Einleitung
Die Entwicklung des europäischen Rechtsrahmens für digitale Identität erreicht mit der schrittweisen Umsetzung der Durchführungsakte zur eIDAS-Verordnung eine entscheidende Phase. Die europäische digitale Identität (European Digital Identity Wallet, auch EUDI-Wallet genannt) stellt einen epochalen Wandel im Bereich des Identitätsmanagements und der elektronischen Zertifizierung dar, mit direkten Auswirkungen sowohl auf Bürgerinnen und Bürger als auch auf Unternehmen. Die Implementierung des Wallets wirft jedoch auch Fragen zur wirtschaftlichen Nachhaltigkeit und zu den Geschäftsmodellen auf, die erforderlich sind, um eine weitreichende und effektive Nutzung sicherzustellen.
Status Quo der Implementierungsakte
Die erste Gruppe von Implementierungsakten wurde am 21. November 2024 genehmigt und trat am 24. Dezember 2024 in Kraft. Dieses Datum markiert den Beginn eines Countdown für die Adaption weiterer regulatorischer Maßnahmen, die unter anderem für Mai 2025 vorgesehen sind. Zu den genehmigten Akten gehören vier Implementierungsakte, die für Artikel 5a „Europäische digitale Identitäts-Wallets“ angenommen wurden, wie in Art. 5a(23) gefordert:
- Für die Anforderungen aus Art. 5a(4): hinsichtlich der personenbezogenen Identifikationsdaten und der elektronischen Bescheinigungen von Attributen, die den europäischen digitalen Identitäts-Wallets ausgestellt werden.
- Für die Anforderungen aus Art. 5a(8): hinsichtlich der Integrität und der grundlegenden Funktionen der europäischen digitalen Identitäts-Wallets.
- Für die Anforderungen aus Art. 5a(18): hinsichtlich der Benachrichtigungen an die Kommission bezüglich des Ökosystems der europäischen digitalen Identitäts-Wallets.
- Für die Anforderungen aus Art. 5a(5): hinsichtlich der Protokolle und Schnittstellen, die im Rahmen der europäischen digitalen Identität unterstützt werden sollen.
Der fünfte genehmigte Implementierungsakt betrifft die Zertifizierung des EUDI-Wallets, wie in Art. 5c(6) für die Anforderungen der Artikel 5c(1), (2) und (3) vorgeschrieben, die Normen für die Anwendung der Verordnung (EU) Nr. 910/2014 zur Zertifizierung der europäischen digitalen Identitäts-Wallets festlegt.
Darüber hinaus wurde mit der Veröffentlichung dieser ersten Gruppe von Akten ein wichtiger Frist bis zum 24. Dezember 2027 festgelegt, bis zu der Unternehmen, die bereits eine starke Benutzeridentifikation für die Online-Identifizierung nutzen, das Wallet in ihre Prozesse integrieren müssen. Diese Verpflichtung gilt für Schlüsselbereiche wie Transport, Energie, Banken, Finanzdienstleistungen, soziale Sicherheit, Gesundheitswesen, Telekommunikation und Bildung.
Die derzeit zur Genehmigung ausstehenden Implementierungsakte, die bis März 2025 erwartet werden und kürzlich zur öffentlichen Konsultation gestellt wurden, regeln weitere grundlegende Aspekte des eIDAS-Rahmens, darunter:
- Registrierung der Reliant Parties (Artikel 5b(11)): Festlegung der Regeln für die Registrierung und Zertifizierung der Reliant Parties (auch vertrauende Seite genannt), d. h. der Websites und Anwendungen, die das Wallet für die Authentifizierung verwenden werden.
- Liste der zertifizierten Wallets (Artikel 5d(7)): Erstellung der offiziellen Liste der Wallet-Anbieter auf Gemeinschaftsebene und Regelung ihrer Interaktionen mit den Identifizierungsmechanismen.
