E-ID: Wieso der Bund keine Lust hat und die Bürger mit wenig Rechten viel Verantwortung übernehmen sollen

Wir SchweizerInnen benötigen dringend und schnell eine Möglichkeit, uns mit einer zertifizierten Identität im digitalen Raum (auch ausserhalb der Schweiz) sicher bewegen zu können. Die Coronakrise hat das digitale Leben (Home Office, Fernunterricht, Online-Shopping, Video-Calls, e-Meetings…) zur zweiten Normalität werden lassen und den dringenden Bedarf für die elektronische Identifizierung unwiderlegbar aufgezeigt.

Von Helmuth Fuchs

Für eine so entscheidenden Infrastruktur-Komponente des digitalen Lebens benötigt es eine gesetzliche Grundlage, welche die BürgerInnen befähigt und schützt und den Anbietern klare Richtlinien vorgibt. Bis hierher dürfte grosse Einigkeit herrschen.

Bei der Frage, wer die E-ID ausstellt, verwaltet, den Einsatz ermöglicht und kontrolliert, scheiden sich die Geister. Nach dem jetzt vorliegenden Gesetzesentwurf, dem Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz, BGEID) übergibt der Bund praktisch das ganze Geschäft privaten Anbietern (Anbieter von elektronischen Identitätsdienstleistungen (Identity-Provider, IdP)) und erledigt selbst nur noch eine einmalige Identifizierung der Inhaberinnen und eine schwammig formulierte Kontrolle. Im Gegensatz zu allen anderen europäischen Ländern soll es in der Schweiz keine staatlich herausgegebene E-ID geben.

Das Versagen des Bundes am Ursprung
Auch für sehr liberal gesinnte BürgerInnen gibt es Leistungen des Staates, welche für sein Wohlbefinden und seine Entwicklungsmöglichkeiten unabdingbar sind. Dazu gehört die Beglaubigung seiner Identität als Bürger oder Bewohner des Landes. Für die physische Welt stellt der Bund die dafür notwenigen Identifizierungsmittel aus, nämlich den Schweizer Pass, die ID oder den Ausländerausweis. Auch hier arbeitet er zu Herstellung der Identifikationsmittel (Pass, ID) mit privaten Anbietern zusammen, welche das dafür technische Wissen besitzen. Keiner dieser Anbieter kann jedoch die mit der Verwendung eines Passes oder einer ID anfallenden Daten bei sich speichern oder diese Daten weiter verwenden.

Nach den zahlreichen IT-Debakeln von Bundesprojekten (FIS Heer, Guichet virtuel (Ch.ch), Gever Office (Geschäftsverwaltung), Insieme, Mistra, Interception System Schweiz (ISS-System) oder zuletzt Soprano) traut sich der Bund offenbar die Umsetzung einer E-ID unter seiner Federführung nicht mehr zu. Ob zu Recht oder Unrecht sei dahingestellt. Es kann jedoch nicht sein, dass der Bund in einer zentralen Funktion seine Aufgabe wegen Unfähigkeit nicht wahrnehmen will, die «kei Luscht»-Attitüde von Ueli Maurer übernimmt und wichtige Daten der Bürgerinnen den Privatunternehmen überlässt. Derselbe Bund investiert gleichzeitig vermehrt in die Cyber Defence seiner «besten Armee der Welt», wo die Komplexität auch auf der technischen Seite um einiges höher sein wird.

Rudolf Strahm hat es in seinem Artikel auf den Punkt gebracht:

«Wir sind Staatsbürger, nicht Konzernbürger.» Rudolf Strahm, Tagesanzeiger vom 26.01.2021

Die Lösung ist nicht das «Outsourcing» des Problems, sondern das Beheben des Defizits und die korrekte Wahrnehmung seiner Kernaufgaben durch den Bund.

