Das Beglaubiger-Pattern als Nachweis des Vertrauens in digitalen Identitäten
Autor: Gerd Raudenbusch
Stand: 18.07.2026
Im Internet haben wir viele Pseudonyme, übernehmen viele Rollen. Dabei spielen sowohl Authentizität als auch auch Anonymität eine wichtige Rolle. Anonymität schützt Person und Menschenrechte, Authentizität hingegen schafft Verbindlichkeit und Vertrauen, wo dies für die soziale Funktion erforderlich ist. Beide Modi ergänzen sich und keiner von beiden ist je wegzudenken:
Anonymität ermöglicht eine Differenzierung von Handlungskontexten. Sie erlaubt es, Wissen über die eigene Person selbstkontrolliert zu teilen und sich kontextgerecht zu verhalten, ohne dass Informationen aus einem Bereich in andere Bereiche übertragen werden. Dies schützt die informationelle Privatheit und bewahrt die Möglichkeit zur selbstbestimmten Selbstdarstellung.
- Hinweisgebersysteme (Whistleblowing) in Firmen oder Behörden – Schutz vor Repressalien bei Missstandsmeldungen, ohne Ablehnung fürchten zu müssen.
- Anonyme Umfragen im Betrieb zu Vorgesetzten, Klima oder Diskriminierung – ehrliches Feedback ohne Angst vor Nachteilen
- Nutzung von Beratungsstellen bei Sucht, Gewalt, psychischen Krisen oder sexualisierter Gewalt – Zugang ohne Stigmatisierung
- Teilnahme an Selbsthilfegruppen mit sensiblen Themen (z. B. HIV, psychische Erkrankungen, Schulden)
- Journalismus mit anonymen Quellen – Schutz von Informanten vor Verfolgung oder Berufsverboten.
- Seelsorge oder Chat-Beratungen, wo Anonymität ausdrücklich angeboten wird.
- Politische Aktivitäten in repressiven Regimen oder bei Verfolgungsrisiko (Opposition, Menschenrechtsarbeit).
- Meldung von Missbrauch, Belästigung oder Mobbing an Schulen, Unis oder Betrieben – ohne Angst vor sozialer Isolation oder Vergeltung.
Authentizität ist essenziell in intimen Beziehungen, bei vertraglichen Verpflichtungen oder in vertrauensbasierten Interaktionen. Hier wird erwartet, dass sich Partner aufrichtig und authentisch zeigen und sorgsam mit geteilten Informationen umgehen. Diese Form der Interaktion ist eine Hauptressource, in der sich die Identität einer Person dialogisch konstituiert.
- Abschluss eines Mietvertrags oder Kaufvertrags – Identität muss eindeutig und überprüfbar sein.
- Beantragung eines Führerscheins, Reisepasses oder anderer amtlicher Dokumente.
- Kontoeröffnung bei einer Bank oder Abschluss eines Versicherungsprodukts.
- Zeugenaussage vor Gericht oder in einem offiziellen Ermittlungsverfahren.
- Einstellen als Arbeitnehmer – Arbeitgeber muss wissen, wer arbeitet und Sozialabgaben abführt.
- Verschreibung von Medikamenten durch einen Arzt – Name und Identität sind für die Dokumentation und Haftung erforderlich.
- Eheschließung oder Eintragung einer Lebenspartnerschaft.
- Beantragung von staatlichen Leistungen (Kindergeld, BAföG, Bürgergeld etc.).
- Abgabe einer Steuererklärung gegenüber dem Finanzamt.
- Anmeldung eines Kfz im Straßenverkehr – Halter und Verantwortliche müssen identifizierbar sein.
Der größte Handlungsspielraum entsteht, wenn beide zusammen garantiert sind und stufenlos skalierbar sind, um das Vertrauen in die Identität nachzuweisen oder zu schützen.
Die Rolle des Staates
Als Mitbürger haben wir das Vertrauen, um unsere Identität formell vor anderen zu beweisen, institutionell in entsprechende Behörden gelegt, welche in der Lage sind, sowohl die Ingrastruktur zu gewährleisten, als auch solche Dokumente oder Gegenstände in hohem Maße fälschungssicher herzustellen (s. Sicherheitsmerkale des Personalausweises).
