Das Bundesdigitalministerium hat einen Entwurf für das Digitale-Identitätengesetz (DIdG) veröffentlicht. Es soll die EU-Vorgabe umsetzen, wonach jeder Mitgliedstaat bis Ende 2026 mindestens eine „Europäische Brieftasche für die Digitale Identität“ (EUDI‑Wallet) bereitstellen muss.

Die EUDI-Wallet ist eine App auf dem Smartphone, die Nutzer:innen künftig als digitale Brieftasche verwenden können. Statt Personalausweis oder Führerschein in Papierform mitzuführen, sollen sie Dokumente dann digital auf dem Smartphone speichern und so die eigene Identität gegenüber Behörden oder Unternehmen nachweisen können.

Konkret regelt der Entwurf, welche Behörden für welche Aufgaben zuständig sind, wie eine Wallet bereitgestellt werden kann und wie sie im laufenden Betrieb überwacht wird. Demnach soll das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) weitgehende Durchgriffsrechte bei der Wallet erhalten. Außerdem sieht der Entwurf vor, dass die Wallet perspektivisch auch für Alterskontrollen bei Kindern erprobt werden kann. Und sie soll künftig auch zum Bezahlen eingesetzt werden – und damit perspektivisch das physische Portemonnaie ersetzen.

Fünf wichtige Akteure

Im Zentrum des Entwurfs steht das neue „Gesetz zur Durchführung der unionsrechtlichen Vorschriften über die Europäische Brieftasche für die Digitale Identität“ (EBDIG). Daneben verändert der Entwurf verschiedene bestehende Gesetze, wie das Onlinezugangsgesetz (OZG), das Vertrauensdienstegesetz sowie verschiedene Telekommunikationsverordnungen.

Das EBDIG soll regeln, welche Ministerien und Behörden für die Wallet zuständig sind. Insgesamt fünf Akteure sind hier wichtig. Demnach entscheidet das BMDS darüber, wie eine Wallet in Deutschland bereitgestellt wird. Drei Möglichkeiten sind vorgesehen: Erstens kann der Staat die Wallet selbst entwickeln und betreiben. Oder er schreibt zweitens die Entwicklung aus und beauftragt ein privates Unternehmen damit. Drittens können private Unternehmen eigene Wallets anbieten, die der Staat dann prüft und offiziell anerkennt. Das BMDS kann dabei auch mehrere dieser Wege gleichzeitig gehen und die Entscheidung laut Entwurf jederzeit ändern.

Wer die Wallet nutzt, soll laut EU-Verordnung transparent darüber bestimmen können, welche Daten an sogenannte „relying parties“ weitergegeben werden. Diese „vertrauenden Beteiligten“ können eine Bank, ein Online-Shop oder eine Behörde sein. Der Gesetzentwurf sieht vor, dass sie sich in Deutschland zuvor beim Bundesverwaltungsamt (BVA) registrieren müssen.

Die Bundesnetzagentur (BNetzA) soll hingegen die nationale Marktaufsicht übernehmen und damit ebenfalls eine zentrale Funktion innehaben. Die Behörde prüft, ob staatliche und private Wallet-Anbieter die europäischen Sicherheits- und Datenschutzvorgaben einhalten. Außerdem ist sie die einheitliche Anlaufstelle gegenüber der EU. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert Wallet-Lösungen und überwacht Sicherheitsverletzungen.

Schließlich gibt es noch die sogenannte Akkreditierungsstelle. Sie agiert gewissermaßen als Prüfstelle der Prüfstellen und stellt so sicher, dass unabhängige Stellen, die Wallet-Lösungen technisch prüfen, dafür ausreichend kompetent und vertrauenswürdig sind.

Viele Durchgriffsrechte fürs Digitalministerium

Immer wieder betont Digitalminister Karsten Wildberger (CDU), dass man bei der Digitalisierung nun endlich anpacken und ins Machen kommen müsse. Dieser Anspruch schlägt sich auch im Gesetzentwurf nieder. Denn der sieht für das BMDS zahlreiche Durchgriffsrechte vor. Wichtige Weichenstellungen würden damit durch die Exekutive und nicht durch den Bundestag oder die Parlamente der Länder erfolgen.

