Die versteckten Risiken des Digital Identity and Attributes Trust Framework (DIATF) und der Interoperabilität – Conscientious Currency

Wie bereits vorhandene zentralisierte Datensätze eine verpflichtende nationale digitale ID schaffen könnten – ohne ein einziges Login.

Quelle: The Hidden Risks of the Digital Identity and Attributes Trust Framework (DIATF) and Interoperability – OffGuardian

Wie mittlerweile allgemein bekannt ist, hat die britische Regierung über das Handelsregister neue Anforderungen zur digitalen Identitätsprüfung für Geschäftsführer eingeführt.

Was vielen vielleicht nicht bewusst ist: Diese Anforderungen hängen mit dem britischen Digital Identity and Attributes Trust Framework (DIATF) zusammen – den Regeln der Regierung, wie verifizierte Identitätsattribute und Anmeldedaten von zertifizierten Organisationen dienstübergreifend wiederverwendet werden können. Diese Regeln werden regelmäßig von Regierungsbehörden, nicht vom Parlament, veröffentlicht und aktualisiert. Die neueste Version finden Sie hier: UK Digital Identity and Attributes Trust Framework collection.

Der Zweck dieses Artikels ist es, das DIATF zu untersuchen, wie es im Rahmen der umfassenderen Agenda zur digitalen Identität funktioniert und wie es in der Praxis zu einem de facto obligatorischen nationalen System zur digitalen Identität führen könnte. Viele Menschen, mich eingeschlossen, finden diesen gesamten Bereich verwirrend – und die britische Regierung hat ihn nicht klarer gemacht. Ich vermute, dass diese Unklarheit nicht zufällig ist. Ein Großteil der in offiziellen Leitfäden und Grundsatzdokumenten verwendeten Terminologie ist unbekannt und daher für die meisten Menschen verwirrend.

Dieser Artikel soll diese Komplexität durchbrechen: Er soll erklären, was DIATF ist, wie es funktioniert und warum das Rahmenwerk erhebliche Risiken birgt. Ich hoffe, dass Leser durch die Entschlüsselung der Fachsprache und die Darstellung der Zusammenhänge die Gefahren dieses Rahmenwerks besser verstehen und erkennen, wie es aufgrund der Wechselwirkungen mit dem Data Use and Access Act 2025 heimlich eine nationale digitale Identitätsinfrastruktur etablieren könnte.

Ausführliche Erläuterung des DIATF

Was ist DIATF? Das UK Digital Identity and Attributes Trust Framework ist eine Sammlung von Regeln und Standards, die definieren, wie „gute“ digitale Identitäts- und Attributsdienste aussehen. Organisationen können sich anhand dieses Frameworks unabhängig zertifizieren lassen, um die Einhaltung der Standards nachzuweisen.

Wer veröffentlicht und aktualisiert es? Das Framework wird vom Office for Digital Identities and Attributes (ODIA) und dem Department for Science, Innovation and Technology (DSIT) veröffentlicht und aktualisiert. Dies sind Regierungsbehörden, nicht das Parlament.

Aktualisierungsprozess: Das Rahmenwerk wird regelmäßig überarbeitet und in Versionen (z. B. „Beta“, „Gamma“) veröffentlicht, wobei die Aktualisierungen auf der offiziellen GOVUK-Website protokolliert werden. So wurde beispielsweise die Gamma-Version (0.4) im November 2024 veröffentlicht und im Juni 2025 aktualisiert.

Zertifizierungsfunktion: Unabhängige Konformitätsbewertungsstellen (CABs) können Dienste anhand der DIATF-Anforderungen zertifizieren. Auf diese Weise können verifizierte Identitätsattribute und Berechtigungsnachweise erstellt und von zertifizierten Organisationen für viele verschiedene Dienste wiederverwendet werden.

Definiert grundlegende Attribute: Die Mindestanzahl an Identitätsangaben, die zur Erstellung einer vertrauenswürdigen digitalen Identität erforderlich sind. Dazu gehören Name, Geburtsdatum, Adresse, Nationalität/Staatsangehörigkeit und Dokumentennummern (z. B. Pass- oder Führerscheinnummern). Die DIATF erkennt auch andere Attribute über diese Grundlagen hinaus an, wie z. B. das Recht auf Arbeit, Qualifikationen oder Berufslizenzen, die ebenfalls überprüft und wiederverwendet werden können.