Die erste Vertrauens-Instanz unserer Identität als natürliche Person liegt also immer beim Staat. Eine natürliche Person ist dabei der Mensch als Rechtssubjekt, sprich, jeder einzelne Mensch, der kraft Gesetzes Träger von Rechten und Pflichten ist.
- Rechtsfähigkeit: Natürliche Personen sind rechtsfähig, d. h. sie können Rechte (z. B. Eigentum, Vertragsfreiheit) haben und Pflichten (z. B. Steuern zahlen, Verträge erfüllen) tragen.
- Beginn und Ende: Die Rechtsfähigkeit beginnt mit der Vollendung der Geburt (§ 1 BGB) und endet mit dem Tod. In Ausnahmefällen kann ein ungeborener Mensch (Nasziturus) bereits unter bestimmten Voraussetzungen rechtsfähig sein, z. B. als potenzieller Erbe.
- Unterscheidung zur juristischen Person: Natürliche Personen sind „geborene“ Rechtssubjekte. Im Gegensatz dazu stehen juristische Personen (z. B. GmbH, AG, Vereine), die erst durch rechtlichen Akt („Körung“) entstehen und ebenfalls rechtsfähig sind, aber keine lebenden Menschen darstellen.
- Jeder Mensch – unabhängig von Alter, Geschlecht, Staatsangehörigkeit oder Stand – ist eine natürliche Person.
- Ein neugeborenes Kind ist bereits natürliche Person und kann z. B. Eigentum erben.
- Tiere sind keine natürlichen Personen und nicht rechtsfähig.
Der Staat hinter uns im Internet
Nun wäre als letzte Konsequenz auszudenken, dass der Staat sowohl natürlichen als auch juristischen Personen auch im digitalen Bereich das Beglaubigen ermöglicht.
- Eine natürliche Person will die Informationen, die in staatlichen
Dokumenten garantiert werden teilweise oder ganz an andere weitergeben.
Beispiele wären:
- Volljährigkeit (Geburtsdatum)
- Fahrfähigkeit (Führerschein-Daten)
- Identitätsnachweis (Name, Vorname)
- Adressnachweis (Wohnort)
- Zwei oder mehrere Parteien wollen eine Handlung
rechtskräftig beglaubigen:
- Abschluss eines Kaufvertrags (auch über größere Beträge und Immobilien)
- Bestellung von Hypotheken und Grundschulden
- Nießbrauch, Dienstbarkeiten, Wegerechte
- Erbbaurechtsbestellung und -übertragung
- Andere Funktionen eines Notars zur Rechtskontrolle von Immobilienrecht, Gesellscahfts- und Unternehmensrecht oder Familien- und Erbrecht.
Obwohl also eigentlich die Erwartung an den Staat, bzw. an die Gesetze besteht, dass sowohl unsere Authentizität (Identität), als auch unsere Anonymität im Internet gewährleistet sind, ist dies technisch bisher kaum der Fall.
So ist die BNetzA beispielsweise die nationale Aufsichtsbehörde für qualifizierte elektronische Vertrauensdienste gemäß eIDAS-Verordnung und Vertrauensdienstegesetz (VDG). Sie prüft alle private Anbieter, welche qualifizierte Vertrauensdienste (u. a. Zertifikate für elektronische Signaturen, Siegel, Zeitstempel etc.) erbringen wollen, und erteilt bei positiver Prüfung die Erlaubnis. Anschließend überwacht sie die Einhaltung der Vorgaben. Das heißt: Obwohl also rootCAs zumeist privaten Organisationen und Unternehmen gehören (z. B. DigiCert, Let’s Encrypt/ISRG, Sectigo, GlobalSign usw.), werden sie durch die Bundesnetzagentur überwacht.
Dem gleich wären also technische Dienste nötig, welche unsere Authentizität im Internet garantieren (minimale Ordnung) und dadurch den Raum für wahre, legitime Anonymität sichern (maximale Freiheit).
