Unzählige Prozesse finden mittlerweile digital statt. Digitale Identitäten sind dabei essenziell, denn darüber kann sichergestellt werden, dass die Person hinter dem Endgerät auch die ist, für die sie sich ausgibt. Somit bilden digitale Identitäten die Basis für das Ökosystem der digitalen Welt. Hierbei spielen vor allem zwei Faktoren eine wesentliche Rolle für den erfolgreichen Einsatz: Sicherheit und Nutzerfreundlichkeit. Nur wenn beides im Einklang ist, wird die Lösung auch von den Bürgern angenommen.
Digitale Identitäten finden heute schon in vielen Bereichen Anwendung. Sei es im Gesundheitsbereich mit der digitalen Patientenakte, bei Mobilitätsdiensten zum Buchen eines Mietwagens oder im Finanzsektor bei der Eröffnung eines Bankkontos unter Beachtung des Geldwäschegesetzes. Um eine entsprechende digitale Identität zu erlangen, muss sich der Nutzer zuerst identifizieren. Das geschieht derzeit mit unterschiedlichen Verfahren, die sich je nach Sicherheitsstufe unterscheiden können. Beispielsweise mit einer Videoidentifizierung durch einen Customer-Service-Mitarbeiter, einer qualifizierten elektronischen Unterschrift oder mit einem automatisierten Verfahren, das anhand von künstlicher Intelligenz die biometrischen Daten des Nutzers erkennt und auswertet. Dabei müssen eine Menge persönlicher Daten immer wieder in verschiedenen Anmeldeprozessen eingegeben und verifiziert werden - ganz gleich, ob die letzte Verifizierung bei einem anderen Anbieter erst vor Kurzem erfolgt ist. Ein EU- Bürger besitzt demnach durchschnittlich etwa 90 verschiedene verifizierte Identitäten.
EU unterbreitet neuen Vorschlag
Der Verordnungsvorschlag zu eIDAS 2.0 der EU-Kommission möchte hier neue europaweite Standards schaffen: mit der Digital Identity Wallet "EU eID", das auf internationaler Ebene eingesetzt und anerkannt werden soll. Die Einwohner der EU sollen die Möglichkeit bekommen, ihre verifi zierte, digitale Identität auf ihrem Smartphone sicher abzuspeichern und für verschiedene Anwendungsfälle einzusetzen.
Eine solche digitale Brieftasche birgt großes Potenzial für die Vereinfachung vieler alltäglicher Prozesse sowie für die Digitalisierung in ganz Europa. Nahezu alle digitalen Anträge und Vertragsabschlüsse können mit der Wallet erleichtert werden. Angefangen bei der Girokontoeröffnung, über den Leasing-Antrag bis zur Kreditvergabe. Zudem können in der Wallet weitere Identitätsattribute abgelegt werden. Beispielweise jegliche Art von Führerschein, Fahr- oder Eintrittskarten sowie Heirats- oder Geburtsurkunde.
Grundgedanke der eIDAS 2.0
Die EU-Kommission veröffentlichte im Juni 2021 den entsprechenden Gesetzentwurf zur "EU eID". Die eIDAS 2.0 ist ein Update zur ersten Version, die seit 2016 erfolgreich die europaweite Anerkennung digitaler Signaturen regelt.
Im Grunde besagt der neue Entwurf zur eIDAS 2.0, dass binnen zwölf Monaten nach Inkrafttreten des Gesetzes jeder EU-Mitgliedsstaat seinen Einwohnern eine entsprechende Wallet zur Verfügung stellen muss. Die Bürger sollen sich damit nicht nur innerhalb der EU-Grenzen einfach und sicher verifizieren können. Behörden und Unternehmen sollen dazu verpflichtet werden, die qualifizierten Identity Wallets zur Identifizierung zu akzeptieren und diese in ihre Prozesse zu integrieren. Die EU-Staaten setzten derzeit auf unterschiedlichste Methoden zu Identifizierung des Nutzers. Mit dem neuen Gesetz soll dies vereinheitlicht und dem Anwender die Chance gegeben werden, sich lediglich nur noch einmal zu identifizieren. Einmal verifiziert können die Bürger die Wallet dann für unterschiedliche Anwendungsfälle nutzen.