Rolle des Parlaments:Das Parlament ist nicht direkt an der Veröffentlichung oder Aktualisierung der DIATF beteiligt. Stattdessen würde das Parlament nur dann eine Rolle spielen, wenn Rechtsvorschriften erforderlich wären, um Aspekte der Politik im Bereich der digitalen Identität zu unterstützen oder durchzusetzen. Das Rahmenwerk selbst ist ein von der Regierung geleitetes Standarddokument und kein Gesetz des Parlaments.

Gesetz über die Nutzung und den Zugang zu Daten 2025 (DUAA 2025)

Bereits verabschiedete Primärgesetzgebung: Das DUAA 2025 erhielt im Juni 2025 die königliche Zustimmung. Es schuf eine rechtliche Grundlage für digitale Identitätsprüfungsdienste, intelligente Datensysteme und umfassendere Initiativen zum Datenaustausch.

Befugnisse zur Verabschiedung von Sekundärgesetzen: Die meisten Bestimmungen des Gesetzes sollen durch Sekundärgesetze (Rechtsverordnungen und/oder Vorschriften) umgesetzt werden. Das bedeutet, dass Minister den Umfang der Datennutzung erweitern oder anpassen können, ohne jedes Mal ein neues Gesetz des Parlaments zu benötigen.

Rahmenwerk für digitale Identitäten: Das Gesetz unterstützt ausdrücklich das Digital Identity and Attributes Trust Framework, indem es ihm eine gesetzliche Grundlage gibt. Zertifizierte Anbieter von digitalen Identitätsnachweisen können in einem öffentlichen Register aufgeführt werden, und Dienste können ein staatliches „Vertrauenssiegel” tragen.

Smart-Data-Systeme: Das Gesetz schuf auch Rahmenwerke für „Smart Data” – wodurch die Portabilität und Wiederverwendung regulierter Daten sektorübergreifend ermöglicht wird. Dies könnte sich grundsätzlich auch auf staatliche Datensätze erstrecken, wenn diese als Teil solcher Systeme ausgewiesen sind.

Auswirkungen auf die Ausweitung der Nutzung bereits vorhandener staatlicher Datensätze

Potenzial für eine breitere Wiederverwendung aktueller Regierungsdatensätze: Da die DUAA 2025 es Ministern ermöglicht, neue Programme zu definieren und bestehende durch sekundäre Gesetzgebung zu erweitern, gibt es nun einen Weg, derzeit isolierte Regierungsdatensätze als „grundlegend” neu zu klassifizieren und in digitalen Identitätssystemen wiederzuverwenden.

Geringere parlamentarische Kontrolle: Sekundärrecht wird in der Regel weniger diskutiert und kontrolliert als Primärrecht. Das bedeutet, dass wie oben erwähnt bedeutende Änderungen mit begrenzter parlamentarischer oder öffentlicher Zustimmung eingeführt werden könnten.

Rechtliche Schutzvorkehrungen: Selbst mit dem DUAA 2025 muss jede Erweiterung mit der britischen DSGVO und dem Datenschutzgesetz von 2018 übereinstimmen – einschließlich der Grundsätze der Rechtmäßigkeit, Fairness und Zweckbindung. Diese Schutzvorkehrungen können jedoch durch weit gefasste politische Auslegungen auf die Probe gestellt werden. Denn obwohl das DUAA 2025 die DSGVO nicht formell aufhebt, schafft es parallele Rechtswege, die ihre praktische Wirkung schwächen.

Indem es Ministern die Befugnis gibt, Datenaustauschprogramme ohne weitere Primärgesetzgebung auszuweiten, riskiert das DUAA, die Kernschutzbestimmungen der DSGVO in Bezug auf Einwilligung, Zweckbindung und Verhältnismäßigkeit zu untergraben.

Aus diesem Grund warnen Datenschützer wie ich, dass das DUAA eine schrittweise Aushöhlung der DSGVO-Garantien durch eine politikgesteuerte Ausweitung anstelle einer offenen parlamentarischen Debatte ermöglichen könnte.

Das Risiko der „Schleichenden Funktionsausweitung“

Die Kombination aus DIATF und DUAA 2025 schafft die Möglichkeit einer schrittweisen Ausweitung der Nutzung digitaler Identitätsdaten ohne neue Gesetze des Parlaments. Zwar werden Aktualisierungen veröffentlicht (z. B. DIATF-Versionen auf GOV.UK), doch ist dies nicht gleichbedeutend mit einer parlamentarischen Debatte oder einer öffentlichen Konsultation und Zustimmung.

