Wer über die EUDI Wallet nachdenkt, sollte wissen, wer sie mitgebaut hat. Frankreich ist, gemeinsam mit Deutschland, die treibende Kraft hinter der europäischen digitalen Brieftasche. Das ist kein Zufall — und es ist kein Grund zur Beruhigung.
Frankreich hat eine gut ausgebaute Datenschutzbehörde, die CNIL. Sie verhängt Bußgelder gegen Google, Facebook und TikTok, sie schreibt ausführliche Leitfäden, sie gilt in Europa als eine der aktivsten Aufsichtsbehörden. Das Bild, das Frankreich nach außen zeigt, ist das eines Landes, das den Datenschutz ernst nimmt. Es stimmt sogar — aber nur halb.
Der Staat, der sich selbst ausnimmt
Die Geschichte der CNIL geht auf die 1970er Jahre zurück. Die französische Regierung verfolgte damals ein Projekt namens SAFARI — den Plan, jedem Franzosen eine einheitliche Nummer zu geben, die allein dazu dienen sollte, den Datenaustausch zwischen öffentlichen Stellen zu ermöglichen. Der Aufschrei war groß, die CNIL wurde gegründet, das Projekt gestoppt. Was die Geschichte verschweigt: Die Idee dahinter hat Frankreich nie wirklich aufgegeben. Sie wurde nur geduldig weiterentwickelt.
Das Geheimdienstgesetz von 2015 schuf einen neuen rechtlichen Rahmen für die Überwachungsprogramme der französischen Nachrichtendienste. Es ermöglicht Algorithmen, den gesamten Datenverkehr und die Log-Daten der Bevölkerung auf verdächtige Muster zu analysieren, und erlaubt den Zugriff in Echtzeit auf Verbindungsdaten bei Telekommunikationsanbietern. Human Rights Watch kritisierte das Gesetz scharf: Es gebe dem Premierminister weitreichende Befugnisse zur Genehmigung von Überwachung für Zwecke weit über das hinaus, was das internationale Menschenrecht anerkennt — ohne echte richterliche Kontrolle. Telekommunikationsanbieter wurden verpflichtet, Nutzerdaten zu überwachen, zu analysieren und verdächtige Muster zu melden.
Der Europäische Gerichtshof urteilte schließlich, dass das französische Überwachungsrecht die Grundrechte nicht ausreichend schütze. Frankreichs oberstes Verwaltungsgericht, der Conseil d’État, versuchte daraufhin die europäischen Standards zu umgehen — in einem Urteil, das als weiteres Beispiel des Widerstands gegen den Kern der europäischen Integration gilt, diesmal zur Verteidigung staatlicher Überwachungskapazitäten.
Die CNIL, wohlgemerkt, gilt als eine der strengsten Datenschutzbehörden Europas. Was das über die anderen sagt, überlasse ich dem Leser.
Doctolib: Das Modell staatlich-kommerzieller Datenverflechtung
Wer das Muster verstehen will, schaut sich Doctolib an. Das französische Unternehmen verwaltet heute in Deutschland die Terminvergabe bei rund 70.000 Arztpraxen — und hat sich dabei Zugriff auf Patientenstammdaten verschafft, die weit über das für eine Terminbuchung Notwendige hinausgehen.
Der französische Staat hat früh ein Auge auf das Unternehmen geworfen. Wenn der Präsident einmal im Jahr die vielversprechendsten Start-ups in den Élysée-Palast lädt, ist Doctolib seit Jahren dabei. 2017 stieg die staatliche Investitionsbank BPI France als Investor ein — der französische Reflex, erfolgreiche Unternehmen ans Land zu binden, dürfte dabei ebenso eine Rolle gespielt haben wie die Sensibilität der Daten, die Doctolib aggregiert.
Das ist kein versteckter Hinweis — es ist ein offen ausgesprochenes Prinzip französischer Wirtschaftspolitik: Strategisch wichtige Unternehmen werden nicht dem freien Markt überlassen. Sie werden eingebunden. Im Auftrag des französischen Staates organisierte Doctolib während der Pandemie die Vergabe von 81 Millionen Impfterminen — und absorbierte dabei über 90 Prozent aller Reservierungen. Ein privates Unternehmen, staatlich finanziert, mit Zugang zu Gesundheitsdaten von Millionen Menschen, eingebettet in die staatliche Infrastruktur. Das nennt man in Frankreich Industriepolitik. Man könnte es auch anders nennen.
Die eigentliche Frage
Frankreich baut die EUDI Wallet nicht trotz seiner Erfahrungen mit Staatszugriff und Datenverflechtung — sondern mit ihnen. Das Land weiß, wie man Infrastrukturen aufbaut, die effizient sind, gut aussehen und sich im Hintergrund für Zwecke nutzen lassen, die öffentlich nie diskutiert wurden.
Das bedeutet nicht, dass die EUDI Wallet ein Überwachungsinstrument werden muss. Aber es bedeutet, dass die Frage, wer sie kontrolliert, eben nicht abstrakt ist. Sie wird von konkreten Staaten mit konkreten Interessen gebaut — von Ländern, die sich einerseits auf Datenschutz berufen und andererseits systematisch daran arbeiten, staatlichen Zugriff auf Daten auszubauen.
Die CNIL wurde 1978 gegründet, nachdem die französische Regierung versucht hatte, eine zentrale Datenbank aller französischen Bürger anzulegen. Fünfzig Jahre später beteiligt sich dasselbe Land am Aufbau einer zentralen europäischen Identitätsinfrastruktur.
Manchmal ist Geschichte kein Zufall. Manchmal ist sie ein Programm.