Transcript
Torsten:
[0:36] Ja hallo und herzlich willkommen zur 131. Ausgabe des e-Government Podcasts.
Ich bin Thorsten Frenzel und ich habe heute zwei Gäste und heute wird es europäisch.
Ich fange aber erstmal an mit jemanden, den wir hier aus dem Podcast schon kennen. Hallo Siké, grüß dich.
Christian:
[0:53] Siké Krüste, hallo oder grüßt euch.
Torsten:
[0:56] Genau und dann habe ich mir noch jemanden eingeladen, der sich im europäischen Bereich hervorragend auskennt, der ein oder andere von euch wird ihn kennen.
Thomas Lohninger, ich grüße dich, Thomas.
Thomas:
[1:07] Hallo, schönen Abend.
Torsten:
[1:08] Ja, schön, dass ihr beide da seid. Und vielleicht müssen wir doch noch mal eine ganz kurze kleine Vorstellungsrunde machen. Siké, fängst du an?
Christian:
[1:19] Ja, mich kennt man wahrscheinlich so aus den letzten 13 Jahren, so aus dem Thema EID.
Thorsten hat schon gesagt, die hier im Podcast schon gewesen, auch bei anderen schon zum Thema EID geäußert, Arbeitsgruppen im BSI, ganze EID auch mit weiterentwickelt, gerade als Chief Security Architekt bei Adesso natürlich auch mit dem Thema beruflich unterwegs und und auch mit Autoren einiger TRs, also technische Richtlinien, zum Thema EID.
Torsten:
[1:50] Ja, schön, dass du da bist und Thomas, wer von dir noch nie gehört hat?
Thomas:
[1:55] Ja, mein Name ist Thomas Lohninger und ich bin in Wien zu Hause Geschäftsführer von Epicenter Works. Wir sind so die österreichische Netzpolitik NGO.
Ich bin schon recht lange im Feld, kennt unseren Verein vielleicht noch von der Abschaffung der Vorratsdatenspeicherung in Österreich und Europa.
Netz-Zentralität war auch so ein ganz großes Thema, wo wir dass Episintervall sehr aktiv waren.
Ich bin auch Vizepräsident von EDRI, European Digital Rights, das ist so der Dachverband von eigentlich fast allen netzpolitischen NGOs, Datenschutz-NGOs in ganz Europa.
Habe eigentlich einen technischen Hintergrund, auch mal in die VHTL gemacht und mit IT mein Geld verdient und bin dann aber eben in die anthropologische und in die politische Schiene abgerutscht.
Zuerst war das mein Hobby und 2014 wurde das Hobby dann zum Beruf.
Da ist man dann automatisch gleich wie ein Alkoholiker, aber dafür macht es ja viel Spaß.
Mich hat auch immer schon Europa interessiert, weil Österreich ein kleines Land ist und man in Europa aber wirklich sehr relevante Digitalpolitik gestalten kann.
Das fand ich immer sehr spannend.
Das Thema elektronische Identität, digitale Identität hat uns als Verein beschäftigt seit 2017 als da die ersten nationalen Gesetzgebungen waren und es ist in den letzten Jahren immer mehr geworden.
Torsten:
[3:22] A.S. Genau. Damit hast du schon das Thema quasi gespoilert. Wir möchten heute über das Thema EU und ID bzw.
EU-ID sprechen. Also vielleicht hat der eine oder andere, ihr wisst, in Twitter verfolgt. Da ist ja einiges los und deswegen sind wir auch auf die Idee gekommen, das müssen wir unbedingt im e-Government-Podcast mal besprechen.
Lass uns einfach mal einsteigen und vielleicht mal so beginnen mit einer Differenzierung zwischen Identität.
Authentifikation, um einfach mal so grob erst mal die Richtlinie zu finden, was man hier im Podcast oder in den nächsten Stunden des Podcasts erst mal noch so was hinterkommt braucht.
Thomas:
[4:04] Wir reden schon von Stunden des Podcasts. Es ist ein großes Thema, was wir uns vorgenommen haben.
Und wir versuchen wirklich viel unterzubringen, aber kompakt und verständlich.
Also Identität ist etwas, das wirklich mit unserer Würde als Menschen verbunden ist. Denn jeder von uns ist ein Individuum, hat eine Identität.
Hier gibt es auch aus der Privatsphäre einfach das Recht, unterschiedliche Charakteraspekte gegenüber unterschiedlichen Personengruppen in unterschiedlichen Situationen nach vorne zu stellen oder auch zu verstecken.
Das ist genau das Recht, das uns der Datenschutz gibt. Das ist etwas, das inherent ist, eigentlich mit dem Menschsein. Und dann gibt es die Identifikation und das ist eher das Beweisen einer Identität.
Also den Reisepass kennen wir wahrscheinlich alle oder den Personalausweis oder auch den Führerschein. Also auch wenn es um Attribute geht wie eine Lenkerberechtigung.
[5:00] Und da beginnt es schon mal, vor allem wenn wir in Richtung Authentifizierung gehen.
Wenn man so etwas belegen will, gibt es den klassischen analogen Weg, dass man einfach Reisepässe vorzeigt.
Die sind auch etwas, das eigentlich so von der vorletzten Pandemie, von vor 100 Jahren, so ein Resultat war, dass Reisepässe so weit verbreitet sind, wie wir das heute kennen.
Und im Digitalen ist halt auch das, was vielen Menschen wahrscheinlich schon untergekommen ist, ist dieses Login with Google, Login with Facebook oder Login with Apple.
Und so eine der Kernfragen ist auch, wenn wir unsere Identität oder Attribute über uns belegen wollen gegenüber Dritten, verwenden wir dann staatliche Systeme oder privatwirtschaftliche.
Und ich glaube schon, dass es besser ist, wenn das demokratisch legitimierte Systeme sind.
Natürlich gibt es da auch wieder Probleme mit Inschlüssen und Ausschlüssen, denn es Es gibt auch viele Menschen, die haben keinen legalen Aufenthaltstitel.
Und dieses Thema, über das wir heute reden werden, ist ganz, ganz mannigfaltig.
Gerade eben, weil die EU so eine große Reform plant, über die wir jetzt gleich reden werden.
Torsten:
[6:11] Genau, und dann das Thema Authentifizierung. Vielleicht kannst du es kurz abreißen.
Christian:
[6:14] Ja, genau. Also eine häufige Verwechslung oder Schwierigkeit, das auseinanderzuhalten, ist halt Identifizierung, Identifizierung, Autorisierung.
Ich habe gerade schon beschrieben, Identifizierung, wer bin ich und wie weiß ich das nach.
Ein Weg ist natürlich, ganz klar wie man es kennt, vor Ort mit dem Reisepass zu sagen, alles klar, hier mein Passbild stimmt mit meinem Gesicht überein und da steht, wie ich heiße, wo ich geboren bin und damit ist halt mein Offline- oder Identifizierungsvorgang sozusagen erstmal abgeschlossen.
Die Authentifizierung bedeutet, dass ich also zu einem Login zum Beispiel an Passwort nachweisen kann oder wenn ich einen FIDO-Key hinterlegt habe, an einer Stelle einen passenden Schüssel habe, an der Zufallszahl signieren kann, um damit zu beweisen, dass ich also in Besitz des privaten Schlüssels bin, um mich dort zu authentifizieren.
In aller Regel dann eben auch remote online an der Stelle, unabhängig davon, wie mein Passbild aussieht oder wie mein Klarname zum Beispiel auch ist.
Sondern Authentifizierung besteht oft auch gegenüber Rollen.
Bin ich jetzt der Nutzer in der Gruppe, darf ich das und jenes.
Und damit kommt dann der nächste Schritt die Autorisierung, dass eben an dieser Rolle oder an dieser Nutzer-ID dann Rechte dranhängen, mit denen ich bestimmte Dinge bestimmte Dinge darf.
Darf ich zum Beispiel Log Datei nur lesen oder darf ich eben halt auch Dinge schreiben oder darf ich halt auch nur administrativ irgendwelche Einstellungen vornehmen, da aber auch Daten gar nicht zugreifen.
Das sind die drei großen Dinge, also Identifikation von Personen, dann die Authentisierung und dann die Autorisierung.
Und heutzutage.
Torsten:
[7:42] A.S.S. Ja, vielen Dank. Und ich würde jetzt gern mal das Ganze eher auf dem elektronischen Wege mir anschauen und da gibt es ja diese bekannte eid von der hat jeder schon mal was gehört die hängt mit dem neuen Personalausweis zusammen und ich gehe mal davon aus das ist eine deutsche erfindung oder an wen gegen die frage Also es ist keine deutsche erfindung wahrscheinlich also Sagen in thomas da der heimat hat man da auch schon gute erfahrungen gesammelt mit der bürgerkarte zum beispiel also das ist keine Wenn man mal zurückguckt in Richtung, wer hat die Smartcards erfunden?
Christian:
[8:18] Dann ist das alles mehr oder weniger Mittelwesteuropa. Da streiten sich die Franzosen und die Deutschen darüber, wer hat den ersten Mikrochip auf einer kleinen Platine untergebracht?
Da kommt das Ganze eigentlich her, Schlüssel zu bauen.
Im späteren Verlauf ist eigentlich mit das erste europäische Land, Finnland, glaube ich, gewesen, mit der Fine ID. Das muss 96 gewesen sein, die erste Spezifikation von denen.
Die haben aufgrund der großen Entfernungen, die man da oben hat, und in der langen Straße, die man bis zu einem Bürgerbüro zurücklegen müsste, um dann vor Ort irgendeinen Bürgergang zu erledigen quasi.
Haben die sich erst mal überlegt, wie kriegen wir das elektronisch hin?
Die hatten ISDN in der hinterletzten Ecke. Da kann ich mich noch gut dran erinnern, dass es die Begründung war. Wir haben da Internetliegen an der Stelle, und dann können die Leute auch sagen, ich brauch einen Schulplatz für mein Kind.
Das wird jetzt schulpflichtig.
Und das Ganze online zu erledigen. Wesentlich später kamen dann die ganzen anderen europäischen Länder hinterher.
Vorne dran. Thomas hast du es im Hinterkopf? Wann das bei euch eingeführt worden ist? Das war das Mokka-Projekt.
Thomas:
[9:20] Nee, nee, so alt bin ich auch gar nicht.
Christian:
[9:22] Das weiß ich nicht. Okay.
Thomas:
[9:25] Also 2009 als wie... Ich weiß nicht, dass man mit einer Handysignatur war ähnlich zu der Zeit. Also da dachte man noch, SMS wäre sicher.
Das ist die einzige Indikation, die ich geben kann.
Christian:
[9:39] Ich glaube, es war etwas vor den deutschen Austauschjahren 2009 mit dem Anwendungstest begonnen, mit der ganzen Vorbereitung.
Und da war Österreich auf jeden Fall schon im Rennen. Also da gab es schon die ersten Ergebnisse aus der Nutzung bei euch.
Und ja, aber das ist auch 14 Jahre zurück inzwischen, dass man da solche Sachen gebaut hat. Und jetzt so Schritt für Schritt kommen die ganzen anderen Sachen hinterher.
Damals aus der damaligen Zeit kann man sich erinnern, die belgische ID auch.
Man sprach dann damals von der französischen Lösung und von der deutschen Lösung.
Die französische Lösung war eine klassische Signaturkarte.
Das MoCA-Projekt in Österreich ist im Prinzip eine Signatur.
Also man hat ein Signature Key Pair, da hängt ein Zertifikat mit hinten dran.
Im Zertifikat stehen meine Personendaten. So auch genauso bei der Signaturkarte.
Das QES-Thema, das gibt es in Deutschland seit Ende 1998.
Und das war aber nur das Unterschreiben von Dokumenten, aber noch keine Remote-Identifikation.
[10:37] Und das Remote-Ident ist dann tatsächlich so um 2010 spannend geworden.
Und was in der deutschen Lösung anders war, ist tatsächlich der Punkt, dass man das Thema Zertifikate oder Unterschreiben von Dokumenten von der Identifikation trennt. Das sind zwei verschiedene Dinge. Ich habe einen Identitätsträger.
[10:52] Das kann beliebig sein, das kann die Karte sein, das kann aber auch irgendwas anderes sein. Das haben auch die Österreicher schon vorgemacht.
Ihr hattet ja auch dann die Möglichkeit, auf der Gesundheitskarte die Bürgerkarte unterzubringen oder auf der Bankkarte war die Möglichkeit auch vorgesehen.
Sodass ihr also schon das Konzept des Identitätsträgers hattet, lange bevor wir in Deutschland darüber nachgedacht haben.
Und da ist es jetzt so, dass wir hier nicht mehr mit signierten Personendaten arbeiten wollen, sondern der Identitätsträger selber gibt sich als echt zu erkennen, baut eine verschlüsselte Verbindung zu einem gegenüberliegenden System aus, kann dort erkannt werden, okay, bin ich aus der richtigen PKI, bin ich gesperrt, was auch immer.
Und danach wird über den verschlüsselten Kanal eigentlich ausgelesen, was oder allesrum, wer ist denn die Person zum Beispiel?
Also Vorname, Nachname, Adresse, beziehungsweise auch abhängig davon, was die Reliant Party die Gegenseite lesen darf.
Die kriegt ein Berechnungszertifikat in dem Fall, wo dann auch drinsteht, anhand einer Bitmaske, was man dann überhaupt lesen darf.