Demnach darf das Ministerium ohne Zustimmung des Bundesrats etwa technische Details und weitere Funktionen festlegen. Das Ministerium soll dabei auch jene Verfahren festlegen dürfen, über die sich Nutzer:innen identifizieren, wenn sie ihre Wallet freischalten.

Hier will sich das Ministerium anscheinend den Weg zu alternativen Identifikationsmethoden offenhalten – und Szenarien wie bei der elektronischen Patientenakte vermeiden. Die Nutzungszahlen der ePA bleiben bislang weit hinter den Erwartungen zurück. Deshalb können Versicherte die ePA inzwischen auch per Video-Ident-Verfahren freischalten. Sicherheitsfachleute kritisieren das Verfahren allerdings als weniger sicher.

Die wichtigsten Fragen und Antworten zur digitalen Brieftasche

 Wallet für 12-Jährige: Mögliche Grundlage für Alterskontrollen

Eine „Experimentierklausel“ im Gesetzentwurf wird hier konkreter. Sie erlaubt es dem BMDS, neue Verfahren zu erproben, mit denen Nutzer:innen nachweisen, wer sie sind – und zwar auch unter Einbeziehung „geeigneter, zuverlässiger Dritter“. Das können etwa Post- oder Bankdienstleister sein, gegenüber denen sich Bürger:innen vor Ort ausweisen können, um ihre persönliche Wallet freizuschalten. Tatsächlich verfügen etwa die Sparkassen bereits über Lösungen, die als Ersatz für den ePerso dienen könnten.

Die Experementierklausel sieht außerdem die Möglichkeit vor, dass Kinder ab 12 Jahren die Wallet nutzen können. Das deutet darauf hin, dass das Ministerium die digitale Brieftasche auch für Alterskontrollen auf Social-Media-Plattformen erproben möchte.

Solche Alterskontrollen im Netz fordern CDU und Teile der SPD, um ein Social-Media-Verbot für Minderjährige durchzusetzen. Allerdings besteht eine Ausweispflicht in Deutschland erst ab einem Alter von 16 Jahren. Anscheinend erwägt das BMDS, die Wallet hier als technische Lösung zu verwenden. Der Gesetzentwurf nennt dabei ein Mindestalter von 12 Jahren. Bei den derzeit diskutierten Alterskontrollen liegt die vorgeschlagene Schwelle oftmals bei 14 beziehungsweise 16 Jahren.

Kartenzahlung soll die Wallet auch noch können

Die Wallet soll perspektivisch nicht nur Ausweise und Führerschein bereithalten, sondern auch als Zahlungsmittel dienen. In der Begründung des Entwurfs verweist das BMDS darauf, dass die Integration von Zahlungsfunktionen ein Ziel des Koalitionsvertrages von CDU/CSU und SPD ist.

Der Entwurf sieht vor, dass bestehende Zahlungsmittel der Nutzer:innen „als zusätzliche Funktion“ in die Wallet eingebunden werden können. Als Beispiele nennt der Entwurf „Kreditkarten, virtuelle Debitkarten sowie Online-Bezahldienste“.

Gleichzeitig macht der Entwurf hier enge Vorgaben. So muss ein Zahlungsmittel den Nutzer:innen bereits gehören und außerhalb der Wallet existieren. Es darf also kein neues Zahlungsmittel aus der Wallet heraus erstellt werden. Auch ist die Zahlungsfunktion unzulässig, wenn sie die Kernfunktionen der Wallet beeinträchtigt, deren Sicherheit gefährdet oder „unangemessene Risiken“ für Nutzer:innen schafft.

Außerdem braucht das BMDS für alle Verordnungen, die Zahlungen betreffen, die Zustimmung des Finanzministeriums. Will ein Anbieter eine Zahlungsfunktion in seine Wallet einbinden, muss er dies zudem mindestens drei Monate vorher beim BSI anzeigen.

Ministerium drückt aufs Tempo

Das Digitalministerium hat bis zum Jahresende nicht mehr viel Zeit und drückt daher aufs Tempo.

Aktuell stimmen sich die verschiedenen Bundesministerien über den Entwurf ab. Parallel dazu findet eine Länder- und Verbändeanhörung statt, die trotz der Osterfeiertage bereits bis zum 15. April abgeschlossen sein soll. Eine weitere Stellungnahmenfrist ist laut Ministerium nicht geplant.

