Am 21. Mai 2024 ist mit der novellierten Electronic Identification, Authentication and Trust Services-Verordnung (kurz: eIDAS-Verordnung 2.0) ein „Meilenstein für Digitales Europa” in Kraft getreten. Neben weiteren Vertrauensdiensten bringt diese für EU-Bürger das Angebot, eine kostenlose Smartphone-„Brieftasche” mit elektronischem Ausweis und Signaturfunktion grenzüberschreitend zu nutzen.
Dieses sogenannte European Digital Identity Wallet (kurz: EUdi-Wallet) ermöglicht Privatpersonen, ihre digitalen Nachweise - vom Reisepass über den Führerschein bis zum Personalausweis, von der Krankenversicherungskarte übers Hochschulzeugnis bis zum Konzertticket - nicht nur bequem über das Smartphone zu verwalten. Bürger können sich außerdem damit gegenüber Behörden, Bildungseinrichtungen, Banken oder Reiseveranstaltern digital und selbstbestimmt in jedem Land der Europäischen Union identifizieren. Die Ausweis- und Signaturfunktion soll Verwaltungs- und Geschäftsprozesse vereinfachen sowie beschleunigen. Da eIDAS fest in die Datenschutzgrundverordnung (DSGVO) sowie in den Europäischen Rechtsakt zur Cybersicherheit (Cyber Security Act) integriert ist, bleiben zudem die Daten geschützt.
Deutsches Konsortium liefert technische Standards
Das deutsche Bundesministerium des Innern (BMI) arbeitet im Rahmen des Architektur- und Konsultationsprozesses bereits an der Umsetzung der Verordnung. Denn: „Bis 2026 müssen alle Mitgliedstaaten diese Wallet fertig haben und Bürgerinnen und Bürgern zur Verfügung stellen“, weiß Helge Michael, CEO und Geschäftsführer Lissi GmbH und Konsortialführer IDunion Forschungsprojekt. Letzteres war maßgeblich an der Entwicklung der technischen Standards des EUDI-Wallets beteiligt: „Viele der technischen Bausteine für die EUDI-Wallet gehen auf Forschungs- und Entwicklungsaktivitäten in IDunion zurück“, erklärt er.
Ursprünglich war das Ziel des Forschungsprojekts, das durch das Bundeswirtschaftsministerium im Rahmen des Innovationswettbewerbs „Schaufenster Sichere Digitale Identitäten“ mit 15,6 Millionen Euro gefördert wurde, ein auf Blockchain basierendes Ökosystem für dezentrale Identitätsverwaltung (Self-Sovereign Identity, SSI) zu schaffen. Nachdem sich das BMI im Juni 2023 im Diskussionspapier Beyond EU Digital Identity Wallet allerdings gegen den Einsatz von Blockchain zur Identitätsverwaltung ausgesprochen hatte, orientierte das Projektteam die Projektausrichtung neu: „Wir haben uns dazu entschieden, die Daten für Anwendungsfälle mit natürlichen Personen nicht in einer Blockchain, sondern auf verschiedenen föderierten Datenspeichern abzulegen.”, erklärt Michael, „Grundsätzlich kann jeder Anbieter einen eigenen Datenspeicher zur Verfügung stellen, gegen den geprüft werden kann. Das kann etwa ein klassisches Datacenter oder eine Cloudumgebung sein. Das System bleibt dabei weiterhin dezentral.”
Zum Einsatz kommt dabei die OpenID4VC-Protokollfamilie, auf deren Grundlage die Partner bereits seit 2021 als „kleines Side-Projekt und mögliche Backup-Lösung“ entwickelt hatten. Dass die EU diese Protokolle später in das eIDAS 2.0 Architecture Reference Framework (ARF) integriert hat, bestätigt unsere Expertise und die Vielfalt der Herangehensweise an die technische Lösung", erklärt der Leiter des Forschungsprojekts. Um zudem das „Zusammenwachsen von verschiedenen Projekten in Deutschland und Europa unter dem eIDAS-Dach zu fördern“, entschieden die Partner beim IDunion Summit im selben Jahr einstimmig, auf den neuen technischen Standard (Anm.: Tech Stack 2.0) umzustellen. So wurde „aus dem kleinen Side-Projekt ein großes Projekt“, wie Michael ergänzt.
