Biometrische Passfotos statt Pseudonyme: EU-Kommission höhlt Schutzrechte bei digitaler Brieftasche aus

Dass geltendes Recht nicht immer eins zu eins umgesetzt wird, zeigt sich derzeit in Brüssel. Dort verhandelt die EU-Kommission mit den Mitgliedstaaten die technischen Details zur EUDI-Wallet. Die digitale Brieftasche soll Ende des Jahres EU-weit an den Start gehen; in Deutschland soll es am 2. Januar 2027 so weit sein.

Am vergangenen Donnerstag hat das zuständige eIDAS Committee wichtige Entscheidungen zur EUDI-Wallet getroffen. Diese waren zuvor vertagt worden, nachdem sich das Komitee auf der vorangegangenen Sitzung am 6. Mai nicht einigen konnte. Grund waren „fundamentale Probleme“ mit einem Entwurf der Kommission für einen sogenannten Durchführungsrechtsakt. Der konkretisiert, wie genau Vorgaben aus einem Gesetz umzusetzen sind.

Bei einem der Streitthemen zog die Kommission nun den Kürzeren, was für Wallet-Nutzer:innen Vorteile bedeutet. Bei anderen konnte sie sich jedoch größtenteils durchsetzen, was die Schutzrechte der Nutzer:innen deutlich aushöhlt – auch wenn der Gesetzestext diese explizit einfordert.

Besserer Schutz gegen Datensauger

Einen Dämpfer bekam die Kommission beim Thema„relying parties“ (zu deutsch: „vertrauende Beteiligte“). Das können Unternehmen und öffentliche Einrichtungen sein. Sie müssen sich laut eIDAS-Verordnung, die der europäischen Wallet zugrundeliegt, vorab in einem EU-Mitgliedstaat registrieren. Dabei müssen sie darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Soziale Netzwerke sollen etwa keine Gesundheitsdaten aus der Wallet ihrer Nutzer:innen abfragen dürfen.

Die Kommission wollte, dass vertrauende Beteiligte je nach Mitgliedstaat sogenannte Registrierungszertifikate nicht verpflichtend, sondern nur optional erhalten sollen. Eine Mehrheit der Mitgliedstaaten, darunter auch die Bundesrepublik, sprach sich letzte Woche für eine solche Verpflichtung aus.

Registrierungszertifikate sollen technisch sicherstellen, dass die Vorgaben eingehalten werden. Sie fungieren wie ein Datenausweis, mit dem sich Unternehmen gegenüber Wallets legitimieren und der Abfragekategorien beschränkt.

Ihre Ablehnung gegenüber verpflichtenden Registrierungszertifikaten begründet die Kommission damit, dass sich alle Beteiligten an geltendes Recht zu halten hätten. Bürgerrechtsorganisationen wie epicenter.works machen sich hingegen für technische Vorkehrungen stark, damit vertrauende Beteiligte gar nicht erst in die Versuchung kommen, mehr Daten abzufragen als es ihnen erlaubt ist.

In die gleiche Kerbe schlägt der Europäische Datenschutzbeauftragte. Er betont, dass es ohne verpflichtende Registrierungszertifikate erheblich schwieriger wäre, „zu überprüfen, ob die von der auf das Wallet angewiesenen Partei angeforderten Attribute in den Geltungsbereich ihrer registrierten Attribute fallen“.

Die Entscheidung des Komitees zugunsten einer Verpflichtung führt dazu, dass Wallet-Nutzer:innen künftig größeres Vertrauen darin haben können, dass Unternehmen und Behörden tatsächlich nur jene Daten abfragen können, die ihnen auch zustehen.

Frei wählbare Pseudonyme sind „nicht mehr realisierbar“

Durchgesetzt hat sich Kommission mit ihrem Vorschlag zum Thema Pseudonyme. Die Verordnung sieht vor, dass sich Wallet-Nutzer:innen – sofern rechtlich keine weiteren Daten erforderlich sind – mit frei gewählten Pseudonymen gegenüber Unternehmen und Behörden ausweisen können. So sollen sie ihre Identität und ihre persönlichen Daten vor übermäßigen Zugriff schützen können.