Die kurzen Fristen erklärt das Ministerium in einer E-Mail an die Verbände mit „der Dringlichkeit des Vorhabens und des Laufs der unionsrechtlichen Frist zur Bereitstellung einer EUDI-Wallet bis 24. Dezember 2026“. Voraussichtlich im Sommer wird sich dann das Bundeskabinett mit dem Gesetz befassen.

Damit Angreifer durch Prompt-Injection in etwa OpenAIs ChatGPT-Agent kein Schindluder treiben können, hat das Softwareunternehmen nun ein weiteres Bug-Bounty-Programm zur Steigerung der Datensicherheit öffentlich gestartet. Zuvor konnten Sicherheitsforscher nur auf Einladung teilnehmen.

Datenschutz

Einem Beitrag zufolge haben die Verantwortlichen das neue Safety-Bug-Bounty-Programm parallel als Ergänzung zum Security-Bug-Bounty-Programm zum Auffinden von Sicherheitslücken ins Leben gerufen.

Primär geht es OpenAI um die Sicherheit von KI-Agenten. Finden Teilnehmer des Programms Möglichkeiten, ChatGPT über Prompts sensible Nutzerdaten zu entlocken, ist das ein valider Fall, der mit einer Geldprämie belohnt wird.

Dafür müssen sich Sicherheitsforscher aber an bestimmte Regeln halten. So muss etwa das Verhalten, das ein Datenleck auslöst, mindestens in 50 % der Fälle reproduzierbar sein. Dafür müssen Teilnehmer unter anderem detaillierte Schritt-für-Schritt-Anleitungen abliefern. Natürlich dürfen dabei keine rechtlichen Überschreitungen stattfinden.

Hohe Geldprämien

Je nach Schweregrad der Schwachstelle winken 250 bis 5500 US-Dollar als Preisgeld. Bislang wurden der Projektseite auf der Bug-Bounty-Plattform Bugcrowd zufolge zwei Fälle mit einer Prämie belohnt – das Programm ist ja erst seit Kurzem öffentlich verfügbar. Beim Bug-Bounty-Programm für Sicherheitslücken sind bereits 416 Fälle dokumentiert und es wurden im Durchschnitt Prämien in Höhe von rund 590 US-Dollar ausgeschüttet. An dieser Stelle sind maximal 100.000 US-Dollar drin. Aber auch hier müssen Sicherheitsforscher für eine erfolgreiche Teilnahme viele Regeln und Voraussetzungen beachten.

(des)

Lieferdienste wie Wolt oder Lieferando stehen in der Kritik, um den Platz des schlechtesten Arbeitgebers zu buhlen. Das Rennen nimmt an Fahrt auf, seit die Plattformen ihre Fahrer*innen nicht mehr selbst anstellen, sondern über Subunternehmen. Bei Subunternehmen haben Fahrer*innen oft nicht mal Arbeitsverträge oder müssen mehrere hundert Euro zahlen, um einen Vertrag zu bekommen. Ausbleibende Lohnzahlungen, fristlose Entlassungen und keine Elternzeit sind andere arbeitsrechtliche Verstöße, von denen Fahrer*innen berichten.

Die EU hat im April 2024 die Richtlinie zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit verabschiedet. Die Richtlinie soll die Arbeitsstandards für Tätigkeiten verbessern, die über eine digitale Arbeitsplattform organisiert werden. Der dritte Artikel der Richtlinie sieht es als Aufgabe der Mitgliedstaaten vor, Maßnahmen explizit zum Schutz der Fahrer*innen zu erlassen, die bei Subunternehmen angestellt sind.

Bis zum 02. Dezember 2026 ist die Bundesregierung verpflichtet, ein nationales Gesetz aus der Richtlinie zu formulieren. Doch wie wirksam werden mögliche Schutzmaßnahmen sein und wie kann das deutsche Arbeitsrecht an algorithmisches Management angepasst werden? Das hat netzpolitik.org den Rechtsanwalt Martin Bechert gefragt, der in diesem Feld tätig ist.

Bei Subunternehmen sind die Erfolgsaussichten gering

netzpolitik.org: Martin Bechert, Sie sind Anwalt für Arbeitsrecht, Sie vertreten den Betriebsrat von Lieferando in Berlin und Kurierfahrer*innen gegenüber Plattformen vor Gericht. Worum geht es dabei?

