Das EU-Parlament hat die Verordnung zur europäischen Online-Identität mit deutlicher Mehrheit angenommen. Die Verordnung muss nun noch formell vom Ministerrat gebilligt werden, um Gesetz zu werden.
Gemäss der Verordnung wird es die neue Digital Identity Wallet Bürgerinnen und Bürgern ermöglichen, sich online zu identifizieren und zu authentifizieren, so eine Mitteilung. Dies soll möglich sein, ohne auf kommerzielle Anbieter zurückgreifen zu müssen. Dies ist ein Punkt, der im ersten Anlauf der Schweizer E-ID stark kritisiert wurde und die Vorlage schliesslich zu Fall gebracht hat.
Nutzung ist Freiwillig
Die Nutzung der EU-Wallet werde auf freiwilliger Basis erfolgen, heisst es vom EU-Parlament. Personen, die sich gegen eine Nutzung entscheiden, sollen nicht diskriminiert werden. Das Gesetz sieht auch "qualifizierte elektronische Signaturen" vor, die den gleichen rechtlichen Stellenwert wie eine handschriftliche Unterschrift haben.
Die Abgeordneten haben zudem eine quelloffene Wallet vorgeschrieben, was Transparenz und Sicherheit fördern soll. Über ein sogenanntes Datenschutz-Dashboard sollen Nutzer die Kontrolle über ihre Daten erhalten und auch, wie von der DSGVO vorgesehen, die Löschung von Daten beantragen können. Auch gebe es strenge Regeln für die Registrierung und Überwachung der beteiligten Unternehmen, so die Mitteilung.
Security-Bedenken vorerst ausgemerzt
Im Vorfeld wurde der Ansatz kritisiert, dass Browser wie Chrome und Safari künftig qualifizierte Zertifikate für die Webseiten-Authentifizierung anerkennen müssen. Die EU wolle sämtliche Browserhersteller dazu zwingen, Root-Zertifikate von EU-Mitgliedsstaaten zu integrieren,
erklärte Raphael Reischuk von Zühlke. "Die EU versucht durch die Hintertür das Transport-Layer-Security-System zu schwächen, ohne dass es dafür eine Notwendigkeit gäbe."
Root-Zertifikate könnten Behörden das Abhören verschlüsselter Kommunikation erleichtern. Reischuk ist einer von mehreren hundert Wissenschaftlerinnen und Wissenschaftlern, die den fast finalen Gesetzestext in einem offenen Brief Ende letzten Jahres kritisiert haben. Dies zeigte offenbar Erfolg. Die EU-Gesetzgeber haben nachgebessert und festgehalten, wie die "etablierten Sicherheitsregeln und -standards der Branche eingehalten werden" sollen. Sollten begründete Bedenken hinsichtlich Sicherheitsverletzungen oder eines Integritätsverlusts bestehen, können die Browser-Anbieter in Absprache mit Behörden Vorsorgemassnahmen ergreifen.
Mozilla schreibt in einer Erklärung, dass mit den Ergänzungen die "Sicherheit im Internet gewahrt" sei. Der Wortlaut des Gesetzes und die Erklärung der Kommission sei unmissverständlich: Regierungen sollten nicht die Möglichkeit haben, die Sicherheitsarchitektur des Internets umzustossen, so das Statement. Die Ergänzungen würden es den Anbietern weiterhin ermöglichen, "Web-Sicherheit, Domain-Authentifizierung und die Verschlüsselung des Web-Verkehrs in der Weise und mit der Technologie zu gewährleisten, die sie für am besten geeignet halten".