E-ID Gesetz
E-ID: Die Sache mit dem Datenschutz und der Freiwilligkeit
Mit der E-ID sollen in der Schweiz erstmals private Firmen einen staatlichen Ausweis bewirtschaften. Das wirft Fragen auf, auch in Bezug auf Datensicherheit und Datenschutz. Antworten dazu gibt es auf dem Papier und als Versprechen: Überzeugen kann das nicht.

Yves Flückiger 29.01.2021

Die Befürworter des Bundesgesetzes über elektronische Identifizierungsdienste (BGEID) sind sich einig, bis hinauf in den Bundesrat: Es handelt sich bei der E-ID nur um ein Login –  Für das Wording verantwortlich dürfte die Lobbyagentur Furrer Hugi sein. Sie leitet die Pro-Kampagne und betreibt dazu die Webseite «e-id Info». Die einfache Werbebotschaft lautet «Schluss mit dem Passwortchaos - Sicher und einfach im Netz.» Doch gerade die Sicherheit wird sowohl unter Netzaktivisten wie auch bei Bürgerorganisationen bezweifelt. Für sie ist die E-ID der «digitale Pass», bei dessen Nutzung viele Daten anfallen, die nicht in die Hände Privater gehören. 

Worum geht es? Die Schweizer E-ID soll dem Markt überlassen werden. Die Herausgabe der E-ID erfolgte also durch private, vom Bund zugelassene Firmen oder Kantone, sogenannte Identity Provider (IdP). Der Bund selbst dürfte nicht. Der IdP erhielte vom Bundesamt für Polizei (Fedpol) Kopien persönlicher Daten des Bürgers. Sobald der Bürger ein Onlineangebot unter Vorweisung seiner E-ID nutzt, wird er erst auf die Seite des IdP geleitet. Das hinterlässt beim IdP eine Datenspur. Diese Nutzungsdaten müssen erst nach Ablauf einer Frist gelöscht werden – darauf basierende Nutzerprofile gar nicht.

Der Bund muss mit der Bewirtschaftung der Identitätskarte (IDK) und des Schweizer Passes kein Geld verdienen. Die private Firma hingegen muss mit dem E-ID System gar Gewinn machen. Nur so kann sie sich finanzieren und überleben. Der Bund ist dem Bürger verpflichtet, eine Firma ihren Geldgebern. Das ist ein potentieller Konflikt. Daher muss hier die Frage gestellt werden, wie der IdP mit der E-ID Geld verdient. Das langfristige Geschäftsmodell ist ein gut gehütetes Geheimnis einer Firma. Dabei geht es nicht um einfache Gebühren. Es geht um künftige Services rund um die E-ID, unter Umständen mit komplexen Finanzierungsmodellen. Erst diese Einnahmen sichern die Existenz einer Firma, bezahlen Investitionen und Dividende. Inzwischen dürfte jedem bekannt sein, dass es im Internet nichts «gratis» gibt.

Der IdP speichert also Personendaten, allerhand Nutzungsdaten sowie «erweiterte Attribute». Das sind persönliche, anwendungsabhängig Angaben wie das Resultat einer Bonitätsprüfung oder eine Zutrittsberechtigung. Sie sind freiwillig und sollen Dienstleistungsprozesse mit dem Onlineanbieter erleichtern. Im Gesetz finden sich dazu keine Angaben, in der Broschüre eines Anbieters hingegen schon. Das gibt zumindest einen Hinweis auf mögliche Geschäftsfelder. Das allein hat noch nichts Verdächtiges und man soll keine Firma vorverurteilen, die angibt, sich an das Gesetz zu halten. Aber man soll Gesetz und Konzepte hinterfragen.

