Argumentation zur hoheitlichen Aufgabe

Entscheidung für eine vertrauenswürdige staatliche E-ID

Morgen findet im Bundeshaus die letzte entscheidende Sitzung zur E-ID statt: Die Rechtskommission des Nationalrats hat die Gelegenheit, noch eine wichtige Änderung im Gesetz vorzunehmen. Wir haben die Argumente für eine vertrauenswürdige staatliche Identifikation zusammengefasst.

Bereits in November 2018 war die Digitale Gesellschaft für eine Anhörung in die Kommission für Rechtsfragen des Nationalrats eingeladen. Morgen nun debattiert die Kommission über die noch bestehenden Differenzen, nachdem auch der Ständerat grundsätzlich dem Gesetzesentwurf zugestimmt hat.

Eine repräsentative Umfrage zeigt, dass 87% der Bevölkerung die E-ID vom Staat beziehen wollen; insbesondere beim Datenschutz fehlt ihr das Vertrauen in private Unternehmen. Da in Art. 10 Abs. 1 noch eine Differenz besteht, könnte morgen die Kommission eine entsprechende Änderung beschliessen:

  • «Der Bundesrat kann beauftragt eine Verwaltungseinheit damit beauftragen, ein E-ID-System zu betreiben und E-ID auszustellen.»

Für die Debatte haben wir unsere Argumente (PDF) zusammengefasst:

Die Schweiz braucht eine staatliche elektronische Identifizierung (E-ID)

Der Bedarf nach einer benutzbaren und vertrauenswürdigen elektronischen Identifizierung (und Unterschrift) besteht. Die E-ID ist ein Pfeiler der digitalen Demokratie und wird auch für die Ausübung von Volksrechten zum Einsatz kommen. Wir benötigen daher keine E-Commerce-ID, sondern eine echte digitale Erweiterung von ID, Pass und Ausländerausweis. Das E-ID-Gesetz muss den Bürgerinnen und Bürger dienen – und nicht der Wirtschaft.

Wie die Herausgabe der bereits bestehenden Ausweisdokumente muss daher auch diese öffentliche Aufgabe vom Staat wahrgenommen werden. Der Staat ist Garant für das nötige Vertrauen. Für den Betrieb eines E-ID-Systemes und die Herausgabe von E-ID soll eine Verwaltungseinheit beauftragt werden. Die benötigte Hard-, Software und Dienstleistung kann auf dem freien Markt beschafft werden – die Ausgabe darf jedoch nicht, wie vorgesehen, an Privatunternehmen delegiert werden.

Was ist das Ziel einer staatlichen elektronischen Identifizierung (E-ID)?

Der Bedarf nach einer benutzbaren und vertrauenswürdigen elektronischen Identifizierung (E-ID) besteht speziell für E-Government-Anwendungen, da sich bis anhin sämtliche Gemeinden und Kantone individuell darum kümmern müssen, wie die Benutzerinnen und Benutzer auf ihren Portalen authentifiziert werden können. Zudem würde das Abschliessen von Verträgen, bei denen eine Ausweispflicht besteht (Mobilfunkvertrag abschliessen, Bankkonto eröffnen), oder die eine Schriftlichkeit voraussetzen, mit einer E-ID online vereinfacht.

Was ist mit E-Commerce?

Für das Abschliessen von Verträgen und das Nutzen von Dienstleistungen wird in den meisten Fällen kein Ausweis und keine Unterschrift benötigt. Dies soll auch online so bleiben. Eine staatliche E-ID muss für private Online-Portale nutzbar sein, falls solche Anforderungen zur Identifikation oder Vertragserfüllung bestehen – es ist aber kein Gesetz nötig, das ein universelles Login schafft, welches auf möglichst vielen Websites funktioniert. Leider sieht der aktuelle Entwurf für ein E-ID-Gesetz zudem keine (kombinierbare) elektronische Unterschrift vor.

Sollen wir unsere Daten den internationalen Tech-Giganten überlassen?

Der Grossteil der Logins kann nicht durch eine Schweizer E-ID abgelöst werden, da es keine internationale Lösung ist. Die Einwohnerinnen und Einwohner der Schweiz werden sich auch in Zukunft weder bei Facebook und Google noch bei anderen internationalen Anbietern mit der Schweizer E-ID anmelden können. Ein zentrales Login ist zudem nicht nur aus Sicht des Datenschutzes problematisch sondern bedeutet beim Verlust des dazugehörigen Passworts auch ein grosses Risiko, da alle verbundenen Dienst betroffen sind. Gegen die internationalen Datenkraken hilft kein neues E-ID-Gesetz sondern vielmehr griffige Datenschutzbestimmungen (wie beispielsweise ein Koppelungsverbot und die internationale Durchsetzbarkeit, wie sie die EU-DSGVO kennen). Es ist zudem wichtig, dass die Interessenlage der Herausgeber und die Finanzierung der E-ID transparent sind.

Welches sind die Probleme beim Datenschutz?

