Mangel an Koordination bei Europäischen eID-Privacy-Merkmalen

Die Europäische Agentur für Netz- und Informationssicherheit (ENISA), die von der EU gefördert wird, hat am 27. Januar 2009 ihr Grundsatzpapier über die Sicherheitsmerkmale bei Europäischen eID-Modellen herausgegeben; darin wird ein enormes Missverhältnis zwischen den verschiedenen Systemen aufgezeigt, das deren Brauchbarkeit beeinträchtigen könnte.

Bei dem Papier handelt es sich um die Analyse von 10 Kartensystemen, die bereits in der EU im Einsatz sind und 13 Systemen, die in der Entwicklungsphase sind. Die eID-Karten werden derzeit größtenteils in Verbindung mit Steuererklärungen und anderen e-Gov Diensten und einigen Anwendungen im Handelssektor verwendet, ihre Anwendung soll aber demnächst deutlich ausgeweitet werden. Die Studie deckt auf, dass Europa über keine koordinierte Strategie verfügt, um Privatdaten zu schützen, die auf den Karten gespeichert sind, was zu einem Mangel an Interoperabilität führt und zu Ablehnung bei potentiellen Nutzern. „Privacy-Merkmale wurden auf nationaler Ebene entwickelt, implementiert und getestet, auf europäischer Ebene gibt es jedoch keine koordinierte Strategie dahingehend, welche Merkmale implementiert und wie sie implementiert werden sollen. (...) Der Mangel an Koordination stellt ein ernsthaftes Hindernis für jegliche grenzüberschreitende Interoperabilität von eID-Modellen dar. (...) (Es ist) wichtig, um das Vertrauen der Nutzer dieser Modelle zu gewinnen – jedes grenzüberschreitende Modell bietet nur soviel Schutz wie sein schwächster Teilnehmer; wenn nur eines der teilnehmenden Länder etwas bietet , das nach inadäquaten Datenschutz aussieht, werden die Bürger der anderen Staaten höchstwahrscheinlich kein grenzüberschreitendes Interoperabilitationsmodell annehmen, das ihre Daten einem noch höheren Risiko aussetzt als ihr nationales Modell.“

Der ENISA-Bericht zeigt außerdem, dass der Mangel an Koordination bei Kontrollen der Privatsphäre in allen diesen Systemen die Brauchbarkeit der Karten beeinträchtigen wird: „Die Privatsphäre ist ein Gebiet, in dem die Zugänge der Mitgliedsstaaten sich grundlegend unterscheiden, und ein europäisches eID-Modell wird keine Chance haben, solange wir dieses Manko nicht beheben. Europa muss sich Gedanken über eID-Privacy machen und über seine Rolle im Interoperabilitäts-Puzzle. Das grundlegende Menschenrecht auf Privatsphäre muss für alle Inhaber europäischer eID-Karten gewährleistet sein,“ sagte ENISAs Geschäftsführer Andrea Pirotti.

Das Papier legt die Implementierung von Technologien zur Förderung der Privatsphäre in existierenden und geplanten europäischen eID-Kartenspezifizierungen dar und analysiert elf Risiken für die persönliche Privatsphäre, die aus dem Einsatz nationaler Modelle resultieren im Detail, und listet acht praktikable Verfahren auf, die zur Eindämmung dieser Risiken zur Verfügung stehen. Die derzeitige Situation der für die existierenden Karten erhältlichen Privacy-Merkmale wird anhand von acht Vergleichsdiagrammen aufgezeigt, die eine gute Empfehlung für die Ermittlung von bewährten Verfahren in dem Bereicht sein könnten.

„Viele sehr praktikable Verfahren stehen zur Auswahl, um die Privatsphäre der Bürger zu schützen, und anhand der Untersuchung der erhältlichen Verfahren in diesem Papier ist es möglich, eine Reihe von Richtlinien für bewährte Verfahren zum Schutz persönlicher Daten in nationalen eID-Modellen aufzustellen,“ heißt es im Bericht.

Der ENISA-Bericht wurde erstellt, um den Entscheidungsträgern die nötigen Informationen zur Verbesserung der derzeitigen Situation zugänglich zu machen und einen ersten umfassenden Überblick über die die Lage in Europa zu geben.

Citizen data protection in focus - ENISA on privacy in national eID cards: Europe needs a strategy(3.02.2009)

ENISA Position Paper: Privacy Features of Europen eID card specifications (27.01.2009)

Disparate privacy features devalue ID cards, warns EU security agency (5.02.2009)