Martin Bechert: Im Fall des Betriebsrat geht es häufig um Mitbestimmungsrechte, die die Plattformen verletzen. Bei den Fahrern geht es fast durchgängig um Kündigungen oder Entgelte, die nicht gezahlt wurden.

netzpolitik.org: Haben Sie auch Fahrer*innen vertreten, die bei Subunternehmen angestellt sind?

Martin Bechert: Ja. Bei den Personen, die bei Subunternehmen angestellt waren, war das Hauptproblem, dass die Unternehmen keinen Lohn gezahlt haben. Erst vor Gericht haben die Betroffen erfahren, bei wem sie angestellt sind. Wenn sie zum Beispiel mit der App von Wolt gefahren sind, haben sie Wolt verklagt. Die Plattform hat ihnen dann vor Gericht erklärt, bei welchem Subunternehmer sie angestellt waren.

Deswegen sind die Erfolgsaussichten für Fahrer, die bei Subunternehmen angestellt sind, leider gering. Die Plattformen nutzen die Auslagerung als Mittel, um ihre Arbeitgeberpflichten zu umgehen. Und an die Subunternehmen kommt man über den Rechtsweg kaum ran, weil es oft irgendwelche zwielichtigen Briefkastenfirmen sind.

netzpolitik.org: Wie werden Arbeitnehmerrechte von Subunternehmen missachtet?

Martin Bechert: Ich kenne kein Subunternehmen, das seine Mitarbeiter tatsächlich fair behandelt oder alle arbeitsrechtlichen Vorgaben erfüllt. Das ist mir in meiner Praxis noch nicht vorgekommen. Subunternehmen sind ein klassischer Fall, in dem Schwarzgeld erarbeitet wird. Die Unternehmen leisten keine Sozialabgaben, zahlen keinen Mindestlohn und auch keine Steuern.

netzpolitik.org: Warum lagern Plattformen ihre Fahrer*innen überhaupt auf Subunternehmen aus?

Martin Bechert: Die Lieferdienste sagen, sie müssten flexibel sein. Aber das ist ein vorgeschobener Grund. Flexibel könnte man auch mit einem Pool aus Springern oder durch einen Bereitschaftsdienst sein. Aber hier wird auf beinahe sklavenartige Systeme zurückgegriffen. Das kann mit wirtschaftlichen Druck wirklich nicht gerechtfertigt werden.

netzpolitik.org: Wie können solche Strukturen überhaupt existieren?

Martin Bechert: Solche Strukturen existieren, weil staatliche Aufsichtsbehörden ihre Vorgaben und Verbote nicht richtig durchsetzen. Subunternehmen bilden kriminelle Strukturen, die bis zur organisierten Kriminalität reichen. Für manche politischen Entscheidungsträger handelt es sich bei Kurieren scheinbar um Menschen zweiter Klasse. Sonst wäre schon längst etwas gegen diese Strukturen passiert.

Außer einer Direktanstellung sind alle Maßnahmen Flickschusterei

netzpolitik.org: Laut des dritten Artikels der EU-Plattformarbeitsrichtlinie müssen Arbeitnehmer*innen, die bei Subunternehmen angestellt sind, “denselben Schutz gemäß dieser Richtlinie genießen wie jene, die in einem unmittelbaren Vertragsverhältnis” mit einer Plattform stehen. Wie kann dieser Schutz aussehen?

Martin Bechert: Diese Formulierung umfasst einen sehr beschränkten Rahmen. Es geht nicht darum, Fahrer auf einmal direkt bei Plattformen anzustellen. Eigentlich geht es nur darum, einen Rahmen zu schaffen, der Fahrern ermöglicht sich an die Plattformen zu wenden, die für ihre Löhne haften. Für den Fall, dass die Subunternehmen, bei denen sie angestellt sind, Löhne nicht zahlen. Das nennt sich gesamtschuldnerische Haftung und ist in der EU-Plattformarbeitsrichtlinie als mögliche Maßnahme vorgesehen. Sozial- und Steuerabgaben können Subunternehmen dann trotzdem noch umgehen.

netzpolitik.org: Wie sieht es mit weiteren Arbeitnehmerrechten aus wie Mutterschutz, Kündigungsschutz oder Arbeitszeitregelungen?

