Wird das „European Digital Identity Wallet“ ein Erfolg? Mögliche Hindernisse auf den Weg dahin...
Wenn wir von dem „European Digital Identity Wallet“ sprechen - auch bekannt als „EU-Wallet“ - sind wir uns fast alle einig… Es wird vermutlich innovativ und einzigartig sein, aber leider wissen wir nicht genau wie es eigentlich aussehen wird. In diesem Beitrag erörtern wir einige der Unbekannten und warum ein Wallet scheitern könnte, wenn diese Faktoren nicht umfassend professionell umgesetzt werden.
Was ist ein europäisches Wallet für digitale Identitäten?
Ein EU-Wallet, offiziell „European Digital Identity Wallet“ ("das Wallet") genannt, ist eine Initiative der Europäischen Kommission, um allen Bürgern und Einwohnern der EU-Mitgliedstaaten, einschließlich der EWR-Länder, Norwegen, Island und Liechtenstein, eine elektronische Identifizierung und andere identitätsbezogene Funktionen zu ermöglichen.
Das Wallet wird in einer überarbeiteten Version der eIDAS-Verordnung ("eIDAS 2.0") geregelt (Verordnung (EU) 910/2014). Das Ziel ist es, elektronische Identifizierungs- und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (der EU) anzubieten. Diese Verordnung wird von den „European Digital Identity"- Rahmenbedingungen begleitet. Sowohl eIDAS 2.0 als auch die Rahmenbedingungen sind noch in Arbeit, d. h. wir wissen heute noch nicht genau, wie das Wallet aussehen wird.
Das Konzept des Wallets wurde von Kommissionspräsidentin Ursula von der Leyen in ihrer Rede zur Lage der Union im September 2020 vorgestellt. Im Februar 2022 stellte die Kommission 37 Millionen Euro (50 % der Gesamtmittel) für groß angelegte Pilotprojekte zur Verfügung, um herauszufinden, welche Infrastruktur für die Einführung eines Wallets benötigt wird. Insgesamt werden ab Anfang 2023 rund 74 Mio. € für mindestens vier Pilotprojekte über einen Zeitraum von zwei Jahren zur Verfügung gestellt. Weitere 26 Mio. € wurden im Juni 2022 für die Bereitstellung einer Referenzanwendung für die Entwicklung des Wallets in Auftrag gegeben.
Die Kommission zeigt sich entschlossen das Wallet zu einem Erfolg zu machen. Aber ist der Erfolg deswegen garantiert? Nein, unserer Ansicht nach nicht! Wir hoffen nicht, dass die Initiative scheitert, aber es gibt gewisse Risiken, die aus unserer Sicht leider derzeit nicht ausreichend berücksichtigt werden.
4 potenzielle Risiken des „EU-Digital Wallet“
Im Folgenden erläutern wir die Hauptrisiken, die unserer Meinung nach den Erfolg des Wallets beeinträchtigen könnten. Bedenken Sie aber bitte, dass wir in diesem Beitrag nicht versuchen werden, die Risiken zu quantifizieren oder Maßnahmen zur Risikominderung vorzuschlagen. Die Risiken werden anhand der Bedingungen beschrieben, unter denen sie eintreten könnten. Die Minimierung dieser Risiken muss im Rahmen der groß angelegten Pilotprojekte und der Arbeit der eIDAS-Sachverständigengruppe der Kommission berücksichtigt werden. Darüber hinaus sollten diese Ziele im Rahmen der Fertigstellung von eIDAS 2.0 bedacht werden. Das sind die vier Risiken aus unserer Sicht:
Fehlende Akzeptanz bei den wichtigsten Parteien und den EU-Bürgern
Ein Wallet-Ökosystem, ohne kommerzielle Nachhaltigkeit
Technisch nicht ausgereift und zu komplex
Rechtliche Unvereinbarkeit mit bereits bestehenden Vorschriften
1. Fehlende Unterstützung bei den wichtigsten Parteien und den EU-Bürgern
Werden wir dem Wallet vertrauen können?
Gemäß eIDAS werden die Regierungen für die Ausgabe des Wallet´s verantwortlich sein. Das bedeutet konkret, dass die Wallet´s im Namen der Regierung direkt oder von privaten Akteuren, die von der Regierung zugelassen sind, ausgegeben werden. Die staatliche Zuständigkeit für das Wallet ist für einige Mitgliedstaaten und einige Bevölkerungsgruppen eine Quelle des Vertrauens, für andere leider nicht.
