Unter Hochdruck will die EU Teile ihrer Digitalregulierung überarbeiten. Während der AI Act auf den letzten Metern noch um ein Verbot sexualisierter Deepfakes ergänzt werden könnte, treten beim Datenomnibus zwei wichtige EU-Institutionen auf die Bremse. Die neuesten Entwicklungen im Überblick.

Am 19. November 2025 präsentierte die Europäische Kommission den sogenannten „Digitalen Omnibus“: Mit zwei Gesetzen will die EU ihre Digitalregulierung überarbeiten und auf einen Schlag zahlreiche bestehende Gesetze ändern. Die Kommission will mit dem Paket Regeln vereinfachen, Bürokratie abbauen und so die Wettbewerbsfähigkeit Europas steigern.

Das erste dieser Gesetze, das die Datenschutzgrundverordnung (DSGVO), mehrere Datennutzungsgesetze und die Meldung von Cyber-Vorfällen betrifft, wird „Datenomnibus“ genannt. Das zweite Gesetz, welches die KI-Verordnung ändert, heißt „KI-Omnibus“. Für beide Vorhaben hat die Kommission ein hohes Tempo vorgegeben, die Änderungen sollen so schnell wie möglich beschlossen werden. Während dies beim KI-Omnibus, der unter anderem Teile der europäischen KI-Verordnung aufschieben soll, realistisch erscheint, dürften sich die Verhandlungen um den Datenomnibus deutlich länger hinziehen.

Sollen sexualisierte Deepfakes verboten werden?

Für den KI-Omnibus sind im Parlament zwei Ausschüsse verantwortlich: der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Daher gibt es in diesem Fall auch zwei federführende Abgeordnete, die sogenannten Berichterstatter:innen: Michael McNamara ist Teil der Fraktion der Liberalen, Arba Kokalari gehört der konservativen EVP an, zu der auch CDU/CSU gehören.

Sie haben am 4. Februar gemeinsam ihren ersten Berichtsentwurf vorgelegt. Dieser beschreibt, wie sie die KI-Verordnung im Vergleich zum Vorschlag der EU-Kommission verändern wollen. Die verantwortlichen Abgeordneten anderer Fraktionen, die sogenannten Schattenberichterstatter:innen, haben bis zum 12. Februar ihre Änderungswünsche vorgelegt. Diese sind noch nicht öffentlich.

Bekannt ist jetzt schon, dass derzeit diskutiert wird, ob die Erstellung von sexualisierten Deepfakes im Rahmen des Omnibusses verboten werden soll – und unter welchen Umständen. Nach dem Skandal um Elon Musks Chatbot Grok, mit dem Nutzer:innen unfreiwillige Nacktbilder von Frauen und Minderjährigen erstellt haben, gibt es dafür gerade viel politischen Willen, sowohl im Parlament als auch unter den Mitgliedstaaten. Wie ein solches Verbot ausgestaltet werden könnte, ist jedoch umstritten.

Bei den Verhandlungen wird auch diskutiert, wer die Verantwortung für KI-Schulungen haben soll – die Anbieter der KI-Systeme oder die Regierungen. Außerdem soll entschieden werden, ob die verschobenen Fristen für Hochrisiko-Systeme fest oder flexibel sein werden. Dass sie überhaupt verschoben werden, scheint unter den Verhandelnden niemand mehr anzufechten. Ein weiteres Thema ist die Zentralisierung der Aufsicht im KI-Büro der EU-Kommission und das KI-Training mit sensiblen Daten, um Verzerrungen zu vermeiden. Ebenfalls besprochen werden mögliche Ausnahmen im Transparenzregister für KI-Systeme.

KI-Omnibus könnte bald schon am Ziel sein

Bereits nächste Woche startet im Parlament die Verhandlung, deren Ziel ein finaler Bericht ist. Es ist vorgesehen, dass die beiden Ausschüsse am 18. März darüber abstimmen. Damit würde dann die Parlamentsposition stehen und wäre bereit für den sogenannten Trilog mit der EU-Kommission und den Mitgliedstaaten.