Und genau das wird dann von diesem Identitätsträger freigeschaltet und über den Kanal übertragen. Das ist eigentlich so das State of the Art geblieben seither, wie man Identifikation macht.
Man hat aber festgestellt, das ist natürlich komplizierter.
Man muss diese Reliant Party Authentication irgendwie umsetzen.
Das kann man in verschiedenen Schafen tun.
Aber ich weiche ab.
Torsten:
[12:11] Genau. Und ich möchte das Ganze wieder einfangen. Jetzt hast du ja schon gesagt, es gab eine sogenannte deutsche Lösung und eine französische Lösung.
Jetzt sind wir ja im europäischen Rahmen unterwegs.
Da wäre es ja eigentlich ganz geschickt, wenn man sich auch mit einer französischen Identitätskarte in Deutschland identifizieren könnte.
Könnte.
Christian:
[12:34] Thorsten, bitte nicht die französische Lösung mit dem heutigen Szenario verwechseln.
Die Franzosen sind auch auf EIDAS und auf Maitas Token.
Torsten:
[12:40] Ja, aber heute ja hinaus. Ich wollte ja sagen, ihr habt jetzt, dann hat man die EIDAS entwickelt, damit genau das funktioniert.
Damit ich mich, okay, damit ich mich mit meinem österreichischen Personalausweis auch in Deutschland elektronisch identifizieren kann.
Thomas:
[12:54] Genau. Also rechtlich ist die Historie so, dass wir 1999 das erste Gesetz auf EU-Ebene zu diesem thematen und das war noch eine Richtlinie, sprich ein Gesetz, das die EU zwar vorgibt, was aber erst in nationales Recht überführt werden musste und 2014 hat man dann die erste Version der EIDAS-Verordnung gemacht und das ist das System, was vielleicht viele von uns noch kennen, wenn sie grenzüberschreitend leben und arbeiten, wenn man vielleicht Sozialversicherung und Staatsbürgerschaft nicht aus dem selben Land hat.
EIDAS 1, diese 2014e Version des Gesetzes, war eigentlich nur ein Weg, Interoperabilität zu schaffen, dass man wirklich mit der Identität aus Land A auch die Government-Dienste in Land B verwenden kann.
Das war nicht vollumfänglich, das brauchte eine beidseitige Anerkennung der jeweiligen Lösungen.
Es war da auch nicht jedes nationale System auch sofort grenzüberschreitend verwendbar, Denn wir haben heutzutage sehr unterschiedliche Ausgangssituationen, wenn es um digitale Identität geht.
Also es ist wirklich eine große Bandbreite zwischen den EU-Ländern.
Wenn wir da nach Skandinavien schauen, dann sehen wir sehr stark integrierte Onlinesysteme.
[14:14] Wir haben so zentraleuropäische Lösungen, Deutschland, Österreich.
Und da ist eben wirklich eine Vielzahl an Technologien und Architekturen jetzt gerade im Einsatz.
[14:27] Und da die große Reform, über die wir gleich reden werden, versucht, das jetzt voll zu harmonisieren.
Und da will man eben jetzt wirklich ein einheitliches System für ganz Europa schaffen.
Aber bevor wir darüber sprechen, wollte ich nochmal ganz kurz ein bisschen rauszoomen, weil dieses Thema digitale Identitäten, das wir jetzt gerade so aus einer europäischen Perspektive diskutieren, das ist in vielen anderen Weltregionen, ist man da eigentlich schon weiter.
Also es ist vielleicht das indische System, ATAR, ein Begriff, was eben eine biometrische Vollerfassung der Gesamtbevölkerung ist und eben auch für den Zugang zu Sozialleistungen, auch lebensnotwendigen Sozialleistungen in Indien, hergezogen wird.
Das heißt, wer daran nicht erkannt wird, der hat...
Problem, sprichwörtlich. Da geht es wirklich an überlebenswichtige Leistungen und Nahrungsmittelleistungen in einigen Ländern.
Es gibt dazu auch schon höchstgerichtliche Urteile in Indien, die sagen, dass diese Koppelung von Sozialleistungen anders vorhanden sei, einer digitalen Identität verfassungswidrig ist.
Wir haben Systeme in afrikanischen Ländern, wo es inzwischen schon Belege gibt, dass da ein ethnic bias drinnen ist, also gerade in Grenzregionen, Stämme leben, die eben ethnisch nicht zu der Mehrheitsbevölkerung passen, wird dann eben anhand von biometrischer Erkennung Leuten de facto auf elektronischen Wegen die Staatsbürgerschaft aberkannt.
[15:55] Wir haben in einigen lateinamerikanischen Ländern sehr, sehr aktive Debatten, die lateinamerikanische Netzpolitikszene sowieso einer der Kusten.
Und in Europa hat man sehr wenig von diesen Weltregionen gelernt.
Also die Debatte, die wir jetzt hier führen, will ich gleich dazu sagen, ist eben nicht vollumfänglich, dass man schaut, was für Fehler wurden gemacht, was können wir daraus lernen und wie machen wir es richtig, sondern es sind halt andere Motivationen, die bei dieser großen EIDAS-2-Reform im Mittelpunkt standen.
Dieses Gesetz ist 2021 im Juni vorgestellt worden und uns ist schon aufgefallen damals, das wirkt irgendwie sehr unfertig.
Da waren relativ viele Rechtschabfehler drin und das ist an ganz vielen Stellen, hat man nicht wirklich beschrieben, wie es funktionieren soll, sondern gesagt, das regeln wir dann später mit Verordnung.
Und ich glaube, der Grund, wieso wir dieses Gesetz gerade dann gesehen haben, ist die Covid-19-Pandemie.
Die, wenn wir uns zurück erinnern, so Sommer 2021, da war schon klar, wir sind so auf dem Weg nach draußen. Da war schon eine Impfung da und wir hätten jetzt dann eine Perspektive gehabt. So ein Gesetzgebungsverfahren dauert ja sehr lang.
[17:09] Die Covid-19-Pandemie hat aber eben auch dazu geführt, dass das Verständnis in großen Teilen der Bevölkerung, wieso man vielleicht Interaktionen mit dem Staat, e-Government über das Internet machen kann, besonders hoch war.
Und genau dafür wollte man eben eine europaeinheitliche, grenzüberschreitende Lösung schaffen.
Und was vielleicht auch mit ein Grund war, wieso wir dieses Gesetz genau damals gesehen haben, waren die Covid-Zertifikate.
In Österreich hießen die Grüner Pass. Man kennt sie noch als diese QR-Codes, die nach einer erfolgten Impfung oder Positiv-Testung von Covid, also Genesung, oder auch nach einer Negativ-Testung für einen kurzen Zeitraum ausgegeben wurden.
Wo die verwendet wurden, war unterschiedlich. Ich glaube, in allen EU-Ländern waren sie zu einem gewissen Zeitpunkt eine Voraussetzung einzureisen.
Sie waren aber auch in vielen EU-Ländern eine Voraussetzung, um in ein Restaurant gehen zu können oder im Theater einen Sitzplatz zu bekommen.
Also da wurden in ganz vielen Alltagssituationen auf einmal QA-Codes gescannt, um sich überhaupt noch frei bewegen zu können.
Und hier ist es vielleicht auch wichtig zu sagen, dass diese Covid-Zertifikate, also wirklich sensible Gesundheitsdaten über ansteckende Krankheiten und Impfungen, auch einer davon ganz vielen Anwendungsfälle von diesem neuen EIDAS EU-System sind.
Torsten:
[18:34] Okay, das war mir noch gar nicht klar, dass das irgendwie zu EIDAS dazugehört.
Thomas:
[18:38] Ja.
Torsten:
[18:40] Aber können wir vielleicht mal da ein bisschen näher drauf eingehen?
Soll es jetzt eine Reform geben, E-DAS 2 oder 2.0, je nachdem wie man es liest, steht im Raum?
Was ist denn die große Idee dahinter?
Thomas:
[18:52] Die große Idee ist halt wirklich so One App to Rule Them All.
Also eine einzelne App zu machen, die halt wirklich als universelle Technik funktionieren soll für alle natürlichen und juristischen Personen, also jeden Menschen und jede Firma und jeden rein. Die sollen sich über diese Wallet-App, diese Europe-Intelligent Identity Wallet App, EODI Wallet, ausweisen können gegenüber dem Staat und gegenüber privatwirtschaftlichen Firmen, sowohl was ihre Identität betrifft, aber auch sich authentifizieren, auf Webseiten einloggen mit diesem Stück Software.
Man soll auch Eigenschaften über sich rechtsgültig beglaubigen können, sei das jetzt eine Lenkererhebung, ein Covid-Status, ein Alter oder ein Universitätsabschluss.
[19:46] Und all das online und offline. Das heißt, ich soll das sowohl, wenn ich vom Rechner oder am Smartphone sitze, einsetzen können, um mich auf einer Webseite zu identifizieren, wie auch eben, wenn ich physisch irgendwo bin und Einlass verlange bei einer Polizeikontrolle, wenn ich mit dem Auto fahre oder mit dem Fahrrad und so weiter.
Und das Ganze ist halt eben ein wirklich offenes System, weil es ihnen nicht bekannt ist, gegenüber welchen – Thorsten hat den Begriff schon vorher verwendet, relying parties, also gegenüber welchen staatlichen Stellen oder privatwirtschaftlichen Unternehmer ich mich da jetzt ausweise.
Und auch die Eigenschaften über mich, die ich in meiner Wallet haben kann, sind offen. Also hier sind beliebige Attribute denkbar.
Es gibt gewisse, die sind verpflichtend, wie eben Alter, Name, Adresse.
[20:35] Aber es kann hier auch jedes andere Unternehmen und auch vielleicht staatliche Stellen andere Attribute in diese Wallet mit hineingeben.
Da könnte man zum Beispiel die Bonität von der Schufa rein geben, beliebige Gesundheitsdaten, Versicherungen können in diesem System partizipieren und so weiter. Hier sind wirklich ganz viele Szenarien denkbar.
Und ganz wichtig ist, bei EIDAS 1.0, bei der Version von 2014, war theoretisch auch schon der Zugang der Privatwirtschaft auf dieses System möglich.
Aber es war wirklich nur eine Möglichkeit. Wirklich in der Breite gesehen haben wir das kaum, mit einzelnen Ausnahmen in manchen Ländern, wo das da eine Verschränkung gab.
Aber mit IIDAS 2 ist der wirtschaftliche Vorteil für Unternehmen wirklich eine der Kernanforderungen.
Und ich als Datenschützer, als Bürgerrechtler würde sogar sagen, dass dass es an vielen Stellen mehr Gewicht hat als die Grundrechtsinteressen der Bevölkerung.
Also man will hier durchaus die Identitätsdaten der Bevölkerung für die Wirtschaft öffnen.
Torsten:
[21:44] Das heißt, da gab es zwei zentrale Änderungen zu EEDAS I.
EEDAS I war eher so auf Interoperabilität und Kompatibilität zwischen den einzelnen EIDs angelegt und auf eine Dezentralisierung.
Und der IDAS 2 geht hier ganz klar auf eine europäische Zentralisierung und eine einzige.
Thomas:
[22:10] Ja, also es ist so, dass jeder Staat noch seine eigene European Digital Identity Wallet ausgeben kann und muss.
Es gibt ja eine Verpflichtung für Staaten, so eine Wallet gratis der eigenen Bevölkerung anzubieten und mindestens eine. Man kann auch mehrere anbieten als Staat.
Und es gibt auch eine Template-Implementierung der EU-Kommission, die auch Open Source sein wird, weil es natürlich Sinn macht, wenn man das jetzt nicht 27 Mal programmiert, sondern einmal in Gscheit und dann hoffentlich die anderen Staaten nur Ableitungen davon kreieren.
[22:47] Das heißt, theoretisch wird es eine finnische und eine deutsche und eine französische App dann geben, wobei die eben interoperabel sein sollen.
Also wo es eben dann im besten Fall keinen Unterschied macht, weil wir haben ja in Europa diese Personenfreizügigkeit und die soll natürlich nicht behindert werden durch so eine Software, sondern eigentlich erst befördert.
Und ja, wir sehen zum Beispiel auch in anderer EU-Gesetzgebung, dem European Health Data Space zum Beispiel, dass das dann so funktionieren soll, dass sich als Patient, der zum Doktor geht in einem anderen Land, also ein Deutscher geht nach Österreich zum Arzt, holt sich dort ein Rezept für Penicillin und kann sich dann in Ungarn das Medikament von der Apotheke abholen.
Also hier soll wirklich ein grenzüberschreitender Austausch auf Basis dieser Wallet ermöglicht werden.
Und das sind heute wirklich auch die Stellen gegenüber denen ich mir hier ausweise, im Prinzip in der Architektur komplett offen.
Hier werden keine Einschränkungen gemacht von der Kommission, wobei ich auch gleich dazu sage, das sind natürlich auch die Themen über die gerade noch politisch gestritten.
Torsten:
[23:50] A. Bauer Jetzt muss ich aber als Bürger sagen, cool, ich brauche nur noch eine App, ich kann mein Geldbeutel zu Hause lassen, ich brauche nichts mehr und auch wenn ich ins Ausland reise, ist es vollkommen egal, ob ich krank werde oder eine Panne habe oder sonstiges, ich kann das alles schön mit einer App machen. Was sind da die Gefahren dahinter?
Thomas:
[24:08] Also wie du sagst, das ist doch super angenehm und komfortabel.
Das ist auch die Idee, die die Kommission hier nach vorne stellt.
