Aare
°

Journal B

Sagt, was Bern bewegt
Aare
°

Ein solches Ding - die E-ID

Der fiktive Dialog für ein NEIN zum E-ID-Gesetz der Volksabstimmung vom 7. März 2021. Ein Gastbeitrag von Barbara von Rütte und Raffael Joggi.

Die digitale Identifikation - hinter technischen Finessen stehen grosse Fragen. (Bild: Markus Spiske)

«Wir brauchen eine E-ID!»

«Ah, interessant.»

«Wir brauchen eine Möglichkeit uns im digitalen Raum eindeutig und sicher identifizieren zu können. In Zeiten, in denen selbst die eigenen Grosseltern Whatsapp deinstallieren, um sich bei einem sichereren Messenger anzumelden, können wir uns doch nicht fürs Ausfüllen der Steuererklärung mit der Hotmail-Adresse anmelden, beim E-Banking den Gmail-Account brauchen und unsere Dokumente auf der Dropbox lagern. Es braucht also eine vertrauenswürdige digitale Identität, einen Pass für die virtuelle Welt, es braucht eine E-ID.»

«Aber was ist denn eine E-ID? Wie unterscheidet sie sich von den bisherigen Möglichkeiten sich in der virtuellen Welt zu identifizieren?»

«Eine E-ID ist ein staatlich anerkannter Ausweis, der zur Identifizierung echter - also natürlicher - Personen verwendet wird. So in etwa steht es in Artikel 1 des E-ID-Gesetzes, über das wir am 7. März 2021 abstimmen.»

«Und wieso muss diese E-ID staatlich anerkannt sein?»

«Wenn sich eine natürliche Person in der virtuellen Welt sicher und eindeutig identifizieren können soll, dann muss doch die digitale Identität mit der rechtlichen Identität übereinstimmen. Pässe und IDs werden vom Staat ausgestellt. Also muss auch die E-ID vom Staat ausgestellt und von diesem anerkannt werden.»

«Was für einen Vorteil hat es, wenn sich natürliche Personen in der virtuellen Welt als solche identifizieren lassen?»

«Was heutzutage in der virtuellen Welt passiert hat Einfluss auf die reale Welt! Es ist darum richtig, dass alles was eine natürliche Person in der virtuellen Welt macht, auch eindeutig ihr zugewiesen werden kann. Stell es dir so vor: in jedem Laden, den ich betrete, zeige ich meinen Ausweis!»

«Sollte so etwas nicht freiwillig sein?»

«Doch, eigentlich schon. Und darum ist es wichtig, dass der Staat hier seine Verantwortung wahrnimmt!»

«Also deshalb sollte die E-ID vom Staat ausgegeben werden?»

«Äh, ja also nicht ganz. Der Staat ist nicht gut mit grossen, komplexen IT-Projekten. Die werden schnell zu teuer und sind gegenüber Privaten weniger innovativ. Das sieht jedenfalls der Bundesrat so, darum besteht das E-ID-Gesetz zum grössten Teil in der Ausdifferenzierung der Rolle von privaten Unternehmen und Konsortien, die eine E-ID anbieten könnten.»

«Also, vorhin hiess es doch der Staat sei für die Ausstellung von amtlichen Ausweisen zuständig?»

«Das ist er auch. Aber er delegiert die technisch heiklen Aufgaben an private, kommerzielle Unternehmen, denn die sind innovativ und müssen ihre Kosten selber tragen.»

«Wie soll denn der Datenschutz, die Sicherheit und demokratische Kontrolle gewährleistet werden, wenn Private die E-ID herausgeben?»

«Der Datenschutz ist im E-ID-Gesetz explizit festgeschrieben. Die privaten Anbieter sollen die gleichen Pflichten zum Schutz der Daten haben, wie es ein staatlicher Anbieter hätte. Die Daten werden dabei auch gerne von den Privaten erfasst, bearbeitet und gelagert. Das Swiss Sign Konsortium, dass aller Voraussicht der Monopolist für die E-ID Herausgabe sein wird, besteht vor allem aus Versicherungen und Banken. Also Unternehmen, die wissen, wie man mit Nutzerdaten Geld verdienen kann. Darum ist der Markt auch effizienter. So können wir heute beispielsweise Whatsapp kostenlos benutzen, weil die bei Whatsapp wissen wie man mit Nutzerdaten Geld verdienen kann. Vielleicht haben wir ja Glück und das Swiss Sign Konsortium schafft es auch die Schweizer E-ID dereinst gratis anzubieten und wir bezahlen einfach mit unseren Daten!»

«Und was ist mit der technischen Sicherheit der mit der E-ID erfassten Daten? Gibt es einen vollständigen Schutz für IT-Systeme?»

