Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zum „Vorschlag über eine Verordnung des Europäischen Parlaments und des zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung eines Rahmens für eine europäische digitale Identität“

(COM(2021) 281 final — 2021/0136 (COD))

(2022/C 105/12)

Berichterstatter:

Tymoteusz Adam ZYCH

Befassung	Europäisches Parlament, 8.7.2021 Rat, 15.7.2021
Rechtsgrundlage	Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union
Zuständige Fachgruppe	Fachgruppe Binnenmarkt, Produktion, Verbrauch
Annahme in der Fachgruppe	30.9.2021
Verabschiedung im Plenum	20.10.2021
Plenartagung Nr.	564
Ergebnis der Abstimmung (Ja-Stimmen/Nein-Stimmen/Enthaltungen)	229/2/5

1.   Schlussfolgerungen und Empfehlungen

1.1.

Der Europäische Wirtschafts- und Sozialausschuss (EWSA) begrüßt den neuen Vorschlag der Europäischen Kommission für ein Instrument zur Änderung der eIDAS-Verordnung. Diese Änderung erfolgt im Hinblick auf die Schaffung eines Rahmens für eine europäische digitale Identität, um die Verordnung an die aktuellen Markterfordernisse anzupassen. Eine Bewertung der geltenden Verordnung hat gezeigt, dass bessere Lösungen für digitale Dienste gefunden werden müssen, die den Zugang sowohl zu öffentlichen Diensten als auch zu privaten Dienstleistungen erweitern und die der überwiegenden Mehrheit der europäischen Bürger und Einwohner zur Verfügung stehen.

1.2.

Der EWSA warnt davor, dass die vorgeschlagene Digitalisierung von Dienstleistungen auch dazu führen kann, dass Teile der europäischen Gesellschaft ausgeschlossen werden, insbesondere ältere Menschen, Menschen mit geringer digitaler Kompetenz und Menschen mit Behinderungen. Daher ersucht der EWSA die Europäische Kommission und die Mitgliedstaaten, den notwendigen Rahmen für die digitale Bildung und eine entsprechende Informationskampagne zu schaffen, um auf diesem Weg auch das Bewusstsein für den Schutz personenbezogener Daten zu schärfen.

1.3.

Der EWSA begrüßt, dass die Nutzung der Brieftasche für die europäische digitale Identität freiwillig und kostenlos sein wird. Die Einführung neuer digitaler Lösungen ist jedoch zwangsläufig mit einem erheblichen Zeit- und Kostenaufwand verbunden. Zur Vermeidung negativer Auswirkungen auf den Markt fordert der EWSA die Europäische Kommission daher auf, den tatsächlichen Zeitaufwand für die Umsetzung der neuen Verordnung genauer zu prüfen und in der Verordnung die zu erwartenden Kosten der Umsetzung eingehender zu analysieren und klarer darzulegen.

1.4.

Der EWSA stellt fest, dass im vorgeschlagenen Abschnitt 9 der Verordnung die grenzüberschreitende Anerkennung einer in einem Mitgliedstaat ausgestellten qualifizierten elektronischen Attributsbescheinigung verpflichtend vorgesehen ist. Angesichts der oft erheblichen Unterschiede zwischen den einzelstaatlichen Rechtsvorschriften hält es der EWSA jedoch für erforderlich, klarzustellen, dass die Anerkennung einer in einem Mitgliedstaat ausgestellten qualifizierten elektronischen Attributsbescheinigung auf die Bestätigung der tatsächlichen Umstände beschränkt ist. Diese Klarstellung würde analog zu Artikel 2 Absatz 4 der Verordnung (EU) 2016/1191 des Europäischen Parlaments und des Rates zur Förderung der Freizügigkeit von Bürgern durch die Vereinfachung der Anforderungen an die Vorlage bestimmter öffentlicher Urkunden innerhalb der Europäischen Union und zur Änderung der Verordnung (EU) Nr. 1024/2012 (1) erfolgen: „Diese Verordnung gilt nicht für die in einem Mitgliedstaat vorgenommene Anerkennung rechtlicher Wirkungen des Inhalts öffentlicher Urkunden, die von den Behörden eines anderen Mitgliedstaats ausgestellt wurden.“

1.5.