Die Bevölkerung ist es gewohnt ihre Ausweispapiere von der Regierung zu erhalten, aber wenn es um digitale Daten geht, reagieren die Menschen anders. Man muss darauf vertrauen können, dass die Regierung die Inhaber der Wallet‘s nicht ausspioniert oder die darin enthaltenen Daten anderweitig missbraucht. Es wurden bereits einige Bedenken geäußert, die die neue Reform als "Orwells Wallet" bezeichneten.
Da das Wallet potenziell viele persönliche Daten enthalten wird, ist es nicht nur wichtig, dass das Wallet technisch sicher ist, sondern auch, dass es von den Bürgern als sicher wahrgenommen wird. Die zukünftigen Nutzer wollen die Gewissheit haben, dass die persönlichen Daten in dem Wallet sicher sind und dass der Herausgeber diese Daten nicht missbraucht. Wenn das Wallet nicht sicher ist, entsteht Misstrauen. Und das aus gutem Grund. Aber selbst ein sicheres Wallet kann schon durch den vermeintlichen Mangel an Sicherheit einen Reputationsschaden erleiden.
Mangelnde Nachfrage der Nutzer nach der Wallet
Das Wallet wird ein freiwilliges Angebot an die EU-Bürger sein. Trotzdem werden sich die Nutzer nur dann dafür entscheiden, wenn sie es als nützlich empfinden. Dies ist eine potenzielle Sackgasse für die Einführung der elektronischen ID (eID):
- Nutzer sind nur interessiert, wenn die angebotenen Dienste für sie von Nutzen sind
- Diensteanbieter sind nur dann interessiert, wenn eine ausreichende Anzahl von Nutzern den Dienst in einem wiederholten Umfang in Anspruch nehmen
Das Wallet wird zwangläufig scheitern, wenn die Benutzererfahrung nicht geschätzt wird oder diese von anderen eID-Diensten auf dem Markt übertroffen wird.
Ein wichtiger Aspekt dabei ist, dass die Nutzer die alleinige Kontrolle über das Wallet haben. Jedoch sollten sie nicht auf sich allein gestellt sein, wenn Probleme auftreten, d. h., wenn das Wallet manipuliert wird, verloren geht oder aber das Gerät, auf dem sich die Wallet befindet, verloren geht.
Unzureichende Produkteinführung seitens der Mitgliedstaaten
eIDAS 2.0 wird alle EU-Mitgliedstaaten dazu verpflichten, ein nationales Wallet-Angebot zu gewährleisten. Zwar hat sich kein Mitgliedstaat gegen diese Verpflichtung gewehrt, aber einige Mitgliedstaaten räumen dieser Aufgabe möglicherweise keine Priorität ein, indem sie nur ein nominales Wallet-Angebot einrichten, um die Verpflichtung formal zu erfüllen.
Wenn ein Wallet von einem Mitgliedstaat oder im Namen eines Mitgliedstaats ausgegeben wird, kann die Regierung dieses Landes eine Schlüsselrolle bei der Einführung in der Gesellschaft spielen und die Nutzung durch seine Bürger und Dienstleister erleichtern. Aber die Einführung geschieht leider nicht von selbst, und wie wir wissen, sind Regierungen nicht unbedingt die besten Experten für Vertrieb und Marketing.
Fehlende Akzeptanz bei den staatlichen Dienstleistern
Staatliche Dienste müssen ein Wallet akzeptieren, auch wenn es in einem anderen Mitgliedstaat ausgestellt wurde. Dies entspricht der derzeitigen eIDAS-Anforderung, wonach staatliche Stellen verpflichtet sind von anderen Mitgliedstaaten gemeldete eIDs zu akzeptieren. Leider kommen nach heutigem Stand nur wenige staatliche Stellen dieser Anforderung tatsächlich nach.
Die Akzeptanz ausländischer Wallets sollte mittlerweile einfacher sein, seitdem dieselben Spezifikationen für alle nationalen Wallets der jeweiligen Mitgliedstaaten gelten.
Aber ein grundlegendes Problem bleibt dennoch bestehen: Wie kann ein staatlicher Diensteanbieter eine ausländische Identität verwenden?
