Vorschlag der Europäischen Kommission für eine eIDAS-Verordnung 2.0 - Stolpersteine auf dem Weg zu einer EU-weiten digitalen Identität
Der von der Europäischen Kommission am 03.06.2021 angenommene Vorschlag für die Änderung der bestehenden eIDAS-Verordnung befindet sich im laufenden Gesetzgebungsverfahren in der ersten Lesung im Europäischen Parlament. Leider enthält der Vorschlag einige unglückliche Stolpersteine, die dem Erfolg einer EU-weiten digitalen Identität (noch) im Wege stehen:
- Verpflichtung zur Einführung einer Europäischen digitalen Brieftasche (sog. EUid-Brieftasche)
Anders als es der eher unauffällige Titel des Verordnungsvorschlags erwarten lässt, zielen die Änderungen gemäß des neu eingeführten Art. 6a Abs. 1 auf eine Verpflichtung aller Mitgliedstaaten ab, eine EUid-Brieftasche auszugeben. In Art. 6a Abs. 3 wird zudem eine Erweiterung des Anwendungsbereichs digitaler Identifizierungsmöglichkeiten geregelt. Die Nutzer, die sowohl natürliche als auch juristische Personen sein können, sollen sich damit online und offline zur Nutzung von öffentlichen und privaten Online-Diensten authentifizieren und aus ihrer digitalen Brieftasche auch Dokumente weitergeben können.
Die geltende eIDAS-Verordnung sieht dagegen lediglich vor, dass für den Zugang zu einem von einer öffentlichen Stelle in einem Mitgliedstaat erbrachten Online-Dienst die in anderen Mitgliedstaaten ausgestellten elektronischen Identifizierungsmitteln unter bestimmten Voraussetzungen für die grenzüberschreitende Authentifizierung anerkannt werden müssen (Art. 6 VO(EU) 910/2014). Eine Pflicht für die Mitgliedstaaten, nationale digitale Identitäten bereitzustellen, besteht derzeit nicht.
- Überschreitet der Vorschlag die Kompetenzen der EU?
Die enorme Erweiterung des Verordnungsgegenstands wirft die Frage auf, ob die EU mit der Verpflichtung der Mitgliedstaaten zur Einführung digitaler Identitäten und der verschiedenen Nutzungsmöglichkeiten der EUid-Brieftasche nicht ihre Kompetenzen überschreitet.
Art. 114 AEUV hat als Rechtsgrundlage zwar grundsätzlich einen weiten Anwendungsbereich. Einschränkungen sind jedoch insofern gegeben, dass die hierauf gestützten Maßnahmen zum Zweck der Verbesserung des Funktionierens des Binnenmarktes erlassen werden. Es reicht nach EuGH-Rechtsprechung nicht aus, dass die nationalen Regelungen unterschiedlich sind oder dass eine rein abstrakte Gefahr hinsichtlich möglicher Verletzungen von Grundfreiheiten oder von Wettbewerbsverzerrungen besteht. Diese müssen tatsächlich spürbar sein.
Bislang haben nur wenige Mitgliedstaaten ihre Einschätzungen zu Art. 114 AEUV als Rechtsgrundlage für die geplante neue Verordnung und zum Subsidiaritäts- sowie Verhältnismäßigkeitsprinzip in die Erörterungen im Rat eingebracht. Eine Kompetenzüberschreitung wird zumindest von diesen Mitgliedstaaten nicht gesehen. Abzuwarten bleibt, ob und wie sich zu dieser Frage noch weitere Mitgliedstaaten positionieren werden.
Aus der Tatsache, dass bereits die bestehende eIDAS-Verordnung Art. 114 AEUV als Rechtsgrundlage hat, lässt sich jedenfalls nicht zwingend ableiten, dass auch die neue Verordnung auf diese Grundlage gestützt werden kann. Dagegen spricht der erheblich veränderte Regelungsumfang des Verordnungsentwurfs. Für die Tauglichkeit von Art. 114 AEUV als Rechtsgrundlage lässt sich demgegenüber sicherlich anführen, dass eine technisch sichere EU-weite digitale Identität grundsätzlich zu einer Verringerung bestehender Fragmentierungen beiträgt und so zu einem besseren Funktionieren des Binnenmarktes führen kann.
Bleibt die Frage nach derzeit spürbaren Gefahren für Grundfreiheiten und Wettbewerb aufgrund unterschiedlicher nationaler Regelungen, denen mit der neuen Verordnung begegnet werden soll. Hier wäre zu differenzieren: unstrittig sein dürfte, dass mit der zunehmenden Digitalisierung auch spezifische Gefahren entstehen, deren Verwirklichung nicht nur eine abstrakte Möglichkeit darstellt, sondern z.B. in Form von Cyberangriffen bereits Realität geworden ist. EU-weite hohe Sicherheits- und Interoperabilitätsstandards statt nationaler Einzelregelungen sind ein Weg, diesen Gefahren zu begegnen. Ob es darüber hinaus aber notwendig ist, die Mitgliedstaaten über die EUid-Brieftasche nun indirekt auch zur Bereitstellung nationaler digitaler Identitäten zu verpflichten, ist eine ganz andere Frage. Hieraus könnte sich ein Ansatzpunkt für eine differenziertere Prüfung der Kompetenzfrage ergeben.
