Die Idee, elektronische Personalausweise (eIDs) EU-weit einzuführen, klingt sehr vielversprechend. Selbst auf einfachem Niveau ermöglichen eIDs Tausenden von Dienstleistern, ihre Dienste relativ einfach online anzubieten. Einige EU-Länder - wie Italien und Estland - verfügen bereits über solche Systeme. Und das Ergebnis? Es funktioniert, es ist sicher, und es ist sehr effizient.
Das führt zu einer einfachen Frage: Wann und wie werden sich eIDAS eIDs durchsetzen? Warum investieren private Unternehmen nicht mehr, und warum bleiben einige Länder zurück? Obwohl die Vision klar ist, gibt es viele Hindernisse auf dem Weg dorthin.
eID-Richtlinien sind eine nationale Angelegenheit
Ein Teil des Problems ist die Diskrepanz zwischen den nationalen Rechtsvorschriften und der EU/eIDAS-Verordnung. Im Bereich der eID erwartet eIDAS, dass die Mitgliedstaaten die Vorschriften und Standards für die Fernidentifizierung festlegen. Anschließend sollen die Mitgliedstaaten ihre Systeme gegenseitig überprüfen und aufeinander abstimmen.
Im Wesentlichen fordert dieses System Vertreter von Regierungsbehörden auf, in Zusammenarbeit klare und kohärente Richtlinien zu erstellen. Allerdings ist ein Kompromiss ohne eine dem Stand der Technik entsprechende Gesetzgebung sehr schwer zu erreichen. Außerdem können die Mitgliedstaaten sehr unterschiedliche Ziele verfolgen, was die Nutzung von eID auf internationaler Ebene noch schwieriger macht.
Unklare nationale Gesetzgebung zur Fernidentifizierung
In Schweden hat die Agentur für digitale Verwaltung (DIGG) eine Anforderung für eID-Dienstleister erstellt. Es handelt sich dabei um eine proprietäre Interpretation der PKI und des ETSI-Standards auf hohem Niveau. Dennoch enthält sie nur wenige oder gar keine expliziten Anforderungen, die mit denen von ETSI vergleichbar sind. Die schwedischen DIGG-Rahmenbestimmungen schützen nationale Systeme wie BankID, indem sie Ad-hoc-Grundsätze aufstellen, die die Erstellung eines Zertifikats auf der Grundlage eines anderen Zertifikats verbieten, was eine zusätzliche Herausforderung für nationale oder internationale Dienstanbieter darstellt. Dies widerspricht dem grundlegenden TSP-Prinzip der Wiederverwendung von Zertifikaten in Artikel 24, 1b und 1c eIDAS.
Das Problem der Gesetzgebung ist auf breiterer Ebene ebenso ernst. Derzeit gibt es in vielen EU-Mitgliedstaaten keine Gesetze oder Verordnungen zur Fernidentifizierung. Das lässt viele Fragen zur Verwendung von kryptografisch unterstützten ID-Dokumenten und biometrischen Daten offen. Es ist auch unklar, wie die verschiedenen Anforderungsniveaus (niedrig - erheblich - hoch) für die eIDAS-Fernidentifizierung erfüllt werden können. Um Beispiele von Ländern zu finden, die mit solchen Problemen konfrontiert sind, muss man nicht lange suchen. Das Problem ist selbst in etablierten Mitgliedstaaten wie Deutschland und Frankreich offensichtlich.
Geringer Appetit auf Finanzierung und Innovation
Bei all den Problemen, die wir gerade angesprochen haben, ist Schweden kaum eine Ausnahme - eher die Regel.
Es gibt zwar Anbieter mit einer klaren Regelung zur Fernidentifizierung, aber nur wenige Mitgliedstaaten ergreifen Maßnahmen, um sie zu unterstützen. Dennoch ist die Fernregistrierung im Zeitalter der Digitalisierung ein wichtiger Wettbewerbsfaktor - und wird es auch bleiben. Sie wird sich auf die Geschäftsmodelle, die Preisgestaltung und die Einführung digitaler Methoden auswirken, aber wir tun nicht genug, um diese Veränderungen zu steuern. Dies schafft ein Umfeld mit wenig Vorhersehbarkeit, Klarheit und Investitionsbereitschaft.
In Deutschland liegt der Verantwortungsaspekt der eID-Auslegung in den Händen des Staates. Dies lässt wenig Raum für private Akteure, die investieren und Innovationen vorantreiben könnten. Es widerspricht auch den eIDAS-Grundsätzen, die die Zusammenarbeit fördern, indem eIDs als nationale Angelegenheit betrachtet werden.
In Schweden (und den meisten anderen EU-Mitgliedstaaten) dürfen eID-Anbieter nur Staatsangehörige mit eID versorgen. Möchte ein eID-Anbieter sein Produkt in mehr als einem EU-Land anbieten, müsste er in jedem Land eine eID beantragen. Wenn die Vorschriften sehr unterschiedlich und unvorhersehbar sind, wird kein Management dies tun. Die italienische Aufsichtsbehörde AGID verlangt beispielsweise ein Kapital von 5 Millionen Euro und eine italienische Tochtergesellschaft. Wer würde sich unter solchen Bedingungen auf einen neuen Markt wagen?
Schweden hat seit dem Inkrafttreten von eIDAS im Jahr 2016 nur einen neuen eID-Anbieter bestätigt (unter Ausschluss der bereits etablierten BankID). Auch in anderen EU-Mitgliedstaaten verläuft die Einführung von eIDs nur langsam. In der Praxis geschieht dies bisher nur, wenn die Bankensysteme auf eID umgestellt werden (Nordics, Baltikum und Italien).
Die Lösung ist vorhanden, aber wir brauchen Veränderungen
Die Gesetzgebung und Umsetzung von eID ist eine komplexe Aufgabe, aber keine Raketenwissenschaft. Tatsächlich hat die EU in ihrem jüngsten Vorschlag für die Wallet bereits einen Teil der Lösung entworfen.
In der Zwischenzeit ist hier die Lösung von ZealiD für den Start von eIDs:
- Angleichung der Fernidentifizierungsstandards für eID, TSP und EU-Wallets in den Mitgliedstaaten. eIDAS 2.0 soll es der Europäischen Kommission ermöglichen, einen umfassenden ETSI-Standard zu bestätigen.
- Nach 1, sollten Konformitätsbewertungsstellen (die den ETSI-Normen unterliegen) diese Normen überprüfen. Potenziell könnte diese Verantwortung auch den biometrischen Konformitätsbewertungsstellen zukommen.
- eID-Anbieter sollen jedem EU-Bürger Identitäten ausstellen dürfen. Dies wäre ein Wendepunkt für die Innovation und würde die Privatwirtschaft dazu einladen, die Einführung von eID auf eine einheitlichere und effizientere Weise voranzutreiben, als dies die Staaten tun.
Erfahren Sie mehr:
.svg "ZealiD Logo New (1)"){kind=small}