Heutzutage sind staatliche Dienste darauf ausgelegt den Bürgern und Einwohnern ihres eigenen Landes zu dienen, gemäß den Regeln ihrer eigenen Regierung. Die Identifizierung durch eine ausländische eID und bald auch durch eine ausländisches Wallet kann ohne Zugriff auf nationale Daten nicht funktionieren. Und die Zuordnung einer ausländischen Person zu der entsprechenden nationalen Identität, sofern diese existiert, ist sehr schwierig.
eIDAS 2.0 schlägt vor, die Identifizierung einer gemeldete eID oder eines Wallets, um einen dauerhaften eindeutigen Indikator zu ergänzen. Obwohl dies eine grenzüberschreitende Verknüpfung von Identitäten vereinfachen könnte, ist der Vorschlag in den Mitgliedstaaten umstritten, die heute bereits eindeutige nationale Identitätsnummern nutzen. Das Ergebnis könnte sein, dass staatliche Dienstleister weiterhin nur ihre eigenen Einwohner bedienen und Nutzer aus anderen Mitgliedstaaten ignorieren.
Nicht ausreichend auf die Bedürfnisse des privaten Sektors abgestimmt
Die aktive Einbindung privater Dienstleister in das Wallet-Projekt ist entscheidend für dessen Erfolg. Staatliche Dienste sind zwar wichtig, aber die Erfahrung zeigt, dass eine solche Unterstützung allein nicht ausreicht, um einen zufriedenstellenden Nutzen zu erzielen. Darüber hinaus unterscheiden sich die Bedürfnisse des privaten Sektors von denen einer Regierung.
Für die meisten ihrer Online-Transaktionen benötigen private Dienste Kontaktdaten (Telefon, E-Mail, Adresse) und Unterstützung für den Zahlungsverkehr, während Regierungen sich mehr auf die Identifizierung und Authentifizierung konzentrieren. Wallets müssen aber auch, insbesondere im privaten Sektor, nicht nur die Bedürfnisse erfüllen, sondern dies darüber hinaus auch auf eine höchst effiziente und benutzerfreundliche Art und Weise tun.
Fast alle erfolgreichen eID-Bereitstellungen sind Kooperationen zwischen dem öffentlichen und dem privaten Sektor, an denen sowohl Regierungen, Banken und auch andere Finanzdienstleister beteiligt sind. Die Beteiligung des Finanzsektors ist dabei von entscheidender Bedeutung. Der Grund liegt einfach darin, dass diese Dienste von vielen Menschen häufig genutzt werden und darüber hinaus natürlich ein hohes Maß an Sicherheit erfordern. Auf diese Weise wird das Vertrauen der Gesellschaft in diese Dienste automatisch gestärkt.
Anbieter von Dienstleistungen aus dem privaten Sektor werden verpflichtet sein, Wallets zu akzeptieren, die in einem beliebigen Mitgliedstaat unter eIDAS 2.0 ausgestellt wurden. Dazu könnten regulierte Branchen, aber auch große Plattformdienste gehören. Es besteht die Möglichkeit, dass Diensteanbieter diese Anforderung entweder ignorieren oder nur nominell erfüllen, d. h. sie stellen sie zwar zur Nutzung zur Verfügung, werben aber nicht dafür oder raten sogar aktiv von ihrer Nutzung ab, um andere Methoden zu bevorzugen.
2. Ein Wallet-Ökosystem, das kommerziell noch nicht nachhaltig ist
Ausschluss von wichtigen Geschäftsmodellen innerhalb des Wallet-Ökosystems
Damit das Wallet zu einem wertvollen Bestandteil des digitalen Alltags von Nutzern wird, ist ein Ökosystem notwendig, das die volle Funktionalität aller Arten von Transaktionen bietet. Das Wallet wird durch eine ganze Reihe von Diensten unterstützt, wie z. B. das Erstellen von elektronischen Signaturen, das Ausstellen und Validieren von Bescheinigungen, das Referenzieren von Vertrauenslisten und mehr.
