Wichtige SPD-Politiker*innen verlangen ein Social-Media-Verbot bis 14 Jahre. Alle Nutzer*innen ab 16 Jahren sollen sich ausweisen, widerspenstigen Unternehmen drohen Netzsperren. Was hat der Vorstoß zu bedeuten? Die Analyse.

Mit einem Impulspapier hat die SPD den Druck in der Debatte um ein Social-Media-Verbot in Deutschland erhöht. Mehrere hochrangige Politiker*innen fordern darin ein komplettes Verbot sozialer Medien für alle Menschen unter 14 Jahren. Alle Nutzer*innen – auch Erwachsene – müssten sich flächendeckend gegenüber Plattformen ausweisen. Unternehmen, die die neue Ausweispflicht nicht umsetzen, müssen dem Papier zufolge mit Netzsperren rechnen.

Die Debatte dreht sich um die Frage: Sollen Kinder und Jugendliche künftig noch auf sozialen Medien durch Feeds scrollen, posten und kommentieren dürfen? Australien hat diese Frage für sich schon beantwortet. Seit vergangenem Dezember gilt dort ein Social-Media-Verbot für alle unter 16 Jahren. Seitdem mehren sich die Rufe nach einem ähnlichen Modell in der EU. Dänemark, Griechenland und Spanien diskutieren darüber. Frankreich hat bereits ein solches Gesetz auf den Weg gebracht.

In Deutschland gab es bislang vereinzelte Forderungen nach einem Social-Media-Verbot, etwa von SPD-Justizministerin Stefanie Hubig, CDU-Digitalminister Karsten Wildberger oder dem Grünen-Politiker Cem Özdemir.

Am 15. Februar meldete sich schließlich eine Gruppe einflussreicher SPD-Politiker*innen gemeinsam zu Wort. Zu den Unterzeichner*innen gehören neben Justizministerin Stefanie Hubig auch Mecklenburg-Vorpommerns Ministerpräsidentin Manuela Schwesig und Katarina Barley, eine der Vizepräsident*innen des EU-Parlaments. Der deutsche Vize-Kanzler Lars Klingbeil hat zwar nicht unterzeichnet, das Papier aber öffentlich unterstützt. Was der SPD-Vorstoß bedeutet, zeigt unsere Analyse.

• Welches Gewicht hat das Papier?
• Ausweiskontrollen, Netzsperren: Das fordert das SPD-Papier
• Welche Stärken hat das Papier?
• Welche Schwächen hat das Papier?
• Was passiert als nächstes?

Welches Gewicht hat das Papier?

Das SPD-Impulspapier hat bereits ein enormes Medienecho ausgelöst. Wichtige Vertreter*innen einer deutschen Regierungspartei formulieren darin erstmals klare Forderungen nach einem kompletten Social-Media-Verbot.

In erster Linie dürfte das Papier wohl eine Signalwirkung Richtung Brüssel haben. Denn Alterskontrollen, wie auch andere Maßnahmen zur Plattform-Regulierung, lassen sich nach geltendem Recht nur auf EU-Ebene wirksam anwenden. Der Vorstoß der SPD in Deutschland könnte damit eine ähnliche Funktion haben wie auch jene aus Spanien oder Frankreich: Sie sollen den Druck auf die EU-Kommission erhöhen, eine EU-weite Regelung zu finden.

Denn bislang gibt es kein EU-Regelwerk, das Social-Media-Plattformen feste Altersgrenzen auferlegt. Stattdessen gilt seit 2024 das Gesetz über digitale Dienste (DSA). Es schreibt unter anderem vor, was Plattformen wie TikTok, Instagram oder YouTube tun müssen, um Kinder und Jugendliche vor Risiken zu schützen. Alterskontrollen sind demnach nur eine von mehreren möglichen Maßnahmen. Nationale Regeln, die über den DSA hinausgehen, sind nach EU-Recht nicht möglich: Der DSA hat Vorrang.

Das dürften auch die Verfasser*innen des SPD-Papiers wissen. Sie schließen mit den Worten, entsprechende Regelungen seien „vorrangig auf europäischer Ebene zu treffen“. Konkret soll die EU die Forderungen im Rahmen des geplanten Digital Fairness Acts umsetzen. Es ist das nächste große Digitalgesetz, bis Ende des Jahres will die Kommission einen Entwurf vorlegen.

