DAS MAGAZIN ZUM
3. SCHWEIZER DIGITALTAG
3. SEPTEMBER 2019

Politik

digitalswitzerland

Gesellschaft

International

Wirtschaft

Bildung & Beruf

Digitaltag Schweiz 2019

Wer hat Angst vor der E-ID?
Andrea Willimann

Bundesbern streitet, was die elektronische Identität (E-ID) wirklich ist. Jetzt spricht der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger Klartext.

Peter Mosimann

Persönlich:

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Adrian Lobsiger ist verheiratet, hat zwei er- wachsene Töchter und wohnt in Muri bei Bern. Sein Amt, in das er im April vom Bundesrat bis Ende 2023 wiedergewählt wurde, übt der 59-Jährige seit drei Jahren aus. Zuvor war der promovierte Jurist stellvertretender Direktor des Bundesamts für Polizei sowie Dozent zur Bekämpfung der Wirtschaftskriminalität.

Pass, AHV, Kreditkarte: Weshalb brauche ich nun noch fürs Internet eine weitere persönlich identifizierbare Nummer, die E-ID?
Genau solche Missverständnisse haben Experten in verschiedenen Medien verbreitet! Wir brauchen auch in Zukunft keinen elektro­ nischen Pass, um aufs Internet zu gelangen. Das E­ID­Gesetz soll eben gerade keine neuen Identi­fikationspflichten einführen. Einfache Einkäufe, Ticket ­Bestel­lungen oder Onlinedating sollen ohne gesicherte Identifikation möglich bleiben. Ebenso wenig wäre die E-­ID ein Reiseausweis.

Für was braucht es denn die E-ID?
Überall dort, wo es heute schon eine gesicherte Identifikation braucht, etwa beim E­Banking, bei der Steu­ ererklärung oder Auskünften aus dem Strafregister gäbe es künftig ein vertrauenswürdiges Log­in. Die zur Identifikation notwendigen Personendaten würden vom Staat an einen von ihm zugelassenen Provider geliefert. Dieser dürfte diese Daten nicht weitergeben.

Aber Banken zum Beispiel verfügen doch für das E-Banking bereits über besondere Sicherungen – bis hin zur App mit Gesichtserkennung?
Das ist genau der Punkt: Jede Bank, jedes Unternehmen, jede Verwal­tung, die auf ein vertrauenswürdi­ges Log­in angewiesen ist, braucht heute eine eigene Lösung. Die E-­ID hingegen brächte nicht nur eine Vereinfachung, sondern eine gesetzliche Standardisierung der technischen Sicherheit und des Datenschutzes.

Später auch für das elektronische Abstimmen, das E-Voting oder für das Patientendossier?
Nicht nur. Auch Datenschutz­aus­künfte würden verbessert. Polizei und Verwaltung geben heute auf­ grund von oft schlechten Ausweis­ Fotokopien bekannt, welche per­ sönlichen Daten sie über einen sammeln. Da besteht ein hohes Risiko, dass höchst sensible Daten an die falsche Person gelangen.

Das E-ID-Gesetz würde Datenmissbrauch verhindern und nicht fördern

Verstehen Sie, dass es für einen Teil der Bevölkerung gerade deshalb beunruhigend ist, wenn nicht der Staat, sondern private Firmengruppen die E-ID herausgeben könnten?
Natürlich verstehe ich das. Aber nochmals: Nur der Staat würde die Daten liefern. Private ID-Provider müssten staatlich zugelassen werden und dürften die Daten nur für die Ausstellung der E-ID verwenden. Die Weitergabe der Daten an Dritte oder der Verkauf wären verboten. Die Lösung gemeinsam mit Privaten, so wie es National- und Ständerat jetzt favorisieren, hat weiter den Vorteil, dass sich die Privaten darauf einlassen, ein E-ID-System zu finanzieren und zu betreiben. Und zwar eines, für das der Staat die Vorgaben macht.

