Die verborgenen Risiken des Digital Identity and Attributes Trust Framework (DIATF) und der Interoperabilität
Wie bereits existierende zentralisierte Datensätze einen verpflichtenden nationalen Digitalausweis erschaffen könnten – selbst ohne One LoginConscientious Currency
Wie inzwischen jeder weiß, hat die britische Regierung neue Anforderungen zur digitalen Identitätsverifizierung für Direktoren über Companies House eingeführt.
Was viele möglicherweise nicht wissen, ist, dass diese Anforderungen sich mit dem britischen Digital Identity and Attributes Trust Framework (DIATF) überschneiden – dem Regelwerk der Regierung dafür, wie verifizierte Identitätsattribute und -nachweise von zertifizierten Organisationen dienstübergreifend wiederverwendet werden können. Diese Regeln werden von Regierungsministerien, nicht vom Parlament, veröffentlicht und regelmäßig aktualisiert. Die neueste Version findet sich hier: UK Digital Identity and Attributes Trust Framework collection.
Ziel dieses Artikels ist es, das DIATF zu untersuchen, wie es innerhalb der umfassenderen digitalen Identitätsagenda operiert und wie es in der Praxis zu einem de-facto verpflichtenden nationalen digitalen Identitätssystem führen könnte. Viele Menschen, mich eingeschlossen, finden dieses gesamte Gebiet verwirrend – und die britische Regierung hat es nicht klarer gemacht. Ich vermute, dass dieser Mangel an Klarheit kein Zufall ist. Vieles der in offiziellen Leitfäden und politischen Dokumenten verwendeten Terminologie ist ungewohnt und daher für die meisten Menschen irreführend.
Dieser Artikel soll diese Komplexität durchdringen: erklären, was DIATF ist, wie es funktioniert und warum das Framework erhebliche Risiken birgt. Meine Hoffnung ist, dass Leser durch das Entpacken des Fachjargons und das Aufzeigen, wie die Teile zusammenpassen, die Gefahren dieses Frameworks und die Art und Weise, wie es aufgrund der Wechselwirkung mit dem Data Use and Access Act 2025 eine nationale digitale Identitätsinfrastruktur im Verborgenen etablieren könnte, besser verstehen werden.
Detaillierte Erklärung des DIATF
Was DIATF ist: Das britische Digital Identity and Attributes Trust Framework ist eine Sammlung von Regeln und Standards, die definieren, wie „gute“ digitale Identitäts- und Attributdienste aussehen. Organisationen können eine unabhängige Zertifizierung nach diesem Framework anstreben, um Konformität nachzuweisen.
Wer es veröffentlicht und aktualisiert: Das Framework wird vom Office for Digital Identities and Attributes (ODIA) und dem Department for Science, Innovation and Technology (DSIT) veröffentlicht und aktualisiert. Dies sind Regierungsministerien, nicht das Parlament.
Aktualisierungsprozess: Das Framework wird regelmäßig überarbeitet und in Versionen veröffentlicht (z. B. „Beta“, „Gamma“), wobei Aktualisierungen auf der offiziellen GOVUK-Website verzeichnet werden. Beispielsweise wurde die Gamma-Version (0.4) im November 2024 veröffentlicht und im Juni 2025 aktualisiert.
Rolle der Zertifizierung: Unabhängige Konformitätsbewertungsstellen (CABs) können Dienste gemäß den DIATF-Anforderungen zertifizieren. Dies ermöglicht es, verifizierte Identitätsattribute und -nachweise von zertifizierten Organisationen zu erstellen und über viele verschiedene Dienste hinweg wiederzuverwenden.
Definiert grundlegende Attribute: Der minimale Satz an Identitätsdetails, die benötigt werden, um eine vertrauenswürdige digitale Identität zu etablieren. Diese sind – Name, Geburtsdatum, Adresse, Nationalität/Staatsbürgerschaft und Dokumentenreferenznummern (wie Pass- oder Führerscheinnummern). DIATF erkennt auch andere Attribute jenseits dieser Grundlagen an, wie z. B. Arbeitserlaubnis, Qualifikationen oder Berufslizenzen, die gleichermaßen verifiziert und wiederverwendet werden können.