In Brüssel verhandeln Kommission, Rat und Parlament derzeit außerdem über ein weiteres Gesetzespaket, das ebenfalls Alterskontrollen für Plattformen und App-Stores vorsieht: Die Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, kurz: CSA-VO.

Der Impuls der SPD dürfte sich auch an den eigenen Koalitionspartner richten, die Union. In der Regierung zuständig für Jugendmedienschutz ist Bundesfamilienministerin Karin Prien (CDU). Sie hat zwar schon signalisiert, dass sie sich ein Verbot gut vorstellen könne. Allerdings sagte ein Regierungssprecher Anfang der Woche: Die Bundesregierung werde keinen Vorschlag vorlegen, solange die vom Familienministerium einberufene Expert*innenenkommission noch keine Ergebnisse vorgelegt hat. 16 Fachleute sollen darin bis zum Sommer ein Konzept für „Kinder- und Jugendschutz in der digitalen Welt“ entwerfen.

Ausweiskontrollen, Netzsperren: Das fordert das SPD-Papier

Das Papier der SPD sieht eine Social-Media-Regulierung in drei Stufen vor.

Erstens sollen alle Kinder und Jugendliche bis 14 Jahren Social-Media-Plattformen wie TikTok oder Instagram nicht mehr nutzen dürfen. Die Anbieter sollen dazu verpflichtet werden, „den Zugang technisch wirksam zu unterbinden“.

Zweitens soll es für Jugendliche im Alter von 14 und 15 Jahren eine „Jugendversion“ der Plattformen geben, die mehrere Kriterien erfüllt. Sie darf demnach keine algorithmisch sortierten Inhalte zeigen, wie es etwa der For-You-Feed auf TikTok tut. Anbieter dürfen keine personalisierte Inhalte ausspielen. Und sie müssen Funktionen wie Push-Benachrichtigungen und Endlosfeeds abschalten, die darauf ausgelegt sind, Nutzer*innen möglichst lange an die Plattform zu binden.

Erziehungsberechtigte sollen den 14- und 15-Jährigen den Zugang zu den betroffenen Plattformen freischalten. Passieren soll das nach Vorstellung der SPD mit Hilfe der geplanten digitalen Brieftasche (EUDI-Wallet). Das ist eine offizielle App, die künftig allen EU-Bürger*innen zur Verfügung stehen soll. Damit sollen sie sich im Netz ausweisen können, so zumindest das Versprechen der EU. Der Start in Deutschland ist für den 2. Januar 2027 geplant.

Drittens soll es für Menschen ab 16 Jahren einen vollen Zugang zu sozialen Medien geben. Doch auch hier sollen die algorithmisch optimierten Empfehlungssysteme standardmäßig deaktiviert ein – also auch für Erwachsene. Die Verfasser*innen sehen darin eine „Rückkehr zum klassischen Social-Media-Prinzip“. Konkret erklären sie das so: „Ohne weitere Einstellungen sehe ich auf meiner Seite ausschließlich Inhalte von Personen und Accounts, denen ich aktiv folge.“

Sollten sich Plattformen nicht an die Vorgaben halten, fordern die Unterzeichner*innen eine Reihe von Sanktionen. Diese dürften nicht erst nach „langen Prüfverfahren“ greifen, sondern müssten schnell erfolgen, wenn etwa Kinder und Jugendliche gefährdet seien. Die Rede ist von „sofortigen Anordnungen“ und „empfindlichen Sanktionen“ – bis hin zu Netzsperren als „Ultima Ratio“.

Nur knapp erwähnt das Papier Aufklärung und Prävention. Medienbildung an Schulen, Schulsozialarbeit und Elternberatung wolle die SPD stärken. Solchen Maßnahmen fallen aber in der Regel in die Zuständigkeit der Länder und müssten von ihnen finanziert werden.

Welche Schwächen hat das Papier?

An mehreren Stellen argumentiert das Papier unsauber, weckt falsche Erwartungen oder blendet grundrechtliche Abwägungen aus. Folgende Aspekte fallen ins Auge.

