Mit eID wird der österreichische digitale Führerschein in der ganzen EU gültig
Das bringt Europas digitaler Ausweis eID
Die große Reform der digitalen Identität, die in der ganzen EU gelten soll, steht kurz vor dem Abschluss. Am Mittwoch wurde dazu erneut getagt. Damit sollen nicht nur Amtswege digital erledigt werden können, sondern viel mehr. Die futurezone hat sich angesehen, was die digitale Identität können wird und wo Chancen und Risiken liegen.
Was ist die digitale Identität?
Mit der europäischen digitalen Identität (eID) sollen Menschen europaweit einen Zugang am Smartphone zu einer sicheren und vertrauenswürdigen elektronischen Identifizierung und Authentifizierung bekommen. Bis 2026 müssen alle 27 EU-Mitgliedstaaten ihren Bürger*innen Lösungen anbieten, die digitale Identität am Handy sicher abzuspeichern, in einem sogenannten Wallet.
Was kann man damit machen?
Mit dem europäischen Wallet und der eID kann man einerseits digitale Amtswege erledigen, andererseits gegenüber Unternehmen bestimmte Nachweise erbringen. Damit soll man sich etwa auch bei Diensten von Google, Facebook oder Amazon sicher anmelden, oder in der Disco sein Alter nachweisen können. Außerdem funktioniert das System in Europa grenzüberschreitend. „Man wird etwa als Österreicher*in in Deutschland seinen Führerschein am Smartphone herzeigen können, oder mit seinem digitalen Ausweis in einem spanischen Supermarkt sein Alter bestätigen können“, erklärt Thomas Lohninger von der Bürgerrechtsorganisation Epicenter.works. Die Bürgerrechtler*innen haben das E-ID-Gesetzesvorhaben lange Zeit beobachtet und analysiert.
Wie genau ist das rechtlich geregelt?
Die Basis für die eID ist die sogenannte „eIDAS-Verordnung“. Bei dieser steht eine Einigung zwischen EU-Rat, Parlament und Kommission kurz bevor. Sie legt fest, dass die Rahmenbedingungen in allen EU-Ländern für das System gleich sind.
Was unterscheidet die europäische Lösung von der ID Austria?
In Österreich gibt es mit der ID Austria und der digitalen Ausweisplattform „eAusweise“ bereits Lösungen, mit denen man etwa am Smartphone den Führerschein mitführen kann. Mit diesen Apps ist Österreich für die geplante europäische Lösung gut vorbereitet. „Es freut mich sehr, dass wir auf europäischer Ebene einen akzeptablen Kompromiss für die eIDAS-Verordnung gefunden haben. Damit wird etwa der digitale Führerschein in Zukunft nicht nur in Österreich, sondern EU-weit anerkannt“, sagt Digitalisierungsstaatssekretär Florian Tursky.
Sind wir in Österreich besonders fortschrittlich?
Ja. Österreich ist mit der ID Austria und der digitalen Ausweisplattform „eAusweise“ europäischer Vorreiter und Vorzeigemodell für andere EU-Länder.
➤ Mehr lesen: Wie steige ich von der Handy-Signatur auf die ID Austria um?
Aus der Handy-Signatur wird die ID Austria
Mit der Handy-Signatur konnte man in Österreich bisher etwa Dokumente elektronisch unterschreiben, oder sich bei der Sozialversicherung einloggen, um Wahlarzt-Rechnungen einzureichen. Doch am 5. Dezember 2023 wird sie eingestellt.
Um weiterhin digitale Amtswege online zu erledigen, muss man die ID Austria aktivieren. Mit der Basisversion kann man dann in Folge alles, was man mit der Handy-Signatur bereits konnte, weiterhin bequem online erledigen. „Niemand muss Sorge haben, ab dem 5. Dezember etwas nicht mehr machen zu können. Der Umstieg ist einfach und schnell“, sagt der Staatssekretär für Digitalisierung, Florian Tursky.
Die ID Austria kann in der Vollversion allerdings mehr. Man kann sie nutzen, um seinen digitalen Führerschein herzuzeigen oder sein Alter zu verifizieren.
Anfang November gab es ein wichtiges Update für die App „Digitales Amt“, die alle installieren müssen, um die ID Austria weiterhin nutzen zu können. Damit wurden Probleme beseitigt, die Nutzer beim Umstieg auf die App hatten.
Aktuell sind bereits 1.618.420 Personen mit der ID Austria angemeldet und können damit über 400 angebundene Dienste nutzen. Derzeit sind über 390.000 digitale Führerscheine und über 59.000 digitale Altersnachweise aktiviert.
Birgt so eine elektronische Identität Gefahren?