Dieses Ökosystem wird in der ersten Version eines Architektur- und Referenzmodells (ARF) beschrieben, das von der Kommission veröffentlicht wurde. Das ARF stellt etwa 10 verschiedene Funktionen von Anbietern vor, die das Wallet-Ökosystem ausmachen würden. Dies wird sich allerdings niemals umsetzen lassen, wenn nicht alle Funktionen ein solides Geschäftsmodell aufweisen. Es gibt zwei Alternativen:
- eine Anbieter-Funktion muss kommerziell lebensfähig sein, d. h. die Akteure werden bezahlt
- oder eine Anbieter-Funktion muss von der Regierung finanziert werden
Diese Geschäftsmodelle sind nicht Bestandteil des ARF oder von eIDAS 2.0 und es fehlen daher einige wichtige Anforderungen. Wichtig ist, dass der Herausgeber von Identitätsdaten nicht wissen soll, ob oder wann seine Daten in einer Transaktion mit anderen verwendet werden. Zudem sollte der Nutzer nicht für die Nutzung des Wallet´s oder der Identitätsdaten bezahlen müssen.
Das Gleiche gilt für die Nutzung eines Authentifizierungsdienstes oder eines Anbieters von Attributbescheinigungen. Da also keine Kommunikation zwischen dem Diensteanbieter und dem Anbieter der Attributbescheinigung erlaubt ist, könnte die Einrichtung eines Zahlungssystems angesichts der Sicherheits- und Compliance-Anforderungen kostspielig sein. Der Akteur müsste zudem Vertrauen in die Anzahl der Transaktionen haben, die über seinen Dienst bezahlt werden.
Es gibt noch einen weiteren Aspekt in diesem Geschäftsmodell: Werden die Einnahmen des Dienstes die Kosten decken, oder werden wir es nur mit staatlichen Attributausstellern zu tun haben?
Identitätsanbieter sind unsicher, wie sie reagieren sollen
Es gibt derzeit viele Initiativen des privaten Sektors Wallets für innovative Zwecke zu nutzen, mit dem Ziel viele zukünftige Anwendungsfälle zu unterstützen. Es handelt sich dabei um eine ziemlich neue Entwicklung und die meisten Akteure des privaten Sektors sind eifrig auf der Suche nach Möglichkeiten. Derzeit scheint das Wallet bei den Akteuren der Identitätsdienstleistungsbranche für Verwirrung zu sorgen, da die Anbieter nicht genau wissen, wie sie reagieren sollen.
Wallets werden auf nationaler Ebene von der Regierung, im Namen der Regierung oder von privaten Anbietern, die von der Regierung in eIDAS 2.0 zugelassen sind, ausgegeben. Eine Öffnung für Anbieter von Identitätsdiensten wird auf die Alternative 'staatlich zugelassen' beschränkt sein.
Vermutlich werden sich viele Mitgliedstaaten dafür entscheiden, Wallets selbst auszugeben, gemeinsam mit einigen ausgewählten kommerziellen Anbieter. Allerdings gibt es keine Garantie dafür, dass der in einem Mitgliedstaat gewährte Marktzugang auch in einem anderen Mitgliedstaat gilt.
Angesichts der zu erwartenden Komplexität und der Kosten für den Betrieb eines Wallet-Dienstes könnte diese Situation für kommerzielle Akteure zu unsicher und beschränkt sein, um das wirtschaftliche Risiko einzugehen. Wissend, dass es ohne eine breitere Unterstützung durch die Mitgliedstaaten nur begrenzte Möglichkeiten geben wird, ihre Wallets in größerem Umfang einzusetzen. Dies Unsicherheit könnte die derzeitigen Innovationen und Entwicklungen für einen längeren Zeitraum stoppen.
Die Referenzimplementierung, die mit Hilfe von EU-Mitteln entwickelt wird, bleibt bestehen. Auch könnte die Nutzung der Wallet eingeschränkt werden. Einige Regierungen würden den Zugriff auf die Identitäten oder sensiblen Daten im Wallet gerne auf den öffentlichen Sektor und bestimmte regulierte Branchen beschränken.
Es gibt Befürchtungen in Bezug auf den kommerziellen Missbrauch von persönlichen Daten. Diese könnten minimiert werden, indem die Dienstleister gezwungen werden, sich registrieren zu lassen, bevor sie die Wallets nutzen können. Als mögliche Konsequenz daraus könnten Akteure des privaten Sektors andere Wallet-Dienste als Alternative entwickeln.
Der beste Weg das Wallet einzuführen, wäre es, ihre Ausgabe als qualifizierten Vertrauensdienst zu definieren. Dies würde es zu einer gut regulierten, geprüften und überwachten kommerziellen Dienstleistung im Binnenmarkt machen. Die Mitgliedstaaten würden weiterhin die Kontrolle über die nationale Identität ausüben, indem sie Personalausweise, Reisepässe und andere Identitätsdokumente ausstellen. Darüber hinaus sollte die nationale Identität eine regierungsgestützte eID umfassen, z. B. eine eID, die im Chip des nationalen Personalausweises gespeichert ist.