- Schnelligkeit auf Kosten von Funktionalität, Sicherheit, Datenschutz und guter Gesetzgebung?
Die von der Europäischen Kommission gewünschte und sich im Verordnungsvorschlag niederschlagende schnelle Umsetzung des Vorhabens ist beachtlich. Laut Pressemitteilung der Kommission fordert diese die Mitgliedstaaten in einer Empfehlung auf, bis September 2022 ein gemeinsames Instrumentarium, das die technische Architektur, Normen, Leitlinien und bewährte Verfahren umfasst, zu schaffen und mit den erforderlichen Vorarbeiten unverzüglich zu beginnen. Die Bereitstellung der EUid-Brieftaschen durch die Mitgliedstaaten soll nach dem neuen Art. 6a Abs. 1 sodann innerhalb der ersten 12 Monate nach Inkrafttreten der neuen Verordnung erfolgen. Beide Zeitrahmen erscheinen äußerst knapp.
Bemerkenswert ist darüber hinaus, dass die Verordnung in Kraft treten soll, bevor die Kommission in hierfür zu erlassenden Durchführungsrechtsakten die notwendigen technischen und betrieblichen Spezifikationen und Bezugsnormen festgelegt hat. Verteilt über den Verordnungsvorschlag werden je nach konkretem Regelungsgegenstand hierfür 6 bzw. 12 Monate ab Inkrafttreten der Verordnung festgelegt (neben vielen weiteren Beispielen etwa in den neuen Art. 6a Abs. 11, Art. 6b Abs. 4 oder Art. 24 Abs. 1(a)). Welche Spezifikationen und Standards bzw. Mindestanforderungen für in der Zwischenzeit schon bereitgestellte EUid-Brieftaschen und damit verbundene Dienste gelten sollen, lässt der Verordnungsvorschlag offen.
Auch an anderen Stellen, von denen hier nur beispielhaft einige aufgegriffen werden sollen, ist der Verordnungsvorschlag noch nicht ausgereift:
- Schnittstelle: Die EUid-Brieftaschen müssen nach dem neuen Art. 6a Abs. 4 lit. a) Ziff. 1) eine gemeinsame Schnittstelle aufweisen. Nach Abs. 11 legt die Kommission zwar hierfür innerhalb von 6 Monaten die technischen und betrieblichen Spezifikationen und Bezugsnormen fest. Wer aber für die Entwicklung der Schnittstelle und ihre anschließende Wartung verantwortlich ist, geht aus der Regelung nicht hervor.
- Authentifizierung "vertrauender Beteiligter": Im neuen Art. 6b über vertrauende Beteiligte der EUid-Brieftaschen ist in Abs. 2 vorgesehen, dass die Mitgliedstaaten einen gemeinsamen Mechanismus für die Authentifizierung von vertrauenden Beteiligten schaffen. Nicht geregelt wird jedoch, in welchem Rahmen die Schaffung erfolgen soll, wie beispielsweise im Fall der Uneinigkeit vorzugehen ist und bis wann der Mechanismus eingeführt sein muss.
- Konformitätsbewertungsstelle: Ebenso offen ist, wer für die qualifizierten Vertrauensdiensteanbieter als Konformitätsbewertungsstelle i.S.d. neu zu fassenden Art. 20 Abs. 1 in Frage kommt.
- Risiken der Anspruchsdurchsetzung: Qualifizierte Vertrauensdiensteanbieter aus Drittstaaten können ebenfalls in der Union anerkannt werden. Hinsichtlich ihres Haftungsrisikos für Schäden müssen sie über ausreichende Finanzmittel und/oder eine angemessene Haftpflichtversicherung nach nationalem Recht verfügen. Zu Bedenken ist hierbei jedoch, dass die Geltendmachung und Durchsetzung von Ansprüchen in Drittstaaten für Geschädigte aufgrund der nationalen Haftungsregelungen oder wegen der mit der Anspruchsdurchsetzung verbundenen finanziellen Risiken schwierig bis unmöglich sein können. Der Verordnungsvorschlag lässt nicht erkennen, dass dieses Risiko in Betracht gezogen wurde.
- Fazit
Die Einführung einer EUid-Brieftasche, mit der ein Nachweis der nationalen digitalen Identität benutzerfreundlich und sicher möglich sein soll, ist ein ambitioniertes Vorhaben. Der Nutzen dürfte gerade vor dem Hintergrund der voranschreitenden Digitalisierung unbestritten sein und einen weiteren Schritt zum Abbau von Hürden im europäischen Binnenmarkt darstellen.
Sichergestellt sein muss aber, dass die grundsätzlich wünschenswerte zügige Gesetzgebung nicht zu Lasten der Qualität technischer Lösungen, der Sicherheit, von Datenschutz oder gesetzgeberischer Integrität und Kohärenz geht. Sowohl die gesetzlichen Regelungen als auch die technischen Grundlagen müssen eine gewisse Reife erreichen, bevor die Verordnung in Kraft tritt und EUid-Brieftaschen von den Mitgliedstaaten bereitgestellt werden. Es ist darum zu hoffen, dass sich das Europäische Parlament in der ersten Lesung den offenen Punkten widmet und den Verordnungsvorschlag mit notwendigen Ergänzungen versieht.