Rolle des Parlaments: Das Parlament ist nicht direkt an der Veröffentlichung oder Aktualisierung des DIATF beteiligt. Stattdessen käme die Rolle des Parlaments nur ins Spiel, wenn Gesetze erforderlich wären, um Aspekte der digitalen Identitätspolitik zu unterstützen oder durchzusetzen. Das Framework selbst ist ein von der Regierung geführtes Standardsdokument, kein Parlamentsgesetz.
Der Data Use and Access Act 2025 (DUAA 2025)
Bereits verabschiedetes Primärrecht: Der DUAA 2025 erhielt im Juni 2025 die königliche Zustimmung. Er schuf eine rechtliche Grundlage für digitale Identitätsverifizierungsdienste, Smart-Data-Programme und breitere Datenaustauschinitiativen.
Befugnisse für Sekundärrecht: Der Großteil der Bestimmungen des Gesetzes ist dafür ausgelegt, durch Sekundärrecht (Rechtsverordnungen) umgesetzt zu werden. Das bedeutet, Minister können den Umfang der Datennutzung erweitern oder anpassen, ohne jedes Mal ein neues Parlamentsgesetz zu benötigen.
Digitales Identitäts-Framework: Das Gesetz unterstützt ausdrücklich das Digital Identity and Attributes Trust Framework, indem es ihm gesetzliche Rückendeckung gibt. Zertifizierte Anbieter digitaler Identitätsnachweise können in ein öffentliches Register aufgenommen werden, und Dienste können ein staatliches „Vertrauenssiegel“ führen.
Smart-Data-Programme: Das Gesetz schuf auch Rahmenwerke für „Smart Data“ – die reglementierte Datenportabilität und Wiederverwendung über Sektoren hinweg ermöglichen. Dies könnte grundsätzlich auf staatlich gehaltene Datensätze ausgeweitet werden, wenn sie als Teil solcher Programme bestimmt werden.
Implikationen für die Ausweitung der Nutzung bereits existierender staatlicher Datensätze
Potenzial für weitere Wiederverwendung aktueller staatlicher Datensätze: Da der DUAA 2025 Ministern erlaubt, neue Programme zu definieren und bestehende per Sekundärrecht auszuweiten, gibt es nun einen Weg, aktuell abgeschottete staatliche Datensätze als „grundlegend“ neu zu klassifizieren und in digitalen Identitätssystemen wiederzuverwenden.
Geringere parlamentarische Prüfung: Sekundärrecht erfährt typischerweise weniger Debatte und Aufsicht als Primärrecht. Das bedeutet, erhebliche Änderungen könnten mit begrenzter parlamentarischer oder öffentlicher Zustimmung eingeführt werden, wie oben angemerkt.
Rechtliche Schutzmaßnahmen: Selbst mit dem DUAA 2025 muss jede Ausweitung die UK-DSGVO und den Data Protection Act 2018 einhalten – einschließlich der Grundsätze der Rechtmäßigkeit, Fairness und Zweckbindung. Diese Schutzmaßnahmen können jedoch durch breite politische Interpretationen auf die Probe gestellt werden. Denn obwohl der DUAA 2025 die DSGVO nicht formal aufhebt, schafft er parallele rechtliche Wege, die ihre praktische Wirkung schwächen.
Indem er Ministern Befugnisse gibt, Datenaustauschprogramme ohne weiteres Primärrecht auszuweiten, riskiert der DUAA, die Kernschutzmaßnahmen der DSGVO bezüglich Einwilligung, Zweckbindung und Verhältnismäßigkeit zu untergraben.
Deshalb warnen Datenschutzbefürworter wie ich, dass der DUAA eine schrittweise Aushöhlung der DSGVO-Schutzmaßnahmen durch politisch getriebene Ausweitung, anstatt offener parlamentarischer Debatte, ermöglichen könnte.
Das Risiko des „Funktionsschleichens“ (Function Creep)
Die Kombination aus DIATF und dem DUAA 2025 schafft die Möglichkeit einer schrittweisen Ausweitung der Nutzung digitaler Identitätsdaten ohne neue Parlamentsgesetze. Während Aktualisierungen veröffentlicht werden (z.B. DIATF-Versionen auf GOV.UK), ist dies nicht dasselbe wie eine parlamentarische Debatte oder öffentliche Konsultation und Zustimmung.