Letztere erarbeiten im Moment ebenfalls ihre Position im Rat der Europäischen Union. Derzeit finden die Gespräche auf Ebene der Arbeitsgruppe „Vereinfachung“ statt. Es gibt bereits zwei Entwürfe. Wenn der Text final ist, wird er an die Diplomat:innen im „Ausschuss der Ständigen Vertreter“ gegeben. Auf der höchsten Ebene ist der Rat für Allgemeine Angelegenheiten für den KI-Omnibus verantwortlich.

Das Steuer hat dabei die derzeitige Ratspräsidentschaft Zypern in der Hand. Sie hat bereits angekündigt, den KI-Omnibus mit Priorität zu behandeln. Und das nicht ohne Grund: Schließlich sollen im Omnibus die Fristen für Hochrisiko-KI-Systeme angepasst werden, die eigentlich ab dem 2. August 2026 gelten würden. Der Omnibus muss daher spätestens bis zu diesem Datum in Kraft treten.

Insgesamt scheinen sich Rat und Parlament beim KI-Omnibus bisher relativ einig zu sein. Sie tendieren in vielen Punkten dazu, zum ursprünglichen Text der KI-Verordnung zurückzugehen. Unterschiede gibt es selbstverständlich in den Details.

Institutionen warnen vor Datenomnibus

Unübersichtlicher und umstrittener ist die Lage beim Datenomnibus. Während die Zusammenlegung von Datennutzungsgesetzen oder die Vereinfachung der Meldewege bei IT-Sicherheitsvorfällen für relativ wenig Aufregung gesorgt haben, ist um die Datenschutzaspekte des Vorhabens eine heftige Debatte entbrannt.

De EU-Kommission behauptet weiter steif und fest, lediglich technische Änderungen vorgeschlagen zu haben, die das Datenschutzniveau in der EU nicht verändern würden. Inzwischen mehren sich jedoch die Stimmen, die sagen: Vorschläge wie eine erleichterte Nutzbarkeit von Daten für KI, Einschränkungen von Betroffenenrechten oder eine Änderung der Definition personenbezogener Daten würde an Grundpfeilern des Datenschutzes rütteln.

In diesen Chor hat sich vergangene Woche auch der Europäische Datenschutzausschuss (EDSA) eingereiht, in dem die nationalen Datenschutzbehörden der EU zusammenarbeiten. „Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können“, heißt es in einer gemeinsamen Erklärung des EDSA mit dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski.

Ehemalige Meta-Lobbyistin verhandelt über Datenschutz

Zwar begrüße man einige Vorschläge, die zu tatsächlichen Vereinfachungen führen. Darunter falle etwa eine Anhebung des Risikoschwellenwerts, ab dem eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, oder die Verlängerung der Frist für die Meldung von Datenpannen. Auch Vorschläge zu Vereinfachungen bei Cookie-Bannern begrüßen die Datenschützer:innen.

Deutlich länger ist jedoch die Liste der gravierenden Mängel, die die Datenschützer:innen ausmachen. Allen voran kritisieren die Behörden die vorgeschlagene Neudefinition personenbezogener Daten, die pseudonymisierte Daten unter Umständen von der DSGVO ausnehmen würde. Dazu heißt es von der Vorsitzenden des Europäischen Datenschutzausschusses, Anu Talus: „Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“

Was die beiden angesprochenen Organe, das Europäische Parlament und der Rat der Mitgliedstaaten, mit dem Input der Datenschutz-Expert:innen anfangen werden, ist derzeit noch ziemlich offen. Der Datenomnibus wird zwar in den legislativen Prioritäten für 2026 genannt, auf welche sich die drei EU-Institutionen Ende des Jahres einigten. Das bedeutet: Das Vorhaben soll eigentlich noch in diesem Jahr abgeschlossen werden. Eine Positionierung des Rates ist nach Auskunft von Beobachter:innen in den nächsten Monaten allerdings nicht zu erwarten.