Weniger Technologie-Exploration, mehr Umsetzung?
Obwohl sich diese Entscheidung spätestens seit der Verabschiedung der eIDAS-Verordnung als richtig erwies, stellte sie doch eine Herausforderung dar: Seit April 2021 hatten die 15 Konsortialpartner von IDunion nämlich bereits an Anwendungsfällen gearbeitet, denen Tech Stack 1.0 zugrunde lag. An über 40 verschiedenen SSI-basierten Pilotanwendungen in den unterschiedlichsten Bereichen wurde in den letzten Jahren geforscht: von Bildung über eGovernment, Banken, Finanzen bis hin zu Mobilität und Gesundheit. Dass diese Projekte auf Tech Stack 2.0 und damit das neue eIDAS Framework umgestellt werden sollten, verzögerte deren Realisierung. So wurde der SSI-basierende Smart Check-Out technologisch neu aufgesetzt, nennt Michael ein Beispiel. Dabei sollen beim Online-Shopping Versandadressen, Zahlungsdaten oder auch Bonuskarten einfach beim Bestellvorgang, etwa über einen QR-Code auf der Website des Onlineshops, an den Verkaufenden gesendet werden können. Der Bezahlvorgang läuft automatisch im Hintergrund ab, und der Verkaufende kann die als Verifiable Credentials gespeicherten Adressdaten verifizieren. Zudem wird daran gearbeitet, ein direktes Payment-Verfahren in die Wallet einzubringen - ähnlich wie Google oder Apple Wallet.
„Wir dachten, wir kämen mit den echten Anwendungen schneller ans Ziel“, beschreibt Helge Michael das „interessante learning“, „doch in den letzten Jahren haben sich die technologischen Entwicklungen überschlagen“. So musste der ursprüngliche Plan „weniger Technologie-Exploration, mehr Umsetzung“ zugunsten der technologischen Pionier-Arbeit ad acta gelegt werden. Zumindest temporär. „Die Umsetzung kommt“, verspricht der Konsortial-Leiter —und zwar schon Ende des Jahres.
Der Digitale Studi-Ausweis
„Die TU Berlin plant als eine der ersten deutschen Hochschulen einen digitalen Studierendenausweis zunächst im Rahmen eines Pilot-Betriebs mit begrenzter Teilnehmer:innenzahl einzuführen”, erklärt Dipl. Inform. Thomas Gebhardt von der Zentraleinrichtung Campusmanagement, Abteilung für Identitäten, Integration und Innovation. Schon im 3. Quartal 2024 sollen die ersten Studierenden einen digitalen Ausweis erhalten können. „Neben der graphischen Darstellung des Ausweises (normale Sichtfunktion) wird über die Wallet die Anmeldung am Web Portal der TU Berlin möglich sein”, sagt der stellvertretende Abteilungsleiter, „weiterhin wird damit die zukünftige Nutzung von weiteren verifizierbaren Nachweisen (verified credentials) unterstützt und eine Infrastruktur für die im Rahmen der eIDAS 2.0 Verordnung kommenden EUdi-Wallets aufgebaut.” Im Vollbetrieb sollen sich die rund 35.000 Studierenden mithilfe des Digitalen Studi-Ausweises in ihrem Mobile Wallet einfach für Prüfungen anmelden, Zugang zu Gebäuden der Universität bekommen oder Bücher ausleihen können. In der digitalen „Brieftasche“ könnten sie zudem ihr Semesterticket, die Mensakarte oder die Zugangsdaten zur Prüfungsplattform speichern.
