Die EU verkauft ihre digitale Identitäts-Wallet als Werkzeug für Datenschutz und Selbstbestimmung. Eine neue Studie der ETH Zürich legt jedoch den wunden Punkt offen: Viele Nutzer geben selbst dann ihren amtlichen Ausweis frei, wenn ein Dienst diese Daten offenkundig nicht benötigt.
Die am 4. Juni veröffentlichte, bislang nicht begutachtete Untersuchung „Credential Disclosure in (EU) Digital Identity Wallets“ testete, wie Menschen auf Anfragen nach digitalen Nachweisen reagieren. Besonders alarmierend: Rund 20 Prozent der Teilnehmer waren bereit, einer Nachrichtenseite ihren amtlichen Identitätsnachweis zu übermitteln. Ein solcher Dienst braucht im Normalfall weder den vollständigen Namen noch Geburtsdatum, Anschrift oder Ausweisnummer.
Damit scheitert die schöne Datenschutztheorie an einem banalen Klick. Die Wallet kann technisch anzeigen, welche Daten verlangt werden. Sie kann einzelne Merkmale freigeben und statt des Geburtsdatums lediglich bestätigen, dass jemand volljährig ist. Doch sobald ein Anbieter den kompletten Ausweis anfordert und die App einen bequemen Bestätigungsknopf präsentiert, wird aus freiwilliger Zustimmung schnell eine routinemäßige Datenabgabe.
Nach der EU-Verordnung zur europäischen digitalen Identität sollen Nutzer kontrollieren können, welche Angaben sie weitergeben. Selektive Offenlegung, Pseudonyme und eine ausdrückliche Zustimmung gehören zum Schutzkonzept. Das klingt sauber. Es löst aber nicht das Machtgefälle zwischen dem Bürger und einem Dienst, den er gerade nutzen will.
Wer eine Reise buchen, ein Konto eröffnen, eine Behördenseite aufrufen oder einen Altersnachweis liefern möchte, wird selten lange prüfen, ob jede verlangte Angabe notwendig ist. Er will weiter. Unternehmen und Behörden wissen das. Schon heute werden Cookie-Banner, Kontoregistrierungen und App-Berechtigungen so gestaltet, dass Zustimmung der schnellste Weg bleibt. Die Digitalwallet überträgt dieses erprobte Prinzip auf staatlich bestätigte Identitätsdaten.
Die Studie zeigte zugleich, dass Warnhinweise und bessere Erklärungen übermäßige Freigaben verringern können. Das ist sinnvoll, ändert aber nichts am Grundproblem: Die Verantwortung wird auf den Nutzer abgeladen. Er soll in Sekunden entscheiden, welche Identitätsmerkmale ein unbekannter Dienst wirklich braucht, während Betreiber einen wirtschaftlichen Anreiz haben, möglichst viele Daten einzusammeln.
Die EU-Digitalwallet ist deshalb nicht automatisch ein Datenschutzgewinn. Sie kann Daten sparsamer übertragen als eine Ausweiskopie. Sie macht die Preisgabe aber zugleich so leicht, standardisiert und alltäglich wie das Bezahlen mit dem Smartphone. Wo Identität bequem per Fingertipp fließt, wird Datensparsamkeit zur Ausnahme – und der gläserne Bürger zum Ergebnis einer angeblich freiwilligen Entscheidung.
Quellen
- ETH Zürich: Credential Disclosure in (EU) Digital Identity Wallets
- Verordnung (EU) 2024/1183 zur europäischen digitalen Identität
- EU-Kommission: Technische Dokumentation zur EUDI-Wallet
Kommentar verfassen