Die Bundesregierung setzt die Vorgaben für die EUDI-Wallet um – nach massiver Kritik mit mehr Mitspracherechten für die Länder und schärferem Datenschutz.
Das Bundeskabinett hat am Mittwoch den Regierungsentwurf für das Digitale-Identitäten-Gesetz auf den Weg gebracht und damit die gesetzliche Grundlage für eine tiefgreifende Veränderung des digitalen Alltags geschaffen. Mit dem Normenwerk reagiert die Bundesregierung auf die reformierte europäische eIDAS-Verordnung, die alle EU-Mitgliedstaaten dazu verpflichtet, ihren Bürgern bis zum 24. Dezember 2026 mindestens eine Brieftasche für die digitale Identität bereitzustellen.
Diese EUDI-Wallet soll als zentrale, sichere Smartphone-Anwendung fungieren, mit der sich Menschen im digitalen Raum grenzüberschreitend ausweisen und behördliche sowie private Dokumente verwalten können. Der Regierungsentwurf unterscheidet sich dabei in wesentlichen Punkten von der ursprünglichen Initiative des Bundesdigitalministeriums: er enthält Nachbesserungen bei der Länderbeteiligung, beim Datenschutz und bei den Pflichten für die Wirtschaft.
Ziel des Vorhabens ist es, langwierige bürokratische Prozesse im elektronischen Rechts- und Wirtschaftsverkehr spürbar zu vereinfachen. Künftig sollen Bürger mithilfe der Wallet nicht nur ihre Identität auf hohem Sicherheitsniveau nachweisen, sondern auch Bescheide von Bundesbehörden, digitale Nachweise oder Verträge direkt auf dem Mobiltelefon speichern können. Die Einsatzszenarien reichen von Behördengängen und der Eröffnung von Bankkonten über digitale Signatur- und Siegelfunktionen bis hin zur Alterskontrolle in sozialen Medien.
Digitalminister Karsten Wildberger (CDU) betonte nach dem Kabinettsbeschluss, dass das Gesetz das Leben der Menschen in Deutschland einfacher mache und gleichzeitig höchste Anforderungen an Vertraulichkeit und Datensicherheit erfülle. Die Nutzung der Wallet sei für die Bevölkerung vollkommen freiwillig. Die Exekutive selbst verspricht sich von der Neuerung einen erheblichen Bürokratieabbau; Berechnungen zufolge sollen Bürger durch die digitale Abwicklung jährlich rund 3,9 Millionen Stunden Zeit einsparen.
Dass der Entwurf das Kabinett nun passieren konnte, liegt auch an einer deutlichen Kurskorrektur. Nach einer Anhörung von Ländern und Verbänden im März, bei der massive Kritik laut geworden war, hat das Ressort zentrale Passagen umgeschrieben. Der erste Entwurf sah vor, dass das Ministerium wichtige Rechtsverordnungen und technische Details im Alleingang und ohne Zustimmung der Länderkammer regeln durfte. Diese Option fehlt im aktuellen Papier. Nun heißt es explizit, dass sowohl das Gesetz selbst als auch wesentliche Folgeverordnungen der Zustimmung des Bundesrats bedürfen. Die Länder erhalten so volles Mitspracherecht bei der Ausgestaltung alternativer Identifikationswege und technischer Standards. Um dem föderalen Charakter und dem eigentlichen Zweck des Gesetzes gerechter zu werden, wurde auch der Name angepasst: Das Regelwerk betont nun, dass es sich um die nationale Durchführung von EU-Recht handele.
Gleichzeitig ging das Ministerium einen Schritt auf die Privatwirtschaft zu und entschärfte umstrittene Akzeptanz- und Ausstellungspflichten. War im Referentenentwurf noch die Option verankert, dass private Diensteanbieter per Verordnung dazu verpflichtet werden können, bestimmte Wallet-Nachweise auszustellen, so wurde dieser Passus gestrichen. Dennoch kommen auf die Wirtschaft erhebliche Umstellungskosten zu. Die Regierung beziffert den einmaligen Erfüllungsaufwand für Unternehmen auf rund 13,5 Millionen Euro, während sich die laufenden jährlichen Kosten auf etwa 1,1 Millionen Euro belaufen dürften.
Besonderes Augenmerk legten die Verfasser auf die Bereiche Datenschutz und Cybersicherheit. Die EUDI-Wallet wird das erste mobile elektronische Identifizierungsmittel sein, das das staatliche Sicherheitsniveau „hoch“ auf Smartphones garantiert. Um dieses Versprechen einzulösen, hat das Kabinett zwei neue Datenschutz-Paragrafen in den Text eingefügt, die die Datenverarbeitung durch die Wallet-Anbieter streng regulieren. Behörden und Dienstleister werden gesetzlich dazu verpflichtet, personenbezogene Daten nur im absolut notwendigen Rahmen für die Bereitstellung und Integrität der Wallet zu verarbeiten. Ein strenger Löschauftrag besagt, dass Daten, die nicht dauerhaft auf dem Gerät des Nutzers verbleiben, unverzüglich gelöscht werden müssen, sobald sie für die Aufgaberfüllung nicht mehr erforderlich sind.
Ferner wird eine organisatorische Trennung obligatorisch: Behörden, die die Identifizierungsdaten ausstellen, dürfen nicht gleichzeitig als Wallet-Anbieter auftreten. Nutzer erhalten zudem eine zentrale digitale Anlaufstelle über eine Website, auf der sie den Widerruf ihrer Personenidentifizierungsdaten ausdrücklich einfordern können.
Auch der administrative Aufwand für den Aufbau der Infrastruktur ist immens. Für das Bundesamt für Sicherheit in der Informationstechnik fallen einmalig 237.000 Euro sowie rund 920.000 Euro pro Jahr an. Die Bundesnetzagentur rechnet mit einmaligen Sachkosten von 2,3 Millionen Euro und jährlichen Personalkosten von 2,6 Millionen Euro, wofür rund 19 neue Planstellen geschaffen werden sollen. Das Bundesverwaltungsamt wiederum übernimmt den Aufbau eines zentralen Dienstes für den einmaligen Datenabruf, was einmalig gut 9,2 Millionen Euro und jährlich rund 2,1 Millionen Euro kosten wird. Diese Ausgaben sollen im Haushalt des Digitalministeriums abgefedert werden.
Mit dem Beschluss wandert das Digitale-Identitäten-Gesetz in das parlamentarische Verfahren, wo Bundestag und Bundesrat das Vorhaben final debattieren. Parallel dazu läuft bereits die Entwicklung der technischen Systeme, um nach Abschluss der aktuellen Pilotprojekte die Wallet ab Januar 2027 flächendeckend anzubieten. Bundesbehörden wird im neuen Entwurf allerdings eine zweijährige Übergangsfrist gewährt, um die digitalen Attributsbescheinigungen technisch bereitzustellen.
Aus den Reihen der Parlamentarier gibt es bereits erste positive Signale, aber auch Mahnungen: Der CDU-Abordnete und Wallet-Berichterstatter Markus Reichel lobt zwar die konkreteren Datenschutz- und Sicherheitsvorgaben, sieht aber im kommenden Verfahren noch deutlichen Spielraum, um das Gesetz praxistauglicher auszugestalten und vor allem beim Umsetzungstempo ehrgeizig zu bleiben.
Stefan Krempl
Keine Kommentare:
Kommentar veröffentlichen