Im Parlament stellt man sich ebenfalls auf langwierige und zähe Verhandlungen ein. Hier teilen sich auch beim Datenomnibus zwei Ausschüsse die Federführung. Während im LIBE-Ausschuss für Bürgerliche Freiheiten die Sozialdemokratin Marina Kaljurand Berichterstatterin für das Thema ist, hat im Industrieausschuss (ITRE) Aura Salla das Ruder übernommen. Die finnische Politikerin von der konservativen Europäischen Volkspartei war von 2020 bis 2023 Chef-Lobbyistin des US-Tech-Konzerns Meta in Brüssel. Mit Blick auf den Datenomnibus sagte sie im Januar auf einer Veranstaltung: „Wir müssen deregulieren, nicht nur vereinfachen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Frontex führt seit November von den Kapverden aus Flüge zur Migrationsabwehr durch. Die Mission startete ohne ein Abkommen zur Datenweitergabe, zeigt die Antwort auf eine Frage aus dem EU-Parlament.

Die EU-Grenzagentur Frontex hat im November ihre Luftüberwachung auf die Gewässer vor Westafrika erweitert. Regelmäßige Einsätze erfolgen seitdem immer wieder von der Insel Santiago, die zu den Kapverden gehört. Für die Stationierung eines Flugzeugs war Frontex-Direktor Hans Leijtens selbst in die kapverdische Hauptstadt Praia gereist. Dort traf sich der Niederländer mit dem Staatsminister, dem Verteidigungs- sowie dem Innenminister und weiteren hochrangigen Regierungsmitgliedern.

Die Luftüberwachung von Praia aus ist der erste derartige Einsatz von Frontex in einem afrikanischen Land. An den Gesprächen zur technischen Umsetzung waren auch Behörden aus Portugal beteiligt – die beiden Länder arbeiten nach der Unabhängigkeit des Inselstaats Kap Verde auch zu maritimer Sicherheit eng zusammen. Nach Angaben eines Frontex-Sprechers stimmt sich die EU-Grenzagentur auch mit spanischen Behörden zu den Flügen ab.

Die zu Spanien gehörenden Kanarischen Inseln sind oft Ziel der Überfahrten von Booten mit Migrant*innen, die von Gambia, Guinea-Bissau, Senegal oder Mauretanien in Richtung Europa ablegen. Auf sie hat es Frontex abgesehen.

Hochgerüstete Überwachungsflugzeuge

Mit den ausgeweiteten Flügen ihrer „Multipurpose Aerial Surveillance“ will Frontex die EU-Migrationsabwehr verstärken. Bei privaten Firmen gecharterte Luftfahrzeuge halten dazu Ausschau in den Such- und Rettungsregionen im Atlantik vor Senegal und Mauretanien. Bei Sichtung eines Bootes informiert die Besatzung die zuständigen Behörden der westafrikanischen Länder. Deren Küstenwachen sollen die Menschen abfangen und zurückholen. Ein solches Pullback-System praktiziert Frontex bereits seit 2017 mit der Küstenwache in Libyen.

Allerdings startet die neue Frontex-Mission ohne ein neues Arbeitsabkommen mit den Kapverden. Wie aus einer aktuellen Antwort auf eine parlamentarische Anfrage hervorgeht, bezeichnet Frontex den aktuellen Betrieb deshalb als „Phase 1“. In diesem Zeitraum findet demnach kein erweiterter Austausch von Daten aus der Überwachung mit kapverdischen Behörden statt – dies soll erst nach Unterzeichnung einer entsprechenden Vereinbarung in „Phase 2“ erfolgen.

Auch ohne Abkommen zum Datentausch können in der „Phase 1“ Informationen zu gesichteten Booten an die Küstenwache der Kapverden übermittelt werden – jedenfalls in einem Seenotfall. Dies könne über das internationale Seerecht erfolgen, das im Rahmen von Such- und Rettungseinsätzen die Benachrichtigung von maritimen Leitstellen benachbarter Staaten vorschreibt, erklärt Frontex.

