Experten-Analyse: „Sichere europäische e-Identität“

Am 16. September 2020 verkündete die EU-Kommissionspräsidentin Ursula von der Leyen in ihrer „State of the Union"-Rede vor dem Europäischen Parlament, dass die Kommission bald eine sichere europäische e-Identität vorschlagen wird. In einer weiteren Erklärung wurde klargestellt, dass die EU-Staats- und Regierungschefs die Kommission auffordern werden, bis Mitte 2021 einen Vorschlag für eine Initiative zur 'Europäischen digitalen Identifikation' vorzulegen.


„Die Kommission wird in absehbarer Zeit einen Vorschlag zum Thema sichere europäische e-Identität veröffentlichen. Eine, der wir vertrauen und die jeder Bürger überall in Europa nutzen kann, um alles zu erledigen - vom Bezahlen der Steuern bis zum Mieten eines Fahrrads. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten genutzt und wie Daten verwendet werden.“

- Ursula von der Leyen, Präsidentin der Europäischen Kommission

Expertenanalyse von Jon Ølnes, Produktmanager Nordics, Signicat

In diesem Leitfaden werden wir die elektronische Identifizierung in der EU (EU eID) aus verschiedenen Blickwinkeln beleuchten und u. a. die folgenden Fragen beantworten:

  • Was ist die EU-Initiative zur elektronischen Identität (eID)?
  • Wird die EU eine eID an alle Personen in der EU ausgeben?
  • Warum kommt diese Idee jetzt auf?
  • Wird es eine EU eID geben? Wann? Und wird sie funktionieren? 


Um die wichtigsten Entwicklungen zusammenzufassen, werden die obigen Fragen im Folgenden kurz beantwortet:

Das Ziel ist ein elektronisches Identitätssystem, d. h. ein System, in dem eIDs von verschiedenen Ausstellern interoperabel arbeiten können. Die EU eID wird also nicht eine zentral ausgegebene eID für jeden Bürger in der EU sein. Der Zeitpunkt für die Initiierung des EU eID-Projekts ergibt sich aufgrund der bevorstehenden Überarbeitung der eIDAS-Verordnung. Der eID-Teil von eIDAS war nicht besonders erfolgreich, was sicherlich daran liegt, dass er auf Dienstleistungen des öffentlichen Sektors beschränkt war und somit nur wenig praktische Anwendung fand.

Die EU eID-Initiative kommt von der Spitze des EU, daher wird eine EU eID  ziemlich sicher zustande kommen. Allerdings gehen wir davon aus, dass der Erfolg weitgehend von der Fähigkeit der EU abhängen wird, das eID-Schema mit praktischen Anwendungsfällen zu verknüpfen. In jedem Fall sollte Signicat und seine Kunden diese Entwicklung auf dem Radar haben. Wir rechnen mit einem Zeithorizont von geschätzten 2-3 Jahren.

Bis zur Veröffentlichung eines Vorschlags (dieser wird voraussichtlich im Sommer 2021 erwartet) wissen wir nicht mit Sicherheit, wie die EU eID aussehen wird. Einige Informationen und Hinweise sind jedoch bekannt. Im Folgenden gehen wir näher auf diese Hinweise und die daraus resultierenden Herausforderungen für eine EU eID ein und ergänzen diese mit unseren Empfehlungen.


Rechtsgrundlage für ein EU eID-System


Zum Zeitpunkt der Verabschiedung der eIDAS Richtlinie war man der Ansicht, dass es kein EU-Mandat zur Regelung der nationalen Identitäten gibt. Daher gilt der eIDAS-Teil zur eID formal nur für öffentliche Dienste und grenzüberschreitende Interaktionen. Die EU hatte offensichtlich die Hoffnung, dass die Einrichtung des eID-Rahmens, der zur Unterstützung von eIDAS geschaffen wurde, in einem breiteren Rahmen genutzt werden sollte. Aber das ist leider nie geschehen. Ein wesentliches Ergebnis von eIDAS bleibt jedoch bestehen: Die Sicherheitsstufen „substanziell" und „hoch" für die Kategorisierung von eIDs wurden von den Mitgliedstaaten in ihren nationalen eID-Richtlinien weitgehend übernommen. Auf dies Weise ist es möglich geworden einen gesamteuropäischen Standard für eID-Sicherheitsstufen zu schaffen.