Auch hier stellt sich die Kommission auf den Standpunkt, dass die rechtlichen Vorgaben klar seien und es keiner technischen Festlegungen bedürfe. Sie will die Anbieter lediglich dazu verpflichten, eine spezifische Schnittstelle (WebAuthn) für den pseudonymen Login bei Webdiensten anzubieten. Anbieter wissen dann etwa, dass sich ein Mensch und kein Bot anmeldet. Ein frei gewähltes Pseudonym, wie es die Verordnung vorgibt, ist das nicht.

Aus Sicht von Bürgerrechtler:innen schränkt dies die Schutzrechte von Nutzenden deutlich ein. Außerdem verstoße der Beschluss gegen die Vorgaben der eIDAS-Verordnung.

epicenter.works warnte bereits im Vorfeld vor den Folgen dieser Entscheidung: Sollten die technischen Anforderungen nicht festlegen, wie etwa Unternehmen die rechtlichen Vorgaben konkret umsetzen müssen, bestehe die Gefahr, „dass Pseudonyme zwar formal zulässig bleiben, in der Praxis jedoch – aufgrund von Anforderungen, die Nutzende indirekt zur Offenlegung ihrer Identität zwingen – nicht mehr realisierbar sind.“

Biometrische Bilder kommen in die Wallet

Auch bei der Frage, ob biometrische Gesichtsdaten in die Wallet aufgenommen werden, setzte sich die Kommission weitgehend durch.

Die Kommission wollte das Passfoto verpflichtend in jenen Datensatz aufnehmen, der zur Identifizierung von Nutzer:innen verwendet wird. Bislang soll dieses „Minimum-Datenset“ den vollen Namen, Geburtsdatum, Geburtsort sowie die Nationalität enthalten.

Das eIDAS Comittee votierte am Donnerstag mehrheitlich für ein Passfoto als weiteres Datenfeld. Allerdings können sie den Bürger:innen die Möglichkeit geben, sich gegen die Aufnahme eines solchen Bildes zu entscheiden (Opt-out).

Daher hängt es nun von den einzelnen EU-Staaten ab, wie sie diese Vorgabe in ihren jeweiligen nationalen Wallets umsetzen. Zu den Ländern, die sich in der Sitzung am 6. Mai gegen die verpflichtende Weitergabe von Gesichtsbildern ausgesprochen haben, gehören unter anderem Spanien, die Niederlande, Italien und Deutschland.

epienter.works sieht die Entscheidung in zweierlei Hinsicht kritisch. Zum einen könne nun „jedes Mal, wenn ein Bürger das Wallet nutzt, […] ein signiertes Gesichtsbild an das anfragende Unternehmen oder die anfragende Behörde übermittelt werden.“ Es ließen sich leicht Situationen vorstellen, „in denen Nutzer unter Druck gesetzt werden könnten, ihre biometrischen Daten herauszugeben“.

Zum anderen sei das Vorgehen der Kommission demokratisch bedenklich, da die eIDAS-Verordnung keine klare Rechtsgrundlage für eine derart umfangreiche Verarbeitung biometrischer Daten vorsieht. Darüber hinaus habe die Kommission dem EU-Parlament in den Trilog-Verhandlungen zugesichert, dass biometrische Informationen kein fester Bestandteil des EUDI-Wallets sein würden. Dieses Versprechen habe sie nun gebrochen.

epicenter.works mahnt zur Vorsicht

Nach den jüngsten Beschlüssen des eIDAS Comittee zeigt sich epicenter.works ernüchtert vom bisherigen Prozess, den die Nichtregierungsorganisation von Beginn an aktiv begleitet hat.

Seit Jahren wird um die rechtliche und technische Ausgestaltung der Wallet gerungen. Und gerade in den vergangenen Monaten habe die Kommission immer wieder versucht, die rechtlichen Vorgaben der eIDAS-Verordnung zu dehnen oder gar auszuhebeln, kritisiert epicenter.works.

Die Brieftasche werde sich nun an der Praxis messen lassen müssen. Und die NGO mahnt zu Vorsicht: Die Bürger:innen sollten zunächst „unabhängige Prüfungen“ abwarten, bevor sie die digitale Brieftasche nutzen – insbesondere dann, wenn Tracking ein Problem sein könnte.