Sprechstunde IT-Sicherheit Fokus Gesundheitswesen

Transkript

Linnemann: An allen Ecken wird digitalisiert und transformiert. KI ist in aller Munde. Doch mal ehrlich: Tagtäglich scheitern wir an Prozessen. Ich hab zum Beispiel auch noch 'nen ganzen Stapel an Karten in meinem Portemonnaie, die ich mit mir rumtragen muss und kann nicht alles mit dem Handy machen. Viele Vorgänge sind kompliziert, verbunden mit Medienbrüchen und am Ende drucken wir auch noch irgendwas aus, um es zu unterschreiben. Okay, ist etwas schwarz-weiß gemalt, aber jetzt wird alles besser mit dem EUDI-Wallet. Dazu spreche ich mit zwei absoluten Experten: Janina Buchholz, Senior Solution Managerin, und Dr. Kim Nguyen, Senior Vice President Innovations von der Bundesdruckerei. Ich bin Markus Linnemann und Sie hören die Sprechstunde IT-Sicherheit, Fokus Gesundheitswesen.

Liebe Janina, lieber Kim, super, dass ihr da seid und euch die Zeit nehmt. Das find ich wirklich ganz toll. Und damit euch alle kennenlernen, wäre es super, wenn ihr euch vielleicht einmal kurz vorstellen könntet. Janina, willst du anfangen?

Buchholz: Sehr gerne. Vielen Dank für die Einladung. Mein Name ist Janina. Vielen Dank für die Vorstellung. Ich arbeite bei der Bundesdruckerei in der Digital Unit und hab einen Fokus auf das ganze Thema digitale Identitäten, Credentials, Wallets und befasse mich insofern sehr tief mit dem ganzen Thema eID-Wallet. Darüber hinaus hatte ich die Ehre, für die Bundesregierung eine Expertengruppe aus dem BSI, dem BMG, dem BMI, der Gematik und der European Association for ePharmacies leiten zu dürfen im Kontext der EU IDs, also groß angelegter Pilotprojekte der EU-Kommission und hab so neben dieser Wallet-Thematik auch das Thema Gesundheit, vertiefen dürfen. Ich bin jetzt im Advisory Board für ein weiteres EU-Projekt und freue mich heute hier in den Austausch gehen zu dürfen in der Runde.

Nguyen: Ja, dann mache ich weiter. Kim Nguyen, von Hause aus Mathematiker, seit dreiundzwanzig Jahren bei der Bundesdruckerei, hab unter anderem zwölf Jahre lang die D-Trust geleitet als Geschäftsführer und von daher bin ich natürlich dem Gesundheitswesen da auch noch mal in besonderer Weise verbunden und leite jetzt seit zwei, gut zwei Jahren den Innovationsbereich. Und ehrlich gesagt, ist vieles von dem, was wir hier besprechen, glaub ich, auch so halb Innovation und halb Produktentwicklung. Von daher sind wir da auch, als Innovationsteam sozusagen den Themen sehr verbunden. Vielen Dank für die Einladung und ich glaub, es ist 'n super spannendes Thema.

Linnemann: Toll. Dank, dass ihr da seid. Es wird für mich auch 'ne Premiere. Wir sind zu dritt heute. Haben wir so noch nicht gemacht. Fangen aber direkt an: Was seid ihr denn für Wallet-Typen? Habt ihr so kleine in der Tasche, wo nur noch 'ne Karte reinpasst und so 'n Notfallgroschen? Oder ist es so das ganze Lebenswerk in einem Portemonnaie, Janina?

Buchholz: Also, wenn ich ganz ehrlich bin, mein ganzes Leben steckt schon lange nicht mehr im Portemonnaie. Sogar meine Visitenkarte hab ich als QR-Code in meinem Smartphone verfügbar. Von dem her freue ich mich sehr auf die Einführung der EUDI-Wallet, weil's für mich 'ne große Erleichterung sein wird, auch weitere Identitäten verfügbar zu haben aufm Smartphone und zu wissen, dass ich, wenn ich mein Portemonnaie zu Hause hab liegen lassen, da keinen Nachteil mehr draus ziehen muss.

Nguyen: Ja, ich bin, glaub ich, auch eher der Smartphone-Typ. Aber es gibt tatsächlich ja viele Sachen, die noch nicht aufs Smartphone gehen aus technischen Gründen oder aus regulativen Gründen. Und von daher hat man natürlich dann auch immer doch 'ne Menge Karten noch dabei in so praktischen Cardholder. Und von daher kann ich mich der Janina nur anschließen. Ich glaub, wir warten alle drauf, dass wir vielleicht das eine oder andere Thema jetzt synergetisch auf das Smartphone bringen. Und da ist die Wallet, glaub ich, der richtige Weg. Was sind denn so die schnellen ersten Use Cases, wo ich erst mal verstehen kann, was die Audi Wallet ist?

Buchholz: Ja, die EU verpflichtet ja quasi alle Mitgliedsstaaten zur Einführung der EUDI-Wallet Ende '26. In Deutschland werden wir kurz nach den Feiertagen, ist geplant, am 2.1. den Launch zu veröffentlichen der EUDI-Wallet und zunächst mit dem digitalen Personalausweis ausgestattet. Das heißt, die Identifizierungscases werden die ersten Anwendungsfälle sein, die im Fokus stehen und dann werden iterativ weitere Funktionalitäten und auch perspektivisch weitere Nachweise eben hinzukommen.

