Bei einigen Angeboten im Internet muss die Identität einer Person überprüft werden. In der Schweiz gibt es bis heute kein vom Bund anerkanntes Verfahren einer solchen Überprüfung. Das soll nun mit der E-ID geschaffen werden. Das Bundesgesetz über elektronische Identifizierungsdienste E-ID-Gesetz (kurz BGEID) regelt dieses Verfahren. Gegen dieses Gesetz wurde das Referendum ergriffen, weshalb die Schweizer Stimmbevölkerung am 7. März 2021 über die Vorlage zum Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) abstimmt. Bei Annahme des BGEID kann eine Person bei einer anerkannten Anbieterin (IdP) eine E-ID beantragen. Der IdP leitet den Antrag an den Staat weiter, der die Identität der Person prüft und deren persönliche Daten dem IdP zur Verfügung stellt. Dieser stellt dann der Person die E-ID aus, womit sich diese bei Online-DienstleisterInnen identifizieren kann.
Bundesamt für Justiz. Februar 2021 (mit Anmerkungen)
Am Politpodium vom 8. Februar diskutierten Adrienne Fichter (37), Politologin, Social-Media-Expertin und Redakteurin bei der «Republik», Jörg Mäder (45), grünliberaler Nationalrat, Umweltwissenschaftler und Softwareentwickler, Andri Silberschmidt (26), freisinniger Nationalrat und Unternehmer, und André Golliez (66), Präsident der Swiss Data Alliance und Berater für Unternehmen zu «Open Data»-Fragen. Die Streitpunkte der Diskussion beschränkten sich im Wesentlichen auf die Forderungen an die E-ID, die je nach Ansicht erfüllt oder unerfüllt bleiben würden, sollte das Gesetz angenommen werden.
Datensicht und Datenschutz
Lange fokussierte sich die Diskussion auf das Thema Datenschutz.
Jörg Mäder äusserte sich – wie ein Grossteil der Kritiker des Gesetzes – skeptisch gegenüber der Regelung, dass der E-ID-Anbieter wisse, wann jemand wo eingekauft habe und gleichzeitig wissen könne, wer dieser jemand überhaupt ist. AnbieterInnen dürften Personifizierungs- und Nutzungsdaten nicht verknüpfen (BGEID Art. 9 Abs. 3), so Andri Silberschmidt.
André Golliez hielt diese Kritik für unbegründet: Der Anbieter darf die Informationen der NutzerIn einzig zur Identifizierung der E-ID-NutzerIn verwenden. Die sechs Monate, in denen er die Nutzerdaten abgespeichert hat, nützen dem E-ID-Anbieter also nichts. Im Gegenteil: Bei einem Verdacht auf Missbrauch sei das eine Schutzmassnahme für die NutzerInnen, die eigens getätigten Aktionen nachverfolgen zu können.
Adrienne Fichter bringt ein, dass wir heute annehmen müssten, dass das Fedpol zwar nachprüfen würde, ob es eine 20-jährige Salome Gerber in diesem oder jenem Wohnort gib. Die «Verifikation», also die Prüfung dieser Daten, fände laut Adrienne Fichter dann beim Identitätsprovider statt, über Videocalls oder bei einem Besuch am Schalter. Damit beziehe der Identitätsprovider Daten wie das Gesichtsbild. Die Datenhoheit liege nicht beim Kunden.[1]
André Golliez merkte an, dass es weniger relevant sei, wer welche Daten herausgibt und wer hoheitlich ist, sondern wem diese Daten gehören. Die Informationen, die im Personenregister gespeichert sind, gehören grundsätzlich den einzelnen BürgerInnen. Das neue Datenschutzgesetz räume jedem das Recht ein, jegliche persönliche Daten, die beim Bund oder Privaten gespeichert sind, auf einen anderen Dienstleister zu transferieren («Datenportabilität»). Das E-ID-Referendum beschneide dieses Recht.
