Wenn es nach der EU-Kommission geht, wird es zukünftig erstmals europäische Vorgaben für die europaweite Nutzung elektronischer Identifizierungssysteme geben.
Die Kommission hat hierzu im vergangenen Jahr einen Entwurf für eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (KOM(2012) 238/2) vorgelegt.
Der Inhalt im Überblick
Elektronische Identifizierung
Elektronische Identifizierungen sollen die eindeutige Feststellung von Personen ermöglichen, die sich elektronisch im Rechtsverkehr ausweisen möchten. In Deutschland macht eine solche Authentifizierung derzeit der neue Personalausweis möglich.
Ausweisinhaber können sich nach Freischaltung einer entsprechenden Funktion im Internet gegenüber öffentlichen und nicht-öffentlichen Stellen ausweisen und damit Verwaltungsdienstleistungen in Anspruch nehmen oder in einigen Fällen überhaupt erst rechtsverbindlich Geschäfte abschließen.
Wechselseitige Anerkennung nationaler Identifizierungssysteme
Die Kommission strebt mit der Verordnung die gegenseitige Anerkennung nationaler Identifizierungssysteme an. Nationale elektronische IDs sollen auch in einem anderen Mitgliedstaat genutzt werden können, soweit dort elektronische ID-Dienste angeboten werden.
Voraussetzung ist allerdings, dass die Identifizierungssysteme zunächst bei der Kommission notifiziert und auf einer entsprechenden Liste veröffentlicht worden sind. Die Mitgliedstaaten werden – so stellt die Kommission klar – durch die Verordnung aber nicht gezwungen, elektronische ID-Karten auszugeben oder entsprechende Infrastrukturen dafür zu schaffen.
Guter Vorstoß, verbesserungsbedürftige Umsetzung
Grundsätzlich handelt es sich um einen begrüßenswerten Vorstoß der Kommission, in einem zunehmend vernetzten Europa auch grenzüberschreitende elektronische Identitätsnachweise zu erleichtern.
Als problematisch erweist sich der Entwurf aber insofern, als dass keine technischen Mindeststandards darin verankert sind. Die Diensteseite darf selbst keine technischen Vorgaben machen, sondern muss alle notifizierten Systeme akzeptieren. Ferner fehlt es in der aktuellen Fassung an einer Regelung, die ausdrücklich die anonymisierte Verwendung der Identitätsdaten vorsieht. Oft reicht nämlich die Information, ob eine gewisse Anforderung erfüllt ist (z.B. gefordertes Mindestalter erreicht) aus, ohne dass weitere Daten weitergegeben werden müssten. Sicherheitsvorgaben wird die Kommission nachträglich mittels delegierter Rechtsakte nach noch unbekannten Kriterien erlassen.