In der analogen Realität ist es nicht allzu anstrengend, sich auszuweisen. Man klappt seine Brieftasche auf, dort befinden sich jede Menge Plastikkarten, über die man sich als Bürger, Patient, Kontenbesitzer und Kunde identifizieren kann. Im Internet hingegen legt man für jeden Webservice ein eigenes Konto mit Benutzername und Passwort an - eine eigene Brieftasche für jede elektronische Kundenkarte, wenn man so will. Aber bald soll das einfacher werden. Die Bürger sollen eine einheitliche digitale Identität erhalten. Eine elektronische Brieftasche für alle wichtigen persönlichen Daten und Dokumente, von der Geburtsurkunde bis zum Testament.
Ein Generalschlüssel zum digitalen Ich also. Aber, wie das mit Generalschlüsseln so ist: Was, wenn der in falsche Hände gerät? Und wer bekommt einen Zweitschlüssel? Solche Fragen kreisen um eines der wichtigsten digitalpolitischen Projekte des Jahres. Die Bundesregierung hat ambitionierte Pläne, die Kanzlerin macht hinter den Kulissen Druck. Und das ist auch gut so. Denn es gibt Konkurrenz.
Brauchen wird man diesen Generalschlüssel spätestens, wenn künftig immer mehr amtliche Dienste online verfügbar sein sollen. Um seinen Bürgern etwas auf digitale Weise zu bescheinigen, benötigt der Staat eine digitale Kopie des Bürgers, eine digitale Identität also, der er diese Bescheinigungen zuordnen kann. Allerdings wollen die meisten Menschen nicht kopiert werden, schon gar nicht digital. Bislang umschiffen die Behörden dieses Problem, indem sie nur umständlich über Papier kommunizieren und das Datenschutz nennen. Je weiter aber die Digitalisierung voranschreitet, desto mehr wird der Staat dadurch zum Flaschenhals in potenziell automatisierbaren Prozessen. Papierzertifikate anfordern, scannen und hochladen, die Bestätigungsschleifen durch Ämter, die in Wartezimmern verbrannte Zeit - all das kostet Nerven. Die deutsche Wirtschaft kostet es jährlich hohe Milliardensummen. Das im Jahr 2030 mögliche Einsparpotenzial sieht eine Studie des Beratungskonzerns McKinsey für unterschiedliche Länder bei drei bis 13 Prozent des Bruttoinlandsprodukts.
16 Jahre hat es gedauert, mit der elektronischen Patientenakte eine zusammenhängende digitale Identität für das Gesundheitswesen zu schaffen - vorerst aber geht der Streit um sie weiter. Auch weil die Authentifizierungsverfahren aus Sicht des Bundesdatenschutzbeauftragten nicht sicher genug sind. Es hakt also daran, dass auch diese Teilidentität nicht mit einer sicheren digitalen Brieftasche verknüpft ist. Die Finanzämter wiederum entwickeln mit "Elster" eine eigene Steueridentitätslösung. Und die Schüler sollen einen digitalen Schülerausweis bekommen - voraussichtlich Ende 2024. All diese Insellösungen müssten dringend miteinander verknüpft werden, damit nicht jeder Sektor das Rad neu erfindet und am Ende viele halbgute Lösungen herauskommen. Wenn man irgendwann 15 Apps für staatliche Leistungen auf dem Handy hat, von denen acht eine von deutschen Behörden konzipierte Benutzerführung haben, während man sich von fünf weiteren erst die vergessenen Zugangsdaten per Post zuschicken lassen müsste, dann gehen wohl viele Menschen lieber weiter persönlich aufs Amt.