„Der größte Nachteil dieser Reform ist die Tatsache, dass es absolut keine Sicherheitsvorkehrungen gibt, welche die Regierungen, die das Wallet bereitstellen, daran hindern, alles zu überwachen, was seine Benutzer damit machen“, erklärt Lohninger. Es gibt „sehr weit gefasste Bestimmungen“, die auch keine Zustimmung der Nutzer*innen vorsehen, sodass der Staat alles abfragen dürfte. „Es ist nur eine Frage der Zeit, bis Strafverfolgungsbehörden Zugriff auf diese Informationen verlangen“, heißt es seitens Epicenter.works.
Ist das Wallet datenschutzfreundlich?
Bürger*innen haben die Möglichkeit, über eine Art „Datenschutz-Cockpit“ jederzeit einzusehen, wer welche Information über einen erhalten hat. Darüber hinaus muss das Wallet die Möglichkeit bieten, die Löschung personenbezogener Daten aus den Unternehmensunterlagen zu beantragen.
Hat man Nachteile, wenn man die digitale Identität nicht nutzen möchte?
Im Gesetz ist ein Antidiskriminierungsschutz festgeschrieben. Jene, die das Wallet nicht nutzen möchten, müssen weiterhin Zugang zu öffentlichen und privaten Dienstleistungen haben und dürfen nicht benachteiligt werden.
Haben Nutzer*innen die Kontrolle darüber, welche Informationen sie über das Wallet freigeben?
Ja, es wird technisch beschränkt, wer welche Informationen, die im Wallet gespeichert sind, einsehen darf. Eine Disco, die das Alter kontrollieren will, wird nicht gleichzeitig den Bildungsabschluss, den vollen Namen oder Gesundheitsdaten über eine Person abrufen können.
Wie sicher ist die digitale Identität?
Das wird von den jeweiligen Mitgliedstaaten abhängen. Es wird keinen EU-weiten Sicherheitsstandard geben, sondern nationale Zertifizierungssysteme. Das ist generell schlecht, weil es zu unterschiedlichen Standards kommen wird. Die österreichische Lösung wurde seitens der EU als „sicherste mobile Lösung aller EU-Staaten“ ausgezeichnet. Technisch wird aber auch die ID Austria noch an die neuen Standards angepasst werden müssen.
➤ Mehr lesen: Experten warnen vor EU-Plänen zu digitalem Ausweis
Erst vor wenigen Tagen wurde vor der Umsetzung der digitalen Identität gewarnt. Warum?
Neben Epicenter.works haben 400 internationale Forscher*innen, etwa aus dem Bereich IT-Security, davor gewarnt, dass es bei der eID-Lösung sicherheitstechnische Probleme gibt. Es war nämlich angedacht, dass Browser zukünftig sogenannte QWACs, qualifizierte Website-Authentifizierungs-Zertifikate, als vertrauenswürdig akzeptieren müssen. Hintergrund dazu: Seit Snowden sind 95 Prozent der Websites verschlüsselt. Die Sicherheit dieser Verschlüsselung hängt von Listen vertrauenswürdiger Zertifikate von Browsern ab. Mit der eID, so wie sie noch vor ein paar Tagen konzipiert war, wäre die „gesamte Vertrauensarchitektur des World Wide Web gebrochen worden“, heißt es seitens Epicenter.works. Erst nach dem Aufschrei der Forscher*innen wurde hier „Last Minute“ nachgebessert. Die Lösung ist allerdings nicht optimal. Browser-Hersteller dürfen nun aber die Verschlüsselung des Webverkehrs mit „Technologie schützen, die sie für am geeignetsten halten“.
Wie geht es jetzt weiter, mit der Umsetzung der eID?
Zwischen Gesetzesvorhaben und Gesetzestext und technischer Umsetzung klaffen im Moment noch große Lücken. Da am Entwurf zur digitalen Identität bereits seit 2 Jahren gearbeitet wird, wurde parallel dazu von Industriegruppen bereits begonnen, ein technischer Standard auszuarbeiten. Die letzte bekannte Version stammt vom Juni 2023. Laut Epicenter.works „könnte diese Version nicht weiter vom vereinbarten Gesetzestext entfernt sein. Fast alle grundrechtsfreundlichen Garantien fehlen in dieser Version“, heißt es seitens der Bürgerrechtsorganisation. Sie hält dies für äußerst problematisch, denn die technischen Spezifikationen sollen 6 Monate nach Verabschiedung des Gesetzes fertig sein. „Ohne viel Arbeit wird entweder der Zeitplan nicht eingehalten, oder das Wallet wird auf Misstrauen stoßen, weil es gegen das Gesetz verstößt“, sagt Lohninger.
Kommentare