Zumal frühere rein staatliche Anläufe wie die Suisse-ID ein Flop waren?
Ja. Aber vor allem, weil die privaten Onlinedienstleister wie in der SwissSign-Gruppe – Post, Swisscom, Versicherungen, Banken und andere – auch sagen könnten, wir machen das ohne Staat.

Was wäre dann?
Das könnte den Staat zwingen, für den Zugang zu seinen Online­diensten eine rein private E-ID anerkennen zu müssen, die weniger Datenschutz und einen geringeren staatlichen Einfluss vorsähe. Und wenn auch eine solche rein private Lösung scheitern würde, dann müsste die Schweiz dereinst vielleicht auf ausländische Identi­fikationen zurückgreifen wie zum Beispiel die Apple- oder Google-ID.

Das Horrorszenario für den Datenschutzbeauftragten!
Ohne E-ID-Gesetz wäre es schwierig, diese ausländischen ID-Provider zu verpflichten, Identifikations- und Nutzerdaten streng zu trennen, nach sechs Monaten zu löschen. Oder zu verhindern, dass sie für andere Zwecke verwendet, Dritten weitergegeben oder gar verkauft würden.

Genau diese Befürchtung besteht – zumindest laut einer Umfrage – bei sehr vielen doch auch gegenüber Schweizer Privaten?
Das neue E-ID-Gesetz würde das ­Befürchtete verhindern. Ich verlange, dass nun die dazugehörende Verordnung rasch ausgearbeitet wird, damit der Bürger volle Transparenz erhält.

Welche Daten würden erfasst?
Es gäbe drei Sicherheitsniveaus. Beim niedrigsten wären es die Nummer, der Name, Vorname und Geburtsdatum. Für das mittlere kämen Geschlecht, Geburtsort und Staatsangehörigkeit hinzu, beim höchsten das Gesichtsbild.

Also alles Daten, die ich zum Beispiel auf USA-Reisen freiwillig und transparent angebe...
Meine Hausbank verwendet die Gesichtserkennung längst. Viele Private haben heute das Vertrauen ihrer Kunden, obschon sie sehr sensible Daten über sie bearbeiten. Nicht nur der Staat, auch die Wirtschaft kann Vertrauen erarbeiten – oder verspielen.

Steckt hinter der Skepsis gegenüber Privaten die Angst vor Datendiebstählen oder mehr Hackerangriffen?
Diese Risiken werden durch die Kritiker der E-ID zu Recht erwähnt. Sie sind realistisch und brand­gefährlich: Einerseits könnte es zu Missachtungen der rechtlichen Bedingungen kommen – fahrlässig oder vorsätzlich. Andererseits könnte mangelnde technische Sicherheit zu einem unbeabsichtigten Datenverlust führen.

Trotz dieser Risiken stehen Sie voll hinter einer halbprivaten E-ID?
Ich stehe hinter meiner Aussage, dass man dieses Modell daten­gesetzkonform ausgestalten kann. ­Risikoangst hilft nicht weiter. Ich verlange von den Providern, dass sie konkrete Massnahmen gegen die Gefahren aufzeigen.

Hätten Sie bei der Aufsicht ein Mit­spracherecht oder nur die E-ID-Kommission, die vom Bundesrat gewählt würde?
Mit der Schaffung der E-ID-Kommission will die Politik zeigen, dass man die staatliche Kontrolle sehr ernst nimmt und dass ein gewichtig zusammengesetztes, unabhängiges Expertengremium die staatliche Zulassung verantwortet. Aber sie ersetzt meine Stelle nicht. Als Datenschutzbeauftragter überwache ich, dass die Provider die rechtlichen Vorgaben ein­halten.

Und was passiert mit denen, die auf eine E-ID pfeifen?
Jeder Bürger könnte nach wie vor Dienstleistungen auf herkömmlichem Weg beziehen. Wer behauptet, man könne aus dem E-ID-­Gesetz neue Identifikationspflichten herleiten, sollte es nochmals in Ruhe lesen.