Yves Flückiger 08.02.2021
Kein Markt für staatliche Ausweise
Die Ausstellung von Ausweisen ist eine hoheitliche Aufgabe des Staates. Es ist unsinnig, dafür künstlich einen Markt zu erzeugen. Einerseits weil es alles verteuert und verkompliziert, andererseits, weil so unnötig Bürgerdaten in Kopien an private Anbieter gelangen: Zur Bewirtschaftung ihres privaten Systems eines staatlich legitimierten Ausweises. Private Anbieter sind wirtschaftlich getrieben und nicht im Sinne des Wortes kontrollierbar. Einzig der Staat unterliegt der demokratischen Kontrolle.
Kompliziert und teuer
Mit dem Einbezug privater Anbieter werden Rollen dupliziert und zusätzliche Schnittstellen geschaffen. Der Identitätsprovider (IdP) tritt an die Stelle des Passbüros und ist Mittelsmann, wenn immer eine E-ID eingesetzt wird. Mehr Akteure machen den Ausweis potentiell unsicherer und verteuern das Gesamtsystem: Durch neue Gesetze und Verordnungen, eine Aufsichtskommission, Abrechnungssysteme und Schnittstellen. Es ist schlanker, sicherer und günstiger, wenn der Bund weiterhin seine Rolle wahrnimmt.
Kein neues Gesetz nötig
Eine Revision des Ausweisgesetzes AwG reichte für die Einführung einer elektronischen Identität (E-ID). Erst der Einbezug privater Anbieter macht ein neues Gesetz überhaupt notwendig. Nun wurde publik, dass für 2023, zeitgleich mit der frühesten Einführung einer E-ID nach dem umstrittenen Gesetz, eine neue, biometrische Identitätskarte (IDK) geplant ist. Diese neue IDK könnte die E-ID beinhalten. Beispiele aus Estland, Deutschland und Belgien zeigen, wie diese Verschmelzung erfolgreich umgesetzt werden kann. Belgien nennt seinen Personalausweis (IDK) nur noch «eID» und Deutschland soll einen Personalausweis (IDK) auf dem Mobiltelefon erhalten.
Zentralistische Architektur
Das Gesetz sieht ein System vor, bei dem private Dienstleister Kopien von Bürgerdaten aus der Datenbank des fedpol (Bundesamt für Polizei) erhalten. Das Herumreichen dieser Daten ist unnötig. Moderne Systeme sind dezentral: Die Ausweisdaten bestehen nur auf dem Ausweis. Das ist sicherer, weil zentrale, über das Internet zugängliche Datenbanken beliebte Angriffsziele sind. Diese potentiellen Angriffspunkte werden durch den Einbezug mehrerer privater Anbieter gar vervielfacht.
Datenintensives System
Jedes Mal, wenn die E-ID eingesetzt wird, entsteht eine Datenspur im Internet. Diese Daten fallen beim privaten IdP an, der diese während sechs Monaten speichert und darauf basierend Nutzerprofile erstellen kann. Zwar ist ihm die Verwendung dieser Daten zu anderen als der im Gesetz vorgesehenen Zwecke untersagt. Dies lässt sich aber nicht kontrollieren. Weil die IdPs über diese Nutzungsdaten verfügen, stellen sie auch attraktive Angriffsobjekte dar. Systeme, welche nach dem Prinzip «privacy by design» konzipiert sind, vermeiden unnötige Daten nach dem Motto: «Der beste Datenschutz ist, gar keine Datenspur entstehen zu lassen».
Nicht europatauglich
Der Bund plant, die E-ID in den europäischen Verbund zu integrieren. Damit wäre eine Schweizer E-ID auch in Europa gültig, wie die Identitätskarte oder der Pass. Doch die Gesetzesvorlage erfüllt die europäischen Anforderungen noch nicht. Das Gesetz müsste bereits wieder revidiert werden, damit der Bund entsprechende Infrastrukturen aufbauen kann. Denn der Bund ist gegenüber den anderen Ländern der Vertrauensanker (trust anchor). Das entspricht dem Prinzip, das von den Urhebern des Referendums gefordert wird: Der Bund muss Herausgeber der hoheitlichen E-ID seiner Bürger sein.