Regulatorisch ist die Zukunft digitaler Identitäten in Europa nicht nur durch die Novelle der eIDAS-Verordnung, sondern auch durch das kürzlich vom EU-Parlament verabschiedete Gesetzespaket über Digitale Märkte (DMA) und Digitale Dienste (DSA) geprägt. In diesem Beitrag widmen wir uns deren Bedeutung für die Entwicklung digitaler Identitäten im globalen Wettbewerb der Technologieplattformen.
Worum geht es in DMA und DSA?
Beide Gesetze schaffen gemeinsam einen umfassenden Rechtsrahmen für digitale Dienste in der EU.
Der DMA führt ex-ante-Regelungen für sogenannte „Gatekeeper“ der digitalen Wirtschaft ein, um für mehr Fairness und Transparenz im Wettbewerb auf dem EU-Binnenmarkt zu sorgen.
Der DSA führt neue Pflichten für Anbieter digitaler Dienste ein, die in ihrer Rolle als Vermittler zwischen Verbraucher:innen und Waren, Dienstleistungen und Inhalten agieren („Intermediäre“). Dazu gehören insbesondere Maßnahmen zur Bekämpfung illegaler Online-Inhalte und eine Verbesserung der Aufsicht über die Inhaltepolitik der Plattformen, sowie eine Stärkung der Position von Nutzer:innen gegenüber den Plattformen.
DMA schafft neue Verpflichtungen für Gatekeeper
Insbesondere der DMA schafft für Technologieplattformen neue Verpflichtungen für die diskriminierungsfreie Nutzung von Identitätsdiensten, weshalb wir uns im Folgenden auf diesen Rechtsakt konzentrieren werden.
Ziel des DMA ist es, gleiche Wettbewerbsbedingungen für alle Akteure auf digitalen Märkten der EU zu gewährleisten (hier die aktuelle Version des Gesetzestextes). Seine Regeln sollen verhindern, dass sogenannte „Gatekeeper“ sich durch ihre Marktdominanz unlautere Vorteile gegenüber Konkurrenten verschaffen. „Gatekeeper“ sind große digitale Plattformen, die aufgrund ihrer Marktmacht und ihrer Netzwerkeffekte den Zugang zu digitalen Märkten kontrollieren.
Dazu gehören unter anderem Anbieter von Online-Vermittlungsdiensten wie Online-Marktplätzen oder App-Stores, Online-Suchmaschinen, sozialen Netzwerken, Betriebssystemen, Clouddiensten.
Die Bestimmung der Gatekeeper erfolgt anhand definierter Kriterien (vgl. Art. 3 Abs. 2 DMA, die folgende Wiedergabe ist eine Zusammenfassung), nach denen diese
- eine starke wirtschaftliche Position mit erheblichen Auswirkungen auf den EU-Binnenmarkt innehaben (zum Beispiel bei einer durchschnittlichen Marktkapitalisierung von mindestens 75 Milliarden Euro im vergangenen Geschäftsjahr) und ihren zentralen Plattformdienst in mindestens drei EU-Mitgliedstaaten betreiben
- über eine starke Vermittlungsposition verfügen (wenn diese eine große Nutzerbasis mit mehr als 45 Millionen monatlichen Endnutzer:innen in der EU haben und eine große Anzahl von mehr als 10 000 in der EU niedergelassenen Unternehmen im vergangenen Geschäftsjahr verbunden haben)
- und eine aktuell oder zukünftig gefestigte und dauerhafte Marktstellung aufweisen.
Darunter dürften zwischen 10 und 15 Unternehmen wie beispielsweise Amazon, Apple, Google oder Meta, fallen.
Diese Unternehmen dürfen laut DMA eigene Produkte und Dienstleistungen nicht mehr bevorzugen und müssen Nutzer:innen die Deinstallation von Software und Apps sowie den Kontakt zu Anbietern außerhalb der Plattform ermöglichen. Personalisierter Werbung müssen Nutzer:innen zukünftig ebenfalls explizit zustimmen. Solche Praktiken hatten die EU-Institutionen zuletzt z.B. in den Google-Shopping- und Google-Android-Entscheidungen oder den Ermittlungen gegen Amazon wegen möglicher missbräuchlicher Verwendung von Transaktionsdaten sanktioniert. Bei einem Verstoß gegen die Vorgaben kann die EU-Kommission Bußgelder von bis zu 20 Prozent des Jahresumsatzes gegen die Unternehmen verhängen.
Bedeutung des DMA für digitale Identitäten
Was bedeuten dieser sehr umfassenden Rechtsakte nun im Konkreten für digitale Identitäten? Zunächst einmal stärken beide Gesetze die Rechte individueller Nutzer:innen und deren Durchsetzung gegenüber Plattformen. Insbesondere der DMA stärkt zudem die Durchsetzung der Interoperabilität von Plattformdiensten und zugehörigen Hard- und Softwarefunktionen.
Der DMA geht explizit auf Identifizierungsdienste ein, welche er als eine Art von Diensten definiert, die, ähnlich wie Bezahldienste, „zusammen mit oder zur Unterstützung von zentralen Plattformdiensten“ erbracht werden und „eine Überprüfung der Identität von Endnutzern oder gewerblichen Nutzern ermöglich[en], unabhängig von der verwendeten Technologie“ (vgl. Art. 2 Nr. 19 DMA).
Ein Gatekeeper darf gewerbliche Nutzer, die über seine zentralen Plattformdienste einen Dienst anbieten, laut DMA nicht dazu verpflichten, in diesem Kontext einen Identifizierungsdienst des Gatekeepers zu nutzen, anzubieten oder mit ihm zu interoperieren (Art. 5 Abs. 7 DMA). Nehmen wir also an, ein Diensteanbieter bietet über eine zentrale Plattform eines Gatekeepers wie Google oder Apple eine Mobilitäts-App für Endnutzer:innen an. In diesem Fall soll der Anbieter der Mobilitäts-App selbst entscheiden dürfen, welche Identifizierungsdienste er Endnutzer:innen anbietet, vielleicht sogar einen eigenen.