Wer nicht Kunde ist, ist das Produkt
Während die Kosten bei einer ID (65 CHF, 10 Jahre gültig) oder einem Pass (140 CHF, 10 Jahre gültig) klar sind und danach für den Gebrauch keine Kosten anfallen, ist bei der E-ID noch wenig klar, wie sich das in der Praxis abspielen wird. Wahrscheinlich wird sich das Modell der Swiss Sign Group durchsetzen. Deren SwissID ist für Nutzerinnen und Nutzer kostenlos. Unternehmen, welche die SwissID als Zugang zu ihrem Onlinebereich aufschalten, bezahlen aber eine Gebühr, welche sich zum Beispiel nach der Anzahl Logins richtet.

Wenn wir eines gelernt haben von den erfolgreichsten Online-Unternehmen wie Facebook, Google, Amazon oder Apple ist es dies: Wenn man nicht Kunde ist (also für eine Leistung bezahlt), ist man das Produkt (über seine Daten, die ausgewertet, analysiert, zu Marketing- oder weiteren Zwecken verarbeitet werden).

Beweislast bei Missbrauch beim Nutzer
Die zum Gesetz notwendige, aber bewusst bis anhin (und bis nach der Abstimmung) nicht veröffentlichte Verordnung zum Gesetz, könnte Klärung bringen zu einigen wichtigen technischen Details. So bleibt es der Fantasie der Abstimmenden überlassen, was mit ihren biometrischen Daten geschieht, wer sie wie einsetzen kann.

Obschon das grösste Risiko eines Missbrauches wahrscheinlich durch die Speicherung der Daten bei den Providern entsteht, sind die Nutzer diejenigen, welche haftbar sind und die Beweise erbringen müssen, dass sie nicht fehlerhaft gehandelt haben (Artikel 12.1 des E-ID-Gesetzes).

Bundesrätin Karin Keller-Sutters kreativer Umgang mit der Wahrheit
Bei der Konzernverantwortungsinitiative bezichtigte die WOZ die Bundesrätin der Lüge «Die lügende Bundesrätin»

«Sie erzählt Sachen, die sich einfach und eindeutig falsifizieren lassen. Sachen, über die sie nicht im falschen Glauben sein kann.» WOZ vom 26.11.2020 zum Verhalten der Bundesrätin Karin Keller-Suter im Abstimmungskampf zur Konzernvernatwortungsinitiative

Ähnlich verfährt Karin Keller-Suter auch im aktuellen Abstimmungskampf. Ihre Aussage «ein Pass und eine Identitätskarte verleihen ihrem Träger besondere Rechte. Die E-ID hingegen ist nichts anderes als ein Log-in, das sicher ist.» im Interview mit dem Tagesanzeiger vom 23.01.2021 ist bewusst zu kurz gedacht und verniedlicht die Risiken, die den Nutzern im Umgang mit der E-ID entstehen können.

Ihr eigenes Bundesamt für Justiz widerspricht ihr und führt explizit den Vergleich zum Pass und der ID an:

«Worum geht es? Mit einem Reisepass oder einer Identitätskarte kann eine Person ihre Identität im Alltag beweisen. Im Internet ist dieser Beweis derzeit nur sehr umständlich zu erbringen. Daher braucht es für die digitale Welt einen elektronischen Identitätsnachweis, auch E-ID genannt.» Offizielle Webseite zum Bundesgesetz über elektronische Identifizierungsdienste des Bundesamts für Justiz, 29.01.2021

Bezüglich der Sicherheit und dem Schutz der Privatsphäre weist Adrienne Fichter in ihrem Artikel in der Republik («Die Probleme mit der Schweizer E-Identität») darauf hin, dass im Gegensatz zum Beispiel zur Swiss-Covid-App hier auf den Ansatz der «Privacy by design» verzichtet wurde.

Gerade falls, was selbstverständlich alle hoffen, die E-ID zum Erfolg wird, werden die Anwendungen im privaten und öffentlichen Raum massiv zunehmen (e-Government, e-Commerce, elektronisches Patientendossier…) und die E-ID wird so zu einem obligatorischen Identifikations-Ausweis werden, der weit über ein simples Log-in hinaus gehen wird. Die Anwendungen der Post zeigen heute schon die Richtung auf. Ohne SwissID stehen einige Online-Dienstleistungen nicht zu Verfügung.