Ein anderes Pilotprojekt konnte an der TU Berlin hingegen noch nicht umgesetzt werden: Die geplante Implementierung von digitalen Sprachzertifikaten mit dem Moodle Plugin verzögert sich noch. Derzeit müssen Studierende Formulare im PDF-Format ausfüllen, damit ihnen die ZEMS (Zentraleinrichtung Moderne Sprachen) einen Sprachnachweis ausstellen kann. Um dieses Prozedere zu vereinfachen, hat das Fachgebiet Service-centric Networking, das Teil des IDunion Konsortiums ist, ein Plugin für Moodle erstellt, mit dessen Hilfe Nachweise über die erfolgreiche Teilnahme an einem Sprachkurs exportiert werden können. „Mittels unserer Lösung können Studierende ihre Nachweise selbständig herunterladen“, erklärt Research Assistant Philipp Raschke in der Abteilung T-Labs, „Das individuelle Anfertigen eines Nachweises fällt damit weg.“ Zudem können andere Einrichtungen, die ebenfalls Sprachkurse anbieten und gegebenenfalls ein bestimmtes Sprachniveau für einen bestimmten Kurs voraussetzen, diese digitalen Sprachnachweise verifizieren und automatisiert überprüfen, ob ein gefordertes Sprachniveau bescheinigt wurde. „Dies soll die Studierendenmobilität fördern“, weiß Raschke und kennt noch ein weiteres großes Potenzial: Beim Vorlegen eines Nachweises in einer anderen Einrichtung können nur bestimmte und für die Verifizierung relevante Information des Nachweises offengelegt werden, während andere Information nicht geteilt werden. Entsprechend groß sei das Interesse seitens der ZEMS gewesen. Aufgrund von Personalmangel im administrativen Bereich könne allerdings bis zum Ende des Forschungsprojekts IDunion kein Pilotbetrieb stattfinden.
Von der Finalisierung des Plugins hält das Raschke und seine Kollegen aber nicht ab. Im Laufe des Jahres soll der digitale Sprachnachweis im Moodle-Plugin-Store veröffentlicht werden. „Dann könnten auch andere Einrichtungen, die die Moodle-Software verwenden, digitale Sprachnachweise mittels unserer Lösung ausstellen“, hoffen sie.
Von Mitarbeiter- bis Büchereiausweis
Auch weitere Anwendungsfälle von IDunion sind hinsichtlich ihrer Umsetzung in den Startlöchern. Ein „sehr schöner Prototyp” war laut Helge Michael etwa ein Mitarbeiterausweis für die DATEV - das Softwarehaus für Steuerberater, Rechtsanwälte, Unternehmen, Wirtschaftsprüfer. Zur Zeit von COVID-19 konnten Mitarbeitende nur mit einem Negativ-Test das Büro-Gebäude betreten. „Mitarbeiterausweise in jeglicher Form werden kommen”, bekräftigt der Projektleiter. Ebenso zeitnah ausgerollt werden könnten Büchereiausweise oder kommunale Datenkarten, mit denen sich Bürger einer Stadt bei kommunalen Services anmelden, soziale Berechtigungen erhalten oder kulturelle Angebote wahrnehmen können. Die eIDAS Regulierung sieht vor, dass bald auch Bankkonten mit Hilfe der Digitalen Identität eröffnet werden können und mit diesen sogar bezahlt werden könnte.
DPP - Digitaler Produktpass
Das Gleiche gilt auch für eine weitere Anwendung, mit der sich IDunion beschäftigt hat: Der Digitale Produktpass (DPP). Denn nicht nur Identitäten von Personen sollen künftig digital verwaltet und genutzt werden. Zur Erfüllung des europäischen Green Deals müssen in Zukunft Güter identifiziert und Nachweise über die Nachhaltigkeit und Kreislaufwirtschaft bei deren Produktion erbracht werden. Allerdings bringt „der digitale Produktpass für einige Produktgruppen starke regulative Anforderungen mit sich”, weiß Dr. Andreas Füssler, Leiter Sonderprojekte/-themen beim IDunion-Partnerunternehmen GS1 Germany GmbH. Dazu zählen etwa Batterien, Spielzeuge, Waschmittel, Textilien, Elektrokleingeräte oder auch Stahl- und Baustoffe. Eben diese „regulatorischen Anforderungen sind noch nicht finalisiert.” Zudem brauche es produktübergreifende Standards und Normen für den DPP. Deren Entwicklung soll bis 2025 abgeschlossen sein.