Die Zielvorgabe der Kommission ist, dass 80 Prozent der Europäerinnen und Europäer diese Wallet bis Ende dieser Dekade, also bis 2030, auf ihren Smartphones haben.
Also man will 80 Prozent Durchdringung haben.
Was natürlich dann auch für Unternehmen, wenn ich weiß, die Leute haben das, da ist eigentlich schon so 50-60% die Schwelle, ab der man seine Prozesse vielleicht umstellt.
Denn was gewinne ich denn als Unternehmen? Na ja, wenn ich jetzt irgendwelche Kunden oder Besucher vielleicht registrieren will, vielleicht Daten über die erheben will.
Dann könnte ich da ein Web-Formular, ein Papierformular zur Verfügung stellen.
Da kann man ja eigentlich reinschreiben, was man will.
Selten werden irgendwo Pässe fotokopiert, um einen bürgerlichen Namen abzugleichen.
Ich habe hier eigentlich eine Möglichkeit, pseudonym zu agieren.
Ganz viele Dinge, die wir in der Wirtschaft tun, tun wir auch anonym.
Ich meine, überlegen wir mal, wenn wir einkaufen, gehen, wo wir überall wirklich jetzt unseren Ausweis herzeigen müssen.
[25:21] Und hier droht natürlich auf einer ganz, wenn wir weiter rausgesummt bleiben, die Gefahr der Überidentifizierung.
Das heißt, dass in ganz vielen Szenarien, wo ich heute noch anonym und pseudonym agieren kann, mich frei im öffentlichen Raum bewegen kann und auch mit anderen interagieren kann, dass diese Freiheiten wegfallen.
Dass ich da künftig einfach gezwungen werde, Daten über mich herzugeben und wie das funktioniert, Das kennen wir trotz DSGVO jedes Mal, wenn wir auf einer Nachrichtenseite gehen und gefragt werden, ja, du kannst jetzt hier irgendwie weggehen oder du akzeptierst unsere Cookies.
[26:02] Oder du darfst hier vielleicht 9 Euro im Monat zahlen, ein Abo abschließen oder du musst die Cookies akzeptieren. Also Consent or Pay Schemes.
Ganz oft werden wir, nur weil wir irgendwelche Dienstleistungen nutzen wollen, automatisch dazu gezwungen, auch gleich die Datenschutzbestimmung zu akzeptieren.
Was eigentlich auch kein freier informierter Zustimmung im Sinne der DSGVO ist, aber trotzdem sehen wir das tagtäglich.
Und es ist sehr wahrscheinlich, dass sich daran nichts ändern wird mit dieser Wallet, sondern im Gegenteil, dass ich dann eben auch gezwungen werde, mit dieser Wallet Daten über mich preiszugeben in Situationen, wo ich das vielleicht gar nicht will.
Und die AGDs sind nach dem Vorschlag der Kommission auch ein legitimer Grund, diese Wallet zu verwenden, nicht wie wir uns das zum Beispiel wünschen würden, dass man so ein Stück Software, das ja eigentlich sehr mächtig ist, das wirklich staatlich verifizierte Identitätsdaten beinhaltet und teilen kann, zum Beispiel nur einschränkt für die Fälle, wo ich mich rechtlich ausweisen muss, zum Beispiel wenn ich ein Bankkonto eröffne.
Da ist es natürlich schon irgendwie legitim, dass wir jetzt keine anonymen Bankkonten haben und die Bank muss wissen, für wen sie jetzt Geld verwaltet.
[27:11] Aber in vielen anderen Wirtschaftsbereichen glaube ich nicht, dass es dieses legitime Interesse gibt und deswegen wäre es sinnvoll, wir nennen es immer New Your Customer Requirements, also da wo wir rechtlich verankert haben, dass ein Unternehmen seine Kundinnen und Kunden identifizieren muss, da sollte auch dieser Wallet ihren legitimen Anwendungsbereich haben und darüber hinaus wird es dann eben schon sehr kritisch.
[27:40] Ja, aber was haben wir noch für Probleme? Also ich meine...
Oder was haben wir für Lösungen? Um mal bei dem letzten Thema zu bleiben, ein Recht auf Pseudonymität ist etwas, das wir ganz stark gefordert haben, was es auch in die Parlamentsposition geschafft hat.
Da hat der Bürgerrechtsausschuss sich lieber durchgesetzt.
Patrick Breyer hat dort übrigens das Gesetz auch maßgeblich mitverhandelt.
Das heißt, wir haben an der Stelle schon mal ein Recht auf Pseudonymität, das uns schützt überall dort, wo wir rechtlich nicht verpflichtet werden, uns auszuweisen.
[28:17] Und was uns eben auch ganz, ganz wichtig war auf einer abstrakten Ebene, war ein Nicht-Diskriminierungsschutz.
Wenn Menschen diese Wallet nicht verwenden wollen, egal aus welchen Gründen, dann dürfen die nicht benachteiligt werden.
Das heißt, ich darf keine Dienstleistung, egal ob staatlich oder auch privatwirtschaftlich, aber auch den Zugang zum Arbeitsmarkt nicht abhängig davon machen, ob ich so eine Wallet habe oder nicht.
Das beginnt ja schon mit meiner Oma, die so etwas sicherlich nicht mehr verwenden wird, weil die technische Literacy hat sie nicht.
Das beginnt mit kleinen Kindern, die noch kein Smartphone haben.
Das beginnt mit Menschen, die sich kein Smartphone leisten können und vor allem kein modernes, so eine Wallet auch sicher betreiben kann und geht dann natürlich auch weiter zu allen Menschen, die aus Datenschutzgründen sagen, ich will gar kein Smartphone haben, mir reicht ein Dampffon oder ich brauch so einen Brick überhaupt nicht bei mir.
Und auch die sollten in ihren Rechten nicht eingeschränkt werden durch dieses System.
Deswegen sind wir sehr froh, dass wir diese Nichtdiskriminierungsregel wirklich in allen vier Ausschüssen des Europaparlamentes gesichern konnten.
Ich muss dann gleich noch erklären, wie das mit der EU funktioniert, wenn ich mich hier immer aufs Europaparlament beziehe. Das ist sozusagen der Teil des Gesetzes, wo wir gehört wurden als Zivilgesellschaft, wo Vorschläge aus Bürgerrechtsperspektive aufgenommen.
[29:39] Wurden.
Es gibt aber auch noch die EU-Mitgliedstaaten, den sogenannten Rat und die Kommission.
Diese drei Institutionen haben drei Versionen des Gesetzes und die werden dann in der Wurstfabrik des Gesetzgebungsprozesses zu einem finalen Gesetz gemacht.
Genau an dem Schritt stehen wir gleich.
In einer Woche haben wir die letzte finale Position des Parlaments und in zwei Wochen beginnt dann schon der Trilog. Das heißt dann versucht man sich da zu einigen, um auf ein finales Gesetz zu kommen.
Torsten:
[30:15] Ich merke schon, das ist ein Thema, in dem bist du tief drin und bist auch mit vollem Herzen dabei, weil wir haben so eine kleine Vorbereitung vorfeld gemacht und du hast jetzt mal in den letzten 20 Minuten alle sieben Punkte durch, die wir in dem einen Thema zusammengefasst hatten.
Mir fällt dazu auch nichts mehr ein, was ich noch fragen könnte.
Aber Christian hat auch die ganze Zeit genickt und geguckt. Hast du noch was zu ergänzen?
Christian:
[30:38] Ja, also eigentlich nur, dass das alles Eides I und Eides II ist, sondern wir haben diese Versuche, das ganze EID-Thema in Europa zu vereinheitlichen oder zumindest interoperabel zu gestalten, das ist schon länger.
Also, Stalk I, zum Beispiel Stalk II, Future ID, Treats, um einfach die Begriffe zu nennen. Ein paar Links werden wir dann einfach in die Show Notes reinpacken.
Und die Bestrebungen sind da halt schon sehr, sehr alt. Und auch, wie Thomas gerade schon richtig gesagt hat, der Wirtschaft halt die Daten zugänglich zu machen, das zu eröffnen.
Deswegen ist es auch so wichtig, sagen zu können, dass man die Wahlfreiheit hat als Bürger.
Also A, nicht diskriminiert zu werden aus den verschiedensten Punkten, da kann ich drum wirklich nur zustimmen, was er aufgezählt hat.
Ein bisschen zu dem Aspekt, dass man vielleicht sagt, okay, ich möchte halt wahlweise entscheiden, dass ich es vielleicht hier und da benutzen kann, wo ich es für angebracht empfinde und an anderen Stellen einfach sagen, okay, ich möchte bitte den alten analogen Prozess gehen.
Und das darf halt nicht einfach weggekürzt wird.
Thomas:
[31:39] Vielleicht kann ich ganz kurz diese Gelegenheit nutzen. Thorsten hatte recht.
Ich bin glühender Europäer und das ist nicht mein erstes EU-Gesetz.
Deswegen versuche ich auch immer irgendwie meine Begeisterung für die EU zu teilen. Weil es ist halt wirklich so, dass es kaum ein Parlament gibt, wo es zumindest mir gelungen ist, mit Argumenten Mehrheiten zu organisieren.
Und im Europaparlament geht das. Das Europaparlament ist aber eben nur einer von drei Stickholdern bei dem gesamten Prozess.
Das Europaparlament wird immer vertreten durch einen Berichterstatter.
[32:15] Das ist in diesem Fall Romana Jerkovic, eine kroatische Sozialdemokratin, die zum ersten Mal im Europaparlament sitzt.
Sie ist diejenige, die für alle 446 Millionen Menschen in Europa dann dieses Gesetz verhandeln wird, weil sie eben das komplette Parlament vertritt.
Und sie vertritt das Parlament im sogenannten Trilog. Das ist der Zeitpunkt in den Verhandlungen, wo Kommission, Rat, also Mitgliedstaaten und Parlament ihre Position verabschiedet haben und man dann in diesen Dreiergesprächen versucht sich aufs finale Gesetz zu einigen.
Wir haben noch die letzte Plenumsabstimmung im Europaparlament, die wird wahrscheinlich am 15.
März ein. Ich rechne damit, dass es eine Abstimmung geben wird, weil sicherlich eine Fraktion die verlangen wird.
Ich gehe aber nicht davon aus, dass da noch Änderungen zugelassen werden.
Ganz einfach, weil es hier so einen starken Drang gibt, das Ding jetzt einfach schnell zu machen. Man muss auch sagen, dass der Industrieausschuss, der zuletzt gearbeitet hat dran, der als federführend der Industrieausschuss für das Gesetz auch einen sehr guten Job gemacht hat.
Jetzt haben wir eben diesen Trilog, der beginnt unter der aktuell laufenden schwedischen Ratspräsidentschaft, die wird noch bis Ende Juni dauern und dann von Juli bis Dezember sind die Spanier dran und die werden wahrscheinlich auch dieses Gesetz abschließen.
[33:41] Worum wird dann gestritten? Was sind die Dinge, die jetzt wirklich noch sind.
Und ein ganz zentraler Punkt für uns ist die Beobachtbarkeit von Nutzungswahl.
Es wird so sein, meiner Meinung nach, dass dieses System in absehbarer Zeit in ganz vielen Lebensberechen eingesetzt wird.
Dass wir diese Digital Identity Wallets verwenden werden, um unsere Steuern abzugeben, um irgendeine Verwaltungstätigkeit rund um unser Auto bei irgendeiner lokalen Stadtverwaltung einzumelden.
Wir werden damit Bankkonten eröffnen, wir werden die brauchen, um unsere Kinder an Schulen anzumelden.
Wir werden mit diesem System, sollte noch mal eine Pandemie kommen, unseren Krankheitsstatus nachweisen.
[34:30] Wir werden das sehr bald beim Arzt brauchen, um Rezepte noch zu bekommen, um Einsicht in unsere Patientinnenakten zu nehmen.
Wir werden mit diesem System auch sehr wahrscheinlich in ganz vielen Online-Situationen konfrontiert sein.
Zum Beispiel müssen Facebook und Google und Amazon und andere sogenannte sehr große Online-Plattformen dieses System verwenden oder anbieten ihren Usern, wenn die sich einloggen sollen.
Also wenn ich mich bei YouTube einloggen will in Zukunft, dann werde ich das auch mit dieser Wallet tun können.
Genauso wird es auch andere Dienstleister geben, die diese Wallet verwenden wollen.
Beispiel, ich will etwas auf Nachname bestellen oder mit Vorausklasse, dass dann eben meine Identität schon bekannt ist, noch bevor ich den Bestellen-Button klicke. Da wird auf jeden Fall auch das verwendet werden.
Torsten:
[35:24] Ich muss noch kurz rein. Du hast gerade eben gesagt, dass die großen, die ID-Wallet quasi dieses Identifikationssystem verwenden müssen.
Das heißt, bei Facebook, YouTube, Google und Co.
Muss ich mich dann mit dieser ID-Wallet anmelden, EUID-Wallet, oder wird auch noch die Möglichkeit geben, dass ich keine Ahnung mit mehr ausgedachten Benutzern haben?
Ein Konto erstellen kann.
Thomas:
[35:53] Also das Gesetz sieht in Artikel 12b § 2 vor, dass diese großen Online-Dienstleister ihr Nutzern die Wallet als Möglichkeit zur Authentifizierung anbieten müssen.
Das ist nicht der Zwang für die Nutzer, das dann auch anzubewenden.