Bei der SwissSign Group AG sind viele Player involviert. Dadurch wird zumindest das Missbrauchspotential erhöht. Zum Konsortium gehören Versicherungen, Grossbanken, Swisscom, die SBB und die Post. Alles Firmen, bei denen bereits selbst grosse Datenmengen anfallen. Sie können eine Doppelrolle einnehmen, indem sie Dienstleister ihres Konsortiums werden, also «beauftragte Dritte». So betreibt etwa die Post für die SwissSign die Serversysteme. Dieselbe Post, welche unter anderem eine eVoting Lösung anbieten möchte oder im Gesundheitsmarkt mitmischen will – beides Bereiche, wo die E-ID ebenfalls zum Einsatz kommen soll.

Dieses Netzwerk an Akteuren, Daten und Abhängigkeiten erschliesst sich dem Bürger nicht. Auch nicht, wie die Daten unter den Geschäftspartnern zirkulieren. Der Bürger kennt in der Regel nicht einmal die zugehörigen Gesetze. Und einen Missbrauch können auch diese nicht verhindern. Das BGEID verbietet zwar die Nutzung der Daten «zu anderen Zwecken als zur Umsetzung der Pflichten» des IdP. Kontrollieren kann man das nicht. Das liegt auch daran, dass alles digital ist, also weitgehend unsichtbar. Der Bürger muss blind darauf vertrauen, dass alles Rechtens ist. Man nennt das auch «privacy by trust». 

Im BGEID ist die Ernennung einer Kommission vorgesehen, die eIDCOM. Deren Mitglieder würden vom Bundesrat gewählt, als «unabhängige Sachverständige». Doch die Ernennung erfolgte auf Empfehlung und die Schweizer Welt der IT ist klein. Man kennt sich. Eine der Aufgaben dieser Kommission bestünde nun in der «Aufsicht» der IdP. Kontrollieren könnte auch sie nicht. Dazu wäre sie weder organisatorisch, technisch noch personell in der Lage. Sie wäre weitgehend auf die Einhaltung der Meldepflicht durch die IdP angewiesen. Stellte die eIDCOM allerdings grobe Verfehlungen fest, könnte sie nach einer Frist zur Wiederherstellung des rechtmässigen Zustands als letzte Massnahme dem IdP die Anerkennung entziehen. Hat der IdP aber eine Marktdominanz, wie sich das bei der SwissSign abzeichnet, ginge das nicht, ohne der Schweiz die E-ID abzustellen. Daher ist es wahrscheinlicher, dass man «sich findet.» Die Öffentlichkeit würde davon nichts erfahren, denn die eIDCOM untersteht der Schweigepflicht. Also bleibt dem Bürger auch hier nur «trust».

Missbrauchspotential besteht aber nicht nur beim IdP und seinen Dienstleistern. Wer viele Daten hat, wird auch zum potentiellen Angriffsziel. Zwar verlangte das Gesetz, Kategorien von Daten getrennt zu halten. Dies mit dem Ziel, deren Sicherheit zu gewährleisten, «wenn die Sicherheit einer anderen Kategorie kompromittiert ist.» Der IdP muss sie aber irgendwo zusammenführen. Er darf dies auch, wie zum Beispiel für die Erstellung von Nutzerprofile.

Nutzerprofile sind im Gesetz explizit erwähnt. Doch wieso sollen überhaupt Nutzerprofile erstellt werden? Und wieso nicht gelöscht? Nach sechs Monaten gelöscht werden müssen nämlich nur «die Daten, die bei der Anwendung der E-ID entstehen». Das betrifft nicht die vom IdP erstellten, auf den "Rohdaten" basierenden Nutzerprofile. Auch diese Profile dürfen nicht anders verwendet werden, als zur Erfüllung der im Gesetz definierten Pflichten des IdP. Nur findet man im Gesetz keine Pflichten, welche Nutzungsprofile voraussetzt. Es bleibt beim «trust».

Ein «Missbrauch» kann aus der Sicht des Bürgers bereits jeder Art der Nutzung seiner Daten sein, die sich ihm nicht direkt erschliesst. Denn es ist selbstredend, dass ein Gesetz auch die Kreativität anspornt, dieses Gesetz auszuloten. Dazu gibt es Juristen. Getan wird, was nicht explizit verboten ist. 

