ITRE-Ausschuss verschiebt Abstimmung über eIDAS
Nach anhaltenden Protesten wurde die Abstimmung zur eIDAS-Novelle im federführenden Parlamentsausschuss aufgrund von "prozeduralen Fehlern" vertagt.
(Bild: Ivan Marc/Shutterstock.com)
Der Ausschuss des Europäischen Parlaments für Industrie, Forschung und Energie (ITRE) hat seine für heute vorgesehene Abstimmung über die Novellierung der eIDAS-Verordnung verschoben. Als Grund dafür nannte der Ausschussvorsitzende Cristian-Silviu Buşoi aber nicht den öffentlichen Protest gegen die Gesetzesnovelle, sondern "ein paar Dinge auf der technischen Ebene", die noch geklärt werden müssten. Berichterstatterin Romana Jerković sprach dagegen von "prozeduralen Fehlern", die für die Verschiebung auf den 7. Dezember gesorgt hätten.
Eine kurzfristige Anfrage von heise online an Romana Jerković, um was für Fehler es sich dabei handele, blieb bislang unbeantwortet. Laut dem Abgeordneten Patrick Breyer fehle in der im Rat versandten Version des Textes angeblich ein Satz oder Absatz. Eine Formalität, die aber mehr Zeit für Diskussion und Kritik schaffe und von Kritikern wie Breyer daher als Erfolg gewertet wird.
Eigentlich soll eIDAS einen Rahmen für eine europäische digitale Identität schaffen, inklusive einer digitalen Wallet für EU-Bürger. Auch an Aspekten dieser Wallet gibt es Kritik, hauptsächlich wird aber gegen einen Nebenaspekt argumentiert, den Artikel 45 der Verordnung. Er soll künftig Browserherstellern vorschreiben, qualifizierte Webseitenzertifikate (Qualified Website Authentication Certificate, QWAC) als Vertrauensanker für TLS-Verschlüsselung zu akzeptieren und dem Nutzer die darin enthaltenen Informationen deutlich anzuzeigen. Befürworter sehen darin eine Stärkung europäischer Positionen gegenüber den – vornehmlich außereuropäischen – Browserherstellern.
Kritiker befürchten hingegen, dass solche staatlich verordneten Root-Zertifikate "die Sicherheit des Internets als Ganzes schwächen", unter anderem weil sie die Position von Browsern gegenüber den Zertifizierungsstellen aushöhlen: Normalerweise können Browserhersteller damit drohen, Zertifikate einer solchen Stelle nicht mehr anzuerkennen, wenn sie zu oft falsche oder fehlerhafte Zertifikate ausstellt, mit der sicherheitstechnischen Entwicklung nicht Schritt hält oder anderweitig gegen Sicherheitsregularien verstößt. Bei erzwungener Akzeptanz fehlt dieses Druckmittel.
Um diesen Befürchtungen zu begegnen, haben das Parlament und der EU-Rat kurz vor Abschluss der (nicht öffentlichen) Verhandlungen im Trilog Formulierungen in den sogenannten Erwägungsgründen der Verordnung angepasst. Allerdings blieb der eigentliche Gesetzestext unverändert, weshalb die Kritik anhielt und die nun verschobene Abstimmung aufmerksam verfolgt wurde. Falls der ITRE-Ausschuss nun am 7. Dezember der Verordnung zustimmt, wovon auszugehen ist, müssen noch die Mitgliedstaaten im EU-Rat über die eIDAS-Novelle abstimmen, sowie das Plenum des Europäischen Parlamentes, was als Formsache gilt. Dieser letzte Schritt ist für Anfang 2024 geplant.
Laut Breyer plant die Parlamentsmehrheit außerdem eine "gemeinsame Erklärung" von Parlament, Rat und Kommission zur Thematik. Deren Wortlaut sei aber noch offen und vor allem sei eine solche Erklärung nicht rechtlich bindend.
(syt)
