Die Eröffnung eines Bankkontos, das Freischalten eines Mietwagens oder die Einsicht in die digitale Patientenakte. Das alles sind Prozesse, die mittlerweile überwiegend digital erfolgen. Eines haben sie alle gemeinsam: Sie erfordern eine Online-Verifizierung der Identität des Nutzers. Durch diesen Verifizierungsprozess können Unternehmen sicherstellen, dass die Person hinter dem Endgerät auch die ist, für die sie sich beim Onlinebanking, der Anmietung eines Autos oder dem Zugriff auf die Patientendaten ausgibt. Seit der Aktualisierung des Telekommunikationsgesetzes (TKG) ist die Online-Zertifizierung auch beim Abschluss von Telefon- und Handyverträgen zugelassen. Digitale Identitäten bilden somit die Basis für das Ökosystem der digitalen Welt. Im Mittelpunkt für den erfolgreichen Einsatz stehen vor allem die Sicherheit der Identitäten und die Nutzerfreundlichkeit in der Anwendung. Nur wenn beides im Einklang ist, wird die Lösung von den Bürgern angenommen.
Unterschiedliche Verfahren je nach Anwendungsfall
Bürger erstellen sich eine entsprechende digitale Identität, indem sie sich zunächst online mittels Online-Ausweis (eID Funktion des Personalausweises) oder via Video- oder KI-basierten, automatisierten Identverfahren verifizieren. Die jeweiligen Möglichkeiten unterscheiden sich je nach benötigter Sicherheitsstufe. Lange war für viele Anwendungsfälle die Videoidentifikation erforderlich, bei der der Abgleich über einen Customer-Service-Mitarbeiter des Ident-Anbieters erfolgt. Mittlerweile sind beispielsweise im deutschen TKG oder nach den österreichischen "Know your customer" (KYC)-Forderungen automatisierte Verfahren, die mithilfe von Künstlicher Intelligenz (KI) die biometrischen Daten des Anwenders auswerten, zulässig. Eine weitere Methode ist die qualifizierte elektronische Unterschrift (QES), die beispielsweise bei Vertragsunterzeichnungen zum Einsatz kommt.
Diesen Anmeldeprozess müssen Nutzer bislang für jedes Unternehmen und jeden Online-Vorgang immer wieder neu vornehmen, obwohl ihre Daten bereits bei einem anderen Anbieter geprüft worden sind. Das ergibt eine große Menge an Ident-Prozessen, da ein durchschnittlicher EU-Bürger circa neunzig verschiedene Online-Konten besitzt. Die Nutzerfreundlichkeit kann hier mithilfe einer digitalen Brieftasche wesentlich vereinfacht werden, da Nutzer sie nach der ersten Prüfung überall jederzeit wieder einsetzen können.
Lesetipp: Was Sie über die elektronische Signatur wissen müssen
Einheitliche Lösung für eID in der Europäischen Union
Die EU-Kommission hat dazu einen Verordnungsvorschlag der eIDAS 2.0 auf den Weg gebracht. Die Digital Identity Wallet "EU eID" sollen Bürger über das gesamte EU-Gebiet hinweg einsetzen können. Das gibt ihnen die Möglichkeit, ihre verifizierte, digitale Identität sicher auf einem mobilen Endgerät wie dem Smartphone abzuspeichern und jederzeit für verschiedene Anwendungsfälle einzusetzen. Das Smartphone wird so zur "digitalen Brieftasche" mit Ausweisfunktion.
Eine solche Lösung könnte viele alltägliche Prozesse verbessern und die Digitalisierung in ganz Europa weiter vorantreiben. Denn EU-Bürger könnten nahezu alle digitalen Anträge und Vertragsabschlüsse mithilfe der ID Wallet ausführen und die Verträge lägen direkt digitalisiert bei den jeweiligen Behörden vor. Das gilt für alle denkbaren Prozesse von der Girokontoeröffnung, über den Leasingantrag für das Auto bis hin zur Kreditvergabe für das Eigenheim. Zusätzlich zur Ausweisfunktion können Anwender der Wallet weitere Identitätsattribute hinzufügen. Dazu können gehören: Führerschein, Fahrkarten für den öffentlichen Nahverkehr, Tickets für Konzerte oder Heirats- und Geburtsurkunden, derer es bisher ebenfalls für den ein oder anderen Behördengang bedarf. Bei der eIDAS 2.0 geht es vor allem auch darum, die digitale Basisidentität eID zu erweitern.
Relevanz der qualifizierten Vertrauensdienstanbieter
Die ID Wallet soll den Bürgern den Alltag erleichtern und digitaler gestalten. Wenn sie entsprechend smart, sicher und nutzerfreundlich gestaltet ist, hat sie das Potenzial die Digitalisierung in ganz Europa zu beschleunigen und voranzubringen. Dabei spielen vor allem qualifizierte Vertrauensdienstanbieter (QTSP) eine wesentliche Rolle. Bereits bei der Verordnung eIDAS 1.0 haben sich diese als essenziell und erfolgreich bewiesen. Die EU möchte daher in der zweiten Version die Position dieser deutlich verstärken. Dabei muss vor allem Deutschland aktiv werden, denn im Vergleich zu unseren Nachbarländern hat das Land verhältnismäßig wenig QTSPs. Auf der Liste der Trust service providers sind für Deutschland 13 QTSPs ausgewiesen. Im Vergleich dazu sind beispielsweise 27 in Frankreich und 40 in Spanien gelistet. Der neue Verordnungsvorschlag bietet eine Chance für Deutschland sich auf Augenhöhe mit den restlichen EU-Staaten zu begeben.