Aus Sicht des EWSA ist ein wirksamer Datenschutz im Zusammenhang mit dem Schutz der Grundrechte, insbesondere des Rechts auf Privatsphäre und des Rechts auf den Schutz personenbezogener Daten, ein zentrales Anliegen. Daher unterstützt der EWSA voll und ganz die Anforderung, dass der EUid-Rahmen den Nutzern die Mittel an die Hand geben sollte, mit denen kontrolliert werden kann, wer Zugang zum eigenen digitalen Zwilling hat und auf welche Daten im Einzelnen zugegriffen werden kann. Der EWSA ruft die Kommission und die Mitgliedstaaten dazu auf, im Anschluss an Konsultationen zu den technischen Aspekten des Rahmens für eine europäische digitale Identität die Einrichtung eines Registers aufzunehmen, mit dessen Hilfe die Nutzer jeden Zugriff auf ihre Daten überprüfen können.

1.6.

Der EWSA möchte auf Sicherheitsaspekte im Zusammenhang mit der Digitalisierung hinweisen, insbesondere mit Blick auf die Entwicklung der Systeme zur Speicherung und Verarbeitung von Massendaten und deren Anfälligkeit für Betrug und Datenverlust. Auch ist sich der EWSA dessen bewusst, dass es derzeit kein Sicherheitssystem mit einem hundertprozentigen Datenschutz gibt. Daher ist der EWSA der Ansicht, dass den Nutzerinnen und Nutzern von Brieftaschen für die europäische digitale Identität eine Entschädigung für unerwünschte Situationen im Zusammenhang mit ihren Daten (z. B. Datendiebstahl oder Offenlegung) garantiert werden sollte. Diese Haftungsverpflichtung sollte unabhängig von einem schuldhaften Handeln des Anbieters bestehen.

2.   Einführung

2.1.

Gegenstand dieser Stellungnahme ist der Vorschlag der Kommission für eine Verordnung zur Änderung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (2) („eIDAS-Verordnung“) im Hinblick auf die Schaffung eines Rahmens für eine europäische digitale Identität.

2.2.

Laut Begründung böte die eIDAS-Verordnung folgenden Schutz und folgende Vorteile: (1) Zugang zu hochsicheren und vertrauenswürdigen Lösungen für die elektronische Identität, (2) Gewährleistung, dass sich öffentliche und private Dienste auf vertrauenswürdige und sichere Lösungen für die digitale Identität stützen können, (3) Gewährleistung, dass natürliche und juristische Personen in der Lage sind, Lösungen für die digitale Identität zu nutzen, (4) Garantie, dass die Lösungen mit vielfältigen Attributen verknüpft sind und einen gezielten Austausch von Identitätsdaten ermöglichen, der auf den Bedarf des jeweils verlangten Dienstes beschränkt bleibt, sowie (5) Akzeptanz qualifizierter Vertrauensdienste in der EU und Erbringung zu gleichen Bedingungen. Die vorgeschlagenen Änderungen sind eine Reaktion auf den steigenden Bedarf an vertrauenswürdigen grenzübergreifenden digitalen Lösungen mit dem erforderlichen hohen Sicherheitsniveau bei der Identifizierung und Authentifizierung.

3.   Allgemeine Bemerkungen

3.1.

Der EWSA ist sich der im Binnenmarkt bestehenden neuen Anforderungen im Zusammenhang mit der Entwicklung elektronischer Identifizierungs- und Vertrauensdienste für elektronische grenzüberschreitende Transaktionen bewusst. Die bestehenden Lösungen der eIDAS-Verordnung, die seit Juli 2016 Rechtswirkung in verschiedenen Phasen der Umsetzung entfaltet, erfüllen diese Anforderungen nicht. Das zeigt sich daran, dass derzeit lediglich 59 % der Einwohnerinnen und Einwohner der EU über einen Zugang zu vertrauenswürdigen und sicheren eID-Lösungen verfügen. Darüber hinaus ist die grenzüberschreitende Nutzbarkeit derartiger Dienste aufgrund der mangelnden Interoperabilität zwischen den von den einzelnen Mitgliedstaaten angebotenen Systemen begrenzt.