Das hätte sehr weitreichende Konsequenzen, denn solch ein Dienst, eine staatlich verankerte, hierarchisch organisierte Wurzel-Infrastruktur für selektive, sichere und authentische Datenübermittlung für natürliche und juristische Personen, würde mehrere gravierende Probleme im Internet deutlich reduzieren oder sogar weitgehend eliminieren können. Neben den von dir genannten (Online-Betrug, Jugendschutzdelikte, Phishing) sind dies weitere:
- Kein Identitätsdiebstahl: Falsche Identitäten, gefälschte Ausweise oder gestohlene Daten könnten nicht mehr verwendet werden, da nur die offizielle Instanz die Identität verifiziert und kryptografisch signiert übermittelt.
- Zuverlässige Authentisierung (z. B. PIN + staatliches Zertifikat) wäre es praktisch unmöglich, Konten bei Banken, E-Mail-Anbietern oder Social Media zu übernehmen.
- Kein Kaufbetrug: Verkäufer könnten sicher verifizieren, dass der Käufer die Person ist, die er vorgibt zu sein (z. B. Alter, Wohnort, Bonitätsrelevante Daten). Umgekehrt könnten Käufer die Legitimität des Verkäufers prüfen (z. B. bei Immobilien, Fahrzeugen).
- Keine Fake-Shops: Diese könnten nicht mehr einfach anonyme Identitäten vorgeben; staatlich verifizierte Shop-Identitäten wären erkennbar.
- Kein Vertragsbetrug: Bei Online-Verträgen (z. B. Miete, Kredit, Versicherung) wäre die Identität beider Parteien gesichert.
- Know-Your-Customer (KYC): Banken und Finanzdienstleister könnten KYC-Prüfungen in Echtzeit durchführen, ohne dass Nutzer ihre Ausweiskopien hochladen müssen. Das reduziert Fraud und vereinfacht Compliance.
- Minimierung von Geldwäsche: Anonyme Konten wären nicht mehr nötig; jede Transaktion könnte einer verifizierten Identität zugeordnet werden (ohne dass alle Daten offenbart werden müssten).
- Anonyme Altersverifikation: Jugendschutzgesetz-konforme Altersprüfungen (z. B. für Pornografie, Glücksspiel, Dating-Apps) wären ohne Datenüberflutung möglich; nur das Attribut „über 18" oder „über 21" würde übermittelt.
- Keine Fake-Profile in sozialen Netzwerken: Jedes Konto könnte auf eine verifizierte, eindeutige Identität zurückgeführt werden (auch wenn die Plattform selbst die Identität nicht kennt, sondern nur eine Beglaubigung hat).
- Kein Spam oder Missbrauch: Massenversand von Spam, Hate Speech oder Manipulation von Wahlen/Diskussionen durch Fake-Accounts wäre deutlich erschwert.
- Weniger Bot-Netzwerke: Auch automatisierte Angriffsszenarien (z. B. DDoS, Credential Stuffing) wären besser verfolgbar, wenn jede Aktion eine signierte Identität erfordert.
- Authentische Quellen: Nachrichten, Videos oder Audios könnten mit einer digitalen Signatur versehen werden, die die Herkunft von einer verifizierten Identität (journalist, Behörde, Medienhaus) bestätigt.
- Deepfake-Prävention: Manipulierte Inhalte ohne Signatur wären erkennbar; nur signierte Inhalte wären als „verifiziert" markiert.
- Steuerliche Identifikation: Finanzbehörden könnten sicher prüfen, ob Einkünfte einer realen Person zugeordnet sind, ohne dass Bürger Daten manuell übermitteln müssen.
- Keine Scheinselbstständigkeit: Arbeitgeber und Auftraggeber könnten die rechtliche Identität und den Status (z. B. gewerblich, freiberuflich) prüfen.
- Weniger anonyme Straftaten: Täter könnten nicht mehr völlig anonym agieren; bei Straftaten wäre eine Rückverfolgung möglich, ohne dass im Alltag alle Daten offenbart und Menschen dauerhaft überwacht werden müssen.
