Seit Monaten verbreiten die E-ID-Gegner das Märchen von der Privatisierung der digitalen Identität. Das ist natürlich falsch. Der Staat behält die Hoheit über die Identität eines jeden einzelnen. Ferner gibt es auch staatliche Lösungen von Kantonen oder Gemeinden zur Umsetzung der E-ID gemäss Art. 13,2 BGEID. Es gibt also Wahlfreiheit: Wer den privaten Firmen misstraut, geht zum Staat, wer dem Staat misstraut, nimmt die E-ID, die er von seiner Bank bekommen kann. Erst, wenn das nicht funktioniert, springt Bundesbern ein (Art. 10 BGEID) – subsidiär eben! Das nächste Märchen handelt von der Kommerzialisierung der E-ID. Wir hinterlassen im Internet Datenspuren, das lässt sich gar nicht verhindern. Die E-ID ist jedoch sicher, es gelten strengere (!) Vorgaben als in anderen Bereichen, wo «nur» das Datenschutzgesetz gilt! Beispiel: Geld druckt der Staat, die Banken (private oder staatliche) bieten Konten und E-Banking an und werden von der Finanzmarktaufsicht überwacht. Das hat bisher sehr gut funktioniert, oder? Genauso wird es auch mit der E-ID sein. Die Argumente der Gegner sind also ziemlich dürftig. Staatliche Lösungen sind möglich, die Daten sind sicher und Kommerzialisierung ist verboten. Es geht bei der Vorlage also nicht um Bits und Bytes oder technische Details, das ist alles lösbar und gehört sowieso nicht ins Gesetz (weil sich die IT-Welt viel zu schnell ändert). Die Gegner wollen wohl einfach mehr Staat und weniger gemeinschaftliche Lösungen, mehr Zentralisierung im Bundeshauskeller statt Föderalismus und Subsidiarität, mehr Bevormundung statt Wahlfreiheit, und Rückstand statt vorwärts machen. Ich hingegen möchte nicht jahrelang auf die Taube auf dem Dach warten (bis sich wieder alle einig sind), sondern habe lieber jetzt den Spatz in der Hand. Ja zum Fortschritt, Ja zur Digitalisierung, Ja zur E-ID!
Markus Estermann in der LZ vom 20.02.2020:
Es folgen nun einige weiterführende Gedanken zu den Argumenten. Basis ist der Gesetzesentwurf BGEID: https://www.fedlex.admin.ch/eli/fga/2019/2311/de
Wird Privatisiert oder nicht?
Das Gesetz regelt, dass Anbieter einer E-ID sich anerkennen lassen müssen. Diese Anerkennung können private Firmen, aber auch Behörden (Verwaltungseinheiten) von Kantonen und Gemeinden beantragen (Art. 13 Abs 2a). Die E-ID wird also nicht privatisiert, sondern es sind private und staatliche Lösungen möglich. Man kann das als bewährte partnerschaftliche Lösung (PPP, Public-Private-Partnership, wie in anderen Bereichen) zwischen Bund und Kantonen oder privaten Firmen bezeichnen. Jeder bring seine Expertise ein. Wenn das alles nicht klappen sollte, kann der Bund immer noch subsidiär einspringen (Art. 10)
Ist es sicher?
Das kommt sehr auf die Perspektive und die eigenen Ansprüche an. Man muss „Sicherheit“ im Bezug auf Technik/Technologie anschauen, als auch im Bezug auf Datenschutz und Datensicherheit.
Grundsätzlich schreibt das Gesetz keine technischen Anforderungen vor. Gesetze sind grundsätzlich allgemein gehalten oder verweisen auf weiterführende Bestimmungen, z.B. in einer Verordnung. Das ist gut so, weil die Änderung an einem Gesetz lange dauert, technische Bedingungen können vom Bundesrat auf dem Verordnungsweg also schnell vorgenommen werden. Dieser Weg ist auch in Art. 13 Abs 4 vorgesehen. Von daher kann über die technische Sicherheit der Lösungen, die erst noch kommen, keine Aussage gemacht werden. Man darf aber davon ausgehen, dass die Sicherheitsanforderungen hoch sein werden – höher als beispielsweise beim E-Banking, weil da kaum jemand etwas dagegen haben wird.
