#eudi

Biometrische Daten künftig für umsonst?

Dass man beim Kauf von alkoholischen Getränken u.U. seinen Personalausweis zur Alterskontrolle vorzeigen muss, können wir gut nachvollziehen. Dabei werden auch keine Daten - nicht mal das Alter - vom Ausweis gespeichert. Doch nun droht uns der absolute Ausverkauf unserer Daten. Bei der geplanten EUDI-Wallet werden unsere persönlichen Daten den Konzernen (und dem Staat) auf dem Silbertablett geliefert. Im Herbst hatten wir dazu einen Flyer gemacht.

Netzpolitik.org verweist zu den Gefahren der EUDI-Wallet auf die epicenter.works:

Für die Nutzung der digitalen Brieftasche wird die EU Kommission 40 EU-Rechtsvorschriften erlassen. Erst ein Teil davon ist bisher schriftlich verfügbar. Besonders problematisch ist dabei der Begriff der "vertrauenswürdigen Partnern" (relying parties). Das können staatliche Stellen aber auch Privatunternehmen sein. Eigentlich sollten sich diese alle zertifizieren lassen. Solche Registrierungszertifikate werden nun nicht mehr verpflichtend für die Nutzung der EUDI-Wallet, sondern nur noch optional notwendig sein.

Ohne solche Zertifizierung gibt es keinen Anhaltspunkt mehr, ob eine Datenweitergabe (beim Zahlungsvorgang) wirklich berechtigt oder notwendig ist. Thomas Lohninger von epicenter.works warnt laut Netzpolitik.org: "Unternehmen aus Ländern wie Irland könnten Schutzmechanismen der Wallet umgehen, so dass illegale Anfragen nach zu vielen Informationen möglich werden." So ein Vorgehen ist unprofessionell und datenschutzmäßig für Jeden eine Hintertür.

Auch die in der eIDAS-Verordnung vorgesehene Möglichkeit sich für die Wallet auch mit selbstgewählten Pseudonymen zu identifizieren wird auf mehreren Wegen durch die Kommissionsvorschläge infrage gestellt (s. verlinkten Artikel). Darüber hinaus könnten "neugierige" Partner sogar biometrische Gesichtsdaten aus der Wallet abfragen, denn nach den aktuellen Entwürfen sollen diese verpflichtend in jenen Datensatz zur Identifizierung von Nutzer:innen aufgenommen werden. Bisher enthielt der "Minimum-Datenset" lediglich den vollen Name, das Geburtsdatum und den Geburtsort sowie die Nationalität des Nutzers.

10 europäische NGOs haben einen offenen Brief an die EU-Kommission geschrieben, in dem sie an die Kritik von epicenter.works anknüpfen.

Mehr dazu bei https://netzpolitik.org/2026/digitale-brieftasche-eu-kommission-will-amazon-dein-gesicht-geben/

Rethinking Digital Identity, Credentials, and Trust The public conversation around digital identity often assumes that wallets are the solution — as if choosing the “right” wallet will somehow resolve issues of trust, governance, and security. In reality, wallets are not identity systems. They are containers for credentials, and those credentials vary radically in assurance, accountability, and…

Sicherheitslücke seit Jahren bekannt

Mit EUDI machen was mit eID geht?

Vor knapp 3 Monate hatten wir auf den Digitalzwang hingewiesen, der uns 2026 mit der Einführung der "europäischen Identität", EUDI droht. Dazu gibt es bei uns auch einen Flyer. Nun lernen wir, dass es bereits bei dem nationalen Vorgänger der EUDI, der deutschen eID Sicherheitslücken gibt, die man sich kaum vorstellen kann.

Eine eID-Karte in der Größe einer Scheckkarte bekommt man für 40€ beim zuständigen Bürgeramt. Auf der Karte stehen lediglich der Name, das Geburtsdatum und die Gültigkeit. Der Rest geschieht im Internet, denn dort ist die eID dem ePerso, dem elektronischen Personalausweis gleichgestellt. Über die Sicherheitslücken des ePerso haben wir bereits vor Jahren berichtet - Online-Funktionen des Personalausweises gehackt - Das Video-Ident Verfahren ist kaputt - Elektronischer Personalausweis auf dem Handy - heute soll es um die Mängel bei der Ausstellung einer eID gehen.

Die (unten verlinkten) Recherchen der Süddeutschen Zeitung zeigen dabei nämlich eine übergroßes Problem. Allerdings wurden seit Einführung der eID im Januar 2021 nur 47.000 Karten ausgestellt - was wieder einmal zeigt, dass sich das Interesse der Menschen an dieser Form der Digitalisierung in Grenzen hält. Nicht so das Interesse von Betrügern. So haben die Bürgerämter überhaupt nicht die nötige Technik, um ausländische Ausweisdokumente auf ihre Richtigkeit zu prüfen. Damit können EU-Ausländer in Deutschland eine eID beantragen, ohne dass ihre eventuell gefälschten Ausweisdokumente auffallen.

Mit der eID können dann Betrüger Bankkonten eröffnen und Firmennetzwerke gründen. In diesen Netzwerken können dann fast beliebige Personen die eID Karte nutzen, da sie weder ein Foto noch biometrische Merkmale wie Augenfarbe, Körpergröße enthält.