Von dem her erste Use Cases, die auf jeden Fall im Fokus stehen, sind Identifikationsanwendungen für Onlinedienste letztlich, ne, also in denen ich, meine Identität, also meinen digitalen Personalausweis anwenden werde. Ich glaub, 'n Thema, was heiß diskutiert ist, ist das ganze Thema rund um Altersverifikation und dann gibt es jetzt eine sehr, sehr lange Palette an Anwendungsfällen, die unglaublich spannend sind und natürlich dann Stück für Stück auch ausgerollt werden sollen. Sicherlich 'n ganz spannendes Feld, zu dem wir nachher noch zu sprechen kommen, ist so was wie die Gesundheitsidentität in der EUDI-Wallet. Aber auch der europäische Schwerbehindertenausweis oder Bildungsnachweise sind mit Sicherheit sehr attraktive Anwendungsfälle, die es letztlich auch braucht, um die EUDI-Wallet zum Fliegen zu bringen, weil: das funktioniert nur, wenn hier auch Use Cases entstehen, die 'n Mehrwert für alle Beteiligten in diesem Ökosystem mit sich bringen.

Linnemann: Wow, ich glaub, bei dem, was ich grade gehört hab, da können wir wahrscheinlich noch drei Stunden drüber sprechen, was alles geleistet werden soll in Zukunft. Heißt das aber, ich kann am 02.01.2027, wenn mich die Polizei anhält und meinen Personalausweis haben will, dann wirklich schon mein ID-Wallet zeigen und das ist dann auch rechtsgültig?

Buchholz: Also ich habe meine digitale Identität in der EUDI-Wallet verfügbar, allerdings für die Nutzung von Angeboten im Binnenmarkt. Das heißt Online-Cases für alle Anwendungsfälle, in denen Zwei-Faktor-Authentifizierung heute schon erforderlich sind. Wir verfolgen auch weitere Anwendungsfälle, hinsichtlich zum Beispiel Prüfung von Führerscheinen. Das ist ein Anwendungsfall, der weiterhin auch im Fokus steht.

Nguyen: Genau, was du jetzt grade angesprochen hast, ist ja so 'n bisschen so eine Art Vor-Ort-Prüfung. Die ist, im ersten Schritt nicht im Fokus, sondern das sind tatsächlich erst mal diese Online-Anwendungsfälle.

Aber das, was Janina grad sagt, ist beim Führerschein in den Ländern, die das haben, schon etabliert. Dann zeig ich halt 'n Barcode, die anderen scannen das. So was kann man sich natürlich mit dem Personalausweis dann auch vorstellen und so was wird wahrscheinlich auch kommen.

Linnemann: Also am Anfang hab ich jetzt verstanden, ist drin erst mal die persönlichen Informationen. Und wie ist der Zugriff geregelt? Weil, das ist für mich ja relevant. Wenn mich jetzt jemand fragt, muss ich das irgendwie öffnen wie 'ne Banking-App und dann kann man das sehen oder können die da drauf zugreifen? Wie läuft das ab?

Nguyen: Typischerweise wird es keine Zugriffe geben ohne deine Zustimmung. Und die Zustimmung wird dann typischerweise über 'ne PIN erfolgen. Die PIN muss ich im Rahmen der Registrierung festlegen. Also die Wallet muss ich ja erst mal einmal mit meiner persönlichen Entität laden. Das wird mit dem Personalausweis passieren, den ich über NFC einmal auslesen muss. Das heißt, einmal muss ich die PIN haben. Und dann lege ich eben 'ne weitere PIN für meine Wallet fest und dann muss man sich das eben so 'n bisschen so vorstellen Ja, dass ich im Prinzip aus einer aufrufenden Anwendung komme und die dann sozusagen die Wallet öffnet und ich dann da mit der PIN das freigeben muss. Dann wird natürlich auch noch mal angezeigt, wer da jetzt eigentlich zugreifen will und so weiter. Also so 'n bisschen wie man das zum Beispiel beim Bezahlen mit PayPal ja auch kennt, ne. Ich hab einen Anwendungskontext und dann springe ich in diesen PayPal-Kontext, authentifiziere mich und dann springe ich wieder zurück.

Linnemann: Super spannend. Was ich mich mal frage oder was, was viel diskutiert wird, ist ja auch, ob man dann, wenn man diese Zugriffe, die dann in Zukunft häufig stattfinden, ob man die eigentlich tracken kann.

Buchholz: Ja, das ist so 'n Thema. Grundprinzip der EUDI-Wallet ist das Thema Unlinkability und Unobservability. Was besagt es? Es besagt im Prinzip, dass in diesem Vertrauensmodell, was ja auch die Wallet zugrunde gelegt wird, europaweit bestimmte Prinzipien greifen und das funktioniert einfach erklärt so, dass es drei Rollen gibt. Es gibt diejenigen, die die Nachweise sicher ausgeben. Die dürfen und werden keine Informationen darüber erhalten, an welcher Stelle wiederum die Nachweise angewendet werden. Dann gibt es die Wallet, die diese Nachweise sicher speichert, die wiederum ebenfalls nicht tracken darf, welche Anwendungsfälle genutzt werden. Und es gibt die Diensteanbieter, die auf der Anwenderseite stehen, denen wiederum von dem Nutzer nur die Daten freigegeben werden, also ja, Selective Disclosure, wie wir's nennen, die tatsächlich für den jeweiligen Anwendungsfall auch relevant sind. Und somit soll eben vermieden werden, ganz genau das passiert, dass man Bewegungen der einzelnen Nutzer im Netz nachvollziehen kann.

Linnemann: Das heißt, durch Regulatorik und Vorgaben, die es gibt für die Umsetzung, dadurch soll das Tracking vermieden werden.

Buchholz: Absolut.

Linnemann: Also man hat sich da schon richtig Gedanken zur Sicherheit gemacht. Apropos Gedanken gemacht: Wer hat sich die gemacht? Wer baut denn eigentlich unsere EUDI-Wallet?