Oder sie nutzen einen Identitätsdienstleister, um sich auszuweisen. Dessen Mitarbeitern zeigen sie über die Webcam einmalig ihre Ausweise, Dokumente und Nachweise vor, anstatt das, wie heute, immer wieder erneut tun zu müssen. Das Unternehmen speichert diese Informationen und beglaubigt sie fortan, wenn der Kunde sie vorzeigen muss. Neben dem Login-Button für das Onlinekonto bei der jeweiligen Behörde stünden dann weitere Buttons, um sich über verschiedene Identitätsdienstleister auszuweisen. Möglicherweise stünden dort auch die Namen der großen Digitalkonzerne. Fast jeder besitzt eine Apple ID, ein Konto bei Google oder Facebook. Auf immer mehr Websites kann man sich mit diesen Accounts auszuweisen, um sich die lästigen Registrierungen und das Jonglieren von Passwörtern zu ersparen. Vielleicht klickt man irgendwann auch beim digitalen Behördengang und, wer weiß, beim Wählen auf "Login with Google".
Keine Stelle soll den Überblick erhalten
Es geht also um elementare Fragen: Welche Rolle hat der Staat im digitalen Zeitalter? Ende vergangenen Jahres trommelte das Bundeskanzleramt Vertreter von Bahn, Lufthansa, Banken, der Telekom, Mobilfunkanbietern, Hotelketten und Onlinehändlern zusammen. Sie sollen, so der Wunsch der Bundeskanzlerin an die versammelten Wirtschaftsführer, ein "Ökosystem digitaler Identitäten" entwickeln - eine gemeinsame technische Schnittstelle, über die man sich als Nutzer ihrer verschiedenen Dienste digital ausweisen kann. In diese elektronische Brieftasche will auch der Staat seine Ausweise und Bescheinigungen integrieren. Der bei den Logins anfallende Datenschatz - wer hat sich wann bei welcher Stelle ausgewiesen? - soll aber nicht der Obhut eines einzigen Unternehmens übergeben werden, auch keiner Behörde. Das "Ökosystem" als Ganzes soll sich als vertrauenswürdige Alternative zu den Superservices aus dem Silicon Valley etablieren. Ein dezentrales System gegen die zentral auf den Servern der Konzerne zusammenlaufenden Datenströme.
Damit bekennt sich die Bundesregierung zu einer Vision, für die Netzaktivisten seit Jahren werben: die digitale "Self-Sovereign Identity". Keine Stelle, so die Idee, erhält den Überblick über das System, in dem Identitätsnachweise und Bescheinigungen zwischen Personen, Unternehmen und irgendwann auch Dingen zirkulieren. Die Schufa beispielsweise bekommt ausgewählte Zahlen der Bank, wenn der Betreffende sie freigibt, braucht aber nichts von dessen Kundenkonto bei einem Online-Erotikshop oder seinen Punkten in Flensburg zu wissen. Erst in der elektronischen Brieftasche läuft alles zusammen. Das Bundeskanzleramt setzt dafür auf speziell gesicherte Speicherchips in künftigen Handymodellen, außerdem auf die Distributed-Ledger-Technologie, gemeinhin als "Blockchain" bekannt. Sie ermöglichet es, Daten zu signieren, damit sie später nicht gefälscht werden können. Es wäre das erste Mal, dass diese Hype-Technologie mit der Masse der Menschen in Berührung kommt.
Ziemlich schnell soll das alles gehen. Im Frühjahr läuft ein Pilotprojekt mit den Hotelketten Motel One, Steigenberger und Lindner an, erste Geschäftsreisende können sich dann beim Check-in per App und QR-Code ausweisen. Im zweiten Halbjahr sollen weitere Anwendungsfälle hinzukommen. Parallel startet ab Juni ein Feldversuch des Bundeswirtschaftsministeriums. Es fördert mit insgesamt 45 Millionen Euro drei Modellprojekte unterschiedlicher öffentlich-privater Konsortien, die in sogenannten "Schaufenster-Regionen" lokale Ökosysteme von Identitäten erproben sollen. Sie alle verfolgen die Prinzipien der "Self-Sovereign Identity". Und sie sollen technisch ineinander überführbar sein: Sobald sich ein Standard durchsetzt, können die Nutzer mit den Inhalten ihrer elektronischen Brieftaschen dorthin umziehen.