Dies öffnet die Tür für stille politische Kurswechsel, die zu einer erheblichen Umwidmung der bereits von der Regierung gespeicherten personenbezogenen Daten führen könnten.

Das Information Commissioner’s Office (ICO) behält die Aufsicht, und die gerichtliche Überprüfung bleibt eine Absicherung. Dabei handelt es sich jedoch eher um reaktive als um proaktive Schutzmaßnahmen. Die DUAA 2025 bietet daher den rechtlichen Rahmen für die Erweiterung der DIATF und damit verbundener Programme durch sekundäre Rechtsvorschriften, ohne dass weitere primäre Gesetze erforderlich sind.

Dies bedeutet, dass ein echtes Risiko besteht, dass es in Zukunft zu weitreichenden Änderungen hinsichtlich der Verwendung aktueller Regierungsdatensätze kommen könnte, wobei die Zustimmung des Parlaments oder der Öffentlichkeit nur begrenzt wäre, sofern keine strengen Kontrollmechanismen durchgesetzt werden. Durch solche Änderungen würden die aktuellen Datensätze interoperabel werden.

Interoperabilität erklärt

Interoperabilität bedeutet, dass verschiedene Systeme „miteinander kommunizieren“ und dieselben verifizierten Identitätsdaten (digitale Berechtigungsnachweise) wiederverwenden können. Im Rahmen der DIATF stellen zertifizierte Anbieter diese digitalen Berechtigungsnachweise aus, sobald die Attribute anhand von amtlichen Unterlagen überprüft wurden (z. B. Passdaten, die mit denen des HM Passport Office abgeglichen wurden).

Andere DIATF-zertifizierte Organisationen – wie Banken oder Arbeitgeber – können den Berechtigungsnachweis dann wiederverwenden, ohne die Originalunterlagen erneut zu überprüfen.

Die Gefahr dabei ist eine breitere Wiederverwendung von Daten: Daten, die für einen bestimmten Zweck (Steuern, Renten) erhoben wurden, könnten für einen anderen Zweck (Bankgeschäfte, Wohnungswesen) wiederverwendet werden. DIATF und DUAA 2025 machen dies technisch nahtlos möglich, aber politisch bedeutet dies, dass die derzeitigen Datenbestände der Regierung ohne neue demokratische Kontrolle interoperabel gemacht und wiederverwendet werden können.

Derzeit vorhandene Datensätze, bei denen das Risiko einer Wiederverwendung besteht

Beispiele für aktuelle maßgebliche Regierungsdatensätze, die nach den oben beschriebenen Mechanismen als grundlegend eingestuft und anschließend in digitalen Identitätssystemen wiederverwendet werden könnten, sind unter anderem (aber nicht ausschließlich):

• Handelsregister (Angaben zur Identität der Geschäftsführer)
• Passamt (Passnummern, Staatsangehörigkeit, Ablaufdaten)
• DVLA (Führerscheinnummern, Ablaufdaten)
• HMRC (Angaben zur Identität der Steuerzahler, Sozialversicherungsnummern)
• DWP (Aufzeichnungen zu Sozialleistungen und Renten)
• Wählerverzeichnis (Name, Adresse, Staatsangehörigkeit)

Alle diese Datensätze werden zentral in Regierungssystemen gespeichert, sind derzeit jedoch in separaten Datenbanken isoliert. Im Rahmen von DIATF und DUAA 2025 könnten sie theoretisch durch politische Aktualisierungen statt durch neue Gesetze des Parlaments als grundlegend ausgewiesen werden. Dieser Ausweisungsprozess würde das direkte parlamentarische Mandat und die Zustimmung der Bürger umgehen, was ernsthafte Bedenken hinsichtlich der demokratischen Kontrolle aufwirft.

Da DIATF gemeinsame Formate und kryptografische Verifizierung erfordert, kann eine aus einem grundlegenden Datensatz (z. B. HM Passport Office) ausgestellte Berechtigung von einer anderen Organisation (z. B. einer Bank oder HMRC) anerkannt werden.

In der Praxis bedeutet dies, dass Anmeldedaten von mehreren zertifizierten Organisationen verwendet werden können – selbst wenn die Person NIEMALS ein One-Login-Konto einrichtet.

Ist dies „wie ein Verkauf von Daten”?

