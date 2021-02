Am 7. März entscheiden die Stimmberechtigten in der Schweiz über das Bundesgesetz über elektronische Identifizierungsdienste (BGEID). Auf Basis des im Herbst 2019 von beiden Kammern des Parlaments verabschiedeten E-ID-Gesetzes soll eine digitale, nationale und einheitliche Identifikationsmöglichkeit eingeführt werden, wie sie bereits in vielen Ländern existiert. Gegner des Gesetzes hatten im Oktober 2019 eine erfolgreiche Unterschriftensammlung für ein Referendum gegen die Inkraftsetzung des BGEID initiiert, das nun zur Abstimmung kommt.

Vertreter aus Wirtschaft, Wissenschaft und Politik fordern die Schweizerinnen und Schweizer in einem offenen Brief auf, das E-ID-Gesetz abzulehnen auf, und plädieren "für eine vernünftige, datensparsame und sichere Umsetzung im nächsten Anlauf". Die Kritiker sind dabei nicht grundsätzlich gegen eine E-ID, sondern befürworten eine "E-Democracy". Sie sprechen sich vor allem gegen die Ausgabe einer zentralisierten, intransparenten offiziellen E-ID durch Privatunternehmen aus. Denn geht es nach Regierung und Parlament, soll der "digitale Pass" nicht vom Staat ausgestellt werden.

Fedpol verifiziert

Dennoch wird der Staat nicht alles aus der Hand geben. Die Anfrage für eine E-ID bei einem der "Identity Provider" (IdP) genannten Anbieter wird an das Bundesamt für Polizei (Fedpol) weitergeleitet, wo die Identität des Antragstellers verifiziert wird. Fedpol stellt eine E-ID-Nummer aus, benachrichtigt den IdP und übermittelt die Personendaten. Letztere setzen sich, je nach beantragtem Sicherheitsniveau, nebst den gewöhnlichen Angaben zur Person auch aus Geschlecht, Geburtsort und Staatsangehörigkeit oder auch einem Gesichtsbild zusammen.

Die genauen Details zur technischen Ausführung des BGEID sind allerdings von den Bundesbehörden noch nicht einmal komplett ausgearbeitet respektive veröffentlicht, was die Kritik an dem Vorhaben zusätzlich befeuert. Laut Medienberichten soll erst, wenn das Gesetz am 7. März angenommen werden sollte, auch eine entsprechende Verordnung veröffentlicht werden. Erschwerend komme hinzu, dass das Schweizer System nicht der europäischen E-IDAS-Verordnung entspreche, berichtet das Online-Magazin Republik.

Offene Fragen

Unklar ist demnach auch, wie der Datenaustausch zwischen den verschiedenen IdP gewährleistet wird und welche Bedeutung das für den Datenschutz hat. Denn die Interoperabilität wird vom E-ID-Gesetz explizit gefordert, da es theoretisch verschiedene private Identitätsprovider geben kann. Von Staats wegen ist ein marktwirtschaftlicher Wettbewerb für die staatliche Zertifizierung als IdP gewünscht.

Bereits am besten positioniert ist als künftiger IdP die SwissSign Group, die als Konsortium von Banken, Versicherungen, Krankenkassen sowie Post, Swisscom und SBB bereits die SwissID anbietet. Diese schon bald zwei Millionen mal genutzte digitale ID ist in die Onlineportale von neun Kantonen und diversen Unternehmen wie etwa SBB oder Post integriert. Bei dreien der neun Kantone erhalten User den Zugang zu den virtuellen Behördenschaltern nur noch via SwissID, die aus der ziemlich erfolglosen Suisse ID hervorgegangen war.

Kommission kontrolliert

Eine vom Bundesrat eingesetzte, aber behördenunabhängige E-ID-Kommission (EIDCOM) soll E-ID-Anbieter und deren technische Systeme zertifizieren und kontrollieren. Dies dürfte aufgrund des für die Schweizer E-ID gewählten technischen Prinzips Modells auch unabdingbar sein. Denn wegen des zentralen Ansatzes werden bei den Identitätsprovidern eine Unmenge an Daten zusammenlaufen, die leicht Begehrlichkeiten wecken. Schließlich soll die E-ID nicht nur für E-Government und digitale Verwaltung, sondern auch im Onlinehandel zum Einsatz kommen. Gegner der E-ID befürchten eine für die User kaum zu kontrollierende Sammelei von Daten, die laut Gesetz dazu noch sechs Monate lang gespeichert bleiben sollen.

Die Gegner des Vorhabens kritisieren darüber hinaus, dass es einfacher, billiger und auch sicherer gewesen wäre, wenn der Bund gleich eine dezentrale Architektur mit Privacy-by-Design und Datensparsamkeit geplant hätte. Zwei solche Systeme existieren sogar bereits in der Schweiz. Zunächst hatte bereits 2016 der Kanton Zug eine eigene E-ID-Lösung namens "Benutzerkonto Zuglogin" für seine E-Services entwickelt und die Stadt Zug lancierte just die damit datenkompatible "eZug"-App, die auf einer Technik des privaten Anbieters Procivis und seiner "eID+"-Technologie basiert. Diese Technologie hatte zuvor schon der Kanton Schaffhausen mit der "eID+"-App eingesetzt.

Beide E-ID-Apps basieren auf einem dezentralen Ansatz, dessen Vorteile der Kanton Schaffhausen lobt, denn er gebe dem User die Hoheit über seine Daten und die Nutzer verwalten diese selber. Der User bestimme auch, wer Zugriff auf die Daten erhält und man können bei jedem Service bestimmen, welche Daten übermittelt werden sollen. Kürzlich berichtete die Neue Zürcher Zeitung, dass der Kanton Schaffhausen sich als Provider der nationalen E-ID bewerben könnte und laut verschiedenen Aussagen aus Stadt und Kanton Zug ist man auch dort nicht abgeneigt.

Doch zunächst ist es am Stimmvolk, zu klären, ob es einer privat ausgestellten E-ID den Vorzug gibt oder ob erst einmal Marschhalt angesagt ist. Laut aktuellen Umfragen kippt die Mehrheitsmeinung derzeit etwas auf die Seite der E-ID-Gegner.

(vbr)