Qualifizierte Vertrauensdienste erweitern
Unter anderem geht es bei der eIDAS 2.0 darum, die erfolgreiche Harmonisierung der Signaturanwendungen im Binnenmarkt nun auch für digitale Identitäten zu ermöglichen. Den Bürgern soll eine Vielzahl von Anwendungsfällen auf Basis einer ID-Wallet vereinfacht und "online remote" geboten werden, um den Alltag zu erleichtern und digitaler zu machen. Wenn die Wallets entsprechend smart, sicher und nutzerfreundlich gestaltet werden, haben sie das Potenzial die Digitalisierung in ganz Europa zu fördern und voranzutreiben.
In diesem Zusammenhang spielen insbesondere qualifizierte Vertrauensdienstanbieter (QTSP) eine wesentliche Rolle. Bereits bei der Verordnung eIDAS 1.0 haben sich diese als essenziell und erfolgreich bewiesen. Die EU möchte daher in der zweiten Version deren Position deutlich verstärken. Dabei muss vor allem Deutschland aktiv werden, denn im Vergleich zu seinen Nachbarländern hat das Land verhältnismäßig wenig QTSPs: 13 im Vergleich zu beispielsweise 27 in Frankreich und 40 in Spanien. Der neue Verordnungsvorschlag bietet eine Chance für Deutschland, sich auf Augenhöhe mit den restlichen EU-Staaten zu begeben.
Möglichkeiten für Bundesregierung
Zur nationalen Umsetzung der eIDAS 2.0 gibt es derzeit zwei vorstellbare Möglichkeiten. Der Staat kann entweder eine eigene Lösung entwickeln beziehungsweise ein einziges Unternehmen beauftragen, welches die entsprechende Lösung auf den Markt bringt. Die andere Option besteht darin ein staatliches Zertifizierungsprogramm zu schaffen, in dem privatwirtschaftliche Anbieter verschiedene Walletanwendungen entwickeln können. Der Staat gibt dabei den regulatorischen und sicherheitstechnischen Rahmen vor. Die Anbieter bekommen so die Chance, ihre Entwicklung dahingehend auszurichten und eigene Wallets auf den Markt zu bringen, die dann von den Bürgern verwendet werden können.
In Deutschland zeigen die jüngsten Ereignisse rund um den digitalen Führererschein "ID Wallet", dass die zweite Option zu einem offenen Ökosystem innerhalb der Privatwirtschaft die bessere Wahl ist, um die Sicherheit sowie die Nutzerfreundlichkeit zu gewährleisten. Wettbewerb und Interoperabilität sorgen für Innovationen und schneller vertikaler Verbreitung der Anwendungsfälle. Deshalb braucht es einen staatlich regulierten Zertifizierungsrahmen, der einen offenen Wettbewerb ermöglicht. Das führt zum besten Ergebnis für die Bürger und dementsprechend zu einer hohen Nutzerakzeptanz.
Wettbewerbsvorteile nutzen
Wenn ein offener Marktzugang gewährt wird, spielen vor allem auch faire Wettbewerbsbedingungen eine wesentliche Rolle. Diese sollten zwischen den einzelnen Marktteilnehmern sowohl national als auch auf EU-Ebene einheitlich geregelt sein. Staatliche und privatwirtschaftliche Parteien müssen demnach gleichberechtigt behandelt werden. Das kann nur durch gleich geregelte Standards, die vom Staat überwacht werden, funktionieren; ähnlich wie mit der damaligen Einführung des Telekommunikationsgesetzes. Hier hat es der Staat geschafft, das Monopol der Deutschen Post und später der Deutschen Telekom aufzulösen, um einen fairen Wettbewerb zuzulassen und einen heterogenen Markt zu schaffen.
Der Vorteil bei der Einbindung der Privatwirtschaft liegt insbesondere an der umfassenden Expertise von Unternehmen, die sich seit vielen Jahren mit Themen rund um Identitätsprüfung und digitale Identitäten beschäftigen. In Arbeitsgruppen verschärfen diese Experten ihr Wissen und liefern demnach eine fundierte Fachkenntnis, worauf die Bundesregierung bei der Umsetzung zurückgreifen kann und sollte. So wird der Staat bei der Verwirklichung der eI-DAS 2.0 fachmännisch unterstützt und kann ein Ökosystem schaffen, das den Identity Wallets sowie den Nutzererwartungen gerecht wird.