Obwohl DIATF nicht wörtlich den Verkauf von Datensätzen beinhaltet, schafft es eine funktionale Äquivalenz:

• Von der Regierung gespeicherte Daten werden zertifizierten Organisationen, darunter auch privaten Unternehmen, für eine breitere Nutzung zugänglich gemacht.
• Daten, die für einen bestimmten Zweck erhoben wurden (Steuern, Renten, Pässe), können für andere Zwecke (Bankwesen, Wohnungswesen, Beschäftigung) wiederverwendet werden.
• Die Bürger haben kaum Einfluss, sobald Datensätze als grundlegend eingestuft werden.

Der Unterschied besteht darin, dass keine Finanztransaktion stattfindet – stattdessen stellen zertifizierte Anbieter Berechtigungsnachweise aus, die Identitätsdaten kommerzialisieren, indem sie diese digitalisieren, übertragbar und wiederverwendbar machen. In der Praxis ist der Effekt ähnlich wie bei einem Verkauf: Daten werden zu einer kontextübergreifenden gemeinsamen Ressource, ohne dass eine neue demokratische Kontrolle stattfindet.

Um zu sehen, wie sich dies in der Praxis auswirkt, müssen wir uns ansehen, wie Datensätze durch das DIATF-Ökosystem fließen.

Wie verifizierte Datensätze durch das Ökosystem wandern und interoperabel werden

Sobald Datensätze als grundlegend klassifiziert sind, legt die DIATF fest, wie sie dienstübergreifend wiederverwendet werden können, um Interoperabilität zu erreichen. Dies geschieht über eine Kette zertifizierter Organisationen:

Autoritative Quelle: Eine Regierungsbehörde wie das HM Passport Office oder die DVLA verfügt über einen Originaldatensatz mit Bürgerdaten, der dann als grundlegend klassifiziert wird.

Zertifizierte Anbieter: Ein zertifizierter Anbieter gleicht die Daten einer Person mit diesem grundlegenden Datensatz ab und erstellt verifizierte Attribute. Der Anbieter stellt dann eine digitale Berechtigung aus – ein kryptografisch signiertes Token, das verifizierte Identitätsdaten enthält, die aus diesen Attributen abgeleitet wurden. Verifizierte Attribute sind die vordigitale Form, während die digitale Berechtigung die portable, digitale Darstellung gemäß DIATF ist.

Zertifizierte Organisationen: Andere Organisationen, öffentlich oder privat, die nach DIATF zertifiziert sind, können die digitale Berechtigung nutzen. Beispielsweise kann eine Bank eine von einem Anbieter ausgestellte Berechtigung als Identitätsnachweis akzeptieren.

Dieser Prozess macht Interoperabilität möglich. Zertifizierte Anbieter sind daher von zentraler Bedeutung für das DIATF-Ökosystem: Sie wandeln Rohdaten der Regierung in wiederverwendbare Berechtigungen um und ermöglichen so die Interoperabilität zwischen zertifizierten Organisationen.

DIATF schafft Risiken über One Login und Gov Wallet hinaus

Die Regierung fördert One Login und Gov Wallet als wichtigste Methode zur Wiederverwendung von Identitätsdaten. Die DIATF-Zertifizierung ist jedoch umfassender:

• Wiederverwendung ohne One Login: Zertifizierte Anbieter und zertifizierte Organisationen können grundlegende Attribute direkt verarbeiten.
• De-facto-Risiko einer nationalen digitalen ID: Selbst wenn niemand jemals ein One Login-Konto eröffnet, könnten zentral gespeicherte Regierungsdatensätze ein obligatorisches nationales digitales Identitätssystem untermauern, sobald sie als grundlegend eingestuft und interoperabel gemacht wurden.
• Funktionsausweitung: Daten, die für einen bestimmten Zweck (z. B. Unternehmensregistrierung) erhoben wurden, könnten nach und nach für viele andere Zwecke (z. B. Steuern, Sozialleistungen, Bankgeschäfte) wiederverwendet werden.
• Datenschutzbedenken: Sensible Daten (Passnummern, Sozialversicherungsnummern, Adressen) werden zentral gespeichert und in großem Umfang wiederverwendet.
• Sicherheitsrisiken: Zentralisierte Datensätze sind hochkarätige Ziele für Cyberangriffe.
• Unklarheit hinsichtlich der Einwilligung: Nutzer sind sich möglicherweise nicht bewusst, dass ihre bereits an die Regierung weitergegebenen Daten wiederverwendbar werden können, sobald sie als grundlegend eingestuft werden.
• Sektorübergreifende Nutzung: Private Akteure wie Banken und Vermieter können verifizierte Attribute nutzen.
• Irreversibilität: Sobald Attribute dienstübergreifend zusammengeführt sind, ist es sehr schwierig, sie wieder rückgängig zu machen.