- Präventive Wirkung: Die Möglichkeit der Rückverfolgung könnte viele Täter abschrecken.
- Keine falschen Versichertenkarten oder Identitäten im Gesundheitswesen: Diese Könnten dadurch ausgeschlossen werden.
- Kein Missbrauch von Sozialleistungen: Der Missbrauch von Sozialleisungen durch falsche Identitäten oder mehrfache Beantragung wäre deutlich erschwert.
- Radikale Reduktion von Metadaten: Durch das gewährleistete zusätzliche Vertrauen könnte das invasive Sammeln von Metadaten erheblich reduziert und dezentralisiert werden.
Das Beglaubiger-Pattern: Vereinfachte Idee einer technischen Lösung
Die Grundidee der technischen Lösung besteht nun aus einem Muster, einem "Pattern", das hierarchisch aneinander gekoppelt werden kann und von jeder Instanz einsetzbar ist, welche eine beglaubigende Rolle ausüben will. Das heißt, das technische "Pattern", das zunächst zwischen Staat und einer natürlichen oder juristischen Person besteht, kann von von weiteren Diensten (Banken, Email-Anbietern, Online-Shops, usw.) ebenso eingesetzt werden.
Beglaubigtes Vertrauen
- Zwischen einer natürlichen oder juristischen Person
Personund dem Beglaubiger (bzw. ein von ihm legitimiertes Unternehmen)Beglaubigerbesteht Vertrauen durch ein je ein festes Schlüsselpaar auf jeder Seite. - Jede natürliche oder juristische Person
Personbesitzt somit ein Schlüsselpaar, um Vertrauen zumBeglaubigerherstellen zu können- Privater Schlüssel (
privKey)- Der private Schlüssel
privKeyist mit PIN oder Passwort geschützt und verbleibt physisch geschützt gebunden beiPerson
- Der private Schlüssel
- Öffentlicher Schlüssel (
pubKey)- Der öffentliche Schlüssel
pubKeyeiner natürlichen oder juristischen Person bleibt ein Geheimnis zwischenPersonundBeglaubigerfür vertrauliche Nachrichten - Mit dem öffentlichen Schlüssel
pubKeykannPersonNachrichten vomBeglaubiger(z.B. Staat) verschlüsselt empfangen, indem dieser Informationen mit dem öffentlichen SchlüsselpubKeyvonPersonverschlüsselt, welche nur durch den privaten SchlüsselprivKeyentschlüsselt werden können.
- Der öffentliche Schlüssel
- Privater Schlüssel (
Grundprinzip der Bereitstellung
Personerzeugt ein temporäres Schlüsselpaar und sendet es demBeglaubiger.Beglaubigerverschlüsselt jedes vonPersonselektierte Datum (z.B. Name, oder Alter), welches beglaubigt werden soll, mit dem temporären privaten Schlüssel (privKey) vonPersonund legt das Ergebnis für ein gewisses Zeitfenster öffentlich zugänglich ab. Als Index kann ein Hash dienen.Beglaubigersigniert außerdem denpubKeydes temporären Schlüsselpaars und schickt in zurück anPerson- Den beglaubigten öffentlichen Schlüssel (
pubKey) des temporären Schlüsselpaars kannPersonnun einer beliebigen Instanz zum Abholen schicken, welche eine Beglaubigung verlangt
Szenario "Ausweisen"
Personerzeugt ein temporäres SchlüsselpaarPersonschickt es an denBeglaubiger(z.B."Staat") und bestimmt die zu beglaubigenden Daten, z.B. "Name, Anschrift"Beglaubigerschreibt den aktuellen Zeitstempel vor jedes vonPersonbestimmte Klartext-Datum (Name, Vorname, o. ä.) und verschlüsselt dies mit dem temporärenprivKeyvon PersonBeglaubigersigniert dies mit seinem eigenenprivKey- Zum Cipher wird ein Hash gebildet
Beglaubigerlegt den Cipher auf seinem öffentlich zugänglichen Server für ein Zeitfenster (z.B. 5min) ab, ein Hash dient zur Identifikation in einer URL- Verschlüsselt mit dem regulären
