Bald können überall in der Europäischen Union Bürger mit einem Klick auf dem Handy ihre Identität nachweisen und wichtige elektronische Dokumente wie den Führerschein oder Zeugnisse einfach und sicher vorlegen.
Dafür hat die EU-Kommission eine „digitale Brieftasche (EUid-Wallet)“ vorgestellt und angekündigt, die eIDAS-Verordnung zu überarbeiten. IT-Daily sprach mit Dr. Kim Nguyen, Geschäftsführer bei D-Trust, dem Vertrauensdiensteanbieter der Bundesdruckerei-Gruppe, über die Hintergründe, Einsatzszenarien, Erfolgsaussichten und den ambitionierten Zeitplan.
Welche Bedeutung hat die eIDAS-Verordnung für eine europäische digitale Identität?
Dr. Kim Nguyen: Die bereits 2014 in Kraft getretene eIDAS-Verordnung legt die Grundlage für den digitalen Binnenmarkt. Sie schafft einen in ganz Europa geltenden rechtlichen und organisatorischen Rahmen für die elektronische Identifizierung. Demnach müssen Behörden für den Zugang zu öffentlichen Diensten die jeweils nationalen Identifizierungsmittel grenzübergreifend anerkennen. Zusätzlich sorgen sogenannte Vertrauensdienste wie die digitale Signatur für sichere und vertrauenswürdigte elektronische Transaktionen und Interaktionen.
Warum wird die eIDAS-Verordnung jetzt überarbeitet?
Dr. Kim Nguyen: Wunsch und Wirklichkeit liegen beim Thema digitale Identität weit auseinander. In einer Eurobarometer-Umfrage befürworteten zwei Drittel der EU-Bürger eine sichere digitale ID, die für öffentliche und private Dienste genutzt werden kann. Tatsächlich sind jedoch die Verbreitung und der Einsatzgrad digitaler Identitäten in Europa bislang sehr gering. Zu diesem Ergebnis kam auch die Evaluation der eIDAS-Verordnung, zu der die Kommission gesetzlich verpflichtet ist. In dieser Bewertung nennt die EU-Kommission dafür mehrere Gründe: keine Pflicht zur Einführung nationaler Identifizierungsmittel, Schwerpunkt der digitalen Identität auf den öffentlichen Sektor sowie wenig grenzübergreifende Nutzungsszenarien. Zudem erkennt die Kommission einen klaren Trend hin zu mobilen, einfach zu bedienenden Lösungen für die elektronische Identifizierung. Die EU-Kommission hat sich deshalb zu einer Novellierung der eIDAS-Verordnung entschlossen. Im Fokus steht eine vertrauenswürdige und sichere digitale Identität für alle Bürgerinnen und Bürger der EU.
Wird eine einheitliche europäische digitale Identität die nationalen eIDs ersetzen?
Dr. Kim Nguyen: Nein, digitale Identitäten sollen weiterhin allein in der Hoheit der Mitgliedsstaaten liegen. Sie werden jetzt jedoch um digitale Wallets ergänzt. Mit diesen elektronischen Brieftaschen für die europäische digitale Identität (EUid-Brieftasche) können sich Anwender identifizieren und bestimmte persönliche Attribute, nachweisen. Ebenso wie bei der digitalen Identität wird es keine einheitliche europäische digitale Brieftasche geben, sondern einen technischen Rahmen für die Interoperabilität der nationalen Wallets.
Welche Funktionen und Merkmale zeichnen die digitalen Brieftaschen aus?
Dr. Kim Nguyen: Zusätzlich zu den Kerndaten zur Identität lassen sich in den digitalen Brieftaschen auch wichtige persönliche Attribute in Form von Dokumenten integrieren. Diese Nachweise können zum Beispiel Führerschein, Abschlusszeugnisse und Gesundheitszertifikate sein. Die digitalen Wallets mit der Kernidentität und den persönlichen Attributen sind auf dem Smartphone hinterlegt und erlauben damit die mobile Nutzung. Dabei bieten sie das höchste Niveau an Sicherheit und Datenkontrolle. Der Anwender kann jederzeit selbst bestimmen, welche personenbezogenen Daten und Dokumente er an die jeweiligen Online-Dienste weitergibt. Die Wallets erlauben zudem eine stärkere Verknüpfung von digitaler Identität und Vertrauensdiensten. Beispielsweise ist vorgesehen, dass eine qualifizierte elektronische Signatur aus der EUid-Brieftasche ausgelöst werden kann.
Wie lassen sich die EUid-Wallets etablieren und wie kann der flächendeckende, europaweite Einsatz digitaler Identitäten vorangetrieben werden?