• Altersgrenze: Auf Seite eins argumentieren die Verfasser*innen ausführlich gegen Social-Media-Verbote. Sie fordern Schutz statt Ausschluss. Sie schreiben, ein generelles Verbot würde Kindern und Jugendlichen ihren „virtuellen Lebensraum nehmen und die eigentliche Problematik nicht in Gänze adressieren“. Auf Seite zwei wiederum fordern die Verfasser*innen ohne weitere Begründung ein generelles Social-Media-Verbot für alle unter 14 Jahren. Das ist widersprüchlich.
• Definition: Das Papier definiert nicht, welche sozialen Medien gemeint sind. Deshalb ist unklar, ob auch kleinere nicht-kommerzielle Netzwerke wie das Fediverse eingeschränkt werden sollen – also Dienste, bei denen die befürchteten Risiken kaum oder nicht bestehen.
• Netzsperren als Sanktion gegen Online-Plattformen sind verfassungsrechtlich bedenklich, gerade verbunden mit der Forderung, dass Konsequenzen „schnell“ sein müssen. Denn Netzsperren gelten als scharfes Schwert, das insbesondere in autoritären Regimen zum Einsatz kommt. Sie schränken Grundrechte wie Meinungs- und Informationsfreiheit empfindlich ein. Der DSA sieht Netzsperren lediglich bei sehr schweren Verstößen vor – und nur zeitlich beschränkt.
• Eignung: Einige der im Papier beschriebenen Risiken sind nicht auf soziale Medien beschränkt. Zum Beispiel setzen auch viele Games auf Suchtmechanismen, die Menschen immer wieder ins Spiel hineinziehen und zu teuren In-App-Käufen verleiten. Hassrede und psychischer Druck wiederum sind auch ein großes Problem in Messengern, etwa beim Cybermobbing. Das heißt, die geforderten Regeln passen nur teilweise zu den beschriebenen Risiken.
• Wirksamkeit: Mit simplen Werkzeugen wie VPN-Diensten lassen sich sowohl Netzsperren als auch Altersschranken umgehen – Jugendliche in Australien tun das schon ersten Berichten zufolge. Das wirft die Frage auf, ob die Forderungen überhaupt eine Wirkung haben. Das SPD-Papier thematisiert das nicht.

• Bots: An zwei Stellen wechselt das SPD-Papier überraschend das Thema. Statt um Jugendschutz geht es plötzlich um Bots. „Wir brauchen mehr Handhabe darüber, dass sich hinter einem Account tatsächlich ein Mensch verbirgt“, heißt es. Demnach sollen die geforderten Alterskontrollen gegen „Bots“ schützen sowie gegen Netzwerke „zur gezielten Manipulation“. Diese Argumente stammen aus der kontroversen Debatte um Klarnamenpflicht. Sie haben kaum Anknüpfungspunkte zur laufenden Jugendschutz-Debatte.
• Ausweispflicht: Um ihr Alter nachzuweisen, sollen Menschen künftig die digitale Brieftasche (EUDI-Wallet) nutzen, heißt es im SPD-Papier.  Aber laut EU-Recht darf es keinen Zwang zur digitalen Brieftasche geben. In der entsprechenden EU-Verordnung (eIDAS) steht: Die Nutzung der digitalen Brieftasche ist „freiwillig“. Wer sie nicht nutzt, darf „in keiner Weise eingeschränkt oder benachteiligt werden“.
• Teilhabe: Der Fokus auf die EUDI-Wallet wirft ein weiteres Problem auf. Wer keine Ausweispapiere hat, kann sich auch keine digitale Brieftasche einrichten – und hätte damit künftig keinen Zugang mehr zu Plattformen wie Instagram, TikTok oder YouTube. Das schränkt die digitale Teilhabe ein. Allein in Deutschland leben Hunderttausende Menschen ohne Papiere.
• Datenschutz: Die Verfasser*innen versprechen Jugendschutz „ohne Einschränkung der Anonymität“. Doch die im Papier beschriebenen Lösungen für Alterskontrollen sind nicht anonym. Zwar will die EU die Kontrollen in der kommenden digitalen Brieftasche datensparsam gestalten. Ein 2025 präsentierter Prototyp funktionierte aber nicht anonym, sondern pseudonym. Ein Pseudonym lässt sich oftmals auf eine Person zurückführen. An anderer Stelle verweist das SPD-Papier auf bereits heute in Deutschland anerkannte Verfahren für Alterskontrollen im Jugendmedienschutz. Diese Verfahren sind teils sehr invasiv: Nutzer*innen müssen je nach Anbieter ihren Ausweis vor die Kamera halten, ihr Gesicht biometrisch scannen oder Daten über die Schufa abgleichen lassen.