Diese Risiken existieren nicht isoliert. Um zu verstehen, warum DIATF und grundlegende Datensätze so stark vorangetrieben werden, müssen wir uns die übergeordneten Kräfte ansehen, die diese Agenda vorantreiben – von den Ambitionen der Regierungen und der Abhängigkeit des privaten Sektors bis hin zur Globalisierung, der Agenda 2030 und dem Aufstieg der digitalen Finanzwirtschaft.

Sobald diese Triebkräfte klar sind, wird offensichtlich, wo Widerstand geleistet werden muss.

Was treibt DIATF und grundlegende Datensätze an?

Es reicht nicht aus, zu sagen, dass es bei DIATF um One Login oder Gov Wallet geht. Die eigentlichen Treiber sind größer, globaler und finanzieller Natur. Hier ist das Gesamtbild:

1. Ambitionen der Regierung

Die britische Regierung strebt „Effizienz“ an: eine Identitätsprüfung, die für mehrere Dienste wiederverwendet werden kann. Außerdem will sie „Betrug reduzieren“: weniger gefälschte Konten, strengere Überprüfungen. Sie strebt „digitale Dienstleistungen“ an: eine schnellere, kostengünstigere und besser vernetzte Verwaltung. Durch die Einstufung von Datensätzen als grundlegend schafft die Regierung die strukturellen Voraussetzungen für die Wiederverwendung, ohne dass neue Gesetze vom Parlament verabschiedet werden müssen.

2. Nachfrage des privaten Sektors

Banken, Vermieter, Arbeitgeber und Versorgungsunternehmen unterliegen bereits gesetzlichen Verpflichtungen (AML/KYC, Recht auf Arbeit, Recht auf Miete). DIATF gibt ihnen einen von der Regierung unterstützten Standard an die Hand, um diesen Verpflichtungen nachzukommen.

Zertifizierte Anbieter (wie Yoti, GBG, Post Office EasyID) sehen in der Ausstellung wiederverwendbarer Ausweise eine kommerzielle Chance.

Sobald die großen Akteure DIATF übernehmen, könnten die Bürger feststellen, dass sie ohne Ausweise nicht mehr funktionieren können – wodurch ein obligatorisches ID-System „durch die Hintertür” entsteht.

3. Globalisierung und internationaler Druck

Agenda 2030 (UN-Ziele für nachhaltige Entwicklung): SDG 16.9 fordert „eine rechtliche Identität für alle bis 2030”. Digitale Identitätsrahmenwerke wie DIATF sind das Mittel der Regierungen, um Ziel 16.9 zu erreichen.

Internationale Institutionen: Der IWF, die Weltbank, die OECD, die FATF und die BIZ fördern alle die Interoperabilität von Identitäten als „wesentlich“ für finanzielle Inklusion, Geldwäschebekämpfung und grenzüberschreitenden Handel. Interoperable digitale Identitäten bilden auch die Grundlage für die weltweit entwickelten digitalen Währungssysteme.

Globale Angleichung: Die EU führt derzeit ihre europäische digitale Identitätsbörse im Rahmen von eIDAS 2.0 ein. Andere Länder (Kanada, Australien, Singapur) bauen ähnliche Systeme auf. DIATF ist daher nicht nur ein nationales Projekt, sondern Teil einer globalen Identitätsinfrastruktur, die über den nationalen Regierungen aufgebaut wird.

4. Digitale Finanzen: CBDCs, Stablecoins und Tokenisierung

CBDCs (Central Bank Digital Currencies, digitale Währungen der Zentralbanken): Werden direkt von Zentralbanken ausgegeben und erfordern eine verifizierte Identität für AML/KYC, Betrugsprävention und programmierbare Funktionen. DIATF bietet die Identitätsschicht, die CBDCs funktionsfähig macht.

Stablecoins: Private digitale Währungen, die an Fiat-Währungen gekoppelt sind (z. B. 1 £ Stablecoin, gestützt durch das britische Pfund). Die Regulierungsbehörden bestehen auf Identitätsprüfungen, um Geldwäsche zu verhindern und Stabilität zu gewährleisten. DIATF-Zertifikate werden wahrscheinlich zum Standard für den Identitätsnachweis bei der Verwendung von Stablecoins in alltäglichen Transaktionen werden.