3. Technisch nicht ausgereift und zu komplex
Zu komplex, um in einem kurzen Zeitrahmen realisiert zu werden
Unterschätzt die EU-Kommission die Komplexität des Wallet-Projekts und der notwendigen Technologie, um das Wallet und seine Infrastruktur zu verwirklichen? Die im aktuellen Vorschlag für eIDAS 2.0 geforderte Funktionalität und der damit verbundene Zeitplan - alle Mitgliedstaaten geben die Wallets innerhalb von 12 Monaten nach Inkrafttreten des überarbeiteten eIDAS aus - sind sehr ehrgeizig. eIDAS 2.0 soll Anfang 2023 in Kraft treten, was bedeuten würde, dass die Wallets Anfang 2024 ausgegeben werden könnten.
Die Technologie ist noch nicht ausgereift
Die Technologie und die Standards (siehe unten), die für das Wallet benötigt werden, sind noch nicht ausgereift oder noch nicht einmal fertig gestellt. Es gibt nur wenige produktionsreife Implementierungen, wie z. B. W3C-verifizierbare Anmeldeinformationen, aber keine davon wird in einem wirklich großen Maßstab entwickelt und an den meisten wird noch gearbeitet.
Dass Wallets mit einer großen Auswahl an Standards funktionieren müssen ist noch das kleinere Problem. Denken Sie nur an die Notwendigkeit der Interoperabilität: Wie viele Protokolle muss ein Dienst unterstützen? Was ist mit Nutzern, die zu einem anderen Wallet wechseln müssen?
Fehlende Normierungsgremien und zu viele Standards
Die EU erkennt nur eine begrenzte Anzahl von Normungsgremien oder Europäischen Normungsorganisationen (ESOs) offiziell an. Dazu gehören in Europa ETSI, CEN und CENELEC und international ISO und ITU.
Viele andere Gremien wie die IETF und das W3C veröffentlichen offen zugängliche Spezifikationen oder 'Standards'. Solche Spezifikationen können in der Regel nicht auf EU-Ebene oder in den Mitgliedstaaten angewendet werden. Ein Ansatz, der für eIDAS-Vertrauensdienste verwendet wird, sind die von ETSI oder CEN auf der Grundlage solcher Spezifikationen erstellten EU-referenzierbaren Standards. Diese Arbeit nimmt viel Zeit in Anspruch, wie unten beschrieben.
Im Wallet-Ökosystem gibt es viele Spezifikationen, aber nur wenige werden als formale Standards eingestuft. So wurden beispielsweise etwa acht verschiedene Spezifikationen als mögliche Grundlage für Attributbescheinigungen identifiziert, aber viele davon sind nicht miteinander kompatibel.
Es muss entschieden werden, ob man sich strikt an formale Standards halten will oder nicht. Eine strikte Einhaltung ist zwar wünschenswert, schließt aber viele Spezifikationen aus, die einen guten Ansatz für die Implementierung des Wallet-Ökosystems bieten können.
Abkürzungen von Standardisierungsprozessen
Im ETSI wird eine “Specialist Task Force“ (STF) eingesetzt, um technische Standards zu erarbeiten. Die Einbettung solcher Standards in die EU-Normungsgremien ist ein langwieriger und komplizierter Prozess, der mindestens 1,5 Jahre dauern kann. Bei einer europäischen Norm (technische Standards, die von den europäischen Normungsgremien ausgearbeitet und gepflegt werden) kann der Zeitrahmen aufgrund eines Genehmigungsverfahrens mit den Mitgliedstaaten länger sein. Obwohl die Arbeiten zur Unterstützung der Wallets bereits begonnen haben, ist es sehr unwahrscheinlich, dass diese erwartungsgemäß auch Anfang 2024 einsatzbereit sein werden.
Um eine Referenzimplementierung für ein Wallet zu liefern, hat die Kommission einen ausgewählten Anbieter aufgefordert, innerhalb von vier Monaten nach Projektbeginn eine erste Implementierung zu liefern. Dies bedeutet, dass der Anbieter das Projekt mit der von ihm ausgewählten Technologie bereits vor diesem Datum beginnen musste. Dies kann dazu führen, dass der Anbieter den technischen Umfang und die Standards für Wallets festlegt.
