Digitaler Personalausweis und digitaler Führerschein sollen in die eWallet. Die soll schon bald kommen, verspricht die CSV-DP-Koalition. Doch dieses Versprechen ist nicht neu – und könnte schon bald von EU-Plänen durchkreuzt werden.
Mit dem Handy bezahlen geht schon, aber auf den digitalen Ausweis und digitalen Führerschein müssen die Luxemburger*innen noch warten. (Foto: cottonbro studio/pexels)
Wie oft haben Sie sich schon gewünscht, ihren Ausweis oder ihren Führerschein digital auf dem Handy vorzeigen zu können, statt Plastikkarten mit sich herumschleppen zu müssen? Die elektronische Brieftasche, auch eWallet genannt, soll das ermöglichen. Bald soll auch die neue eIDAS-Regulierung der EU kommen. Digitale Ausweisdokumente sollen damit nicht nur dazu dienen, das Smartphone als Plastikkartenersatz benutzen zu können, sondern auch ermöglichen, dass man sich im Internet ausweisen kann. Datenschützer*innen in ganz Europa glauben, das Schlimmste verhindert zu haben, warnen dennoch vor möglicher Diskriminierung – in Luxemburg herrscht hingegen Hochstimmung.
Als Ende November das Koalitionsabkommen zwischen CSV und DP erst geleakt und danach veröffentlicht wurde, wurde ein Punkt medial oft hervorgehoben: Das digitale Portemonnaie, auch eWallet genannt. Da die Koalitionär*innen den modernen Staat ganz vorne in ihr Programm gesetzt hatten, stach dieser Punkt auch gleich hervor. Als eWallet bezeichnet man eine App, in der eine digitale und gültige Kopie von offiziellen Dokumenten wie Ausweis, Führerschein, Sozialversicherungskarte, Debit- oder Kreditkarte gespeichert werden können. Auf den meisten Smartphones ist eine Wallet-App vorinstalliert, die bislang jedoch keine staatlichen Dokumente wie etwa den Ausweis beinhalten können. Was bei Kund*innenkarten, Konzerttickets und Kreditkarten geht, will der Staat auch für seine Dokumente ermöglichen.
Dieser Wille und das Versprechen, dass „demnächst“ eine eWallet es ermöglicht, sich auch mit dem Smartphone auszuweisen, ist jedoch alles andere als neu. Im Koalitionsabkommen 2018–2023 kam es zwar nicht vor, jedoch gab es allerhand Ankündigungen und parlamentarische Anfragen zu dem Thema. Im September 2021 wollte der damalige CSV-Abgeordnete Serge Wilmes wissen, wann in Luxemburg eine digitale Kopie des Führerscheins verfügbar sei; der damalige Mobilitätsminister François Bausch (Déi Gréng) antwortete, man warte die Vorgaben der EU ab, um nicht mit einem nationalen Projekt vorzupreschen, dass man dann wieder anpassen müsse.
Ist ihre Brieftasche überfüllt? Die DP will ihnen helfen! (Foto: CC-BY-SA 401kcalculator.org)
Das interessierte den damaligen Digitalisierungsminister Xavier Bettel eher weniger. Im Mai 2022 antwortete er auf eine parlamentarische Anfrage zum Thema digitaler Führerschein noch mit einem zurückhaltenden „Den Delai, wéini Dokumenter, wéi beispillsweis de Führerschäin, disponibel wäerte sinn fir an enger Wallet ofgespäichert ze ginn, ass momentan schwéier viraussobar“. Doch ein knappes halbes Jahr später, im Oktober 2022, propagierte er in seiner Rede zur Lage der Nation, dass man an einem „digitale Portmonni“ arbeite, in einer ersten Phase würden Führerschein und Ausweis für die eWallet verfügbar sein.Sein damaliger delegierter Minister Marc Hansen (DP) wiederholte diese Aussage im Rahmen der Internet Days im November 2022 und versprach die Luxemburger eWallet sei „demnächst“ verfügbar. Ein entsprechendes Gesetzesprojekt wurde jedoch erst am 2. März 2023 im Parlament deponiert.
Ein Jahr nach Hansens Ankündigung bei den Internet Days schrieben DP und CSV das Versprechen der eWallet in ihr Koalitionsabkommen. Nur konsequent, denn immerhin hatten beide Parteien ihren Wähler*innen eine eWallet versprochen: „Méi E-Wallet, manner Geoblocking“ hieß das bei der CSV, während die DP eine „digitale Bürgerkarte“ versprach, die „sowohl online wie offline als alternatives Identifizierungsmittel dienen“ solle. Damit sollten „[d]ie Zeiten überfüllter Brieftaschen […] der Vergangenheit angehören“.