Dies öffnet die Tür für leise politische Verschiebungen, die bereits vom Staat gehaltene personenbezogene Daten erheblich umwidmen könnten.
Das Information Commissioner’s Office (ICO) behält die Aufsicht, und gerichtliche Überprüfung bleibt ein letztes Mittel. Aber dies sind reaktive, nicht proaktive Schutzmaßnahmen. Der DUAA 2025 stellt daher den rechtlichen Mechanismus für die Ausweitung von DIATF und verwandten Programmen durch Sekundärrecht bereit, ohne weitere Primärgesetze.
Das bedeutet, es besteht ein echtes Risiko großangelegter Änderungen daran, wie aktuelle staatliche Datensätze in Zukunft genutzt werden könnten, mit begrenzter parlamentarischer oder öffentlicher Zustimmung, es sei denn, starke Aufsichtsmechanismen werden durchgesetzt. Solche Änderungen würden aktuelle Datensätze interoperabel machen.
Interoperabilität erklärt
Interoperabilität bedeutet, dass verschiedene Systeme „miteinander kommunizieren“ und dieselben verifizierten Identitätsdaten (digitale Nachweise) wiederverwenden können. Unter DIATF stellen zertifizierte Anbieter diese digitalen Nachweise aus, sobald Attribute gegen autoritative Aufzeichnungen verifiziert wurden (z. B. Passdetails, die gegen das HM Passport Office geprüft wurden).
Andere DIATF-zertifizierte Organisationen – wie Banken oder Arbeitgeber – können dann den Nachweis wiederverwenden, ohne die ursprüngliche Aufzeichnung erneut zu prüfen.
Die Gefahr hier ist eine breitere Datenwiederverwendung: Für einen Zweck gesammelte Daten (Steuern, Renten) könnten für einen anderen umgewidmet werden (Bankwesen, Wohnen). DIATF und DUAA 2025 machen dies technisch nahtlos, aber politisch bedeutet es, dass aktuell staatlich gehaltene Daten interoperabel und wiederverwendet werden können, ohne neue demokratische Aufsicht.
Aktuelle, bereits existierende Datensätze mit Wiederverwendungsrisiko
Beispiele aktueller autoritativer staatlicher Datensätze, die durch die oben beschriebenen Mechanismen als grundlegend klassifiziert und dann in digitalen Identitätssystemen wiederverwendet werden könnten, umfassen (sind aber nicht beschränkt auf):
- Companies House (Direktoren-Identitätsdetails)
- HM Passport Office (Passnummern, Nationalität, Ablaufdaten)
- DVLA (Führerscheinnummern, Ablaufdaten)
- HMRC (Steuerzahler-Identitätsdetails, Nationalversicherungsnummern)
- DWP (Leistungs- und Rentenakten)
- Wählerverzeichnis (Name, Adresse, Staatsbürgerschaftsstatus)
Alle diese Datensätze sind zentral in staatlichen Systemen gespeichert, aber derzeit in separaten Datenbanken abgeschottet. Unter DIATF und dem DUAA 2025 könnten sie theoretisch durch politische Aktualisierungen, anstatt neue Parlamentsgesetze, als grundlegend bestimmt werden. Dieser Bestimmungsprozess würde direkte parlamentarische Mandate und Bürgerzustimmung umgehen, was ernste Bedenken hinsichtlich der demokratischen Aufsicht aufwirft.
Da DIATF gemeinsame Formate und kryptografische Verifizierung erfordert, kann ein von einem grundlegenden Datensatz (wie dem HM Passport Office) ausgestellter Nachweis von einer anderen Organisation (wie einer Bank oder HMRC) erkannt werden.
In der Praxis bedeutet dies, dass Nachweise von mehreren zertifizierten Organisationen genutzt werden können – selbst wenn die Person NIEMALS ein One-Login-Konto einrichtet.
Ist das „wie ein Verkauf von Daten“?
