Dass die Herausforderungen im Zusammenhang mit der ID Wallet vielfältig sind, zeigte die Panel-Diskussion auf der diesjährigen FINTICS mit Vertreterinnen der Europäischen Kommission, der Bundesregierung, des Deutschen Bundestages und der Industrie. Alle waren sich darin einig, dass die ID Wallet kommen wird und in 5 Jahren der digitale Normalfall ist. Über den Weg dorthin gab es jedoch unterschiedliche Ansichten.
Sehr gerne möchten wir auch noch den Bundestagsabgeordneten Dr. Markus Reichel als Vertreter der Opposition zu Wort kommen lassen. In der CDU/CSU-Bundestagsfraktion hat er die Aufgabe des Berichterstatters für digitale Identitäten übernommen.
VdK: Sehr geehrter Herr Dr. Reichel, haben Sie eine Wallet?
Dr. Markus Reichel: Ich habe mal die Verimi Wallet und die Smart Wallet von Yolocom ausprobiert und bin im Besitz der Ausweis App. 2.0. Es wird bereits intensiv an einem Nachfolgemodell der Personalausweis-App gearbeitet. Ziel ist eine verbesserte Nutzbarkeit, und das ist auch gut so. Mit den bestehenden technischen Möglichkeiten lässt sich im Moment wenig anfangen, weil wir mehr Anwendungsfälle im staatlichen Bereich, aber auch bei Unternehmen benötigen, um ein Mehrwert für die Bürgerinnen und Bürger zu schaffen. Ein wichtiges Zeichen wäre, wenn alle Banken in Deutschland das unsichere VideoIdent-Verfahren abschaffen und die Identifizierung mit dem Personalausweis einführen würden. Damit schafften wir mehr Sichtbarkeit, denn vielen Bürgern sind die Möglichkeiten, die digitale Identifizierungen im Netz bieten, nicht bewusst.
VdK: Das Thema ID Wallet hat ja eine nationale und eine europäische Ebene. Blicken wir zunächst einmal auf Erstere. In Deutschland ist die Einführung Ende 2021 vorläufig gescheitert. Die Kritik damals lautete, die deutsche Lösung sei technisch nicht ausgereift und habe gravierende Sicherheitslücken. Warum kriegen andere Länder, wie beispielsweise Belgien, das scheinbar besser hin als wir?
Dr. Markus Reichel: In Deutschland herrscht oft eine Mentalität, dass alles zu 100 Prozent einwandfrei funktionieren muss, bevor die Entwicklung auf den Markt kommt. Mit der Einführung der ID Wallet versuchte die unionsgeführte Bundesregierung „work in Progress“ durchzuführen. Nach dieser Methode wird in vielen Ländern der Welt erfolgreich gearbeitet. Bei der Corona-Warn-App ist uns dies auch gelungen und ist ein Best Case Beispiel aus Deutschland, obwohl es auch viele Bedenkenträger gab. Die ID Wallet ist an einer Reihe von Gründen gescheitert, auch dieses Beispiel zeigt: In Deutschland brauchen wir eine bessere Kultur für Gründung und den Umgang mit Scheitern, aber auch eine bessere Kommunikation; und das gilt gerade auch bei Innovationen, die unsere staatliche Verwaltung voranbringen können.
VdK: Auf der FINTICS am 09.09. machte der Abgeordnete Dr. Volker Redder das BSI, das Bundesamt für Sicherheit in der Informationstechnik, verantwortlich dafür, dass das Thema ID Wallet in Deutschland nicht vorankommt. „Mal Fünfe gerade sein lassen“, sagte er. Wie schätzen Sie die Rolle des BSI ein?
Dr. Markus Reichel: Das Bundesamt für Sicherheit in der Informationstechnik ist eine wichtige Behörde, und ich befürworte die neue Bedeutung, die diese Behörde bekommen soll. Ein Einbezug in den Prozess ist wichtig für den Datenschutz und auch für die Sicherheit. Gerade die jüngsten Bedrohungen für unsere Cybersicherheit zeigen dies. Aber am Ende müssen wir gerade im Bereich der sicheren digitalen Identitäten zu Lösungen kommen, die europäisch interoperabel sind; das muss natürlich auch die deutsche Verwaltung akzeptieren.