Bereits heute gebe es zahlreiche Identitätsprovider, die unsere Daten, wie das Gesichtsbild, für ihre Zwecke nutzen, erklärt Andri Silberschmidt. Neu ist mit dem BGEID lediglich, dass die einzelnen IdP staatlich überprüft werden. Diese müssten unsere Daten in der Schweiz lagern und damit nach Schweizer Datenschutzgesetz handeln. Die E-ID sei ein Log-In, wie jedes andere auch.
Jörg Mäder sieht einen zentralen Unterschied darin, ob die Identifikation für den kommerziellen Zweck oder für den Kontakt mit amtlichen Behörden verwendet wird. Für die kommerzielle Verwendung gibt es bereits die SwissID. Für amtliche Behördengänge brauche es vom Staat mehr als nur die Datenlieferungen und Kontrollen der Anbieter. Diese beiden Verwendungszwecke sollten getrennt bleiben.
Adrienne Fichter bringt ein, es habe bereits 2014 einen ersten «Anlauf» für ein Bundesgesetz über eine staatliche E-ID gegeben. Dieses «Bundesgesetz über die staatlichen elektronischen Identifikationsmittel» sei damals wegen «massiven Lobbyings aus der Wirtschaft» nicht weitergekommen. Im Internet sind die Begleitinformationen zum Gesetzesvorentwurf, der damals vom Bundesrat offenbar in die Vernehmlassung geschickt wurde, zu finden.[2]
Also warum soll es eine E-ID nicht einfach ohne private E-ID Anbieter geben? Jörg Mäder findet, es sei eine Grundaufgabe des Staates, seine BürgerInnen zu kennen. Wenn er das auf dem digitalen Weg nicht könne, müsse er es unbedingt lernen. André Golliez stimmt Jörg Mäder in diesem Punkt zu, allerdings entwickle sich die Welt der Technologie oft schneller vorwärts als der Staat seine Gesetze anpassen könne. Würde der Bund jetzt ein bestimmtes E-ID-System einrichten und nur dieses unter einem E-ID-Gesetz regulieren, bestünde das Risiko, dass in den nächsten paar Jahren eine andere, viel beliebtere Identifizierung übers Internet aufkommt, die unreguliert den Markt erobern würde. Eine staatliche E-ID – das sehe man auch in anderen Ländern – leide an konsequent schlechter «Durchdringung» (prozentualer Nutzung unter der Bevölkerung).
Adrienne Fichter verweist dazu auf Österreich, wo 20 Prozent der Bevölkerung eine solche E-ID verwenden. Adrienne Fichter merkte zudem an, dass das Gesetz nicht schlank sei, es beruhe auf «Privacy by bureaucracy» (Privatsphäre durch Bürokratie). Niemand könne über die Löschung seiner eigenen Daten beim IdP bestimmen.
Für André Golliez ist die Verankerung einer Löschfreiheit im BGEID nicht unbedingt nötig, damit die Datenhoheit beim Kunden/bei der Kundin liegt. Unter bestimmten Bedingungen sei das Recht auf Datenlöschung schon heute im Datenschutzgesetz verankert. Aber grundsätzlich sehe er die Freiheit, über seine eigenen Daten zu verfügen und damit machen zu können, was man will, als zentrale Entwicklung in dieser Diskussion. BürgerInnen hätten ein Recht darauf, ihre Daten auch an Private weiterzugeben, wenn sie das möchten.
Die AnbieterInnen haben Pflichten
Eine Zuschauerfrage lautete, was mit den zur E-ID gehörenden Daten passiere, wenn einem Anbieter die Anerkennung entzogen würde. Jörg Mäder äusserte sich kritisch zur Frage, wie oft diese Situation überhaupt auftreten werde. Im Gesetz steht, die neu geschaffene E-ID-Kommission EIDCOM habe die Aufgabe, Massnahmen zu ergreifen bzw. zu verordnen, wenn ein E-ID Anbieter seine gesetzlichen Pflichten missachtet hat (BGEID Art. 19, Abs. 1). Wenn sich dieser in einem bestimmten Zeitabschnitt nicht verbessert, kann die EIDCOM ihm die Anerkennung entziehen, wobei der genaue Ablauf noch in der – noch nicht öffentlichen – Verordnung des Bundesrates klarer definiert wird (BGEID Art. 19, Abs. 2&3).