Es ist aber natürlich dann die Frage, wenn die das hier verwenden können, welche Daten kriegen die dann darüber? Und sind die jetzt wirklich auf einen einen simplen Login beschränkt oder habe ich immer noch ein Recht auf Pseudonymität, auf Anonymität.
Das hängt dann von der restlichen Ausgestaltung des Gesetzes.
Torsten:
[36:26] Ja, vor allen Dingen bis zur Verpflichtung ist ja nur noch ein kleiner Schritt.
Thomas:
[36:30] Also, wäre die in Anhängen. Ja, also, was hier natürlich, ich meine wir springen jetzt auch wieder gleich ein bisschen, aber wenn ich Identifizierung einfach, billig und leicht verfügbar mache für alle, dann werden auf einmal Dinge möglich und leistbar, die im Moment noch schwierig sind.
Zum Beispiel eine Klarnamenpflicht, ein Klarnamenzwang online, dass ich nur noch auf Social Media oder in irgendwelchen Zeitungsforen posten darf, wenn ich mich vorher mit einem bürgerlichen, authentifizierten Namen registriert habe.
Oder zumindest Passdaten, Identitätsdaten von mir hinterlegt sind.
Und wenn dann irgendein Posting beanstandet wird, dann habe ich keine anonyme Hashtmail-Adresse, dann weiß die Staatsanwaltschaft, wo sie mich auch findet, wegen dieser Aussage, die ich da getätigt habe.
Also das wäre eine Gefahr, die auf einmal sehr viel wahrscheinlicher wird mit so einem System.
Aber ich würde gerne zurückkommen zu der Frage der Unbeobachtbarkeit oder Beobachtbarkeit.
[37:32] Wenn man wirklich davon ausgeht, dass die Kommission erfolgreich ist, dass das in allen Wirtschaftsbereichen Anwendung findet und sagen wir mal mehr als die Hälfte der Leute in Europa da mitmacht, dann wäre der Betreiber der Wallet in der Lage, ja unheimlich viel über alle möglichen Lebensbereiche von diesen Leuten zu wissen.
Also das ist wie ein Panoptikon, wo ich in Gesundheit, Justiz, Finanzen, in allen möglichen Bereichen hineinschauen kann und konkretes Nutzungsverhalten beobachten kann von da aus.
Das ist wie die Spinne im Netz, die die Möglichkeit hat, ganz tief in die Privatsphäre hineinzuschauen.
Und wir haben erst 2021 bei diesem Covid-Zertifikat, bei den CoA-Codes für die Impfung und für Genesung es geschafft, dass diese Unbeobachtbarkeit nicht passiert.
Das wollte man damals auch, dass eben der impfende Staat weiß, wo sein Impfzertifikat von einem Menschen her gezeigt wird.
Und wir haben es geschafft mit Änderungsanträgen im Europaparlament, dass das technisch ausgeschlossen wurde.
Und genau das probieren wir hier auch zu erhalten, dass derselbe Datenschutzstandard, der 2021 vom Europaparlament beschlossen wurde, auch hier nicht unterwandert wird.
Vor allem, weil dieses System ja viel mächtiger ist und Covid-Zertifikate sind einer von ganz vielen Anwendungsfällen.
[38:56] Deswegen ist es aus unserer Sicht so zentral, dass man hier jetzt keinen schlechteren, sondern eigentlich einen stärkeren Datenschutz bräuchte.
Torsten:
[39:04] Also bevor wir jetzt in die in den technischen Themen mal einsteigen.
Du hast gesagt, ihr kümmert euch darum, also ich ziehe jetzt einfach mal was vor.
Ihr wollt euch darum kümmern oder ihr kümmert euch darum, wie kann man euch dabei unterstützen?
Thomas:
[39:20] Ja, das ist eine gute Frage. Wir sind ein prinzipiellen spendenfinanzierter Verein. 62 Prozent von unserem Budget kommen wirklich von Kleinstspenden.
Wir haben ganz viele Fördermitglieder, großteils aber in Österreich.
Wir haben da leben auch noch ein bisschen Geld von der Stadt Wien.
Die Fördermitglied ist bei uns mit 25.000 Euro.
Wir haben Stiftungen, die uns unterstützen, hauptsächlich aber die die Arbeiterkammer und die Open Society Foundation.
Wir versuchen wirklich so nah es geht an dem Gesetzgebungsprozess zu sein und hier den guten Abgeordneten den Rücken zu stärken und uns halt auch mit Policypapieren, mit konkreten Vorschlägen für Änderungsanträge einzubringen.
Das sind unheimlich viele Meetings mit den Verhandlerinnen und Verhandlern, mit auch den Vertretern der Staaten und der Kommission.
Wer auch immer in dem Prozess eine Rolle spielt.
[40:17] Es gibt keine wirkliche Kampagne zu diesem Thema, weil wir leider die einzige NGO in Europa sind, die sich jetzt mit dieser Eides-Reform so intensiv auseinandersetzt.
Wer sich auf unserer Website, wir verlinken auch drauf, mal die Papiere und die offenen Briefe anschaut, das sind zwar ganz viele Organisationen, die sich dem anschließen, Wir sind im Moment die einzigen, die das kritisch begleiten.
Wenn man aus Kroatien ist, kann man sich sicherlich bei Frau Jarkovic melden und auch bei den anderen Abgeordneten.
Wir verlinken auch das Procedure-File, wo man genau sieht, wer für das Parlament dieses Gesetz verhandelt.
Da ist es aber im Moment auch so, dass niemand aus Deutschland oder Österreich im Moment in einer tragenden Rolle ist.
Ganz sicherlich ist aber auch die Position der Mitgliedstaaten entscheidend.
[41:10] Also wie sich hier Deutschland und Österreich und andere Staaten positionieren, hat durchaus eine sehr relevante Auswirkung dann auf das Resultat.
Vielleicht sagst du einfach noch mal die adresse von eurer seite ja das ist einfach epicenter punkt works Okay, gut das kommt natürlich auch alles die show notes aber jetzt gehen wir einfach mal rüber zum technischen ich glaube die Auswirkungen auf uns alle haben wir glaube ich schon deutlich übergebracht ja wir haben noch ein paar sachen die ich weiß nicht wenn wir Die würde ich noch gerne irgendwie ganz grob mal irgendwie beleuchten was so einfach noch strittige punkte sind Ich glaube aber, dass das vielleicht auch Sinn macht, das zum Teil gleich technisch zu beleuchten.
[41:55] Also zum Beispiel, es gibt, wenn man mit so einer Wallet operiert, verschiedene Möglichkeiten, wie ich den Daten über mich übertrage.
Natürlich kann ich meinen vollen Namen, meine volle Adresse, mein volles Geburtsdatum übertragen, aber Privacy by Design, was ja laut DSGVO geltendes Recht in Europa sein sollte, würde bedeuten, dass ich zum Beispiel meinen Altersnachweis erbringe, ohne dass ich mein genaues Geburtsdatum übermittel.
Nicht mal das Jahr muss ich übermitteln, sondern ich muss eigentlich nur den Test erfüllen, bin ich jetzt gerade über 16, über 18, wie auch immer jetzt gerade das Gesetz zum Jugendschutz ist in dem jeweiligen Land.
Sogenannte Zero-Knowledge-Proves. Und das Ganze am besten auch noch in einer Form, dass es unlinkable ist, dass ich eben, auch wenn ich mehrmals zu demselben Kiosk oder zu demselben Disco gehe, nicht als dieselbe Person erkannt werde, die ihr Alter nachgewiesen hat.
Das sind so Prinzipien, die natürlich hier auch in ein datenschutzkonformes System Einzug finden müssen und im besten Fall auch bevorteiligt werden.
Wenn ich jetzt nur einen Rabatt als Anreiner bekommen will, dann müssen die nicht meine Adresse wissen.
Also hier müsste man wirklich klug auch die Anwendungsfälle sich anschauen und halt einfach datenminimierend darauf zugehen. Ich glaube, dass das auch ganz entscheidend dafür sein wird, ob dieses System am Ende das Vertrauen der Bevölkerung genießt.
Also es geht wirklich darum.
[43:25] Habe ich hier schon mal von Missbrauch gehört, gibt es auf einmal Spam, der mich erreicht, wenn ich diese Wallet verwendet habe.
Ich glaube, wenn das ein paar Mal passiert, dann kann man sich sparen.
Dann werden ganz viele Leute sagen, nein, da will ich lieber nichts damit zu tun haben. Also steht und fällt mit dem Vertrauen.
[43:43] Eine Sache, über die noch sehr heiß diskutiert wird, wo ich selber auch noch nicht abschätzen kann, wo die Lösung wird, sind die sogenannten eindeutigen lebenslangen Identifikatoren.
Also dass mit dieser Wallet eben auch nach dem Vorschlag der Kommission jeder Mensch eine Seriennummer bekommt.
Wirklich bei Geburt einen eindeutigen String, der diesen Menschen dann in so gut wie allen Interaktionen eindeutig identifiziert.
Das ist in skandinavischen Ländern scheinbar ein Weg, wie der gangbar scheint.
Ich glaube in Deutschland und in Österreich stellt uns da die Rückenhaare auf, wenn wir das hören.
Aber das ist so etwas, wo jetzt gerade wirklich noch gestritten wird.
Ich weiß nicht, für uns da denkt man wahrscheinlich so an titulierte Nummern auf dem Unterarm.
Also ich bin auf jeden Fall dagegen, dass Menschen mit einer Nummer lebenslang eindeutig identifiziert werden.
Natürlich würde das auch als Super-Cookie wunderbar taugen, wenn wenn ich dann als Relying Party einmal mit diesen Menschen zu tun gehabt habe, in allen möglichen Hacks und Data Dumps diese Person wiederfinden kann.
Das hat natürlich auch Sicherheitsimplikationen.
[45:03] Zuletzt ist ein Thema, worüber noch ebenfalls sehr gestritten wird, die Frage, wer sind jetzt wirklich die Relying Partys, die hier mitspielen dürfen?
Es gibt ja einen großen Unterschied zwischen einer staatlichen Stelle, wo ich e-Government mache, wo ich vielleicht auch wirklich will, dass die nur den Leuten, die gerade vor ihnen stehen, Zugriff auf die eigenen Daten geben zum Beispiel oder erlauben, Anträge zu stellen oder einer Bank, wo ich vielleicht auch wirklich wissen will, ob der richtige Kunde auf das Konto zugreift.
Aber dann gibt es eben ganz viele Branchen und Firmenarten, wo ich glaube, dass die Cases sehr schwierig zu argumentieren sind und wenn man da nicht genau eine Regulierung habt.
Die vorschreibt, was die dürfen und was vor allem auch im Fall von Missbrauch passiert, dann haben wir auch wieder ein sehr unsicheres System.
Im Moment hat die Kommission da überhaupt nichts vorgeschlagen, das uns hilft, zum Beispiel, ich nenne es immer das irische Problem.
Irland, Malta und noch ein paar andere Länder, die setzen EU-Recht einfach nicht um gegenüber großen Firmen.
Und das würde dann dazu führen, dass wir ähnlich wie wir das bei Facebook in Irland sehen, dann einfach Datenschutztotes Recht ist.
[46:18] Und wenn ich mich zum Beispiel jetzt in Deutschland beschwere über eine mathesische Glücksspielfirma, dann sollten auch deutsche Behörden die Möglichkeit haben, diesen Fall von Missbrauch oder Identitätsdiebstahl ahnden zu können, indem sie das Unternehmen von diesem System aussperren.
[46:35] Das ist aber auch etwas, worüber jetzt erst noch gestritten werden muss, das ist leider nicht Teil des ursprünglichen Gesetzes gewesen.
Das sind so grob die Themen, die jetzt einfach auf einer inhaltlichen Ebene noch offen sind.
Torsten:
[46:48] Ich frage mich immer, ob es dafür tatsächlich ein Gesetz braucht oder ob man da nicht irgendwie anders...
Christian:
[46:53] Brauchst du schon, weil mit gesundem Menschenverdammt alleine funktioniert es nämlich nicht, weil es tatsächlich Partikularinteressen gibt, eben halt massiv aus der Wirtschaft an der Stelle, einfach Profilbildung über Personen zu machen, weil das sind Daten, die lassen sich wunderbar verkaufen.
Und gerade eben halt die Kandidaten a la Facebook, Google etc.
Pp. machen Wir haben damit ja bereits schon viel Geld.
Wenn du das nicht gesetzlich reglementiert hast, dass ein Staatenbündnis wie die EU das Gleichsam umsetzt, siehst du genau das, was wir schon erlebt haben.
Dass es dann Ausnahmen gibt und dass du Steuerparadiese hast oder einen Datenschutzparadies auf einmal.
Ich fühl selber grad eine DSG-Frau klar gegen den Meta-Konzern.
Torsten:
[47:29] Da beobachte ich grade das ganze Ding. Da läuft bei mir auch grad noch was.
Irgendwas mit Telefonnummern war das.
Christian:
[47:34] Ja, genau.
Thomas:
[47:38] Klagen gegen Meter, der neue Volkssport.
Christian:
[47:39] Genau. Ja.
Früher war es Gartabend, heute Klagen gegen Meter. Vielleicht kurz mal eintragen.
Du hast ja ganz viele richtige Punkte schon gesagt, Thomas.
Was wir also berücksichtigen müssten, auch bei so einer großen Lösung, die halt 446 Millionen Menschen betrifft an der Stelle.
