Die EUid: viele Vorteile und noch mehr Herausforderungen?

Expertentipp-neue-eIDAS-Verordnung

Das Vorhaben ist ohne Frage ambitioniert: Bis 2023 soll jeder Mitgliedstaat der Europäischen Union seinen Bürgern ein ID-Wallet anbieten, das überall in der EU anerkannt ist.

Auf dem Weg zur europäischen digitalen Identität

Wie viele nationale Interessen verträgt die EUid? Und was ist nötig, damit Europas digitale Identität gegen die Single-Sign-on-Dienste der großen Plattformen besteht? Patrick von Braunmühl, Leiter Public Affairs der Bundesdruckerei GmbH, gibt Auskunft.

Die Süddeutsche Zeitungschrieb, die EU habe am 3. Juni womöglich das Ende der Passwörter verkündet. Wie realistisch ist diese Einschätzung?

Auf jeden Fall ist die EUid eine sehr gute Alternative zur klassischen Nutzername-Passwort-Kombination. Einige sprechen ja sogar vom EU-Single-Sign-on. Die Europäische Kommission hat den Bürgern und Unternehmen hier ein Angebot gemacht: für eine universelle Möglichkeit, sich zu identifizieren, aber eben auch für einen sehr bequemen Weg, Berechtigungen vorzulegen – z. B. Führerschein, Bahnticket oder Zeugnisse.

Was ist konkret geplant?

Jeder Mitgliedstaat muss seinen Bürgern ab Ende 2023 ein sicheres, datenschutzkonformes ID-Wallet anbieten, das überall in der EU anerkannt ist und auf der eID des jeweiligen Landes basiert. Diese Basis-ID, bei uns der Personalausweis, stellt die Identität des Wallet-Inhabers sicher. Und sie erlaubt es, dem ID-Wallet nach und nach weitere Berechtigungsnachweise – sogenannte Credentials – hinzuzufügen. Eine wichtige Rolle werden dabei die bisherigen Vertrauensdiensteanbieter spielen, die Credentials überprüfen und verifizieren. Das Bemerkenswerte: Bisher verband man hoheitliche IDs eher mit Behördengängen. Allerdings wird die Verordnung der Europäischen Kommission ebenso in der Privatwirtschaft bestimmte Branchen und Plattformen dazu verpflichten, die EUid zu akzeptieren. Wir können also nicht nur unsere Ausweise oder Zeugnisse online vorlegen. Bald kommen wir auch am Flughafen an und steigen direkt in den Mietwagen ein – weil wir den Autoschlüssel quasi schon auf unserem Smartphone haben.

Wie steht es denn um die Umsetzung in Deutschland?

Wir planen gerade einen großen Schritt. Mit der Smart eID soll ab Herbst eine Ableitung des Personalausweises aufs Smartphone kommen. Und darum herum ist ebenfalls viel passiert. Stichwort Self-Sovereign Identity (SSI): Ich denke da an IDunion oder auch an das beim Bundeskanzleramt angesiedelte Pilotprojekt zum Hotel-Check-in. Das alles passt sehr gut zu den Vorstellungen der EU.

Am Ende wird es wohl noch 26 weitere europäische ID-Wallets geben. Warum stellt die EU kein übergreifendes System zur Verfügung?

Tatsächlich gab es diese Option in der Roadmap der Europäischen Kommission. Ich glaube aber, sie hat erkannt, dass eine EU-Lösung in den Mitgliedstaaten nicht durchsetzbar ist. Identitäten sind eben ein klassisches nationalstaatliches Thema. Bisher existiert auch noch kein EU-Personalausweis. Insofern war es vernünftig, eher einen Rahmen für die Interoperabilität der verschiedenen nationalen Systeme zu schaffen. Eine Vereinheitlichung hätte darüber hinaus sowieso kaum Vorteile gehabt. Denn nicht alle Länder teilen die gleichen Vorstellungen zur Digitalisierung und zu digitalen Identitäten. Von daher: Es braucht natürlich ein bestimmtes Mindestniveau für die gegenseitige Anerkennung der ID-Wallets. Aber ein komplett einheitliches Modell wäre illusorisch gewesen. Dafür würde man jahrelang verhandeln und sich am Ende wahrscheinlich doch nicht einigen.

