Geht es nach der Bundesregierung, sind die Jahre des Personalausweises als Plastikkarte gezählt. An seine Stelle soll eine digitale Brieftasche treten. Wie diese konkret aussehen wird, soll ein Innovationswettbewerb entscheiden. Die Zivilgesellschaft sieht sich dabei außen vor.
Von der Konsultation geht es nun in den „Innovationswettbewerb“ – und damit von der Theorie in die Praxis. „Wir suchen nach einem Prototyp, der praktisch beweist, wie eine Wallet funktionieren kann“, sagte Bundes-CIO Markus Richter zum Wettbewerbsstart am vergangenen Donnerstag. Bis zum 5. Mai können sich Teams beim Bundesinnenministerium (BMI) für eine Teilnahme bewerben. Nach 13 Monaten soll ein Prototyp für eine digitale Brieftasche stehen.
Hintergrund des Entwicklungsprozesses ist die Ende Februar novellierte eIDAS-Verordnung der Europäischen Union, die voraussichtlich im Mai in Kraft treten wird. Bis zum Herbst 2026 müssen dann alle EU-Mitgliedstaaten ihren Bürger:innen eine sogenannte „European Digital Identity Wallet“ anbieten, mit der sie sich on- wie offline und in fast allen Lebensbereichen ausweisen können.
Ein bewusst offener Beteiligungsprozess und Wettbewerb soll dabei – unter Einbindung der Zivilgesellschaft – verhindern, wie Markus Richter vergangene Woche betonte, „dass sich am Ende ein Monopolist draufsetzt“ und hierzulande eine fertige Wallet bereitstellt. Ob das Verfahren den gesetzten Ansprüchen gerecht wird, ist aus Sicht verschiedener beteiligter Nichtregierungsorganisationen aber zunehmend fragwürdig.
Sicherheit und Datenschutz stehen im Fokus
Den Konsulationsprozess startete das BMI im Juli vergangenen Jahres mit der Maßgabe, dass dieser „transparent und partizipativ“ gestaltet wird. Vor wenigen Wochen brachte das Verfahren ein 155-seitiges Architekturkonzept in der zweiten Version hervor.
Im Wettbewerb geht es nun darum, auf Grundlage dieses Konzepts einen Prototypen für eine EUDI-Wallet zu entwickeln und zu erproben – in Form einer App für iOS und Android sowie eines Backend-Systems. Den Wettbewerb führt die Bundesagentur für Sprunginnovationen (Sprind) durch. Dazu hat sie eine Ausschreibung unter dem Namen „Funke“ gestartet.
Die Prototypen sollen vor allem in den Bereichen Sicherheit und Datenschutz überzeugen, sagte Torsten Lodderstedt, der das Projekt bei Sprind betreut, in einem Pressegespräch vergangene Woche. Ebenso wichtig sei aber die Unlinkability, dass also verschiedene Identifikationsvorgänge nicht miteinander verknüpft werden. Außerdem sollten die Wallets nutzerfreundlich sein, eine große Reichweite aufweisen können und als Open Source umgesetzt werden.
Und auch die Interoperabilität sei entscheidend, so Lodderstedt. Nutzer:innen sollen die digitale Brieftasche europaweit einsetzen können. Dazu brauche es bestenfalls ein gemeinsames Authentifizierungsverfahren für alle 27 EU-Staaten.
Sichere Identifizierungsfunktion als „hart zu knackende Nuss“
Die Latte liegt also hoch und der Wettbewerb soll nun den praktisch umgesetzten Beweis erbringen, all diese Prinzipien abzubilden, so Richter. Eine besondere Herausforderung sieht er außerdem darin, das Konzept eines hardwarebasierten Sicherheitsankers umzusetzen. Konkret geht es dabei um die Frage, wie sich Nutzer:innen sicher gegenüber der Wallet identifizieren können.
Das Architekturkonzept nennt hier als Möglichkeit unter anderem den elektronischen Personalausweis – dessen breiter Einsatz derzeit vor hohen Hürden steht –, ein cloudbasiertes System und ein Sicherheitselement auf dem Smartphone, etwa ein besonders geschützter Mikrochip. Gerade bei Geräten von Apple, wie dem iPhone, stelle Letzteres jedoch noch ein Problem dar. Daher richte sich der Fokus nun darauf, gegebenenfalls die eSIM als Sicherheitsanker zu nutzen. „Das ist eine schwer zu knackende Nuss“, räumt Richter ein.
Sechs Teams erhalten Förderung
Die ausgewählten Teams, die diese Nuss knacken sollen, werden von Sprind finanziell gefördert. Für den Aufbau der Wallet und die dazugehörigen Prozesse stehen dem BMI rund 40 Millionen Euro bereit. Ein Teil davon soll auch für Aufwandsentschädigungen verwendet werden.
Konkret heißt es auf der Projektseite dazu:
Der Sprind Funke hat eine Laufzeit von 13 Monaten in 3 Stufen. Dabei wird Sprind in Stufe 1 bis zu sechs Teams unterstützen, in Stufe 2 bis zu vier Teams und in Stufe 3 bis zu zwei Teams. In den drei Monaten von Stufe 1 unterstützt Sprind die teilnehmenden Teams mit bis zu 300.000 Euro abhängig von den finanziellen Anforderungen, welche die Teams mit ihrer Bewerbung einreichen. Für die Finanzierung in Stufe 2 sind bis zu 300.000 Euro pro Team und für Stufe 3 sind bis zu 350.000 Euro pro Team geplant.
Aber auch nicht-geförderte Teams können – „unter Einhaltung der Regeln für den Wettbewerb“, wie das BMI betont – ihre Lösungskonzepte einreichen.