Mir ist aufgefallen, gerade von der technischen Perspektive, dass das alles Punkte waren, die das BSI damals bei Alderstocken oder dem deutschen N-Paar schon mit eingebracht hat.
Ein wichtiger Aspekt ist die Altersverifikation.
Dass die auch damals schon ohne Seronautisch-Proof ohne das neue Verfahren seit 14 Jahren schon ging.
Das heißt, du hast einfach eine Antwort gekriegt, 90, 0, 0. Alles okay, du hast das Referenzalter erfüllt. Oder aber eben 69, 82.
Nein, du bist noch zu jung. Du konntest daneben auswählen und sagen, als Dienstanbieter möchte ich prüfen, ist jemand über 18, über 27 mal deswegen.
Oder auch über 21, das sind so die kritischen Marke an den jeweiligen Gesetzgebungen.
Das muss natürlich entsprechend flexibel sein, weil in verschiedenen Ländern gibt's verschiedene Regelungen für Waffenrecht, für Siehe Recht für Gewerberecht und so weiter.
[48:47] Das sind also Lösungen schon da, die ja auch erprobt sind.
Auch zum Beispiel diese anonyme Alters-, nicht Alters-, Wohnortverifikation, wo man sagen kann, okay, gehörst du zu einem bestimmten Teilstaat, gehörst du zu einem Bundesstaat innerhalb von einem Teilstaat, gehörst du zu einer bestimmten Regierungsjurisdiktion innerhalb von diesem Bundesstaat, des Teilstaats, des EU-Gebietes.
Also das gibt es auch schon, dass man z.B. feststellen kann, dürfte denn z.B. jemand, also es ist jetzt auch wieder ein böses Bild bei einer Online-Wahl, die man mit so einem Verfahren macht. Aber wäre jemand wahlberechtigt, lokal den Oberbürgermeister von dieser Region mitzuwählen?
Also, ist wahlberechtigt im Sinne von U18, B hat seinen Wohnsitz dort und könnte theoretisch dafür abstimmen.
Es gibt auch noch zig andere Anwendungsfälle für so was. Aber das Ganze funktioniert auch ohne sein Passbild und Namen übers Netz zu verraten.
Das ist ein wichtiger Aspekt, weil die meisten Use-Cases, die du auch schon angesprochen hast, Die brauchen eigentlich nichts weiter als eine sichere Wiedererkennung.
Also das, was es heute schon heute schon leistet. Was ich einfach nutzen kann, okay, habe ich da.
Ich registriere das an meinem Account, weil ich nicht möchte, dass mein Facebook-Account gefischt wird.
Aber nur ich derjenige bin, der darauf zugreifen darf. Genau dasselbe halt mit Twitter oder auch mit Google-Account.
Also genau alle diese Bösen sozusagen, die wir ja auch alle nutzen.
[50:05] Und ich aber so sicherstellen möchte, dass ich oder mein Backup-Token, was ich mir zu Hause hinlege, darauf Zugriff hat. Und das ist eine ganz einfache Technologie, die es auch schon gibt.
Und eigentlich reicht es aus, wenn man eine Kombination hat, die einerseits erlaubt, okay, ohne jede Identifikationsdaten eine Zwei-Faktor-Authentisierung durchzuführen und auf der anderen Seite optional, okay, jetzt habe ich so einen Anwendungsfall, ich muss zur Bank, ich muss zum Rathaus etc.
Dann mich klar zu erkennen, zu geben, welche Daten gebe ich von mir preis.
Und dann muss ich natürlich auch die Möglichkeit haben, auf der Gegenseite entscheiden zu können, wer liest denn jetzt diese Daten?
Das war auch so eine Sache, die wir damals ganz groß festgelegt hatten mit den Berechtigungszertifikaten, dass die Gegenseite sich da mit Handelsregisterauszug, Datenverwendungsnachweis und Systembeschreibung usw.
Beim Bundesverwaltungsamt erklären musste. Jetzt kann man natürlich überlegen, auch in so einer Gesetzesnovelle, auch bei der EU, ob man das vielleicht ein bisschen schlanker gestaltet oder vielleicht unterscheidet, wer für was sich da wie erklären muss.
Wenn man sagt, ich möchte nur niederschwellig eine Pseudonymfunktion haben, dann kann quasi jeder sagen, will ich haben, möchte ich umsetzen und gut.
Ich glaube, das beträgt auch für das System zur Nutzung bei.
Und auf der anderen Seite, sobald es dann kritische Daten gibt, dann muss man sich überlegen, was ist sinnvoll umsetzbar, wer ist jetzt berechtigt, solche Daten zu lesen. Jetzt kann man generell in Richtung Banken gehen oder überall da, wo zum Beispiel Analogien vom Geldwäschegesetz greifen.
[51:31] Das ist gesetzlich verpflichtet, das auszulesen. gibt sich der Anspruch.
[51:36] Dann muss man auch überlegen, wie setzt man das um. Das ist, glaube ich, noch ein ganz ungelöstes Problem, weil die Jurisdiktion da auch sehr, sehr viele Unterschiede aufweist in den einzelnen Mitgliedstaaten.
Das ist noch nicht so übereinander gelegt worden bisher, dass man sagen könnte, ja, so können wir es machen.
Und da ist ein wichtiger Aspekt aber auch, man hat in Deutschland dann angefangen, solche EID-Services einzuführen, also das Ermöglichen erst mal, dass man als Mandant auf so einem zentralen Server mitgefahren ist, der für viele dieser Aufgaben schon übernommen hat.
Der hat den Server hingestellt, der hat sich am Anleiterungsprozess gekümmert, der hat einen parallel beraten.
Aber das war eigentlich auch nur so ein Kniff, den man eigentlich auch hier gar nicht wollte.
Weil damit habe ich das Problem, dass die EID-Services nämlich genau wie das um Tor sind, durch das alle Nutzer durch müssen, um hinten dran zum Beispiel zwei Dutzend verschiedene Banken anzusteuern.
[52:26] Dann habe ich wieder den Effekt, dass ich also beobachten kann, welche User nutzen welche Dienste nach hinten raus.
Das kann ich natürlich zum zentralen Dienst auch Vertrauen, wenn er sich da jetzt entsprechend auch transparent gibt und erklärt, dass er da nicht lockt und das vielleicht auch noch Open Source stellt zum Beispiel.
Aber auf der anderen Seite war eigentlich mal gewollt, dass die jeweiligen Relation Parties, also die Leute, die solche Daten lesen sollen, eigene Dienste haben, dass man eine möglichst niederschwellige technische Infrastruktur auch hat, sodass nur diejenige Partei, die die Daten hat, mit dem jeweiligen Bürgernsprich.
Niemand dazwischen sitzt, der das aus der Beobachtung mitlocken kann.
Und wenn es über Jahre ist, das zu speichern, es gab auch mal so eine schöne Diskussion mit den Kollegen, die einfach mal das Thema Quantum oder Post-Quantum Computing an der Stelle oder Post-Quantum Kulturgraphie aufgeworfen haben.
Sie sagten, wenn ich heute Sachen hashe zum Beispiel, gehasht hinterlege und dann eine Hashkette draus baue, wer sagt mir, dass ich nicht in 20 Jahren das Ganze eben halt einfach durch den Quantencomputer brechen könnte?
Welche Algorithmen kann ich zum Beispiel verwenden, um dem Ganzen vorzubeugen.
Das sind alles so Sachen, die momentan auch noch gerade in Entwicklung sind.
Das sind viele brandaktuelle Themen, die sind aber, glaube ich, auch noch nicht so weit, dass man sie über 446 Millionen Menschen mal eben ausrollen kann.
[53:44] Und das ist, glaube ich, auch so ein Punkt, wo es zwar einerseits mit den Large-Scale-Pilots hingehen soll, so was auszuprobieren, aber dort wird auch wieder auf Konzepte gesetzt, die eigentlich 20 Jahre alt sind. Die einkommen mit Zertifikaten um die Ecke. Das ist eigentlich das, was wir gerade nicht mehr wollten.
Die nächsten sagen dann, ja, wir nehmen Blockchain und wir nehmen Seron Knowledge Proofs zum Beispiel. Das ist dann so die Seite, die man auch in Deutschland mit der IDWallet zum Beispiel gesehen hat, was da alles mit eine Rolle spielte.
Und so eine richtige Patentlösung gibt es auch da jetzt noch nicht.
Die IDAS-Token-Norm, die auch Frankreich adaptiert, ist ja bisher eigentlich nur in Deutschland und Frankreich angekommen. Alle anderen haben da jetzt einen Bogen drum gemacht.
Für mich stellt sich hier immer noch die Frage bei den ganzen Anforderungen, die uns eigentlich klar sind, auch dem, was man datenschutzrechtlich will, was kann man tun, auch aus Sicht der Zivilgesellschaft oder auch aus Sicht von Hackern, Entwicklern, um auch so ein bisschen das Verständnis zu fördern auf den einzelnen Ebenen, wie halt eine sichere, also auch eine datenschutzfreundliche und eine privatsphärenfreundliche Authentisierung aussehen.
Torsten:
[54:48] CK du hast vorhin was gesagt, Large Scale Pilot.
Was ist denn das? Ein großer Pilot?
Christian:
[54:54] Vielleicht weiß das Thomas sogar besser als ich.
Thomas:
[54:56] Das ist ein Begriff, der in dem EIDAS Komplex dafür steht, dass man eben nicht nur diese Wallet machen will und in der sozusagen ein Stück Software, das dann auf unseren Smartphones lebt und wo es natürlich auch serverseitige Komponenten auf Seiten des Staates gibt, die zum Beispiel mit Personenstandsregister und Führerscheinregister interagieren zum Beispiel, sondern dass man diese Wallet-Infrastruktur auch in andere Sektoren bringen will.
Banken haben wir schon erwähnt, Gesundheit dann aber vielleicht auch im Bereich der Versicherungen und so weiter.
Und Large Scale Pilots ist eben genau diese Projektgruppe, wo sehr viel EU-Geld, also wir reden von wirklich vielen Millionen, vergeben wurde, um sozusagen dann für die jeweiligen Sektoren die Software zu bauen, die am Ende gebraucht wird, damit diese Branchen sich an dieser Wallet anschließen können.
[55:59] Das ist eigentlich so ein bisschen, was mit dem Begriff gemeint ist, weil wie gesagt, das Ganze ist wirklich als großes Konzept zu verstehen, was auch wirklich für alle möglichen Bereiche gedacht ist.
Also man versucht hier schon einen großen Wurf und deswegen ist es auch so, dass es ganz schwierig ist jetzt zu sagen, gar kein System ist die bessere Alternative.
[56:32] Also ich glaube aus Datenschutzsicht gibt es da durchaus Gründe dafür, man sagt ich will das überhaupt nicht haben.
Zumindest als Privatperson sollte man immer diese Entscheidung haben, was die Kommission auch ganz stark antreibt und da kann man diskutieren, ob das eine realistische Sorge ist.
Die denken sich, wenn wir das jetzt nicht machen als Europa, dann macht das Google für Android und Apple fürs iPhone und dann haben wir hier wieder mal Deutung so halt verloren.
Das ist auch seit dem Contact Tracing in Corona so ein bisschen eine Angst in der jetzigen Kommission, dass man sich denkt, wenn man zu lange diskutiert und nichts auf den Tisch legt, dann wird Big Tech hier einfach Fakten schaffen und Standards entwickeln, die man dann auch nicht mehr weg bekommt und deswegen gibt es so einen Druck bei diesem ganzen Thema das in die Breite zu bringen.
[57:27] Und nochmal zu dem, was Sike vorher gesagt hat. Ja, diese Registrierung von Reliant Parties ist wirklich ein ganz wichtiger Punkt. Ich glaube, da hatten wir in Deutschland ja auch schmerzhafte Erfahrungen mit der ID-Wallet gemacht.
Und die Kommission hat das Thema komplett vergessen.
Da war ursprünglich nur vorgesehen, dass Reliant Parties, die über die Wallet-User was fragen wollen, einmal kurz aufzeigen müssen, ich bin hier auch da und dafür will ich diese Wallet verwenden.
Aber keine Registrierung, keine Überprüfung von Seiten der Staaten.
Da hat dann die französische Ratspräsidentschaft in der ersten Jahreshälfte 2022 was sehr richtiges getan.
Nämlich, sie hat gesagt, na wir müssen hier drauf schauen, der Staat muss hier prüfen und freischalten, damit ein Unternehmen über dieser Wallet user was fragen darf.
Leider ist man da mit massivem Industriedruck konfrontiert gewesen und hat diese Lösung wieder abgeschwächt.
Im Europaparlament haben wir noch Ansätze von so einer Registrierung von Will-I-Lang-Parties, weil da eben der User auch wissen muss, wer fragt ihn denn jetzt gerade zu Daten.
[58:38] Ich glaube vielleicht, das ist meine Bank, vielleicht ist es jemand ganz anderer.
Also ich muss ja, wenn ich Daten über mich preisgebe, auch wissen, an wen ich die preisgebe, sonst kann ich ja gar keine informierte Zustimmung machen.
Und das Parlament hat auch vorgesehen, dass bei speziellen Kategorien von Daten, also sowas wie sensible Gesundheitsdaten, dass spätestens da nochmal sehr genau geprüft werden muss, ob das auch wirklich alles legitim und nach Kriterien der Datensparsamkeit zu gehen.
Torsten:
[59:06] Und vor allen Dingen wird es da europaweit einheitliche Standards geben.