Martin Bechert: “Derselbe Schutz” wie bei einer Direktanstellung bezieht sich nur auf den Lohn. Andere Arbeitnehmerrechte, dazu gehören auch Gesundheitsschutz oder Datenschutz, fallen nicht darunter. Die Beschäftigungssituation wird also katastrophal bleiben.

netzpolitik.org: Wenn sich aber Plattformen bisher jeglicher Arbeitgeberverantwortung entziehen und Angestellte, die zum Beispiel versuchen einen Betriebsrat zu gründen, versuchen zu kündigen, wird es für Einzelpersonen praktisch überhaupt möglich sein, Lohnansprüche gegenüber der Plattform durchsetzen?

Martin Bechert: Bei Subunternehmen werden Fahrer derzeit sogar nicht mal gekündigt, sie fliegen einfach aus der App. Fahrer sind gegenüber den Plattformen und Subunternehmen in einer viel schwächeren Position. Mit der gesamtschuldnerischen Haftung gäbe es eine Chance, fehlende Lohnzahlungen gegenüber der Plattform einzuklagen. Trotzdem ist der Ansatz Flickschusterei. Um arbeitsrechtliche Verstöße zu vermeiden, würde nur eine Direktanstellung an die Plattformen tatsächlich was nützen.

Mit der Bundesregierung wird kein Direktanstellungsgebot kommen

netzpolitik.org: Arbeitsministerin Bärbel Bas wollte ein Verbot von Subunternehmen prüfen, aber gegenüber dem rbb sagte das Bundesarbeitsministerium, ein Direktanstellungsgebot sei das letzte Mittel. Wird die nationale Plattformarbeitsrichtlinie so ein Gebot enthalten?

Martin Bechert: Nein, das Direktanstellungsgebot wird nicht kommen. Bei der europäischen Richtlinie haben die Plattformen gute Lobbyarbeit geleistet, weshalb das Schutzniveau immer weiter gesenkt wurde, bis es das Problem nicht wirklich lösen wird.

Die Bundesregierung sollte als nächsten Schritt die gesamtschuldnerische Haftung sauber umsetzen, dann haben wir immerhin das. Positiv hervorzuheben sind die in der Richtlinie vorgeschriebenen Transparenzrechte. Wir werden dadurch hoffentlich mehr Einsicht in die algorithmischen Systeme bekommen. Diese Systeme entscheiden zum Beispiel darüber, welcher Fahrer welchen Auftrag bekommt.

netzpolitik.org: In Diskussionen über ein Direktanstellungsgebot werden Parallelen zur Fleischindustrie gezogen. Arbeitnehmer*innen müssen seit dem 2020 beschlossenen Arbeitsschutzgesetz direkt im Betrieb angestellt sein. Ein Grund dafür war zum Beispiel, dass sich die Branche oder Teilbranche rechtssicher abgrenzen lässt. Ist dieses Argument bei Lieferdiensten erfüllt?

Martin Bechert: Solche formellen Argumente sind Scheinargumente. Natürlich ließe sich das erfüllen. Wenn die gesamtschuldnerische Haftung umgesetzt wird, können wir den kriminellen Strukturen jahrelang weiter zuschauen, bis der Fall wieder in die EU geht und dann haben wir in zehn Jahren vielleicht ein Direktanstellungsgebot. Das Schutzmaßnahmen der EU-Richtlinie werden nicht ausreichen, wie sich zeigen wird. Das ist meine feste Überzeugung.

Arbeitsbedingungen in der Lieferbranche sind bekannt

netzpolitik.org: Dann ist die Verbesserung der Arbeitsbedingungen eine Frage des politischen Willens?

Martin Bechert: Ja, so ist es. Es ist eine Frage des politischen Willens und nicht eine Frage der Tatsachen. Die Tatsachen liegen offen da. Kein Mensch kann sagen, die Arbeitsbedingungen bei Subunternehmen seien gut oder annähernd gesetzmäßig.

netzpolitik.org: Was antworten Sie auf das Argument, ein Direktanstellungsgebot sei keine geeignete Maßnahme, weil es einen starken Eingriff in den freien Markt darstellen würde. Rechtlich sind Subunternehmen ja erlaubt.

