Nach dem denkwürdigen Referendumssieg von 2021 gegen die privatisierte E-ID haben wir die digitalpolitische Kehrtwende für das E-ID-Gesetz 2.0 mit geprägt. Wir haben fast alle unsere Anforderungen in die Vorlage einbringen können: Die neue E-ID ist Privatsphäre-freundlich, datensparsam und sicher. Sie basiert auf dem Prinzip der digitalen Selbstbestimmung. Du liest in diesem Beitrag, wieso uns das Resultat überzeugt und wir Ja sagen – und weshalb wir weiterhin kritisch hinschauen.
Vor über vier Jahren haben wir mit einem denkwürdigen Referendum die Notbremse gezogen und den digitalpolitischen Totalschaden verhindert: Das Parlament wollte digitale Ausweise privatisieren und dafür riesige Datenbanken schaffen. Dies haben wir erfolgreich verhindert – und sind sofort zur Arbeit für eine neue Lösung übergegangen. In Kürze haben wir eine Allianz über alle Parteien hinweg aufgestellt, die im Parlament einen neuen E-ID-Anlauf verlangte. Die Eckwerte: Ein staatlicher Ausweis, gebaut nach den Prinzipien Datenschutz durch Technik («Privacy by Design») und Datensparsamkeit («Privacy by Default»). Damit haben wir mit Nerdpower die digitalpolitische Kehrtwende aufgegleist, über vier Jahre eng begleitet, und wir konnten das Projekt «E-ID-Gesetz 2.0» Ende 2024 erfolgreich über die parlamentarische Ziellinie bringen.
Digital selbstbestimmt, Privatsphäre-freundlich, datensparsam und sicher
Wir haben erreicht, dass die E-ID 2.0 nach dem Prinzip der digitalen Selbstbestimmung gebaut ist, Privatsphäre-freundlich, datensparsam und sicher.
- Digitale Selbstbestimmung: Aus Sicht der Grundrechte ist es eine grosse Errungenschaft, dass die digitale Selbstbestimmung das Kernprinzip der E-ID 2.0 ist. Wir bestimmen selber über unsere digitale Identität. In der Wallet unseres Smartphones ist die persönliche E-ID als «Datenpaket» abgelegt – und zwar ausschliesslich dort. Genauso wie dies beim Ausweis im Portemonnaie ist. Du entscheidest, wo du deine digitale Identität nutzen willst und welche Daten du genau freigibst. Dies ist über deine Smartphone-Wallet transparent, nachvollziehbar und kontrollierbar. Es gibt keine zentrale Speicherung der Vorgänge, wann und welche digitale Ausweisdaten eine Person vorzeigt.
- Privatsphäre-freundlich und datensparsam: Behörden und Unternehmen dürfen dich nur nach Daten fragen, die sie wirklich brauchen. Beispielsweise wird bei der Altersabfrage nur übermittelt, ob eine Person über 18 Jahre ist oder nicht – aber nicht das genaue Geburtsdatum. Dies ist bezüglich Privatsphäre besser als der analoge Pass oder die abfotografierte ID, wo sämtliche sichtbaren Daten weitergegeben werden. Wichtig für einen sparsamen Umgang mit Daten ist zudem, dass die Organisationen die übermittelten Daten vernichten oder anonymisieren müssen, sobald sie den Verwendungszweck erfüllt haben. Der Staat kann nicht nachverfolgen, wo eine Person die E-ID einsetzt. Das System ist so konzipiert, dass verschiedene Ausweisvorgänge derselben Person nicht miteinander verknüpft werden können, weder zwischen unterschiedlichen Organisationen noch innerhalb der gleichen Organisation. Die Bank, bei welcher du gerade ein Konto eröffnet hast, sieht nicht, dass du vor zehn Tagen beim Amt einen Strafregisterauszug bestellt hast. Die Bestimmungen zu Privatsphäre und Datensparsamkeit gehen über das sonst geltende Schweizer Datenschutzgesetz hinaus, der Schutz ist also besser für die E-ID als für andere Anwendungen (mit Ausweisdaten).