pubKeyvonPersonschicktBeglaubigeranPersonden signietenpubKeyund den Hash, mit dem das bereitgestellte Datenpaket identifiziert werden kann Personkann nun dem Vertragspartner (z.B. Autohändler) den temporärenpubKeyschicken, den sie selbst erzeugt hat und der vonBeglaubigersigniert wurde, zusammen mit der erhaltenen URL zu einem Dienst vonBeglaubiger(z.B. "Staat"), bei welchem das Paket als Cipher bereitsteht- Der Vertragspartner (Autohändler) holt beim Dienst von
Beglaubigerdie vonPersonhinterlegten Daten, dieBeglaubigerihm mit dem regulärenpubKeydes Vertragspartners (Autohändler), also über seine eigene Vertrauensbeziehung zu ihm verschlüsselt anbietet - Der Vertragspartner (Autohändler) packt das empfangene Paket mit
seinem regulären
privKeyaus - Der Vertragspartner (Autohändler) prüft und entfernt die Signatur
von
Beglaubigeraus dem Paket und packt es mit seinemprivKeyaus - Der Vertragspartner (Autohändler) prüft und entfernt die Signatur
von
Beglaubigervom temporärenpubKeyvonPerson - Der Vertragspartner packt das verbleibende Resultat mit dem
temporären
pubKeyvon Person aus, den sie ihm zugesendet hat - Damit sind exclusiv die von
Personbestimmten Daten vonBeglaubigervor dem Vertrangspartner für einen bestimmten Zeitpunkt ausgewiesen.
Szenario "Altersverifizierung"
- Die Altersverigikation
könnte wie oben funktionieren, doch als Datum wählt
Persondas Geburtsdatum bei einem Dienst, der mit seiner Aufforderung zum Altersnachweis den Jugendschutz erfüllt.
Szenario "Quittung"
- Wie oben, doch als Datum übergibt
Personeinen Hash-Wert, welcherBeglaubigerzusammen mit Zeitstempel fürPersonquittiert wird. Damit ist beglaubigt, dassPersonKenntnis genommen hat von einem beliebigen Inhalt, zu dem der entsprechende Hash-Wert gebildet werden kann. - Die beim
Beglaubigerabgeholten Datenpakete können zusammen mit dempubKeyden Ausweis- oder Quittungsvorgang dauerhaft als rechtskräftig nachweisen.
Szenario Online-Kauf
- Person will beim Vertragspartner (z.B. Autohändler) einen Kauf
tätigen
Vertragspartner weist sich vor Person aus
Person weist sich vor Vertragspartner aus
Die Adressen werden in den Vertrag eingesetzt
Es wird ein Hash über den Vertrag gebildet
Der Vertragspartner lässt den Hash staatlich quittieren
Person holt die staatliche Quittung des Vertragspartners
Person lässt den Vertrag staatlich quittieren
Vertragspartner holt die staatliche Quittung
Mit dem
privKeydes Beglaubigers "Staat", dempubKeyzur Quittung, die Person von der Gegenpartei hat und dem Cipher kann jeder:- Den Cipher mit dem eigenen
privKeydes Beglaubigers auspacken - Die Signatur des Beglaubigers mit seinem
pubKeyverifizieren und entfernen - Mit dem
pubKeyder Gegenpartei den Hash validieren - Selbst über den Kaufvertrag den Hash bilden
- Den Cipher mit dem eigenen
Dadurch haben beide die Quittung dafür, dass die Gegenpartei vom Inhalt zum bestehenden Zeitpunkt Kenntnis genommen hat
Finanzielle Dienstleister
- Die Identität jede Finanzbehörde (z.B. Bank) ist durch den Staat beglaubigt und kann von jedem als vertrauenswürdig überprüft werden
- Beim Erstellen eines Kontos bei einem Finanzunternehmen können sich beide voreinander ausweisen und der Vertrag zwischen Kontoinhaber und Unternehmen kann vom Beglaubiger "Staat" beglaubigt werden (so wie beim Autokauf)
- Darauf basierend kann nun dem Kontoinhaber vom Finanzunternehmen fortan ein Schlüsselpaar ausgestellt werden.
