Das Identitäts-Paradoxon: Wie Europas Online-ID-Mandat zur Geschäftsgrundlage von Betrügern wurde

Die unbequemste Schlagzeile der Woche kam nicht aus dem Berlaymont. Sie kam von einer niederländischen Zeitung, die via Telegraaf berichtete, dass Online-ID-Scans nun zu einem starken Anstieg von Betrugsfällen führen.

Für diejenigen von uns, die die eIDAS-2.0-Rahmenwerk und die breitere EU-Architektur für digitale Identität durch das Mitentscheidungsverfahren verfolgt haben, ist dies keine Überraschung. Es ist eine planmäßig erfüllte Prophezeiung.

Lasst mich erklären, was geschah, denn die Abfolge der politischen Maßnahmen ist entscheidend.

In den vergangenen drei Jahren hat Brüssel ein unauffällig enormes Regelwerk zusammengestellt. Der Digital Services Act forderte die Altersverifikation für sensible Inhalte. Der AI Act verlangte Identitätsgewissheit für bestimmte hochriskante Einsatzszenarien. Nationale Umsetzungen von Geldwäscheregeln drängten Plattformen zu Dokumentscans für immer kleinere Transaktionen.

Jede Maßnahme isoliert betrachtet war vertretbar. Zusammen schufen sie etwas, das keine Folgenabschätzung erfasste: einen Kontinent, in dem der durchschnittliche Bürger nun mehrmals monatlich ein Foto seines Passes oder seiner nationalen Identitätskarte an ein privates Unternehmen hochlädt.

Was natürlich genau der Datensatz ist, den ein kompetenter Betrüger sich selbst entwerfen würde, wenn man ihm einen Blankoscheck gäbe.

"Wir haben das Heuhaufen legislativ erschaffen und sind nun erstaunt, dass Nadeln daraus gestohlen werden."

Die niederländische Berichterstattung ist der Kanarienvogel. Die Niederlande haben eine der digital-literatesten Bevölkerungen in der Union und eine der besser ausgestatteten Betrugsbehörden. Wenn das Signal dort zuerst sichtbar wird, liegt das daran, dass die Instrumente schärfer sind, nicht daran, dass das Problem anderswo kleiner ist.

Die Mechanik ist deprimierend einfach. Ein Verbraucher scannt seinen Ausweis zur Altersverifikation auf einer Glücksspielseite, zum Öffnen eines Neobank-Kontos, zum Mieten eines Rollers, zum Zugriff auf eine Adult-Plattform, zur Anmeldung bei einer unter MiCA betriebenen Kryptobörse. Der Scan durchläuft Verifizierungsanbieter, Unterprozessoren und Cloud-Speicher in Jurisdiktionen, die der Verbraucher nicht benennen kann.

Ein Sicherheitsverletzung irgendwo in dieser Kette, und das Dokument steht zum Verkauf. Anders als ein Passwort kann man sein Gesicht nicht erneuern.

Nun, wer profitiert?

Zunächst die Verifizierungsindustrie selbst. Eine kleine Konstellation von Identity-Tech-Anbietern — die meisten mit Sitz in London, Amsterdam und Tallinn — ist zur unverzichtbaren Infrastruktur geworden. Branchenschätzungen deuten darauf hin, dass sich der europäische KYC- und Identitätsverifizierungsmarkt in den vergangenen vier Jahren ungefähr verdoppelt hat. Jede neue Richtlinie ist eine Einnahmequelle.

Auch große Plattformen profitieren, werden dies aber nicht zugeben. Verbindliche ID-Verifikation ist ein Compliance-Burggraben. Ein Start-up kann sich den Vendor-Stack nicht leisten, den Meta oder Booking.com als Rundungsfehler integriert. Regulierung im Namen des Verbraucherschutzes hat wiederum die Zugbrücke um die etablierten Anbieter hochgezogen.

Und die Betrüger profitieren am meisten. Sie mussten die Datenbank nicht aufbauen. Wir haben sie für sie gebaut und dann angeordnet, dass die Bürger sie weiter füllen.

Die Verlierer sind die offensichtlichen: der Bürger, dessen gestohlene Identität zum Öffnen von Konten verwendet wird, die er zwei Jahre lang anfechten wird, und die kleineren Händler, die die Rückbuchungen aufnehmen, während der Verifizierungsanbieter nach oben abrechnet.

Es gibt eine zweite Folge, die Brüssel noch nicht verarbeitet hat. Die European Digital Identity Wallet — die EUDI Wallet — war genau dafür konzipiert, dieses Problem zu lösen. Selektive Offenlegung, Zero-Knowledge-Proofs, von Bürgern verwaltete Zugangsdaten. Theoretisch beweist man, dass man über achtzehn ist, ohne Geburtsdatum, Adresse und Dokumentnummer preiszugeben.

In der Praxis ist der Rollout der Wallet den Verifizierungsmandaten um Jahre hinterhergehinkt. Die Mitgliedstaaten befinden sich in radikal unterschiedlichen Phasen. Private Plattformen, die unmittelbaren DSA- und AML-Fristen gegenüberstehen, warteten nicht. Sie bauten die Document-Scan-Wirtschaft auf, weil die Wallet nicht einsatzbereit war.

Dies ist die wiederkehrende Pathologie der EU-Digitalpolitik: Die Verpflichtung kommt pünktlich an, die Infrastruktur, die die Verpflichtung sicher machen würde, nicht.

Was jetzt geschieht, hängt davon ab, ob die Kommission die niederländischen Zahlen als Anomalie oder als Warnung behandelt. Die ehrliche Lesart ist, dass jeder Mitgliedstaat innerhalb von zwölf bis achtzehn Monaten ähnliche Zahlen produce wird, weil die zugrunde liegende Architektur identisch ist.

Eine ernsthafte Antwort würde drei Dinge bedeuten. Pausierung neuer ID-Scan-Mandate, bis die EUDI Wallet funktionelle Parität über alle Mitgliedstaaten hinweg erreicht. Verhängung strenger Datensparsamkeits-Audits bei Verifizierungsanbietern, mit echten Geldstrafen, nicht der PostNL-Art, die als "unverhältnismäßig" bezeichnet werden. Und das schriftliche Eingeständnis, dass die Speicherung von Dokumentbildern nun eine Kategorie kritischer Infrastruktur ist.

Nichts davon steht im aktuellen Arbeitsprogramm.

Also die Frage, die ich dem zuständigen Kommissar stellen würde, wenn das Mikrofon offen wäre: Wie viele Sicherheitsverletzungen wird es brauchen, bis Brüssel zugibt, dass das Heilmittel, in falscher Reihenfolge eingesetzt, zu einem Vektor geworden ist?