Geregelte Standards
Um eine sichere und gleichzeitig nutzerfreundliche Lösung bereitzustellen, braucht es einen staatlich regulierten Zertifizierungsrahmen, der einen offenen Wettbewerb innerhalb der Privatwirtschaft ermöglicht. Das führt zum besten Ergebnis für die Bürger und dementsprechend zu einer hohen Nutzerakzeptanz. Ein offener Marktzugang erlaubt zudem einen fairen Wettbewerb zwischen den einzelnen Marktteilnehmern sowohl national als auch auf EU-Ebene. Durch einheitlich geregelte Standards werden staatliche und privatwirtschaftliche Parteien gleichberechtigt behandelt.
Die Einbindung der Privatwirtschaft hat den Vorteil, dass Unternehmen eine umfassende Expertise rund um die Identitätsprüfung und digitale Identitäten mitbringen. In Arbeitsgruppen verschärfen diese Experten ihr Fachwissen und liefern demnach eine fundierte Fachkenntnis, worauf die Bundesregierung bei der Umsetzung zurückgreifen kann und sollte. So wird der Staat bei der Verwirklichung der eIDAS 2.0 fachmännisch unterstützt und kann ein Ökosystem schaffen, das den Identity Wallets sowie den Nutzererwartungen gerecht wird.
Nutzerfreundlichkeit beibehalten
Für eine hohe Nutzerfreundlichkeit sollten die Bürger die Möglichkeit haben, zwischen verschiedenen Verfahren zur Identitätsbestätigung frei zu wählen, bzw. sollte die Initialisierung einer Wallet im besten Fall im Rahmen einer notwendigen Identitätsprüfung erfolgen. Im Rahmen einer Identifizierungsprüfung beispielsweise bei einer Bankkontoeröffnung oder Mobilfunkkarten-Aktivierung, kann der Nutzer den Vorteil einer zukünftig verfügbaren "virtuellen Identität" am einfachsten nachvollziehen.
Da die Onlinefunktion des Personalausweises oder des elektronischen Aufenthaltstitels noch nicht flächendeckend verbreitet und auf deutsche Ausweise beschränkt ist, muss es möglich sein, eine ID-Wallet auch mit alternativen, sicheren Verfahren initiieren zu können. Erschwerend kommt hinzu, dass viele Nutzer die Online-Ausweisfunktion nicht kennen, bzw. nicht wissen welche Möglichkeiten damit verbunden sind. Darüber hinaus gibt es unterschiedliche Anforderungen an die Sicherheitsverfahren und nicht alle Use Cases benötigen das hohe Sicherheitslevel der Online-Ausweisfunktion. Lediglich jede zehnte Verifikation der Identität benötigt in der Praxis das Sicherheitslevel "hoch". In den meisten Fällen reichen die Niveau-Abstufungen "substantiell" oder "niedrig" aus, sodass Nutzer auch alternative Verfahren innerhalb der eIDAS verwenden können.
Datensouveränität der Bürger
Offene Standards sind das A und O der eIDAS 2.0 in puncto Sicherheit. Die Bürger sollen selbst bestimmen können, was mit ihren Daten passiert und mit wem sie sie teilen. Daher stehtdie Datensouveränität laut Verordnungsvorschlag an oberster Stelle. Die Bürger sollen zu jeder Zeit die Hoheit über die gespeicherten Informationen besitzen. Deswegen sieht die EU-Verordnung es auch vor, die persönlichen Informationen der Nutzer auf dem sogenannten "Secure Element" des privaten Endgeräts zu speichern. Das macht für die Nutzer transparent, was mit ihren Daten geschieht und zu welchem Zweck sie wem zur Verfügung gestellt werden.
Durch die Bindung der Datenspeicherung der EU eID bleibt die Frage: Was passiert im Falle eines Gerätewechsels, beim Verlust des Smartphones oder bei einem freiwilligen Wechsel des Walletanbieters? Die Übertragung auf ein neues Endgerät sollte bei eIDAS 2.0 keinen Mehraufwand bedeuten und einfach erfolgen. Ohne diese Interoperabilität der Anwendungen müsste das Wallet sonst jedes Mal neu aufgesetzt werden und alle angereicherten, gespeicherten Informationen wären verloren – wobei auch die Nutzerfreundlich schwindet. Damit wäre die Ablehnung innerhalb der EU-Bevölkerung vorprogrammiert und hätte einen negativen Effekt auf die allgemeine Nutzerakzeptanz.
Zukunft digitaler Identitäten unter eIDAS 2.0
Noch befindet sich die neue eIDAS Verordnung in einem frühen Stadium des Gesetzgebungsprozesses und wird auf Rats- und Parlamentsebene diskutiert. Daher kann keine sichere Aussage darüber getroffen werden, wie das Gesetz am Ende aussieht und welche weitrechenden Auswirkungen es auf der gesamten EU-Ebene habenwird. Doch bereits heute sollten sich Unternehmen branchenunabhängig auf diese neuen Verfahren vorbereiten. Die gegebene Vorlaufzeit bis zur finalen Gesetzesunterschrift können Unternehmen optimal nutzen, um digitale Identity Wallets bereits jetzt in die eigene Digitalisierungsstrategie zu integrieren. Unternehmen, die schon heute Experten aus der Privatwirtschaft in den Planungsprozess einbeziehen, haben auf lange Sicht klare Wettbewerbsvorteile, sobald das Gesetz verabschiedet wird. (bw/fm)