Kapverden benennen „Eurosur-Koordinierungszentrum“

Nach Unterzeichnung eines Arbeitsabkommens soll dann „Phase 2“ beginnen. Dann würde der Informationsaustausch zu Booten auf dem Weg zu den Kanaren über ein Lagezentrum der Marine erfolgen, das Kap Verde dafür benannt hat. Frontex bezeichnet dieses COSMAR, das Zentrum für maritime Sicherheitsoperationen, als „Eurosur-Koordinierungszentrum“. Eurosur ist das Überwachungsnetzwerk, an das seit 2014 alle Schengen-Staaten mit dem Frontex-Hauptquartier in Warschau vernetzt sind. Dorthin werden auch die von Flugzeugen aufgenommenen Videos in Echtzeit gestreamt.

Die Antwort auf die parlamentarische Anfrage gibt auch Auskunft zur Sensortechnik an dem bei der britischen Firma DEA mit einem Rahmenvertrag gecharterten Flugzeug. Dazu gehören eine giro-stabilisierte elektro-optische und Infrarot-Kamera mit Wärmebildfunktion und Tageslicht-Zoomkamera, außerdem ein AIS-Transponder zur Schiffsidentifikation und ein Seeüberwachungsradar.

Derartige Ausrüstung gilt als Dual-Use-Technik, die auch militärisch verwendet werden kann. Schiffe der zivilen Seenotrettung dürfen sie deshalb nicht erwerben oder einsetzen, ansonsten können sie auch wegen Spionage verfolgt werden.

„Operative Verbindungsbeamte“ in Warschau

Mit der Anbindung an Eurosur erhalten die „eingebetteten kapverdischen Behörden“ laut Frontex die gleichen Informationen wie Portugal und Spanien. Dazu stationiert die Regierung in „Phase 2“ außerdem „operative Verbindungsbeamte“ in Warschau. Umgekehrt will Frontex aber kein eigenes Personal auf den Kapverden stationieren.

Die Frontex-Mission von den Kapverden aus soll eine Lücke schließen, die gescheiterte Verhandlungen mit Senegal und Mauretanien hinterließen: Die EU-Grenzagentur wollte ursprünglich Statusabkommen mit diesen Ländern schließen, um auch dort operieren zu dürfen. Trotz vorheriger positiver Signale verweigerten die Regierungen jedoch entsprechende Gespräche.

Die Flüge von Praia erfolgen deshalb außerhalb der Zwölfmeilenzone von Senegal und Mauretanien und damit im internationalen Seegebiet. So zeigt es auch ein ADSB-Tracker für das Flugzeug.

Grundrechtsbeauftragter äußert sich kritisch

Auch der Frontex-Grundrechtsbeauftragte Jonas Grimheden hatte sich bereits mit den Flügen von Praia aus beschäftigt – und äußerte sich schon im Planungsstadium kritisch. Denn die Flugzeuge sollen Informationen über entdeckte Migrant*innen an Such- und Rettungsbehörden der betreffenden Staaten weitergeben. In Mauretanien und Senegal gibt es aber Berichte über Defizite beim Schutz der Menschenrechte. Deshalb hätten vor der Inbetriebnahme des Flugdienstes wirksame Schutzmaßnahmen eingeführt werden sollen, meint Grimheden.

Das Büro des Grundrechtsbeauftragten forderte daher einen Aktionsplan, der die Probleme adressiert. Besonders das Verbot des Non-Refoulement – also das Verbot, Menschen in Länder zurückzuschicken, wo ihnen Verfolgung droht – müsse darin berücksichtigt werden, so Grimheden.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Ab dem 20. Juni 2025 gelten in der EU für in Verkehr gebrachte Smartphones und Tablets neue Regeln gegen geplante Obsoleszenz und E-Waste.

Quelle

Eigentlich sollte heute feststehen, wer bald das Amt des Europäischen Datenschutzbeauftragten übernimmt. Erstmals aber haben EU-Parlament und Mitgliedstaaten für unterschiedliche Kandidaten gestimmt. Nun müssen die beiden miteinander verhandeln.

Wer wird neuer Europäischer Datenschutzbeauftragter? Diese Frage sollten gestern und heute Parlament und Rat klären. Sie ernennen zusammen den Beamten, der darüber wacht, dass sich die EU-Institutionen an den Datenschutz halten. Dabei kam es heute aber zu einer noch nie dagewesenen Situation: Parlament und Rat stimmten für unterschiedliche Personen.