Tokenisierung von Vermögenswerten: Reale Vermögenswerte (Immobilien, Aktien, Anleihen, sogar Kunstwerke) werden zunehmend „tokenisiert” – also als digitale Token auf Blockchains oder Distributed Ledgers dargestellt. Um tokenisierte Vermögenswerte zu kaufen, zu verkaufen oder zu handeln, ist eine Identitätsprüfung erforderlich. DIATF-Zugangsdaten werden wahrscheinlich zum Tor für die Teilnahme an diesen Märkten werden, indem sie die Identität in den Besitz und die Übertragung von Vermögenswerten einbetten.

Zusammen bedeuten diese Entwicklungen, dass Identität mit Geld und Eigentum verschmilzt. Selbst wenn One Login oder Gov Wallet optional bleiben, könnten Bürger feststellen, dass sie ohne DIATF-Zugangsdaten keinen Zugang zu Finanzdienstleistungen haben, keine tokenisierten Vermögenswerte besitzen oder keine Stablecoins verwenden können.

Compliance- und Sicherheitsnarrative

Regierungen und Regulierungsbehörden betrachten die digitale Identität als unverzichtbar für:

• Verhinderung von Geldwäsche und Terrorismusfinanzierung
• Einhaltung finanzieller Compliance-Standards
• Schutz der Bürger vor Betrug

Diese Narrative werden nicht nur von der Innenpolitik, sondern auch von internationalen Gremien (FATF, IWF, Weltbank) geprägt.

6. Kommerzielles Ökosystem

Zertifizierte Anbieter und Technologieunternehmen setzen sich für Rahmenwerke wie DIATF ein, da diese einen Markt für wiederverwendbare Zugangsdaten und Gewinnmöglichkeiten schaffen. Nach der Zertifizierung können sie ihre Dienste branchenübergreifend verkaufen und Identitätsdaten kommerzialisieren. Dieser kommerzielle Anreiz beschleunigt die Einführung, auch ohne direkten staatlichen Zwang.

Zusammenfassung

Angesichts all dieser Punkte ist das eigentliche Problem, mit dem wir konfrontiert sind, nicht nur One Login und Gov Wallet – es ist DIATF selbst. Indem DIATF zulässt, dass aktuelle Datensätze ohne weitere parlamentarische Zustimmung als grundlegende Attribute klassifiziert werden, und dann durch gemeinsame Standards und die Ausstellung von Berechtigungsnachweisen ihre Interoperabilität ermöglicht, schafft DIATF die Voraussetzungen dafür, dass bereits von der Regierung gespeicherte Identitätsdaten sowohl in öffentlichen als auch in privaten Diensten wiederverwendet werden können. Der Zugang zu diesen Diensten könnte dann ohne solche Berechtigungsnachweise unmöglich werden.

Das bedeutet, dass es nun offenbar drei verschiedene Wege zu einer de facto obligatorischen nationalen digitalen ID gibt:

• Direkt über staatliche Systeme – One Login und Gov Wallet wurden entwickelt, um Identitätsdaten zu bündeln und so zwischen verschiedenen Behörden übertragbar zu machen.
• Indirekt durch Vertrauen des privaten Sektors – Banken, Vermieter, Arbeitgeber und Versorgungsunternehmen können sich DIATF-zertifizieren lassen und von Bürgern grundlegende Berechtigungsnachweise verlangen, um Zugang zu alltäglichen Dienstleistungen zu erhalten. Im Laufe der Zeit entsteht so ein „Hintertür“-Identitätssystem, in dem Bürger ohne die Vorlage von DIATF-verifizierten Daten – im Wesentlichen eine obligatorische digitale ID – nicht funktionieren können.
• Durch grundlegende Daten und Interoperabilität selbst – auch ohne One Login oder Gov Wallet bedeutet die einfache Tatsache, dass Datensätze zentralisiert sind und unter DIATF als grundlegend ausgewiesen werden können, dass sie in kryptografische Identitätstoken umgewandelt werden können, die dann zwischen zertifizierten Organisationen geteilt und wiederverwendet werden können. All dies würde keine weiteren primären Rechtsvorschriften erfordern, da die Festlegung über Aktualisierungen des Rahmens innerhalb der Regierung und/oder sekundäre Rechtsvorschriften erfolgt und nicht durch ein direktes demokratisches Mandat. In funktionaler Hinsicht ähnelt dies einem Verkauf von Daten, weil:

1. Von der Regierung gespeicherte Informationen werden für eine breitere Nutzung zugänglich gemacht, auch für private Unternehmen.
2. Daten, die für einen bestimmten Zweck erhoben wurden (Steuern, Renten, Pässe), können für andere Zwecke (Bankwesen, Wohnungswesen, Beschäftigung) wiederverwendet werden.
3. Die Bürger haben wenig Kontrolle über diese Wiederverwendung, sobald der grundlegende Status einmal festgelegt ist.
4. Obwohl es sich nicht um einen kommerziellen Verkauf im eigentlichen Sinne handelt, kommerzialisiert DIATF Identitätsdaten, indem es sie über Kontexte hinweg übertragbar und wiederverwendbar macht, ohne dass eine neue demokratische Kontrolle stattfindet.

Zusammen bedeuten diese Wege, dass selbst wenn One Login/Gov Wallet optional bleiben, die DIATF-Interoperabilität und die grundlegende Datenklassifizierung theoretisch immer noch ein obligatorisches nationales digitales Identitätssystem in den Alltag einbetten könnten, und zwar durch (2) oder (3) oben. Die Gefahr liegt also nicht nur darin, ob sich Menschen für One Login und Gov Wallet anmelden, sondern auch darin, dass DIATF Identitätsdaten in verschiedenen Kontexten – sowohl im staatlichen als auch im privaten Bereich – wiederverwendbar macht und sie damit effektiv als handelbare Ressource behandelt.

Verantwortlichkeit und Handeln: Gegen wen protestieren, was tun?

Regierung

Warum: Legt den DIATF-Rahmen fest, bestimmt Datensätze ohne parlamentarische Kontrolle als grundlegend, führt One Login, Gov Wallet und CBDCs ein.

Wo protestieren: Abgeordnete und Parlament (Forderung nach Kontrolle), Kabinettsamt und Finanzministerium (Forderung nach Transparenz).

Maßnahmen:

• Schreiben Sie an Ihre Abgeordneten und fordern Sie eine parlamentarische Kontrolle über die Festlegung grundlegender Datensätze (dies setzt voraus, dass Ihr Abgeordneter sich mit dem Thema auskennt, Einfluss hat und Ihnen zuhört – zugegebenermaßen eine große Herausforderung).
• Unterstützen Sie zivilgesellschaftliche Gruppen, die sich für Datenschutz und digitale Rechte einsetzen.
• Setzen Sie sich für unabhängige Aufsichtsgremien ein, die die Umsetzung der DIATF überwachen, wobei eine öffentliche Konsultation und Zustimmung erforderlich ist, bevor Datensätze als grundlegend eingestuft werden können.

Privatwirtschaft

Warum: Banken, Vermieter, Arbeitgeber und Versorgungsunternehmen führen DIATF-Zertifikate ein und machen sie damit in der Praxis obligatorisch.

Wo kann man protestieren: Bei großen Banken, Wohnungsbaugesellschaften, Arbeitgebern und Versorgungsunternehmen.

Maßnahmen:

• Lehnen Sie Dienstleistungen ab, die DIATF-Zugangsdaten verlangen, wenn es Alternativen gibt.
• Üben Sie durch Verbraucherkampagnen, Petitionen und Aktionärsaktivismus Druck auf Unternehmen aus.
• Unterstützen Sie Organisationen, die nicht-digitale Wege für den Zugang zu Dienstleistungen fördern.

Globale Institutionen

Warum: Die UN-Agenda 2030, der IWF, die Weltbank, die BIZ und die FATF fördern identitätsgebundene digitale Finanzdienstleistungen als Teil der Globalisierung.

Maßnahmen:

• Sensibilisierung für das Identitätsziel der Agenda 2030 und dessen Auswirkungen.
• Teilnahme an internationalen Kampagnen gegen obligatorische digitale Ausweise und die Verschmelzung digitaler Finanzdienstleistungen, Forderung nach echten nicht-digitalen Alternativen.

Digitale Finanzen (CBDCs, Stablecoins, Tokenisierung)

Warum: Identität wird mit Geld und Eigentum verschmolzen. DIATF-Zertifikate könnten strukturell verpflichtend werden.

Wo protestieren: Bank of England, HM Treasury, Aufsichtsbehörden für Stablecoins und Tokenisierung.

Maßnahmen:

• Beteiligen Sie sich an öffentlichen Konsultationen zu CBDCs und zur Regulierung digitaler Vermögenswerte.
• Fordern Sie Garantien für die Beibehaltung von Bargeld und anonyme Zahlungsoptionen.
• Unterstützen Sie Kampagnen, die sich gegen die Verschmelzung von Identität und Währung wehren.