Dieses Problem soll der Politik bekannt sein und eine deutsche Großbank beklagt, dass die Politik "zu wenig" tue, um zu verhindern, dass Betrüger mit der eID Bankkonten eröffnen. Aber vielleicht hat die Politik mit der Einführung der eID auch einfach zu viel getan - auf jeden Fall hat sie über solche Sicherheitslücken einfach hinweg gesehen. Mit der EUDI im nächsten Jahr wird es nicht besser.

Mehr dazu bei https://www.sueddeutsche.de/wirtschaft/eid-karte-sicherheitsrisiko-deutschland-betrueger-folgen-li.3347462

Anonymer digitaler Euro?

Möglichkeit oder Lockvogel?

Als wir uns in den letzten Wochen mit der von der EU geplanten EUDI-Brieftasche beschäftigt haben, ist uns der unten verlinkte Artikel bei Netzpolitik.org über ein mögliches anonymes Bezahlen mit dem digitalen Euro aufgefallen.

Einer der (vielen) Kritikpunkte an EUDI ist, dass Anbieter der Wallet und auch staatliche Stellen sehen können wo ich wann was bezahle. Im unten verlinkten Artikel untersucht Kryptographie-Professor Tibor Jager (Universität Wuppertal) für den Datenschutzausschuss der EU welche Möglichkeiten der Anonymität es mit dem digitalen Euro (D€) den die Europäische Zentralbank (EZB) demnächst herausgeben will noch geben kann.

Anonymität wäre begrenzt möglich - Aber ist sie gewollt?

Man könnte Offline Überweisungen mit sogenannten "blinden Signaturen" machen, dann sehen die Banken, dass Geld geflossen ist, können aber die konkrete Transaktion nicht einsehen. Dann muss man das Problem des "Double Spending" in den Griff bekommen, d.h. dass Geld nicht (kurz hintereinander) mehrmals überwiesen werden kann. Nur der erste Empfänger hätte die Möglichkeit und das Recht dieses Geld weiter zu verwenden. Der Zahlende wäre spätestens entlarvt, wenn er mit dieser Wallet wieder Online geht.

Die Kernfrage bleibt, ob die künftigen Nutzer mit ihren vielfältigen Apps auf den Handys überhaupt noch offline Transaktionen durchführen können. Grundsätzlich stellt das Gutachten fest, dass die Software des digitalen Euro transparent und möglichst Open Source sein muss. In keinem Fall dürfen mehrere (private) Anbieter mit proprietären Softwarelösungen in Konkurrenz arbeiten.

Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die das Gutachten angeregt hatte, sagte laut Netzpolitik.org: "Das Gutachten erklärt, vor welchen technischen Herausforderungen eine anonyme Offline-Version des Digitalen Euros steht und zeigt, wie man sie lösen kann." Damit könne eine Bargeld-ähnliche Funktion machbar sein, die Betrug verhindert und trotzdem anonyme Zahlungen bis zu einem bestimmten Betrag ermöglicht.

Technisch wäre es möglich, aber skeptisch muss man bleiben, wenn man die derzeitigen Marktkräfte (GAFAM, Big5, Visa, ...) sieht und das Interesse der Staaten beachtet, unsere Geldgeschäfte möglichst genau zu verfolgen und bei Bedarf zu regulieren.

Mehr dazu bei https://netzpolitik.org/2025/digitaler-euro-wie-anonymes-bezahlen-moeglich-waere/

Digitalzwang verhindern!

Unser Bargeld und die Freiheit retten!

Mit der eIDAS-Verordnung (eIDAS 2.0) sind alle Europäischen Länder dazu verpflichtet bis 2026 die EUDI-Wallet einzuführen. Die EU möchte, dass bis Ende 2026 jeder EU-Bürger die EUDI-Wallet nutzen kann. Zu Beginn ist es freiwillig, aber durch die Hintertür wird es verpflichtend werden, da man sonst vom gesellschaftlichen Leben ausgeschlossen ist. In Verbindung mit dem digitalen Euro entsteht der gläsernen Bürger. Was uns als mehr Sicherheit und Vereinfachung erkauft wird, ist in Wahrheit mehr Kontrolle und Überwachung.

Die EUDI-Wallet wird auch offline nutzbar sein! Aber was soll in der EUDI-Wallet alles drin sein?

Praktisch wird es dein komplettes Leben sein!

Perso/Pass, Meldebescheinigung

Führerschein, Fahrzeugpapiere

Zeugnisse von Schul- und Berufsabschlüssen

Gesundheitsdaten, Impfausweis

Bankdaten und digitales Euro-Konto

Sozialleistungen

Versicherungen

etc.

Was kann ich dann noch ohne EUDI-Wallet machen?

