Während Deutschland und Frankreich bei der neuen EUDI-App auf digitale Souveränität setzen, begeben sich andere Staaten in die Abhängigkeit von US-Tech-Riesen.
Bei einem Treffen in den Niederlanden versuchte ein Beamter unlängst, Journalisten und Aktivisten zu beruhigen. Die kommende, von der EU vorgeschriebene digitale Identitäts-App für die EUDI-Wallet sei absolut sicher und robust konstruiert. Es sei denn, so fügte er scherzhaft hinzu, Google oder Apple kollaborieren mit jenem Mann im Weißen Haus.
Diese Anekdote gibt das Investigativ-Portal Follow the Money wider. Was in einem Konferenzzentrum in Utrecht als humorvoller Einwurf gedacht war, legte demnach in Wahrheit die tief sitzenden Ängste und die eklatanten systemischen Schwachstellen einer Anwendung offen, die bald die sensibelsten persönlichen Daten von Hunderten Millionen EU-Bürgern in sich tragen soll. Die App soll künftig nicht nur dem bloßen Identitätsnachweis bei Kontrollen dienen, sondern soll auch Bildungsabschlüsse abbilden und Einkommensnachweise digital belegen.
Die EU-Kommission hat eine klare Frist gesetzt. Bis zum Ende dieses Jahres müssen alle Mitgliedstaaten eine voll funktionsfähige digitale Wallet an den Start bringen. Doch hinter den Kulissen der nationalen Entwicklerteams offenbart sich eine tiefe technologische und ideologische Kluft innerhalb der Staatengemeinschaft. Während Schwergewichte wie Deutschland und Frankreich eigene Lösungen entwickeln, um die nationale und europäische digitale Souveränität explizit zu schützen, wählen andere Länder wie die Niederlande und Italien einen umstrittenen Abkürzungsweg. Sie lagern fundamentale Kernfunktionen an US-amerikanische Großkonzerne aus und bauen Systeme, die zwingend auf Softwarearchitekturen von Apple und Google setzen. Und das in einer geopolitischen Phase, in der die EU lautstark nach strategischer Unabhängigkeit von der US-Administration unter Donald Trump verlangt. Diese fundamentale Abhängigkeit von US-Technologiegiganten alarmiert Sicherheits- und Datenschützer gleichermaßen.
Dabei sahen die Spielregeln ursprünglich völlig anders aus. Als die Kommission 2023 die erste Version der technischen Spezifikationen für die europäische ID-Börse auf der Softwareplattform GitHub veröffentlichte, enthielten die Dokumente keinerlei Verpflichtung zur Nutzung von US-Diensten. Den Mitgliedstaaten stand und steht es völlig frei, eine eigene digitale Geldbörse zu entwickeln, die gänzlich ohne Technologie aus Übersee auskommt. Doch die Integration der fertigen Verifizierungssoftware von Google und Apple erwies sich für die App-Entwickler schlichtweg als der bequemste und schnellste Weg, um die komplexen technischen Mindestanforderungen der EU zeitgerecht zu erfüllen. Der niederländische Tech-Experte Brenno de Winter bestätigte gegenüber Follow the Money, dass sich die 27 EU-Staaten anfangs voller Enthusiasmus an den Bau ihrer Wallet-Apps machten, ohne den potenziellen Abhängigkeiten von Apple und Google nennenswerte Beachtung zu schenken.
Das bittere Erwachen folgte im Herbst 2024. Italienische Softwareentwickler stellten fest, dass ihre nationale Identitäts-App ohne die Betriebssysteme und Hintergrunddienste von Google oder Apple überhaupt nicht mehr lauffähig war. Ein Blick in die Versionshistorie auf GitHub zeigt, dass im Februar 2025 eine identische, unkonditionierte Kopplung auch in den Quellcode der niederländischen App eingefügt wurde. Damit wurde die Verknüpfung mit den Systemen der US-Konzerne festgeschrieben. Wer die App nutzen will, benötigt zwingend ein aktives Benutzerkonto bei Google oder Apple. Die breite IT-Gemeinschaft in den Niederlanden schien diese gravierende Weichenstellung zunächst kaum zu registrieren.
Das niederländische Innenministerium verteidigt den Schritt und bestätigte, dass die staatliche NL Wallet nach derzeitigem Stand ausschließlich von Bürgern verwendet werden könne, die ein Konto bei Google oder Apple besitzen. Das sei primär aus Sicherheitsgründen geschehen, um eine breite Nutzerbasis sofort und geschützt zu erreichen. Zwar betonte ein Regierungssprecher gegenüber Follow the Money, die App befinde sich noch in der Entwicklung und es seien keine endgültigen Design-Entscheidungen getroffen worden. Doch er räumte ein, dass derzeit an keinerlei Version gearbeitet werde, die ohne ein Google- oder Apple-Konto auskäme.
Renommierte Wissenschaftler reagieren entsetzt. Jaap-Henk Hoepman, Professor für digitale Sicherheit an der Radboud-Universität, warnt eindringlich davor, staatliche Kernaufgaben auszulagern. Die Ausstellung von Identitätsdokumenten, ob auf Papier oder digital, liege in der exklusiven Verantwortung des Staates, der die vollständige Kontrolle behalten müsse. Auch Barbara Kathmann, Abgeordnete im niederländischen Digitalausschuss, betont, dass eine staatliche App niemals von privaten US-Giganten abhängen dürfe. Sie verweist auf das bestehende niederländische System DigiD, das hervorragend ohne die US-Konzerne auskommt.
Dass es anders geht, beweisen die europäischen Nachbarn. Die Schweiz versprach nach viel Kritik, an einer komplett Google-freien Version ihrer ID-App zu arbeiten. In Deutschland deklariert das Bundesministerium für Digitales und Verkehr die digitale Souveränität als oberstes Ziel. Die deutsche Wallet müsse zwingend ohne Software von Google und Apple funktionieren. Eine spätere Unterstützung für Google-Systeme werde höchstens dann integriert, wenn diese einen nachweisbaren, zusätzlichen Sicherheitsgewinn bringt.
Auch Frankreich verfolgt den eisernen Grundsatz, bei solch sensiblen hoheitlichen Aufgaben wie der Identitätsprüfung keinerlei Software von privaten Drittunternehmen zu nutzen und behält die Sicherheitsgarantien unter staatlicher Kontrolle. Für Bürger in den Niederlanden bleibt vorerst nur die Hoffnung auf den freien Markt, da theoretisch jeder eine eigene App bauen darf, sofern sie die EU-Kriterien erfüllt. Bis solche privaten Alternativen wie das belgische itsme oder das vom Nimwegener Professor Bart Jacobs entwickelte Yivi offiziell zugelassen werden, dürfte aber noch einige Zeit vergehen. Angesichts der anhaltenden Kritik prüft die EU-Kommission nun immerhin, die technischen Anforderungen für die europäischen ID-Apps noch einmal nachträglich zu präzisieren.
Stefan Krempl
Keine Kommentare:
Kommentar veröffentlichen