3.2.

Aus diesem Grund begrüßt der EWSA den neuen Vorschlag der Kommission für ein Instrument zur Änderung der eIDAS-Verordnung mit Blick auf die Schaffung eines Rahmens für eine europäische digitale Identität, mit dem die Verordnung an die aktuellen Markterfordernisse angepasst werden soll. Es wird davon ausgegangen, dass die im Kommissionsdokument vorgeschlagenen Lösungen dazu beitragen könnten, den Anteil der Nutzer digitaler Personalausweise auf bis zu 80 % oder sogar 100 % aller EU-Bürger und -Einwohner zu erhöhen.

3.3.

Der EWSA begrüßt insbesondere die Lösungen, die auf eine Erhöhung der Sicherheit der personenbezogenen Daten der Nutzer abzielen, indem der Ermessensspielraum bei der Weitergabe der Daten gewährleistet und die Möglichkeit geschaffen wird, Art und Umfang der den vertrauenden Beteiligten zur Verfügung gestellten Daten zu kontrollieren. Da die Mitgliedstaaten dem Vorschlag zufolge die Kontrolle über die Anbieter digitaler Dienste behalten, würden sie gewährleisten, dass sensible Datensätze (mit z. B. Informationen über Gesundheit, Religion und Weltanschauung, politische Meinungen, Rasse oder ethnische Herkunft) nur auf Antrag von Diensteanbietern bereitgestellt werden, nachdem der Identitätsinhaber im Einklang mit dem geltenden nationalen Recht eine Entscheidung in voller Kenntnis der Sachlage getroffen hat.

3.4.

Der EWSA weist darauf hin, dass der Zeitplan für das Inkrafttreten verschiedener Bestimmungen der neuen Verordnung recht optimistisch ist. Er fordert die Europäische Kommission auf, bei der Festlegung der endgültigen Fristen für die Anwendung auch zu berücksichtigen, dass die Dienstleister Zeit benötigen, um ihre IT-Systeme entsprechend den neuen Verpflichtungen umzurüsten. Der EWSA empfiehlt der Europäischen Kommission daher, zu prüfen, wie viel Zeit für die Umsetzung der neuen Verordnung tatsächlich benötigt wird, und den Zeitplan für ihre Anwendung so zu verlängern, dass Beeinträchtigungen des entsprechenden Markts vermieden werden. Beispielsweise müssen die bestehenden qualifizierten Vertrauensdiensteanbieter, die Fernsignaturen auf der Grundlage einer qualifizierten Fernsignaturerstellungseinheit anbieten, mit Inkrafttreten der Verordnung qualifizierte Anbieter für diesen speziellen Dienst werden. Sowohl die Umsetzung der technischen Aspekte als auch die Zulassung erfordern Zeit.

3.5.

Der EWSA stellt fest, dass die vorgeschlagene Digitalisierung von Dienstleistungen unabhängig von ihren Vorteilen auch dazu führen kann, dass Teile der europäischen Gesellschaft ausgeschlossen werden, insbesondere ältere Menschen, Menschen mit geringer digitaler Kompetenz und Menschen mit Behinderungen. Der EWSA ist sich der zentralen Rolle der Bildung der europäischen Bürger zur Verhinderung einer derartigen Ausgrenzung bewusst. Gleichzeitig sollte durch Bildung das Bewusstsein für den Schutz personenbezogener Daten geschärft werden.

4.   Rahmen für eine europäische digitale Identität (EUid-Rahmen): Verfügbarkeit und Anwendung nach Ermessen

4.1.