Dienstleistungen der öffentlichen Verwaltung: Anmeldung, Pass, Urkunden, Steuererklärung, Sozialleistungen

Finanzen: Bankkonto, Kredite

Bildung: Schulbesuch, Immatrikulation

Verträge: Mietvertrag, Versicherungen, Handyverträge, jegliche Verträge, Onlineshopping, Spotify, Netflix

Arbeit: Arbeitsvertrag, Gehaltsauszahlung

Reisen: Flugbuchung, Grenzübertritt, Hotelbuchung

Gesundheitssystem: Terminvergabe, Behandlung, Rezepte, Imfpausweis

Freizeit: Tickets und Zugang zu Veranstaltungen

Internet und soziale Medien nur noch nach Altersnachweis mit EUDI-Wallet eingeschränkt und man faktisch zur Nutzung der EUDI-Wallet gezwungen.

Private undurchsichtige Firmen liefern die Software und den zentralen Server, wo alle Daten gespeichert werden. Es besteht die Möglichkeit, dass der Hersteller jedes Mal informiert wird, wenn man die digitale Wallet benutzt

Hacker haben Zugriff auf dein komplettes Leben, wer haftet, wenn damit Betrug begangen wird? Wieder wird das Risiko auf den Endverbraucher abgewälzt und die Betreiber sind fein raus.

Shopsysteme können Sicherheitslücken haben und Daten abgreifen und weitergeben

Keine Kontrolle wer auf deine Daten Zugriff hat, wie z.B. Behörden, Polizei, Polizeiroboter, Geheimdienste

Der digitaler Euro ist programmierbar und kann wie ein Sozialkreditsystem nach dem Vorbild von China von Regierungen missbraucht werden, um unerwünschtes Verhalten zu sanktionieren

Womit wirbt der Staat für die EUID-Wallet?

Die Bundesrepublik Deutschland ist mit der Digitalisierung bekannterweise etwas schwerfällig und deshalb wurde bei uns erst einmal nach dem ePerso, der Zwangsfingerabdruck darin und dann der Ausweis auf dem Handy propagiert. Erst danach ging es los mit der BundID für alle Studenten, die eine Rückzahlung der Energiepreispauschale erhalten wollten. Nun erst soll diese BundID und die DeutschlandID zusammengeführt werden und dann zu EUDI-Wallet werden.

Deshalb wirbt nun auch die Bundesregierung und das Peronalausweisportal für die EUDI-Wallet. Die Bundesdruckerei versichert die Sicherheit einer EUDI-Wallet.

Kritische Stimmen zur EUDI-Wallet

Die Verbraucherzentrale kritisiert vor allem, dass die Wallet mit einem zentralen Server kommunizieren muss und damit an eine potentiell angreifbare Stelle geschaffen wird - der single point of failure. Am Zugriff darauf werden sich Hacker aber auch interessierte Firmen zu binden versuchen, um an unsere Daten zu kommen.

Die Bankmanager, die in der Praxis genug Fallstricke lauer sehen und vermuten, dass aus dem Traum schnell ein Sicherheitsdesaster werden kann.

Lilith Witmann. Sie hält das, was da bisher entstanden ist vor allem für eine sicherheitstechnische Katastrophe - mit womöglich fatalen Folgen.

Netzpolitik.org beklagt vor allem, dass nach 5 Entwürfen für die EUDI-Wallet immer noch die gleichen Hintertürchen und Gefahren lauern und die Verantwortlichen auf EU-Ebene nicht einsichtig sind oder sein wollen.

Heise.de: Gefährliches Video-Ident-Verfahren

Datenschützer beklagen: Die E-ID der EU würde derzeit vor allem Großkonzernen wie Facebook und Google Vorteile bringen, nicht aber den Europäerinnen.

Patrick Breyer und mehr als 500 Wissenschaftler:innen und zahlreiche Nichtregierungsorganisationen warnen in einem offenen Brief "eindringlich vor der derzeit vorgeschlagenen Trilog-Vereinbarung zur EUID".

Und noch ein Schmankerl am Ende: Wer "macht" die EUID für Deutschland? Ausgerechnet IT-Lobbyist Amthor darf als Staatssekretär die digitale Brieftasche vorantreiben.

Norbert Haering verweist auch noch auf ein Land, was wir mit Digitalisierung eigentlich wenig in Verbindung bringen: Ghanas Regierung startet einen Anlauf, die Telefon-SIM-Karten der Bürger mit der nationalen digitalen Identität zu verbinden. Dadurch würde jedes Telefongespräch, jede Geldüberweisung und jeder Internetaufruf per Telefon über die eindeutige Ghana-Card-Nummer gespeichert und abrufbar.

Was dann wirklich alles möglich sein wird, werden wir erst nach der Einführung wirklich erleben. Sicher ist jedoch - wie bisher bei jeder Digitalisierungsmaßnahme - dass sich Hacker ausprobieren werden. Eine Möglichkeit wären z.B. in den USA bereits "getätigte" Steuerrückerstattungsbetrügereien zu Lasten unbescholtener Bürger, wenn sie Zugriff auf die Wallet erlangen.

Digitalzwang für alle?

Jeder hat das Recht, selbst zu entscheiden, wie digital er leben will – Digitalisierung muss freiwillig bleiben.

Wir alle können die totale Überwachung verhindern, in dem wir Widerstand leisten und diese Wallet niemals auf unser Handy laden! Sag Nein!