschränkung auf Einmalzertifikate ist innerhalb der Europäischen Union einzigartig und isoliert die TSPs im Land schon seit Jahren.
Die mögliche Zukunft der eIDAS-Verordnung
Mit dem geplanten EUDI- Wallet und eIDAS 2.0 sollte eigentlich alles einfacher, einheitlicher und sicherer werden für die EU-Bürgerinnen und Bürger. Um diese Vision flächendeckend Realität werden zu lassen, wäre aber ein LoA "substanziell" des europäischen Wallets notwendig. Stattdessen ist es am wahrscheinlichsten, dass skalierende Wallet-Lösungen aus der Privatwirtschaft kommen werden. Diese werden auf dem mittleren Sicherheitsniveau ("substanziell") geschmiedet sein, das dem Endnutzer die nötige Sicherheit gibt und gleichzeitig die erforderliche Barrierefreiheit beim Onboarding erlaubt. Die nächste Fragmentierung im Digitalmarkt, sowohl innerdeutsch als auch innereuropäisch, scheint damit vorprogrammiert. (bw)