Das BMI will nun „systematisch“ auf die Zivilgesellschaft zugehen
Aus allen Einreichungen soll eine Jury aus rund zehn Mitgliedern Ende Juli sechs Teams auswählen. Wer genau in der Jury sitzen wird, sei laut Markus Richter noch nicht entschieden. Fest stehe aber, dass ihr nationale wie internationale Expert:innen sowie Vertreter:innen der Zivilgesellschaft angehören werden. Aus Richters Sicht sei nun der richtige Zeitpunkt, „systematisch“ auf die Zivilgesellschaft zuzugehen. „Wir haben bislang noch auf den regulativen Rahmen gewartet“, so Richter.
Allerdings hat das BMI den richtigen Zeitpunkt offenbar verschlafen. Denn viele der NGOs, die sich bislang am Konsultationsprozess beteiligt haben, zeigen sich auf Anfrage von netzpolitik.org zögerlich, nun auch an dem Wettbewerb teilzunehmen.
Absage aus Ressourcengründen
So habe epicenter.works „aus Ressourcengründen“ nur am Anfang des Konsultationsprozesses teilnehmen können, wie Thomas Lohninger, Geschäftsführer des Vereins, auf Anfrage von netzpolitik.org mitteilt. Industrievertreter seien hingegen durchweg am Prozess beteiligt gewesen. „Das merkt man leider auch an vielen Stellen, wo die Frage des Geschäftsmodells des Umgangs mit staatlichen Identitäten wichtiger war als der Charakter als öffentliche Infrastruktur im Allgemeinwohl“, so Lohninger.
Zwar sei das Architekturkonzept an einigen Stellen „wirklich vorbildlich“, wie Lohninger schreibt, insbesondere beim Datenschutz: „Wenn das ernsthaft umgesetzt wird, könnte Deutschland eine datenschutzfreundliche Open-Source-Wallet entwickeln, die hoffentlich auf andere Länder abfärben kann“. Zugleich kritisiert die NGO, dass über die Wallet personenbezogene Daten an die Privatwirtschaft übergeben werden. Daraus wachse „die große Gefahr von parallelen Identitätssystemen und dem Einspeisen staatlich beglaubigter personenbezogener Daten in die bestehenden Systeme im Überwachungskapitalismus“. Wallets mit staatlich beglaubigten Identitätsdaten seien „ein zweischneidiges Schwert“, so Lohninger.
epicenter.works werde sich weiter auf die EU-Ebene konzentrieren. Bis zum Sommer werden dort die verbindlichen technischen Standards für die Umsetzung der eIDAS-Verordnung festgelegt.
Kein Raum für grundlegende Fragen
Auch die Digitale Gesellschaft zeigt sich vom bisherigen Beteiligungsverfahren enttäuscht. Auf Seiten des BMI gebe es wenig Verständnis dafür, „wie eine teilweise ehrenamtlich beziehungsweise mit knappen Ressourcen arbeitende Zivilgesellschaft funktioniert“, sagt Tom Jennissen. In dem Prozess sei es mehr darum gegangen, den technischen Sachverstand der Tech-Community nutzbar zu machen, als die Zivilgesellschaft in politische Aushandlungsprozesse einzubinden. „Für grundlegendere Fragen gab es somit nur wenig Raum“, kritisiert Jennissen.
Letztlich sei der gesamte Prozess so strukturiert gewesen, „dass Wirtschaftsvertreter:innen, die in dem Markt mitspielen wollen und die entsprechenden Kapazitäten haben, sich sehr breitmachen und die Diskussionen dominieren konnten.“ Immerhin, so Jennissen, sei der gesamte Prozess um Transparenz bemüht. „Und das ja auch nicht ganz selbstverständlich im BMI“.
Jennissen hofft nun, dass „zumindest in der bewertenden Jury kompetente und kritische Menschen aus der Zivilgesellschaft vertreten sind“. Das minimiere die Gefahr, „direkt ins nächste Wallet-Fiasko zu rennen“.
„Alibi-Platzhalter für einen inklusiven Dialog“
Auch OpenPetition hoffte im Konsultationsprozess, „auf Augenhöhe mitzudiskutieren“, sah sich am Ende aber „als Alibi-Platzhalter für einen inklusiven Dialog – auch weil es gar nicht genug Zivilgesellschaft gibt, mit den notwendigen Ressourcen und dem Know-how“, so Joerg Mitzlaffs Resümee. Der NGO-Gründer bezweifelt gegenüber netzpolitik.org, dass der Prozess im weiteren Verlauf gemeinwohlorientierte Lösungen hervorbringe. In der nun anstehenden Wettbewerbsphase „haben nur große Plattformen und von Venture Capital getriebene Start-ups eine Chance“, so Mitzlaff.
Auch Gregor Bransky vom Innovationsverbund Öffentliche Gesundheit (InÖG) zeigt sich zurückhaltend, was die weitere Beteiligung angeht. In den Wettbewerb werde sich der InÖG einbringen, „soweit uns das als zivilgesellschaftliche Organisation möglich ist“. Bransky erkennt an, dass sich das BMI ernsthaft bemühe, neue Wege zu gehen. “Bisher wurde aber die Zivilgesellschaft nicht ’systematisch‘ einbezogen“, so Bransky. „Es bleibt abzuwarten, inwieweit es noch zu so einer echten Beteiligung kommen wird.“
In dem Artikel waren die Aussagen von Thomas Lohninger von epicenter.works nicht korrekt zugeordnet. Wir haben das berichtigt und bedauern den Fehler.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.