Buchholz: Also im Prinzip ist ja diese Verantwortlichkeit, 'n Stufenmodell. Es gibt einmal die EU-Kommission, die den Rechtsrahmen festlegt und, diese Grundprinzipien des Vertrauensmodells schafft, die die europaweiten Pilotierungen ausgerufen hat, aus denen man lernen wollte, aus Anwendungsfällen, um die Anforderungen auch an so 'n sogenanntes Architecture Reference Framework stellen zu können, das wieder den Rahmen bildet für die Architektur. Dann gibt es die nationalen Implementierungen. In Deutschland hat die Bundesregierung an der Stelle die Sprint benannt, also die Agentur für Sprunginnovationen, die die EUDI-Wallet bauen, die sich im Rahmen des EUDI-Wallet-Projekts auch Kompetenzen beispielsweise des Fraunhofer Instituts noch mit reinholen und auch der Bundesdruckerei letztlich. Und dann gibt es eine dritte Ebene, das ist quasi das BSI, das dann wiederum die Sicherheitsanforderungen festlegt und auch die Zertifizierung verantwortet.

Als Bundesdruckerei ist es so, dass wir eben diese Basisinfrastrukturkomponente, das heißt den digitalen Personalausweis, in die EUDI-Wallet ausstellen. Es wird in diesem gesamten Ökosystem weitere Rollen geben und Verantwortlichkeiten, die dazu beitragen, dass das Ökosystem wächst und gedeiht.

Nguyen: Wobei man noch ergänzen sollte, das ist ja nicht unbedingt die eine Wallet. Es ist so, dass die gesetzliche Regelung der EU halt vorsieht, die Mitgliedsstaaten müssen ihren Bürgern und Bürgerinnen etwas zur Verfügung stellen, indem sie das selber entwickeln oder Leute beauftragen. Aber prinzipiell ist es schon als ein offenes Ökosystem gedacht. Das heißt, im Prinzip kann erst mal jeder hingehen und sagen: „Ich entwickle so 'ne Wallet." Er muss sich natürlich den ganzen Regularien und Zertifizierungen unterwerfen. In Deutschland hat man sich jetzt entschieden, jetzt erst mal mit der einen Wallet, die Sprint entwickelt, an den Start zu gehen und dann sozusagen mit 'n bisschen Nachlauf von ungefähr 'nem Jahr den Markt dann auch zu öffnen.

Linnemann: Ach so, das wird definiert.

Nguyen: Ob das jetzt ganz genau definiert ist, weiß ich nicht, aber jedenfalls, man hat halt gesagt, man will jetzt am Anfang erst mal mit einer Lösung starten, und danach auch mit den Erfahrungen aus der ersten Zertifizierung, muss man ja auch sagen, ne. Also bisher gibt es ja noch keine zertifizierten Wallets, weil die ganzen Zertifizierungsvorgaben auch alle erst noch im Entstehen sind oder jetzt grade abgeschlossen werden. Dann will man das öffnen und ich würde auch davon ausgehen, dass es dann mehr als eine Wallet geben wird, jedenfalls in vielen Ländern. Ob es dann gleich zwanzig oder fünfundzwanzig Wallets geben wird, das würd ich jetzt eher bezweifeln, weil der Aufwand für Zertifizierung und allem natürlich doch enorm hoch ist. Aber ich glaube schon, dass es mehr als eine Wallet geben wird, also grade im Hinblick auf so verschiedene sektorale Themen, ne, wie Gesundheit zum Beispiel.

Linnemann: Aber es gibt doch schon Wallets. Also ich hab meine Samsung Wallet und 'ne Apple Wallet und all so was. Wenn die dann einfach in Zukunft die Zertifizierung machen, das übernehmen und dann sind unsere Daten vielleicht nicht da, wo wir sie souverän haben wollen?

Buchholz: Also ja, es gibt diese Wallets. Die dürfen sich auch in Europa, auch in Deutschland notifizieren, zertifizieren lassen und dann nach den Rahmen oder Spielregeln der EU mitspielen. Das heißt, Europa schafft eben diesen Vertrauensrahmen, der auch für solche Anbieter dann gilt und diese Grundprinzipien unterstützt.

Linnemann: Jetzt muss ich fragen, weil zurzeit ja die Welt auch sich verändert und wir sehr viel über Souveränität sprechen. Widerspricht das nicht eigentlich der Souveränität, wenn wir sagen, dass jeder bei der Wallet mitmachen kann?

Nguyen: Ich find nicht, dass sich das per se widerspricht, denn jeder, der mitmachen will, muss sich ja tatsächlich diesem regulativen Framework unterwerfen. Und er muss sich eben nicht nur dem unterwerfen, was wir europäisch jetzt schon haben, Digital Service Act, Marketing Act und diese ganzen Sachen, sondern er muss dann wirklich die ganz konkrete Zertifizierung machen. Also die Wallet funktioniert ja nur dann, wenn ich tatsächlich auch<s> </s>Identifikationsdaten aufnehme, ne. Dazu muss ich mich natürlich im Prinzip in jedem Land, in dem ich diese Daten aufnehmen will, zertifizieren lassen. Also es gibt im Moment noch nicht so 'ne Art Verbundzertifizierung, die dann in ganz Europa funktionieren würde.

Wenn ich 'ne deutsche Identität aufnehmen will als Wallet, muss ich mich in Deutschland zertifizieren. Wenn ich 'ne belgische aufnehmen will, muss mich in Belgien zertifizieren. Diesen Aufwand muss man gehen und damit geht natürlich nicht nur 'ne technische Zertifizierung einher, sondern da muss ich natürlich auch alle anderen regulativen Themen, Datenschutz und so weiter berücksichtigen. Also von daher kann man es auch positiv sehen und kann auch sagen, es schafft vielleicht sozusagen noch mal 'nen anderen Level an Souveränität, indem ich das mache jetzt. Souveränität ist vielleicht noch mal ein anderer Podcast wert. Man muss ja ehrlicherweise sagen, dass die Souveränität im mobilen Kontext in Europa auch nur eingeschränkt verfügbar ist, weil so richtig viele mobile Betriebssysteme, die auf Handys laufen, die aus Europa kommen, fallen mir jetzt auch bei längerem Nachdenken nicht ein.