Ein Entwurf der überarbeiteten Verordnung soll im ersten Quartal 2021 veröffentlicht werden. Im Verlauf des Jahres 2021 werden Beratungen und Überarbeitungen vorgenommen, mit dem Ziel, eine endgültige Version Anfang 2022 zu verabschieden.


Es wird zunehmend deutlich, dass eine der wichtigsten vorgeschlagenen Änderungen die „eID als Vertrauensdienst" sein wird. Dies bedeutet, dass es „qualifizierte eID-Diensteanbieter" geben wird. (Unternehmen, die ihren Kundinnen und Kunden die Verwendung des Online-Ausweises in Verbindung mit geschäftlichen Anliegen anbieten, werden als ‚Diensteanbieter' bezeichnet.)

Es bleibt abzuwarten, ob die Leistung dieser Anbieter eine „qualifizierte eID" sein wird, und falls ja, was genau diese Bezeichnung bedeutet. Oder ob eIDs auch in Zukunft nach den derzeitigen Stufen „substanziell" und „hoch" bewertet werden. Ein Vertrauensdienst in eIDAS ist „ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird" und der Vertrauensdienste-Teil von eIDAS basiert auf dem Vertrag des Binnenmarktes. Was bedeutet es wenn eID-Dienste zu Vertrauensdiensten werden? Das bedeutet, dass diese Dienste sowohl von kommerziellen Akteuren, die innerhalb der EU im freien Wettbewerb stehen, als auch von öffentlichen Stellen erbracht werden können.

Um explizit eine rechtliche Grundlage für die EU eID zu schaffen, hat die Kommission darauf hingewiesen, dass es ein separates europäisches Gesetz zur digitalen Identität geben könnte. Vermutlich hängt dies davon ab, ob eine überarbeitete eIDAS-Verordnung ausreichend ist, um die EU eID und die grenzüberschreitende eID in Europa zu regeln oder nicht.

Signicat unterstützt eine solche Änderung in der eIDAS-Verordnung nachdrücklich. Eine wichtige Anmerkung von unserer Seite ist, dass die kommende eID-Gesetzgebung ein Ökosystem von Akteuren berücksichtigen muss und nicht nur die Herausgeber von eIDs. Durch unser Digital Idenity Hub sind wir selbst ein gutes Beispiel für einen Akteur innerhalb eines Ökosystems, das über 30 eIDs und eID-Schemata integriert hat und diese Signicat-Kunden über eine API zur Verfügung stellt. Diese „Makler"-Rolle wird heute auf nationaler Ebene reguliert. Das bedeutet, dass Signicat z. B. in Dänemark eine Makler-Zertifizierung durchläuft, obwohl wir in Finnland bereits eine Zertifizierung haben. Wenn die Makler-Rolle durch die überarbeitete eIDAS-Verordnung geregelt wird, sollte Signicat in der Lage sein, eine einzige „qualifizierte Makler-Zertifizierung" zu erhalten. Diese kann dann genutzt werden, um überall in der EU als Anbieter von Maklerdiensten zu agieren. Die Rolle des Maklers/Ökosystem-Anbieters muss auf abstrakte Weise definiert werden, um mehr als das von Signicat angewandte Plattform-Modell abzudecken.

Grundsätze der EU eID

Basierend auf einer Präsentation von Norbert Sagstetter, stellvertretender Leiter des Referats für eGovernment und Vertrauen bei der Europäischen Kommission, wird die vorgeschlagene EU eID folgendes enthalten:

  • Eine Self-Sovereign Identity (SSI): Das bedeutet, dass eine nutzergesteuerte Freigabe von Informationen ermöglicht wird. Dabei handelt es sich aber nicht unbedingt um eine „reine SSI", wie dies üblicherweise definiert wird. Auch muss sie nicht auf der Blockchain-Technologie basieren.
  • Attribute aus vertrauenswürdigen Informationsquellen: Derzeit läuft eine Studie, um die Verfügbarkeit von Quellen in den jeweiligen Mitgliedsstaaten zu erfassen.
  • Mobile-first und auf gemeinsamen Standards basierend: Die EU Kommission überlegt, ob eine sichere Identitäts-Wallet-App als Basis zur Verfügung gestellt werden soll.
  • Es können sowohl öffentliche als auch private Anbieter teilnehmen.
  • Universell verfügbar und universell nutzbar: Die EU Kommission erwägt eine gesetzliche Verpflichtung für die Genehmigung von Diensten.

