Die tschechische EU-Ratspräsidentschaft hat einen vierten Kompromisstext zur europäischen digitalen Identität (eIDs) in Umlauf gebracht, den EURACTIV vor dem Treffen der Telekommunikations-Arbeitsgruppe am Mittwoch (28. September) eingesehen hat.
Der Rat konzentriert sich nun auf die Fragen rund um die genaue Arbeitsweise der EU-Wallet für digitale Identitäten.
Der Text basiert auf zusätzlichen Kommentaren und Vorschlägen, die von den Delegationen im September nach der Präsentation und Diskussion des dritten Kompromisses des Rates am 5. und 8. September eingegangen sind.
Die Kommission hat den Vorschlag für diese Verordnung am 3. Juni 2021 zur Änderung der eIDAS-Verordnung von 2014 angenommen, an Wegbereiter für sichere grenzüberschreitende Transaktionen. Aufgrund seiner technischen Komplexität hat das Dossier bisher nur begrenzte Fortschritte gemacht.
„Aspekte wie Kosten, aber auch die Offline-Nutzung und das Zusammenspiel mit weiteren Regelungen müssen dringend geklärt werden“, sagt Rebekka Weiß, Leiterin Vertrauen und Sicherheit beim deutschen Digitalverband Bitkom, gegenüber EURACTIV.
Offline-Nutzung
Der jüngste Kompromiss änderte die Definitionen von „Offline-Nutzung europäischer Geldbörsen für digitale Identitäten“ und „vollständige Offline-Nutzung von europäischen Geldbörsen für digitale Identitäten“ in „hybride Nutzung von europäischen Geldbörsen für digitale Identitäten“ bzw. „Offline-Nutzung von europäischen Geldbörsen für digitale Identitäten“.
Die hybride Nutzung bedeutet eine Interaktion zwischen einem Benutzer und einer vertrauenden Partei an einem physischen Ort, wobei das Wallet zum Zweck der Interaktion nicht über elektronische Kommunikationsnetze auf entfernte Systeme zugreifen muss.
Andererseits bedeutet Offline-Nutzung eine Interaktion zwischen einem Benutzer und einer vertrauenden Partei an einem physischen Ort, wobei weder das Wallet noch die vertrauende Partei auf entfernte Systeme zugreifen müssen.
Die tschechische Ratspräsidentschaft hat die Ausnahme für Organisationen beibehalten, die das Wallet zur Registrierung verwenden, da es sich um eine Anwendung mit geringerem Risiko handelt. Die Organisation müsste jedoch immer noch ein Minimum an Informationen auf automatisierte oder halbautomatische Weise pflegen.
Zertifizierung und Anwendungsfälle
Positiv ist laut Weiß, dass auch der Aspekt der Standardisierung und Zertifizierung in die Entwicklung des Wallets und entsprechender Use Cases mit einfließt.
„Zertifizierung und gleiche Anforderungen innerhalb des europäischen Marktes schaffen für Endverbraucher das nötige Vertrauen, das zu einer breiten Nutzung des Identity Wallets beitragen wird“, so Weiß.
Der Kompromisstext stellte klar, dass die Einhaltung der Anforderungen an die Sicherheitsniveaus elektronischer Identitätssysteme beispielsweise durch ein entsprechendes Cybersicherheitszertifizierungssystem zertifiziert werden kann, wie es derzeit von der EU-Cybersicherheitsagentur ENISA vorangetrieben wird.
Der vierte Kompromiss gab Anwendungsfällen mehr Fokus und Referenz. „Damit wird einmal mehr deutlich, dass die Entwicklung digitaler Identitäten und des Wallets kein Selbstzweck ist“, sagt Weiß.
So wurden Beispiele für die Nutzung elektronischer Hauptbücher in öffentlichen digitalen Diensten und eine Erläuterung des Zusammenhangs mit der Geldtransferverordnung gegeben.
Schließlich müsse immer im Fokus stehen, welche Potenziale vorhanden seien und welche Vereinfachungen das Wallet für Bürger und Unternehmen sowie für die (digitale) Verwaltung bringe, fügte sie hinzu.
Datenschutz
Auf mehrere Anfragen von Mitgliedstaaten hin hat die tschechische Ratspräsidentschaft klargestellt, dass mindestens zwei verschiedene Authentifizierungsfaktoren für eine solide Benutzeridentifizierung verwendet werden müssen, entweder aus den Kategorien Wissen, Besitz oder Inhärenz der Benutzer.
Diese Faktoren müssen unabhängig sein, falls einer verletzt wird, und dazu dienen, die Vertraulichkeit der Authentifizierungsdaten gemäß dem Kompromisstext zu schützen.
Darüber hinaus ist der Vorschlag, der für die Diskussion am Mittwoch vorgesehen ist, der Vorschlag einiger Mitgliedstaaten an rschlagen Sie vor, dass qualifizierte Vertrauensdiensteanbieter, die qualifizierte Zertifikate ausstellen, kryptografische Algorithmen nach dem neuesten Stand der Technik unterstützen sollten.
Das Konzept der selektiven Offenlegung von Daten, das sollte zum Schutz personenbezogener Daten durch Datenminimierung beitragen, wurde ausgearbeitet. „Die selektive Offenlegung ist ein Konzept, das den Eigentümer von Daten ermächtigt, nur bestimmte Teile eines größeren Datensatzes offenzulegen, damit die empfangende Stelle nur die erforderlichen Informationen erhält“, heißt es in dem Text.
[Edited by Luca Bertuzzi/Nathalie Weatherald]