EU Digital Identity & Haftung bei Identitätsdiebstahl: Wenn meine digitale Identität durch eine Sicherheitslücke in der staatlich zertifizierten App (Zukünftigen App) gestohlen wird und Straftaten in meinem Namen begangen werden wer haftet?
Sehr geehrter Herr Dominik Leyh
als angehender Fachinformatiker sehe ich die Pläne zur EU Digital Identity Wallet (EUDI) und Chatkontrolle technisch kritisch. Durch die Bündelung von Identität, Zahlungs- und Gesundheitsdaten schaffen wir ein massives Angriffsziel. Selbst bei dezentraler Speicherung bleibt die Update-Infrastruktur ein "Single Point of Failure" für Supply-Chain-Attacks.
Meine zentrale Frage: Wenn meine digitale Identität durch eine Sicherheitslücke in der staatlich zertifizierten App (Zukünftigen App) gestohlen wird und Straftaten in meinem Namen begangen werden wer haftet? Muss ich als Bürger beweisen, dass ich es nicht war (Beweislastumkehr), oder übernimmt der Staat die volle Haftung für seine Infrastruktur?
Ich bitte um eine konkrete Antwort zur Haftungsfrage, keine allgemeinen Verweise auf Sicherheitsstandards.
Sehr geehrter Herr R.,
erstmal zur Übersicht die Kurzfassung:
- kommt frühestens Ende 2026, eher Anfang 2027
- Authentifizierungsmethoden sind noch in Klärung
- Zertifizierungsstelle wird voraussichtlich das BSI sein
- Haftungsfrage wird noch geklärt, da derzeit juristisch strittig
Die EUDI-Wallet bietet Bürgerinnen und Bürgern sowie Unternehmen zahlreiche Vorteile, insbesondere im Hinblick auf die Vereinfachung alltäglicher Prozesse. Durch die verifizierte digitale Ablage von Nachweisen, wie dem Personalausweis, Führerschein oder anderen Attributen, ermöglichen EUDI-Wallets sichere und schnelle Prozesse sowohl im öffentlichen als auch im privaten Sektor.
Nutzer können sich europaweit online authentifizieren, ohne immer wieder dieselben Informationen zu erfassen bzw. verifizieren zu lassen. Gleichzeitig behalten sie die volle Kontrolle über ihre Daten, da sie selbst bestimmen, welche Informationen sie mit wem teilen (‚selective disclosure‘).
Darüber hinaus bietet das EUDI-Wallet die Möglichkeit, qualifizierte elektronische Signaturen (QES) direkt in der Wallet anzufertigen, was digitale Vereinbarungen, wie z.B. Verträge stark vereinfacht und rechtlich bindend macht.
Auf unserer Fraktionsreise nach Estland konnten wir sehen, wie das (unter der gleichen DSGVO) rund funktioniert, dass alltägliche Leben vereinfacht und den Aufwand beim Kontakt Bürger-Staat wesentlich reduziert. Meine anfängliche Skepsis wurde bei weitergehenden Terminen zerstreut. Gerade die Esten stehen jeden Tag unter zehntausendfachen Cyberangriffen und halten den Kasten sauber.
Angaben zur Haftung kann ich Ihnen noch nicht machen, da diese Frage zum jetzigen Zeitpunkt strittig ist.
Wenn wir in dem Bereich und auch in allen anderen Politikfeldern vorankommen wollen, ist die Klärung der Haftungsfrage auf Position eins eher Hindernis als Katalysator für positive Veränderungen.
Da ich Ihnen leider keine abschließende Antwort geben konnte, biete ich Ihnen gerne jederzeit das direkte Gespräch an. Kontaktieren Sie mich einfach unter d.leyh@ltg.hessen.de.
Zusammengefasst: Gute Sache und ein echter Fortschritt
Weitere Fragen an Dominik Leyh
Ich halte eine Absenkung des Zustimmungsquorums, Änderungen bei den Voraussetzungen von Unterschriftenlisten und Bürgerräte für unnötig.
Ich halte den Austritt aus dem Ländertarifvertrag für einen Fehler und werde mich für einen Wiederbeitritt einsetzen.