Obwohl DIATF nicht buchstäblich den Verkauf von Datensätzen beinhaltet, schafft es eine funktionale Gleichwertigkeit:
- Staatlich gehaltene Daten werden für einen breiteren Verbrauch durch zertifizierte Organisationen, einschließlich privater Unternehmen, geöffnet.
- Für einen Zweck gesammelte Daten (Steuern, Renten, Pässe) können für einen anderen umgewidmet werden (Bankwesen, Wohnen, Beschäftigung).
- Bürger haben wenig Kontrolle, sobald Datensätze als grundlegend bestimmt sind.
Der Unterschied ist, dass keine finanzielle Transaktion stattfindet – stattdessen stellen zertifizierte Anbieter Nachweise aus, die Identitätsdaten kommerzialisieren, indem sie sie digital, übertragbar und wiederverwendbar machen. In der Praxis ist der Effekt ähnlich wie bei einem Verkauf: Daten werden zu einer gemeinsamen Ressource über Kontexte hinweg, ohne neue demokratische Aufsicht.
Um zu sehen, wie sich dies in der Praxis auswirkt, müssen wir betrachten, wie Datensätze durch das DIATF-Ökosystem wandern und interoperabel werden.
Wie verifizierte Datensätze durch das Ökosystem wandern und interoperabel werden
Sobald Datensätze als grundlegend klassifiziert sind, legt DIATF fest, wie sie dienstübergreifend wiederverwendet werden können, um Interoperabilität zu erreichen. Dies geschieht durch eine Kette zertifizierter Organisationen:
Autoritative Quelle: Ein Regierungsministerium wie das HM Passport Office oder die DVLA hält einen ursprünglichen Datensatz mit Bürgern, der dann als grundlegend klassifiziert wird.
Zertifizierte Anbieter: Ein zertifizierter Anbieter prüft die Details einer Person gegen diesen grundlegenden Datensatz und erzeugt verifizierte Attribute. Der Anbieter stellt dann einen digitalen Nachweis aus – ein kryptografisch signiertes Token, das verifizierte Identitätsdaten enthält, die von diesen Attributen abgeleitet sind. Verifizierte Attribute sind die prä-digitale Form, während der digitale Nachweis die portable, digitale Repräsentation unter DIATF ist.
Zertifizierte Organisationen: Andere Organisationen, öffentlich oder privat, die unter DIATF zertifiziert sind, können den digitalen Nachweis nutzen. Zum Beispiel kann eine Bank einen von einem Anbieter ausgestellten Nachweis als Identitätsnachweis akzeptieren.
Dieser Prozess macht Interoperabilität möglich. Zertifizierte Anbieter sind daher zentral für das DIATF-Ökosystem: Sie transformieren rohe Regierungsdaten in wiederverwendbare Nachweise und ermöglichen so Interoperabilität über zertifizierte Organisationen hinweg.
DIATF schafft Risiken jenseits von One Login und Gov Wallet
Die Regierung fördert One Login und Gov Wallet als Hauptweg zur Wiederverwendung von Identitätsdaten. Aber DIATF-Zertifizierung ist breiter:
- Wiederverwendung ohne One Login: Zertifizierte Anbieter und zertifizierte Organisationen können grundlegende Attribute direkt verarbeiten.
- De-facto nationales Digitalausweis-Risiko: Selbst wenn niemand jemals ein One-Login-Konto eröffnet, könnten zentral gehaltene staatliche Datensätze ein verpflichtendes nationales digitales Identitätssystem unterfüttern, sobald sie als grundlegend bestimmt und interoperabel gemacht wurden.
- Funktionsschleichen: Für einen Zweck gesammelte Daten (z. B. Firmenregistrierung) könnten schrittweise für viele andere (z. B. Steuern, Sozialleistungen, Bankwesen) wiederverwendet werden.
- Datenschutzbedenken: Sensible Details (Passnummern, Nationalversicherungsnummern, Adressen) werden zentral gespeichert und breit wiederverwendet.
- Sicherheitsrisiken: Zentralisierte Datensätze sind hochwertige Ziele für Cyberangriffe.
- Zustimmungsunschärfe: Nutzer mögen nicht realisieren, dass ihre bereits an den Staat abgegebenen Daten wiederverwendbar werden können, sobald sie als grundlegend klassifiziert sind.
