Als Deutschland 2010 den „neuen“ elektronischen Personalausweis (nPA) einführte, stand dem Land noch eine Vorreiterrolle bei digitalen Identitäten und im eGovernment offen. Im Vergleich mit den Systemen anderer EU-Länder wie den ebenfalls 2010 eingeführten österreichischen (Handy-Signatur) oder dänischen (NemID) digitalen Identitätslösungen, erfüllte der nPA die höchsten IT-Sicherheitsstandards. Vielen deutschen Kritiker:innen war das nPA-System damals trotzdem nicht sicher genug – der CCC beispielsweise attestierte dem nPA, dass es „den Identitätsdiebstahl erst begünstig[e]“1.
Heute, mehr als eine Dekade später, hat sich das Blatt gewendet. Es herrscht zwar endlich Konsens, auch bei Verterter:innen des CCC, über die besonders hohe Sicherheit und datenschutzfreundliche Ausgestaltung des nPA.2 Seine Aussicht auf eine Vorreiterrolle bei digitalen Identitäten und im eGovernment hat Deutschland jedoch längst verwirkt. Im EU-weiten eGovernment-Vergleich des DESI3 belegt Deutschland gerade einmal Platz 18. Die eID („Online-Ausweisfunktion“) haben laut eGovernment Monitor der Initiative D21 nur 10 % der Bürger:innen überhaupt schon einmal genutzt.4 In Österreich sind es 64 % der Bürger:innen5, in Dänemark knapp 90 % der Einwohner:innen (und 70 % für die mobile Lösung)6.
Auch die Anwendbarkeit der eID insgesamt ist begrenzt, da nur wenige Anbieter ihren Kund:innen die eID zur Identifikation oder zum Login anbieten und das Marktumfeld kompetitiver wird. Eine Vielzahl von eID-Lösungen und Anbietern, sowohl öffentlich als auch privat, von national wie IDnow, Nect oder Verimi bis zu international wie Apple (AppleID), Google (GoogleID), erschwert eine klare Kommunikation und trägt zur Fragmentierung des eID-Marktes bei.
Eine übergreifende Strategie der Bundesregierung zur Förderung einer breit genutzten eID ist seit 2010 noch immer nicht erkennbar; politische Zuständigkeiten, rechtliche und technische Anforderungen blieben fragmentiert. Laut der Digitalstrategie aus dem Jahr 2022 will die Bundesregierung nun „sichere und nutzerfreundliche digitale Identitäten“ als eines von drei prioritären „Projekten mit Hebelwirkung“ fördern. Daher werden hohe Erwartungen in das neu eingerichtete interministerielle Laborformat unter Leitung des Bundesministeriums des Innern und für Heimat (BMI) sowie die EU-Pilotprojekte im Rahmen der eIDAS-Novellierung gelegt.
Deutlich wird jedenfalls, dass es nicht nur einer verbesserten technischen Lösung, sondern Maßnahmen zur Förderung einer breiteren Nutzung und Anwendung bedarf. Um Bürger:innen breit verfügbare, nutzerfreundliche und sichere Identifizierungsmittel zur Verfügung zu stellen, muss die eID sowohl für Endnutzer:innen, als auch für Diensteanbieter attraktiv werden. Wie lässt sich das erreichen? Der Schlüssel liegt im Konzept der digitalen mehrseitigen Plattform.
Eine Plattform ist eine Organisationsform, die Wert schafft, indem sie direkte Interaktionen zwischen zwei oder mehreren unterschiedlichen Arten von Kunden bzw. Anwendern ermöglicht.7 Eine Identitätsplattform bringt dabei unterschiedliche Arten von Anwendern zusammen: einerseits Endnutzer:innen, die sich bei einem Dienst identifizieren oder einloggen wollen. Andererseits Diensteanbieter, die eine Anwendung anbieten, z. B. der Staat, der e‑Government Leistungen anbietet, eine Bank oder eine Krankenkasse.
Die eID-Plattform agiert somit als Intermediär zwischen diesen unterschiedlichen Anwendern, um Identifikationen, Authentifizierungen und Autorisierungen und auf deren Grundlage vertrauenswürdige Transaktionen zu ermöglichen.