Linnemann: Jetzt sind wir so ein bisschen ja abgerutscht schon in die auch Herausforderungen so einer Wallet. Viel spannender ist ja eigentlich, was wir damit machen können. Jetzt gibt es ja schon eine ganze Menge Identitäten. Also es gibt ja, soweit ich weiß, schon eine Bund-ID. Ich habe eine Versicherten-ID. Wir haben über die Gesundheits-ID gesprochen. Ja. Ich frage mich jetzt, wie das zusammenspielt. Also da ist ja schon eine Identität drin. Kommt das jetzt mit da rein? Könnt ihr mir das erklären?

Nguyen: Also ich glaube, eine der großen Chancen ist tatsächlich, dass neben der natürlichen Identität, die ich habe, also diese Personalausweisidentität sozusagen, die Wallet halt die Möglichkeit bietet, ganz viele Attribute zu speichern. Und die Attribute können eben dann zum Beispiel genau solche abgeleiteten Identitäten sein.

Weil im Prinzip ganz viele Identitäten, die ich jetzt mit mir herumtrage, sind ja irgendwie abgeleitet, aus meiner eigenen Identität plus irgendeiner Fähigkeit oder irgendeiner besonderen Berechtigung oder irgendwie so was. Und das ist, glaube ich, eine große Chance und das ist vielleicht auch sozusagen der große Unterschied zum Personalausweis.

Der Personalausweis liefert ja im Prinzip einfach nur, wer ich bin und wo ich wohne und wie alt ich bin. Und ich glaube, die Verschränkung von wer bin ich und was bin ich, das ist sozusagen die große Erneuerung, die wir wirklich schaffen können. Und damit lassen sich dann auch viele von den sektoralen Dingen, die wir jetzt in Deutschland haben, aus meiner Sicht perspektivisch in so einer Wallet bündeln. Sei es jetzt Gesundheits-ID oder sei es Heilberufsthemen oder sei es das ganze Thema Anwalt- und Notarwesen. Das sind ja alles Sektoren, die im Moment relativ kostspielig, muss man ja auch sagen, mit viel Mühe eigene Identitäten haben und betreiben. Und da ist halt schon die spannende Frage, ob die Wallet da nicht so eine Art Konvergenz schaffen kann.

Jetzt muss man gleich bei Konvergenz auch immer aufpassen, ne. Es gibt dann auch immer noch mal die Frage: Will ich eigentlich alle meine beruflichen Sachen in meiner privaten Wallet haben? Deswegen bin ich der persönlichen Meinung, dass es wahrscheinlich sektorale berufliche Wallets geben wird, die dann unterscheiden, die sich unterscheiden von der privaten Wallet.

Linnemann: Ja, es gibt auch ein Unternehmenswallet.

Nguyen: Das ist ja das nächste große Thema. Das müssen wir dann in einem weiteren Podcast besprechen. Weil es tatsächlich so ist, dass die eIDAS-Verordnung immer natürliche und juristische Personen gleichermaßen betroffen hat und sich darauf bezogen hat.

Also eigentlich hätte die Wallet jetzt auch schon juristische Personen betrachten müssen. Ich glaube, es war dann aber relativ schnell klar, dass dieses Level an Komplexität tatsächlich, äh, von niemand hätte mehr beherrscht werden können. Deswegen hat die Kommission sich entschieden, das Thema Business Wallet noch mal separat anzugehen. Dafür laufen jetzt gerade die Gespräche. Also da hat das Parlament jetzt gerade seine erste Stellungnahme zu abgegeben, die tatsächlich erstaunlich positiv war und das wird jetzt das nächste Thema werden.

Linnemann: Ja klar. Super relevant. Die Gesundheits-ID ist ja schon definiert. Die pack ich dann mit in das Wallet. Braucht es eigentlich beides, wenn ich in Zukunft darüber nachdenke? Oder reicht es nicht eigentlich, einen Strang weiterzudenken?

Buchholz: Das ist ein ganz spannendes Thema. Dem haben wir uns jetzt erst kürzlich gewidmet, weil der Verband der privaten Krankenversicherungen einen Call for Innovation rausgegeben hatte und sich genau dieser Frage gewidmet hat. Die haben quasi gesagt, '23 wurde die Gesundheits-ID ausgegeben. Ich glaub, momentan liegen wir irgendwie bei sechs Prozent der Durchdringung. Das ist nicht wahnsinnig hoch. Und jetzt kommt die EUDI-Wallet und man fragt sich natürlich, wird es zwei Identitätssysteme geben? Macht das Sinn?

Macht es Sinn, die EUDI-Wallet im Gesundheitssystem zu nutzen? Welche Mehrwerte bringt das eigentlich mit sich? Und das kann man quasi so ein bisschen High Level diskutieren. Und wir haben uns dann zusammen mit unterschiedlichen Akteuren aus dem Gesundheitswesen, haben gesagt, wir nehmen tatsächlich von der Krankenversicherung über ein Praxisverwaltungssystem, über 'ne Apotheke, über ein Arztterminal alle Teilnehmer dieses Ökosystems mit und, und betrachten mal die User Journey von: Ich identifiziere mich als Patient bei meiner Krankenversicherung, ich gehe zum Arzt über einen Onlineweg oder vor Ort bis hin zu ich löse nachher mein E-Rezept entweder in Deutschland oder sogar im EU-Ausland ein und haben quasi diesen Anwendungsfall einmal als Prototypen als technische Umsetzung auf Basis der schon spezifizierten Standards umgesetzt.

Und das war wahnsinnig spannend und erkenntnisreich und wir haben da großes Interesse erfahren, weil es zeigt, es bringt tatsächlich Mehrwert auf allen Ebenen mit sich. Für die Patient:innen, die letztlich jetzt im Case der Privatversicherten beispielsweise nicht mehr vorher irgendwelche Dokumente ausfüllen müssen, fünfzehn Minuten lang in der Arztpraxis am Klemmbrett für die Leistungserbringer, die tatsächlich auch die Daten fehlerfrei, vollelektronisch sicher übertragen bekommen, aber letztlich auch für die Kostenträger, die sich nämlich dieser Frage widmen: Was für Systeme unterstütze ich denn eigentlich mit, welchem Aufwand, in welcher Infrastruktur?

