Die EU-Kommision geht den nächsten Schritt zur eIDAS 2.0, die die Identitätsprüfung auf europäischer Ebene regeln soll. Durch die Verordnung sollen die Bürger die Möglichkeit erhalten, ihre verifizierte, digitale Identität auf ihrem Smartphone sicher abzuspeichern und für verschiedene Anwendungsfälle zu nutzen. Dieser Beitrag betrachtet dazu den Status Quo in Deutschland.
Foto: Bartolomiej Pietrzyk - shutterstock.com
Die Fragmentierung des Vertrauensniveaus in Deutschland
Die Vertrauensniveaus und die Anforderungen für Identitätsprüfung sind in Deutschland fragmentiert und vielschichtig. Dies ist primär auf die verschiedenen Branchen, die ihren individuellen Gesetzen und Anforderungen folgen, zurückzuführen. Die fehlende Koordinierung zwischen den zuständigen Gesetzgebern und den Ministerien, führt zu einer Fragmentierung der Vertrauensniveaus im ganzen Land. Insgesamt sprechen wir in Deutschland von über zehn verschiedenen Branchen und entsprechenden Gesetzen in denen Identitätsprüfung gefordert wird, vom Geldwäschegesetz (GwG), der eIDAS samt der Ergänzung durch das Vertrauensdienstegesetz (VDG) über das Telekommunikationsgesetz (TKG) bis hin zum Jugendmedienschutz-Staatsvertrag (JMStV). Jede dieser rechtlichen Regelungen stellt individuelle Anforderungen an die Identitätsprüfung.
So verpflichtet etwa das GwG deutsche Wirtschaftsakteure zur aktiven Mitwirkung bei der Geldwäscheprävention. Diese Unternehmen müssen die Transaktionen ihrer Kunden nach dem Prinzip „know your customer“ sorgfältig prüfen. Damit sollen sie der Verwaltung und dem Staat helfen, Geldwäsche und Terrorismusfinanzierung bereits an der Quelle zu erkennen. Im Blickpunkt stehen dabei alle Zahlungsarten, vor allem jedoch Barzahlungsgeschäfte. Deshalb gelten für den Güterhandel Schwellenwerte von 2.000 beziehungsweise 10.000 Euro und ein Verbot von Barzahlungen bei Immobiliengeschäften.
eIDAS kennt nur drei Vertrauensniveaus
Die digitale Identitätsprüfung könnte so einfach sein, denn mit eIDAS definiert die EU eigentlich nur drei Vertrauensniveaus (LoA: Level of Assurance). Diese lauten von "niedrig", über "substanziell" bis "hoch". Während andere Länder wie Frankreich sich stark an den drei Vertrauensniveaus orientieren, werden in Deutschland über Branchen hinweg zusätzliche Anforderungen gestellt.
Foto: IDnow GmbH
Was sind die Gründe für die Fragmentierung in Deutschland?
Der Hauptgrund für die Fragmentierung in Deutschland ist die große Anzahl von Ministerien und die mangelnde Koordination zwischen ihnen. Jedes Ministerium kann seine eigenen Anforderungen für die Identitätsüberprüfung über Verordnungen und Auslegungshinweise zu den jeweiligen Gesetzen festlegen. Das führt zu unterschiedlichen Auslegungen der Vertrauensniveaus im Land. Zwar orientieren sich die Ministerien an den europäischen Vertrauensniveaus, sie sind jedoch nicht dazu verpflichtet, diese eins zu eins zu übernehmen. In der Praxis stellen die meisten Gesetze zusätzliche und vor allem individuelle Anforderungen an die Identitätsprüfung.
Unterschiedliche Behandlung der Vertrauensdiensteanbieter
Die eIDAS-Verordnung hat eine einheitliche Rechtsgrundlage für elektronische Identifizierung und Vertrauensdiensteanbieter im europäischen Binnenmarkt geschaffen. Aber: Die deutschen Zusatzanforderungen, die über eIDAS hinausgehen, gelten nur für deutsche Vertrauensanbieter. Ausländische Vertrauensdiensteanbieter müssen sich nicht an die Zusatzanforderungen halten.