Der EWSA begrüßt das Vorhaben, bessere Lösungen für digitale Dienste anzubieten, die den Zugang nicht nur zu öffentlichen Diensten, sondern auch zu privatwirtschaftlichen Dienstleistungen erweitern. Darüber hinaus befürwortet der EWSA die Bemühungen der Europäischen Kommission, der überwiegenden Mehrheit der europäischen Bürgerinnen und Bürger einen EUid-Rahmen zur Verfügung zu stellen. Aufgrund der bestehenden Hindernisse für den grenzüberschreitenden Zugang zu eID-Diensten (z. B. mangelnde Interoperabilität zwischen den von den Mitgliedstaaten entwickelten eID-Systemen) nutzen viele EU-Einwohnerinnen und -Einwohner diese gar nicht. Die neuen Lösungen auf der Grundlage der Brieftaschen für die europäische digitale Identität (EUid-Brieftaschen) können dazu beitragen, dass vertrauenswürdige Online-Dienste für wenigstens 80 % der Europäerinnen und Europäer verfügbar werden.

4.2.

Daher unterstützt der EWSA den Vorschlag, die Mitgliedstaaten zur Ausstellung von EUid-Brieftaschen zu verpflichten. Den Nutzern sollen sie Folgendes bringen: (1) das sichere, für den Nutzer transparente und nachvollziehbare Anfordern und Erhalten, Speichern, Auswählen, Kombinieren und Weitergeben der erforderlichen gesetzlichen Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen, um sich on- und offline zur Nutzung öffentlicher und privater Online-Dienste zu authentifizieren, sowie (2) die Unterzeichnung von Dokumenten mit einer qualifizierten elektronischen und EU-weit akzeptierten Signatur.

4.3.

Darüber hinaus begrüßt der EWSA, dass sichergestellt werden soll, dass die EUid-Brieftasche gemäß den Bestimmungen des Anhangs I der Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates (3), der mit dem in Artikel 21 der Charta der Grundrechte der Europäischen Union verankerten Grundsatz der Nichtdiskriminierung in Einklang steht, Menschen mit Behinderungen gleichermaßen zugänglich gemacht wird. Um hier eine digitale Ausgrenzung zu verhindern, schlägt der EWSA vor, auf der Grundlage eines Multi-Stakeholder-Ansatzes und in Zusammenarbeit mit den entsprechenden Institutionen und nichtstaatlichen Organisationen, die Menschen mit Behinderungen vertreten, geeignete Lösungen auszuarbeiten.

4.4.

Positiv bewertet der EWSA weiterhin, dass es im Ermessen der Bürgerinnen und Bürger sowie der Einwohnerinnen und Einwohner liegen wird, ob sie eine EUid-Brieftasche nutzen wollen. Nach Auffassung des EWSA sollte auf die Nutzerinnen und Nutzer keinerlei Zwang zur Verwendung der Brieftasche beim Zugang zu privaten oder öffentlichen Dienstleistungen ausgeübt werden. Es sollte bei einer freiwilligen Nutzungsoption bleiben.

4.5.

Der EWSA begrüßt außerdem, dass die Nutzung der EUid-Brieftasche für die Nutzerinnen und Nutzer kostenlos und damit erschwinglich sein wird. Der EWSA fordert die Europäische Kommission jedoch auf, in der Verordnung nach weiterer Prüfung mit Blick auf die folgenden Aspekte Klarheit zu schaffen: i) die Kosten der Ausstellung für natürliche Personen, ii) die Kosten (Ausstellung und Nutzung) für juristische Personen und iii) die Kosten für die Hinzufügung von Attributen der digitalen Identität zu einer derartigen Brieftasche. Nach Ansicht des EWSA würde jede derartige Hinzufügung einen Vertrauensdienst darstellen, der für die Eigentümerin bzw. den Eigentümer der Brieftasche mit Unkosten einherginge.

5.   Nutzbarkeitsaspekte eines EUid-Rahmens

5.1.

Der EWSA begrüßt die Initiative der Europäischen Kommission zur Verbesserung der Nutzbarkeit elektronischer Identifizierungsmittel durch die Schaffung eines gemeinsamen EUid-Rahmens mithilfe grenzüberschreitend nutzbarer EUid-Brieftaschen.

5.2.