- Verwaltung von Sicherheitsverletzungen (Artikel 5e(5)): Normen für den Umgang mit Sicherheitsvorfällen, die mit dem Wallet verbunden sind.
- Verwaltung qualifizierter Attribute (Artikel 45d(5), 45e(2), 45f(6) und 45f(7)): Regelung der Prozesse zur Zuweisung und Zertifizierung qualifizierter Attribute.
- Grenzüberschreitende Identitätsabgleichung (Artikel 11a): Regeln für die sichere Anerkennung und Identifizierung von Bürgerinnen und Bürgern für grenzüberschreitende Identifizierungen.
Auf diese Akte wird ein dritter Batch folgen, der voraussichtlich im März zur öffentlichen Konsultation gestellt und dann bis zum 21. Mai 2025 genehmigt wird, insgesamt etwa 20 neue Akte. Die Konsultation der ersten beiden Gruppen war ein grundlegender Moment, um die Beiträge von Verbänden und Interessengruppen zu sammeln, einschließlich Assocertificatori, dem italienischen Verband, der die Anbieter von vertrauenswürdigen und qualifizierten Zertifizierungsdiensten vertritt, sowie den von den European Credit Sector Associations (ECSAs) vertretenen Bankenverbänden.
Dieses Feedback erweist sich als äußerst wertvoll, um nicht nur den regulatorischen Rahmen zu verfeinern, sondern auch die konkreten Auswirkungen der Verordnung außerhalb der Räume der Gesetzgeber zu verstehen. Den Markt zu hören, ermöglicht es, praktische Herausforderungen zu identifizieren, die in der Implementierungsphase auftreten könnten, und die regulatorischen Maßnahmen so anzupassen, dass sie tatsächlich effektiv und anwendbar sind. Darüber hinaus gewährleistet die aktive Einbeziehung der Interessengruppen eine höhere Akzeptanz und Nutzung des Systems, was den Übergang zu dem neuen digitalen Modell erleichtert und das Vertrauen der Nutzerinnen und Nutzern und Unternehmen stärkt.
Nachhaltigkeit und Geschäftsmodelle: eine kulturelle Herausforderung
Die Schaffung des Wallets bringt hohe Kosten und eine begrenzte Anzahl zertifizierter Anbieter mit sich. Die wirtschaftliche Nachhaltigkeit dieses Ökosystems wird somit zu einer zentralen Frage. Das Gleichgewicht zwischen Privatsphäre, Sicherheit und Vergütungsmodellen war während der Verhandlungsphase der eIDAS-Verordnung Gegenstand intensiver Diskussionen. In Italien kennt man das Problem gut, angesichts dessen, was mit SPID passiert ist, und die Hoffnung ist dass eine nachhaltige Lösung für das neue Modell gefunden werden kann, das strukturell weit über die Phase hinaus unterstützt werden muss, die durch den PNRR finanziert wird.
Artikel 5a der Verordnung legt die Nichtverfolgbarkeit der Transaktionen der Nutzerinnen und Nutzer bei der Nutzung von Attributen fest, was die Monetarisierungsmöglichkeiten einschränkt. Dieses Prinzip weicht von den zuvor bestehenden Modellen der digitalen Identität ab, die in Europa angenommen wurden, wie SPID und CIE in Italien, BankID in den nordischen Ländern und Itsme in Belgien und den Niederlanden, die ein Gleichgewicht zwischen Privatsphäre und wirtschaftlicher Nachhaltigkeit durch die Nachverfolgbarkeit von Transaktionen ermöglichten.
Das europäische Wallet wird jedoch nicht nur das Management der digitalen Identität umfassen, sondern auch die Nutzung von Attributen und Zahlungen, was neue Geschäftsmöglichkeiten eröffnet.
Die Europäische Kommission erklärt:
- Die Nutzung des Wallets für natürliche Personen wird kostenlos und auf freiwilliger Basis sein.
