Tschechische EU-Ratspräsidentschaft drängt bei eIDs vorwärts

Die tschechische EU-Ratspräsidentschaft hat letzte Woche einen neuen Kompromisstext zum Vorschlag für die Europäische Digitale Identität (eIDs) in Umlauf gebracht. Das Dossier hatte bislang aufgrund seiner technischen Komplexität nur geringe Fortschritte gemacht.

Das Dokument wird auf den Sitzungen der Arbeitsgruppe Telekommunikation des EU-Rates am 5. und 8. September diskutiert werden. Nationale Vertreter:innen können dann bis zum 12. September konkrete Formulierungsvorschläge einreichen.

Der Kompromiss folgt auf eine Diskussion im Juli, bei der mit Ausnahme von Frankreich und Deutschland alle Mitgliedstaaten darauf drängten, dass die digitale Brieftasche ein eigenständiges Identifizierungsmittel und nicht nur eine „leere Hülle“ sein sollte.

Die wichtigste Änderung betrifft nun die Aufnahme der Brieftasche für die Europäische Digitale Identität als elektronisches Identifizierungsmittel.

Der Kompromiss beinhaltet außerdem eine neue Begriffsbestimmung für „eindeutige und dauerhafte Identifizierung“ als „eine Identifizierung, die entweder aus einzelnen oder mehreren nationalen oder sektoralen Identifizierungsdaten bestehen kann, mit einem einzelnen Nutzer in einem bestimmten System verknüpft ist und zeitlich beständig ist.“

Der Artikel über die eindeutige Identifizierung wurde durch den Datensatzabgleich ersetzt, ein komplexeres und datenschutzfreundlicheres System, das die Identifizierung einer Person durch den Abgleich mehrerer Segmente persönlicher Daten ermöglicht. Ein eindeutiger Identifikator ist jedoch weiterhin nach nationalem Recht und Verwaltungspraxis möglich, wobei der letztgenannte Begriff nicht definiert ist.

Öffentliche und private Dienste, die beabsichtigen, die europäische Brieftasche zu Identifizierungszwecken zu nutzen, müssen sich in den Mitgliedstaaten, in denen sie niedergelassen sind, registrieren lassen – eine Schutzmaßnahme, die bereits unter der französischen EU-Ratspräsidentschaft eingeführt wurde, da diese Dienste personenbezogene Daten verarbeiten würden.

Die Tschech:innen haben jedoch auch eine Ausnahme für die Registrierung für den Fall vorgesehen, dass die Interaktion im „vollständigen Offline-Modus“ erfolgt.

Wenn ein Nutzer beispielsweise einen QR-Code zeigt und der Dienstanbieter diesen einscannt, würde dies als vollständig offline gelten, wenn die Informationen auf dem eingescannten Code auf dem Gerät verbleiben und nicht an einen Server übertragen werden.

„Aus Sicht des Datenschutzes ergibt das absolut keinen Sinn“, sagte Thomas Lohninger, Geschäftsführer von Epicenter.works, einer Organisation, die sich für digitale Rechte einsetzt. Er betonte, dass eine körperliche Situation die Nutzer:innen sogar noch mehr unter Druck setzen könnte, mehr Daten als unbedingt nötig preiszugeben.

Da eID-Systeme in den nächsten zehn Jahren allgegenwärtig werden könnten, benötigen sie nach Ansicht Lohningers solide Datenschutzgarantien, während die Tschech:innen „die Privatsphäre der Einfachheit des Geschäfts opfern.“

So deckt der Text beispielsweise nicht die weitere Datenverarbeitung ab, die nach der Interaktion stattfinden könnte.

Ein Diskussionspunkt betrifft die Frage, ob die Mitgliedsstaaten nach nationalem Recht zusätzliche Funktionen wie die Interoperabilität mit bestehenden elektronischen Ausweisen vorsehen können.

Darüber hinaus schlug Prag vor, dass die Identitätsverifizierung des Nutzers von zertifizierten Anbietern nur auf dem höchsten Sicherheitsniveau durchgeführt werden sollte und nicht auch auf dem dazwischen liegenden ’substantiellen‘ Niveau.

Die Konformität der europäischen digitalen Brieftaschen mit den in der Verordnung festgelegten Anforderungen wird von öffentlichen und privaten akkreditierten Stellen zertifiziert werden. Nach Ansicht der tschechischen Präsidentschaft sollte diese Akkreditierung zwei Jahre dauern und eine Bewertung der Schwachstellen beinhalten, die, wenn sie nicht behoben werden, zur Annullierung der Zertifizierung führen können.

Es wurde ein Verweis auf das Gesetz über digitale Märkte hinzugefügt, wonach Aussteller von europäischen digitalen Brieftaschen bei der Prüfung der Schwellenwerte, die Unternehmen als Gatekeeper auszeichnen, als gewerbliche Nutzer:innen zu betrachten sind.

Die Bestimmungen über das grenzüberschreitende Vertrauen wurden nur auf digitale Geldbörsen angewandt, wobei der Zahlungsverkehr und E-Geld in die Liste der Sektoren aufgenommen wurden, die die Geldbörse ohne Rechtsgrundlage nutzen dürfen, einfach aufgrund ihrer Geschäftsbedingungen.

Darüber hinaus stellt Prag die Frage zur Diskussion, ob die Kommission die Befugnis erhalten soll, sekundäre Rechtsvorschriften zu erlassen und die Akzeptanz der Europäischen Digitalen Brieftasche durch zusätzliche private Dienste auf der Grundlage der Nachfrage der Nutzer:innen anzuordnen.

Der Text sieht zwei Optionen für die Frist vor, innerhalb derer qualifizierte, vertrauenswürdige Diensteanbieter die zuständigen Behörden über Verletzungen oder Störungen unterrichten müssen: entweder 24 oder 72 Stunden.

Darüber hinaus müssen die nationalen Cybersicherheitsbehörden im Rahmen der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) die Aufsichtsbehörden darüber informieren, ob diese Dienste die EU-Anforderungen an die Cybersicherheit innerhalb von zwei Monaten erfüllen oder die Verzögerung rechtfertigen.

Für fortschrittliche elektronische Unterschriften und Siegel ließ die Präsidentschaft die Option offen, dass die Kommission die Möglichkeit oder die Verpflichtung zur Festlegung von Referenznummern für Standards erhalten könnte.

Der Verweis darauf, dass die Mitgliedstaaten solche qualifizierten elektronischen Unterschriften und Siegel anerkennen müssen, wurde gestrichen, während neue Artikel hinzugefügt wurden, in denen die Anforderungen für deren Validierung aufgeführt sind.

Es wurde ein Artikel eingeführt, der die gegenseitige Anerkennung qualifizierter elektronischer Einschreibedienste zwischen allen EU-Ländern vorschreibt.

Bezüglich der Umsetzungsfrist erklärte die Präsidentschaft, dass die nationalen Vertreter:innen zu einer allgemeinen Diskussion eingeladen werden, „sobald der Text stabiler ist.“ Der Zeitplan für die Überprüfung der Verordnung durch die Kommission wurde von zwei auf drei Jahre nach Inkrafttreten verschoben.

Die Präsidentschaft beabsichtigt, einen technischen Workshop zu organisieren, um den Prozess der Registrierung von Organisationen, die die europäischen digitalen Brieftaschen nutzen, und den Zertifizierungsprozess zu klären.

[Bearbeitet von Zoran Radosavljevic]