Martin Bechert: Wir wollen den Markteingriff, weil der Markt nicht funktioniert. Der Eingriff ist notwendig, weil wir es mit einem brutalem Manchesterkapitalismus zu tun haben, der die Rechte von Arbeitnehmern aushöhlt.

Der Arbeitnehmerbegriff und der Betriebsbegriff im Arbeitsrecht müssen reformiert werden

netzpolitik.org: Können sich Fahrer*innen bei Rechtsverletzungen auf deutsches Arbeitsrecht berufen?

Martin Bechert: Der Sinn des Arbeitsrechts ist es diejenigen zu schützen, die von ihrem Arbeitgeber schwer abhängig sind. Das sind die Arbeitnehmer. Im deutschen Arbeitsrecht stehen wir dabei vor zwei großen Problemen.

Das erste Problem ist der Arbeitnehmerbegriff. Schauen wir auf einen Uberfahrer. Wir sehen, der braucht Schutz, aber er gilt nicht als Arbeitnehmer, sondern als Selbstständiger. Warum ist der nicht Arbeitnehmer? Der Arbeitnehmerbegriff muss deswegen erweitert werden und zwar um den Schutzaspekt, der zweckmäßig ist, um eine Tätigkeit ausführen zu können.

Das zweite Problem betrifft den Betriebsbegriff. Der Arbeitgeber darf bestimmen, wo Arbeitnehmer ihre Vertretung, den Betriebsrat, wählen. Warum ist das so? Das Bundesarbeitsgericht argumentiert, dass ein Betriebsrat nur dort mitbestimmen kann, wo eine Leitung Entscheidungen trifft.

Aber was ist, wenn es keine Vorgesetzten mehr gibt, weil alles algorithmisch gesteuert wird? So ist es bei Lieferando in vielen Städten der Fall. Dann haben alle Arbeitnehmer einen Betriebsrat und zwar den am Betriebssitz. Ein Betriebsrat soll nach der Betriebsverfassung aber aus Kollegen bestehen, die sich vor Ort um die lokalen Arbeitsverhältnisse kümmern. Welchen Nutzen hätte es für sämtliche Fahrer aus Freiburg, wenn sie beispielsweise in Berlin vertreten werden?

Arbeitnehmer sollten deswegen bestimmen dürfen, wie sie ihre Vertretung organisieren. Wenn Fahrer in Freiburg beschließen einen Betriebsrat zu gründen, dann muss der Arbeitgeber eben jemanden dorthin stellen, der verhandeln darf. Der Betriebsbegriff müsste dahingehend angepasst werden.

netzpolitik.org: Würde man so einen Betriebsbegriff definieren, wäre es dann egal, ob der Arbeitgeber ein algorithmisches Management oder eine physische Person ist?

Martin Bechert: Ja, das wäre egal, weil ein grundsätzliches Recht geschaffen wäre.

netzpolitik.org: Aber an Subunternehmerstrukturen kommt das Arbeitsrecht nicht ran?

Martin Bechert: Diese Subunternehmerstrukturen sind Verhältnisse, bei denen ich es für unrealistisch halte, dass sich ein Betriebsrat gründen oder eine Gewerkschaft tätig werden kann. Solange diese Strukturen bestehen, gibt es bestenfalls Arbeitsverhältnisse zweiter Klasse, eher wahrscheinlich sind Verhältnisse in einem kriminellen Umfeld.

Rechte von heute sichern Rechte für morgen

netzpolitik.org: Sind diese Fragen zum Arbeitnehmerschutz in Zeiten algorithmischen Managements auch für andere Branchen relevant?

Martin Bechert: Diese Lieferdienstbranche ist ein arbeitsrechtliches Labor, von dem Leute denken, es würde sie nicht betreffen. Aber algorithmisches Management wird es zukünftig in vielen Bereichen geben. Heute kommt eine Bestellung algorithmisch gesteuert vom Restaurant zum Kunden, morgen werden die Krankenschwester oder der Chirurg im Krankenhaus algorithmisch koordiniert. Wenn man sich jetzt um die Rechte von Fahrern kümmert, sichert man sich oder seinen Kindern zukünftig Rechte.