Signicat unterstützt die behutsame Annäherung an eine SSI eID. Während wir das Prinzip der Benutzerkontrolle und des Eigentums an den Daten voll unterstützen, ist eine „reine SSI"-Lösung, die sowohl sinnvoll als auch benutzerfreundlich ist, noch nicht in Sicht. Signicat hat bereits in der Vergangenheit die Nutzung des „Identitätsbewahrer"-Ansatzes befürwortet. Das bedeutet also die Nutzung einer SSI in Kombination mit einem vertrauenswürdigen Diensteanbieter für die Benutzerunterstützung und -wiederherstellung. Ganz normale Benutzer mit einem SSI-Ansatz zu konfrontieren, bei dem sie ganz auf sich allein gestellt sind, wird vermutlich nicht funktionieren.

Eine gesetzliche Verpflichtung für Diensteanbieter, die EU eID zu akzeptieren, sollte sorgfältig geprüft werden. Auch hier möchten wir von Signicat auf die Notwendigkeit hinweisen, nicht nur die eID-Bereitstellung zu regulieren, sondern das gesamte Ökosystem, welches auch das Angebot von Maklerdiensten beinhaltet. Ein häufiger Fehler, nicht zuletzt bei SSI-basierten eID-Systemen, ist die Annahme, dass dies die einzige eID sein wird, die jeder haben und jeder Diensteanbieter akzeptieren wird.


Die Realität sieht allerdings so aus, dass viele eIDs bereits parallel existieren und dies auch weiterhin tun werden. Und das gilt wahrscheinlich für viele weitere Jahre. Daher werden beispielsweise die eingesetzten eIDs der skandinavischen und baltischen Länder erhebliche Änderungen benötigen, um mit den oben genannten Richtlinien einer EU eID übereinzustimmen. Die eIDs in diesen Ländern decken heute 95 % der erwachsenen Bevölkerung ab und werden nahezu „überall" verwendet. Demzufolge wird eine EU eID sie kurzfristig nicht ersetzen können. Diese und andere eIDs und eID-Systeme werden weiterhin existieren, was bedeutet, dass ein Diensteanbieter entweder eine Integration mit vielen verschiedenen eIDs vornehmen muss oder sich auf die Anbieter von Maklerdiensten verlassen muss. Letztere können den Zugang zu vielen eIDs innerhalb eines Systems vermitteln.

Wohingegen sich die Möglichkeit auf vertrauenswürdige Informationsquellen zuzugreifen als Herausforderung erweisen kann. Auf Nachfrage antwortete Herr Sagstetter von der Kommission, dass sie davon ausgehen, dass Informationen in allen Mitgliedsstaaten verfügbar sind. In Ländern wie den skandinavischen und baltischen Staaten, die über Bevölkerungsregister und eine ansonsten gut ausgebaute Registerinfrastruktur verfügen, sollte dies kein Problem sein. Aber in anderen Ländern sind vertrauenswürdige Quellen für personenbezogene Daten aufgrund technischer Merkmale (z. B. verstreut und ohne koordinierten Zugang) und rechtlicher Hindernisse (z. B. kein Zugang zum privaten Sektor) heute nicht ohne weiteres verfügbar.

Es wird eine EU eID geben, aber wird es auch eine EU Identität sein?

Eine Identität ist heute in der EU eine nationale Angelegenheit. Es gibt keine „EU Identität". Die nationale Identität wird durch die Staatsbürgerschaft, den Wohnsitz, die Rechte und Pflichten bestimmt, die eine Person hat. Das kann aber auch bedeuten, dass eine Person eine Identität in mehreren Mitgliedstaaten haben kann. Viele Mitgliedsstaaten haben heute in der Praxis keine verlässliche Möglichkeit, ihre Einwohner in Verbindung mit einer elektronischen Identität eindeutig zu identifizieren. Es gibt heute keine Möglichkeit, nationale Identitäten grenzüberschreitend zu verknüpfen. 

Die eID-Initiative der EU sollte in der Lage sein eine überzeugende Lösung für die grenzüberschreitende Verknüpfung nationaler Identitäten zu finden, aber das wird vermutlich schwierig werden. Diese Schwierigkeiten hängen mit dem Problem der vertrauenswürdigen Datenquellen zusammen. Daten müssen zur zweifelsfreien Identifizierung mit einer Person verknüpft werden, auch über verschiedene Datenquellen hinweg. Die rechtlichen Hürden, wie z. B. in Deutschland, stellen eine Herausforderung dar. Ein europäisches Gesetz zur digitalen Identität, das nationale Gesetze außer Kraft setzt, wird sicherlich auf Widerstand stoßen.