Nun scheint die Herausforderung der Interoperabilität aber auch nicht gerade klein …

Die Beratungen zu den Architekturstandards werden nicht einfach, keine Frage. Insbesondere mit Blick auf die Sicherheitsanforderungen. Schon bei den Verhandlungen zur letzten eIDAS-Verordnung brachen massive Konflikte auf – und damals ging es „nur“ um die gegenseitige Anerkennung der eID. Bei der Umsetzung legten die Aufsichtsbehörden der Mitgliedstaaten die Messlatte für Vertrauensdienste dann mitunter noch unterschiedlich hoch. Die EU wird deshalb durch mehr Durchführungsrechtsakte für eine stärkere Harmonisierung sorgen. Der Cybersecurity Act liefert dafür schon einige Referenzen – hier gibt die European Union Agency for Cybersecurity (ENISA) bestimmte europaweit verbindliche Standards und Zertifizierungsanforderungen vor. Außerdem könnte der ambitionierte Zeitrahmen der EUid helfen: Alle Beteiligten wissen, dass es schnell gehen muss. Schließlich befinden sie sich in Sachen digitale Identitäten in Konkurrenz zu den großen Plattformen. Jetzt heißt es: Schnell schalten, sonst ist der Zug abgefahren. Umso wichtiger ist es übrigens, nicht erst das Gesetz fertig zu machen und dann über die Technik zu sprechen, sondern beides parallel zu tun.

Patrick von Braunmühl
„Die Politik muss die Menschen mitnehmen.“
Patrick von Braunmühl
Leiter Public Affairs der Bundesdruckerei GmbH

Eine noch größere Herausforderung könnte die gesellschaftliche Akzeptanz sein. In Umfragen zu digitalen Identitäten spricht sich zwar stets der Löwenanteil für eine hoheitliche und gegen eine privatwirtschaftliche Lösung aus. In der Realität erfreuen sich die Single-Sign-on-Dienste der amerikanischen Plattformen jedoch trotzdem enormer Beliebtheit. Wie trägt man die EUid in die Breite?

Es mag ein wenig platt klingen, trifft aber den entscheidenden Punkt: Die Politik muss die Menschen mitnehmen. Das klappt zum einen durch Kommunikation und Aufklärung. Beispiel: Corona-Warn-App. Hier hat eine Aufklärungskampagne zu einer hohen Akzeptanz geführt. Zum anderen zählt die Usability – die EUid sollte bequem sein und das Leben wirklich einfacher machen. Zugleich braucht es genügend Anwendungen. So unbeliebt Behördengänge auch sind – wirklich viele von ihnen muss ein Bürger pro Jahr nicht bewältigen. Heißt: Eine ID nur fürs E-Government wird die Menschen hierzulande kaum begeistern. Gelingt es jedoch, das ID-Wallet ähnlich nutzbar zu machen wie ein Single Sign-on, sieht die Sache anders aus. Dann fällt das Argument der Datensouveränität wirklich ins Gewicht und die Menschen würden die staatlich autorisierte Lösung nutzen.

Das heißt doch auch, dass die Privatwirtschaft entscheidend zur Akzeptanz der EUid beitragen kann, oder?

Richtig. Allein im Gesundheits- und Finanzwesen sind die Einsatzmöglichkeiten vielfältig. Und gerade für KMU und Start-ups dürfte es sich lohnen, auf ein hoheitliches ID-System aufzusetzen. Denn sie würden dadurch den direkten Kontakt zum Kunden bekommen und damit ihre Abhängigkeit von den großen Plattformen oder virtuellen Maktplätzen verringern. Eine echte Win-win-Situation: Die Unternehmen profitieren und bauen gleichzeitig die kritische Masse an Anwendungsmöglichkeiten auf, um die EUid in die Breite zu tragen.

Könnten wir hier von stark digitalisierten Ländern wie Estland lernen?

Absolut. Wir können eine Menge von Estland und den skandinavischen Ländern lernen. Allerdings hat jeder Staat seine ganz individuellen Voraussetzungen. Estland ist ein kleines Land, das nach der Unabhängigkeit von der Sowjetunion viele Prozesse ganz neu definieren musste. Das hat es dort leichter gemacht, schon früher auf Digitalisierung zu setzen.

 

*Quelle: https://www.sueddeutsche.de/wirtschaft/eidas-personalausweis-euid-1.5312314

Sieben Fakten eIDAS Header
Sieben Fakten eIDAS Header
E-Government

Sieben Fakten zu eIDAS, die Sie jetzt kennen müssen

E-Government

eIDAS-Werkzeuge unterstützen digitales Arbeiten

Behörden und Unternehmen müssen auch in Krisensituationen voll funktionsfähig bleiben. Die digitalen eIDAS-Werkzeuge – schon seit 2016 greift die entsprechende Verordnung – helfen dabei. Derzeit wird die Verordnung evaluiert.

Digitale Sicherheit

Mehr eIDAS wagen

Digitale Dienstleistungen in Wirtschaft und Verwaltung könnten besser funktionieren – wenn die vorhandenen eIDAS-Werkzeuge genutzt würden. D-TRUST-Experte Christian Seegebarth erklärt, worauf es dabei jetzt ankommt.