© Mike Fouque / 123RF.com

Die Möglichkeit, die eigene digitale Identität zu verwalten und sich elektronisch auszuweisen, ist eine grundlegende Komponente einer umfassenden Digitalstrategie. Gerade in Deutschland aber liegt hier noch manches im Argen.

Wer sich in der digitalen Welt ausweisen muss, der greift zu Identifizierungsverfahren wie Video-Ident, Post-Ident, dem KI-basierten Auto-Ident oder dem elektronischen Personalausweis (eID), den es seit 2010 gibt. Mit ihm können sich in Deutschland bereits rund 60 Millionen Personen online ausweisen. Dafür existiert im privaten Bereich mittlerweile eine Vielzahl von Anwendungen, insbesondere im Banking-Umfeld. Doch bei Verwaltungsdienstleistungen nützt der elektronische Ausweis oft noch nichts.

Obwohl man eID theoretisch in Verbindung mit der vom Bund bereitgestellten AusweisApp2 und einem NFC-fähigen Smartphone dazu benutzen kann, sich als Bürger online gegenüber der Behörde auszuweisen, gibt es momentan nur sehr wenige Anwendungen dafür. Andererseits ist der Bedarf offensichtlich hoch: Laut einer Bitkom-Studie wollen sich 60 Prozent der Bevölkerung digital ausweisen können.

Die Rolle digitaler Identitäten für die technologische Zukunft Deutschlands kann man gar nicht überschätzen. Sie sind aufgrund ihrer vielfältigen Anwendungsbereiche eines der größten Querschnittsthemen. Auch in der Digitalstrategie der Bundesregierung wurden sie als einer der Treiber der Verwaltungsdigitalisierung identifiziert. Neben “leistungsfähigeren Netzen”, “einheitlichen technischen Normen und Standards” benennt die Strategie “sichere digitale Identitäten” als Hebelprojekt, das in der Umsetzung “absolute Priorität” hat [1].

Um den Stellenwert des Themas zu unterstreichen, bestimmte die Bundesregierung das vom Innenministerium (BMI) geführte Projekt “Ökosystem digitale Identitäten” zu einem der Leuchtturmprojekte für die Umsetzung der Digitalstrategie bis 2025. Auch die elektronische Patientenakte ePA wurde hierzu ausgewählt. Seit 2022 gibt es außerdem innerhalb des BMI erstmals ein eigenes Referat “Digitale Identitäten”. Ihnen wird damit eine nie dagewesene Aufmerksamkeit zuteil, die sich nachhaltig auf die Art und Weise auswirken wird, wie wir mit Verwaltungen kommunizieren.

Abbildung 1: Beim Innenministerium gibt es seit 2022 ein eigenes Referat “Digitale Identitäten”, was den Stellenwert des Themas unterstreicht.

Doch in Deutschland gibt es einiges aufzuholen. Der ehemalige Bitkom-Präsident Achim Berg bemängelte 2022: “In den vergangenen Jahren wurde viel Vertrauen verspielt, etwa bei der verunglückten Einführung des digitalen Führerscheins.” Dieser Vertrauensverlust spiegelt sich auch in der bereits zitierten Bitkom-Studie wider: 21 Prozent derjenigen, die keine eID nutzen, geben nicht nur an, sich um Sicherheit und Datenschutz zu sorgen, sondern glauben generell nicht, dass die eID in der Praxis funktioniert [2]. Das Fehlen von Anwendungen tut hier ein Übriges und sorgen für das sprichwörtliche Henne-Ei-Problem: Gibt es keine Einsatzmöglichkeiten, nützt die eID nichts. Schalten zu wenige Bürger die eID-Funktion auf ihrem Personalausweis frei beziehungsweise registrieren sich zu wenige in der AusweisApp2, mindert das den Anreiz, Anwendungen zu schaffen.

Dabei wäre es dringend nötig, die eID zu nutzen, nicht zuletzt unter Nachhaltigkeitsaspekten. Sowohl Bürger als auch Verwaltungen würden sich viele Stunden Arbeit (und damit Geld), reichlich Papier und eine Menge Nerven sparen. Digitale Identitäten haben das Potenzial, Verwaltungsleistungen zugänglicher und Behördengänge effizienter zu machen. Aber sie sehen sich noch immer vor erhebliche Hürden gestellt. Selbst dort, wo man Verwaltungsdienstleistungen schon digital in Anspruch nehmen kann, ergibt sich durch die fehlende Ende-zu-Ende-Digitalisierung ein teils signifikanter Mehraufwand. So kommt es vor, dass Sachbearbeiter die online eingereichten Dokumente ausdrucken müssen, um sie weiterzuverarbeiten.

