Es besteht Bedarf nach einer benutzbaren und vertrauenswürdigen elektronischen Identifizierung. Sie ist ein Pfeiler der digitalen Demokratie und wird auch für die Ausübung von Volksrechten zum Einsatz kommen. Wir benötigen dementsprechend eine echte digitale Erweiterung von ID, Pass und Ausländerausweis und keine E-Commerce-ID. Das E-ID-Gesetz muss den Bürgerinnen und Bürgern dienen – und nicht der Wirtschaft. Wie die Herausgabe der bereits bestehenden Ausweisdokumente muss daher auch diese öffentliche Aufgabe vom Staat wahrgenommen werden. Das Recht auf Privatsphäre – gerade im Internet – muss zudem gestärkt und darf nicht weiter ausgehöhlt werden. Das beschlossene Gesetz erfüllt dies nicht. Darum wurde erfolgreich das Referendum dagegen ergriffen.
Wozu eine E-ID?
Die BewohnerInnen der Schweiz sollen eine elektronische Identität bekommen. Speziell E-Government-Lösungen würden davon profitieren, da bis anhin jede Gemeinde und jeder Kanton sich einzeln darum kümmern muss, wie die Benutzerinnen und Benutzer auf ihren Portalen authentifiziert werden können. Eine E-ID kann auch das Abschliessen von Verträgen, bei denen eine Ausweispflicht besteht oder die eine Schriftlichkeit voraussetzen, online vereinfachen. In den meisten Fällen sind aber weder ein Ausweis noch eine Unterschrift die Voraussetzung, um Dienstleistungen nutzen oder Verträge abschliessen zu können. Dies muss auch online so bleiben. Eine staatliche E-ID muss für private Online-Portale nutzbar sein, falls solche Anforderungen zur Identifikation oder Vertragserfüllung bestehen. Beispiele dazu sind das Eröffnen eines Bankkontos oder das Abschliessen eines Mobilfunkvertrags. Es ist aber kein Gesetz nötig, das ein universelles Login schafft, welches auf möglichst vielen Websites funktioniert.
Eine E-ID muss dementsprechend in erster Linie sicher und vertrauenswürdig sein, und jeder Mensch in der Schweiz soll ein Anrecht darauf haben.
Eine E-ID muss dementsprechend in erster Linie sicher und vertrauenswürdig sein, und jeder Mensch in der Schweiz soll ein Anrecht darauf haben. Es darf jedoch keinen Zwang zu einer generellen Verwendung auf Internetportalen geben. Auch wenn die E-ID gegenwärtig kein international anerkanntes Reisedokument ist, übernimmt sie online dieselbe Funktion, wie es ein amtlicher Ausweis beim Abholen von eingeschriebenen Briefen, der Bescheinigung des Alters beim Kauf von Spirituosen und beim Bezug eines Betreibungsregisterauszugs tut. Die E-ID ist das elektronische Äquivalent zur Identitätskarte und keine E-Commerce-ID. Es geht hier um die digitale Erweiterung von Ausländerausweis, ID und Pass.
Das E-ID-Gesetz
Die Pläne des Bundes sind aber anders: Die staatliche E-ID soll von Privaten herausgegeben werden. Nicht etwa das Passbüro oder die Gemeindekanzlei wären für das Antragsverfahren zuständig, sondern vielmehr soll zwischen verschiedenen privaten Anbietern gewählt werden können. Leider sieht das beschlossene E-ID-Gesetz zudem keine elektronische Unterschrift vor. Neben den verschiedenen Anbietern soll es auch verschiedene Sicherheitsstufen geben. Wobei nicht alle Anbieter alle Sicherheitsstufen anbieten müssen. Sämtliche Varianten der E-ID sollen rein online beantragt werden können, wobei sich die Anforderungen leicht unterscheiden. Beim Einsatz setzt die mittlere Sicherheitsstufe dann eine Zwei-Faktor-Authentifizierung voraus. Bei der höchsten Stufe muss diese auf einem biometrischen Merkmal basieren. Typischerweise würde dies ein Fingerabdruck am Smartphone sein. Wer kein passendes Gerät hat oder einsetzen will, droht ausgeschlossen zu werden.