- Unternehmen müssen möglicherweise für die Nutzung der Wallet-Dienste bezahlen, abhängig vom Geschäftsmodell, das von den Mitgliedstaaten gewählt wird.
- Einige Dienstleister, wie Telefonanbieter oder Kreditkartenunternehmen, könnten gebeten werden, eine Gebühr für die Identifizierung von ihrer Kundschaft über das Wallet zu zahlen.
- Das Teilen von digitalen Dokumenten könnte Kosten für die Anbieter dieser Dokumente verursachen.
Wer zahlt für die Attribute?
Die zentrale Frage betrifft die Vergütung der Verwaltung digitaler Attribute, ein entscheidendes Thema, das in den ETSI-Standardisierungsgremien aufkommt. Insbesondere werden neue Lösungen erforscht, um ein nachhaltiges Modell zu gewährleisten, das die im eIDAS-Regelwerk festgelegten Prinzipien der Privatsphäre und Sicherheit nicht gefährdet. Einige Attribute, wie Abschlusszertifikate, sind statisch und werden selten verwendet, während andere, wie die Überprüfung von Berufszulassungen, dynamisch sind und häufige Aktualisierungen erfordern. Das bedeutet, dass die Kosten für die Verwaltung der Attribute je nach ihrer Art und Häufigkeit der Nutzung erheblich variieren können.
Im Kontext von ETSI hat Namirial einen der vielversprechendsten Wege kürzlich eingeschlagen, indem das Unternehmen neue Monetarisierungsansätze für Attribute erforscht, die innovative Lösungen vorschlagen, um ein Gleichgewicht zwischen Zugänglichkeit und wirtschaftlicher Nachhaltigkeit für die beteiligten Akteure zu gewährleisten. Die Hauptaufgabe besteht darin, ein Modell zu finden, das die Betriebskosten deckt, ohne die Endnutzenden oder die Reliant Parties übermäßig zu belasten, während gleichzeitig das Vertrauen und die weitreichende Akzeptanz des europäischen digitalen Wallets gewahrt bleiben.
Die Kommission stellt klar, dass „einige über das Wallet geteilte Zertifikate eine Zahlung an den Anbieter erfordern können, ähnlich wie bei Papierzertifikaten“. Folglich könnten die Kosten sowohl auf den Bürgerinnen und Bürgern als auch auf den Reliant Parties je nach Anwendungsfall lasten.
Das Wallet im Geschäftskontext: Die Rolle des European Business Wallet
Die Einführung des Wallets im Unternehmensbereich stellt eine große Gelegenheit dar, administrative Prozesse zu reformieren und zu modernisieren, sie zu vereinfachen und effizienter zu gestalten, wie in den Berichten von Draghi und Letta hervorgehoben. Dieses innovative Werkzeug, das kürzlich angekündigte European Business Wallet, hat das Potenzial, die Dokumentenverwaltung europäischer Unternehmen zu revolutionieren. Mit seiner Implementierung können Unternehmen schneller und sicherer auf zertifizierte Dienstleistungen zugreifen, wodurch die Notwendigkeit wiederholter Papierprüfungen entfällt und die Bürokratie erheblich reduziert wird. Die Interoperabilität zwischen den verschiedenen wirtschaftlichen und institutionellen Akteuren wird es ermöglichen, die Dokumentenströme zu straffen, wodurch die Betriebszeiten und -kosten reduziert werden, was zur Wettbewerbsfähigkeit des europäischen Marktes beiträgt.
Fazit
Die Einführung des europäischen Wallets markiert eine wichtige Entwicklung im Bereich der digitalen Identität, mit Herausforderungen und Chancen, die Bürgerinnen und Bürger, Unternehmen und Institutionen betreffen. Die größten Akteure sind bereits aktiv, um Lösungen anzubieten, die Interoperabilität gewährleisten und die Kunden in dieser Übergangsphase unterstützen, die komplex und relativ kurz sein wird.