Das System lernt seine Nutzer kennen
Auch in Brüssel beschäftigt man sich mit dem Thema. EU-Kommissionspräsidentin Ursula von der Leyen kündigte bei ihrer Rede zur Lage der Union im vergangenen September eine "sichere europäische Identität" an, die man im Alltag "vom Steuerzahlen bis zum Fahrradfahren" nutzen können soll. Die Bürger sollen "selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden" - das klingt sehr nach den Ideen aus dem Bundeskanzleramt. In verschiedenen anderen Mitgliedstaaten existieren bereits öffentlich-private Partnerschaften zum Austausch digitaler Identitäten. Deutschland hat sich Zeit gelassen, will aber nun offenbar die Standards für Datenschutz und individuelle Datensouveränität setzen.
Denn sonst tun es andere. Etwa "ID2020", eine Allianz um den Konzern Microsoft, unterstützt von der US-Regierung. Sie arbeitet an einer transnationalen digitalen Identität, die möglicherweise im Zusammenhang mit Impfungen vergeben werden soll. Oder das Projekt "Known Traveller Digital Identity", ein von der kanadischen und niederländischen Regierung unterstütztes Konsortium aus Airlines und Flughäfen. Dessen Plan ist, dass sich ab dem Sommer bis zu zehntausend Flugreisende "nahtlos" digital ausweisen können - mit ihrem Gesicht. Nur ein einziges Mal zeigen sie noch ihren Reisepass vor, ein Beamter speichert die darauf enthaltenen Daten ab. Auch die biometrischen Daten.
Der Reisende kann fortan an der Passkontrolle vorbeigehen, denn das System kennt ihn bereits. Mit jeder Reise sammelt er weitere digitale Passstempel, das System lernt ihn also immer besser kennen. Irgendwann sollen möglicherweise weitere Dokumente wie Meldebescheinigungen, Hochschulabschlüsse und Impfnachweise darin integriert werden, das System des transnationalen "Vertrauens" sich wandeln in ein umfassenderes Konzept, "wie Sicherheitsentscheidungen getroffen werden", so heißt es vage in der Projektbeschreibung.
"Verwertbare polizeiliche Informationen, einschließlich biometrischer Daten, zur richtigen Zeit in die richtigen Hände zu bekommen, ist Interpols Priorität", lässt sich Interpol-Generalsekretär Jürgen Stock dort zitieren. Neben seiner Behörde stehen auch das US-amerikanische Department of Homeland Security und die britische National Crime Agency hinter dem Projekt.
Biometrische Informationen, in staatliche Überwachungssysteme integriert, sind brandgefährlich. Die Gesetze, die sie überwachen sollen, können sich ändern. Trotzdem schreibt sich auch die "Known Traveller Digital Identity" auf die Fahnen, den Nutzern die Kontrolle über ihre Daten zu überlassen. Die Daten sollen dezentral auf einer Blockchain-Datenbank festgeschrieben werden, in verschlüsselter Form, so dass nur ihr Besitzer Zugriff auf sie hat. Theoretisch könnte er sich weigern, sie herauszugeben, wenn ein Beamter danach fragt. In der Praxis dürfte er sich damit aber in Schwierigkeiten bringen - wenn sich das System einmal etabliert hat, das ihn kennt, ihn aber gern noch etwas besser kennenlernen würde. Auch die oft als Heilsbringer besungene Blockchain-Technologie ist kein Garant für eine digital selbstbestimmte Welt. Die Frage ist viel simpler, politischer: Wer bestätigt, dass man ist, wer man ist?
Dass mit einem Tross deutscher Behörden an Bord allzu hastig technische Antworten auf diese Frage gefunden werden könnten, bei denen die elektronische Brieftasche womöglich doch in falsche Hände gerät, steht nicht zu befürchten. Wobei die Frage bleibt, ob das wirklich ein Anlass zur Beruhigung ist. Wenn sich andere Standards schneller durchsetzen als die des deutschen Staates, entscheiden nicht mehr die Parlamente über den digitalen Bürger.