- Sektorenübergreifende Nutzung: Private Akteure wie Banken und Vermieter können verifizierte Attribute nutzen.
- Irreversibilität: Sobald Attribute über Dienste hinweg vernetzt sind, ist es sehr schwierig, dies rückgängig zu machen.
Diese Risiken existieren nicht isoliert. Um zu verstehen, warum DIATF und grundlegende Datensätze so stark vorangetrieben werden, müssen wir die größeren Kräfte betrachten, die diese Agenda antreiben – von Regierungsambitionen und privater Sektorabhängigkeit bis zu Globalisierung, Agenda 2030 und dem Aufstieg der digitalen Finanzen.
Sobald diese Triebkräfte klar sind, wird offensichtlich, wo sich Widerstand richten muss.
Was treibt DIATF und grundlegende Datensätze an?
Es reicht nicht zu sagen, DIATF gehe um One Login oder Gov Wallet. Die wirklichen Treiber sind größer, global und finanziell. Hier ist das Gesamtbild:
1. Regierungsambition
Die britische Regierung sagt, sie wolle „Effizienz“: eine Identitätsprüfung, die über mehrere Dienste hinweg wiederverwendet wird. Sie will auch „Betrugsreduzierung“: weniger Fake-Konten, stärkere Verifizierung. Sie will „digitale Dienstleistungserbringung“: schneller, billiger und „vernetztere“ Regierung. Indem sie Datensätze als grundlegend bestimmt, schafft die Regierung die strukturellen Bedingungen für Wiederverwendung, ohne neue Parlamentsgesetze zu benötigen.
2. Nachfrage des privaten Sektors
Banken, Vermieter, Arbeitgeber und Versorgungsunternehmen stehen bereits unter gesetzlichen Pflichten (AML/KYC, Recht zu arbeiten, Recht zu mieten). DIATF gibt ihnen einen staatlich anerkannten Standard, um diesen Verpflichtungen nachzukommen.
Zertifizierte Anbieter (wie Yoti, GBG, Post Office EasyID) sehen kommerzielle Möglichkeiten im Ausstellen wiederverwendbarer Nachweise.
Sobald große Akteure DIATF übernehmen, könnten Bürger feststellen, dass sie ohne Nachweise nicht funktionieren können – was ein „Hintertür“-Pflicht-Ausweissystem schafft.
3. Globalisierung und internationaler Druck
Agenda 2030 (UN-Ziele für nachhaltige Entwicklung): SDG 16.9 fordert „rechtliche Identität für alle bis 2030“. Digitale Identitäts-Frameworks wie DIATF sind der Weg der Regierungen, Ziel 16.9 zu erfüllen.
Internationale Institutionen: IWF, Weltbank, OECD, FATF und BIZ fördern alle interoperable Identität als „essentiell“ für finanzielle Inklusion, Geldwäschebekämpfung und grenzüberschreitenden Handel. Interoperable digitale ID unterfüttert auch die weltweit entwickelten digitalen Währungssysteme.
Globale Ausrichtung: Die EU führt ihre European Digital Identity Wallet unter eIDAS 2.0 ein. Andere Länder (Kanada, Australien, Singapur) bauen ähnliche Systeme. DIATF ist daher nicht nur ein nationales Projekt – es ist Teil einer globalen Identitätsinfrastruktur, die über nationalen Regierungen aufgebaut wird.
4. Digitale Finanzen: CBDCs, Stablecoins und Tokenisierung
CBDCs (Zentralbankdigitale Währungen): Direkt von Zentralbanken ausgegeben, erfordern verifizierte Identität für AML/KYC, Betrugsprävention und programmierbare Funktionen. DIATF stellt die Identitätsschicht bereit, die CBDCs funktionsfähig macht.
Stablecoins: Private digitale Währungen, die an Fiat (z. B. £1 Stablecoin durch Sterling gedeckt) gekoppelt sind. Regulierer bestehen auf Identitätsprüfungen, um Geldwäsche zu verhindern und Stabilität zu gewährleisten. DIATF-Nachweise werden wahrscheinlich zum Standardweg, um Identität bei der Verwendung von Stablecoins im Alltag nachzuweisen.