- Der Finanzdienstleister kann nun das Beglaubiger-Pattern wiederverwenden und wird damit zum Beglaubiger der Konto-Daten des Kontoinhabers
Online-Dienste
Jeder Online-Dienst kann das Beglaubiger-Pattern wiederverwenden und analog ein Schlüsselpaar erstellen, von dem er den öffentlichen Schlüssel zur Identifikation behält.
Nachrichtendienste (Email) und SocMed
- Person kann sich beim Anbieter ein Schlüsselpaar erzeugen und behält davon den privaten Schlüssel.
- Ihren öffentlichen hinterlegt sie beim Anbieter des Dienstes (Email-Anbieter, SocMed-Anbieter).
- Die Nachricht einer anderen Person an ihn wird damit verschlüsselt.
- Nur der Empfänger kann die Nachricht mit seinem
privKeyentschlüsseln und lesen. - Wahlweise kann der Sender einen Nachrichten-Hash signieren.
- Der Empfänger kann wahlweise unsignierte Nachrichten und Nachrichten mit unbekannten Signaturen blockieren.
- Mit dem Beglaubiger "Nachrichtendienst" (z. B. Email) kann Person sich von Anfang an mit einer beglaubigten Email-Adresse registrieren.
Zusammenwirkung der beglaubigten Identitäten
- Die staatliche ID wirkt, sobald eine juristische oder natürliche Person rechtskräftige Verträge abschließen will oder berechtigtes Interesse an personenbezogenen Daten hat.
- Die Finanz-ID kann als Bezahlmethode wirken.
- Proprietäre Identifikationsverfahren von Lieferdiensten könnten
entfallen. Theoretisch bräuchte es keine Klingelschilder mehr, indem
Zusteller den
privKeydes Dienstes anstatt den Namen verlangen. Dafür wird bei einer Bestellung lediglich die Lieferadresse präzisiert (z.B. "1. OG, Wohnung 5, Hauptstraße 1, München, Deutschland")
Garantie maximaler Freiheit
Trotz dieser Vielzahl von veschwundenen Problemem durch den Einsatz des Beglaubiger-Patterns durch den Staat blieben zunächst folgende Gefahren bestehen:
- Staatliche Überwachung und Zentralisierung von Macht: Eine zentrale Vertrauensinstanz könnte missbraucht werden (z. B. zur totalen Überwachung, zum „Social Scoring" oder zum Ausschluss bestimmter Personen von Diensten).
- Privatsphäre: Auch selektive Datenübertragung könnte zur Profilbildung führen, wenn viele Instanzen zusammenarbeiten.
- Technische Umsetzung: Die Infrastruktur müsste extrem sicher gegen Angriffe, Insider-Bedrohungen und Kompromittierung sein.
- Akzeptanz und Adoption: Nutzer müssten die Infrastruktur freiwillig nutzen oder gesetzlich verpflichtet werden.
- Internationale Interoperabilität: Verschiedene Staaten könnten unterschiedliche Systeme haben oder gar nicht mitmachen.
Um also bei einer staatlich verankerten Identitätsinfrastruktur die maximale Freiheit und Anonymität zu garantieren, wären mehrere zusätzliche Maßnahmen und Kontrollmechanismen nicht nur nötig, sondern durch die nun bestehenden Garantien auch erst möglich, die den Staat selbst überwachen und Missbrauch verhindern:
- Technische Maßnahmen: Keine Metadaten, Zero-Knowledge-Proofs, strikte Datenminimierung, automatische Löschung, dezentrale Speicherung.
- Rechtliche Maßnahmen: Überwachungsgesamtrechnung, Zweckbindung, Transparenzpflichten, Bürgerrechte auf Auskunft und Löschung.
- Kontrollorgane: Unabhängige Datenschutzkommission, parlamentarische Kontrolle, Gerichte, Ombudsstellen, Whistleblower-Schutz.