Welche Stärken hat das Papier?

Bisher war die Debatte in Deutschland von knappen Forderungen geprägt. Meist haben sich Politiker*innen pauschal für oder gegen ein Social-Media-Verbot ausgesprochen. Das SPD-Papier liefert auf mehreren Ebenen Differenzierung.

• Die Verfasser*innen zeichnen ein ambivalentes Bild sozialer Medien und legen auch deren Vorteile ausführlich dar: Etwa, dass sie Raum für soziale Kontakte bieten, für demokratischen Diskurs, Information, Teilhabe und Selbstbestimmung, oder dass sie Menschen eine Stimme geben, „die sonst kaum Gehör finden“.
• Das Papier benennt konkrete Risiken, für die es strengere Regeln geben soll: Es geht um algorithmisch sortierte Feeds, die Desinformation verbreiten können, öffentliche Debatten verzerren und gesellschaftliche Gruppen polarisieren. Um Suchtmechanismen, die menschliche Aufmerksamkeit ausnutzen. Um sozialen Druck und psychische Belastungen.
• Das Papier behandelt junge Menschen nicht als homogene Gruppe, sondern fordert je nach Altersgruppe abgestufte Vorschriften.
• Außerdem erkennt das Papier an, dass die beschriebenen Risiken nicht nur junge Menschen betreffen, sondern alle: „Auch Erwachsene sind von Polarisierung, Hassrede und algorithmisch gesteuerten Aufmerksamkeitsökonomien betroffen.“ Entsprechend sollen die vorgeschlagenen Einschränkungen für Menschen ab 16 Jahren ebenso für Erwachsene gelten.

Was passiert als nächstes?

Die Debatte hat eine Eigendynamik, seit Australien im Dezember 2025 mit dem Social-Media-Verbot für unter 16-Jährige vorgeprescht ist. Angefeuert von Nachrichtenmedien wird sie oftmals auf eine simple, binäre Frage verengt: Social-Media-Verbot – ja oder nein.

Am Wochenende will die CDU auf ihrem Parteitag über einen Antrag entscheiden, der ein Verbot für unter 16-Jährige fordert, begleitet mit verpflichtender Altersverifikation. Bereits im Vorfeld hat Bundeskanzler Friedrich Merz „Sympathien“ dazu geäußert. Der Chef der Schwesterpartei CSU, Markus Söder, bewertet ein Verbot weiterhin zurückhaltend.

Die nationalen Vorstöße können ein Druckmittel sein, um die EU zu einer Initiative zu bewegen, und die Kommission hat den Ball bereits aufgegriffen. Digitalkommissarin Henna Virkkunen hat sich für eine EU-weite Lösung ausgesprochen – ohne vorwegzunehmen, ob es auf ein Verbot hinauslaufen soll. Eine konkrete Gelegenheit für strengere Social-Media-Regulierung wäre der geplante Digital Fairness Act. Verbote würden sich allerdings mit dem frisch verhandelten Gesetz über digitale Dienste (DSA) beißen, das abgestufte Regeln je nach Dienst und Risiko vorsieht.

Interessierte können sich den Sommer wohl im Kalender vormerken. Nicht nur die Verfasser*innen des SPD-Papiers pochen auf diesen Zeitraum. Auch die EU-Kommission wolle bis Sommer eine Entscheidung fällen, und die vom Familienministerium einberufene Expert*innen-Kommission soll bis dahin Ergebnisse vorlegen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Anfang 2027 soll in Deutschland eine staatliche EUDI-Wallet bereitstehen. In einer Testumgebung können Behörden und Unternehmen deren Funktionen nun testen. Parallel dazu läuft ein Pilotprojekt in Sachsen.

Im eigenen Portemonnaie haben die meisten von uns nicht nur Bargeld, sondern auch etliche Plastikkarten von Banken, der Krankenkasse oder der städtischen Bibliothek. Das Bundesdigitalministerium (BMDS) arbeitet daran, diese Karten nach und nach um digitale Nachweise zu ergänzen.