Der Innenausschuss des EU-Parlaments hatte gestern für Bruno Gencarelli gestimmt. Gencarelli ist momentan in der EU-Kommission für Datenschutzpolitik zuständig und verhandelte verschiedene internationale Abkommen zum Datenaustausch.

Die Mitgliedstaaten im Rat wählten heute dagegen den aktuellen Amtsinhaber Wojciech Wiewiórowski. Er ist seit 2019 Europäischer Datenschutzbeauftragter und hat in dieser Zeit EU-Institutionen einige Male die Zähne gezeigt. So wies er etwa im vergangenen Jahr die EU-Kommission an, dass sie mit Microsofts Office-Suite keine Daten mehr in die USA übertragen dürfte.

Polnische Verbindung

Die Abgeordneten im Parlament hatten gestern mit 32 Stimmen Gencarelli unterstützt. Wiewiórowski hatte 26 Stimmen erhalten, der französische Datenschützer François Pellegrini 30 Stimmen. Anna Pouliou leitet aktuell den Datenschutz am CERN-Forschungszentrum, für sie votierten 11 Abgeordnete.

Die Mitgliedstaaten stimmten heute im Ausschuss der Ständigen Vertreter ab. Darin sitzen quasi die EU-Botschafter der Mitgliedstaaten. Dort erhielt Wiewiórowski die meisten Stimmen, gefolgt von Gencarelli, Pellegrini und Pouliou. Ein Umstand dürfte Wiewiórowski dabei hilfreich gewesen sein: Er kommt aus Polen. Polen hat momentan den alle sechs Monate rotierenden Vorsitz des EU-Rats inne. Damit hat das Land zusätzlichen Einfluss – und ein Interesse daran, Landsleute in mächtige Positionen zu bringen oder sie dort zu halten.

Das Gesetz schreibt aber vor, dass Parlament und Rat den Posten des Datenschutzbeauftragten „im gegenseitigen Einvernehmen“ besetzen. Die beiden Institutionen müssen also nun verhandeln und sich auf einen gemeinsamen Kandidaten einigen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

EU-weit soll die Einführung einer sogenannten ID-Wallet vorangetrieben werden, mit der sich Menschen digital ausweisen können und die dafür deren Identitätsdaten speichert. Auch juristische Personen sollen die Möglichkeit bekommen, diese ID-Wallets zu nutzen. Für den Gesetzesvorschlag der EU-Kommission gibt es jedoch keineswegs nur Lob – im Gegenteil.

In der Europäischen Union trat 2014 die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt in Kraft, die nun reformiert werden soll. Diese überarbeitete eIDAS-Verordnung soll allen EU-Bürgern die Möglichkeit zu einer digitalen Identität schmackhaft machen, die den Namen „European Digital Identity Wallet“ bekommen wird. Die ID-Wallet soll jeweils in der Hoheit der einzelnen EU-Mitgliedstaaten bereitgestellt werden, aber eine überall kompatible EU-weite Lösung sein.

Der Entwurf der EU-Kommission zur eIDAS-Neuregelung vom Juni 2021 (eIDAS: electronic IDentification, Authentication and trust Services) hat in der Wirtschaft überwiegend positives Feedback bekommen, er trifft jedoch auf breite Kritik und Nachbesserungswünsche von Bürgerrechtsorganisationen, Datenschützern und Experten für IT-Sicherheit. Die Kritik ist nicht ganz neu, schon im Juli 2021 (pdf) hatte der Europäische Datenschutzbeauftragte Schwachpunkte der geplanten Reformierung aufgezeigt, die aus Sicht des Datenschutzes bestehen. Eine öffentliche Konsultation hatte im Sommer zu Stellungnahmen aufgefordert.

Es existieren in Europa teilweise schon jahrelang Lösungen für nationale elektronische Identitäten, aber mit Dänemark, Deutschland, Schweden und Ungarn haben noch vier Staaten inkompatible Eigenkreationen. Die nun zur Überarbeitung vorgesehene Verordnung hat eine europaweit nutzbare ID-Wallet zum Ziel.

