Wer in Zukunft eine Wohnung mieten, einen Handyvertrag abschließen, Bürgergeld beantragen, sich in eine App einloggen oder mit dem Zug fahren will, wird für all das dieselbe Geste vollziehen: Smartphone entsperren, auf ein blaues Symbol tippen, eine staatlich zertifizierte digitale Identität vorzeigen.

Die europäische EUDI-Wallet – auf Deutsch: Europäische Brieftasche für die Digitale Identität – soll das ermöglichen. Der deutsche Referentenentwurf zum Digitalen Identitätengesetz (DIdG), vorgelegt Ende März 2026, legt dafür den gesetzlichen Rahmen. Das Bundesministerium für Digitales nennt das einen Fortschritt für Bürgerinnen und Bürger. Es ist das Gegenteil.

Was hier gebaut wird, ist keine Befreiung von Bürokratie. Es ist die vollständige Verschmelzung von Staat, Markt und menschlicher Identität in einer einzigen, zentral kontrollierten Infrastruktur.

»Wer zahlt, authentifiziert sich gleichzeitig. Wer sich authentifiziert, zahlt. Die Bank weiß, wer man ist. Der Staat weiß, was man kauft.«

Der freundliche Leviathan

Die Werbesprache des Entwurfs ist elegant. Die Nutzung sei »freiwillig«, versichert die Begründung, die Wallet »grundrechtsfreundlich«. Bürgerinnen und Bürger behielten die Kontrolle über ihre Daten, sie entschieden selbst, was sie wem zeigten.

Das stimmt. Auf dem Papier. In der Realität schafft das Gesetz etwas anderes: faktischen Zwang durch infrastrukturelle Ausgrenzung. Wer keine Wallet nutzt oder kein Smartphone besitzt, zahlt den Preis des »digitalen Ausschlusses«. Denn gemäß Paragraf 16 DIdG ersetzen elektronische Attributsbescheinigungen die gesetzliche Schriftform. Verwaltungsleistungen werden über das Onlinezugangsgesetz an diese Identifizierungsformate gekoppelt. Der Staat spricht von Freiwilligkeit und meint: Wer draußen bleiben will, kann das tun – doch er wird es bereuen.

Das ist das klassische Angebot des modernen Verwaltungsstaates: Schutz und Teilhabe im Tausch gegen Unterwerfung unter seine Definitionen. Thomas Hobbes hat diese Logik auf den Begriff gebracht: Menschen treten ihre natürliche Freiheit an den Souverän ab und erhalten dafür Sicherheit und Ordnung. Der Leviathan schützt, aber er herrscht.

Was Hobbes nicht einkalkuliert hat: Was passiert, wenn der Leviathan digital wird? Wenn er nicht mehr mit Soldaten und Gesetzen regiert, sondern mit Zertifikaten, Algorithmen und Validierungsdatenbanken? Die Antwort des DIdG ist eindeutig: Er wird effizienter, undurchdringlicher und schwerer zu kontrollieren.

Die Leere des demokratischen Versprechens

Man könnte Hobbes mit Jean-Jacques Rousseau beantworten. Die Legitimität des Staates, würde Rousseau sagen, gründet nicht in der bloßen Machtübergabe, sondern im Gemeinwillen, in dem, was eine Gesellschaft wirklich will, wenn sie frei und informiert entscheidet. Irgendwann hätte die Bevölkerung ernsthaft gefragt werden müssen, ob sie eine staatlich verwaltete digitale Identitätsinfrastruktur wünscht, in der Behörden, Banken und Konzerne gleichzeitig auf verifizierte Verhaltensdaten zugreifen können. Das ist nicht geschehen. Und das ist kein Versehen.

»Die EUDI-Wallet übernimmt die Sprache der Bürgerrechte: Datensouveränität, Selbstbestimmung, Transparenz. Doch tatsächlich baut sie damit eine Infrastruktur zusammen, die das Gegenteil leistet.«

Demokratische Konzessionen – also Bürgerrechte und Schutzversprechen – entstehen selten aus dem Wohlwollen der Mächtigen. Sie entstehen, wenn Widerstand zu groß wird. Der Chaos Computer Club fordert seit Jahren digitale Brandmauern gegen biometrische Massenüberwachung. Datenschutzorganisationen warnen vor dem Überwachungskapitalismus. Das Vertrauen in staatliche Digitalprojekte ist gering. Die EUDI-Wallet ist die institutionelle Antwort auf genau diesen Druck. Sie übernimmt die Sprache der Bürgerrechte: Datensouveränität, Selbstbestimmung, Transparenz. Doch tatsächlich baut sie damit eine Infrastruktur zusammen, die das Gegenteil leistet.

