In der EU sollen alle Bürgerinnen und Bürger eine E-ID nutzen können. Dies könnte mittels des Konzeptes SSI erfolgen. SSI ist die Abkürzung für das englische Wort „Self-Sovereign Identity“ und steht für eine selbstbestimmte, digitale Identität. Die dezentral organisierte SSI basiert auf Blockchain und deutet die Abkehr der jahrzehntelangen Praxis der zentralen Kontrolle über die Zuweisung von Identitäten an.

Die EU hat bereits im Jahr 2014 mit der eIDAS-Verordnung (910/2014 (EU)) einen Rechtsrahmen für elektronische Identifizierungs- und Vertrauenssysteme geschaffen. Die Verordnung stellt dabei sicher, dass Personen und Unternehmen ihre eigenen nationalen elektronischen Identifizierungssysteme (eID) für den Zugang zu bestimmten Diensten bzw. Dienstleistungen nutzen können. Jedoch haben längst nicht alle Mitgliedstaaten eine nationales eID-System auf Basis dieser Verordnung umgesetzt. Auch sind nicht alle diese Systeme miteinander kompatibel.

Der neue Entwurf der eIDAS-Verordnung vom 3. Juni 2021 soll diesen Flickenteppich nun beheben und nationale eIDs durch eine europaweite Lösung ersetzen. Die EU-Kommission will mit dem vorliegenden Entwurf die Mitgliedstaaten dazu verpflichten eine entsprechende technische Lösung zu entwickeln. Mit der sogenannten „EUid“ sollen Nutzer ihre Identität via Smartphone nachweisen, europaweit Onlinedienste nutzen und Dokumente in elektronischer Form weitergeben können. Dabei sollen ihre Daten über eine digitale Brieftasche (wallet) geteilt werden können. Diese wallets könnten von Behörden oder privaten Einrichtungen bereitgestellt werden. Danach sollen Nutzer ihre nationale digitale Identität mit weiteren Dokumenten wie etwa einem Führerschein, Abschlusszeugnissen oder Bankkonten in der wallet verknüpfen können.

Diese erweiterte eID verlangt jedoch auch nach flexibleren und dezentralen Identitätsparadigmen. So soll der Nutzer seine digitale Identität selbst verwalten, also ohne von einem zentralen Identitätsdienstleister abhängig zu sein. In den letzten Jahren kam hierzu eine neue Technologie zur Identifizierung ins Spiel, die so genannte „Self-Sovereign Identity“ (SSI).

Die Idee des Konzeptes ist, dass ein Nutzer die zentrale Verwaltung seiner digitalen Identität innehaben muss. Dies setzt voraus, dass der Nutzer seine Identität an mehreren Standorten verwenden kann und auch die echte Kontrolle über diese digitale Identität innehat, wodurch die Autonomie des Nutzers entsteht. Um dies zu erreichen, muss eine selbstsouveräne Identität transportabel sein und darf nicht an eine einzige zentrale Behörde gebunden sein. Eine selbstsouveräne Identität muss es den Nutzern auch ermöglichen, Angaben über sich selbst zu machen, welche persönliche Daten oder Merkmale und sogar Informationen, die von Dritten angegeben werden, enthalten können.

Aus technologischer Sicht kann dieses Konzept mittels einer Blockchain umgesetzt werden. Sie ermöglicht die Verwendung dezentraler Identifikatoren (DIDs), welche die Grundlage dieses Identitätsmodells bilden. Als die Blockchain-Gemeinschaft in Europa begonnen hat an der Umsetzung der SSI zu arbeiten, kam auch Zweifel und Bedenken darüber auf, ob ein SSI Konzept mit der eIDAS-Verordnung kompatibel wäre. Daraufhin hat die Agentur der Europäischen Union für Cybersecurity (ENISA) im Januar 2022 eine Untersuchung publiziert, worin sie sich intensiv mit SSI und bestehenden eID-Lösungen auseinandersetzt, sowie auch Sicherheitsrisiken und Chancen unter die Lupe genommen hat.

Die Untersuchungen von ENISA ergaben unter anderem, dass SSI-Technologien eine wirksame Grundlage für digitale Identitäten bilden können, welche auch personenbezogene Daten ausreichend schützen. Dezentralisierte digitale Identitäten können zudem Pseudonyme im Schutz ihrer Identität unterstützen. Auch ermöglichen überprüfbare Berechtigungsnachweise die Trennung potenziell privater Merkmale von der digitalen Identität, wobei der Benutzer die Merkmale selbst auswählt, die er Dritten offenlegen möchte. Die Möglichkeit mehrere Authentifizierungsschlüssel in einer wallet mit separaten Identitätsdokumenten von verschiedenen Kontrollstellen zu speichern, ermöglicht es dem Nutzer, Transaktionen kryptografisch zu trennen und so die Privatsphäre zu wahren, indem Verbindungen zwischen den einzelnen Transaktionen vermieden werden.

Sodann sind laut ENISA beim Einsatz einer SSI-Architektur noch einige Prinzipien zu integrieren. So sollten nur notwendige Daten verwendet werden (Datenminimierung). Des Weiteren braucht es eine Einwilligung und eine Wahlmöglichkeit des Nutzers, wobei der Nutzer das Verfahren und die Daten kontrolliert, welche für die Identifizierung benutzt werden. Schliesslich ist Genauigkeit und Qualität der Daten erforderlich. Dies hat zur Folge, dass sich alle Parteien auf die Identifikationsdaten verlassen können, welche von der wallet gespeichert und bereitgestellt werden.

Sollte der Entwurf der EU-Kommission zur neuen eIDAS Verordnung so angenommen werden, so haben die Mitgliedstaaten bis September 2022 Zeit ein gemeinsames Instrumentarium für die europäische E-ID zu schaffen. Dieses Instrumentarium soll die technische Architektur, Normen, Leitlinien und bewährte Verfahren umfassen. Ob die EUid dabei auf ein SSI Konzept abstellen wird, bleibt demnach abzuwarten.

 

  1. Quellen (Links, Zitation von Büchern)