E-ID Gesetz
Für Eilige: Sechs Hauptkritikpunkte am E-ID Gesetz
Die Befürworter des Referendums werden gerne als E-ID Gegner oder als staatsgläubig bezeichnet. Beides ist falsch. Deren Motivation ist gerade die Digitalisierung, aber mit dem Bürger im Zentrum – statt einem künstlichen Markt, der verkompliziert und verteuert.

Yves Flückiger  08.02.2021

Kein Markt für staatliche Ausweise

Die Ausstellung von Ausweisen ist eine hoheitliche Aufgabe des Staates. Es ist unsinnig, dafür künstlich einen Markt zu erzeugen. Einerseits weil es alles verteuert und verkompliziert, andererseits, weil so unnötig Bürgerdaten in Kopien an private Anbieter gelangen: Zur Bewirtschaftung ihres privaten Systems eines staatlich legitimierten Ausweises. Private Anbieter sind wirtschaftlich getrieben und nicht im Sinne des Wortes kontrollierbar. Einzig der Staat unterliegt der demokratischen Kontrolle.

Kompliziert und teuer

Mit dem Einbezug privater Anbieter werden Rollen dupliziert und zusätzliche Schnittstellen geschaffen. Der Identitätsprovider (IdP) tritt an die Stelle des Passbüros und ist Mittelsmann, wenn immer eine E-ID eingesetzt wird. Mehr Akteure machen den Ausweis potentiell unsicherer und verteuern das Gesamtsystem: Durch neue Gesetze und Verordnungen, eine Aufsichtskommission, Abrechnungssysteme und Schnittstellen. Es ist schlanker, sicherer und günstiger, wenn der Bund weiterhin seine Rolle wahrnimmt.

Kein neues Gesetz nötig

Eine Revision des Ausweisgesetzes AwG reichte für die Einführung einer elektronischen Identität (E-ID). Erst der Einbezug privater Anbieter macht ein neues Gesetz überhaupt notwendig. Nun wurde publik, dass für 2023, zeitgleich mit der frühesten Einführung einer E-ID nach dem umstrittenen Gesetz, eine neue, biometrische Identitätskarte (IDK) geplant ist. Diese neue IDK könnte die E-ID beinhalten. Beispiele aus Estland, Deutschland und Belgien zeigen, wie diese Verschmelzung erfolgreich umgesetzt werden kann. Belgien nennt seinen Personalausweis (IDK) nur noch «eID» und Deutschland soll einen Personalausweis (IDK) auf dem Mobiltelefon erhalten.

Zentralistische Architektur

Das Gesetz sieht ein System vor, bei dem private Dienstleister Kopien von Bürgerdaten aus der Datenbank des fedpol (Bundesamt für Polizei) erhalten. Das Herumreichen dieser Daten ist unnötig. Moderne Systeme sind dezentral: Die Ausweisdaten bestehen nur auf dem Ausweis. Das ist sicherer, weil zentrale, über das Internet zugängliche Datenbanken beliebte Angriffsziele sind. Diese potentiellen Angriffspunkte werden durch den Einbezug mehrerer privater Anbieter gar vervielfacht.    

Datenintensives System

Jedes Mal, wenn die E-ID eingesetzt wird, entsteht eine Datenspur im Internet. Diese Daten fallen beim privaten IdP an, der diese während sechs Monaten speichert und darauf basierend Nutzerprofile erstellen kann. Zwar ist ihm die Verwendung dieser Daten zu anderen als der im Gesetz vorgesehenen Zwecke untersagt. Dies lässt sich aber nicht kontrollieren. Weil die IdPs über diese Nutzungsdaten verfügen, stellen sie auch attraktive Angriffsobjekte dar. Systeme, welche nach dem Prinzip «privacy by design» konzipiert sind, vermeiden unnötige Daten nach dem Motto: «Der beste Datenschutz ist, gar keine Datenspur entstehen zu lassen».

Nicht europatauglich

Der Bund plant, die E-ID in den europäischen Verbund zu integrieren. Damit wäre eine Schweizer E-ID auch in Europa gültig, wie die Identitätskarte oder der Pass. Doch die Gesetzesvorlage erfüllt die europäischen Anforderungen noch nicht. Das Gesetz müsste bereits wieder revidiert werden, damit der Bund entsprechende Infrastrukturen aufbauen kann. Denn der Bund ist gegenüber den anderen Ländern der Vertrauensanker (trust anchor). Das entspricht dem Prinzip, das von den Urhebern des Referendums gefordert wird: Der Bund muss Herausgeber der hoheitlichen E-ID seiner Bürger sein.