App statt Brieftasche
Beide Parteien wollen jetzt also etwas einführen, an dem unter der vorherigen Regierung bereits länger gearbeitet wurde. Man warte eigentlich nur darauf, dass das entsprechende Gesetz vom Parlament gutgeheißen werde, so eine Sprecherin des Digitalisierungsministeriums gegenüber der woxx. Gewartet werde vor allem auf den Bericht des Staatsrats. Der hatte das Gesetz bisher noch nicht auf seiner Liste.
Neben der Wallet ist auch eine Überprüfungs-App geplant, mit der nicht nur die Polizei, sondern jede*r, der*die will, einen digitalen Ausweis kontrollieren kann. Die „Covidcheck“-App funktionierte ähnlich, nur dass diese lediglich einen QR-Code auswertete. Was genau die Ausweiskontroll-App können wird und welche Daten sie genau auswertet und speichert, ist bisher nicht gewusst. Ein Punkt, den auch die nationale Datenschutzkommission (CNPD) in ihrer Stellungnahme zum Gesetz kritisiert. Wenn beispielsweise ein*e Türsteher*in vor einer Disko einen digitalen Ausweis mittels App kontrolliert, würde es sich dabei um das Verarbeiten persönlicher Daten auf dessen*deren Handy handeln, und dies müsste dann nach den Grundlagen der Datenschutz-Grundverordnung (DSGVO) passieren. Wenn eine solche Kontrolle auf einem privaten Telefon stattfindet, stellen sich viele datenschutzrechtliche Fragen.
Während das Digitalisierungsministerium betont, keine Pflicht zur eWallet einführen zu wollen und sich des sogenannten „Digital Divide“ bewusst zu sein, müssen private Akteur*innen sich nicht unbedingt an die gleichen Vorsätze wie der Staat halten. „Wir werden niemanden zur App zwingen. Im Gesetz steht nur, dass zum Beispiel ein Polizist nicht den physischen Ausweis verlangen darf, wenn der digitale vorgezeigt wird“, so eine Sprecherin des Ministeriums. Doch was hindert unsere*n Türsteher*in vor der Disko daran, nur Menschen mit digitalem und somit per App zertifizierbaren Ausweis hineinzulassen? Und wer hindert sie*ihn ganz praktisch daran, die persönlichen Daten, die in einem Personalausweis stehen, zu lesen?
Und wenn ich keine App will?
(Foto: CardMapr.nl/Unsplash)
Vermutlich lauten die Antworten auf diese Fragen: die EU. Nicht nur mit der DSGVO, sondern auch mit der europäischen Richtlinie zu eWallets. Die Reform von eIDAS (Electronic IDentification, Authentication and Trust Services) soll dafür sorgen, dass spätestens ab 2026 alle EU-Mitgliedsstaaten ihren Bürger*innen eWallets zur Verfügung stellen. Noch muss der Gesetzestext die letzte Hürde im EU-Parlament überwinden, aber die meisten Details sind bereits bekannt. Sicher ist, dass ein starker Schutz vor Diskriminierung eingebaut wird. So soll es verboten sein, einen höheren Preis zu verlangen oder eine Person vom Zugang zu einer Dienstleistung oder Ware auszuschließen, wenn diese nicht die eWallet nutzt.
„Diese Bestimmung war eine unserer Hauptforderungen, um beispielsweise Menschen ohne Smartphone (ältere Menschen, Kinder usw.) oder Leute, die die Risiken der Wallet vermeiden möchten, zu schützen und ihre Teilhabe an der Gesellschaft zu sichern“, schreibt die Datenschutz-NGO Epicenter Works auf ihrer Website. Ihr Geschäftsführer Thomas Lohninger betonte in einem Vortrag auf dem Hackerkongress 37C3 Ende Dezember 2023 in Hamburg, wie wichtig die Stimme der Zivilgesellschaft in den Verhandlungen gewesen sei, zum Beispiel um eine eindeutige und dauerhafte Kennnummer für alle Menschen abzuwehren. Der Einsatz der Zivilgesellschaft wird aber weiterhin wichtig bleiben, denn die EU-Mitgliedsstaaten können sich verschiedene Optionen bei der nationalen Gesetzgebung aussuchen.