Tokenisierung von Vermögenswerten: Reale Vermögenswerte (Immobilien, Aktien, Anleihen, sogar Kunst) werden zunehmend „tokenisiert“ – als digitale Token auf Blockchain- oder verteilten Ledger-Systemen repräsentiert. Um tokenisierte Vermögenswerte zu kaufen, verkaufen oder handeln, ist Identitätsverifizierung erforderlich. DIATF-Nachweise werden wahrscheinlich zum Tor für die Teilnahme an diesen Märkten, wodurch Identität in Eigentum und Transfer von Vermögenswerten eingebettet wird.
Zusammen bedeuten diese Entwicklungen, dass Identität mit Geld und Eigentum verschmolzen wird. Selbst wenn One Login oder Gov Wallet optional bleiben, könnten Bürger feststellen, dass sie ohne DIATF-Nachweise keine Finanzdienstleistungen nutzen, tokenisierte Vermögenswerte besitzen oder Stablecoins verwenden können.
5. Compliance- und Sicherheitsnarrative
Regierungen und Regulierer rahmen digitale Identität als essentiell für:
- Verhinderung von Geldwäsche und Terrorismusfinanzierung
- Erfüllung finanzieller Compliancestandards
- Schutz der Bürger vor Betrug
Diese Narrative werden von internationalen Gremien (FATF, IWF, Weltbank) geprägt, nicht nur von nationaler Politik.
6. Kommerzielles Ökosystem
Zertifizierte Anbieter und Technologieunternehmen lobbyieren für Frameworks wie DIATF, weil es einen Markt für wiederverwendbare Nachweise und Gewinnmöglichkeiten schafft. Einmal zertifiziert, können sie Dienste über mehrere Industrien verkaufen und Identitätsdaten kommerzialisieren. Dieser kommerzielle Anreiz beschleunigt die Einführung, selbst ohne direkten staatlichen Zwang.
Schlussfolgerung
Angesichts all dessen ist das eigentliche Problem, dem wir gegenüberstehen, nicht nur One Login und Gov Wallet – es ist DIATF selbst. Indem es erlaubt, dass aktuelle Datensätze ohne weitere parlamentarische Zustimmung als grundlegende Attribute klassifiziert und dann durch gemeinsame Standards und Nachweisausstellung interoperabel gemacht werden, schafft DIATF die Bedingungen dafür, dass Identitätsdaten, die bereits vom Staat gehalten werden, über öffentliche und private Dienste hinweg wiederverwendet werden. Der Zugang zu diesen Diensten könnte dann ohne solche Nachweise unmöglich werden.
Das bedeutet, es scheint nun tatsächlich drei verschiedene Wege zu einem de-facto verpflichtenden nationalen digitalen Ausweis zu geben:
- Direkt durch staatliche Systeme – One Login und Gov Wallet sind dafür konzipiert, Identitätsdaten zu vernetzen und sie ressortübergreifend portabel zu machen.
- Indirekt durch Abhängigkeit vom Privatsektor – Banken, Vermieter, Arbeitgeber und Versorgungsunternehmen können DIATF-zertifiziert werden und von Bürgern grundlegende Nachweise fordern, um Alltagsdienstleistungen zu nutzen. Mit der Zeit schafft dies ein „Hintertür“-Identitätssystem, in dem Bürger nicht funktionieren können, ohne DIATF-verifizierte Daten vorzulegen – im Wesentlichen ein verpflichtender Digitalausweis.
- Durch grundlegende Daten und Interoperabilität selbst – selbst ohne One Login oder Gov Wallet bedeutet die einfache Tatsache, dass Datensätze zentralisiert sind und unter DIATF als grundlegend bestimmt werden können, dass sie in kryptografische Identitätstoken umgewandelt werden können, die dann über zertifizierte Organisationen hinweg geteilt und wiederverwendet werden können. Nichts davon würde weiteres Primärrecht erfordern, da die Bestimmung über Framework-Aktualisierungen innerhalb der Regierung und/oder Sekundärrecht geschieht, nicht durch direktes demokratisches Mandat. In funktionaler Hinsicht ähnelt dies einem Verkauf von Daten, weil:
- Staatlich gehaltene Informationen werden für einen breiteren Verbrauch, einschließlich privater Unternehmen, geöffnet.