Das Bundesverwaltungsamt registriert und verwaltet zentral alle Unternehmen, Behörden und Plattformen, die auf Wallet-Daten zugreifen dürfen. Das Bundesministerium für Digitales sichert die »ordnungsgemäße Verknüpfung« aller Personenidentifizierungsdaten. Das BSI kann Wallets bei Sicherheitsbedenken aussetzen oder entziehen – sprich: Menschen per Verwaltungsakt aus dem digitalen Wirtschaftsleben ausschließen. Das ist keine Selbstsouveränität. Das ist staatliche Definitionshoheit über die Identität jedes Einzelnen.

Der Gemeinwille, den Rousseau meinte, findet hier nicht statt. Was stattfindet, ist Verwaltung.

Wer wirklich profitiert

Neben dem Staat gibt es einen zweiten Gewinner: die Privatwirtschaft. Die Kosten dieser Infrastruktur trägt die öffentliche Hand: 69,5 Millionen Euro allein für die Pilotphase, weitere 95 Millionen einmaliger Aufwand für die Bundesverwaltung, rund 42 Millionen jährlich für Betrieb und Aufsicht. Was dabei entsteht, ist ein standardisiertes, staatlich geprüftes, massenhaft skalierbares System zur Identitätsverifikation, das Banken, Versicherungen, Plattformen und Telekommunikationskonzerne kostenlos nutzen können. Ihre Onboarding-Kosten sinken. Ihre Zugriffsmöglichkeiten auf verifizierte Verhaltensdaten steigen. Die Kosten trägt die Allgemeinheit. Den Nutzen privatisiert das Kapital.

Paragraf 17 DIdG macht das besonders deutlich: Er erlaubt die direkte Integration von Kreditkarten und Zahlungsdiensten in die Wallet. Damit verschmelzen staatliche Identität und kommerzielle Transaktion zu einem einzigen Datenstrom. Wer zahlt, authentifiziert sich gleichzeitig. Wer sich authentifiziert, zahlt. Die Bank weiß, wer man ist. Der Staat weiß, was man kauft. Und das BVA pflegt eine vollständige Liste aller Konzerne, die diesen Datenstrom anzapfen dürfen. Das ist keine digitale Demokratie. Das ist der Ausverkauf der Identität an einen lizenzierten Oligopolmarkt.

Welche Unternehmen in diesem Markt zugelassen werden, ist keine neutrale Verwaltungsentscheidung. Deutsche Behörden – Landeskriminalämter, das BKA – arbeiten bereits heute mit Palantir zusammen, jenem US-amerikanischen Datentechnologiekonzern, der sein Kapital zu erheblichen Teilen aus Geheimdienstaufträgen zog und dessen Mitgründer Peter Thiel 2009 schriftlich festhielt, er sei zur Überzeugung gelangt, dass Freiheit und Demokratie unvereinbar seien. Wer eine staatlich lizenzierte Infrastruktur für digitale Massenidentität baut und gleichzeitig die Türen für solche Akteure öffnet, sollte sich nicht wundern, wenn das Versprechen der Datensouveränität als das endet, was es war: Rhetorik.

Das digitale Panoptikum

An diesem Punkt versagt der politische Streit zwischen Hobbes und Rousseau, zwischen Ordnungsstaat und Volkssouveränität. Beide setzen voraus, dass Macht durch sichtbares Handeln funktioniert: Der Souverän beobachtet, kontrolliert, sanktioniert. Die Bürgerschaft beobachtet zurück, mobilisiert, widerspricht.

Was das DIdG errichtet, ist subtiler und wirkungsvoller. Michel Foucault hat es am Beispiel des Panoptikums beschrieben — jenes Gefängnisbaus, in dem der Insasse nie weiß, ob er gerade beobachtet wird oder nicht, und sich deshalb jederzeit so verhält, als ob er es würde. Die Macht muss gar nicht aktiv zuschlagen. Es reicht, dass die Möglichkeit der Beobachtung besteht. Das ändert das Verhalten. Es normiert. Es domestiziert. Die EUDI-Wallet ist das digitale Panoptikum des 21. Jahrhunderts.

»Der Einzelne, der gegen eine automatisierte Identitätsentscheidung vorgeht, steht künftig, so ist zu befürchten, vor einer kafkaesken Struktur.«

Es ist bekannt, dass die eigene Identität zertifiziert ist, Transaktionen auditierbar und Zugangsrechte widerrufbar sind. Es ist bekannt, dass das Bundesverwaltungsamt die Liste der autorisierten Datenzugreifer führt. Es ist bekannt, dass das BSI die digitale Existenz per Verwaltungsakt aussetzen kann. Es ist bekannt, dass die Experimentierklausel in Paragraf 21 dem Ministerium erlaubt, per Verordnung, ohne Bundesrat, ohne parlamentarische Debatte, Künstliche Intelligenz für die automatisierte Entscheidung über Identitäten einzusetzen.