So soll es möglich sein, Daten der Wallet nur selektiv offenzulegen oder sogar nach dem „Zero-Knowledge“-Prinzip vorzugehen. Der*die Tür- steher*in würde im ersten Fall nur das Geburtsdatum beziehungsweise das Alter der Person sehen (selektive Offenlegung) oder sogar nur sehen, dass die Person volljährig ist („Zero-Knowledge“). Außerdem sollen diese Daten nicht verknüpft werden dürfen. Weder Türsteher*in noch Disko dürfen durch ihre Aufzeichnungen wissen, dass jeden Samstag die gleiche Person ihre eWallet vorzeigt, aber wegen ihrer hässlichen Schuhe trotzdem nicht reingelassen wird. Die neue eIDAS-Regulierung sieht vor, dass die Nutzer*innen alle Informationsabfragen in einem „Datenschutz-Cockpit“ einsehen können. Sollte die Disko zum Beispiel nicht nur das Alter geprüft, sondern auch den Namen gespeichert haben, könnte man die Löschung beantragen und Beschwerde einlegen.
Ausweisen muss man sich bei privaten Unternehmen – vom Diskobesuch oder Alkoholkauf im jugendlichen Alter mal abgesehen – im Alltag jedoch selten, zumindest in der physischen Welt. Die Verfügbarkeit eines digitalen Ausweises könnte auch in Europa neue Begehren wecken, zumal große Onlineplattformen verpflichtet werden, die Anmeldung mittels eWallet zuzulassen. Zu diesen „sehr großen Onlineplattformen“ gehören nicht nur Alphabet (Google), Meta (Facebook), X (ehemals Twitter) und Tiktok, sondern seit Ende Dezember 2023 auch Pornoseiten wie Pornhub, Stripchat und Xvideos. Sie fallen unter den „Digital Services Act“ der EU und müssen illegale Inhalte schneller löschen – und demnächst auch ein Login mittels eWallet anbieten.
Schlechtes Beispiel Indien
Lohningers Co-Redner Udbhav Tiwari zeigte anhand des indischen eWallet-Systems Aadhaar auf, wie eine schlechte Umsetzung für Diskriminierung sorgen kann. In Indien wurden zuerst digitale Tatsachen geschaffen und später erst um die App herum Gesetze geschrieben. In der Theorie gibt es zwar auch in Indien keinen Zwang, Aadhaar zu nutzen, doch in der Praxis stellt es sich oft als quasi unmöglich heraus, etwa ein Kind an einer Schule anzumelden, ohne dass dieses über eine eWallet – gefüttert mit biometrischen Daten – verfügt, so Tiwari. Das soll in der EU nicht möglich sein.
Die genauen technischen Details sind jedoch noch nicht bekannt, die werden aktuell in einer Expert*innengruppe – an der auch Luxemburg beteiligt ist – ausgearbeitet und sollen sechs Monate nach Verabschiedung des Gesetzes durch das Europaparlament am 6. Februar veröffentlicht werden. Das wird vermutlich im August dieses Jahres der Fall sein. Laut Epicenter Works ist noch viel Arbeit fällig: Die letzte Version des technischen Dokuments (aus Juni 2023) enthielt keine der im Gesetzestext vorgesehenen Schutzmaßnahmen.
Ob diese in der Luxemburger eWallet gleich von Anfang an vorhanden sein werden, ist nicht bekannt. „Es wird vermutlich einige Anpassungen und Updates brauchen, bis wir auf dem gleichen Stand sind wie die europäischen Vorgaben“, heißt es aus dem Digitalisierungsministerium. Auch bei der Covidcheck-App habe es immer wieder Anpassungen gegeben, bis letzten Endes alles europaweit kompatibel war. Immerhin wird es für technisch Versierte möglich sein, Schwachstellen zu erkennen, denn der Programmcode der eWallet-App muss quelloffen und öffentlich verfügbar sein.
Laut Datenschutz-NGOs ist zumindest auf europäischer Ebene die Gefahr eines digitalen Panoptikons, durch das Regierungen und Firmen die Bürger*innen nach Belieben durchleuchten können, vorerst gebannt. In seinem Vortrag meinte Lohninger: „Die eWallet ist nur ein Stück des Puzzles.“ Hinzu kämen noch die europäische digitale Gesundheitsakte und der digitale Euro – beides Projekte, bei denen es um sensible Daten geht. Außerdem warnte der Aktivist: „Hacker*innen werden in den ersten Monaten sehr viel Spaß mit der App haben!“ Er forderte die technikbegeisterten Anwesenden auf, Schwachstellen zu finden und in verantwortlicher Art und Weise öffentlich zu machen – die Politik reagiere nämlich sehr schnell, wenn man aufzeige, dass Systeme wie die eWallet „weder sicher noch vertrauenswürdig“ seien.