VdK: Auf die Kleine Anfrage der CDU/CSU-Bundestagsfraktion zum Stand digitaler Identitäten antwortete die Bundesregierung im Mai auf die Frage, wie sie mit ihrem Projekt weiterzumachen gedenkt, dass sie jetzt erstmal die Revision der EU-eIDAS-Verordnung abwarten wolle. Wortwörtlich heißt es: „Die Auswahl der nationalen Wallet für Deutschland wird von diesen Vorgaben abhängen.“ Das gefällt nicht jedem; es ist zu hören, Deutschland und nicht die EU müsse als Standardsetzer vorangehen. Wie sehen Sie das?
Dr. Markus Reichel: Alle Länder in der Europäischen Union versuchen bei diesem Projekt ihren Standard durchzusetzen, damit bereits getätigte Investitionen nicht umsonst waren. Hinzu kommt noch, dass ein neues System sich an das Ökosystem wiederum anpassen muss, was mit weiteren Kosten verbunden ist. In der Europäischen Union brauchen wir nicht unbedingt eine gleiche ID Wallet für alle. Es ist auch möglich, bestehende Systeme über Schnittstellen, sogenannte APIs, zu verbinden und somit die alten Strukturen zu erhalten. Wichtig ist, dass die Bundesregierung sehr aktiv den Novellierungsprozess der eIDAS-Verordnung unterstützt und zeitgleich den Zugang zur digitalen Verwaltung über Wallet oder App voranbringt.
VdK: Auf der FINTICS sprach die Vertreterin der Kommission, Sabine Otto, davon, dass der Vorschlag für eine European Digital Identity Wallet ein „moderner und umfassender Vorschlag“ sei. Sie warb enthusiastisch um Unterstützung. Wie bewerten Sie den Vorschlag?
Dr. Markus Reichel: Das Konzept der EU-Wallets ist ein digitaler Gamechanger in der Digitalisierung – bei richtiger Umsetzung. Die Idee, in einer Wallet Nutzer die Kontrolle über ihre Identitätsattribute zu geben, sodass sie nur die nötigsten Daten teilen müssen, ist lobenswert. Für Nutzerinnen und Nutzer, Unternehmen und Institutionen eröffnet sich die Möglichkeit einer Gesamtlösung, welche sämtliche Arten von Identitätsnachweisen und sonstigen Bescheinigungen in einem offenen Ökosystem zusammenführt und für die Nutzerin bzw. den Nutzer eine einfache, sichere Verwaltung ermöglicht.
Gleichzeitig verbleibt die Kontrolle der Nachweise bei den Nutzenden. Es obliegt allein ihnen zu entscheiden, welche Daten Sie wem weitergeben. Des Weiteren erfolgt die Weitergabe der Daten direkt vom Halter zum Verifizierer mit einer Ende-zu-Ende-Verschlüsselung, sodass der Herausgeber der Nachweise keine Kenntnis von deren weiterer Nutzung erhält. Gleichzeitig stellt die Nutzung des Distributed Ledgers als Vertrauensanker sicher, dass die Nachweise auf Gültigkeit und Unverändertheit geprüft werden können, sowie der Aussteller nachprüfbar ist, ohne dass für diese Prüfung die personenbezogenen Daten ins Netzwerk gelangen.
Da die Wallet-Überlegungen auf europäischer Ebene gut voranschreiten, sollte Deutschland sich zeitnah entscheiden, ob statt einer parallel entwickelten deutschen Wallet eine App zum Zugang, zur digitalen Verwaltung und weiterer Services der bessere Weg ist. Leider ist dazu in der vor kurzem erschienen Digitalstrategie wenig zu lesen und die Position der Bundesregierung unklar.
VdK: Sie sagen es! Wie in Brüssel zu hören ist, gibt es ja auch im Rat eine sehr breite Unterstützung für den Vorschlag der Kommission. Von deutscher Seite hingegen wurde in der Ratsarbeitsgruppe offenbar Zurückhaltung signalisiert. Kennen Sie Einzelheiten?