Herausgeber der E-ID
Das Gesetz sieht einen Markt von E-ID-Herausgebern vor. Faktisch dürfte es aber nur eine Firma geben, die E-IDs anbietet: Die SwissSign. Die ehemalige Tochtergesellschaft der Schweizer Post wurde 2017 zuerst in ein Gemeinschaftsunternehmen von Post und SBB ausgelagert. Am Digitaltag 2018 wurde dann mit viel Brimborium die Überführung in ein Joint-Venture verkündet. Dieses besteht aus 20 grossen Schweizer Konzernen, die das grosse Geschäft nicht Facebook, Google und anderen Tech-Giganten überlassen wollen und die Macht haben werden, das E-ID-Monopol erfolgreich zu verteidigen.
Die SwissSign möchte aber nicht nur E-ID-Provider sein, sondern bietet weiter ein zentrales Login für diverse Dienste, wie beispielsweise für die Medien-/Tracking-Allianz, an. So verfliessen die Grenzen zwischen amtlicher Ausweiskontrolle und simplem Anmeldevorgang auf Onlineportalen. Es ist zu erwarten, dass die einfache Verfügbarkeit eines Identitätsdienstes auf Basis der E-ID zu einer Überidentifizierung führt. Die einfache Identifizierung könnte dann für immer mehr Dienste verlangt werden, was wiederum die Verknüpfung mit anderweitig gewonnenen Profilinformationen zu einem eindeutig zuzuordnenden Persönlichkeitsprofil ermöglicht.
Dies ist nicht nur aus Sicht des Datenschutzes problematisch, sondern ergibt auch eine Art digitales Klumpenrisiko: Verliert man das eine Passwort oder wird gar der Login-Provider gehackt, sind gleich alle mit dem Login verbunden Dienste betroffen. Zudem stehen bei einem Login für E-Commerce-Anwendungen die Benutzerfreundlichkeit und nicht die Sicherheit im Zentrum. Diese beiden Anforderungen widersprechen sich. Auch kann ein Grossteil der Logins gar nicht durch eine Schweizer E-ID (und Schweizer Datensammler) abgelöst werden, da es keine internationale Lösung ist. Die Einwohnerinnen und Einwohner der Schweiz werden sich auch in Zukunft weder bei Amazon noch bei anderen internationalen Diensten mit der Schweizer E-ID anmelden können. Für ein sicheres und verteiltes allgemeines Login braucht es kein Schweizer Bundesgesetz – sondern internationale Standards.
Kurz: Gegen die internationalen Datenkraken hilft kein neues E-ID-Gesetz, sondern vielmehr griffige Datenschutzbestimmungen wie beispielsweise ein Koppelungsverbot und die internationale Durchsetzbarkeit, wie sie die EU-DSGVO kennen. Es ist zudem wichtig, dass die Interessenlage der Herausgeber und die Finanzierung der E-ID transparent sind.
Datenschutz?
Mit dem beschlossenen E-ID-Gesetz fallen an drei nennenswerten Berührungspunkten personenbezogene Daten an: Beim Bundesamt für Polizei, dem Fedpol, wird eine neue, zentrale Datenbank geschaffen. Diese wird für die Ausstellung der E-ID durch die Identitäts-Provider und für die laufende Aktualisierung der Personendaten bei den Onlinediensten verwendet, welche die E-ID zur Authentifizierung einsetzen. Das Fedpol soll die verschiedenen Personenidentifizierungsdaten aus unterschiedlichen Registern zusammenführen können.