Und momentan in der Diskussion mit der Gematik, die das ja auch verantwortet, ist eben die Frage: Wie, wie kann man das angehen?

Jetzt gibt es eben auch 'ne Gesundheits-ID. Es gibt, sektorale Ansätze auch für die einzelnen Kassen. Da ist es im ersten Schritt erst mal, dass man sich beispielsweise mit 'nem, mit 'ner digitalen Identität identifiziert, um die nutzen zu können. Oder geht man eben auch weiter darüber hinaus und sagt, man setzt auf dieser Technologie, dass der Patient oder die Patientin sich mit dem digitalen Ausweis identifiziert und tatsächlich diese digitale Gesundheitsnachweis auch ausgestellt bekommt in die ID-Wallet.

Nguyen: Und ich glaube, man muss dann ergänzend noch sagen, wir haben ja in Deutschland die gute oder schlechte Situation – kann man jetzt mal offenlassen, wie man das bewertet – dass es eben schon viele Systeme gibt. Und ich glaube, es ist auch nicht realistisch, jetzt sozusagen an einem Stichtag das alles umzustellen. Und am Ende wäre das Ziel, dass es eine Attraktivität geben muss und dass dann vielleicht die Menschen sich dahin bewegen, wo es halt am attraktivsten, am nutzerfreundlichsten, am praktischsten ist.

Und da wäre natürlich meine Hoffnung, dass das perspektivisch die Wallet sein wird und sein muss und sein kann. Aber wir haben jetzt halt verschiedene Systeme und meine Erfahrung mit all diesen Sachen zeigt man redet dann halt schon über etliche Jahre, bis dann so eine Migration passieren kann, weil wir ja in Deutschland tatsächlich keinen Greenfield Approach haben. Wir bauen das ja nicht von null auf. Das wäre natürlich viel einfacher an vielen Stellen, muss man ganz klar sagen.

Linnemann: Aber eigentlich würde es super passen. Wir haben ja auch das E-Rezept, was jetzt europäisch werden muss. Da muss ich mich überall authentifizieren können oder identifizieren können. Und da gibt's ja noch weitere Dinge, egal ob's der Behandlungsstrang ist eben oder ob's das E-Rezept ist. In jeder Hinsicht habe ich eigentlich die Herausforderung, Auslandskrankenversicherung, also verschiedenste Punkte. Eigentlich wäre es doch super naheliegend, dann eine europäische Lösung direkt zu nutzen.

Nguyen: Total. Und, und man muss ja auch immer davon ausgehen, dass auch aus meiner Sicht im Gesundheitsbereich in den kommenden Jahren viel mehr europäisch noch reguliert werden wird. Und das finde ich auch gut, weil das genau diese grenzüberschreitende Akzeptanz sicherstellt. Und die EU ist an der Stelle sehr konsequent. Wann immer die irgendwas macht, was Identitäten und Authentifizierung und so was angeht, dann schreiben die da eigentlich immer rein, das muss auf Basis dieses neuen Wallet-Ökosystems passieren. Und von daher ist es, genau wie du sagst der richtige Schritt, stufenweise vielleicht, diese Dinge so einzuziehen und dann eine Zielvision zu haben, die dann tatsächlich auf dieser- Ökosystem Wallet beruhen wird.

Linnemann: Aber noch so ein bisschen down to earth. Ja, nehmen wir mal 2027. Janina, was genau haben wir denn schon in 2027?

Buchholz: Was können wir nutzen? Na ja, im Prinzip haben wir die Wallet, wir haben den digitalen Personalausweis. Wir können uns identifizieren. Der Plan aktuell, im Laufe des Jahres 27 auch, hoffentlich diese Funktionalität der qualifizierten elektronischen Signatur schon bedienen können. Das sind, denke ich, zwei erste große Schritte. Und auf der Basis, das macht's dann spannend, können weitere Nachweise eben auch ausgestellt werden, die dann auch die Akzeptanz weiterhin erhöhen.

Linnemann: Für manche ist das nicht so greifbar, glaube ich. Also Identifikation ist, glaube ich, klar. Ich bin Markus, aber was bringt mir diese Signaturfunktion?

Buchholz: Na ja, 'ne qualifizierte elektronische Signatur ersetzt das Schriftform-Erfordernis. Das heißt, ich kann damit tatsächlich Verträge signieren, die ich heute eben vielleicht auf Papier signiere und nur vor Ort signieren kann. Das ist ein großer Schritt in diese Richtung.

Nguyen: Ja, tatsächlich muss man sagen, ist das wirklich, glaube ich, ein historischer Schritt, weil wir in Deutschland ja fünfundzwanzig Jahre an diesem Thema qualifizierte Signatur gearbeitet haben und viele langjährige Kämpfen auch wissen, wie sehr wir daran gelitten haben, ne, weil wir in Deutschland aufgrund des Signaturgesetzes an diesen Formfaktor Signaturkarte gebunden waren, der sich eben nicht so leicht integrieren lässt in vieles, ne. Mit der Wallet werden wir jetzt so eine Fernsignatur kriegen. Das heißt, die Signaturschlüssel sind bei einem qualifizierten Dienstleister. Die Wallet dient sozusagen als auslösendes Moment. Ich kann also wirklich mit dem Smartphone aus eigentlich in einem Mechanismus, wie man das, keine Ahnung, vom Aus- vom Online-Banking oder so kennt, dann auch signieren.

Das ist wirklich ein großer Schritt. Und so ein bisschen spannend ist es auch, weil wir ja im Moment an vielen Stellen ja sehen, dass die Schriftform Erfordernis einfach abgeschafft wird, weil alle sagen, es ist eh so kompliziert. Ich glaube, da kann die Wallet noch mal 'n richtigen revolutionären Schritt bringen, indem man sagt: Na ja, das ist am Ende dann genauso einfach wie das Ausweisen.