Der Erfolg einer solchen Lösung ist davon abhängig, ob und wie schnell sich Netzwerkeffekte zwischen den beiden Seiten der Plattform – Endnutzer:innen und Diensteanbieter – entfalten können. Eine Zunahme der Endnutzer:innen auf der einen Seite führt zu einem höheren Nutzen für die Anbieter von Anwendungen auf der anderen Seite, welche Kund:innen für ihre Dienste gewinnen wollen. In diesem Zusammenhang ergibt sich das oft genannte Henne-Ei-Problem: für beide Seiten ist das System wertlos, wenn die andere Seite nicht an Bord ist.
Zentral für den Erfolg einer (Identitäts)Plattform ist deren Steuerung bzw. Governance. Für die Governance der hoheitlichen eID als digitale Plattform ist zunächst der Staat verantwortlich.
Warum also ist die digitale Identität des Personalausweises im europäischen Vergleich eine Nischenlösung? Bisher ist der Online-Ausweis sowohl bei Diensteanbietern als auch den Endnutzer:innen nicht weit verbreitet. Aus Sicht einer Service-Plattform sind weder Nachfrage noch Angebot gegeben. Der aktuelle Status und die Hürden ergeben sich daher sowohl aus der Perspektive der Anweder:innen bzw. Bürger:innen, als auch der Diensteanbieter fast zwangsläufig.
Denn für die Bürgerinnen und Bürger, die den eID-Service nutzen, sind zwei Dinge entscheidend: (a) eine einfache Nutzung des Onlineservices und (b) ein klar erkennbarer Mehrwert.
Eines der zentralen Probleme ist (a) die Benutzerfreundlichkeit des Dienstes, von der Einrichtung bis zur Beendigung. Bis 2019 konnte der Dienst nur mit einem Kartenlesegerät genutzt werden, was die Nutzung erschwerte. Die Nutzung des RFID-Chips im Personalausweis über NFC-fähige Smartphones und die AusweisApp2 senkten die Einstiegsbarriere. Die Usability ist jedoch im Vergleich zu anderen nationalen Lösungen wie der Österreichischen (Handysignatur und seit 2022 ID Austria) wesentlich geringer. Dabei ist die österreichische Lösung so wie die deutsche ebenfalls unter dem eIDAS-Vertrauensniveau „hoch“ eingestuft.8 Die größte Hürde besteht derzeit in der Nutzung am PC/Laptop, wo die AusweisApp2 sowohl auf dem Smartphone als auch auf dem PC/Laptop installiert sein muss und beide Geräte miteinander gekoppelt werden müssen.9 Aktuell sind digitale Verwaltungsverfahren aber im überwiegenden Teil primär für Webbrowser-Nutzung am PC/Laptop ausgelegt und nicht für mobile Endgeräte wie Tablet oder Smartphone. Selbst bei einem in Zukunft überwiegenden Angebot für mobile Endgeräte kann eine wesentlich schlechtere Usability im Sinne der Inklusion und Gleichbehandlung nicht verantwortet werden.
Das zweite zentrale Problem ist die geringe Anzahl von Service-Dienstleistungen für die Onlineausweisfunktion. - (b) ein erkennbarer Mehrwert fehlt. Laut Angaben der Webseite des BMI gibt es rund 180 Anbieter, welche die Berechtigung haben, die Onlineausweisfunktion in ihre Dienste einzubinden (Stand Ende 2022), davon sind knapp 80 bundesweit nutzbar.10 Die Anzahl der Anwendungen im öffentlichen Sektor durch Länder und Kommunen ist unzureichend, ebenso wie in der Gesundheitsbranche und im privaten Sektor. In Österreich beispielsweise verhalf die Kopplung des Covid-Impfzertifikats „Grüner Pass“ mit der Handy-Signatur (seit Ende 2022 übergegangen in die ID-Austria) einem Durchbruch bei deren Nutzungszahlen.11 Die Anbindung ähnlich relevanter und alltäglicher Anwendungen zur Gewinnung von mehr Endanwender:innen für die eID hat Deutschland bisher versäumt.