Auf Kritik wird entgegnet, ohne Gesetz bestünde gar keine Regulierung. Das tönt nach einer Wahl zwischen Unzureichendem und dem Nichts. Nun bräuchte es für die meisten Anwendungen gar keine E-ID und damit auch kein E-ID Gesetz. Denn mit x guten Passwörtern, verwaltet durch einen Passwortmanager, fallen bereits weniger (zentrale) Daten an. Auch der von Ständerat Ruedi Noser oft genannte Verweis auf die wachsende Dominanz der «Big Four» Google, Amazon, Facebook und Apple (GAFA) ist nicht nachvollziehbar: Ein Social Media Login hat nichts zu tun mit einer staatlich anerkannten Identität. Sie konkurrenzieren sich nicht. Paradoxerweise wäre es aber etwa Google Schweiz mit dem neuen Gesetz möglich, ebenfalls eine Schweizer E-ID anzubieten. Lukrativ wäre das nicht, aber gut für's Prestige: Die Marke «Schweiz» ist beliebt.

Es gäbe einfache und praktische Ansätze, eine E-ID einzuführen, die all dem Rechnung trägt. Nur wollte das eine Mehrheit im Parlament partout nicht.

Ein erster Schritt wäre, dem Bund den Betrieb einer eigenen E-ID zu erlauben. Dazu bräuchte es einzig eine Änderung des Art. 10 des BGEID. Der Bund dürfte dies zur Zeit nur «subsidiär», quasi als Rettungsanker. Dann, wenn niemand anderes Lust dazu hat oder ein wichtiger IdP in Schieflage gerät. 

Bundesrätin Keller-Sutter appellierte, darauf zu vertrauen, dass die privaten IdP vertrauensvoll mit unseren Daten umgehen (trust). Gleichzeitig verweist sie im Interview mit dem Tagesanzeiger auf die Fichenaffäre des Bundes, die 1989 eine PUK auslöste. Damit schürt die Magistratin Skepsis am heutigen Bundesstaat – mit einem Ereignis, das seine Anfänge vor über hundert Jahren nahm und über den kalten Krieg dauerte. Sie vergisst, dass es letztlich die demokratische Kontrolle war, die zur Aufklärung des Skandals beitrug. Eine Privatfirma entzieht sich einer solchen Kontrolle und hat auch andere Interessen zu verteidigen. 

Der zweite Schritt hiesse Transparenz. Dass dies zu besseren Lösungen führt, hat die Schweiz am Kandidaten des eVoting-Systems der Post eindrücklich erlebt. Man kann es als Debakel sehen oder als Erfolg: Die Community konnte das eigentliche Debakel vermeiden. Mit solchen Prozessen wird das Risiko verkleinert, dass rein wirtschaftlich getriebene Anbieter sensible Systeme unter Zeit- und Kostendruck zusammen basteln können. Denn das ist selbst unter Einhaltung von Gesetzen möglich. Daher ist auch Open Source ein Thema. Estland ging diesen Weg und Österreich hat immerhin eine Webseite in Betrieb, welche Architektur und Technik ihrer neuen, staatlichen E-ID im Detail erklärt.  

Der dritte Teil bestünde in einer dezentralen Datenhaltung, denn zentrale Speichersysteme sind in mehrerer Hinsicht anfälliger. In anderen Bereichen der Digitalisierung, der Industrie 4.0 oder der digitalen Energieversorgung, läuft die Entwicklung daher eher umgekehrt. Dezentral ist auch bei der E-ID möglich. Wer Deutschland mit dem «ePerso» belächelte, weil es dazu einen Kartenleser braucht, wird heute durch deren Nachfolgeprojekt überrascht, bei dem der Personalausweises auf dem Smartphone des Ausweisinhabers gespeichert wird. Hätte die Schweiz die Idee einer Kombination aus Identitätskarte und E-ID damals nicht kurzsichtig verworfen, wäre sie vielleicht heute selbst bei so einer Lösung. Auch Belgien geht beharrlich den Weg der Verschmelzung von digitalem und elektronischem Ausweis. Der neue Personalausweis heisst daher nur noch «eID». Darauf gespeichert ist auch der Fingerabdruck. Und dieser wird beim Hersteller gleich nach Ausstellung der Karte gelöscht.