Also, wenn sich Interessenten in Rumänien registrieren, ist das der gleiche Standard, Wie, wenn sich ein Interessent in Deutschland registriert?
Thomas:
[59:23] Ja, gute Frage. Also das sogenannte Forum-Shopping. Ich gehe als Unternehmen, gerade als Unternehmen mit schlechten Absichten, halt eben genau dorthin, wo die Regulierungsbehörde willfährig ist und sich freut, dass ich mein Geschäft mitbringe und dafür halt nicht so genau hinschaut.
Ja, die Gefahr besteht. Die sehen wir in Europa an ganz vielen Stellen.
Es ist eben nur in manchen Versionen des Gesetzes vorbeugend hier etwas als Safeguard eingebaut.
Gerade eben, was das Europaparlament zuletzt beschlossen hat, würde ein europäisches European Digital Identity Framework Board vorsehen. und.
[1:00:10] Das ist ähnlich wie im Datenschutz die Alternative zu den rein nationalen Behörden.
[1:00:16] Zum Beispiel, wenn ich mich in Deutschland beschwere über Facebook, die in Irland sitzen, kann eine deutsche EIDAS-Behörde sich auch meine Beschwerde anschauen oder eben eine europäische.
Aber ich muss nicht jahrelang warten, weil die Iren tun halt einfach gar nichts.
Das wäre zum Beispiel so ein Instrument, das wir da haben. Die wirklichen Standards, nach denen hier geprüft wird, das ist wie insgesamt, glaube ich, 17 Stellen in dem Gesetz, wo man sich fragt, aber wie soll das genau funktionieren?
Das wird erst mit nachgelagert der Verordnung dann festgelegt, sogenannte Delegated oder Implementing Acts.
Also an ganz vielen Stellen hat die Kommission sich selber das Recht gegeben, erst nachdem das Gesetz beschlossen wurde, festzulegen, wie es jetzt wirklich funktionieren soll.
[1:01:07] Und übrigens nur so aus humoristischem Wert.
Die Kommission hat ja ganz viel Druck gemacht, dass dieses Gesetz schnell verabschiedet wird und hat auch gesagt, 12 Monate nachdem das Gesetz verabschiedet ist, müssen die Mitgliedstaaten schon diese Wallet anbieten.
Und die Mitgliedstaaten haben gesagt so, na vielleicht nicht.
Also die Verpflichtung eine Wallet anzubieten, Die akzeptieren wir erst 18 Monate, nachdem die letzte Verordnung von der Kommission verabschiedet wurde.
Also dadurch ist jetzt hier auch nochmal ein gewisser Druck drinnen bei all den Fragen, die auch durch das Gesetz nicht beantwortet werden.
Die müssen zumindest schon am Tisch legen, bevor der Countdown läuft, ab wann diese Wallet dann wirklich angeboten werden muss.
Torsten:
[1:01:49] Das macht ja auch keinen Sinn, was zu entwickeln, wo sich eventuell die Verordnungen noch verändern.
Thomas:
[1:01:54] Das ist nicht nur hier so. es gibt doch so genannte e-das-expert-working-group.
[1:01:59] Wir haben ja noch kein fertiges Gesetz, aber trotzdem wird bereits an der technischen Implementierung gearbeitet.
Dieser IDAS Expert Working Group besteht aus Vertretern aus allen Mitgliedsstaaten.
Und dem Vernehmen nach sehr, sehr viel Industrie und ein paar Academics.
Und obwohl das Gesetz noch nicht fertig ist, gibt es diese schon technische Standard- und Architekturdokumente, die veröffentlicht wurden, die versuchen jetzt schon das Ganze nieder zu zimmern auf, wie man es dann wirklich auch bauen sollte technisch.
Und auf der einen Seite kann man sich jetzt denken, es ist vor ein paar Wochen das erste wirklich große Dokument aus dieser Gruppe rausgekullert, haben wir auch damals analysiert, werden wir auch verlinken.
Und ja, ein bisschen ist das zwar sehr spät, also too little too late, das ist sehr dünn in vielen Stellen und gibt nicht wirklich Aufschluss, wie das Ganze wirklich funktionieren soll, vor allem eben aus Datenschutzsicht.
Gleichzeitig kann man sich auch denken, es ist noch viel zu früh, denn bevor das Gesetz nicht fertig ist und die Tinte trocken, Was macht es dann für einen Sinn, jetzt schon in die technische Implementierung zu gehen?
Der Gesetzgeber kann sich ja noch umentscheiden. Gerade die Frage der Unbeobachtbarkeit ist eine, die Auswirkungen haben wird auf die Techniken, mit denen dieses System dann am Ende gebaut werden kann oder eben auch nicht.
Torsten:
[1:03:26] Gleich mal noch eine Frage zur Sicherheit. Jetzt wurschteln wir jetzt schon eine ganze Weile in Deutschland mit unserer Smart-EID rum und versuchen das bei den Smartphones in die Secure Elements reinzubekommen.
Ist sowas im Gesetz vorgesehen? Ist das vorgesehen, wie dieses Schlüsselmaterial gespeichert werden soll?
Thomas:
[1:03:44] Also, Sir Keester ist sicherlich nochmal der bessere Experte.
Im Gesetz selber haben wir schon Text dazu, aber der ist mehrdeutig.
Also es wird schon davon ausgegangen, dass eben hier wirklich die höchsten Sicherheitsstandards eingehalten werden müssen.
Und in einigen Erwägungsgründen, also dem Begleittext zum Gesetz, steht auch eben etwas von Secure Elements auf Smartphone-Telefonen drinnen.
[1:04:15] Wobei, das ist mehrdeutig, eben da steht jetzt nicht, du musst diese und jede Komponenten verwenden, sondern es muss den Sicherheitsanforderungen entsprechende technische Maßnahmen getroffen werden, biebapup.
Es gibt hier auch unterschiedliche Auffassungen je nach Mitgliedstaat. Manche meinen...
Ja gut, die Wallet kann man halt nur auf modernen Smartphones mit solchen Chips laufen lassen.
Andere meinen, das wird nicht gehen. Man muss hier mit einem Hardware-Token oder einer Hardware-Karte operieren, um die wirklich privaten Keys sicher zu verwahren, weil man dem Smartphone damit nicht vertrauen kann.
Das ist ähnlich wie die Frage der Biometrie, wo der Text eigentlich mehrdeutig ist.
Wir haben dann zumindest im Parlament durchgebracht, dass biometrische Erkennung keine Voraussetzung für die Verwendung der Wallets sein darf.
Weil halt Menschen auch berechtigte Bedenken gegen biometrische Erkennung haben.
Und die sollen hier nicht ausgeschlossen sein. Das war so unser Zugang.
Christian:
[1:05:16] Also ich schließe da mal direkt dran an. Das ist natürlich auch genauso die Situation, die wir auch beobachten an der Stelle.
Diese verschiedenen Standpunkte, wo die Leute herkommen. Ein Punkt war natürlich so, alle kennen jetzt so bisher die Ausweiskarte, die mit einem Chip aufgefrischt worden ist und die alle in der Tasche haben.
Die aber in aller Regel auch nicht erweiterbar ist. Die ist festgelegt auf das nationale System. Die ist nicht updatefähig.
Die kann jetzt nicht plötzlich zwei Varianten sprechen. Und die kann jetzt auch nicht um zusätzliche Attribute ergänzt werden.
Eine große Anforderung, die schon immer da war, ist ja zum Beispiel genau das, was wir hier Führerschein nennen oder eben halt die European Health Insurance Card als Gesundheitskarte.
Da gibt es ja den blauen Teil auf der Rückseite, das ist der europäische Teil, dass man den als Attribute zu den Personendaten auf seine Karte bringt.
Das ist sicher eine vernünftige Überlegung.
Woran sich die Geister jetzt ein bisschen scheiden, ist ein ganz altes Problem.
Zumindest in Deutschland sieht man das sehr gut an den ganzen alten Universitätsmensa-Karten oder Kopiakarten und Zugangskarten.
[1:06:16] Da gibt es immer einen engen Kreis an Herstellern, die diese Karten zu tropischen Preisen liefern.
Als auch die Terminals und so weiter. Das ist so, dass man in der Vergangenheit festgestellt hat, wenn eine Karte nur eine Funktion kann, die wir aber zehnfach, zwanzigfach an die Leute verkaufen können, indirekt sozusagen an die Bürger, dann kann ich also mein Geschäft dementsprechend größer skalieren.
Weil ich dann mehr für die Karten bekomme, weil ich 20 verkaufe statt einer Multifunktionskarte.
[1:06:47] Das ist aber genau der Punkt, wo man in der EU flexibler denken müsste.
Da sind wir über den Begriff Identitätsträger.
Der Identitätsträger kann ein geeignetes Sequellement in einem Telefon sein, sofern man das hat. Das kann ja auch das Dienstgerät sein, das das sowieso mitbringen muss, weil das die Policy vorgibt von der Security Guard, von der Firma.
Das kann aber auch sein, wie das in Österreich schon war, Oder wie man das zum Beispiel auch in Afrika sieht, dass es die Bankkarte ist.
Dass ich eine Bank- oder eine Kreditkarte habe, die ein entsprechendes zertifiziertes Secure Element ohnehin schon besitzt, auf die man dann seine ID draufbringen kann. Plus Zusatzplatz für Attribute, wie zum Beispiel den Impfausweis.
Alles nicht gross, kriegt man heutzutage auf solche Kleinschubs wunderbar drauf.
Nächster Punkt kann zum Beispiel sein, ich kaufe mir privat einen Paymentring oder lasse mir einen Implantat setzen.
Das ist zum Beispiel in Schweden auch so ein ganz großes Ding, Ich hab das jetzt in der Hand drin und kann damit einkaufen, in der Disco bezahlen und Nahverkehr auch nutzen zum Beispiel.
Dass man dann sagt, die Leute können sich frei für eine Logiplattform entscheiden.
Man macht nur zentral in der UDIVorgabe.
Folgende Funktion muss das unterstützen, folgende Zertifizierung muss da sein.
Da gibt es auch schon Beispiele, die man direkt eins zu eins nutzen kann.
Und dann Leute, lauft los, holt euch das, was ihr habt.
Ob das ein Telefon ist, ob das Kreditkarte ist, ob das ein Implantat ist, ob das mannetwegen auch...
[1:08:14] Ja, ein USB-Token ist, wie man es in Deutschland bei den L-Star-Tokens kennt, das ist einfach eine Signaturkarte in einem kleinen USB-Gehäuse drin, mit dem man seine Steuererklärung unterschreibt und anreichen kann.
Man wird mit diesem Konzept als Identitätsträger flexibler.
[1:08:29] Weil sich jetzt hier an die Hersteller zu koppeln, ist man genau wie bei der Angst, die man schon hatte, was du angesprochen hast, die Big-Takes-Standards setzen. Das fängt dabei an, dass Apple keinen Zugriff auf das Secure-Element gestattet. Da kommen wir also gar nicht drauf.
Und es geht weiter, dass eine Google zum Beispiel den Zugriff auf das Secure Element einschränken könnte.
Auf nur noch ganz bestimmte Dienste oder Dienste, die entsprechend viel Geld bezahlen.
Bisher ist es so, dass man, wenn man mit dem jeweiligen Hersteller eben halt gut kann, oder man eben halt so einen Trust Service Provider benutzt, man auf die Secure Elements von den Geräten drauf kommt.
Aber da ist eben halt die Sorge, dass das halt unterbunden werden könnte.
Und genau dann, wenn man natürlich das auch nicht nutzt und diesen Weg mit einschließt, sondern sagt, ja wir machen jetzt hier irgendwelche Software-Applikationen an der Stelle, Dann kommt Big Tech um die Ecke und sagt, naja, euer Software ist ja schön und gut, aber die ganzen Backup-Tools, die da draußen gibt, die backen natürlich auch deine Identity mit und die landet dann halt in irgendeiner Cloud.
Und wer die dann da wieder auslässt, also irgendein Hacker zum Beispiel, und das dann auf sein Telefon bringt und sich als du ausgibt, das ist ja eine ganz andere Baustelle.
Und dann kommen die natürlich an und sagen, okay, jetzt verkaufen wir euch die sichere Lösung, indem wir, wir können das hier mit Secure Element etc.
Dann sind wir genau an dieser Spirale, in dieser Falle wieder drin als Europäische Union und sind abhängig von Big Tech.
[1:09:40] Deswegen müssen wir weg von solchen Insellösungen an der Stelle, sondern hin zum Identitätsträger freier Denken an der Stelle und aber eben halt genau auch diese ganzen Privatsphärenrechte und Datenschutzrechte der Bürger in der EU auch umsetzen.
Das heißt also, ich habe eine Wahlfreiheit, was ich nutze, und ich habe auch eine Wahlfreiheit dessen, wo ich das speichere.
Und dieses Ding garantiert mir auch, solange ich nicht meine PIN da eingegeben habe, dass es dann meine Daten nicht freigibt.
Und dass es zum Beispiel auch nur die Daten freigibt an der Stelle, für die die Gegenseite eine Berechtigung hat.
[1:10:10] Das sind alles keine neuen Konzepte. Das gibt's seit anderthalb Jahrzehnten locker.
Und das fehlt mir auch in der gesamten Gesetzgebung, aber auch in den Prototypen aus Richtung Large Scale Pilots. Da denkt man sich, die Leute haben das alles nicht berücksichtigt.
Du warst so angerissen, ich wollte dir das nicht wegnemen, das Thema mit Afrika.
