Die EU will einen Rahmen für eine europäische digitale Identität schaffen und hat hierfür einen Vorschlag zur Änderung der eIDAS-VO unterbreitet. Kürzlich befasste sich der Ausschuss für Digitales des Bundestages mit dem Thema. Wir haben Nils Urbach zu elektronischen Identitätsnachweisen befragt.
RDi: Welche eID-Systeme gibt es?
Urbach: Die elektronische Identität beschreibt elektronische Methoden zur Identifizierung einer Person. Diese unterscheiden sich insbesondere in ihrem Vertrauensniveau. Das kann nach der europäischen eIDAS-VO als niedrig, substanziell oder hoch eingeordnet werden. In Deutschland erfüllt der elektronische Personalausweis, kurz ePA, die Anforderung an das Vertrauensniveau „hoch“. Ausweisdaten werden im RFID-Chip des ePA gespeichert und können selektiv und damit Privatsphäre-schützend ausgelesen werden. Daneben hat sich etwa das Video- Ident-Verfahren etabliert, bei dem die Echtheit von analogen Ausweisdokumenten durch einen zentralen Serviceanbieter überprüft wird. Zudem beobachten wir aktuell Initiativen zur Umsetzung des Konzepts Self-Sovereign-Identity, die darauf abzielen, neben Ausweisdaten auch weitere Nachweise wie Urkunden digital und datensparsam nachweisbar zu machen. Diese Initiativen entsprechen allerdings keinem eID-System, sondern stellen in der Entwicklung befindliche Forschungsprojekte dar.
RDi: Haben sich die vorhandenen eID-Infrastrukturen bewährt?
Urbach: Der ePA punktet bezüglich IT-Sicherheit und Datenschutz. Allerdings nutzen nur rund 7 % der Bevölkerung in Deutschland die eID Funktionen des ePA. Das ist primär auf fehlende Anwendungsfälle zurückzuführen. Bei Einführung erforderte der ePA mit speziellen Smartcard- Readern zusätzliche Hardware. Mittlerweile ist das Auslesen zwar auch mit Hilfe einer Smartphone-App möglich, allerdings müssen Unternehmen dafür einen aufwendigen und kostenpflichtigen Zertifizierungsprozess durchlaufen. Vergleichbar werden eIDs auf der europäischen Ebene für grenzübergreifende Anwendungen nur unzureichend genutzt. Eine Evaluation des Gesetzes zeigt, dass nur etwa die Hälfte der europäischen Mitgliedstaaten ein eIDASkompatibles eID-System anbietet. Daneben weisen die vorhandenen eID-Infrastrukturen eine weitere Lücke auf: Um eine großflächige Digitalisierung von identitätsbezogenen Services und Prozessen zu ermöglichen, werden nicht nur elektronisch überprüfbare Ausweisdaten von Privatpersonen benötigt, sondern etwa auch Zeugnisse oder weitere Nachweise. Solche verifizierbare Personendaten werden jedoch von aktuellen eID-Infrastrukturen nicht adressiert.
RDi: Ist eine kohärente ID-Strategie auf EU-Ebene sinnvoll?
Urbach: Die Vergangenheit hat gezeigt, dass eine Strategie mit freiwilliger Anerkennung von nationalen eID-Methoden nicht zum flächendeckenden Erfolg führt. Vor dem Hintergrund begrüße ich den Vorschlag der EU, eID-Systeme zu vereinheitlichen und somit EU-weit interoperable Identitätsnachweise zu schaffen, um einen paneuropäischen digitalen Markt zu ermöglichen.
RDi: Wie bewerten Sie den aktuellen Verordnungsvorschlag?
Urbach: Der Vorschlag für eIDAS 2.0 enthält einige bemerkenswerte Änderungen. So soll die Umsetzung nicht mehr auf freiwilliger Basis der Mitgliedstaaten erfolgen, sondern der Vorschlag sieht eine Umsetzung und Bereitstellung von „digitalen Wallets“, also in der Regel Smartphone basierten Brieftaschen zur Speicherung von Nachweisen auf den Endgeräten der Bürgerinnen und Bürger innerhalb eines Jahres nach Verabschiedung vor. Auch adressiert der Verordnungsvorschlag nicht nur Ausweisdaten, sondern bietet auch Use-Cases mit Bescheinigungen aus weiteren Sektoren wie dem Gesundheits- und Finanzbereich. Diese Änderungen halte ich für sinnvoll und erstrebenswert. Allerdings umfasst die Verordnung weiterhin nur Nachweise von Personen, nicht jedoch von Organisationen, obwohl auch diese sowohl für Interaktionen zwischen Organisationen als auch mit Endkunden relevant wären.
RDi: Was sollte auf nationaler Ebene geregelt werden?
Urbach: Neben den technischen und juristischen Voraussetzungen ist vor allem die Nutzerakzeptanz zu fördern. Dies bedeutet, dass breitflächig Anwendungsmöglichkeiten gefördert werden müssen, um ein Identitätsökosystem zu schaffen. Denn der Nutzen von digitalen Identitätslösungen wächst mit der Anzahl ihrer Anwendungsmöglichkeiten. Zudem sollten neben Identitätslösungen für Privatpersonen Lösungen für Organisationen geschaffen werden, um die Prozessdigitalisierung auch im B2B-Bereich voranzutreiben.
Prof. Dr. Nils Urbach ist Inhaber der Professur für Wirtschaftsinformatik, insbesondere Digital Business & Mobilität, und Direktor des Research Lab for Digitale Innovation & Transformation (ditlab) an der Frankfurt University of Applied Sciences.