Wie die deutschen Anbieter dadurch in der Praxis benachteiligt werden, lässt sich anhand der VideoIdent-Verfahren darstellen. Videoidentifizierungsverfahren, sind nach eIDAS für das Vertrauensniveau “substanziell” bestätigt und im europäischen Binnenmarkt ohne Einschränkung zur Anlage von Signaturzertifikaten zugelassen. In Deutschland hingegen sind VideoIdent-Verfahren, sobald sie ein deutscher Vertrauensdienste-Anbieter für qualifizierte Zertifikate einsetzt, auf Einmalzertifikate, sogenannte Short-Zertifikate, beschränkt. Shortzertifikate sind an den Anwendungsfall gebundene Einmalsignatur-Zertifikate.
Ausländische Vertrauensdiensteanbieter müssen sich nicht an diese Zusatzanforderungen halten und können ihre Vertrauensdienste auch in Deutschland uneingeschränkt anbieten.
Lesetipp: Nach Hack-Nachweis - Keine Video-Identifizierung für Krankenkassen
Die Nachteile einer komplexen Vertrauenslandschaft
Zwar sorgen die zusätzlichen Anforderungen teilweise für eine erhöhte Sicherheit bei der Identifizierung - aber zum Leid der Nutzerfreundlichkeit. Die Nutzer sind jedoch nicht die einzigen, die in der komplexen Vertrauenslandschaft in Deutschland verlieren – Ministerien, regulierte Unternehmen, und Ident-Anbieter werden ebenfalls benachteiligt. Spitz gesagt, macht uns die deutsche “Extrawurst” im Vergleich zu anderen europäischen Märkten unattraktiver und Deutschland bremst sich bei der Digitalisierung unnötig selbst aus.
Die Vorteile von einheitlichen Vertrauensniveaus
Die Vereinheitlichung der Vertrauensniveaus in Deutschland würde zu einer erheblichen Effizienzsteigerung führen – sowohl für die Gesetzgeber, Ident-Anbieter als auch die regulierten Unternehmen. Deshalb benötigen wir in Deutschland eine zentrale und einheitliche Vertrauensmatrix. Denn letztendlich gibt es keine vernünftige Argumentation für diese unnötig herbeigeführte Komplexität zum Nachteil des deutschen Marktes.
Wie könnte eine vereinheitlichte Vertrauensmatrix aussehen?
Für eine Harmonisierung der Vertrauensniveaus empfiehlt es sich für Deutschland, seine Gesetze und Anforderungen an die drei zentralen Vertrauensniveaus der EU anzugleichen. Die unten stehende Grafik zeigt beispielhaft, wie eine harmonisierte Vertrauensmatrix in Deutschland aussehen könnte.
Foto: IDnow GmbH
Für eine solche einheitliche und verbindlich gültige Prüfmatrix auf Basis von eIDAS müssten lediglich zuerst die Identifizierungsmethoden und zweitens die gesetzlichen Anforderungen den drei Vertrauensniveaus (niedrig, substanziell und hoch) zugeordnet werden. Anschließend können Anwendungsfälle, wie eine Bankkontoeröffnung, über das Gesetz einfach und eindeutig in einess der drei Vertrauensniveaus eingeordnet werden.
Digital Identity Wallets erfordern einheitliche Vertrauensniveaus
Insbesondere mit Blick auf die geplanten Digital Identity Wallets müssen wir die Vertrauensniveaus in Deutschland harmonisieren. Digital Identity Wallets werden es den Nutzern erstmals erlauben, ihre verifizierte Identität nach der Identitätsprüfung abzuspeichern und später wiederzuverwenden.
Aufgrund der unterschiedlichen Vertrauensniveaus in Deutschland ist es denkbar, dass Nutzer ihre verifizierten Identitäten in Zukunft teilweise nicht über Anwendungsfälle hinweg wiederverwenden können. So könnte es dazu kommen, dass ein Nutzer die Identität, die er soeben für die Eröffnung eines Bankkontos verifiziert hat, im Anschluss nicht für die Verifizierung bei seiner Krankenversicherung einsetzen kann. Für den Nutzer, der für beide Prozesse ein und denselben Personalausweis verwendet, ist die Inkompatibilität bei der Wiederverwendung für einen anderen Zweck nicht nachvollziehbar. Folglich ist die Harmonisierung der Vertrauensniveaus für eine erfolgreiche Einführung von Digital Identity Wallets in Deutschland zwingend notwendig. Für eine flächendeckende Verbreitung in der Bevölkerung müssen wir neben der Sicherheit des Verfahrens vor allem auch die Nutzerfreundlichkeit in den Vordergrund stellen.