Da hat man das alles schon durchgekaut und durchdiskutiert. Wie kriegt man das eben auch in so einem Rollout-Phase hin, auch in Ländern mit vergleichsweise weniger Infrastruktur als wir sie hier haben. Und die kriegen das auch hin.
Thomas:
[1:10:42] Ich habe eine absolut eile Meinung und das ist halt nicht zu Ende gedacht worden.
Torsten:
[1:10:46] Ich habe gerade bei uns in der Liste noch den Satz, den du, Thomas, reingeschrieben hast. Wieso EI.das das www unsicherer zu machen droht.
Thomas:
[1:10:55] Ja, das ist noch so ein anderer Aspekt, danke, dass du mich da dran erinnerst, weil ich vergesse das auch immer, weil mein Hauptfokus ist wirklich diese Wallet, aber es gibt auch noch eine Gefahr, die uns in unseren Webbrowsern droht durch dieses Gesetz, nämlich die sogenannten Qualified Website Authentication Certificates oder QOQs, die verstecken sich in Artikel 45 des Gesetzes und bedeuten, dass eben jede Webseite die Möglichkeit haben soll, ihre Eigentümer schafft, über ein Zertifikat zu beglaubigen.
[1:11:39] Und dieses Zertifikat muss dann eben auch im Webbrowser sichtbar gemacht werden.
Könnte man sich jetzt denken, okay gut, was bringt mir das? Also die Idee ist, dass es halt einfach mehr Vertrauen schaffen soll darüber, wer jetzt hinter irgendeiner Webseite steht.
Wir hatten das aber schon mal. Das nannte sich Extended Validation, war eigentlich in allen Webbrowsern drinnen und wurde dann so rund um 2009 aber wieder rausgeschmissen von dort, weil es für mehr Verwirrung gesorgt hat, als es wirklich einen positiven Effekt gegeben hat.
Diese Quarks sind auch ein Weg Geld zu machen.
Die werden nämlich verkauft durch die Trust Service Provider jedes Landes.
Das sind gewisse privilegierte, zertifizierte Firmen, die oft sehr staatsnahe sind. Und in Deutschland ist das, glaube ich, die Bundestruckerei, in Österreich ist es die Staatstruckerei. Das sind eben, oder nein, in Österreich ist es die Art Trust, Entschuldigung.
[1:12:40] Das sind Firmen, die dann dieses Monopol haben, diese Zertifikate zu verkaufen.
[1:12:47] Die Idee ist, dass darüber nicht nur der User sieht, wer hinter einer Webseite steht, sondern es wird auch dieses Zertifikat in der sogenannten Trusted Root List des Browsers sein.
Sprich, die Eigentümer dieses Zertifikats dürfen dann auch für beliebige Websites Zertifikate ausstellen zur Ende-zu-Ende-Verschlüsselung dieses Traffics.
Das heißt, Ende-zu-Ende-Verschlüsselung HTTPS, der Weg, wie wir über das World Wide Web unsere Passwörter und andere personebezogenen Daten verschlüsseln, damit die auch nur von dem jeweiligen Serverbetreiber gelesen werden können und nicht im Transportweg gelesen und manipuliert werden können.
Das würde aufbrechen, dieses Sicherheitskonzept, indem man jetzt hier per Gesetz eben auch eine Vielzahl an Firmen als sicher erklärt.
Und die Gefahr ist hier einerseits, dass das passiert, was wir beim Diginota-Fall in den Niederlanden gesehen haben, dass diese Firmen einfach gehackt werden und dann vielleicht zuhauf falsche ausstellen und es gäbe dann eben auch die Möglichkeit über diesen Wege, das Überwachen von der Inhaltskommunikation einer großen Anzahl an Menschen zu bewerkstelligen.
[1:14:15] Heutzutage haben wir ja durch etwa z'Noden eine sehr weite Verbreitung von HTTPS in unserem Internet und diese Ende-zu-Ende-Verschlüsselung schützt uns vor den Augen der Nachrichtendienste wie der NSA und diese Verschlüsselung steht und fällt aber eben mit der Vertrauenswürdigkeit dieser RU-Zertifikate.
[1:14:38] Und wenn jetzt hier 27 EU-Mitgliedsstaaten auf einmal auch in dem Browser drinnen sein müssen, dann haben wir auf jeden Fall die Gefahr, dass auch eines dieser Zertifikate in die falschen Hände kommt und natürlich haben dann auch andere Staaten dieser Welt eine bessere Argumentationsbasis ihrer jeweiligen nachgelagerten Behörden von den Browsern als sicher anerkennen zu lassen.
Da gab es auch schon Fälle in zentralasiatischen Ländern, wo man versucht hat, über solche Zertifikate eben wirklich Massenüberwachung dann auszurollen der eigenen Bevölkerung.
Da haben sich die Browser noch wehren können.
Wenn die EU das hier durchbringt, dann ist die große Sorge, dass wir eben Zukunft vielleicht noch viel mehr staatlichen Zugriff auf die Sicherheitsarchitektur des World Wide Web erleben werden.
Und deswegen ist das für uns und für die Browser-Hersteller und auch für viele Leute in der IT-Sicherheitsszene ebenso mit einer der Punkte, wo man eben auch wirklich nachbessern müsste in dem Gesetz.
Das hat das Europaparlament getan.
[1:15:50] Zwar nicht ganz so, wie wir uns das gewünscht haben, aber es ist ein tauglicher Kompromiss jetzt mal in der Position des Parlaments drinnen.
Der muss nur noch überleben gegen die Mitgliedstaaten und gegen die Kommission.
Und der Weg, den das Parlament hier gewählt hat, ist einfach eine Sicherheitsausnahme.
Also, wenn man draufkommt, dass ein Trust Service Provider eines Landes gehackt wurde oder die Zertifikate für Spionage verwendet werden, dürfte der Browser Sie aus der Zertifikatsliste wieder rausnehmen.
Komplett unklar ist, was passiert denn eigentlich mit den Usern.
Heutzutage kann ich in der Liste an vertrauenswürdigen Zertifikaten in meinem Browser sagen, die und die und die will ich nicht mehr haben, die schmeiß ich raus.
Ich hoffe, dass wir dieses Recht nicht verlieren, diese Listen selbst zu kuratieren.
Das ist wie so viele Sachen noch nicht im Gesetz geklärt.
Torsten:
[1:16:47] Ja, aber die Kuratierung der Listen, das machen ja auch nur Menschen, die sich damit auskennen.
Bin mir ziemlich sicher, dass mein Vater noch nie in diese Richtung in seinem Browser überhaupt geguckt hat.
Thomas:
[1:16:59] Ja klar. Und ich meine, mit Let's Encrypt von der IFF wurde dieses Thema auch sehr in den Hintergrund gedrängt, weil das Thema einfach funktioniert und man kaum noch Zertifikatsfehlermeldungen mehr sieht.
Heutzutage ist ja eine unverschüsselte HTTP-Verbindung sowieso gleich im Fisch im Verdacht.
Da hat sich viel getan und an sich glaube ich auch, dass das System insgesamt ganz gut funktioniert.
Nur ist es halt jetzt dann bald so, dass sich das vielleicht ändert, wenn hier ganz neue Akteure eben auch dazu kommen.
Es sind aber auch so Zugänge, so wer definiert, was sicher ist.
Sind es die Staaten, sind es die großen Firmen? Als User, muss ich sagen, keins vor beiden genießt mein vollendliches Vertrauen. Ich will immer noch selber wissen, wie Technik funktioniert und will Stellschrauben haben.
Zumindest für die interessierte Expertin und Expertenöffentlichkeit dahinter zu blicken. Und dann, dass man eben auch warnen kann, wenn Schindloder passiert mit diesen Dingen.
Das macht ja gute Sicherheitsforschung aus und das sollte einfach weiterhin noch möglich sein.
Torsten:
[1:18:04] Okay, jetzt würde ich gerne mal einen Dreh schaffen zu meinen Hörern und Hörern aus der deutschen Verwaltung.
Welche Auswirkungen hat das ganze Thema EUID bzw. die EIDAS 2 auf die deutsche Verwaltung?
Christian:
[1:18:21] Ja, schwer abzuschätzen gerade.
Klar ist an der Stelle, dass natürlich andere europäische Länder und deren Bürgerinnen sich in Deutschland auch ausweisen können müssen, auch dann entsprechend mit der EUDI, um eben halt ihr freies Wohnsitzrecht, oder Niederlassungsrecht, zu nutzen, um dann eben halt auch dort vor Ort mit den entsprechenden Behörden Kontakt zu treten.
Das betrifft dann am Ende des Tages tendenziell jedes Rathaus, jede Lande, jede Bundesbehörde.
Die müssen das im Prinzip alle irgendwie sprechen. Aber momentan, das hat in der Eingangszeit schon so ein bisschen besprochen, ist ja völlig unklar, was denn gesprochen werden soll.
Die Technik, die wird jetzt gerade versucht, festzulegen, bevor das Gesetz überhaupt fertig ist.
Im Gesetz sind eine Menge Unklarheiten und auch eine Menge Punkte noch drin, die eigentlich überarbeitet werden müssen an der Stelle. Und wie das nun genau geschieht, ist eine gute Frage. Es gibt eine Erfahrung aus EIDAS 1.
Das sind diese EIDAS Notes, dass man dann also über das klassische bestehende Verfahren mit seinem EID Service spricht.
Da sind wir aber wieder bei diesen Gatekeeper Positionen, dass wir also einen Service dazwischen haben an der Stelle, der dann eben halt für eine Menge dass man in den Behörden diese ganzen EID-Vorgänge sehen kann und dir dann über das EIDERS-Note mit dem EIDERS-Netz spricht.
Also spricht den anderen EU-Staaten. Das ist der momentane Weg.
[1:19:45] Und wenn man das jetzt so aufrechterhält, kann es natürlich sein, ein möglicher Migrationsweg einfach die ganze EIDERS-2-Ankopplung darüber zu machen. Dann zu sagen, jetzt gibt es halt die EIDERS-2-Wort.
Aber die Idee wäre ja eigentlich, dass wir ja mal an den Punkt kommen, dass wir ein einheitliches System haben.
Mal egal, ob das jetzt eine Wallet-App ist oder ein Identitätsträger ist, aber dass auch das Auslesen dann von allen durch ein einheitliches Protokoll durchgeführt werden kann.
Es muss nicht eine Software-Base sein, es kann sein, ähnlich wie das Österreich und Belgien auch sehr gut vorgemacht haben, von Beginn an lebt man halt Open-Source-Komponenten, da kann es auch mehrere verschiedene Open-Source-Komponenten geben, die sich aber auf ein Protokoll einlegen. Und dann auch dieses eine sprechen.
Und dann kann natürlich, das wäre natürlich das Schönste, was ich eigentlich auch schon gesagt hatte, dass wir hier diese EAD-Services ja auch nur als Krücke in Deutschland haben, dass jeder seine eigenen IAD-Server hat.
Dass also jede Instanz selber eine Komponente hat, die es bei ihrer Web-Applikation daneben stellen kann. Zum Beispiel mit OIDC dazwischen als Interface zwischen den beiden Systemen.
Und daneben eben genau das Auslösen von so einer IUD-Lösung anzutriggern.
Aber wann das soweit ist und wie das genau aussieht, das ist momentan erlaubt.
Torsten:
[1:20:52] Das heißt, es würde tatsächlich das aus für unsere ganzen Schaufenster-Projekte, die wir gerade haben, once, ID now und wie es alle so heißen, bedeuten?
Christian:
[1:21:03] Schwer zu sagen, ob das wirklich das aus ist, aber es obsoletiert sich zumindest.
Weil es gibt in der gesamten Europäischen Union im Blick von der EUDI genau zwei Systeme, die überlebensfähig sind. Das ist natürlich das EUDI-Resultat, was da noch kommen würde.
Und das ist das jeweilige existierende nationale ID-Schirm, was es schon gibt, was du einfach für die Transitionsphase brauchst.
Es werden nicht alle gleich diese Lösung haben. Wir werden eine Weile brauchen, dass das ausgerollt ist. Also wird man die nationalen bestehenden Systeme noch eine Weile haben. Dass es ja auch immer weiter geben wird, sind ja noch die Reisepässe, die auch existieren für jedes einzelne EU-Mitgliedsland.
Und alles andere, was da noch on top kommt, was links und rechts daneben ist, hat ja dann in dem Moment auch gar keine Relevanz mehr. Weil das kann ja dann nur noch lokal genutzt werden und gar nicht mehr EU-weit.
Und noch ein weiteres nationales ID-Skip, die jeweiligen Netbitzgis starten auszurollen, da gibt eigentlich auch gar keinen Sinn.
Also aus staatlich-wirtschaftlicher Natur. Du verbrennst einfach Geld.
Thomas:
[1:21:59] Ja, dem kann ich mich voll anschließen. Also da hat die Kommission halt auch wieder mal, wie wir das aus Europa kennen, so eine kybernetische Machtfantasie.
Ich reguliere jetzt alles durch und designe das perfekte System, was alles umspannt.
Und ich bin jetzt hier die Plattform und wie wir das gerade aus Frankreich ganz oft hören, also ein europäischer Standard ist immer besser als jeder andere Standard.
Und eine Vollharmonisierung ist, glaube ich, auch nicht unbedingt das gewesen, was sich die meisten Mitgliedstaaten gewünscht haben.
Und eigentlich hat die EU so als Tagline United in Diversity und trotzdem harmonisieren wir jetzt alles komplett einheitlich auf ein einzelnes System.