Ebendiese Kombination von geringer Nutzerfreundlichkeit und hohem Aufwand in der Erstaktivierung sowie die geringe Anzahl von Services führt zu einer geringen Motivation, den eID-Service einzurichten und zu nutzen und damit zu einer geringen Nachfrage auf der eID-Plattform.
Der Mangel an relevanten Anwendungen wiederum bringt uns zur Seite der Diensteanbieter. Aus der Perspektive der potenziellen Anbieter von Services (Diensteanbieter) für Endnutzer:innen sind drei Aspekte ausschlaggebend: (a) ein hoher Mehrwert, (b) eine einfache Integration der Onlineservices in ihre jeweilige bestehende Anwendungsumgebung und (c) ein fortlaufendes Plattformmanagement mit Weiterentwicklungsperspektive.
Ein grundsätzlicher Mehrwert (a) staatlich gesicherter Online-Identifikation der Bürger:innen ist für die Wirtschaft, aber auch für den gesamten öffentlichen Sektor von Daseinsvorsorge bis Gesundheitsdiensten vorhanden. Dies zeigt sich im eGovernment Monitor 2021: 48 % der Befragten haben Interesse an der Hinterlegung der Ausweisdaten im Smartphone.12 Der Mehrwert der Datennutzung für den Dienste-Anbieter entsteht aber erst durch die aktive eID-Nutzung der Bürger:innen und ebendiese liegt wie oben festgestellt lediglich bei 10 %.
(b) Einfache Integration: Aus Sicht des Diensteanbieters umfasst die einfache Integration der eID-Lösung drei Aspekte: die organisatorische Ebene (z. B. Registrierung), die technische Ebene (Integration in die Umgebung des Service-Anbieters) und die wirtschaftliche Ebene (finanzielle Planbarkeit). Organisatorisch müssen Diensteanbieter jeden einzelnen Service beschreiben und beantragen. Eine Service-interne Differenzierung der Nutzungsart und der genutzten Daten wird dabei nicht vorgenommen. Technisch setzt die eID-Architektur vom Diensteanbieter den Betrieb eines eigenen eID-Servers oder einen Vertrag mit einem eID-Server-Betreiber voraus, was die Integration schwer kalkulierbar und hoch aufwendig macht. Aufgrund der zunehmenden Bedeutung mobiler Applikationen für Smartphones, müssen große Teile der AusweisApp2 in die Applikationen des Dienste-Anbieters integriert werden, was nicht dem Stand der Technik entspricht. Eine Integration über Standardprotokolle, wie OpenID Connect & OAuth 2.0, ist nicht vorgesehen, was den technischen Integrationsaufwand für Diensteanbieter sehr hoch werden lässt. Wirtschaftlich bleiben die Kosten für die Integration der eID-Funktion aufgrund der notwendigen unterschiedlichen technischen Komponenten intransparent. Dazu gehören Kosten für den Kauf von Berechtigungszertifikaten bei der D‑Trust (Bundesdruckerei), die Miete oder der eigene Betrieb eines eID-Servers, sowie für die Integration der eID-Funktion in Prozesse und die IT-Systeme der Organisation. Diese Kosten sind von der Größe der Organisation abhängig, liegen jedoch mindestens bei 10.000 € pro Jahr.13 Der Prozess ist komplex und ohne spezialisierte Unterstützung nicht zu leisten. Oft beauftragen Anbieter deswegen externe Identitätsanbieter im Sinne eines pay-per-Use-Modells und zahlen pro erfolgte Legitimation oder Authentifizierung einen Betrag an den Identitätsanbieter. Je nach Transaktionsvolumen bewegen sich diese Kosten für Organisationen pro Jahr ebenfalls mindestens im vier- bis fünfstelligen Bereich.