- Gesellschaftliche Kontrolle: Zivilgesellschaft, Medien, öffentliche Debatte, internationale Standards.
1. Technische und rechtliche Schutzmaßnahmen
a) Überwachungsgesamtrechnung / Transparenzregister
- Radikale Minimierung von Metadaten: In einem Ökosystem, welches das Beglaubiger-Pattern durchgehend nutzt, könnte Metadaten-Logging gezielt einschränt, bzw. aus Datenschutz-Gründen sogar verboten werden. Ein Weglassen oder starkes Zuschneiden von personenbezogenen Metadaten (IP-Adressen, User-Agent, Standort), wenn sie nicht sicherheits- oder compliance-relevant sind, wäre durch das gewonnene Vertrauen des Beglaubiger-Patterns erstmals möglich. Logs könnten lokal bei den beteiligten Organisationen gehalten werden, und nur stark aggregierte oder anonymisierte Sicherheitsindikatoren zentral auswertet werden. Es wären kürzere Speicherfristen, striktere Zweckbindung („nur Security/Fehlersuche, keine Profilbildung“) möglich, weil Authentizität unabhängig davon garantiert ist. Damit würde die Rolle eines zentralisierten Metadaten-Loggings aus „Identitätsstütze + Security + Betrieb“ eher auf „Security + Betrieb“ erheblich schrumpfen. Jedoch ein vollständiger Verzicht wäre aus Sicherheits-, Betriebs- und Regulierungsperspektiven weiterhin nicht realistisch.
- Zentrale Dokumentation aller Zugriffe: Jede Abfrage personenbezogener Daten durch Behörden, Gerichte oder andere Stellen müsste in einem zentralen, unveränderlichen Log erfasst werden (wer, wann, warum, welche Daten).
- Automatisierte Benachrichtigung: Betroffene Personen müssten nach einer gewissen Frist (z. B. 6–12 Monate) automatisch informiert werden, welche Stellen auf ihre Daten zugegriffen haben – es sei denn, es liegt ein richterlicher Beschluss zur Geheimhaltung vor (z. B. bei laufenden Ermittlungen).
- Öffentliche Jahresberichte: Alle Behörden müssten jährlich offenlegen, wie oft und zu welchen Zwecken sie auf die Identitätsinfrastruktur zugegriffen haben (aggregiert, ohne Personenbezug).
b) Zweckbindung und Datenminimierung
- Strikte Zweckbindung: Jede Datenübermittlung darf nur für einen konkret definierten, gesetzlich erlaubten Zweck erfolgen (z. B. „Altersverifikation für Portal X“). Eine Weiterverwendung für andere Zwecke wäre verboten.
- Selektive Datenfreigabe: Es dürfen nur die absolut notwendigen Attribute übermittelt werden (z. B. „über 18“ statt des genauen Geburtsdatums; „wohnhaft in DE“ statt der vollständigen Adresse).
- Automatische Löschung: Zugriffs-Logdaten und zwischengespeicherte Attribute müssten nach einer festen Frist (z. B. 30–90 Tage) automatisch gelöscht werden.
c) Technologische Schutzmechanismen
- Zero-Knowledge-Proofs: Die Infrastruktur sollte so designed sein, dass der Staat zwar die Attribute signieren kann, aber nicht mitverfolgt, wann und wo sie verwendet werden (z. B. durch blinde Signaturen oder Zero-Knowledge-Protokolle).
- Ende-zu-Ende-Verschlüsselung: Alle Datenübertragungen zwischen Nutzer, Dienst und staatlicher Infrastruktur müssten verschlüsselt sein; der Staat dürfte nur die Signatur, nicht aber die Inhalte sehen.
- Dezentrale Speicherung: Die Identitätsdaten sollten nicht zentral in einer Datenbank liegen, sondern verschlüsselt auf den Geräten der Nutzer (z. B. im EUDI Wallet), mit nur signierten Attributen vom Staat.
2. Unabhängige Kontrollorgane
a) Unabhängige Datenschutz- und Aufsichtskommission
- Zusammensetzung: Ein Gremium aus Richtern, Datenschutzexperten, Bürgerrechtlern, Technikingenieuren und Vertretern der Zivilgesellschaft (nicht nur Regierungsmitglieder).
