Die EUDI-Wallet: sicher digital identifizieren in Europa
Veröffentlicht am 12.06.2024
Viele Menschen nutzen Wallets auf ihren Smartphones, um Bord-, Bankkarten oder Tickets abzuspeichern. Mit der EUDI-Wallet arbeitet die EU derzeit an einer eigenen Version der digitalen Brieftasche. Was zeichnet die Wallet aus? Welche Vorteile bietet sie für den Nachweis digitaler Identitäten?
Die EUDI-Wallet – digitale Brieftasche für das Smartphone
Smartphones sind längst mehr als reine Kommunikationsmittel, für viele sind sie Dreh- und Angelpunkt, um das eigene Leben zu organisieren. Eine zunehmend wichtige Rolle spielen dabei Smartphone-Wallets, in denen Bezahlkarten oder Tickets hinterlegt sind. Mit der Novellierung der Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS 2.0) – hat die EU alle Mitgliedstaaten dazu verpflichtet, ihren Bürgern und Bürgerinnen eine eigene Wallet zur Verfügung zu stellen. Der Vorteil dieser digitalen Brieftaschen: In ihnen sollen sich auch offizielle Dokumente, Urkunden und Identitätsnachweise wie Personalausweis oder Führerschein speichern lassen. Zudem werden sich Bürger und Bürgerinnen mit der EUDI-Wallet – kurz für European Digital Identity Wallet – europaweit identifizieren und für öffentliche oder private Online-Dienste authentisieren können. Zudem werden sie ihre digitale Identität in Form von Nachweisen selbstbestimmt auf dem Smartphone verwalten können, statt sie in die Hände großer Konzerne zu legen.
Die EUDI und der digitale Binnenmarkt
Die gesetzliche Grundlage für die EUDI-Wallet bildet die 2024 verabschiedete Novellierung der eIDAS-Verordnung (eIDAS 2.0). Sie verpflichtet alle EU-Mitgliedstaaten bis voraussichtlich 2026 eine digitale Brieftasche einzuführen. Die Revision wurde nötig, weil zu wenige EU-Staaten nach der ursprünglichen eIDAS-Verordnung eine eigene notifizierte eID eingeführt hatten. Gemäß der eIDAS-Revision sollen hingegen bereits im Jahr 2030 mindestens 80 Prozent der Bürger und Bürgerinnen in der EUdie neue hoheitliche digitale Identität nutzen können. Zudem soll jeder und jede weitere Attribute – beispielsweise Bildungsabschluss oder Fahrerlaubnis – europaweit gegenüber staatlichen oder privatwirtschaftlichen Diensten mittels der EUDI-Wallet nachweisen können. Und das online wie offline.
Die selbstbestimmte, nutzerfreundliche, transparente und sichere Verwaltung der eigenen Identitätsdaten und Attribute in der Wallet und ihrer Nutzung dürfte maßgeblich dazu beitragen, den europäischen Vertrauensraum zu stärken. Damit begünstigt die EUDI wiederum die Verwirklichung des europäischen digitalen Binnenmarkts, denn sichere Identitätsnachweise schaffen Vertrauen in digitale Transaktionen und fördern deren Nutzung.
Integration der EUDI in die Systeme
Eine wichtige Voraussetzung für die Umsetzung dieses Ziels sind einheitliche Standards und Interoperabilität; nur so kann die die EUDI-Wallet grenzübergreifend nutzbar werden. Dafür müssen sich die Identitätssysteme der einzelnen Mitgliedstaaten gegenseitig anerkennen. In Deutschland bestehen dafür bereits gute Voraussetzungen: Die Personal ID Data basiert hier auf dem nationalen eID-System, das bereits ein sicheres Mittel zur Authentisierung im Internet ist. Mit Blick auf die eID hat zudem die ursprüngliche eIDAS-Verordnung mit einem freiwilligen Notifizierungsmechanismus einen Schritt in Richtung gegenseitiger Anerkennung gemacht. Die deutsche Online-Ausweisfunktion beispielsweise erfüllt hier das höchste Vertrauensniveau „hoch“. Das bedeutet: Sie garantiert in jedem Mitgliedstaat eine sichere Identifizierung und Authentisierung.
Auch dürften digitaler Führerschein, digitale Zeugnisse und andere in der Wallet gespeicherten Dokumente die Bedingungen vertrauenswürdiger Nachweise erfüllen. Ermöglicht wird dies durch die Einführung eines neuen Vertrauensdienstes, der „qualifizierten elektronischen Attestierung von Attributen“ (QEAA). Während sich die Behörden in den EU-Ländern ohnehin aufeinander verlassen, stehen qualifizierter Vertrauensdiensteanbieter (qTSP) als ausstellende Instanz der QEAA auf den jeweiligen nationalen Vertrauenslisten, die wiederum Teil einer europäischen Trusted List sind.
Technische Aspekte der EUDI-Wallet
Die technischen Vorgaben, die Wallet EU-weit für Verwaltungen sowie private Anbieter anschlussfähig machen sollen, definiert der sogenannte Architecture and Reference Framework (ARF). Es handelt sich dabei um Vorgaben für die Infrastruktur der nationalen Wallets, die von einer Expertengruppe der EU und den Mitgliedsstaaten veröffentlicht wurde. Auf Grundlage des ARF hat das Bundesministerium des Inneren und für Heimat bereits einen umfassenden Architektur- und Entwicklungsprozess gestartet. Ziel dabei ist die Erarbeitung und Erprobung eines Gesamtkonzepts für ein deutsches Gesamtsystem nach eIDAS 2.0, inklusive einer Wallet.
Beteiligt am Konsultationsprozess rund um die Wallet-Entwicklung waren im bisherigen Prozess unter anderem Vertreterinnen und Vertreter aus Unternehmen, Wissenschaft, der Verwaltung sowie zivilgesellschaftlichen Organisationen. Sie alle konnten Stellungnahmen abgeben und in gemeinsamen Workshops ihre Sichtweisen in die Entwicklung der Infrastruktur für einen geplanten Prototypen einbringen. Ein erster Architektur-Vorschlag konnte bereits auf der Plattform OpenCoDE veröffentlicht werden. Er demonstriert an drei Varianten den möglichen Umgang mit persönlichen Identitätsdaten. Der Stand der Entwicklung ist jederzeit transparent über die Plattform Open CoDE einsehbar. Interessierte können dort auch ihr Feedback abgeben, das im weiteren Verlauf des Entwicklungsprozesses berücksichtigt werden soll.
Datenhoheit und Datenschutz
Für die Nutzung der EUDI-Wallet gelten strenge Datenschutzvorgaben, da sie den Richtlinien der Datenschutz-Grundverordnung DSGVO unterliegt. Als Baustein von eIDAS 2.0 gehört sie zudem zum europäischen Rechtsakt zur Cybersicherheit (Cyber Security Act). Die durch eIDAS vorgeschriebene Zertifizierung stellt mit ihren Standards sicher, dass die EUDI-Wallet höchsten Sicherheitsansprüchen genügen muss.
Auch ist die EUDI-Wallet ein Bekenntnis zur digitalen Souveränität der Bürger und Bürgerinnen: Deren persönlichen Nachweise werden in einer geschützten Umgebung ihres mobilen Endgeräts liegen. Damit behält der User die Kontrolle über seine Daten und entscheidet selbst, welche Informationen er mit wem teilt. Das Prinzip der Datenminimierung garantiert zudem, dass nur notwendige Informationen geteilt werden.