Mit der aktuellen Vorlage für ein E-ID-Gesetz fallen an drei nennenswerten Berührungspunkten personenbezogene Daten an:

  1. Beim Bundesamt für Polizei (Fedpol) wird eine neue, zentrale Datenbank geschaffen. Diese wird für die Ausstellung der E-ID durch die Identitäts-Provider (IdP) und für die laufende Aktualisierung der Personendaten bei den Online-Diensten verwendet, welche die E-ID zur Authentifizierung einsetzen. Das Fedpol soll die verschiedenen Personenidentifizierungsdaten aus unterschiedlichen Registern zusammenführen können.
  2. Bei den privaten Anbietern der E-ID (IdP) fallen bei jedem Login Daten an. Laut Gesetzesentwurf dürfen die IdP zwar «die Daten, die bei einer Anwendung der E-ID entstehen, und darauf basierende Nutzungsprofile Dritten nicht bekannt geben» (Art. 16 Abs. 2 E-BGEID) – eine weitergehende Einschränkung zur (eigenen) Verwendung der Daten fehlt hingegen. Ein einschränkender Verweis auf das Schweizer Datenschutzgesetz genügt nicht, da dieses eine Nutzung mit «ausdrücklicher Einwilligung» erlaubt. Regelmässig werden solche Einwilligungen mit der Zustimmung zu den Allgemeinen Geschäftsbedingungen oder der Datenschutzerklärung eingeholt.
  3. Eine angemeldete Person (mit oder ohne E-ID) kann einfach und lückenlos getrackt werden. Es besteht daher die Gefahr, dass für alltägliche Vorgänge eine Anmeldung mehr und mehr nötig wird, um beispielsweise beim Stöbern im Online-Shop über einen individuellen Rabatt informiert zu werden. Der Weg zu einem personalisierten Preis – und damit zu einem gläsernen Kunden – ist dann nicht mehr weit. Wirkungsvolle Schranken könnte auch hier erst das totalrevidierte Datenschutzgesetz bringen.

Was meint die Bevölkerung?

Eine repräsentative Umfrage von Demoscope aus dem Mai 2019 zeigt, dass 87% der Bevölkerung die E-ID vom Staat beziehen wollen. Nur gerade 2% möchten die geplante E-ID von privaten Unternehmen ausgestellt erhalten. Insbesondere beim Datenschutz fehlt der Bevölkerung das Vertrauen in private Unternehmen. 81% der befragten Personen erachten zudem die rechtsverbindliche elektronische Unterschrift als wichtig.

Die repräsentative Umfrage zeigt sehr deutlich, dass bei den gewünschten Anwendungen Behördengänge und die politische Teilhabe ganz vorne stehen. Das Ausstellen einer E-ID ist ein zentrales Element von E-Government und auch der digitalen Demokratie. Entsprechend ist es wichtig, dass diese Aufgabe vom Staat wahrgenommen wird.

Was macht Europa?

In der EU gilt seit 2016 die eIDAS-Verordnung. Diese ermöglicht eine elektronische Identifizierung wie auch elektronische Unterschriften und die länderübergreifende Anerkennung der Systeme. Die eIDAS-Verordnung lässt neben den herkömmlichen kartenbasierten Signaturen (Smartcard) auch sogenannte Fernsignaturen zusammen mit der Online-Ausweisfunktion zu, was die Handhabung deutlich vereinfachen soll.

Ist die Forderung nach einer staatlichen E-ID nicht übertrieben, da es sich ja nicht um einen elektronischen Pass handelt?

Die E-ID ist gegenwärtig kein international anerkanntes Reisedokument. Sie übernimmt online aber dieselbe Funktion, wie es ein amtlicher Ausweis beim Abholen von eingeschriebenen Briefen, dem Abschliessen eines Mobilfunkvertrags, der Bescheinigung des Alters beim Kauf von Spirituosen und beim Abholen eines Betreibungsregisterauszugs tut. Die E-ID ist das elektronische Äquivalent zur Identitätskarte.

Ist denn nicht die Eidgenössische E-ID-Kommission (EIDCOM) eine gute Lösung?

Die vom Ständerat vorgesehen EIDCOM wacht über die Einhaltung des E-ID-Gesetzes. Die E-ID wird jedoch weiterhin von privaten Unternehmen ausgestellt. Am vorgegebenen Rahmen des Gesetzes ändert sich durch die EIDCOM nichts.

Sollen die Beamten nun programmieren? Der Schweizer Pass wird doch auch nicht von den Behörden gedruckt?

Der Schweizer Pass wird beim Bundesamt für Bauten und Logistik hergestellt. Konkret setzt dieses den Pass aus den angelieferten Bestandteilen zusammen und versieht ihn mit den persönlichen Angaben.

Der Kanton Schaffhausen hat 2018 eine E-ID eingeführt. Die Infrastruktur wird vom Informatikunternehmen von Kanton und Stadt Schaffhausen (KDS) betrieben. Die persönlichen Daten werden dezentral bei den Nutzerinnen und Nutzern gespeichert. Die Lösung wurde von der Procivis AG eingekauft.

Braucht es das Gesetz überhaupt?

Beglaubigte Identifikationsmerkmale und ein qualifiziertes Zertifikat könnten beispielsweise sicher auf ID, Pass oder Ausländerausweis gespeichert werden (Smartcard). Die Smarcard könnte auch gleich als zweiter Faktor bei der Authentifizierung verwendet werden. Das Hantieren mit heiklen biometrischen Merkmalen – wie es das E-BGEID vorsieht – wäre nicht notwendig.
Als Gesetzesgrundlage ist kein neues E-ID-Gesetz nötig. Es kann das bestehende Ausweisgesetz herangezogen werden:

Art. 2 Abs. 2quater AwG: Der Ausweis kann zudem elektronische Identitäten für Authentisierungs-, Signatur- und Verschlüsselungsfunktionen enthalten.

Als Kartenleser für die E-ID könnte auch ein Smartphone mit Funk-Schnittstelle zur SmartCard dienen. Die quelloffene AusweisApp2 bietet dies in Deutschland für den Personalausweis und den Aufenthaltstitel (für nicht EU-Bürgerinnen und Bürger) an.