Im Januar 2027 soll bundesweit eine digitale Brieftasche an den Start gehen. Die sogenannte EUDI-Wallet wird dann allen Bürger:innen kostenlos zur Verfügung stehen, ihre Nutzung ist freiwillig.

Zum Start der Wallet braucht es nicht nur eine Smartphone-App, sondern auch eine digitale Infrastruktur. Vor wenigen Tagen hat das BMDS gemeinsam mit der Agentur für Sprunginnovationen (Sprind) eine Testumgebung gestartet. Unternehmen und Behörden können hier Anwendungen der geplanten Wallet testen. Digitalminister Karsten Wildberger (CDU) spricht von einem „Meilenstein“.

Staatliche Wallet zuerst

Zum Start der Wallet im Januar sollen sich Bürger:innen zunächst gegenüber der Verwaltung und Unternehmen digital ausweisen können. Erst später sollen dann weitere Nachweise wie Führerschein und Versicherungskarten hinzukommen.

Damit Unternehmen, Behörden und Organisationen die geplanten Funktionen in der sogenannten Sandbox testen können, müssen sie sich zunächst als Relying Party registrieren. Als solche werden Einrichtungen bezeichnet, die digitale Berechtigungsnachweise prüfen, die Nutzende in ihrer EUDI-Wallet haben.

Die Ergebnisse der Testläufe sollen dann in die weitere Entwicklung der staatlichen Wallet einfließen. Voraussichtlich 12 Monate nach deren Start können auch private Anbieter eigene Wallets anbieten, die sie dann mit eigenen Zusatzdiensten anreichern können.

Pilotprojekt in Sachsen

Bereits im Oktober vergangenen Jahres startete das Bundesdigitalministerium zusammen mit der Sächsischen Staatskanzlei und der Landeshauptstadt Dresden ein größeres Pilotprojekt in Sachsen.

Ab Mitte 2026 sollen Dresdner:innen den Dresden-Pass und die Sächsische Ehrenamtskarte in der Wallet hinterlegen können. Beide Nachweise berechtigen unter anderem zu ermäßigten Preisen für Kultur- und Freizeitangebote. Dresden testet damit als erste Kommune Deutschlands die Wallet.

Außerdem wird das zentrale digitale Bürgerkonto, die Bund-ID, in die Wallet eingebunden. Bürger:innen können die Wallet dann dazu nutzen, um sich gegenüber Behörden auszuweisen, etwa wenn sie online Bescheide abrufen möchten. In Kooperation mit der Hochschule für Technik und Wirtschaft Dresden wird zudem ein konkreter Anwendungsfall entwickelt, bei dem Studierende einen Bafög-Antrag mit der Wallet vollständig digital beantragen und den Bescheid dann in der Wallet hinterlegen können.

Viele EU-Staaten liegen hinter dem Zeitplan

Die EUDI-Wallet basiert auf einem EU-Gesetz, das im Mai 2024 in Kraft trat. Die EU-Mitgliedstaaten müssen die Verordnung in nationale Gesetze gießen. Außerdem müssen sie bis Ende Dezember 2026 eigene Wallets anbieten.

Ob dies EU-weit gelingt, ist allerdings fraglich. Der norwegische Identifizierungsdienstleister Signicat hat im vergangenen Dezember ermittelt, dass die Mehrheit der EU-Staaten hinter dem Zeitplan liegt. Nur zwölf Staaten werden demnach bis Ende 2026 wahrscheinlich eine fertige Wallet anbieten können, darunter Frankreich, Deutschland, Österreich, Griechenland und Italien.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.

Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.

Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.

Die Sicherheitslücken betrafen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.

„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.

Eine Kaskade an Problemen

Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.

Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.

„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.

So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.

EUDI-Wallet: Fehler, die sich wiederholen

Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.

Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.

Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.

Signierte Daten, bitte schnell

In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.

Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“

Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.

Sichere Kanäle versus signierte Daten

Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Kritik von vielen Seiten

Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.

Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.

Risiken werden individualisiert

An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.

Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.

Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In Brüssel wird derzeit ausgehandelt, wie die europäische digitale Brieftasche künftig funktioniert. Entsprechende Vorlagen der EU-Kommission hat die Zivilgesellschaft wiederholt scharf kritisiert. 15 Organisationen fordern die Kommission nun dazu auf, die rechtlichen Vorgaben einzuhalten und den Verbraucher:innenschutz zu stärken.

Bei der Umsetzung von Projekten steckt der Teufel meist im Detail. Diese Erfahrung muss derzeit auch die europäische digitale Brieftasche machen.

Aktuell werden in Brüssel die technischen Vorgaben für die „European Digital Identity Wallet“ (EUDI-Wallet) verhandelt. Mit solchen EUDI-Wallets sollen sich künftig Bürger:innen und Organisationen online und offline ausweisen können, zudem lassen sich darin Identitätsdaten und amtliche Dokumente speichern und verwalten. Sensibler geht es also kaum.

Ein Bündnis aus 15 zivilgesellschaftlichen Organisationen warnt nun in einem offenen Brief vor den jüngsten Plänen der EU-Kommission. Diese würden es Unternehmen ermöglichen, mehr Daten aus den Wallets der Bürger:innen abzufragen, als es laut Gesetz erlaubt ist. Das Bündnis fordert die Kommission dazu auf, diese „Schlupflöcher“ zu schließen.

Zu den Organisationen, die den offenen Brief unterzeichnet haben, gehören unter anderem European Digital Rights (EDRi), die Electronic Frontier Foundation, Homo Digitalis, Digitalcourage und die Österreichische Bundesarbeitskammer.

Anhaltende Kritik aus der Zivilgesellschaft

Die EUDI-Wallet ist derzeit eines der größten digitalpolitischen Projekte der Europäischen Union. Ihr liegt die eIDAS-Reform zugrunde, die im Mai vergangenen Jahres in Kraft trat.

Bevor die Wallet wie geplant im Herbst 2026 starten kann, muss die EU-Kommission noch eine Reihe sogenannter Durchführungsrechtsakte erlassen. Insgesamt 40 dieser detaillierten Vorschriften für eine einheitliche Durchführung der eIDAS-Reform sind vorgesehen.

Die ersten fünf Entwürfe für Durchführungsrechtsakte hatte die Kommission im August vergangenen Jahres vorgelegt. Schon diese hatten für erhebliche Kritik aus der Zivilgesellschaft gesorgt, weil sie nicht den rechtlichen Vorgaben der reformierten eIDAS-Verordnung entsprochen hätten.

Eine ähnliche Kritik entzündet sich auch an der zweiten Charge der Rechtsakte. Anfang Dezember vergangenen Jahres bemängelte epicenter.works unter anderem den Vorschlag der Kommission, die Ausgabe sogenannter Registrierungszertifikate für sogenannte relying parties (deutsch: „vertrauenswürdige Parteien“) optional zu machen. Aus Sicht der Bürgerrechtsorganisation droht die Kommission damit „einen zentralen Pfeiler der Schutzmaßnahmen des eIDAS-Ökosystems“ einzureißen.

Die „vertrauenswürdigen Parteien“ können Unternehmen oder öffentliche Einrichtungen sein. Gemäß eIDAS-Verordnung müssen sie sich vorab in ihren jeweiligen EU-Mitgliedstaaten registrieren und darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Das soll gewährleisten, dass sie auch grenzüberschreitend nur jene Informationen aus den Wallets abfragen, die sie laut Gesetz erhalten dürfen.

Die Zertifikate sollen dies technisch sicherstellen: Vereinfacht formuliert dienen sie als eine Art Datenausweis, mit dem sich die relying parties gegenüber den Wallets der Nutzer:innen legitimieren und zudem die Abfragekategorien beschränken. Eine Anmeldung über die EUDI-Wallet bei einem sozialen Netzwerk soll dann beispielsweise ausschließen, dass dabei Gesundheitsdaten abgefragt werden.

Nutzende sollten die alleinige Kontrolle haben

An die Kritik aus dem vergangenen Dezember knüpfen die 15 Organisationen an, die den offenen Brief unterzeichnet haben.