- Sicher: Der wichtigste Punkt bezüglich Sicherheit: Es gibt keine zentrale Datensammlung über die Ausweisvorgänge, die man auswerten, stehlen oder missbrauchen könnte. Die Ausweisdaten sind auf dem Sicherheitschip des Smartphones gespeichert, ein Datenverlust ist, insbesondere im grösseren Massstab, nicht möglich. Ein weiterer wichtiger Pfeiler für die Sicherheit: Die Software für die E-ID wird vom Bund entwickelt und zur Verfügung gestellt. Der Code ist Open Source; Wissenschaft, Zivilgesellschaft und alle Interessierten können ihn prüfen und auch selber verwenden. Das Gesetz fordert regelmässige Kontrollen des Codes.
Kurz: Das neue E-ID-Gesetz verbindet eine kluge technische Bauweise mit unseren Werten der Selbstbestimmung, Privatsphäre, Datensparsamkeit und Sicherheit. Deshalb sind wir als «Techies» dafür.
Für diese digitalpolitische Kehrtwende haben wir viel Überzeugungsarbeit geleistet. Wir haben zudem erreicht, dass die Zivilgesellschaft und die Wissenschaft bereits für die Erarbeitung der neuen Version miteinbezogen wurden. So haben wir in den Konsultations- und Vernehmlassungsverfahren vielbeachtete Stellungnahmen eingereicht, haben unsere Anforderungen im Partizipationsverfahren der Verwaltung prominent vorgestellt und so mitgeholfen, die wichtigsten Pflöcke für Privatsphäre und Datensicherheit einzuschlagen. Eine derart weitreichende Partizipation für ein neues Gesetz ist eine Errungenschaft, die wir zum Standard machen wollen.
Wir wurden nicht nur angehört, sondern konnten überzeugen und unsere Anforderungen weitreichend im neuen E-ID-Gesetz einschreiben. Die digitalpolitische Kehrtwende ist gelungen.
Wir schauen kritisch hin
In zwei Punkten haben wir nicht das Optimum erreicht. Der erste betrifft die Sanktionierung von Behörden oder Unternehmen, welche unrechtmässig E-ID-Daten bzw. zu viele E-ID-Daten verlangen («Überidentifikation»). Dies ist zwar ein Verstoss gegen das neue Gesetz – aber einer, den Personen und die Zivilgesellschaft nun aktiv melden müssen. Auf Meldung erfolgt ein Eintrag der Organisation auf einer Schwarzen Liste und weitere Nutzende werden auf den Missbrauch hingewiesen. Wir hätten uns als beste Prävention gegen Überidentifikation gewünscht, dass alle Organisationen, welche E-ID-Daten nutzen wollen, sich aktiv in ein Register eintragen müssen und bei Missbrauch direkt eine Sperrung erfolgt.
Der zweite Punkt: Die Online-Ausstellung der E-ID begrüssen wir nicht, da dieser Prozess anfällig für Angriffe ist und dabei biometrische Daten anfallen. Immerhin: Dank unserem Engagement kannst du dich dafür entscheiden, deine E-ID direkt vor Ort in einem Passbüro ausstellen zu lassen. Dabei werden keine biometrischen Daten erhoben.
Die Freiwilligkeit der E-ID ist für uns ein zentraler Baustein, für den wir uns immer eingesetzt haben. Behördengänge können weiterhin auch physisch erledigt werden. Möchte man dies ändern, bräuchte es Gesetzesänderungen, die der politischen Debatte unterliegen und gegen die letztlich auch das Referendum ergriffen werden kann.
Digital-Konzerne würden das Vakuum ausnutzen
Trotz diesen zwei Punkten: Wenn du eine gute, weil datensparsame, sichere und selbstbestimmte digitale Identität in der Schweiz möchtest, hast du jetzt die Gelegenheit, dazu ja zu sagen. Hätten wir kein E-ID-Gesetz, würden sich die Logins von AGOV, SwissID (Post-Login), Google und Apple das Vakuum zunutze machen, da wir uns auch in Zukunft online ausweisen werden (müssen). Alle die genannten Logins speichern Daten zentral, entweder beim Staat, halbstaatlichen Unternehmen oder amerikanischen Tech-Konzernen. Sie alle werden weniger Datenschutz, Sicherheit und Transparenz als die E-ID 2.0 bringen.