- Für einen Zweck gesammelte Daten (Steuern, Renten, Pässe) können für einen anderen umgewidmet werden (Bankwesen, Wohnen, Beschäftigung).
- Bürger haben wenig Kontrolle über diese Wiederverwendung, sobald grundlegender Status angewendet ist.
- Obwohl nicht buchstäblich ein kommerzieller Verkauf, kommerzialisiert DIATF Identitätsdaten, indem es sie über Kontexte hinweg portabel und wiederverwendbar macht, ohne neue demokratische Aufsicht.
Zusammen bedeuten diese Wege, dass selbst wenn One Login/Gov Wallet optional bleiben, DIATF-Interoperabilität und grundlegende Datenklassifizierung theoretisch trotzdem ein verpflichtendes nationales digitales Identitätssystem im Alltag durch (2) oder (3) oben einbetten könnten. Die Gefahr liegt also nicht nur darin, ob sich Menschen für One Login und Gov Wallet anmelden, sondern in der Art und Weise, wie DIATF Identitätsdaten über mehrere Kontexte hinweg – staatlich und privat gleichermaßen – wiederverwendbar macht und sie effektiv als handelbare Ressource behandelt.
Verantwortlichkeit und Handeln: Bei wem protestieren, was tun
Regierung
Warum: Setzt das DIATF-Framework, bestimmt Datensätze als grundlegend ohne parlamentarische Aufsicht, pilotiert One Login, Gov Wallet und CBDCs.
Wo protestieren: Abgeordnete und Parlament (Aufsicht fordern), Cabinet Office und HM Treasury (Transparenz herausfordern).
Handlungen:
- An Abgeordnete schreiben und parlamentarische Kontrolle über die Bestimmung grundlegender Datensätze fordern. (Dies erfordert den Glauben, dass Ihr Abgeordneter das Thema versteht, Einfluss hat und zuhört – eine große Bitte, zugegeben.)
- Zivilgesellschaftliche Gruppen unterstützen, die für Privatsphäre und digitale Rechte kämpfen.
- Auf unabhängige Aufsichtsgremien drängen, die DIATF-Umsetzung überwachen, mit öffentlicher Konsultation und Zustimmung, bevor Datensätze als grundlegend eingestuft werden können.
Privatsektor
Warum: Banken, Vermieter, Arbeitgeber und Versorgungsunternehmen übernehmen DIATF-Nachweise, machen sie in der Praxis verpflichtend.
Wo protestieren: Große Banken, Wohnungsbaugesellschaften, Arbeitgeber und Geschäftsstellen von Versorgungsunternehmen.
Handlungen:
- Dienste ablehnen, die DIATF-Nachweise fordern, wo Alternativen existieren.
- Unternehmen durch Verbraucherkampagnen, Petitionen und Aktionärsaktivismus unter Druck setzen.
- Organisationen unterstützen, die nicht-digitale Wege zum Zugang zu Dienstleistungen fördern.
Globale Institutionen
Warum: UN-Agenda 2030, IWF, Weltbank, BIZ, FATF drängen identitätsverknüpfte digitale Finanzen als Teil der Globalisierung.
Handlungen:
- Bewusstsein für das Identitätsziel der Agenda 2030 und seine Implikationen schärfen.
- An internationalen Kampagnen gegen verpflichtende digitale ID und die Fusion digitaler Finanzen teilnehmen und echte nicht-digitale Wege fordern.
Digitale Finanzen (CBDCs, Stablecoins, Tokenisierung)
Warum: Identität wird mit Geld und Eigentum verschmolzen. DIATF-Nachweise könnten strukturell verpflichtend werden.
Wo protestieren: Bank of England, HM Treasury, Regulierer, die Stablecoins und Tokenisierung beaufsichtigen.
Handlungen:
- An öffentlichen Konsultationen zu CBDCs und digitaler Vermögensregulierung teilnehmen.
- Garantien für Bargeldbeibehaltung und anonyme Zahlungsoptionen fordern.