«Es gibt hinreichenden Schutz. Software vollständig zu schützen ist nicht möglich, da ein IT-System prinzipiell nicht feststellen kann ob es durch Hackerangriffe oder Schadsoftware korrumpiert ist oder nicht. Es ist also theoretisch immer möglich, dass die Software die unsere Pässe verwaltet, manipuliert wird oder sonst wie fehlerhaft läuft. Damit muss man leben.»

«Und was passiert, wenn ich meine E-ID verliere oder wenn mir meine digitale Identität gestohlen oder missbraucht wird?»

«Das hat sich der Gesetzgeber natürlich auch überlegt! Artikel 12 des E-ID-Gesetzes sieht hier vor, dass die Inhaber*in die nach den Umständen notwendigen und zumutbaren Massnahmen zu treffen hat, damit die E-ID nicht missbräuchlich verwendet werden kann. Wird dir die E-ID geklaut, musst du halt beweisen, dass du virtuell nicht mehr du bist.»

«Uh, das tönt anspruchsvoll... Aber fehlt dann letztlich nicht das Vertrauen in ein System, dass so etwas Wesentliches wie eine E-ID verwaltet?»

«Das kann ich mir nicht vorstellen! Es handelt sich doch nur um ein verifiziertes 'Login' für online Dienstleistungen aller Art. Reisen soll man mit dem virtuellen Pass ja nicht können. Aber vielleicht online Alkohol kaufen? Das ist etwas was allen Menschen Nutzen bringt!»

«Wer soll denn alles eine E-ID bekommen?»

«Sicher einmal alle, die einen Schweizer Pass haben.»

«...und die anderen?»

«Die identifizieren sich allenfalls wie bisher auch mit ihrem ihrem Gmail-Account oder so.»

«Und wenn Anbieter anfangen, nur noch die E-ID zu akzeptieren?»

«Das sollte nicht passieren. Jedenfalls nicht für jene Dienstleistungen, die nur ein sogenannt 'niedriges' Sicherheitsniveau haben. Hier muss immer auch ein alternativer Zugang ohne E-ID möglich sein. Auch das findest du in Artikel 12 des E-ID-Gesetzes.»

«Und was ist mit Anwendungen mit einem höheren Sicherheitsniveau?»

«Die sind dann halt nichts für Menschen ohne E-ID. Der Bundesrat kann laut E-ID-Gesetz aber auch Ausnahmen vorsehen. Menschen ohne E-ID dürfen also hoffen.»

«Warum muss das Login denn staatlich sein, wenn es vor allem um Onlineshopping und vielleicht die Online-Steuererklärung geht? Könnten nicht auch Kantone und Gemeinden einen solchen Zugang anbieten?»

«Nein, die E-ID ist halt schon nicht nur ein verifiziertes Login... sie ist schliesslich ein amtlicher Ausweis für Staatsbürger*innen.»

«Müssten denn nicht alle Menschen Zugang haben zu einem verifizierten Login?»

«Hmm, vielleicht schon. Aber die E-ID ist ja wie ein Pass. Ein Pass kann auch nicht für jede*n  rausgegeben werden, oder? Immerhin sieht das E-ID-Gesetz vor, dass auch manche Ausländer*innen mit einem gültigen Aufenthaltsrecht eine E-ID erhalten können!»

«Aber könnte die E-ID dann nicht wenigstens so eine Art City-Card für alle Menschen in der Schweiz sein?»

«Nein, nein, das dann doch nicht. Die Botschaft zum E-ID-Gesetz präzisiert, dass die E-ID und die Nutzung von E-Government-Anwendungen nur Ausländer*innen mit einem gültigen Ausländerausweis C, B, L oder G möglich sein soll. Wieso nur diese Aufenthaltsbewilligungen anerkannt werden und wie die genaue Regelung aussehen steht in der Verordnung zum E-ID-Gesetz.»

«Und was steht in der Verordnung?»

«Das wissen wir noch nicht, vermutlich technische Details zur Umsetzung und Grundsätzliches zu unseren Rechten und Pflichten als E-ID-Benutzer*innen. Doch diese soll erst nach der Abstimmung vom 7. März publiziert werden. Es handelt sich wohl um Spitzfindigkeiten, die uns vor der Abstimmung nur verwirren würden. Nehmen wir das Gesetz an, werden wir auch die Verordnung anschauen dürfen.»

«Das ist alles in allem nicht überzeugend. Das E-ID-Gesetz scheint vor allem eines: für privatwirtschaftliche Anbieter einer E-ID geschrieben. Was die E-ID genau sein soll und was die rechtlichen Konsequenzen für Inhaber*innen einer E-ID sind, wird zu wenig ausgeführt. Dabei sollte dieses wichtige neue Gesetz zuerst einmal die schwierigen und grundsätzlichen Fragen klären, die im Zusammenhang mit der Digitalisierung eines so zentral amtlichen Dokuments gestellt werden. Darum ist das E-ID-Gesetz in dieser Form am 7. März abzulehnen.»