Eine wirklich datenschutzfreundliche Lösung würde dem Prinzip «Privacy by Design»
Bei den privaten Anbietern der E-ID fallen bei jedem Login Daten an. Laut dem E-ID-Gesetz dürfen die Identitäts-Provider zwar «die Daten, die bei einer Anwendung der E-ID entstehen, und darauf basierende Nutzungsprofile» nicht kommerziell verwerten. Die Daten dürfen jedoch für sechs Monate gespeichert werden. Würde dem Prinzip der Datensparsamkeit gefolgt, wären sie hingegen unverzüglich zu löschen. Eine wirklich datenschutzfreundliche Lösung würde dem Prinzip «Privacy by Design» folgen und eine Systemarchitektur wählen, bei der diese Daten gar nicht erst bei einer zentralen Stelle anfallen. Eine angemeldete Person kann einfach und lückenlos getrackt werden. Es besteht daher die Gefahr, dass für alltägliche Vorgänge eine Anmeldung mehr und mehr nötig wird, um beispielsweise beim Stöbern im Onlineshop über einen individuellen Rabatt informiert zu werden. Der Weg zu einem gläsernen Kunden und dem personalisierten Preis ist so nicht mehr weit. Wirkungsvolle Schranken könnte auch hier erst das totalrevidierte Datenschutzgesetz bringen.
Bevölkerung möchte eine staatliche E-ID
Eine repräsentative Umfrage von Demoscope aus dem Mai 2019 zeigt, dass 87% der Bevölkerung die E-ID vom Staat beziehen wollen. Nur gerade 2% möchten die geplante E-ID von privaten Unternehmen ausgestellt erhalten. Insbesondere beim Datenschutz fehlt der Bevölkerung das Vertrauen in private Unternehmen. 81% der befragten Personen erachten zudem die rechtsverbindliche elektronische Unterschrift als wichtig. Auch die neuste repräsentative Studie der Universität Zürich hat aufgezeigt, dass rund 81% der Bevölkerung die E-ID vom Staat beziehen wollen. Diese Umfragen zeigen sehr deutlich, dass bei den gewünschten Anwendungen Behördengänge und die politische Teilhabe ganz vorne stehen. Das Ausstellen einer E-ID ist ein zentrales Element von E-Government und auch der digitalen Demokratie. Entsprechend ist es wichtig, dass diese Aufgabe vom Staat wahrgenommen wird. Der Staat darf sich nicht aus der Verantwortung stehlen. Im Gegenteil: Er muss für das nötige Vertrauen sorgen.
Im Kanton Schaffhausen ist bereits eine staatliche, smartphonebasierte E-ID erfolgreich im Einsatz. Andere Kantone wollen nachziehen. Beglaubigte Identifikationsmerkmale und ein qualifiziertes Zertifikat für die Unterschrift könnten aber auch sicher auf ID, Pass oder Ausländerausweis gespeichert werden. So würden die amtlichen Ausweise zu Smartcards, die auch gleich als zweiter Faktor bei der Authentifizierung verwendet werden könnten. Das Hantieren mit biometrischen Merkmalen wäre nicht notwendig. Um einen gesunden Markt zu fördern, wären weiter offene Schnittstellen und Standards einzusetzen, damit – neben den Behörden für E-Government – Private die E-ID mit Einverständnis der InhaberInnen ebenfalls nutzen können.
Als Gesetzesgrundlage ist kein neues E-ID-Gesetz nötig. Es kann das bestehende Ausweisgesetz herangezogen werden: Art. 2 Abs. 2quater AwG: «Der Ausweis kann zudem elektronische Identitäten für Authentisierungs-, Signatur- und Verschlüsselungsfunktionen enthalten.» Als Kartenleser für die E-ID könnte ein Smartphone mit Funk-Schnittstelle zur Smartcard dienen. Die quelloffene AusweisApp2 bietet dies in Deutschland für den Personalausweis und den Aufenthaltstitel für nicht EU-Bürgerinnen und Bürger an.
Referendum
Gegen das beschlossene Gesetz wurde erfolgreich das Referendum ergriffen. Hinter dem E-ID-Referendum steht ein breiter Zusammenschluss von Organisationen und Netzwerken. Das sind unter anderem die Digitale Gesellschaft, die Kampagnenorganisation Campax, die Demokratie-Plattform WeCollect und der Verein PublicBeta. Unterstützt werden sie von der SP Schweiz, den Grünen und der Piratenpartei, VPOD, Internet Society Switzerland, Grundrechte.ch, dem Schweizer Seniorenrat (SSR), der Vereinigung aktiver Senioren- und Selbsthilfeorganisationen der Schweiz (VASOS) sowie engagierten Mitgliedern aus allen Parteien. Die Volksabstimmung wird voraussichtlich am 27. September 2020 stattfinden.