Neue Veröffentlichung zu Datenschutzaspekten der digitalen Brieftasche (EUDI-Wallet) im Internet Policy Review

Die European Digital Identity Wallet (EUDI-Wallet) verspricht, die Bequemlichkeit und Sicherheit der identitätsbezogenen Online-Aktivitäten von Endnutzer*innen, wie beispielsweise die Registrierung, die Anmeldung bei einem Dienst oder einer Anwendung oder die Eröffnung eines Bankkontos, durch die Verwendung von kryptografischen Schlüsselpaaren und digital signierten Dokumenten (Attestierungen von Attributen) erheblich zu verbessern. Obwohl die EUDI-Wallet als datenschutzorientierte Lösung vermarktet wird und tatsächlich darauf ausgelegt ist, den Datenschutz im Vergleich zu den heute vorherrschenden Ansätzen des digitalen Identitätsmanagements, wie beispielsweise „Anmeldung mit Google”, deutlich zu verbessern, gibt es dennoch Verbesserungspotenzial.
Das Paper “The impact of zero-knowledge proofs on data minimization compliance of digital identity wallets” ist eine Zusammenarbeit der Forschenden Emanuela Podda (Università degli Studi di Milano), Pol Hölzmer, Alexandre Amard und Gilbert Fridgen (Universität Luxemburg) sowie Johannes Sedlmeir (Universität Münster). Es beschreibt bestehende Datenschutzmängel in den derzeit verwendeten kryptografischen Formaten für Attribut-Attestierungen in der EUDI-Wallet und argumentiert, dass die Vorgabe der Datenschutz-Grundverordnung (DSGVO) zur Datenminimierung angesichts des rasanten Fortschritts in datenschutzfördernden Technologien, insbesondere bei Zero-Knowledge-Poofs (ZKPs), kontinuierlich neu bewertet werden sollte. ZKPs ermöglichen es, die Überprüfbarkeit der Integrität, Authentizität und Gültigkeit von Dokumenten im Zusammenhang mit der digitalen Identität aufrechtzuerhalten und gleichzeitig die Menge der Informationen, die der überprüfenden Partei vorgelegt werden, auf das formell als absolutes Minimum anzusehende Maß zu reduzieren.
Die Forschenden hoffen, dass ihre Ergebnisse die Entscheidungsträger*innen, die an der EUDI-Wallet arbeiten, dazu anzuregen, die ursprünglich hohen Ambitionen in Bezug auf den Datenschutz beizubehalten. Diese sind in der Verordnung festgelegt und schreiben buchstäblich die Unverknüpfbarkeit vor. Die EUDI-Wallet soll Ende 2026 erstmals eingeführt werden. Es ist jedoch unwahrscheinlich, dass ZKPs bereits in dieser Phase integriert werden, da ihre praktische Umsetzung noch sehr komplex ist und es an Standardisierung sowie Audits durch nationale und internationale Zertifizierungsstellen mangelt.
Das vollständige Paper finden Sie hier.