Fachjargon-Liste:

Agenda 2030: Der globale Plan der Vereinten Nationen für nachhaltige Entwicklung. SDG 16.9 fordert „eine rechtliche Identität für alle bis 2030” und veranlasst Regierungen dazu, digitale Identitätssysteme aufzubauen.

Autoritative Quelle: Der ursprüngliche Datensatz der Regierung, der offizielle Aufzeichnungen enthält (z. B. HM Passport Office, DVLA).

CBDC (Central Bank Digital Currency): Eine digitale Form der Landeswährung, die von Zentralbanken ausgegeben wird. CBDCs erfordern eine verifizierte digitale Identität, um in großem Maßstab zu funktionieren.

Zentralisierung: Speicherung von Identitätsdaten an einem Ort (z. B. HM Passport Office, Companies House).

Zertifizierte Organisation: Jede öffentliche oder private Organisation, die gemäß DIATF für die Ausstellung, Überprüfung oder Nutzung von Identitätsattributen oder Berechtigungsnachweisen zugelassen ist.

Zertifizierter Anbieter: Eine DIATF-zertifizierte Organisation, deren Aufgabe es ist, Identitätsattribute anhand von autoritativen Quellen zu überprüfen und signierte Berechtigungsnachweise auszustellen. (Die DIATF bezeichnet diese offiziell als „Identitätsdienstleister” oder „Attributdienstleister”; „zertifizierter Anbieter” ist meine Kurzbezeichnung.)

Kryptografische Signatur: Eine digitale Signatur, die mit einem privaten Schlüssel erstellt wird und es anderen Parteien ermöglicht, die Authentizität mit dem öffentlichen Schlüssel zu überprüfen.

Kryptografische Überprüfung: Überprüfung der Signatur einer Berechtigung, um sicherzustellen, dass sie von einem vertrauenswürdigen Anbieter ausgestellt und nicht verändert wurde.

De-facto-nationale digitale ID: Ein nationales Identitätssystem, das sich in der Praxis herausgebildet hat, auch ohne einen einheitlichen obligatorischen Ausweis oder ein einheitliches Konto.

DIATF (Digital Identity and Attributes Trust Framework): Das Vertrauensrahmenwerk der britischen Regierung – eine Reihe von Regeln und Standards für digitale Identitäts- und Attributsdienste.

Digitale Berechtigungsnachweise: Sichere, computergenerierte Token, die verifizierte Identitätsattribute enthalten und signiert sind, sodass sie von zertifizierten Organisationen als vertrauenswürdig eingestuft werden können.

Grundlegende Datensätze: Bereits vorhandene Regierungsdaten, die wichtige Identitätsangaben (Name, Geburtsdatum, Adresse, Staatsangehörigkeit, Dokumentennummern) enthalten und laut DIATF für verschiedene Dienste wiederverwendbar sind. Das DIATF erkennt auch andere Attribute an (z. B. Arbeitserlaubnis, Qualifikationen).

Funktionsausweitung: Wenn Daten, die für einen bestimmten Zweck erhoben wurden, nach und nach für andere Zwecke verwendet werden.

Gov Wallet: Eine von der Regierung bereitgestellte digitale Geldbörse, in der verifizierte Identitätsdaten auf dem Gerät eines Benutzers gespeichert werden.

Interoperabilität: Die Fähigkeit verschiedener Systeme, dieselben verifizierten Daten unter Verwendung gemeinsamer Formate und Verifizierungsmethoden auszutauschen und wiederzuverwenden.

One Login: Die zentralisierte digitale Identitätsplattform des Vereinigten Königreichs, die als Single-Sign-On-Dienst für den Zugang zu staatlichen Dienstleistungen konzipiert ist.

Stablecoin: Eine privat ausgegebene digitale Währung, die an eine traditionelle Währung gekoppelt ist (z. B. 1 £ Stablecoin, gedeckt durch das britische Pfund).

Tokenisierung von Vermögenswerten: Umwandlung von realen Vermögenswerten (Immobilien, Aktien, Anleihen, Kunst) in digitale Token, die auf Blockchain-Systemen gehandelt werden können. Für die Teilnahme an einem solchen Handel ist eine digitale Identität erforderlich.

Vertrauenswürdige Berechtigung: Ein anderer Begriff für eine digitale Berechtigung – „vertrauenswürdig”, weil ihre kryptografische Signatur die Authentizität belegt.