- Befugnisse:
- Vollständiges Einsichtsrecht in alle Logs und Prozesse der Identitätsinfrastruktur.
- Befugnis, unberechtigte Zugriffe zu untersuchen und zu sanktionieren.
- Recht, den Betrieb der Infrastruktur bei Missbrauch vorläufig auszusetzen.
- Veröffentlichung von Jahresberichten und Missbrauchsfällen.
- Vergleichbare Modelle:
- In Deutschland: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschutzbeauftragten.
- Auf EU-Ebene: Der Europäische Datenschutzbeauftragte (EDSB).
- In anderen Ländern: Unabhängige „Privacy Commissioners" (z. B. Kanada, Neuseeland).
b) Parlamentarische Kontrolle
- Sonderausschuss des Parlaments: Ein spezieller Ausschuss (analog dem G10-Ausschuss in Deutschland) müsste regelmäßig über die Nutzung der Infrastruktur informiert werden und könnte bei Missbrauch parlamentarische Untersuchungen einleiten.
- Geheimhaltungspflicht mit Kontrolle: Auch bei sensiblen Ermittlungen müsste es eine nachgelagerte Kontrolle geben (z. B. durch eine vertrauliche Kommission, die nach Abschluss der Ermittlungen prüft).
c) Unabhängige Gerichte und Ombudsstellen
- Verfassungsgerichtliche Kontrolle: Das Bundesverfassungsgericht oder ein spezieller „Digitaler Senat" müsste über die Verfassungsmäßigkeit der Infrastruktur und einzelner Zugriffe entscheiden können.
- Bürgerombudsmann: Eine Anlaufstelle für Bürger, die Missbrauch vermuten, mit der Befugnis, eigenständig Ermittlungen einzuleiten und beim Staat Auskünfte zu verlangen.
3. Bürgerliche Rechte und Abwehrmöglichkeiten
a) Auskunfts- und Löschungsrechte
- Jeder Bürger müsste das Recht haben, vollständige Auskunft über alle Zugriffe auf seine Daten zu erhalten.
- Bei unrechtmäßigen Zugriffen müsste ein Löschungs- und Unterlassungsanspruch bestehen.
b) Whistleblower-Schutz
- Mitarbeiter der Infrastruktur oder Behörden, die Missbrauch melden, müssten umfassenden Schutz vor Repressalien haben (analog dem Hinweisgeberschutzgesetz).
c) Anonymitätsmodi für bestimmte Situationen
- Stärker anonymisierte Nutzung: Für eine Vielzahl von Diensten (z. B. politische Meinungsbildung, Journalismus, Selbsthilfeforen) wäre eine konsequent anonyme Nutzung möglich, bei der überhaupt keine Identitätsdaten übermittelt werden müssen.
- Pseudonymität: Nutzer könnten sich ein Pseudonym staatlich beglaubigen lassen, welches jedoch nicht rückverfolgbar ist, um sich z. B. für Foren oder an sozialen Netzwerken anzumelden.
4. Gesellschaftliche und politische Kontrolle
- Zivilgesellschaftliche Beobachtung: NGOs wie Digitalcourage, Chaos Computer Club, Amnesty International etc. müssten Zugang zu aggregierten Daten und Berichten haben.
- Öffentliche Debatte: Regelmäßige öffentliche Anhörungen, Bürgerforen und Expertenkommissionen, um die Infrastruktur demokratisch zu begleiten.
- Internationale Standards: Einbindung in internationale Datenschutzabkommen und Kontrolle durch Gremien wie den Europarat oder die UN.
Nur durch diese Kombination aus Technik, Recht und Kontrolle könnte verhindert werden, dass der Staat selbst zum Überwachungsakteur wird. Erst durch seine Kontrolle kann eine solche Infrastruktur das Internet insgesamt deutlich sicherer, vertrauenswürdiger und rechtsstaatlicher machen, und sie brächte auch neue ethische und politische Herausforderungen mit sich.