[1:22:46] Und ich glaube schon, dass das viele Zöpfe abschneiden wird in Mitgliedstaaten, wo auch viel investiert wurde.
Und am Ende könnte es natürlich auch daran scheitern, dass man einfach sagt, ja, aber der Staat will jetzt einfach bei dem bestehenden System bleiben.
Und das Gesetz, die IDS-2-Verordnung, sieht zwar vor, dass ein Staat so ein System anbieten muss seiner Bevölkerung, aber das kann er auch dadurch tun, dass er das auf irgendeiner E-Government-Unterseite versteckt mit einem Download-Link und nie darüber spricht, dann wird das einfach keine Verbreitung finden.
Das ist dann so das Alternativszenario zum Es wird einmal gehackt oder es gibt irgendwie Missbrauchsszenarien, die bekannt werden, weil nur wenn die Leute sich aus freien Stücken dazu verwenden und es wirklich auch aufgenommen wird von den Reliant Parties, von Legitimate Use Cases und die Leute auch ihre sensibelsten Finanzgesundheits- und Identitätsdaten da wirklich bewusst reinlegen.
Nur dann kann es ein Erfolg sein und wir sehen einfach ganz viele Dinge, die jetzt gerade passieren, die nicht in diese Richtung gehen.
Wir haben noch gar nicht über diese Level of Assurances gesprochen.
Es gibt ja auch Systeme, die einfach nicht auf dem Niveau sind, von dem, was wir jetzt gerade in der EU vorhaben.
Die kann man auch einfach wahrscheinlich wegschmeißen, wie sie sind.
Die würden wahrscheinlich gar nicht überleben.
Torsten:
[1:24:12] Braucht es diese Level immer? Müssen wir immer die höchste Authentifizierungsstufe haben und reicht es nicht in vielen Fällen?
Christian:
[1:24:22] Gerade deswegen brauche ich das sehr, um das zu differenzieren.
Also wann habe ich die Notwendigkeit für das Niveau high? Das hat Thomas vorhin schon mal ganz gut ausgeführt. Das ist dann, wenn ich eben halt gegenüber dem Staat mich melden will und dann auch nicht immer.
Also immer dann mit einem Vertrag zustande, kommt gar nicht mal beim Antrag.
Das heißt also sprich, ich möchte irgendwie als Bürger meine Steuereinreichung ist das eine, aber das Gefährliche ist, glaube ich, immer dann, wenn Betrugszenarien mit im Spiel sind.
Ich will Geld aber antragen und kann das evtl. missbräuchlich tun.
[1:24:53] Dann möchte ich natürlich an der Stelle auf beiden Seiten eine gewisse Sicherheit a, dass ich nicht gefährdet oder ein anderer Bürger gefährdet wird, weil jemand eben halt Identität klaut und damit eben Betrug begeht.
Und auf der anderen Seite möchte der Staat das natürlich verhindern.
Das nächste legitimes Szenario wären eben halt genau solche Dinge wie Gesundheitsdatenschutz beziehungsweise auch in Richtung Banken und Versicherer, dass man dort eine gewisse Sicherheit hat.
Alles andere, was danach kommt, ist eben genau nicht high. Das ist dann eben halt zum Beispiel substantial, was halt ein niedrigeres Szenario wäre, was jetzt zum Beispiel eine klassische Software-Applikation wäre, mit einem Schlüssel, der auf einem Telefon gespeichert wird.
Es gibt so ein bisschen Analogie, welche Sicherheitsmechanismen dahinterstehen, hinter den Niveaus. Das ist nicht nur eine rein juristische Definition.
Und dann gibt es halt noch low, das ist im Prinzip nur so ein Passwort oder einfach ein Cookie, was im Browser gesetzt ist. So mal ganz lapidar gesprochen.
Und das ist so die Differenzierung, einfach mal zu unterscheiden, was hab ich denn überhaupt für einen Anspruch in meinem Verfahren?
Weil es gibt so unglaublich viele Dinge da draußen, die jetzt sagen, ich brauch jetzt ein Login mit dem höchsten Niveau, die das aber gar nicht erfordern.
Was ganz notwendig ist. Und das in dem Moment dann auch gar nicht mal unbedingt meine Klarnahmendaten und was weiß ich noch, weitere Informationen, Geburtsdatum und Geburtstätten.
Das ist einfach wichtig zur Unterscheidung.
Thomas:
[1:26:14] Ja, und die hat man halt einfach auch wirklich versucht, eine eierlegende Wollmilchsau zu bauen. Also diese European Digital Identity Wallet versucht, alles für alle zu sein.
Von der kleinsten Gemeinde bis zur größten Stadt, bis zum Bund, für Banken und Lebensversicherungen bis hin zu irgendwelchen Gewinnspielen und Social Media Plattformen.
Man will sich hier irgendwie in jeden Use Case hineinzwängen.
Und ich glaube, dass was in solchen Fällen meistens passiert ist, dass man dann ein System hat, das keinen dieser Use Cases befriedigend abdeckt.
Weil es gibt einfach nicht das eine Tool für alles.
Und die Gefahr ist ja auch, was ist denn, wenn das einmal irgendwie ausfällt, auch nur irgendwie für ein paar Stunden, ja dann steht die komplette Wirtschaft still.
Und da hätten wir dann halt auch enorme Folgekosten und das könnte wirklich gefährlich werden auch für Menschen, vor allem mit einer Integration im Gesundheitsbereich.
Also die EU setzt hier schon gerade alles auf eine Karte mit einer Infrastruktur.
[1:27:20] Wie wir jetzt im Architecture Reference Framework gesehen haben, das Ding wird auch einen Kill-Switch haben.
Also der Mitgliedsstaat kann so eine Wallet, also die muss er ausgeben, man muss sie zertifizieren und er kann sie aber auch revoken.
Sagen, na ich vertraue dem jetzt nicht mal, weil da ist irgendwas passiert und dann kann man die als User auch nicht mehr verwenden, auch für zum Beispiel ÖPNV-Tickets, die man theoretisch hier auch als Attribut hinterlegen könnte.
Die sind in den meisten Fällen nicht mal personalisiert, könnte ich trotzdem weiter nutzen.
Aber wenn die Wallet zurückgezogen dann wären die auf einmal auch ungültig.
[1:27:56] IT-Sicherheit ist ein großes Thema. Ich glaube, dass die IT-Sicherheitscommunity hier noch sehr viel Spaß mit diesem System haben wird.
Wir müssen uns nur vorstellen, das sind die sensibelsten Daten von hunderten von Millionen Menschen aus sehr reichen Ländern.
Einen größeren Attack Surface könnte man sich gar nicht aufmachen.
Die Antwort dieses Systems ist in IT-Sicherheits- und in Datenschutz fragen immer Zertifizierung.
Es soll dann noch irgendwelche später zu definierenden Zertifizierungen geben, denen diese Systeme dann unterliegen.
Es ist aber so, dass der Mitgliedstaat diese Wallet ja ausgibt, also er ist der Issuer und es wird auch ein Unternehmen sein, das wahrscheinlich sehr staatsnah ist, das dann die Sicherheit und datenschutzkonformität dieses Systems zertifizieren soll.
Also bei der IT-Sicherheit Das ist ein Unternehmer, bei der Datenschutz ist es glaube ich die nationale Datenschutzbehörde, die den Stempel drauf geben muss.
Aber das ist natürlich auch wieder so, dass der Staat sich selber kontrolliert.
Und gerade in so Ländern wie Ungarn, weiß ich nicht, ob ich mich darauf verlassen will, dass das immer so unabhängig und neutral abläuft.
Torsten:
[1:29:08] A. Also ich glaube, der Angriffsvektor auf die Daten ist weniger relevant als dieser Angriffsvektor auf diesen Single-Pointer-Failure.
Wenn ich einfach mal ein Land ausknipse oder in ganz Europa ausknipse, dann geht einfach nichts mehr.
Thomas:
[1:29:21] Das ist wirklich die Sorge. Es gab zum Beispiel Bestrebungen, dass man wirklich alternative Wallets auch zulässt.
Aber ja, die Frage mit diesem Kill-Switch, die wir jetzt auch mal kritisch angemerkt haben bei der Architektur, mal schauen, ob man danach bessert.
Was vielleicht auch noch ganz spannend ist, ich habe ja gesagt, die Template-Implementierung der Wallet, die von der Kommission kommt, sozusagen die White Label Lösung, die soll Open Source sein.
Das Europaparlament hat jetzt auch die Anforderungen erhoben, dass die komplette Wallet auch von jedem Mitgliedstaat Open Source sein soll.
Ist wieder einer dieser Punkte, wo das Parlament sich erst durchsetzen muss, aber das wäre natürlich auch sehr schön und eine sicherheits- und vertrauensfördernde Maße.
Torsten:
[1:30:08] Okay, ich würde jetzt mal hier ein Abhinder machen.
Vielen Dank, dass ihr beide da wart. Es sei denn, euch fällt noch was ein, was wir überhaupt noch nicht angesprochen haben.
Thomas:
[1:30:16] Ich kann noch mal ganz kurz zwei Sachen, die ich noch auf der Liste habe, waren so irgendwie...
Ich rede immer von dieser Unbeobachtbarkeit und ich meine das aus der panoptischen Perspektive des Staates.
Aber was auch noch ganz wichtig ist, aus der Perspektive von den Attributsprovidern gilt das ebenso.
Wenn ich von meiner Universität mein Diploma bekomme für meinen Abschluss, dann soll die Uni auch nicht sehen, vor welchen potenziellen Arbeitgebern ich meinen Abschluss vorweise.
Und das hatten wir ja zum Beispiel auch bei den Covid-Zertifikaten.
Da will ich ja auch nicht, dass das Testzentrum sieht, in welches Restaurant ich nachher mit dem Testzertifikat gehe.
Und bezüglich dieses Unique Identifier, weil Sie Ke vorher mehrmals auch Österreich erwähnt hat, wir haben in Österreich dieses tolle Konzept, der BPKs, Bereichsspezifischen Personenkennziffern.
[1:31:07] Das sind Firewalls zwischen den Lebensbereichen, zwischen den einzelnen Ministerien, die verhindern oder machen es bewusst schwierig, dass jemand, der in der Justiz arbeitet, auf meine Gesundheitsdaten oder meine Finanzdaten zugreift.
Und das wäre auch, glaube ich, für die Diskussion über solche Systeme ganz relevant.
Weil du hast davor auch gefragt, was ändert sich für die Verwaltung?
Ich glaube, dass wir schon ganz viele E-Government-Prozesse perspektivisch angleichen werden an die Architektur von dieser Wallet.
Und das kann positive und negative Konsequenzen mit sich bringen.
Aber so wie ich die Kommission kenne, das war nicht das letzte Puzzlestück ihres Gesamtbildes, sondern man wird auch sobald Ida 2 in trockenen Tüchern ist, das nächste Gesetz vorschlagen und das wird dann wahrscheinlich nochmal mehr in diesen E-Government-Bereich eingreifen.
Also es würde mich nicht wundern, wenn es weiter in diese Richtung geht, dass man auch da versucht zu harmonisieren.
Aber wir könnten sicher noch ewig reden. Ich glaube, das war vielleicht schon gut genug.
Torsten:
[1:32:16] Ich glaube, es ist sowieso schon eine sehr nerdige Sendung geworden.
Vielen Dank, dass ihr beide da wart.
Vielleicht zum Ende nochmal die Webseite, auf der man euch finden kann und weitere Informationen dazu?
Thomas:
[1:32:27] Ja, wir verlinken alles, aber die NGO heißt epicenter.works, sonst gibt es seit über 13 Jahren.
Und wir arbeiten zur Hälfte in Österreich, zur Hälfte auf EU- und UN-Ebene.
Und es gibt eine englische Version unserer Webseite, wobei wir reden ja gerade Deutsch. Und man findet auch ein Newsletter, der alle zwei Wochen rauskommt mit sehr aktuellen Themen aus unserer Arbeit.
Wir werden auf jeden Fall bis zum Ende bei diesem Thema dran bleiben und auch über unsere Kanäle darüber informieren, natürlich auch auf beliebigen Social Media Netzwerken, Mastodon, Twitter, whatever.
Für uns ist es auf jeden Fall ein Thema, das leider noch nicht die Aufmerksamkeit bekommen hat, die es verdient.
Spätestens wenn das dann wirklich Realität wird in den Mitgliedstaaten, wovon ich mal ausgehe, allerfrüherstens 2024, realistisch eher 2026 glaube ich, spätestens dann werden alle schreien und sich denken, wieso hat denn niemand was gemacht.
Jetzt kann man noch was tun. Wie gesagt, die verhandelten Abgeordneten haben wir verlinkt im Procedure File zu dem Gesetz und wer sich wirklich auch noch mehr einbringen will, es gibt auch eine Mitbachseite auf unserer Webseite.
Wir haben neun Hauptamtliche und über 60 Ehrenamtliche bei uns im Verein und versuchen hier so gut es geht einfach bei Netzpolitikthemen dagegen zu halten.
Torsten:
[1:33:55] Und wie immer findet ihr liebe Hörerinnen und Hörer in den Show Notes jede Menge Links, die euch weiterführen, die euch noch tiefer ins Thema einführen und ich wünsche euch allen einen schönen Abend. Bis dann.
Christian:
[1:34:07] Tschüss.
Thomas:
[1:34:07] Vielen Dank, ciao ciao!