Dr. Kim Nguyen: Die erweiterte eIDAS-Verordnung arbeitet hierbei zum einen mit Verpflichtungen. Alle Mitgliedsstaaten müssen jetzt erstmalig eigene Identitätslösungen anbieten und gleichzeitig die EU–Brieftasche unterstützen. Behörden und bestimmte Unternehmensbranchen wie die Finanzindustrie sind zudem verpflichtet, unter bestimmten Voraussetzungen – zum Beispiel bei einer Zwei-Faktor-Authentifizierung – die Wallets zu akzeptieren. In diese Kategorie gehören laut Verordnung auch ausdrücklich Internet-Plattformen, wenn sie von mindestens 10 Prozent der Bevölkerung genutzt werden. Entscheidend wird jedoch eine hohe Akzeptanz sein: Nur wenn genügend Einsatzszenarien und Anwendungen vorhanden sind, wird sich die europäische digitale Identität durchsetzen.
Welche konkreten Einsatzszenarien sind denn angedacht?
Dr. Kim Nguyen: Ein großer Anwendungsbereich sind Behördengänge: ob Wohnungsummeldungen, das Einreichen von Steuererklärungen oder die Bewerbung an Universitäten. Die größten Nutzenpotenziale sind jedoch in der Privatwirtschaft zu erwarten: Einsatzszenarien reichen vom Altersnachweis in Clubs über das Anmieten von Autos, den Check-in in Hotels, Gesundheits- und Finanzdienstleistungen wie das Speichern eines ärztlichen Rezepts bis hin zu Kontoeröffnungen.
Wird die Privatwirtschaft da mitziehen?
Dr. Kim Nguyen: Unternehmen profitieren sehr stark von der geplanten EUid-Brieftasche. Zum Beispiel entfallen langwierige Identifizierungsprozesse, weil sorgfältig geprüfte Identitäten bereits vorliegen. Der gesamte Finanzsektor spart sich so Zeit und Kosten, Serviceanbieter können schneller und bequemer neue Kunden erschließen. Die EU-Brieftaschen sollen außerdem juristische Personen unterstützen. Unternehmen können dann grenzüberschreitend ihre Identität nachweisen und mit der Wallet Dokumente elektronisch siegeln. Die novellierte eIDAS-Verordnung sorgt weiterhin für mehr Transparenz bei digitalen Transaktionen. Gemeint ist eine stärkere Verbreitung qualifizierter Webseitenzertifikate (QWACs). Das wird zudem E-Commerce und der gesamten Internet-Kommunikation einen weiteren Schub geben.
Qualifizierte Webseitenzertifikate konnten sich bisher nicht durchsetzen. Wie will die EU-Kommission das ändern?
Dr. Kim Nguyen: Qualifizierte Webseiten-Zertifikate (QWACs) sind gemäß der eIDAS-Verordnung einer der zentralen Vertrauensdienste. Damit lassen sich Webseiten als besonders vertrauenswürdig ausweisen. Internet-Nutzer können sicher sein, dass hinter einer Webseite eine echte und rechtmäßige Einrichtung steht. QWACs basieren auf einer umfangreichen Identitätsprüfung durch einen qualifizierten Vertrauensdiensteanbieter. Dieser muss höchste Anforderungen an Sicherheit und Zuverlässigkeit erfüllen. Der Einsatz von QWACs in der Breite wurde jedoch von den Browserherstellern behindert. Hier gab es wenig Bereitschaft die Zertifikate in großen Teilen zu verarbeiten und – noch gravierender – im Browser anzuzeigen. Im ergänzten Verordnungstext werden die Browser-Hersteller jetzt verpflichtet, die qualifizierten Webseitenzertifikate für die Internet-Nutzer zu visualisieren.
Wie sieht der Zeitplan für eIDAS-Novellierung und die EUiD-Brieftaschen aus?
Dr. Kim Nguyen: Das reguläre Gesetzgebungsverfahren zur Novellierung der eIDAS-Verordnung ist bereits gestartet. Parallel dazu finden die Diskussionen und Abstimmungsgespräche über die technische Architektur der EUid-Brieftaschen statt. Ein detailliertes Konzept zu Architektur und Standards soll im Juni 2022 vorgestellt werden. Noch im selben Jahr ist vorgesehen, das Instrumentarium für die technische Umsetzung zu veröffentlichen. Dann wird auch klar sein, wie die Identitätsattribute und Identitäten genau bereitgestellt und ausgetauscht werden. Wenn die erweiterte eIDAS-Verordnung in Kraft getreten ist, sollen spätestens 12 Monate danach die digitalen Wallets verfügbar sein. Der Zeitplan ist ambitioniert, zeigt aber auch die hohe Motivation der EU-Kommission, den Plan so schnell wie möglich in die Tat umzusetzen.
Vielen Dank für das Interview, Herr Dr. Nguyen!