Sie kritisieren, dass der von der Kommission vorgelegte Entwurf eine verbindliche Regelung verhindere, weil er es den EU-Ländern überlässt, Registrierungszertifikate zur Pflicht zu machen. Das gehe zulasten der Verbraucher:innen. Denn die Nutzenden müssten dann im Einzelfall entscheiden, ob sie mit einer bestimmten vertrauenswürdigen Partei interagieren oder nicht. Damit würden sie jedoch „anfällig für illegale und möglicherweise betrügerische Anfragen nach ihren Daten“, so der offene Brief.

Darüber hinaus untergrabe die Kommission mit ihrem Entwurf den Europäischen Binnenmarkt sowie das mit der eIDAS-Verordnung angestrebte Vertrauensniveau, das in allen EU-Staaten gleich sein soll.

Die Organisationen fordern die Kommission dazu auf, einen neuen Entwurf für den Durchführungsrechtsakt vorzulegen, der alle vertrauenswürdigen Parteien ausnahmslos dazu verpflichtet, Registrierungszertifikate auszustellen. „Wir sind überzeugt, dass die Aufrechterhaltung des Vertrauens in das eIDAS-Ökosystem enorm wichtig ist“, so die Organisationen.“Nur die Nutzenden sollten die alleinige Kontrolle über ihre Daten haben sowie über die Art und Weise, wie sie die EUDI-Wallet verwenden.“

---

Der offene Brief im Wortlaut

---

Dear Executive Vice-President Henna Virkkunen, Director-General Roberto Viola, Acting Director Christiane Kirketerp de Viron,

The undersigned consumer protection and human rights organizations want to thank the Commission for the important work on the eIDAS implementing acts. We welcome the recent adoption for the first batch of implementing acts regarding the provisions in Article 5a of the eIDAS regulation and acknowledge the positive changes to the text which significantly improved the privacy and human rights safeguards of the European Digital Identity Wallet.

The aim of the present letter, however, is to draw your attention to risks we identified in the recently proposed second batch of implementing acts. These concern in particular Article 5b of eIDAS. We are of the opinion that upholding trust in the eIDAS ecosystem is of utmost importance and that only the users are in sole control over their data and the way they use the European Digital Identity Wallet. The eIDAS regulation obliges relying parties to register their intended use of the Wallet and prohibits them from asking information going beyond that registration. (See Article 5b paragraph 1 and 3 of Regulation (EU) 2024/1183.) Protecting users from such illegal requests for information (‘over-asking’) requires providing them with the information if a particular request adheres to the registration of that relying party. This is done via relying party registration certificates.

While these certificates are an essential precondition for the enforcement of the eIDAS regulation, the informed user’s choice and trust into the system, the draft implementing act proposes that Member States can choose not to issue such certificates at all. All European Digital Identity Wallets would be unable to protect their users from over-asking, if the Member State where the relying party is registered has not issued these certificates.

This leaves users vulnerable to illegal and potentially fraudulent requests for their information and puts undue burden on them. In the absence of such certificates a cautions user would have to choose not to interact with relying parties from such EU countries. Thereby, the Commission’s draft would undermine the single market and prevent the harmonized trust level eIDAS aims to achieve.

Furthermore, eIDAS requires Member States to issue a public machine-readable interface to obtain all registered relying parties with the complete information they have provided. The draft implementing acts lack a harmonized specification to access such interfaces, rendering them meaningless for any public watchdog wishing to gain transparency about the eIDAS ecosystem.

To conclude, for the upcoming comitology meeting,3 the undersigned organizations ask you to propose a text that mandates the issuance of relying party registration certificates for all relying parties and to issue a harmonized specification to access the relying party registry of each Member State.

Sincerely,

• epicenter.works – for digital rights (Austria)
• European Digital Rights (Europe)
• Chamber for Workers and Employees (Austria)
• D3 – Defesa dos Direitos Digitais (Portugal)
• Homo Digitalis (Greece)
• IT-Political Association of Denmark (Denmark)
• Digital Courage (Germany)
• Stichting Vrijschrift (the Netherlands)
• Digitale Gesellschaft Switzerland (Switzerland)
• Citizen D (Slovenia)
• SHARE Foundation (Serbia)
• EFN – Electronic Frontier Norway (Norway)
• EFF – Electronic Frontier Foundation (International)
• ApTI – Asociația pentru Tehnologie și Internet (Romania)
• Danes je nov dan (Slovenia)

Link: Der offene Brief bei epicenter.works

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.