Zehn Organisationen schlagen Alarm: Die technische Ausgestaltung der digitalen Brieftasche droht fundamentale Schutzrechte auszuhöhlen.
Diese Idee der EU klingt zunächst vielversprechend: Mit der „EU Digital Identity Wallet“ (EUDI-Wallet) sollen Bürger künftig eine sichere digitale Brieftasche auf ihrem Smartphone mitführen. Ob Online-Behördengänge, das Eröffnen eines Bankkontos oder die Altersverifikation im Netz – die Wallet soll die Identifikation europaweit vereinheitlichen und vereinfachen. Doch während der gesetzliche Rahmen durch die eIDAS-2.0-Verordnung bereits steht, tobt hinter den Kulissen ein erbitterter Streit um die technische Ausgestaltung. In einem offenen Brief an die EU-Kommission schlagen nun zehn Bürgerrechtsorganisationen wie Epicenter.works, European Digital Rights (EDRi) und der Chaos Computer Club (CCC) Alarm. Sie werfen der Kommission vor, durch die derzeitigen Entwürfe der Durchführungsbestimmungen elementare Schutzfaktoren aufzuweichen und die Wallet in ein Instrument der Überwachung zu verwandeln.
Ein Kritikpunkt der Experten betrifft die sogenannte Unverfolgbarkeit. Eigentlich sieht die Verordnung vor, dass Transaktionen mit der Wallet weder vom Staat noch von den genutzten Diensten untereinander verknüpft werden können. Wenn ein Nutzer beispielsweise sein Alter auf einer Webseite nachweist, sollte dies kein digitales Profiling ermöglichen. Die Kritiker bemängeln aber, dass die technische Umsetzung diese strikte „Unlinkability“ auf ein bloßes „Erschweren“ der Rückverfolgbarkeit herabstufen würde. Dies untergrabe das Vertrauen der Bevölkerung massiv, da die Wallet so zum Werkzeug für staatliche oder kommerzielle Kontrolle werden könnte.
Brisant ist die geplante Einführung einer obligatorischen Speicherung biometrischer Gesichtsbilder im Datensatz der Wallet. Die NGOs weisen darauf hin, dass diese invasive Funktion in der ursprünglichen Verordnung gar nicht vorgesehen war und nun quasi durch die Hintertür eingeführt werde. Dies führe zu einer unverhältnismäßigen Ausweitung der Verarbeitung sensibler Daten. Gleichzeitig drohe das Recht auf Pseudonymität ausgehöhlt zu werden. Obwohl das Gesetz die Nutzung von Pseudonymen erlaubt, ermöglichen die technischen Entwürfe es Dienstanbietern, dennoch systematisch die Klarnamen der Nutzer abzufragen, ohne dies rechtfertigen zu müssen.
Ein weiteres Sicherheitsrisiko sehen die Unterzeichner darin, dass Registrierungszertifikate für Dienstanbieter optional bleiben sollen. Diese Zertifikate sind eigentlich dafür gedacht, dass die Wallet den Nutzer automatisch warnt, wenn ein Anbieter mehr Daten abfragt, als er für den jeweiligen Dienst benötigt. Würden diese Zertifikate nicht verpflichtend eingeführt, müssten Nutzer jede einzelne Anfrage mühsam selbst prüfen, um eine Überidentifizierung zu vermeiden – eine Situation, die die Datenschützer mit der bekannten „Cookie-Müdigkeit“ vergleichen.
Besonders bewerten dies die NGOs, da in der Politik bereits diskutiert wird, die Wallet für die Altersprüfung auf Social-Media-Plattformen verpflichtend zu machen. Sie fordern die EU-Kommission daher auf, den Kurs zu korrigieren und den Datenschutz technisch verbindlich zu verankern, bevor die Wallet zum Standard wird.
Keine Kommentare:
Kommentar veröffentlichen