Weit mehr als ein simples Log-in
Wie der Pass oder die ID wird sich die E-ID (sie heisst ja korrekterweise ID, nicht Login) als unentbehrliches Dokument für die Bewegung in der Online-Welt etablieren. Diese Welt endet auch nicht an der Schweizer Grenze, sondern umfasst die ebenfalls globalisierte digitale Welt. Aber nur, wenn die Schwachstelle, dass in der Schweiz nicht der Staat der Herausgeber der E-ID ist, behoben wird.

Dazu muss die E-ID noch ergänzt werden mit der digitalen Signatur, um rechtskräftig auch Verträge oder Dokumente zeichnen zu können. Eine der Kernaufgaben des Staates ist die Ausstattung seiner Bürger mit den Mitteln, die ihn ausweisen und die seine Handlungsfähigkeit und Freiheiten als Bürger garantieren. In der digitalen Welt ist dies die E-ID und die e-Signatur. Diese müssen in Zukunft zusammen mit dem Pass oder der ID von einer staatlichen Stelle bezogen werden können. Dass die Behörden, wie schon bei der Herstellung des Passes oder der ID mit privaten Unternehmen zusammen arbeiten, ist selbstverständlich. Nicht aber, dass sie sich aus der Verantwortung ziehen und als Bezugsstelle und Garantin diese Aufgabe an private Unternehmen delegieren.

Der kaum stattfindende Wettbewerb
Die SwissSign Group als Joint Venture aus staatsnahen Betrieben, Finanzunternehmen, Versicherungsgesellschaften und Krankenkassen hat mit der SwissID dank hervorragender Arbeit in den letzten Jahren eine faktische Monopolstellung. Die Vorstellung, dass sich hier ein Wettbewerb von ähnlich kompetenten Anbietern bilden könnte, dürfte eher illusorisch sein. Der Erfolg der SwissSign Group wird sich unabhängig des Abstimmungsresultates weiterziehen, wie CEO Markus Naef im Interview mit Moneycab vom 30. April 2020 festhielt: «Die SwissSign Group wird die SwissID aber unabhängig vom Referendum und dem Ausgang der Volksabstimmung weiterentwickeln und vorantreiben.»

Vom Staat im Dunkeln und im Stich gelassen
Für die StimmbürgerInnen ist diese Abstimmung besonders schwierig, da sie sich einem Staat gegenüber sehen, der seine Kernaufgabe nicht wahrnehmen will und sich dabei auf seine (schon oft bewiesene) Unfähigkeit beruft. Auf der anderen Seite gibt es Anbieter, welche die Aufgabe noch so gerne wahrnehmen würden (und schon bewiesen haben, dass sie es eigentlich können). Zusätzlich erschwert wird die Entscheidung wegen der zurückgehaltenen Verordnung zum Gesetz, weil damit die Abstimmenden im Unklaren darüber gelassen werden, wer in der Praxis was mit welchen Daten anstellen kann und welche technischen Rahmenbedingungen gelten.

Dass die Schweiz bei der Digitalisierung in einigen Bereichen hinterher humpelt, liegt massgeblich am Versagen des Bundes, seine BürgerInnen mit einer elektronischen Identität und einer digitalen Unterschrift auszustatten. Dass er jetzt seine BürgerInnen praktisch mit einer Outsourcing-Lösung erpresst und wichtige Entscheidungsgrundlagen zurück behält statt seine Defizite zu beheben, macht die Entscheidung umso schwieriger. In jedem Fall werden die BürgerInnen die Verlierer sein. Entweder, weil sie noch länger auf eine E-ID warten müssen, oder weil sie einen Staat finanzieren, der sich aus seinem Auftrag zur (digitalen) Grundversorgung billigst mit Hinweis auf seine eigene Unfähigkeit verabschiedet hat.

E-ID Schweiz: Ja zum E-ID-Gesetz

E-ID-Referendum: Nein zum E-ID-Gesetz