Linnemann: Sind wir da in Europa nicht sowieso 'n bisschen die schwierigsten Kandidaten?

Nguyen: Jo, auf jeden Fall. Also auch da, glaub ich, ist die Wallet noch mal 'n großer Schritt, weil man schon versucht, auch die Usability da mit reinzubringen. Muss man auch. Es ist natürlich immer 'n Konflikt. Also Usability und Security passen nicht immer miteinander gut zusammen. Die beste Usability ist vielleicht wirklich Touch and go. Das möchte man aber bei Ausweisen und bei Signieren nicht einfach machen. Das heißt, ich brauche irgendwelche freigehenden Elemente und wie man das dann gestaltet, ist halt sozusagen 'n Konflikt. Weil am Ende gibt's harte Anforderungen und ich möcht ja auch nicht so aus der Tasche raus signieren, irgendwas, was ich nicht kenne. Also ich muss schon meinen Willen kundtun. Aber ob ich den jetzt mit siebenundzwanzig langen Pins oder vielleicht nur mit einer PIN oder mit zwei Pins mache, sind halt die großen Unterschiede. Und das muss man sich im Detail in der Zertifizierung und allem natürlich dann anschauen.

Buchholz: Ja, und ich denke auch, dieses Thema Convenience, also Nutzerfreundlichkeit, ist wahnsinnig wichtig für die Akzeptanz und gleichzeitig braucht es eben dieses Maß an Datenschutz, an Sicherheit. Und da bietet aber die ID-Wallet letztlich auch 'ne Chance, so 'n Mindeststandard in die Fläche zu bringen, den wir heute vielleicht nicht haben oder den wir, ne, an Stellen haben, wo Vertrauen dann fehleranfällig, langsam, und eben gerade nicht nutzerfreundlich ist.

Linnemann: Kann ich denn dann in Zukunft auch meine PayPal-Karten oder beziehungsweise meine Bankkarten, meinen PayPal-Account und so was reinpacken? Denn ich hab heute ehrlicherweise schon die Situation, ich bin natürlich auch sehr digital und muss mir heute schon immer überlegen, was ich jetzt öffnen muss, damit ich an was rankomme. Und mein Traum wär jetzt von dem, was ihr erzählt, dass ich in Zukunft halt immer meine Wallet aufmache. Da ist alles drin, so wie in meinem Portemonnaie.

Nguyen: Also das Thema Zahlen ist natürlich jetzt erst mal nicht Kernfunktionalität aus der eIDAS-Verordnung heraus, aber es gibt ja sehr große Aktivitäten rund den digitalen Euro und es gibt tatsächlich da auch Abstimmung zwischen den verschiedenen Generaldirektionen, inwiefern die Wallet nicht tatsächlich genauso auch der Knotenpunkt für dieses digitale Zahlen sein kann. Das muss man allerdings sagen, ist, glaub ich, die übernächste Generation oder so. Aber die Vision, der Gedanke ist ganz klar da, das auch zu verbinden.

Buchholz: Der erste Schritt wäre tatsächlich das Auslösen der Zahlung. Kontoeröffnung oder also überall, wo heute man reguliert hat, dass es zwei Faktoren braucht für die Identifizierung, da wird auch verpflichtend die Anwendung der EUDI-Wallet eingeführt. Das sind aber nicht die Bezahlmethoden, die wir heute quasi über PayPal sehen, sondern das ist in 'nem ersten Schritt eben dieses Zahlungen-Auslösen, im Wesentlichen KYC-Prozesse.

Linnemann: Ist vielleicht nicht unser Thema, aber dann stelle ich mir gerade vor, es könnte dann ja auch Zahlmodelle ablösen. Also ist wahrscheinlich ein eigener Podcast, ja. Vero haben wir gerade erst ins Land gebracht. Ja.

Nguyen: Mal gucken, was passiert. Na ja, also man muss auch sagen- Oder

Buchholz: einbinden.

Nguyen: Genau, man muss auch sagen, ne, vor jeder Bundesdruckerei stand ja ein paar Jahre auch ein Geldautomat, wo man mit dem Personalausweis Geld abheben konnte.

Buchholz: Der war toll.

Nguyen: Der war super.

Buchholz: Ich vermisse den bis heute.

Nguyen: Ich hab das auch ständig gemacht. Ja. Das war so …

Linnemann: Der ist jetzt leer oder warum ist der weg?

Nguyen: Nee, der, das, das wurde, das, das hat sich halt leider nicht durchgesetzt. Aber was man da gemacht hat, ist, man hat sozusagen eine Lastschrift quasi unterschrieben mit seinem Ausweis. Also man konnte natürlich nicht mit dem Ausweis direkt im Giroverkehr Geld abheben, ist ja klar, aber man konnte sozusagen eine Lastschrift für ein Konto autorisieren und deswegen konnte man dann mit dem Geldautomaten auch abheben. Also man sieht schon mit den richtigen Funktionalitäten und die haben wir ja da drauf.

Linnemann: Mir fällt gerade auf, ein Geldautomat direkt an der Bundesdruckerei ist Supply-Chain-technisch zu Ende gedacht.

Nguyen: Ja, genau. Der stand auch tatsächlich im Vorraum des Gebäudes, wo das Geld gedruckt wurde. Ja, das ist tatsächlich so.

Linnemann: Das ist zu Ende gedacht.

Buchholz: Auf dem Weg zur Kantine.

Nguyen: Genau.

Linnemann: Ich höre raus, dass es ganz viele Möglichkeiten gibt, was vielleicht gleichzeitig auch wieder die Herausforderung sein kann. Was macht man zuerst? Wer macht was zuerst? Wie stimmt man sich ab? Aber es soll ja auch was verändern. Es soll ja auch unsere Prozesse verändern. Es soll ja nicht wieder irgendwas Nicht-Digitales sein, was wir dann genau so, wie es ist, digital machen. Gibt es schon Use Cases, die besprochen werden, wo man auch in die Zukunft denkt, wo man sagt, das ist wirklich ein Game Changer, also damit können wir Sachen ganz anders machen als bisher?