Fehlende Interoperabilität mit anderen eID-Systemen
Aus dem eIDAS 2.0-Vorschlag könnte man den Eindruck gewinnen, dass das Wallet der einzige eID-Dienst in der EU sein werden. Das wird nicht der Fall sein. Die eIDs, die heute in vielen Mitgliedstaaten eingesetzt werden, bestehen noch eine ganze Weile weiter. Die Anbieter von Diensten werden auch in der Zukunft vor der Herausforderung stehen, mehrere eIDs, einschließlich der Wallets, für ihre Dienste unterstützen zu müssen.
Der ARF trägt dieser Situation Rechnung, indem er ein 'Authentifizierungs-Gateway' oder einen Broker als Vermittler zwischen dem Wallet und den vertrauenden Parteien oder staatlichen Infrastrukturen zulässt. Das bedeutet, dass ein Akteur wie Signicat ein Wallet als einen weiteren eID-Dienst neben anderen eIDs innerhalb der Plattform oder des Brokers integrieren muss. Das Ziel von Signicat ist es den Zugang zu allen diesen Diensten über eine API anbieten zu können.
4. Rechtliche Inkompatibilität mit den bestehenden Vorschriften
Inkompatibilität mit der GDPR
Die europäische Datenschutzverordnung GDPR (Verordnung (EU) 2016/679) legt die Rollen des Datenverantwortlichen und des Datenverarbeiters für Akteure fest, die über personenbezogene Daten verfügen.
Es ist allerdings nicht ganz klar, wie diese Rollen und die GDPR im Allgemeinen auf den Fall des Wallet´s angewendet werden können. Wenn ich personenbezogene Daten auf mein Wallet herunterlade und diese an eine vertrauenswürdige Partei unter meiner alleinigen Kontrolle weitergebe, bin ich dann mein eigener Datenverantwortlicher? Kann ich die vertrauenswürdige Partei als Datenverarbeiter autorisieren? Wer ist haftbar, wenn der besagte Datenverarbeiter einen Fehler macht? Und wem gegenüber haftet er?
Privatsphäre und Datenschutz sind sowohl für die GDPR als auch für das Wallet von entscheidender Bedeutung. Es sollte keinen Konflikt zwischen ihnen geben, aber ihre Beziehung muss geklärt werden.
Unvereinbarkeit mit der Single Digital Gateway-Verordnung
Die Single-Digital-Gateway-Verordnung (Verordnung (EU) 2018/1724) verpflichtet die Mitgliedstaaten, ein Netzwerk nationaler Portale einzurichten, um Informationen für Bürger und Unternehmen bereitzustellen.
Die Verordnung basiert auf dem "Once-Only-Prinzip", was bedeutet, dass "Bürger und Unternehmen ihre Daten nur einmal an die öffentlichen Verwaltungen übermitteln" und "die zuständigen Behörden eines Mitgliedstaates in der Lage sein werden, Ihre Daten in Echtzeit an ihre Amtskollegen in anderen Mitgliedstaaten zu übermitteln".
Es wird eine Infrastruktur eingerichtet, um die Verordnung über das Single Digital Gateway zu unterstützen, bei der eine Person die Freigabe ihrer Daten an eine Gegenstelle genehmigen kann und die Daten werden dann über diese Infrastruktur übermittelt.
Ein wichtiger Aspekt des Single Digital Gateway ist die Möglichkeit, nach Informationen zu suchen. Das passt gut zum Konzept des Wallets und kann auch für den Benutzer nützlich sein. Das Wallet und die Infrastruktur des Single Digital Gateway´s scheinen jedoch zwei parallele, aber unvereinbare Mechanismen zu bieten. Das macht den Austausch von Attributen sehr schwierig. Der eine Mechanismus kennzeichnet das Wallet unter alleiniger Kontrolle des Nutzers, der andere über die vom Nutzer autorisierte Infrastruktur des Single Digital Gateway´s.
Die Informationsquellen für die Infrastruktur des Single Digital Gateway´s können dieselben sein wie die "maßgeblichen Quellen" für die Attribute in der Wallet.
Das Single Digital Gateway und eIDAS sind zwei EU-Verordnungen, die ähnliche Probleme lösen sollen, aber auf zwei unterschiedliche Arten. Die rechtliche Situation muss dabei geklärt werden. Wenn zwei Infrastrukturen für sich teilweise überschneidende Zwecke aufgebaut werden, wäre das eine Verschwendung von EU- und Mitgliedsstaatenbudget.