Länderübergreifende eIDs funktionieren– aber wie steht es um die nationale Nutzung?

Die eID-Plattform von Signicat integriert heute bereits über 30 eIDs und eID-Schemata, die mittlerweile 13 Länder und Territorien abdecken. Alle diese eIDs sind über eine Signicat-Schnittstelle verfügbar. Im Prinzip sind sie somit sogar global für alle Kunden von Signicat verfügbar. Eine Ausweitung auf eine vielfache Anzahl von eIDs ist möglich, wenn die eID-Anbieter Standardprotokolle wie OIDC oder SAML verwenden. Ein Blick ins Innere lässt erkennen, dass der Ökosystem-Ansatz mehrere Schichten hat, denn unter den bei Signicat integrierten eID-Systemen befinden sich z. B. Dienste wie yes® (Deutschland), iDIN (Niederlande) und France Connect (Frankreich), die ihrerseits als Plattform für mehrere eID-Anbieter dienen.

Die Herausforderung für eine EU eID besteht darin, dass viele Mitgliedstaaten keine eIDs für einen ausreichenden Teil der Bevölkerung bereitstellen oder dass die bereitgestellten eIDs in der Praxis nicht genutzt werden oder beides. Nach Ansicht von Signicat ist ein guter Richtwert für eine „lebendige“ eID Infrastruktur, wenn 90 % der erwachsenen Bevölkerung eine wiederverwendbare eID besitzen und diese mindestens zwei Mal pro Woche nutzen. Dieser Richtwert wird allerdings nur von 5-6 Ländern im EU/EWR-Raum erfüllt. Einige weitere Länder und Regionen, wie die Benelux-Staaten und Österreich, sind auf dem Weg dorthin und andere Länder, wie Frankreich und Italien zeigen einen rasanten Anstieg in der Verbreitung. In Ländern wie Spanien oder Deutschland dagegen ist der nationale Personalausweis in großem Umfang verbreitet, es zeigt sich aber eine nur sehr begrenzte Nutzung. Alles in allem liegt noch ein langer Weg vor uns.

Zusammenfassung

Ein mögliches Szenario für eine EU eID wäre es, wenn die Rolle des „qualifizierten eID-Anbieters" in der überarbeiteten eIDAS-Verordnung definiert wird. Damit verbunden könnten diese Dienste EU-weit verpflichtend anerkannt werden. In Verbindung mit den eIDAS-Regeln, die für einen qualifizierten eID-Anbieter gelten, könnte es ein Gesetz zur Umsetzung geben, in dem das EU eID-System spezifiziert wird. Das bedeutet, dass man ein qualifizierter eID-Anbieter werden kann, wenn man sich an die eIDAS und deren Regelungen hält. Und innerhalb eIDAS kann eine Regelung festgelegen, dass man sich als qualifizierter eID-Anbieter bei den notwendigen Informationsquellen integrieren darf.

Obwohl dies ein notwendiger Weg zu sein scheint, um alles auf ein EU eID-System zu standardisieren, kann dieser Weg aber auch gefährlich sein. Wenn andere eID-Anbieter, die sich nicht an das EU eID-System halten, nicht qualifiziert werden dürfen, wird ihr Geschäftsbetrieb ernsthaft behindert. Dazu gehören Akteure, die heute Lösungen anbieten, die in der Praxis kritische Gesellschaftsinfrastrukturen einiger Mitgliedstaaten darstellen.

Signicat empfiehlt, einen „qualifizierten eID-Anbieter" nicht auf das EU eID-System zu beschränken, sondern diese Rolle auch für Akteure zu öffnen, die anderen Identitätssystemen folgen. Dies sollte einen Ökosystem-Ansatz beinhalten, bei dem auch „Makler", in einer weiten Auslegung dieses Begriffs, qualifizierter Anbieter werden können und somit Zugang zu den definierten Informationsquellen erhalten. Das Ergebnis sollte ein rechtlicher Rahmen sein, der Innovation und Skalierung ermöglicht.

Signicat freut sich auf weitere Informationen, wie sich das EU eID-System in Zukunft spezifizieren wird und wir werden aktiv dazu beizutragen, dass die Initiative bestmöglich funktioniert.

Jon Ølnes

Jon Ølnes

Product Manager at Signicat

März 29 2021