Dem Vorschlag zufolge kann die Nutzbarkeit durch die in dem neuen Artikel 12b der eIDAS-Verordnung vorgesehenen Mittel verbessert werden, die eine Reihe von Anforderungen an die Anerkennung von EUid-Brieftaschen enthalten. Diese richten sich nicht nur an die Mitgliedstaaten, sondern auch an private vertrauende Beteiligte, die Dienste erbringen, sowie an „sehr große Online-Plattformen“, die in Artikel 25 Absatz 1 des vorgeschlagenen Gesetzes über digitale Dienste definiert werden (4). Diesen neuen Bestimmungen zufolge sollte in einigen privaten Branchen (Verkehr, Energie, Bank- und Finanzdienstleistungen, soziale Sicherheit, Gesundheit, Wasserversorgung, Postdienste, digitale Infrastruktur, Bildung und Telekommunikation), bei denen nach nationalem oder Unionsrecht oder aufgrund vertraglicher Verpflichtungen eine starke Nutzerauthentifizierung für die Online-Identifizierung erforderlich ist, die Nutzung von EUid-Brieftaschen für die Erbringung von Diensten akzeptiert werden. Durch den Kommissionsvorschlag würde diese Anforderung somit auch für die sehr großen Online-Plattformen (z. B. soziale Netzwerke) gelten. Sie sollten die Nutzung von EUid-Brieftaschen in Bezug auf die Mindestattribute akzeptieren, die für die Authentifizierung bei bestimmten Online-Diensten erforderlich sind, wie etwa einen Altersnachweis.

5.3.

Der EWSA weist darauf hin, dass zur Sicherstellung einer breiten Verfüg- und Nutzbarkeit elektronischer Identifizierungsmittel, einschließlich EUid-Brieftaschen, private Anbieter von Online-Diensten (die nicht als „sehr große Plattformen“ gelten) in die Entwicklung der „Verhaltensregeln“ im Rahmen von Selbstregulierungsbemühungen einbezogen werden sollten. Dies soll eine breite Akzeptanz elektronischer Identifizierungsmittel ermöglichen. Die Europäische Kommission sollte dafür zuständig sein, die Wirksamkeit und Anwendbarkeit derartiger Bestimmungen für die Nutzerinnen und Nutzer von EUid-Brieftaschen zu bewerten.

6.   Aspekte der Rechtswirkung von EUid-Brieftaschen

6.1.

Der EWSA unterstützt den Vorschlag in Bezug auf die Verbesserung des Zugangs zu digitalen öffentlichen Diensten, auch mit Blick auf grenzüberschreitende Vorgänge.

6.2.

In dem vorgeschlagenen neuen Abschnitt 9 der eIDAS-Verordnung ist vorgesehen, dass eine in einem Mitgliedstaat ausgestellte qualifizierte elektronische Attributsbescheinigung in allen anderen Mitgliedstaaten als qualifizierte elektronische Attributsbescheinigung anerkannt wird.

6.3.

In Bezug auf das einzelstaatliche Recht, das in einigen Fällen erheblich voneinander abweichen kann, weist der EWSA jedoch darauf hin, dass die in einem Mitgliedstaat anhand authentischer Quellen bescheinigten Attribute auf die Bestätigung tatsächlicher Umstände beschränkt sein und keine Rechtswirkung in anderen Mitgliedstaaten entfalten sollten, es sei denn, die bescheinigten Attribute entsprechen dem nationalen Recht. Im Wesentlichen sollten analog zu den Bestimmungen der Verordnung (EU) 2016/1191 die vorgeschlagenen rechtlichen Lösungen nicht die in einem Mitgliedstaat erfolgende Anerkennung der rechtlichen Wirkung des Inhalts der von einem anderen Mitgliedstaat anhand authentischer Quellen bescheinigten Attribute berühren. Einige personenbezogene Daten (in Bezug auf die Religion oder Weltanschauung) könnten hier als Beispiel dienen. In einigen EU-Ländern kann diese Art von Information Rechtswirkung entfalten (bspw. beinhalten in Deutschland die zentralen Personendaten auch die Religionszugehörigkeit. Diese wiederum begründet die Pflicht zur Entrichtung der Kirchensteuer, ohne die eine kirchliche Heirat nicht möglich ist). Dies ist in anderen Ländern (so z. B. in Polen) nicht der Fall.