Bereits am Anfang der Diskussion brachte Adrienne Fichter ein, dass die E-ID zwar von verschiedenen Anbietern angeboten wird, laut Gesetz aber «interoperabel» sein müsse. Das heisst, dass automatisch alle Daten bei allen anderen anerkannten Anbietern landen würden. Laut BGEID Art. 18 Abs. 3 legt der Bundesrat die technischen Vorschriften (zur Interoperabilität), insbesondere die Schnittstellen, fest.
Interessante technische Berichte dazu sind zu lesen unter: https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/e-id/technische-informationen.html
Die E-ID in Europa
Am Ende der Diskussion – und offenbar auch darüber hinaus – besprachen Andri Silberschmidt und Adrienne Fichter energisch die Kompatibilität der E-ID mit elektronischen Identifizierungen der Europäischen Union. Eine E-ID sei nicht mit der EU-E-ID kompatibel, dafür benötige es zuerst einen Rahmenvertrag. Andri Silberschmidt fand dieses Argument unberechtigt: Es sei logisch, habe man noch keine Verhandlungen über die gegenseitige Akzeptanz der E-ID geführt, solange das Gesetz noch nicht angenommen sei. Der weitere Verlauf des Gespräches ist einsehbar auf Twitter (https://twitter.com/andrisilbi_/status/1358874700127043584?s=20).
Fazit der Moderatorin
In dieser – und fast jeder anderen – Diskussion zum Thema «Bundesgesetz über die elektronischen Identifizierungsdienste» waren sich die TeilnehmerInnen einig, dass wir eine staatlich anerkannte elektronische Identifizierung brauchen. Weil dieser Grundsatz wiederholt beteuert wurde, diskutierten wir bis jetzt unverhältnismässig wenig darüber, wozu denn eine E-ID gebraucht werden könnte.[3] Es ist natürlich auch richtig und wichtig, werden an eine solche E-ID viele Forderungen gestellt, insbesondere im Bereich Datenschutz. Und es wäre naiv zu denken, es würde bei dem Nebeneinander an staatlicher Regulierung und privaten Anbietern nie zu Missbrauchsversuchen, Datenverlusten oder eigennützigen Spielchen kommen. Ebenso naiv wäre es zu glauben, dass alles beim Alten bleibt, oder sich garantiert eine bessere, schlankere und sicherere Lösung findet, wenn der Bund noch ein bisschen länger abwägt; wenn er «die Ängste der Bevölkerung ernst nimmt» und deshalb lieber gar nicht als zu verdächtig wirtschaftsgestützt reguliert. Das BGEID ist ein kompliziertes Gesetz über ein kompliziertes Thema. Blinder Fortschrittsglaube, aber auch Vorurteile und unverhältnismässige Ängste sind umso verführerischer. Versuchen wir doch, diese Wahrnehmungsverzerrungen am 7. März daheim zu lassen.
[1] Laut den Abstimmungsunterlagen prüft der Bund die Identität der E-ID-NutzerInnen (Abstimmungsbüchlein, S.22)
[2] http://docplayer.org/188664240-Bundesgesetz-ueber-die-staatlichen-elektronischen-identifikationsmittel-eid-gesetz.html. Mehr dazu schreibt Adrienne Fichter bald auf www.republik.ch
[3] Beim Nationalen Zentrum für Cybersicherheit werden um die 100 Fälle pro Woche von online-Betrugsversuchen mit Kernelement Identitätsdiebstahl gemeldet (https://youtu.be/y5XBOKY10c4?t=490).