Von der Leyen verspricht eine sichere europäische elektronische Identität

Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, hatte höchstselbst in ihrer Rede zur Lage der Union 2020 für die einheitliche ID-Wallet geworben. Sie beschrieb, dass niemand in der Praxis wissen können, was mit den eigenen Daten passiere und wie aber der geplante neue digitale EU-Identitätsspeicher die Kontrolle zurückbrächte:

Jedes Mal, wenn eine Website uns aufgefordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was mit unseren Daten geschieht. Aus diesem Grund wird die Kommission demnächst eine sichere europäische digitale Identität vorschlagen. Eine, der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.

Ganz so rosig wie in von der Leyens schwärmenden Worten wird die Umsetzung der ID-Wallet-Idee derzeit nicht bewertet, jedenfalls nicht aus Sicht von Datenschützern und IT-Sicherheitsfachleuten. Eine öffentliche Anhörung zu eIDAS beim Parlamentsausschuss für Industrie, Forschung und Energie brachte am Donnerstag Experten für eine Diskussion zusammen. Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte, erneuerte dort gleich zu Beginn seine Kritik, warnte vor Gefahren und forderte Nachbesserungen.

Ein weiterer der angehörten Kritiker der geplanten Verordnungsreform war Thomas Lohninger, Geschäftsführer des Vereins epicenter.works aus Österreich und Vizepräsident von European Digital Rights. Eine Konsequenz der neuen digitalen Brieftasche könne ein für die Privatsphäre von Menschen gefährliches Szenario sein, vor dem Lohninger auch in seiner Stellungnahme (pdf) warnt: Gezielte Werbung könnte mit der staatlich garantierten Identität gekoppelt werden. Die Werbewirtschaft wüsste dann quasi mit staatlichem Stempel, mit wem sie es namentlich zu tun hat und wem konkret sie Werbung unterjubelt.

Lohninger betonte, es fehle an „Schutzmaßnahmen gegen Missbrauch bei Tracking, Profiling und gezielter Werbung“. Hier müsse man dringend nachbessern. Es bestehe keine besondere Eile bei der Gesetzgebung, insofern plädiere er dafür, diesen Mangel zu beseitigen. Er rate auch zu einer Art Negativ-Liste, in der verständlich festgehalten werden solle, wofür die Daten der ID-Wallet keinesfalls verwendet werden dürfen. Auf jeden Fall müsse verhindert werden, dass mit der ID-Wallet am Ende nur die Tracking- und Werbewirtschaft und insbesondere auch die großen außereuropäischen Tech-Konzerne gestärkt werden.

Informationssammlung beim ID-Wallet-Herausgeber

Ein anderer potentiell gefährlicher Datenmissbrauch droht wegen der Daten, die bei der Nutzung des Identitätsspeichers beim Wallet-Herausgeber anfallen. Die Vorschläge der EU-Kommission schreiben zwar fest, dass der Nutzer über seine European Digital Identity Wallet die volle Kontrolle behalten soll. Über die Nutzung der Wallet soll der Herausgeber keine Informationen sammeln, die nicht notwendig für die Wallet-Dienstleistungen sind. Datenschutzexperte und Informatiker Lukasz Olejnik rät jedoch wegen dieser sensiblen Nutzungsdaten in seiner Stellungnahme, die Rechte der Nutzer weiter zu stärken und zusätzlich vorzuschreiben, dass nicht mehr benötigte, aber bereits gesammelte Daten über die Wallet-Nutzung gelöscht werden sollen. Mehr als zwei Jahre sollten sie keinesfalls festgehalten werden, so Olejnik, wünschenswert wäre eine viel kürzere Frist von nur einem Monat.