Wird etwas kommerzialisiert?
Nein. Datenschutzrechtlich macht das BGEID weitergehende Vorschriften als das Datenschutzgesetz. Beispielsweise ist vorgeschrieben, Personendaten (Name, Vorname, Geburtsdatum, etc), Nutzungsdaten (wann hab ich mich wo eingeloggt) und übrige Daten getrennt und in der Schweiz zu lagern. All diese Daten dürfen nur verwendet werden für die in Art. 15 genannten Pflichten. Somit sind Nutzungsprofile, „Kommerzialisierung“ oder andere Schauermärchen à la Facebook/CA verboten.
Dezentral oder zentral?
Nicht „oder“ sondern „und“. Wie bereits gesagt macht das Gesetz keine Vorschriften zur technischen Ausgestaltung. Jedoch verwendet das Gesetz den Begriff „Identity-Provider“ (IdP). In der Informatik wird dieser Begriff ebenfalls benutzt, er definiert (kurz gesagt) ein technisches System in einem Netzwerk, welches Identitäten verwaltet und Benutzer authentifiziert. Wendet man diese Sichtweise auf das Gesetz an, ist unklar ob dezentrale Systeme möglich sind. Ich bin aber der Meinung, man sollte den Informatik-Kontext und den Gesetzes-Kontext nicht vermischen. Das Gesetz meint nämlich nicht den technischen Begriff, sondern definiert IdP allgemein als „Anbieterinnen von elektronischen Identitätsdienstleistungen“. Somit sind – basierend auf dem Gesetz – zentrale wie auch dezentrale Lösungen möglich. Dies wird womöglich in der Verordnung näher definiert werden.
Bedenken zu zentralen Lösungen
In dezentralen Lösungen würden die Personendaten (also Name, Vorname, etc.) z.B. auf einem „Träger“ wie dem Handy, einer Chipkarte oder USB-Stick gespeichert. Das hat den Vorteil gegenüber zentralen Lösungen, dass die Sicherheitsrisiken kleiner sind. Allerdings kann auch dieser „Träger“ gestohlen werden oder es ergeben sich Probleme beim Auslesen der Daten via Handy oder Computer. Der grösste Nachteil solcher dezentraler Lösungen ist das „Handling“, während ich mich mit einer zentralen Lösung quasi einfach „Einloggen“ kann und fertig (bzw. mit SMS oder einer App bestätigen, ähnlich wie beim E-Banking). Florian Forster hat in seinem Beitrag viele weitere Risiken zentraler Systeme aufgeführt. Solche gibt es wie gesagt aber auch bei dezentralen Systemen. Die ehemalige SuisseID basierte auf einer dezentralen Chipkarte mit Leser und ist gescheitert. Schlussendlich gilt es abzuwägen zwischen möglichen Risiken und Komfort. Das gilt auch für andere Bereiche des täglichen Lebens.
Alternative bei einem Nein?
Gibt es nicht. Die Gegner kritisieren zwar vieles, sind sich aber nicht einig, was denn ihre Alternative wäre. Schlussendlich ist das vorliegende Gesetz bereits ein Kompromiss aus dem Parlament. Wenn dieses nun abgelehnt wird, muss der gesamte Prozess neu gestartet werden. Dieser dauerte bis jetzt rund acht Jahre, wenn man die gescheiterte alte SuisseID einberechnet über zehn. Wollen wir solange auf eine E-ID warten? Nein, ich nicht.
Ja zum Fortschritt, Ja zur Digitalisierung, Ja zur E-ID!
Markus Estermann
Auf https://www.jaodernein.ch kannst du alle Argumente nach deinem Gusto gewichten und erhälst eine persönliche Abstimmungsempfehlung.