Zusammenfassend ist aus der Perspektive eines Anbieters von Diensten für Endnutzer:innen festzustellen: (a) durch die geringen Nutzungszahlen besteht eine geringe Motivation bei den Dienstanbietern, (b) der Aufwand für die organisatorische, technische und finanzielle Integration führt zu hohen Eintrittsbarrieren. Die Kombination aus geringer Motivation und gleichzeitig hohen Hürden führt nachvollziehbar dazu, dass auch die zweite Seite der Plattform, der Diensteanbieter, schwach ausgeprägt ist. Somit sind beiden Seiten der Plattform, Nachfrage durch die Endnutzer:innen und Angebot durch die Diensteanbieter ungenügend ausgeprägt. Damit wird erklärbar, warum die Online-Ausweisfunktion seit mehr als einem Jahrzehnt trotz Digitalisierungsschub durch COVID 19 bis 2023 die Erwartungen nicht erfüllen konnte.
Die aktuell in Diskussion stehenden Erweiterungen wie digitale Nachweise über Digital (Identity) Wallets oder zukunftsweisende Konzepte einer Self-Sovereign Identity (SSI) sind in einer Gesamtbetrachtung und Weiterentwicklung des eID-Konzepts Elemente, die in einem zweiten Schritt berücksichtigt werden müssen. In einem ersten Schritt sind zunächst die Wurzeln des Plattform-Problems zu heilen durch Schaffung einer hohen Usability für die Endanwender:in und niedriger Eintrittshürden für den Diensteanbieter.
Um die eID im Sinne der digitalen Plattform zum Erfolg zu bringen, empfehlen wir folgende Maßnahmen:
Unter Berücksichtigung der folgenden Faktoren sollte der Staat ein übergreifendes Governance-Modell mit einer klaren Strategie für den Aufbau eines Ökosystems für die eID und – im zweiten Schritt – darüber hinausgehende Lösungen für digitale Identitäten und Nachweise schaffen, welches privatwirtschaftliche wie öffentliche Akteure einbindet.
Ein professionelles Plattform-Management für die eID sollte die Usability für die Endnutzer:innen optimieren und die Eintrittsbarrieren für die Diensteanbieter möglichst gering halten. Dazu sollte der Plattform-Betreiber fortlaufend die Dienste einem Monitoring unterziehen und datenbasiert optimieren. Er muss darüber hinaus Use Cases aus der Perspektive der Nutzer:innen und der Dienstanbieter erarbeiten, testen und optimieren.
Aus Sicht der Endnutzer:innen ist die Benutzerfreundlichkeit der eID zu erhöhen, um den Prozess des Identitätsnachweises einfacher und schneller zu gestalten. Zusätzlich ist der Mehrwert durch eine hohe Anzahl von nützlichen Online-Anwendungen zu erhöhen, wie Online-Banking oder die Anmeldung bei staatlichen Dienstleistungen von Ländern, Kommunen, dem Gesundheitsbereich oder den Diensten der Daseinsvorsorge.
Aus der Perspektive der Diensteanbieter ist eine technisch und organisatorisch einfach integrierbare eID-Lösung zur Verfügung zu stellen, die sich an den Marktanforderungen orientiert und dessen Kosten transparent dargestellt sind.
Ferner sollte der Staat die Kosten für den Anschluss an die eID-Infrastruktur für Diensteanbieter subventionieren. Dies unterstützt den Einsatz von eID-Lösungen und erleichtert es kleinen und mittelständischen Unternehmen, diese Technologie zu implementieren.
Ein risikobasierter Ansatz sollte bei der Umsetzung der eID-Lösung eine angemessene Balance zwischen unkomplizierter Anwendbarkeit, weiter Verbreitung der technischen Lösungen und hoher Sicherheit gewährleisten.
Weitere Funktionen wie eine Wallet oder aktuell in Entwicklung befindliche Sicherheitselemente wie Smart-eID sind in den nächsten drei bis fünf Jahren weiterzuentwickeln und müssen eng mit Entwicklungen auf EU-Ebene verzahnt sein. Diese Weiterentwicklung sollte dabei aufgrund des unsicheren Zeithorizonts aber abgegrenzt zum laufenden eID-Produktivsystem voranschreiten.