Potenzieller Verstoß gegen die EU-Vorschriften über fairen Wettbewerb und staatliche Subventionen
Wird das Wallet im Namen der Regierung in einem Mitgliedstaat, in dem eine Infrastruktur von kommerziellen eID-Anbietern bereits existiert, ausgegeben oder eingeführt, dann wird die Regierung zu einem Akteur auf dem eID-Markt.
Eine Regierung kann eine subventionierte oder kostenlose eID für den Zugang zu öffentlichen Diensten herausgeben. Wenn die eID jedoch in dem privaten Sektor angeboten wird, wie es bei dem Wallet der Fall sein wird, kann es sein, dass die Regierung mit kommerziellen Akteuren konkurriert. Damit kommen die EU-Vorschriften über fairen Wettbewerb und staatliche Subventionen ins Spiel. Diese rechtliche Herausforderung hängt mit der Definition der Geschäftsmodelle für die jeweiligen Akteure im Wallet-Ökosystem zusammen.
Mangelnde Anpassung an bestehende Zahlungssysteme
Die Nutzung von Wallets für Zahlungen wird in eIDAS 2.0 nicht erwähnt, hat sich aber als wichtiger Anwendungsfall für die groß angelegten Piloten herausgestellt. Es ist noch unklar, wie die Zahlungsfunktionalität der Wallet aussehen wird. Wird das Wallet lediglich eine starke Kundenauthentifizierung (SCA) zur Unterstützung einer Zahlungstransaktion bereitstellen (in der PSD2-Richtlinie definiert) oder sollte das Wallet ihre eigene Funktionalität für Zahlungstransaktionen anbieten?
Unabhängig davon, wie dies funktionieren wird, ist es wichtig, dass das Wallet mit bestehenden Zahlungssystemen abgestimmt ist. Schließlich hat die Zahlungsindustrie ihre eigenen Vereinbarungen und Vorschriften, die eingehalten werden müssen.
Idealerweise sollte SCA eine Voraussetzung für das Wallet sein. Wird ein Zahlungsdienst jedoch von der Regierung im Wettbewerb mit kommerziellen Zahlungsdienstleistern erbracht, könnte dieser auch von den EU-Vorschriften über fairen Wettbewerb und staatliche Beihilfen betroffen sein.
Zusammenfassend lässt sich sagen, dass es viele Gründe gibt, warum die europäische Initiative zur digitalen Identitätsbörse scheitern könnte. In diesem Blogbeitrag haben wir die Risiken in vier Kategorien zusammengefasst:
Fehlender Rückhalt bei den wichtigsten Parteien und den EU-Bürgern
Ein Wallet-Ökosystem, das kommerziell noch nicht nachhaltig ist
Technisch nicht ausgereift und zu komplex
Rechtliche nicht vereinbar mit den bestehenden Vorschriften
Warum glaubt Signicat also, dass ein Wallet immer noch ein Erfolg sein könnte? Das ist zwar ein Thema für einen anderen Blogbeitrag, aber die Kurzfassung ist, dass die Wallet-Initiative zu einer Wiederbelebung der Identitätsdienstleistungsbranche geführt hat.
Es hebt die Aspekte der alleinigen Benutzerkontrolle und der gezielten Identifizierung hervor, d. h. der Benutzer behält die Kontrolle, sodass nur die spezifischen Informationen freigegeben werden, die der Empfänger auch wirklich benötigt. Viele, wenn nicht sogar die meisten Identitätsexperten sind der Meinung, dass dies im Prinzip der richtige Weg ist, um Identitätsdienste zu entwickeln. Jetzt könnten sie in die Praxis umgesetzt werden. Aber selbst wenn das Wallet scheitern sollte, werden andere ähnliche Dienste auftauchen.
Signicat ist an den Entwicklungen und Piloten beteiligt, die dieses neue Wallet-Ökosystem zum Leben zu erwecken sollen. Aufgrund der Tatsache, dass wir die Risiken genau kennen, wissen wir auch, dass dies vielleicht nicht zu der allumfassenden, großartigen, glänzenden Einzellösung führt, die sich einige Leute erhoffen. Aber es wird ein großer Schritt nach vorne sein, mit dem Ziel den Bedarf an echtem Vertrauen in der digitalen Welt zu decken.