6.4.

Daher fordert der EWSA die Europäische Kommission auf, eine Klarstellung des Wortlauts von Abschnitt 9 in Erwägung zu ziehen. Es soll deutlich werden, dass die Anerkennung einer in einem anderen Mitgliedstaat ausgestellten qualifizierten elektronischen Attributsbescheinigung auf die Bestätigung der tatsächlichen Umstände mit Blick auf das jeweilige Attribut beschränkt ist und keine Rechtswirkung in anderen Mitgliedstaaten entfaltet — es sei denn, die bescheinigten Attribute entsprechen dem nationalen Recht.

7.   Sicherheitsaspekte

A.   Datenschutz im Rahmen der Grundrechte

7.1.

Der EWSA stellt fest, dass Bürgerinnen und Bürger sowie andere Einwohnerinnen und Einwohner aufgrund des fehlenden gemeinsamen EUid-Rahmens beim digitalen grenzüberschreitenden Austausch von Informationen über ihre Identität in den meisten Fällen Hindernissen begegnen. Insbesondere ist dann mit Hindernissen zu rechnen, wenn dieser Austausch sicher und mit einem hohen Datenschutzniveau stattfinden soll.

7.2.

Daher begrüßt der EWSA die Versuche zur Schaffung eines interoperablen und sicheren Systems auf der Grundlage von EUid-Brieftaschen, das den Informationsaustausch zwischen den Mitgliedstaaten u. a. in Bezug auf die Beschäftigungssituation oder soziale Rechte verbessern kann. In diesem Zusammenhang geht der EWSA davon aus, dass mit dem neuen EUid-Rahmen beispielsweise die Möglichkeiten für die grenzüberschreitende Beschäftigung rasch vergrößert werden und die automatische Gewährung sozialer Rechte ohne zusätzliche Antragsverfahren oder sonstigen Verwaltungsaufwand ausgeweitet werden kann.

7.3.

Aus Sicht des EWSA ist ein wirksamer Datenschutz das wichtigste Anliegen im Zusammenhang mit dem Schutz der Grundrechte. Insbesondere das Recht auf Privatsphäre und das Recht auf den Schutz personenbezogener Daten müssen geschützt werden.

7.4.

Daher unterstützt der EWSA voll und ganz die Anforderung, dass der EUid-Rahmen jedem die Mittel an die Hand geben wird, zu kontrollieren, wer Zugang zum eigenen digitalen Zwilling hat und auf welche Daten (auch seitens der Behörden) im Einzelnen zugegriffen werden kann. Wie im Vorschlag dargelegt, erfordert dies auch ein hohes Maß an Sicherheit bei allen Aspekten der Bereitstellung der digitalen Identität, einschließlich der Ausstellung einer EUid-Brieftasche und der Infrastruktur für die Erhebung, Speicherung und Offenlegung von Daten der digitalen Identität.

7.5.

In diesem Zusammenhang begrüßt der EWSA den Vorschlag, dass die Nutzerinnen und Nutzer das Recht haben, ihre Attribute selektiv offenzulegen, und zwar beschränkt auf diejenigen, die in einer bestimmten Situation erforderlich sind. In dem Vorschlag ist vorgesehen, dass die Nutzerinnen und Nutzer durch die EUid-Brieftasche in der Lage sein werden, selbst zu kontrollieren, wie viele Daten an dritte Beteiligte weitergegeben werden, und darüber informiert werden sollten, welche Attribute für die Erbringung eines bestimmten Dienstes erforderlich sind.

7.6.

Der EWSA unterstützt den Vorschlag, personenbezogene Daten in Bezug auf die Bereitstellung von EUid-Brieftaschen physisch und logisch von allen anderen bei den Ausstellern von EUid-Brieftaschen gespeicherten Daten zu trennen. Er begrüßt die Anforderung, der zufolge die Anbieter qualifizierter elektronischer Attributsbescheinigungen diese im Rahmen einer separaten juristischen Person erbringen müssen.

7.7.