Ob tatsächlich überwacht wird, spielt dabei keine Rolle. Wichtig ist, dass es jederzeit möglich wäre. Und das reicht.

Der Mensch als Zertifikat

Was diese Infrastruktur auf der menschlichen Ebene bedeutet, ist eindeutig: Das Individuum wird zu einem Portfolio von Attributen. Staatsangehörigkeit, Wohnsitz, Alter, Führerschein, Bankverbindung, Aufenthaltstitel: Alles wird zum maschinenlesbaren, kryptografisch besiegelten Datenpunkt. Nicht mehr das Gespräch mit dem Amt, nicht mehr der Ermessensspielraum der Sachbearbeiterin, nicht mehr die Ambiguität des sozialen Lebens: Wer jemand ist, entscheidet der Algorithmus.

Paragraf 21 Absatz 2 des Entwurfs sanktioniert explizit die »Automatisierung von Entscheidungen zu Personenidentifizierungsdaten, auch unter Einsatz von Künstlicher Intelligenz«. Wer gegen eine falsche KI-Entscheidung vorgehen will, muss das selbst tun. Die Beweislast wird umgekehrt. Was bleibt, ist eine Situation, die Franz Kafka nicht besser hätte konstruieren können: In Der Process wird Josef K. eines Morgens verhaftet, ohne je zu erfahren, welches Verbrechen ihm vorgeworfen wird. Er kämpft gegen eine Bürokratie ohne Gesicht, ohne Auskunft, ohne Freispruch.

Der Einzelne, der gegen eine automatisierte Identitätsentscheidung vorgeht, steht künftig, so ist zu befürchten, vor derselben Struktur. Nur dass die undurchdringliche Instanz diesmal kein Gericht ist, sondern eine technische Black Box, und dass es nicht um Schuld geht, sondern um die schlichtere Frage, ob man überhaupt noch im digitalen Raum existieren darf.

Das trifft nicht alle gleich: Jugendliche, die ihren Personalausweis per Wallet im Netz vorzeigen müssen; Menschen ohne Smartphone, die aus Verwaltungsleistungen herausfallen; Migrantinnen und Migranten, deren Aufenthaltstitel von denselben Behörden verwaltet wird, die auch die Wallet-Zugangsrechte kontrollieren; Menschen in Armut, deren Sozialleistungen über ein System beantragt werden, das gleichzeitig Konten, Identitäten und Bewegungsprofile erfasst. Das sind keine Randerscheinungen. Das sind die Menschen, für die staatliche Infrastruktur angeblich gemacht wird.

Noch ist es nicht zu spät

Der Referentenentwurf ist kein abgeschlossenes Gesetz. Er befindet sich im Stadium der Konsultation – noch angreifbar, noch veränderbar. Wer ihn durchwinken lässt, steht in wenigen Jahren vor vollendeten Tatsachen: einer Infrastruktur, die zu tief verankert ist, um sie zurückzubauen.

Nötig ist nicht die Ablehnung digitaler Identität als solcher. Es gibt technologische Alternativen, kryptographische Verfahren, die echte Anonymität ermöglichen, sogenannte Zero-Knowledge Proofs, die beweisen, dass jemand alt genug ist, ohne preiszugeben, wann er geboren wurde; dezentrale Strukturen, die keine zentrale Datenbank benötigen; Architekturen, die Kontrolle nicht versprechen, sondern konstruktiv erzwingen. Den Machbarkeitsbeweis lieferte die Corona-Warn-App während der zurückliegenden Pandemie.

»Nötig ist ein entschiedenes Nein zur Integration von Zahlungsdiensten in eine staatliche Identitätsinfrastruktur.«

Nötig ist außerdem die Streichung von Artikel 45 der eIDAS-Verordnung, der Browserhersteller zwingt, staatlichen Zertifikaten blind zu vertrauen — eine potenzielle Einladung zur staatlichen Kommunikationsüberwachung im großen Stil. Die Streichung der Experimentierklausel, die KI-gestützte Identitätsentscheidungen ohne parlamentarische Kontrolle ermöglicht. Und ein entschiedenes Nein zur Integration von Zahlungsdiensten in eine staatliche Identitätsinfrastruktur.

Keine dieser Forderungen ist utopisch. Sie entsprechen dem, was Bürgerrechtsorganisationen, Kryptografinnen und Datenschutzrechtlerinnen seit Jahren verlangen. Was fehlt, ist politischer Wille. Und der entsteht nicht in Ministerien. Dieser Wille entsteht dort, wo verstanden wird, was auf dem Spiel steht.