Die aktuellen zahlreichen Lösungen von AusweisApp2, AUTHADA, Smart-eID, Elster-Zertifikat bis hin zur Bund-ID sind auf eine Lösung zu konsolidieren. Die Entwicklung dieser Lösung sollte dabei auf Kernfunktionen fokussiert werden mit hoher Nutzerfreundlichkeit von der Aktivierung bis zur Beendigung, fortlaufend beobachtet und weiterentwickelt werden, wie im Plattform Management oben dargestellt.
Footnotes
Alex Kossel. 2010. CCC zeigt Sicherheitsprobleme beim elektronischen Personalausweis auf. Heise online, 22.09.2010. https://www.heise.de/security/meldung/CCC-zeigt-Sicherheitsprobleme-beim-elektronischen-Personalausweis-auf-Update-1083649.html, letzter Zugriff am 09.02.2023.
Chaos Computer Club. 2013. Trügerische Sicherheit: der elektronische Personalausweis. CCC Updates, https://www.ccc.de/en/updates/2013/epa-mit-virenschutzprogramm, letzter Zugriff am 09.02.2023.
Deutscher Bundestag. 2022. Personalausweis sichere Lösung für digitale Identifizierung, 04.07.2022. https://www.bundestag.de/dokumente/textarchiv/2022/kw27-pa-digitales-identitaeten-901172, letzter Zugriff am 09.02.2023.
Akronym für den EU-Index für die digitale Wirtschaft und Gesellschaft.
Initiative D21. 2022. E‑Government Monitor 2022. https://initiatived21.de/egovmon22/, S. 23, letzter Zugriff am 12.01.2023.
Initiative D21. 2022. E‑Government Monitor 2022. https://initiatived21.de/egovmon22/, S. 23, letzter Zugriff am 12.01.2023.
Agency for Digital Government (Denmark). 2023. Numbers and Statistics. https://en.digst.dk/numbers-and-statistics/#:~:text=NemID-,Number%20of%20users,use%20the%20NemID%20key%20app., letzteer Zugriff am 12.01.2023.
Rogers, David L. 2016. The Digital Transformation Playbook: Rethink Your Business for the Digital Age, S. 54. New York: Columbia Business School Pub.
Nach Maßstäben der deutschen technischen Anforderungen des BSI erfüllt die österreichische Handysignatur / IDAustria nicht dieselben hohen Sicherheitsstandards wie die eID des Personalausweises. Sie ist jedoch nach dem EU-weiten Notifizierungsprozess auf dem eIDAS-Vertrauensniveau „hoch“ zugelassen.
Peter Parycek et al. 2022. Stellungnahme: Digitale Identitäten, S. 4. Deutscher Bundestag – Ausschuss für Digitales. https://www.bundestag.de/resource/blob/902144/218654a68c61fdb639c383f2fcb8fe70/Parycek-data.pdf, letzter Zugriff am 30.01.2023.
BMI. 2022. Erteilte Berechtigungszertifikate. https://www.bmi.bund.de/SharedDocs/artikel/Webs/PA/DE/informationsmaterial/erteilte-berechtigungszertifikate/erteilte_Berechtigungszertifikate.html, letzter Zugriff am 10.12.2022.
Bundesministerium für Arbeit und Wirtschaft. 2022. Schramböck: Dreimillionste Handy-Signatur ausgestellt. Pressemitteilung, 14.03.2022. https://www.bmaw.gv.at/Presse/Archiv/Pressemeldungen-BMDW/2022/M%C3%A4rz-2022/3-Millionen-Handy-Signaturen.html, zugegriffen am 24.01.2023;.
Red, wien.ORF.at. 2021. Handysignaturen sprunghaft gestiegen, 20.10.2021. https://wien.orf.at/stories/3126268/ zugegriffen am 24.01.2023.
Initiative D21. 2021. E‑Government Monitor 2021 https://initiatived21.de/app/uploads/2021/10/egovernmentmonitor2021.pdf, S. 4, letzter Zugriff am 12.01.2023.
Schätzungen der Autor:innen auf Grundlage der von den Anbietern zur Verfügung gestellten Kostenmodellen.