Dr. Markus Reichel: In einer Roadmap hat die EU-Kommission im Juli 2020 drei Wege vorgeschlagen, wie es weitergehen kann: Die erste Option wäre, die Verordnung leicht anzupassen, sodass die nationalen Identitätslösungen besser vernetzt werden und alle Mitgliedsstaaten verpflichtet werden, eine Lösung anzubieten. Die zweite Option wäre, den Privatsektor stärker einzubinden. Die radikalste Idee: Eine einheitliche EU-ID. Eine EU-Lösung in den Mitgliedstaaten ist wohl nicht durchsetzbar. Identitäten sind ein klassisches nationalstaatliches Thema. Bisher existiert auch noch kein EU-Personalausweis. Insofern setzt die EU auf einen Rahmen für die Interoperabilität, der verschiedenen nationalen Systeme zu schaffen. Nun soll es ein ID-Wallet Grundgerüst der Europäischen Union geben, auf welches die Mitgliedstaaten ihre Vorstellungen aufsetzen sollen.
In den aktuellen Entwürfen gibt es noch einige offene Punkte, die klargestellt werden müssen, wie zum Beispiel hinsichtlich eines geforderten einheitlichen persistenten Identifiers, sowie die Frage, ob die Wallet ein eID-Mittel ist, oder eines enthält. Die Mehrheit der Mitgliedstaaten ist für eine Wallet als eID-Mittel. Die Bundesregierung stellt sich gegen diese Lösung und ebenso gegen einen einheitlichen persistenten Identifier. Die Bundesregierung hat hier Bedenken hinsichtlich des Datenschutzes und der Datensicherheit. Sie zieht sich hier auf die Position des BSI zurück. Ich bin für den Einsatz als eID-Mittel, da sich dadurch viel mehr Möglichkeiten ergeben. Natürlich muss der Datenschutz gewahrt sein, mir scheint es aber wieder ein deutsches Problem zu sein.
VdK: Aus Sicht der Digital Lender ist das bedauerlich. Der größte Markt braucht Speed, aber die Bundesregierung muss noch überlegen. Immerhin müssen die Mitgliedstaaten ein Jahr nach Verabschiedung der Verordnung ihren Bürgern die EU ID Wallet zur Verfügung stellen. Wir finden das natürlich gut. Aber halten Sie das überhaupt für realistisch?
Dr. Markus Reichel: Das ist ein sehr ambitioniertes Ziel, aber vor dem Hintergrund der Konkurrenz der Plattformen wie Apple und Google notwendig. Wir befinden uns hier in einem Wettlauf um die Zeit. Wie bereits oft in der Vergangenheit gesehen, setzt sich das System durch, welches zuerst auf dem Markt ist. Ich unterstützte hier die Zielsetzung der EU und halte eine schnelle Verabschiedung der eIDAS-Verordnung parallel mit der Verkündung der technischen Vorgaben bzw. Standards für entscheidend.
VdK: Sehr geehrter Herr Dr. Reichel, wir danken Ihnen für das Gespräch.
Das Panel Nr. 3 auf der diesjährigen FINTICS zum Thema „ID Wallet, quo vadis?“ können Sie in unserem YouTube-Kanal ansehen. Unsere Gäste waren:
- Sabine Otto, Policy Officer, Unit eGovernment, e-Identification und Vertrauensdienste, GD CNECT, Europäische Kommission
- Volker Redder, MdB, Obmann der FDP-Bundestagsfraktion im Ausschuss für Digitales sowie Berichterstatter für Digitale Identitäten
- Hagen-J. Saxowski, Bundesministerium des Innern und für Heimat, interministerieller Gesamtprojektleiter GovLabDE Digitale Identitäten
- Hans-Peter Weber, Gründer & CEO, Secupay AG
- Heinrich Grave, Senior Vice President Digital Identity, IDnow GmbH
- Moderatorin: Jessica Schwarzer, Finanzjournalistin.