Neben dem zu gewährleistenden wirksamen Datenschutz ist die Datenautonomie der Nutzerinnen und Nutzer ein entscheidender Punkt. In diesem Zusammenhang würde der EWSA auch die Schaffung eines EUid-Rahmens befürworten, der auf von den Mitgliedstaaten ausgestellten rechtlichen Identitäten und der Bereitstellung qualifizierter und nicht qualifizierter digitaler Identitätsattribute beruht.

7.8.

Der EWSA weist darauf hin, dass die Nutzerinnen und Nutzer im Sinne eines hohen Schutzniveaus ihrer Daten mehr Kontrolle über EUid-Brieftaschen erhalten sollten. Dazu gehört auch, dass rückverfolgt werden kann, wer auf sie zugegriffen hat. Zu diesem Zweck sollten die technischen Aspekte, die in den Beratungen nach der Annahme des Vorschlags festzulegen sind, die Einrichtung eines Registers umfassen, das es dem Nutzer ermöglicht, auf Anfrage jeden Zugriff auf seine Daten zu überprüfen.

B.   Sonstige Sicherheits- und Haftungsaspekte

7.9.

Gemäß dem Vorschlag sind in dem neuen EUid-Rahmen Mechanismen zur Verhinderung von Betrug und zur verpflichtenden Authentifizierung der Personenidentifizierungsdaten vorgesehen. Da der Vorschlag eine Bestimmung zur Überprüfung von Attributen anhand authentischer Quellen enthält, könnte er bspw. die Online-Sicherheit von Kindern verbessern, indem diese daran gehindert werden, an nicht altersgerechte Inhalte zu gelangen. Der EWSA stellt fest, dass derzeit ein derartiger wirksamer Schutz auf nationaler Ebene entweder nicht existiert oder aber extrem ineffektiv ist.

7.10.

Der EWSA begrüßt den Vorschlag, dass Webbrowser die Interoperabilität mit qualifizierten Zertifikaten für die Website-Authentifizierung gemäß der eIDAS-Verordnung sicherstellen und diese unterstützen sollten. Sie sollten qualifizierte Zertifikate für die Website-Authentifizierung erkennen und anzeigen, um ein hohes Sicherheitsniveau zu bieten, sodass Website-Eigentümer ihre Identität als Eigentümer einer Website belegen können und die Nutzer die Website-Eigentümer mit großer Gewissheit identifizieren können. Gleichzeitig hält der EWSA einfache, schnelle und wirksame Beschwerdeverfahren für notwendig. Sie sollen sicherstellen, dass eine Website, die fälschlicherweise als gefährlich gekennzeichnet wurde, wieder freigegeben wird. Für alle Fälle, in denen eine Website fälschlicherweise als gefährlich eingestuft wurde, sollten auch Haftungsvorschriften festgelegt werden.

7.11.

Der EWSA weist darauf hin, dass die Digitalisierung von Daten immer auch Sicherheitsfragen aufwirft. Insbesondere gilt dies für die Systeme zur Speicherung und Verarbeitung von Massendaten, die eine für Betrug und Datenverlust anfällige Informationsquelle darstellen. Der EWSA ist sich darüber hinaus auch der Tatsache bewusst, dass es derzeit kein vollständig wirksames Sicherheitssystem (d. h. frei von Lücken und Fehlern) gibt, das eine derartige Bedrohung vollumfänglich abwenden würde.

7.12.

Daher fordert der EWSA, dass die von den Mitgliedstaaten in Abstimmung mit der Kommission entwickelte technische Architektur des EUid-Rahmens durch Datensicherheits- und Datenkontrollmechanismen geschützt wird, um derartige unerwünschte Situationen im Zusammenhang mit den Nutzerdaten weitestgehend zu vermeiden. Solche Mechanismen sind beispielsweise für die Verwendung von Daten der Nutzerinnen und Nutzern wichtig, die für andere als für die ursprünglich vorgesehenen Zwecke erhoben wurden. Gleichzeitig ist der EWSA der Auffassung, dass die technische Architektur unter Berücksichtigung der Grundrechte und des Grundsatzes der Souveränität der Mitgliedstaaten entwickelt werden sollte.

7.13.