EU-weite verpflichtende Interoperabilität von Lösungen
Hinzu kommt eine weitere Verpflichtung für Gatekeeper gegenüber gewerblichen Nutzern und alternativen Anbietern von Diensten wie Identifizierungsdiensten. Sie müssen diesen “kostenlos wirksame Interoperabilität mit und – Zugang für Zwecke der Interoperabilität zu – denselben Betriebssystem-, Hardware- oder Software-Funktionen ermöglichen“, die der Gatekeeper selbst für die Erbringung dieser Dienste zur Verfügung hat oder verwendet (vgl. Art. 6 Abs. 7 DMA).
Diese Verpflichtung steht unter einem Vorbehalt: Der Gatekeeper soll in diesem Kontext nicht daran gehindert sein, „unbedingt erforderliche und angemessene Maßnahmen“ zu ergreifen, um sicherzustellen, dass die oben genannte Interoperabilität die Integrität des Betriebssystems und dieser Hardware- oder Softwarefunktionen des Gatekeepers nicht beeinträchtigen. Der Gatekeeper muss diese Maßnahmen hinreichend begründen (Vgl. Art. 6 Abs. 7 DMA).
Tatsächlich können sich durch Veränderungen sicherheitskritischer Funktionen Risiken ergeben, wie wir im nächsten Abschnitt weiter ausführen.
Da Gatekeeper wie Google und Apple ihre eigenen Lösungen für digitale Identitäten und „Wallets“ aktuell stetig ausbauen, ist diese Verpflichtung zur Interoperabilität besonders interessant. Apple beispielsweise bietet in Kooperation mit einigen US-Staaten digitale Führerscheine über seine Wallet-Lösung an und stützt sich dabei auf den mobile driver’s license Standard ISO 18013-5. Auch Google baut sein Wallet auf dieser Grundlage zur Verwaltung von Identitätsnachweisen und dem digitalen Führerschein weiter aus.
Denkbar wäre somit, dass Apple und Google unter bestimmten Bedingungen Anbietern von den unter dem eIDAS 2-Verordnungsentwurf geplanten EU Digital Identity (EUDI)-Wallets den Zugang zu und Interoperabilität mit ihren entsprechenden Betriebssystemen, Soft- und Hardware-Funktionen gewährleisten.
Verknüpfung zwischen DMA und eIDAS-Verordnung: Zugang zum Sicherheitselement?
In einer rechtlich nicht bindenden Passage nimmt der eIDAS 2-Verordnungsentwurf explizit Bezug auf die Interoperabilitäts-Verpflichtung des DMAs (vgl. Erwägungsgrund 21). Er stellt fest, dass gewerbliche Nutzer und Erbringer von Nebendienstleistungen wie Identifizierungsdiensten im Einklang mit dem DMA in der Lage sein sollten, auf „Hardware- oder Software-Funktionen, wie etwa sichere Elemente in Smartphones, zuzugreifen und mit ihnen über die [EUDI-Wallets] oder die notifizierten elektronischen Identifizierungsmittel der Mitgliedstaaten zu interagieren“.
Wäre diese Verpflichtung rechtlich bindend in der aktualisierten eIDAS-Verordnung verankert, könnte sie Anbietern von EUDI-Wallets oder notifizierten eID-Mitteln eine potenzielle Grundlage bieten, auf Hard- und Softwarekomponenten wie sicheren Elementen (SEs) in Mobilgeräten zuzugreifen.
Es gilt dabei jedoch zu berücksichtigen, dass die SEs immer Teil einer spezifischen Sicherheitsumgebung der Hersteller sind, welche nicht für beliebige Teilnehmer geöffnet werden sollte. Potenziell ergäben sich daraus Sicherheitsrisiken. Darauf weist auch die oben zitierte Passage aus dem Art. 6 Abs. 7 DMA hin, nach der Gatekeeper erforderliche und verhältnismäßige Maßnahmen zur Wahrung der Integrität von Hardware- oder Softwarefunktionen des Gatekeepers ergreifen können. Ein solcher Zugriff müsste nur auf Lösungen beschränkt sein, die die Sicherheitsanforderungen der Hersteller in Kooperation mit ihnen einhalten und dahingehend geprüft sind.
Festzulegen bleibt außerdem, über welche technisch standardisierten Schnittstellen der diskriminierungsfreie Zugang zu entsprechenden Elementen erfolgen sollte.
Der Zugriff auf ein SE in Mobilgeräten oder auf die eSIM ist beispielsweise für die Implementierung der deutschen Smart-eID notwendig. Mit Samsung hat die Bundesregierung bereits eine Kooperation zur Nutzung des SE der Geräte der Galaxy S20-Serie erzielt. Damit wäre die Smart-eID aktuell jedoch auf nur wenigen Geräten nutzbar und ihre Verbreitung sehr eingeschränkt.
Aktuell steht die Bundesregierung mit Geräteherstellern wie Apple für Kooperationen in Verhandlungen, mit denen sie eine wesentlich größere Verbreitung erzielen könnten.
Eine rechtlich bindende Verankerung des Inhaltes des Erwägungsgrundes 21 einer aktualisierten eIDAS-Verordnung könnte die Verhandlungsposition von EU-Mitgliedstaaten gegenüber Gatekeepern für die Integration sicherer Identifizierungslösungen stärken.
Isabel Skierka
Leiterin des Fachteams Recht und Politik in der Begleitforschung