Innovative Identifizierungsverfahren
Neben der Einbindung von Experten und der Ausdehnung der QTSPs in Deutschland, spielt vor allem auch die Auswahl der Identifizierungsmethoden eine wesentliche Rolle für eine flächendeckende Verbreitung von digitalen Identity Wallets. Es sollten aber nicht einzelne Verfahren bevorzugt, sondern den Bürgern eine freie Auswahl zu Verfügung gestellt werden. Damit kann eine möglichst nutzerfreundliche Erfahrung geschaffen werden. Denn unterschiedliche Industrien und Einsatzbereiche haben verschiedene Anforderungen. Es kann demnach selten eine einzige Lösung für alle Anwendungsfälle geben.
Auf dem Markt existiert eine breite Palette an Identifizierungsmethoden, die bereits erfolgreich eingesetzt werden und allen entsprechenden Sicherheitsstandards entsprechen. Lediglich zehn Prozent aller Transaktionen benötigen in der Praxis das Sicherheitslevel "hoch" - das entspricht der eID. Bei einem großen Teil genügen die Niveaus "substanziell" oder "niedrig". Es wird also nicht immer die eID benötigt. Oftmals reichen alternative Verfahren aus, die bereits heute unter eIDAS zugelassen sind.
Hinzu kommt, dass momentan für die Freischaltung und Nutzung der eID ein umständliches PIN-Verfahren verwendet wird. Das ist unter anderem ein Grund für die geringe Verbreitung der aktuellen Online-Ausweisfunktion. Da die Menschen heute an innovative, teils schon automatisierte, biometrische Verfahren gewöhnt sind, wird dies auch von der EU eID erwartet. Moderne Authentifizierungsverfahren sorgen im Endeffekt für eine aktive Nutzung und einem höheren Interesse der Bürger, was bei dem Gesetz im Vordergrund stehen sollte.
Datensouveränität der Bürger
Neben den zulässigen Identifikationsverfahren besteht auch die Möglichkeit, bereits verifizierte Identitäten zur Generierung der Basisidentität zu verwenden. Dabei werden qualifizierte Attribute über Zertifikate, die durch einen QTSP qualifiziert wurden, einer verifizierten Identität gleichgestellt. Diese Zertifikate entsprechen dem Sicherheitsniveau "substanziell" und dienen demnach wunderbar als Basisidentität für verschiedene Anwendungsfälle.
Die eIDAS 2.0 fordert bezüglich der Sicherheit offene Standards. Die Bürger sollen damit selbst bestimmen können, was mit ihren Daten passiert und mit wem sie geteilt werden. Das gilt vor allem für Informationen, die unmittelbar die eigene Identität betreffen. Diese Souveränität der Bürger steht nach Verordnungsvorschlag an oberster Stelle. Demnach muss eine Person zu jeder Zeit die Hoheit über die gespeicherten Informationen behalten. Aufgrund dessen sieht die EU-Verordnung vor, dass die Daten des Nutzers auf dem sogenannten "Secure Element" des Endgerätes gespeichert werden. So gewinnen die Nutzer Transparenz darüber, was mit ihren Daten geschieht und zu welchem Zweck sie wem zur Verfügung gestellt werden.
Damit den EU-Bürgern im Falle eines Gerätewechsels, beim Verlust des Smartphones oder bei einem freiwilligen Wechsel des Walletanbieters kein Mehraufwand entsteht, ist die Datenportabilität bei eIDAS 2.0 besonders wichtig. Denn ohne die Interoperabilität der Anwendungen müsste das Wallet in allen Szenarien neu aufgesetzt werden und alle angereicherten, gespeicherten Informationen wären verloren. Das könnte dementsprechend auf Ablehnung der Bevölkerung stoßen wiederrum einen negativen Effekt auf die allgemeine Nutzerakzeptanz haben.
Zukunft digitaler Identitäten
Aktuell befindet sich die neue eIDAS Verordnung noch in einem frühen Stadium des Gesetzgebungsprozesses und wird auf Rats- und Parlamentsebene diskutiert. Es kann noch keine 100-prozentige Aussage getroffen werden, wie das Gesetz am Ende aussehen und welche weitrechenden Auswirkungen es auf der gesamten EU-Ebene haben wird.
Doch bereits heute sollten sich Unternehmen aus den verschiedensten Bereichen, etwa der Finanzbranche, auf diese Neuerungen vorbereiten. Die gegebene Vorlaufzeit kann optimal genutzt werden, um digitale Identity Wallets bereits jetzt in die Digitalisierungsstrategie miteinzubinden. Unternehmen, die schon heute Experten aus der Privatwirtschaft in den Planungsprozess einbeziehen, haben klare Wettbewerbsvorteile, sobald das Gesetz verabschiedet wird.