Schliesslich, der vierte Schritt ist die Vermeidung unnötiger Daten. Dazu gehören auch Kopien. Die Personendaten aus der zentralen Fedpol Datenbank müssten beim IdP in Abständen aktualisiert werden. Liechtensteins Lösung legt gar keine Kopien an. Daher sind die Personendaten immer aktuell. Überhaupt, den IdP als «man-in-the-middle» braucht es nicht. Damit würden dort auch keine Nutzungsdaten anfallen. Das Zauberwort heisst Datensparsamkeit.

Es gibt genügend Literatur, wie ein E-ID System datensparsam betrieben werden könnte. Und es gibt praktische Beispiele in Europa. Deshalb ist es unerklärlich, wieso man in der Schweiz starr an alten Entscheiden festhält und damit neue Möglichkeiten verpasst. 

Als letztes Argument wird jeweils hervorgebracht, die E-ID sei «freiwillig.» Das stimmt so nicht. Kantone und Behörden wären per Gesetz verpflichtet, an ihren Onlineschaltern die E-ID einzuführen. Bei einigen Kantone ist bereits heute für die Nutzung des Onlineportals eine private SwissID Bedingung. Dazu geht der Bürger einen Vertrag mit dem IdP ein, und nicht mit dem Kanton, der das Portal betreibt. Dieser «Zwang» wäre auch in Zukunft überall dort erlaubt, wo die Nutzung einer Dienstleistung eine Ausweispflicht erfordert. Die Alternative ist der Postweg. Denn gemäss BGEID ist nur dort ein alternativer Online-Zugang gefordert, wo lediglich eine E-ID mit Sicherheitsstufe «niedrig» verlangt ist (also beim Online-Shopping). Doch selbst da bestünden Möglichkeiten, den Kunden zum Einsatz einer E-ID zu bewegen. Man nennt das «Nudging». Es ist dem Betreiber eines Dienstes auch erlaubt, bei der Nutzung des «alternativen Zugangs» andere Preise zu verlangen. Wer also auf eine E-ID verzichtet, müsste auf künftige, digitale Möglichkeiten der Demokratie verzichten, mehr Aufwand in Kauf nehmen oder allenfalls höhere Preise bezahlen. «Freiwilligkeit» fühlt sich anders an.

«Wir sind Staatsbürger, keine Konzernbürger» - mahnt Rudolf Strahm. Sein Einwand trifft den Nerv in mehrerer Hinsicht. Der Bürger steht nicht im Dienst einer Privatfirma und der CEO und sein Jurist sind dem Firmeninhaber verpflichtet, nicht dem Bürger. Eine staatliche E-ID, betrieben durch private Firmen, könnte man systemfremd nennen. Wer gewinnt, wenn wir Privaten staatliche Aufgaben überlassen, was sind der Preis und die Konsequenzen? Beim Datenschutz stehen Transparenz und Kontrolle zuvorderst. Vertrauen folgt erst an zweiter Stelle. 

Die Architekten des BGEID aus Wirtschaft und Politik scheinen die Sorgen nicht zu verstehen. Überzeugt vom eigenen Werk ist ihnen die Sensibilität abhanden gekommen. Nach Jahren der Debatte soll es plötzlich schnell gehen. Kritische Voten werden weggeredet. Doch Hast bewährt sich nicht, wenn man einen Grundstein legt. Statt zu beschwichtigen und «aufzuklären» gibt es nur eine Antwort: «privacy by design».