Der EWSA nimmt zur Kenntnis, dass laut Artikel 13 Absatz 1 der eIDAS-Verordnung Vertrauensdiensteanbieter für Schäden haften, die einer natürlichen oder juristischen Person vorsätzlich oder fahrlässig dadurch entstanden sind, dass die Vertrauensdiensteanbieter ihren Verpflichtungen aus dieser Verordnung und den Verpflichtungen in Bezug auf das Cybersicherheitsrisikomanagement nach Artikel 18 der vorgeschlagenen „NIS-2-Richtlinie“ (gemäß Kommissionsvorschlag) nicht nachgekommen sind. Diese Bestimmung sollte im Einklang mit den nationalen Haftungsvorschriften angewandt werden (Artikel 13 Absatz 3).

7.14.

Bezüglich der Haftung möchte der EWSA darauf hinweisen, dass Fragen im Zusammenhang mit der Definition des Begriffs „Schaden“, seiner Höhe und der fälligen Entschädigung durch das einzelstaatliche Recht geregelt werden. Nach diesen Vorschriften kann die Haftung von Vertrauensdiensteanbietern nach den einschlägigen Bestimmungen des einzelstaatlichen Rechts und der von den Anbietern festgelegten „Diensterbringungspolitik“ beschränkt werden.

7.15.

Der EWSA ist der Auffassung, dass den Nutzern von EUid-Brieftaschen für jede unerwünschte Situation mit Blick auf ihre Daten wie Datendiebstahl, Verlust, Offenlegung, Verwendung für nicht vorgesehene Zwecke usw. eine Entschädigung garantiert werden sollte. Eine derartige Haftung sollte unabhängig vom Verschulden des Anbieters alle genannten Situationen umfassen, d. h. unabhängig davon, ob der Anbieter vorsätzlich oder fahrlässig gehandelt hat.

7.16.

Jede Art von Diebstahl, unbefugter Weitergabe oder Datenverlust (insbesondere personenbezogener Daten) kann dem Besitzer langfristig schaden. Offengelegte digitale Informationen könnten langfristig von vielen Unternehmen gegen den Willen ihres Eigentümers erworben werden. Der EWSA fordert die Kommission und die Mitgliedstaaten auf, nach wirksamen Mechanismen, die den Dateneigentümern in derartigen Fällen Abhilfe bieten, zu suchen bzw. diese zu entwickeln.

7.17.

Die vorgeschlagenen Lösungen des neuen Systems werden die Diensteanbieter veranlassen, ihre elektronischen Sicherheitssysteme erheblich zu verbessern, auf ein wesentlich höheres Niveau zu bringen und dabei der Cybersicherheit besondere Aufmerksamkeit zu widmen. Der EWSA geht davon aus, dass dies mit erheblichen Kosten und einer Modernisierung der bestehenden IT-Infrastruktur verbunden sein wird. Die Belastung könnte für einige Dienstleister allerdings zu groß sein und sogar dazu führen, dass Dienstleister, die nicht in der Lage sind, in kurzer Zeit derartige Investitionen aufzubringen, von manchen Märkten verschwinden. Daher sollten die Kommission und die Mitgliedstaaten nach Ansicht des EWSA nach Lösungen suchen, die die entsprechenden Anbieter vor Diskriminierung schützen und einen „weichen“ Übergang ermöglichen, bspw. dadurch, dass die Möglichkeit besteht, innerhalb eines angemessenen Zeitraums die neuen Anforderungen in mehreren Phasen zu erfüllen.

---

(1)  Verordnung (EU) 2016/1191 des Europäischen Parlaments und des Rates vom 6. Juli 2016 zur Förderung der Freizügigkeit von Bürgern durch die Vereinfachung der Anforderungen an die Vorlage bestimmter öffentlicher Urkunden innerhalb der Europäischen Union und zur Änderung der Verordnung (EU) Nr. 1024/2012 (ABl. L 200 vom 26.7.2016, S. 1).

(2)  Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73).

(3)  Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates vom 17. April 2019 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen (ABl. L 151 vom 7.6.2019, S. 70).

(4)  COM(2020) 825 final.