Digitale Identität: Deutsche Behörden überwachen die Verwendung nicht

Die deutsche Bundesregierung ist bemüht, Bedenken rund um Datenschutz und Nachverfolgbarkeit bei der geplanten E-Brieftasche auf Basis des Rechtsakts für eine europäische digitale Identität (EUid) auszuräumen. Die in Deutschland vorgesehene Wallet für die EUDI (European Digital Identity) werde ausschließlich direkte Kommunikation zwischen der entsprechenden App und der empfangenden Prüfstelle nutzen, schreibt das federführende Digitalministerium in einer jetzt veröffentlichten Antwort auf eine Anfrage im Bundestag.

Dieser Ansatz ermögliche sichere, lokale und nutzergesteuerte Übertragung personenbezogener Daten, betont die Regierung. Zentrale Server würden etwa bei der Vor-Ort-Präsentation mobiler Führerscheine oder Fahrzeugdokumente nicht beteiligt. Gleiches gelte für den Einsatz der Wallet als Fahrkarte für den Personnennahverkehr (ÖPNV) sowie Nachweise etwa für Zeugnisse, berufliche Abschlüsse, Bankvollmachten oder Kreditkarten.

Insbesondere geht die Exekutive so auf Vorwürfe ein, die Bürgerrechtsorganisationen wie die American Civil Liberties Union (ACLU), das Center for Democracy and Technology (CDT), die Electronic Frontier Foundation (EFF), das Electronic Privacy Information Center (EPIC) sowie Epicenter.works jüngst erhoben haben. Sie befürchten, dass ausstellende Behörden prinzipiell in der Lage sein könnten, die Nutzung der digitalen Identität nachzuverfolgen. Eine solche „Phone-Home-Funktion“ müsse ausgeschlossen werden, um Nutzer nicht gläsern zu machen. Mitunterzeichner wie die eID-Expertin Kaliya Young monieren, dass der Standard ISO mDL/mDOC 18013-5, der eine solche Serverabrufoption quasi vorinstalliere, in der Referenzarchitektur für die EUDI-Wallet vorgeschrieben und auch in Nordamerika weit verbreitet sei.

Kein Nach-Hause-Telefonieren

Der erwähnte ISO-Standard definiere verschiedene Modi zur Übertragung von Daten aus mobilen Führerscheinen (mDL), hält das Digitalministerium dagegen. Er umfasse nicht nur serverbasierte Abrufe, die in Deutschland keine Rolle spielen sollen. Die deutsche Blaupause zur Umsetzung der EUDI-Wallet sehe vor, dass der Austausch von Nachweisen ausschließlich direkt zwischen der digitalen Brieftasche des Nutzers und der empfangenden Stelle erfolge. Der jeweilige Aussteller der Nachweise sei in diesen Übertragungsvorgang nicht eingebunden und erhalte keine Informationen über deren Verwendung. Eine Rückmeldung („Phone-Home“) finde somit nicht statt.

Die deutsche Wallet werde so konzipiert, dass signierte Daten verwendet werden, versichert die Regierung. Dadurch sei die ausstellende Behörde nicht in den Ausweisprozess involviert. Dieses Prinzip der Datensouveränität und Zweckbindung werde durch eine gezielte technische Architektur, offene Standards und umfassende datenschutzrechtliche Vorgaben gewährleistet. So wird sichergestellt, dass die Bewegungen und Aktivitäten der Nutzer weder jetzt noch in Zukunft von der ausstellenden Stelle nachverfolgt oder offengelegt werden könnten. Die Umsetzung basiere auf einer dezentralen Architektur; personenbezogene Daten blieben ausschließlich auf dem Endgerät der Nutzer gespeichert. Der Zugriff darauf erfolge zudem nur mit ausdrücklicher Zustimmung der User.

Staatliche Wallet gekoppelt mit Bonusprogrammen?

Zudem beteuert die Exekutive, dass die Nutzung der digitalen Identität freiwillig und kostenfrei bleibe – auch langfristig. Die Bürger sollten trotz der Debatte über eine „Digital only“-Strategie die Möglichkeit haben, Behördengänge persönlich zu erledigen oder den physischen Personalausweis zu nutzen. Die Klausel aus der EU-Verordnung, wonach Personen, die die EUDI-Wallet nicht verwenden wollen, keine Benachteiligungen erfahren dürfen, gelte uneingeschränkt.

Die Aussage von Bundesdigitalminister Karsten Wildberger (CDU), dass die E-Brieftasche auch für „Treueprogramme“ im Einzelhandel eingesetzt werden könnte, bezieht sich laut dem Bescheid auf optionale Zusatzfunktionen. Diese seien freiwillig und beeinträchtigten den Zugang zu öffentlichen Diensten nicht. Ein wesentlicher Vorteil der Wallet sei der verbesserte Datenschutz im Vergleich zu bestehenden Lösungen.

Mit Blick auf Länder wie Pakistan hebt die Regierung hervor: Eine Sperre des Online-Ausweises sei in Deutschland ausschließlich bei Diebstahl oder Verlust auf Veranlassung des Inhabers möglich, nicht jedoch aus politischen Erwägungen. Über „Phone-Home-Ansätze“ in den schon etwas älteren digitalen Identitätssystemen von Indien, Singapur und Estland habe sie keine konkreten Erkenntnisse.

(afl)