Buchholz: Also einen haben wir, glaub ich, grade schon diskutiert. Ist in jedem Fall die Gesundheitsidentität, weil sie 'ne Alltagsrelevanz hat, einfach häufig stattfindet. Das sind, glaub ich, so auch Kriterien, die wichtig sind, wenn man über diesen Killer-Use Case nachdenkt.

Ich weiß nicht, ob's diesen einen Killer-Use Case wirklich gibt oder ob es nicht grade umgedreht ist, dass die Tragfähigkeit daher kommt, dass eben in vielen Lebensbereichen immer wieder die gleiche Anwendung zum Tragen kommt. Ich eben nicht unendlich viele Apps habe und unendlich viele Passwörter. Ich glaub, man sagt, jeder Mensch hat ungefähr neunzig Identitäten. Die muss ich mir wahrscheinlich …

Nguyen: Aber alle nutzen das gleiche Passwort wahrscheinlich.

Buchholz Alle, genau. Eins, zwei, drei.

Nguyen: Ist ja auch, ist ja auch 'n Sicherheitspodcast, ne.

Buchholz: Ja, von dem her kommt es sicherlich über die Vielzahl der, der Anwendungsfälle auch in den unterschiedlichsten Lebensbereichen. Aber es gibt welche, die im Fokus stehen, ne.

Nguyen: Aber ich glaube, die große Chance ist eben, dass ich eben auch diese Attribute speichern kann, ne. Dass ich eben auch… Ich könnte zum Beispiel auch mir vorstellen, dass es dann so Nachweise wie Gehaltsnachweise oder so, die ich ja bei diversen Sachen, immer einreichen muss. Die könnte ich sozusagen auch mit auf die Wallet geben. Sodass ich also nicht nur sage, ich will jetzt hier so 'n Vertrag schließen. Ich kann sagen, wer ich bin, sondern ich kann jetzt, weißt du, die drei Nachweise, die erforderlich sind, auch gleich digital übertragen. Und dann kann ich das noch signieren.

Ich weiß gar nicht, ob ich neue Use Cases damit finde, aber ich schaffe, glaub ich, die potenzielle Chance, so 'n ganzen Use Case Ende zu Ende von meiner Seite aus komplett digital abzuwickeln, ohne dieses berühmte Ausdrucken und wieder Einscannen zwischendrin zu haben. Oder ich mach's alles digital und dann druck ich's aus und schick's doch wieder ein.

Buchholz: Und vielleicht noch ergänzend auch, es gibt ja Use Cases in der Verwaltung und in der Privatwirtschaft und ich glaube, das ist auch noch mal so einen Blick wert, weil was passiert hier eigentlich in dem Verwaltungskontext? Es stehen, entstehen neue Wege der Interaktion zwischen Staat und Bürger: in. Und das, das ist natürlich 'n großer Hebel auch für die Verwaltungsdigitalisierung letztlich, die wir ganz stark brauchen und die forciert wird. Und auf der Wirtschaftsseite gibt es eben viele Bereiche, glaub ich einfach. Wir haben vorhin über den Bildungssektor gesprochen, wie toll wäre es, wenn wir uns vorstellen, dass auch zukünftig beispielsweise Bildungsnachweise verfügbar wären und dann quasi hier 'ne Mobilität auch, unterstützt.

Nguyen: Und das denk ich auch. Also wir haben jetzt auch über viele Anwendungsfälle gesprochen, die sagen wir mal sehr hoch gelagert sind, diese berühmten Kontoeröffnungsthemen oder so was, ne. Wo aber ehrlich gesagt, ne, also das macht, macht man jetzt auch nicht jeden Tag, ne. Deswegen muss man auch sagen, die Wallet bietet ja auch die Möglichkeit, ich sag mal, niederschwelligere Sachen zu speichern, die vielleicht nicht so 'n hohen Schutzbedarf haben, die aber trotzdem dann digital sein können. Weil wenn man jetzt, wenn ich mir jetzt angucke, im schulischen Bereich oder im kommunalen Bereich gibt's ja unendlich viele Sachen, wo ich dann doch irgend so 'n Papierblatt ausgedruckt krieg und damit kann ich dann sechs Wochen in den Schulferien irgendwie, ins Schwimmbad gehen oder sonst was. Das wären natürlich auch Dinge, die ich auch in diese Wallet tun kann. Die sind dann vielleicht nicht qualifiziert, ganz hochwertig, aber sie ließen sich sozusagen trotzdem in so 'n bestehendes System integrieren. Ich glaub, das ist auch noch mal 'n interessanter Schritt, den man auch nicht unterschätzen darf.

Linnemann: Ich weiß, dass ich 'n Studiennachweis oder auch meinen Abiturnachweis immer extra gestempelt neu von meiner Schule holen musste. So was gehört dann der Vergangenheit an.

Buchholz: Wenn's die Schule noch gibt.

Linnemann: Wenn… In meinem Fall schon.

Nguyen: Ja, aber ich glaube wirklich, dass, also das Thema Nachweise bietet wirklich große, große Vorteile, weil ich wirklich dann ganze Anwendungsfälle umsetzen kann. Weil das ist letztendlich, glaub ich, auch immer die Herausforderung für den Personalausweis gewesen. Der Personalausweis kann eben nur, nur in Anführungszeichen sagen, wer ich bin und wo ich wohne.

Linnemann: Wie ist es denn? Kann ich Dokumente von anderen mitnehmen? Also der klassische Fall, auch im Gesundheitswesen sehr relevant, dass ich zum Beispiel die Vollmachten oder was auch immer meine Eltern mir beispielsweise ausstellen, was, was gebraucht wird im hohen Alter. Kann ich das mitnehmen? Vollmachten, Patientenverfügungen, ähnliche Dinge?

