Die tschechische EU-Ratspräsidentschaft hat letzte Woche einen neuen Kompromisstext zum Vorschlag für eine europäische digitale Identität (eIDs) in Umlauf gebracht, ein Dossier, das aufgrund seiner technischen Komplexität bisher nur begrenzt vorangekommen ist.
Das Dokument wird auf den Sitzungen der Telekom-Arbeitsgruppe des EU-Rates am 5. und 8. September erörtert. Nationale Vertreter können dann bis zum 12. September konkrete Gestaltungsvorschläge einreichen.
Der Kompromiss folgt einer Diskussion, die im Juli stattfand, bei der mit Ausnahme von Frankreich und Deutschland alle Mitgliedstaaten darauf drängten, dass die digitale Brieftasche ein eigenständiges Identifikationsmittel und nicht nur eine „leere Hülle“ sein sollte.
Die bedeutendste Änderung besteht nun darin, dass die European Digital Identity Wallets als elektronisches Identifikationsmittel hinzugefügt wurden.
Der Kompromiss enthält eine Definition von „eindeutiger und dauerhafter Kennung“ als „einer Kennung, die entweder aus einzelnen oder mehreren nationalen oder sektoralen Identifikationsdaten bestehen kann, einem einzelnen Benutzer innerhalb eines bestimmten Systems zugeordnet und zeitlich beständig ist“.
Der Artikel über die eindeutige Identifizierung wurde in Datensatzabgleich geändert, ein komplexeres und datenschutzfreundlicheres System, das die Identifizierung einer Person durch Abgleich mehrerer Segmente personenbezogener Daten ermöglicht. Ein eindeutiger Identifikator ist jedoch nach nationalem Recht und Verwaltungspraxis weiterhin möglich, wobei letzteres Konzept undefiniert bleibt.
Öffentliche und private Dienste, die beabsichtigen, die europäische Brieftasche zu Identifikationszwecken zu verwenden, müssen sich in den Mitgliedstaaten registrieren lassen, in denen sie niedergelassen sind, eine Garantie, die bereits unter der französischen EU-Ratspräsidentschaft eingeführt wurde, da diese Dienste personenbezogene Daten verarbeiten würden.
Es wurden neue Spezifikationen für diese Dienste aufgenommen, um sich registrieren zu können, aber die Tschechen haben auch eine Ausnahme für die Registrierung aufgenommen, falls die Interaktion im „vollständigen Offline-Modus“ erfolgt.
Wenn beispielsweise ein Benutzer einen QR-Code zeigt und der Dienstanbieter ihn scannt, würde dies als vollständig offline gelten, wenn die Informationen auf dem gescannten Code auf dem Gerät verbleiben und nicht an einen Server übertragen werden.
„Aus Sicht des Datenschutzes macht es absolut keinen Sinn“, sagte Thomas Lohninger, Geschäftsführer von Epicenter.works, einer Interessenvertretung für digitale Rechte, und betonte, dass eine physische Situation die Benutzer tatsächlich noch mehr unter Druck setzen könnte, mehr Verzicht zu akzeptieren Daten als unbedingt erforderlich.
Da eID-Systeme in den nächsten zehn Jahren allgegenwärtig werden könnten, brauchen sie laut Lohninger solide Datenschutzgarantien, während die Tschechen „die Privatsphäre zugunsten der Geschäftsfreundlichkeit opfern“.
Beispielsweise deckt der Text keine weitere Datenverarbeitung ab, die nach der Interaktion erfolgen könnte.
Ein Diskussionspunkt ist, ob die Mitgliedstaaten nach nationalem Recht zusätzliche Funktionalitäten wie die Interoperabilität mit bestehenden elektronischen Ausweisen bereitstellen könnten.
Darüber hinaus schlug Prag vor, dass die Überprüfung der Identität des Benutzers von zertifizierten Anbietern nur auf der höchsten Vertrauenswürdigkeitsstufe und nicht auch auf der mittleren „substanziellen“ Ebene durchgeführt werden sollte.
Die Konformität der European Digital Identity Wallets mit den in der Verordnung festgelegten Anforderungen wird von akkreditierten öffentlichen und privaten Stellen zertifiziert. Die tschechische Präsidentschaft ist der Ansicht, dass diese Akkreditierung zwei Jahre dauern und eine Bewertung der Schwachstellen beinhalten sollte, die, wenn sie nicht behoben werden, zur Annullierung der Zertifizierung führen können.
Es wurde ein Verweis auf das Digital Markets Act hinzugefügt, in dem es heißt, dass Aussteller von European Digital Identity Wallets als gewerbliche Nutzer zu betrachten sind, wenn es um die Schwellenwerte geht, die Unternehmen als Gatekeeper qualifizieren.
Die Bestimmungen zum grenzüberschreitenden Vertrauen wurden nur digitalen Geldbörsen zugeschrieben, wobei Zahlungen und E-Geld in die Liste der Sektoren aufgenommen wurden, die die Geldbörse ohne Rechtsgrundlage verwenden dürfen, einfach aufgrund ihrer Nutzungsbedingungen.
Darüber hinaus stellen die Tschechen die Frage zur Diskussion, ob die Kommission ermächtigt werden sollte, abgeleitetes Recht zu erlassen und die Akzeptanz des European Digital Identity Wallet durch zusätzliche private Dienste auf der Grundlage der Nachfrage der Benutzer vorzuschreiben.
Der Text bietet zwei Optionen für die Frist für qualifizierte, vertrauenswürdige Diensteanbieter, um die zuständigen Behörden über Verstöße oder Störungen zu informieren, entweder 24 oder 72 Stunden.
Darüber hinaus müssen die nationalen Cybersicherheitsbehörden gemäß der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) die Aufsichtsbehörden innerhalb von zwei Monaten darüber informieren, ob diese Dienste die EU-Cybersicherheitsanforderungen erfüllen, oder die Verzögerung begründen.
Für fortgeschrittene elektronische Signaturen und Siegel hat der Vorsitz die Möglichkeit offen gelassen, dass die Kommission die Möglichkeit oder die Verpflichtung hat, Referenznummern von Standards festzulegen.
Verweise darauf, dass die Mitgliedsstaaten solche qualifizierten elektronischen Signaturen und Siegel anerkennen müssen, wurden entfernt, während neue Artikel hinzugefügt wurden, die die Anforderungen für ihre Validierung auflisten.
Es wurde ein Artikel eingeführt, der die gegenseitige Anerkennung qualifizierter elektronischer Einschreibezustelldienste zwischen allen EU-Ländern vorschreibt.
Hinsichtlich des Umsetzungszeitraums erklärte der Vorsitz, dass die nationalen Vertreter zu einer Gesamtdiskussion eingeladen werden, „sobald der Text stabiler ist“. Die Frist für die Überprüfung der Verordnung durch die Kommission wurde von zwei auf drei Jahre seit Inkrafttreten verschoben.
Der Ratsvorsitz beabsichtigt, einen technischen Workshop zu organisieren, um den Registrierungsprozess von Organisationen, die die European Digital Identity Wallets verwenden, und den Zertifizierungsprozess zu klären.
[Edited by Zoran Radosavljevic]