Lohninger kritisiert, dass nicht schon von vornherein ein technischer Ansatz vorgeschrieben werde, um die Nutzungsdaten beim Wallet-Herausgeber zu minimieren. Er optiert für eine technische Infrastruktur, die eine Informationssammlung beim Herausgeber weitgehend unterbinde. Die entsprechende Passage müsse schon deswegen geändert werden, weil das Vertrauen der potentiellen Nutzer in die ID-Wallet durch technische Maßnahmen zum Datenschutz viel deutlicher gestärkt werden müsse. Denn ohne Vertrauen seitens der Nutzer drohe das ganze Vorhaben zu scheitern.

Damit die ID-Wallet breite Akzeptanz findet, muss es neben dem Vertrauensvorschuss auch möglichst viele Angebote geben, die von Menschen genutzt werden könnten. Sonst endet der Vorschlag vielleicht wie die deutsche eID im Personalausweis, die – selbst nachdem sie per Gesetz zwingend aktiviert ist – noch immer kaum Nutzer findet. Der Entwurf der Verordnung sieht daher eine Verpflichtung zur Akzeptanz der ID-Wallet bei Staat und Wirtschaft vor, versucht also durch eine vielfältige Angebotsseite die Nutzung anzuregen. Die sehr großen Plattformbetreiber sollen daher mitmachen müssen, aber auch eine ganze Reihe anderer Wirtschaftsbranchen, etwa Transport, Energie, Banken, Gesundheit, Post, Telekommunikation und weitere sollen verpflichtet werden.

Die IT-Sicherheit bei Smartphones

Ein in der Anhörung vielfach vorgebrachter Kritikpunkt ist das Fehlen vieler rechtlicher und technischer Details für das Design und die Nutzungsmöglichkeiten der Wallet: Das mache eine Risikoanalyse und eine sinnvolle Datenschutz-Folgenabschätzung im Sinne der Datenschutzgrundverordnung fast unmöglich, so Lohninger. Das betonte auch der Europäische Datenschutzbeauftragte Wiewiórowski, der anmerkte, eine Prüfung, ob alle Standards der DSGVO eingehalten werden, sei aktuell nicht möglich.

Schwierig sei zudem, dass die IT-Sicherheit der ID-Wallet als App von der IT-Sicherheit von Smartphones abhänge, sagte Lohninger. Das stelle viele Menschen vor Probleme, etwa wenn sie nicht die finanziellen Mittel hätten, um neuere Smartphones mit regelmäßigen Updates zu nutzen. Schon deswegen müsse in die Vorschläge zur ID-Wallet eine Anti-Diskriminierungsklausel hinein, damit nicht Menschen mit weniger Geld nach der Einführung der Digital-Brieftasche auch noch Aufpreise zahlen müssen, wenn sie diese digitale Identität nicht nutzen können. In seinem Heimatland Österreich sei das bereits zu beobachten.

Millionen Browser-Nutzer gefährdet

Besonders in der Kritik von Seiten vieler IT-Experten steht auch der geplante Artikel 45 der Verordnung. Darin geht es um Zertifikate in Browsern. Solche Zertifikate werden von Certificate Authorities (CAs) verwaltet. Sie haben eine Funktion wie ein Notar, der beglaubigt, dass Zertifikate echt sind. Der Kommissionsvorschlag würde eine staatliche Zertifikatsinfrastruktur über solche CAs in Browsern verpflichtend vorschreiben. Lukasz Olejnik hält das Vorhaben in seiner Stellungnahme für hochgefährlich und schlägt vor, den Artikel 45 wegen seiner potentiellen Auswirkungen auf die IT-Sicherheit und auf Grundrechte komplett zu streichen oder aber mindestens statt einer Verpflichtung eine Opt-In-Lösung aufzunehmen.

Die Electronic Frontier Foundation fand in einer im Dezember veröffentlichten Stellungnahme deutliche Worte, was die Folgen angeht, würde der Vorschlag so in Kraft treten: „Die Sicherheit von HTTPS im Browser könnte um vieles schlimmer werden.“ Millionen Browser-Nutzer wären außerdem betroffen. Auch Lohninger kritisiert, dass der Vorschlag für die IT-Sicherheit von Browsern gefährlich wäre und verheerende Konsequenzen („devastating consequences“) drohen würden. Er appellierte bei der Anhörung an die EU-Parlamentarier: „Please don’t break the web!“

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.