EU Digital Identity & Haftung bei Identitätsdiebstahl: Wenn meine digitale Identität durch eine Sicherheitslücke in der staatlich zertifizierten App (Zukünftigen App) gestohlen wird und Straftaten in meinem Namen begangen werden wer haftet?
Sehr geehrter Herr Fritz Güntzler
als angehender Fachinformatiker sehe ich die Pläne zur EU Digital Identity Wallet (EUDI) und Chatkontrolle technisch kritisch. Durch die Bündelung von Identität, Zahlungs- und Gesundheitsdaten schaffen wir ein massives Angriffsziel. Selbst bei dezentraler Speicherung bleibt die Update-Infrastruktur ein "Single Point of Failure" für Supply-Chain-Attacks.
Meine zentrale Frage: Wenn meine digitale Identität durch eine Sicherheitslücke in der staatlich zertifizierten App (Zukünftigen App) gestohlen wird und Straftaten in meinem Namen begangen werden wer haftet? Muss ich als Bürger beweisen, dass ich es nicht war (Beweislastumkehr), oder übernimmt der Staat die volle Haftung für seine Infrastruktur?
Ich bitte um eine konkrete Antwort zur Haftungsfrage, keine allgemeinen Verweise auf Sicherheitsstandards.
Sehr geehrter Herr R. ,
vielen Dank für Ihre technisch fundierte und zugleich sehr konkrete Anfrage. Ihre Hinweise auf mögliche Angriffsszenarien – insbesondere im Hinblick auf Update-Infrastrukturen und Supply-Chain-Risiken – zeigen, dass Sie sich intensiv mit der Materie auseinandersetzen. Gerade bei einem Projekt dieser Tragweite ist eine solche kritische Begleitung wichtig und notwendig.
Zunächst zum rechtlichen und politischen Rahmen: Die Umsetzung der europäischen eIDAS-2.0-Verordnung ist für alle Mitgliedstaaten verbindlich. Bis zum 21. November 2026 muss jedem Bürger und Unternehmen eine sogenannte EUDI-Wallet zur Verfügung gestellt werden. Ziel ist es, eine europaweit interoperable digitale Identitätsinfrastruktur zu schaffen, mit der sich Bürgerinnen und Bürger sicher authentifizieren sowie digitale Nachweise – etwa Führerschein, Zeugnisse oder andere Attributsbescheinigungen – vorlegen können.
Im Rahmen der laufenden Ausgestaltung setzt sich Deutschland in den europäischen Verhandlungen insbesondere dafür ein, dass Interoperabilität, einheitliche Standards für personenbezogene Identitätsdaten (PID), sowie – für Ihre Frage besonders relevant – Pseudonymität und Nichtverfolgbarkeit der Nutzer technisch und rechtlich abgesichert werden. Ebenso wird darauf geachtet, dass Bund, Länder und Kommunen von Beginn an in einem „föderal-by-design“-Ansatz eingebunden werden, um Sicherheits- und Haftungsfragen nicht isoliert, sondern systemisch zu betrachten.
Zu Ihrer zentralen Frage der Haftung: Eine abschließende und belastbare Aussage zur konkreten Haftungsverteilung kann ich zum jetzigen Zeitpunkt nicht treffen. Die Haftungsarchitektur ist derzeit Gegenstand rechtlicher und politischer Abstimmungen auf europäischer wie nationaler Ebene. Dabei geht es unter anderem um die Rollenverteilung zwischen ausstellendem Staat, Wallet-Anbieter, Vertrauensdiensteanbietern, Plattformbetreibern und gegebenenfalls privaten Drittanwendungen.
Eine „Beweislastumkehr“ dahingehend, dass Bürgerinnen und Bürger pauschal ihre Unschuld beweisen müssten, ist mit rechtsstaatlichen Grundsätzen nicht vereinbar. Sollte es zu einem Identitätsmissbrauch kommen, wären – wie auch bei anderen Formen des Identitätsdiebstahls – die konkreten Umstände des Einzelfalls maßgeblich. Vorstellbar wäre aus meiner persönlichen Sicht, dass der Staat für Infrastrukturprobleme haftet, der Bürger für grobe Fahrlässigkeit.
Für Ihre engagierte und fachlich fundierte Rückmeldung danke ich Ihnen ausdrücklich.
Mit freundlichen Grüßen
Fritz Güntzler, MdB
Weitere Fragen an Fritz Güntzler
Die von der Partei Die Linke und dem DIW vorgeschlagenen Modelle einer Vermögensteuer verkennen zudem die möglichen negativen Auswirkungen auf Investitionen, Innovationskraft und Standortattraktivität.
Die wirksamste Antwort auf Steuerbetrug ist nicht zwingend die Einführung neuer Steuern, sondern eine effektive Rechtsdurchsetzung, internationale Kooperation und klare, rechtssichere Regelungen.
Diplomatische Präsenz bedeutet nicht politische Billigung.
Für uns als CDU/CSU gilt deshalb: Wir sollten zunächst die anstehende Entscheidung des Bundesverfassungsgerichts abwarten und uns in der Zwischenzeit auf das konzentrieren, was unser Land dringend braucht – die Stärkung der Wettbewerbsfähigkeit unseres Wirtschaftsstandorts.