Buchholz: Ist ein ganz wichtiges Thema. Muss es aus meiner Sicht unbedingt geben. Nach meinem Kenntnisstand nicht zum Launch der EUDI-Wallet. Aber es ist was, was man sich sehr genau angucken wird, weil natürlich damit einfach wiederum die Mehrwerte, sich ausdehnen. Wir haben auch im Gesundheitskontext uns diesem Thema angenommen: Wie ist das denn, wenn ich das Rezept für meine Großmutter einlösen möchte, weil sie eben gerade krank ist? Wie kann das funktionieren? Oder ich möchte für meine Kinder... Also, also es gibt unterschiedliche Vollmachts-Thematiken. Das ist definitiv 'n sehr, sehr relevantes Thema.

Wir haben uns dem Thema ein Stück weit genähert über die iKFZ-App. Da haben wir das Thema Fahrzeugschein betrachtet und eben auch das Thema: Ich besitze einen Fahrzeugschein, möchte aber diesen Fahrzeugschein teilen. Das heißt, wir haben da auch schon Vorüberlegungen, die wir quasi in die Diskussion mit einbringen, dann wieder über EU-geförderte Projekte, über Large Scale Pilots, wo es dann darum geht, wie bringe ich denn eigentlich den Führerschein und weitere Dokumente in die EUDI-Wallet später ein. Also diese Thematik, wie teile ich, wie erteile ich Vollmachten? Ganz wichtiges Thema, was auf der Roadmap steht.

Nguyen: Ist am Ende dann ja vor allem auch 'n Thema, sag ich mal, wie die eigentliche Berechtigung umgesetzt wird. Natürlich müssen die Elemente in meiner Wallet in irgendeinem Sinne schon auch an mich gebunden sein, ne, sonst wär's ja schlecht. Da ist ja die Frage, inwiefern man tatsächlich dann zukünftig in solche Rechte-Rollen-Konzepte dann auch solche Delegationsthemen mit unterbringt, ich bin da total bei Janina. Ich glaub, das sind dann genau die Anwendungsfälle, die es besonders spannend machen. Wenn ich wirklich Dinge sozusagen über die Grenzen meiner eigenen Wallet hinaus weitergeben kann.

Linnemann: Also das würd ich sofort nehmen, muss ich sagen. Es gibt so viele Alltagsthemen gerade, die Vollmachten zu übernehmen und das digital weiterzuleiten. Das wäre wirklich für mich 'n kleiner Traum, wenn wir das in Zukunft hinkriegen, weil das heutzutage wirklich ein schwieriger Prozess ist, typischerweise. Wir könnten noch Stunden reden, glaub ich, über das Thema. Es ist super spannend. Wir, wir springen auch so 'n bisschen hin und her, weil so groß ist das Thema. Also, dass man's gar nicht so richtig weiß, wo man richtig anpacken soll, in welcher Ecke.

Es bietet sehr viele Möglichkeiten, aber ich würd noch mal gerne so 'n bisschen für uns jeden Einzelnen, für die Anwendung noch mal so 'n bisschen rausfinden: Was sind jetzt eigentlich die coolsten Use Cases, die wir auch in Zukunft erwarten können?

Und ich hätte 'ne Bitte an euch. Können wir das spielerisch machen? Und zwar, ihr kennt bestimmt, „Ich packe meinen Koffer“ und<s> </s>ich würde mit euch gerne spielen „Ich packe in mein EUDI-Wallet“ und das vielleicht drei Runden, sodass ihr nacheinander eure drei Lieblings-Use-Cases sozusagen in die Wallet packt. Wäre das okay für euch?

Buchholz: Ja.

Linnemann: Ich mache bewusst nicht mit, sonst dauert es nämlich zu lange. Möchtest du starten? Was packst du in deine EUDI-Wallet?

Buchholz: Ich packe in meine EUDI-Wallet Bildungsnachweise.

Nguyen: Ich packe in meine EUDI-Wallet den Führerschein und den Fahrzeugschein.

Buchholz: Ich packe in meine EUDI-Wallet den Schwerbehindertenausweis.

Nguyen: Ich packe in meine EUDI-Wallet meine Details zu Bank- und Kontenverbindungen.

Buchholz: Ich packe in meine EUDI-Wallet, wir hatten es noch nicht, die Gesundheitsidentität.

Nguyen: Genau, und dann packe ich eventuell noch meine beruflichen Attribute hinein.

Buchholz: Wir haben das Spiel falsch gespielt. Wir hätten es wiederholen müssen, oder? Richtig. Keiner hat was gesagt.

Linnemann: Ich finde das sehr charmant. Ich wollte kurz eingreifen, aber ich finde das völlig in Ordnung, wenn wir uns auf die Use Cases fokussieren und nicht auf das Merken. Das ist für mich total okay.

Nguyen: Hätte ich auch nicht geschafft.

Linnemann: Auf jeden Fall habe ich jetzt ganz viele Ideen, was ich alles in so eine Wallet packen kann.

Ich bin mir fast sicher, dass wir zu dem Thema noch mal sprechen müssen. Vielleicht in einem halben Jahr oder in einem Jahr, wenn es dann herauskommt. Also das alles, was an Abstimmungsbedarf dahintersteht, scheint mir eine große Aufgabe zu sein. Das Ziel hingegen scheint mir aber auch ein ganz wichtiges zu sein. Insofern freue ich mich sehr, wenn das eingeführt wird. Ich finde es toll, dass ihr euch dafür so stark engagiert und möchte mich ganz herzlich bei euch bedanken für dieses nette Gespräch.

Nguyen: Vielen Dank für die Einladung.

Buchholz: Vielen, vielen Dank. Es hat viel Spaß gemacht. Danke.

Linnemann: Sind noch Fragen offengeblieben oder Inhalte noch unklar? Schreibt uns gern an podcast@secunet.com. Mein Name ist Markus Linnemann und ihr hört den Podcast Sprechstunde IT-Sicherheit Fokus Gesundheitswesen mit Janina Buchholz und Dr. Kim Nguyen. Abonniert den Kanal und bis zum nächsten Mal.