- Kampagnen unterstützen, die sich der Fusion von Identität und Währung widersetzen.
Jargon-Erklärer
Agenda 2030: Der globale Plan der Vereinten Nationen für nachhaltige Entwicklung. SDG 16.9 fordert „rechtliche Identität für alle bis 2030“ und treibt Regierungen zum Aufbau digitaler Identitätssysteme an.
Autoritative Quelle: Der ursprüngliche staatliche Datensatz, der offizielle Aufzeichnungen hält (z. B. HM Passport Office, DVLA).
CBDC (Zentralbankdigitale Währung): Eine digitale Form der nationalen Währung, die von Zentralbanken ausgegeben wird. CBDCs erfordern verifizierte digitale Identität, um im großen Maßstab zu funktionieren.
Zentralisierung: Das Speichern von Identitätsdaten an einem Ort (z. B. HM Passport Office, Companies House).
Zertifizierte Organisation: Jede öffentliche oder private Organisation, die unter DIATF zugelassen ist, Identitätsattribute oder -nachweise auszustellen, zu verifizieren oder zu nutzen.
Zertifizierter Anbieter: Eine DIATF-zertifizierte Organisation, deren Rolle es ist, Identitätsattribute gegen autoritative Quellen zu verifizieren und signierte Nachweise auszustellen. (DIATF nennt diese formal „Identitätsdienstanbieter“ oder „Attributdienstanbieter“; „zertifizierter Anbieter“ ist meine Kurzform.)
Kryptografische Signatur: Eine digitale Signatur, die mit einem privaten Schlüssel erstellt wird und es anderen Parteien ermöglicht, die Authentizität mit dem öffentlichen Schlüssel zu überprüfen.
Kryptografische Verifizierung: Das Überprüfen der Signatur eines Nachweises, um zu bestätigen, dass er von einem vertrauenswürdigen Anbieter ausgestellt und nicht verändert wurde.
De-facto nationaler Digitalausweis: Ein nationales Identitätssystem, das in der Praxis entsteht, selbst ohne eine einzige verpflichtende ID-Karte oder Konto.
DIATF (Digital Identity and Attributes Trust Framework): Das Vertrauensframework der britischen Regierung – ein Satz von Regeln und Standards für digitale Identitäts- und Attributdienste.
Digitaler Nachweis: Ein sicheres, computergeneriertes Token, das verifizierte Identitätsattribute enthält, signiert, damit es von zertifizierten Organisationen vertraut werden kann.
Grundlegende Datensätze: Staatliche Daten, die bereits Kerndetails (Name, Geburtsdatum, Adresse, Nationalität, Dokumentennummern) enthalten, die von DIATF als dienstübergreifend wiederverwendbar definiert sind. DIATF erkennt auch andere Attribute an (z. B. Recht zu arbeiten, Qualifikationen).
Funktionsschleichen: Wenn für einen Zweck gesammelte Daten schrittweise für andere Zwecke verwendet werden.
Gov Wallet: Eine staatlich bereitgestellte digitale Brieftasche, die verifizierte Identitätsnachweise auf dem Gerät eines Nutzers speichert.
Interoperabilität: Die Fähigkeit verschiedener Systeme, dieselben verifizierten Daten unter Verwendung gemeinsamer Formate und Verifizierungsmethoden zu teilen und wiederzuverwenden.
One Login: Die zentralisierte digitale Identitätsplattform des UK, konzipiert als Single-Sign-On-Dienst für den Zugang zu staatlichen Diensten.
Stablecoin: Eine privat ausgegebene digitale Währung, die an eine traditionelle Währung (z. B. £1 Stablecoin durch Sterling gedeckt) gekoppelt ist.
Tokenisierung von Vermögenswerten: Die Umwandlung realer Vermögenswerte (Immobilien, Aktien, Anleihen, Kunst) in digitale Token, die auf Blockchain-Systemen gehandelt werden können. Digitale Identität wird erforderlich sein, um an einem solchen Handel teilzunehmen.
Vertrauenswürdiger Nachweis: Ein weiterer Begriff für einen digitalen Nachweis – „vertrauenswürdig“, weil seine kryptografische Signatur Authentizität beweist.