Wo stehen wir?

Der Erfolg der eID hängt daher auch entscheidend von der Umsetzung des Online-Zugangsgesetzes (OZG) ab. Mit dem Auslaufen der Frist zur Umsetzung des OZG 1.0 Ende 2022 wurde das vorläufige Scheitern der Verwaltungsdigitalisierung offenbar – Ausnahmen wie die Agentur für Arbeit bestätigen die Regel. Derzeit (Mitte 2023) befindet sich der Kabinettsentwurf des OZG 2.0 im Parlament. In diesem neuen OZG findet die eID eine zentrale Rolle, soll sie doch in Zukunft das wichtigste Identifizierungsmittel für alle werden, die eine Verwaltungsdienstleistung nachfragen.

Das Problem hierbei liegt jedoch auf der Hand: Weder gibt es eine funktionierende, flächendeckend bis in die letzte Kommune ausgerollte eID-Infrastruktur, noch sind annähernd genügend Verwaltungen auf Bundes-, Länder- oder kommunaler Ebene in der Lage, ihre Leistungen online anzubieten. Darüber hinaus benötigen Sachbearbeiterinnen und Sachbearbeiter intensive Schulungen, die sowohl auf die Datenverarbeitung und Nutzung von Online-Tools abzielen als auch auf die Einweisung der Bürger in die Funktionen und Handhabung der eID.

Dieses Problem versucht die Bundesregierung seit Beginn der aktuellen Legislaturperiode mit Hochdruck anzugehen. Das bereits erwähnte Leuchtturmprojekt “Ökosystem Digitale Identitäten” wird unter Leitung des BMI in einer interministeriellen Arbeitsgruppe umgesetzt. Dieses sogenannte GovLab umfasst neben dem Innenministerium das Bundeskanzleramt, das Verkehrsministerium (BMDV), das Wirtschaftsministerium (BMWK), das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Finanzministerium (BMF) und bald auch das Justizministerium (BMJ). Das Gremium tagt einmal wöchentlich auf dem Berliner GovTech Campus. Die Ergebnisse sind bisher übersichtlich.

Eine für den Herbst 2023 geplante Informationskampagne zur eID wurde auf den Winter verschoben, ein vorgesehenes Expertengremium von externen Akteuren aus Wirtschaft, Zivilgesellschaft und Verwaltung wurde nie einberufen. Aufgrund der breiten Ressortbeteiligung und unterschiedlicher Zuständigkeiten und Kompetenzen verwundert dieser langsame Start nicht. Er zeigt aber auch, dass die Entwicklung eines deutschen eID-Ökosystems Zeit braucht, selbst wenn man zunächst nur Personenidentitäten im Zusammenhang mit Verwaltungsdienstleistungen betrachtet. Die eingangs erwähnten Organisationsidentitäten finden im GovLab keine Beachtung, weil sich kein Ministerium dafür zuständig fühlt. Das führt den Begriff des Ökosystems ad absurdum und wird von Wirtschaftsvertretern kritisiert, insbesondere vom Bitkom.

Der jüngste Versuch, die eID weiterzuverbreiten und ihre Nutzung zu etablieren, war die Einmalzahlung der Energiepreispauschale an Studierende Anfang 2023. Um sich für die Zahlung zu authentifizieren, konnten Studierende zwischen dem Elster-Zertifikat, einer von der Hochschule ausgestellten PIN und der eID wählen. Sie konnten ihren Antrag auf Einmalzahlung in Verbindung mit einem BundID-Konto einreichen. Beim Letzteren handelt es sich um das zentrale Nutzerkonto beim Bund, worüber man alle digitalen Verwaltungsleistungen in Anspruch nehmen und Formulare vorab ausfüllen kann.