Noch bevor es soweit ist, hat das Konsortium von IDunion den Einsatz von verifiable credentials in der Umsetzung des digitalen Produktpasses erforscht. „Es ist eine wichtige Anforderung für den Erfolg”, ist Füssler von der Sinnhaftigkeit des „Vorreiter-Projekts” überzeugt. Schließlich soll in vielen Bereichen das Rad nicht neu erfunden werden, sondern die Möglichkeiten der neuen Technologien in bestehenden Prozessen nutzen, um Effizienz- und Sicherheitsvorteile zu gewinnen. Und das Potenzial scheint groß, wie in einem Whitepaper festgehalten wurde: So könnten verifizierbare Nachweise und der sichere Datenaustausch durch SSI-Technologien dabei helfen, das Vertrauen in die Produktdaten zu erhöhen. Das wiederum würde die Digitalisierung von physischen Dokumenten wie den digitalen Kassenbon oder Garantieschein beschleunigen. Zudem könnte der Datenaustausch sowohl für die Informationsgewinnung von Vorlieferanten genutzt werden als auch etwa zur Bereitstellung von Daten für Konsumenten, Zoll oder Recycler.
Herausragende Verwertungsaussichten
Wie Daten über den Treibhausgasausstoß von Produkten genutzt werden können, veranschaulicht das IDunion Partnerunternehmen Siemens mit seinem CO2-Management-Tool SiGREEN. Dieses ermöglicht die Verwaltung und Reduktion von Emissionen entlang der gesamten Lieferkette. Das System ist bereits seit zwei Jahren live und wird tatsächlich auf der ursprünglichen Blockchain-Lösung betrieben. Siemens ist damit auch keine Ausnahme: „Die Blockchain wird von einigen Partnern im Bereich Identitäten für Organisationen beziehungsweise Internet of Things verwendet, immer dann, wenn keinerlei personenbezogene Daten verarbeitet werden”, betont der Projektleiter.
Generell hätten sich die „Verwertungsaussichten während der Projektlaufzeit deutlich erhöht”, heißt es im Konsortialbericht von IDunion aus dem Jahr 2023. Vor allem die Verabschiedung von eIDAS hat den Entwicklungen einen enormen Schub gegeben. So konnte etwa mit Lissi (Abkürzung für: "Let’s initiate Self-Sovereign Identity“) im November 2023 eines der „ersten verfügbaren ID-Wallets [veröffentlicht werden], die bereits die OpenID4VC-Protokollfamilie unterstützen”.
Die Arbeit von IDunion „als Pionierprojekt im Bereich der digitalen Identität und der digitalen Nachweise (kann) nunmehr auch rechtssicher umgesetzt werden“, bringt es Jonas Hammer, Compliance & Privacy Advisory bei der esatus AG, einem weiteren Mitgliedsunternehmen von IDunion auf den Punkt. „Somit kann man sich auf offizielle Standards und rechtliche Anforderungen stützen, um die jeweiligen Anwendungsfälle umsetzen zu können“, verspricht er sich vor allem eines: „Einen großen Sprung für unsere Digitalisierung”.
IDunion SCE: Von Deutschland nach Europa
Um diesen Digitalisierungssprung nicht nur in Deutschland, sondern auch in Europa zu ermöglichen, haben einige Projektpartner - darunter die Unternehmen Spherity und Danube Tech - im Juli 2022 eine Europäische Genossenschaft (Societas Cooperativa Europaea S.C.E.) für IDunion gegründet. Seit April 2024 können Mitgliedsfirmen das verteilte Netzwerk der IDunion SCE nutzen, um Identitätsinformationen und Unternehmensdaten eigenverantwortlich zu verwalten. „Es handelt sich um eine demokratische Gemeinschaft”, beschreibt Michael das Prinzip. Forschungsergebnisse und technologische Errungenschaften der IDunion SCE stehen nicht einzelnen Firmen zur Verfügung, sondern gleichberechtigt allen Mitgliedern. Und nicht nur ihnen: „Zudem ist die IDunion SCE dafür zuständig, Ergebnisse in EU Projekte zu transformieren”, fügt Michael hinzu. Im Rahmen des Projekts EBSI-VECTOR, dem ersten europäischen Blockchain-Service des öffentlichen Sektors, ist das bereits der Fall. Da trägt IDunion SCE die Erkenntnisse des deutschen Konsortiums bereits in die Welt — oder zumindest nach Europa.