Die Pflicht zur Erstellung eines BundID-Kontos zielte darauf ab, die Nutzerzahlen der BundID in die Höhe zu treiben. Mit 2,6 Millionen eingereichten Anträgen und damit 2,6 Millionen neuen Nutzerkonten kann man dieses Vorhaben durchaus als Erfolg werten. Die Authentifizierungsrate mit der eID zeigt jedoch, wie weit der zu beschreitende Weg noch ist. Laut BMI haben sich nur ungefähr 20 Prozent der Nutzer mit der eID authentifiziert, während 67 Prozent die PIN der Hochschule nutzten (Stand: 17.04.2023). Auch wenn das BMI das offiziell ebenfalls als Erfolg wertet, zeigen diese Zahlen, dass die eID als Authentifizierungsmittel selbst in der jüngeren, vermeintlich Tech-affineren Bevölkerungsgruppe nur wenig Zuspruch findet.

Die Gründe hierfür sind vielschichtig. Unternehmen wie beispielsweise Banken, bei denen Kunden einen Identifizierungsprozess durchlaufen müssen, erklären, dass kein anderes Verfahren so hohe Abbruchquoten aufweist wie die eID. Oft wandeln die Nutzer die mit dem Personalausweis ausgegebene Transport-PIN nicht in eine permanente PIN um, sodass sie abläuft, oder vergessen die neu festgelegte PIN. Eine frische PIN zu beantragen, dauert, da diese postalisch zum Empfänger geschickt werden muss. Zudem gilt die AusweisApp2 als nicht sonderlich benutzerfreundlich. Es bleibt also noch einiges zu tun, wenn sich die eID als Authentifizierungs- und Identifizierungsmittel Nummer 1 durchsetzen soll.

Europäische eID

Auch auf europäischer Ebene ist in den letzten Jahren die Erkenntnis gereift, dass digitale Identitäten entscheidend dazu beitragen können, öffentliche und private Transaktionen und Identifizierungsprozesse grenzüberschreitend zu vereinfachen. Die 2014 verabschiedete eIDAS-Verordnung, die erstmals europaweite Standards und Vorgaben für die Nutzung von elektronischen Identifizierungs- und Authentifizierungsverfahren festlegte, wird 2023 novelliert, ähnlich wie das OZG.

Die wichtigste Neuerung ist dabei die Einführung einer EU Digital Identity Wallet (EUDI-Wallet), die ab 2025 allen Bürgern der EU zur Verfügung stehen soll. Sie geht über die reine Identifizierung mit einer eID hinaus und soll unter anderem in den Bereichen Gesundheit, Banking und Payment, Reisen und Bildung Verwendung finden. Die Wallet soll sowohl hoheitliche Dokumente (eID, mobiler Führerschein) als auch nicht hoheitliche Nachweise (Ausbildungszeugnisse, Flugtickets) sammeln und bei Bedarf deren verifizierbare Übertragung ermöglichen.

Damit soll die EUDI-Wallet dazu beitragen, den fragmentierten europäischen eID-Markt zu harmonisieren. Länder wie Estland, Dänemark, Schweden, Italien oder die Ukraine haben bereits funktionierende eIDs, die bis zu 90 Prozent der Bürger täglich für private und öffentliche Anwendungen nutzen. In Verbindung mit einer elektronischen Signatur können sie damit Bankkonten eröffnen, Kaufverträge abschließen und sogar Firmen gründen. Gerade in Deutschland betrachtet man diese Möglichkeiten jedoch skeptisch, weswegen es wichtig ist, die Entwicklung der EUDI-Wallet und einer Infrastruktur für digitale Identitäten mit einem besonderen Fokus auf den Nutzer voranzutreiben.

Um Datenschutzrichtlinien zu entsprechen und Vertrauen zu schaffen, soll der Nutzer die Weitergabe seiner Daten daher so wählen können, dass nur die Attribute und Informationen übertragen werden, die eine bestimmte Dienstleistung erfordert. So soll zukünftig etwa eine Altersverifikation lediglich bestätigen, dass eine Person über 18 Jahre alt ist, ohne das genaue Geburtsdatum zu übertragen. Das soll einer Überidentifizierung der Bürger gegenüber Dienstleistern vorbeugen. Das ist auch und insbesondere für Verwaltungsdienstleistungen notwendig. Während bei privaten Nutzungen verhindert werden soll, dass Unternehmen unbegrenzt Daten sammeln und selbst für Marketing-Zwecke nutzen oder weiterverkaufen, ist die gewahrte Datensouveränität des Bürgers gegenüber dem Staat essenziell für das Vertrauen der Bürger. Der Angst vor dem “gläsernen Bürger” könnte man so vorbeugen.

Auch das BMI hat das Potenzial einer derartigen Wallet für die Entwicklung einer deutschen eID-Infrastruktur erkannt. Das Ministerium übernimmt eine tragende Rolle in einem der vier europäischen Konsortien, die verschiedene Anwendungsfälle der Wallet erproben. Die Large Scale Pilots (LSP) und deren Ergebnisse bilden die Basis für die Konzeption der finalen europäischen Referenz-Wallet, die die Union dann den Mitgliedstaaten zur Verfügung stellt. Die Projekte sind im Juli 2023 gestartet, mit einer Laufzeit bis Mitte 2025.

Open Source als Treiber

Zur Umsetzung der Digitalstrategie und zur Gewährleistung der digitalen Souveränität seitens der Verwaltung will die Bundesregierung Open-Source-Ansätze in ihren Projekten priorisieren. Diese Vorgabe setzt man auch in der Entwicklung des Projekts “Ökosystem Digitale Identitäten” um. Die Referenz-Wallet, die das BMI in diesem Projekt entwickelt, wird auf Github veröffentlicht und so kollaborativ weiterentwickelt.

Neben dem Ziel der digitalen Souveränität verfolgt das BMI vor allem das Ziel der Transparenz. Ein im Juni 2023 gestarteter, über Gitlab abgewickelter Konsultationsprozess soll Verbänden, Unternehmen und der Zivilgesellschaft die Möglichkeit geben, konzeptionell an der Entwicklung der deutschen Wallet-Infrastruktur mitzuwirken. Open Source dient in diesem Fall also dazu, dem aufkommenden Vorwurf der Intransparenz entgegenzuwirken. Auch auf europäischer Ebene greift der Open-Source-Ansatz. Das Architectural Reference Framework (ARF), die Basis zur Entwicklung der technischen Standards der EUDI-Wallet, lässt sich ebenfalls auf Github einsehen und kommentieren.

Die Entscheidung, die Referenz-Wallet Open-Source-basiert zu entwickeln, stößt unter Wirtschaftsvertretern auf gemischte Reaktionen. Die Vorteile eines öffentlich zugänglichen Codes liegen zwar auf der Hand, doch befürchten gerade die privaten Anbieter von Wallet- und Identifizierungslösungen, dass sich die Bundesregierung für eine Copyleft-Lizenz entscheiden könnte. Das würde mögliche Geschäftsmodelle für die Privatwirtschaft weiter verkomplizieren.

In dieser Sache haben die Beteiligten aber noch keine finalen Positionen bezogen. Zu Redaktionsschluss plante das BMI für den 31. Juli 2023 einen Konsultations-Workshop, um unter anderem das Thema Open Source mit der Wirtschaft und Interessenvertretern zu diskutieren. Wenn Sie diesen Artikel lesen, sollte also bereits klar sein, welche langfristige Strategie die Bundesregierung verfolgt und welche Rolle hierbei Open Source zuteilwerden wird.

Fazit

Klar ist: Der digitale Ausweis wird früher oder später Alltag für uns sein. Zu tiefgreifend sind die Bemühungen auf deutscher und europäischer Ebene, als dass Skeptiker sie noch aufhalten könnten. Das Feld der digitalen Identitäten wird mit großer Geschwindigkeit und Vehemenz bestellt; wir als Bürger – aber auch Unternehmen – sind gut beraten, sich mit den Auswirkungen zu befassen.

Dass die schwedische EU-Ratspräsidentschaft zwei Tage vor Ablauf ihres Mandats um halb vier Uhr morgens die Verhandlungen über die Novellierung der eIDAS-Verordnung abgeschlossen hat, zeigt, dass insbesondere die EU hier keine Zeit verlieren will. Es könnte eines der wenigen Projekte sein, in denen Zeitpläne tatsächlich eingehalten werden.

Europa gibt ein Tempo vor, das die deutsche Verwaltung vermutlich ins Schwitzen bringt. Das sollte uns in Deutschland als Ansporn dienen, gemeinsam für den Erfolg der eID zu sorgen. Digitale Identitäten fungieren als Treiber der Digitalisierung auf allen Ebenen. Wenn wir es schaffen, sie möglichst sicher, bürgernah und nutzerfreundlich umzusetzen, kann auch Deutschland bald einen Haken hinter die Digitalisierungsdebatte setzen. (jcb/jlu)