Eine Vielzahl von Anwendungen im Internet setzen eine Identifikation der BenutzerInnen voraus. Meist ist eine E-Mail-Adresse ausreichend. Oft wäre nicht mal diese – um z.B. im Online-Shop ein Buch zu bestellen – tatsächlich nötig.
In anderen Bereichen ist eine Ausweispflicht, die auf einer staatlichen Beglaubigung beruht, und/oder eine (elektronische) Unterschrift zwingend vorgeschrieben; sei dies bei der Eröffnung eines Bankkontos, dem Abschluss eines Miet- oder Mobilfunkvertrags. Zudem mangelt es an eigentlich überfälligen E-Government-Angeboten (wie z.B. für Umzugsmeldungen, der Bestellung eines Strafregisterauszugs, Beantragung einer Handelsregisteränderung, im Bereich E-Health, für Schul-/Universitätsanmeldungen, Initiativen und Petitionen etc.), weil eine einheitliche, rechtlich bindende Identifizierungsmöglichkeit im Internet zur Zeit fehlt.
Der Bundesrat plant hierzu ein neues Bundesgesetz über anerkannte elektronische Identifizierungseinheiten (E-ID-Gesetz). Er schlägt vor, die staatliche elektronische Identifikation an private Unternehmen und Organisationen auszulagern, welche für diese Aufgabe zertifiziert werden. Zudem möchte er eine E-ID über einen Anwendungsbereich schaffen, der vom Online-Shop über den Zugang zu Transportangeboten, bis zu Rechtsgeschäften und E-Government reicht – und dies gleich EU-weit. Mit diesen beiden Stossrichtungen drohen sich die Fehler aus dem Bundesgesetz über die elektronische Signatur (ZertES) zu wiederholen.
Wir lehnen den Vorschlag ab, weil die Ausgabe von Identifikationsdokumenten eine wichtige Staatsaufgabe ist. Identifikationspapiere und elektronische Entsprechungen sind ein Bedürfnis der Bürgerinnen und Bürger in der heutigen Zeit. Die Gesetzesvorlage ersetzt den politischen Prozess, welcher die verschiedenen Interessen der Bürgerinnen und Bürger abzubilden vermag, durch eine blosse Überprüfung der Rechtskonformität der von der Wirtschaft – nach ihren Interessen – ausgestalteten Lösungen.
Überlegungen
[1] Der Identitätsnachweis und die Ausgabe von entsprechenden Ausweisen ist eine zentrale Staatsaufgabe. Dies gilt auch für digitale Ausweise. Es steht dem Bund frei, diese hoheitliche Aufgabe an eine externe Stelle zu vergeben, so wie auch Banknoten von einer externen Firma hergestellt werden. Wird jedoch die Initiative und die Ausgestaltung der E-ID Privaten überlassen, werden deren kommerziellen Überlegungen anstatt die Interessen der BürgerInnen und Bürger beim Aufbau dieses neuen Systems im Vordergrund stehen.
[2] Damit Private ihre Dienste auf dem staatlichen digitalen Identitätsnachweis aufbauen können, müssen die verwendeten Verfahren auf offenen Standards sowie die auf Benutzerseite verwendeten Software und Treiber auf quelloffener Software basieren.
[3] Wie es die Vorstösse von Post und SBB mit der SwissID sowie Swisscom, UBS und Crédit Suisse zeigen, benötigt die Privatwirtschaft kein dezidiertes E-ID-Gesetz als Grundlage für ihre E-Commerce-Anwendungen. Mit der Einführung eines solchen Gesetzes würden selbst für einfache, rechtlich weniger relevante Identifikationen sensible Daten erhoben – und nun auch automatisch und firmenübergreifend ausgetauscht. Dies verschafft den Anbieterinnen die Möglichkeit detaillierte Persönlichkeitsprofile über die NutzerInnen anzulegen. Ein griffiges Datenschutzrecht sowie die Möglichkeit, solche Angebote auch ohne SwissID wahrnehmen zu können, sind deshalb nötig. Es ist darüber hinaus nicht schlüssig, warum bestehende Lösungen bei Online-Diensten durch die vergleichsweise komplexe Nutzung der E-ID ersetzt werden soll.
[4] Die Personen, welche eine E-ID benutzen, müssen die Kontrolle darüber behalten, welche Informationen zu welchem Zeitpunkt an eine identifizierende Stelle gesendet werden. So kann es allenfalls nur nötig sein, ein Alter über 16 Jahr zu bestätigen. Eine weiterführende Identifikation widerspricht dem Grundprinzip der Datensparsamkeit («Privacy by Default» und «Privacy by Design»).
[5] Für den Vorgang der Bestätigung von Identifikationsmerkmalen im Sinne des E-ID-Gesetzes braucht es nur eine beglaubigte Bestätigung, wie weiter unten beschrieben. Hierzu wird weder eine zusätzliche, eindeutige E-ID-Nummer noch ein neues, zentrales E-ID-Register benötigt.
[6] Nicht nur das Vertrauen in die Ausgabestelle ist von grosser Bedeutung, auch die Verhinderung von Identitätsdiebstahl muss verlässlich sichergestellt sein. Wie es das Bundesgesetz über die elektronische Signatur (ZertES) vorsieht, ist dazu eine Hardware-Lösung (Smartcard) zu verwenden. Hierzu drängt sich die bereits vorhandene Identitätskarte gerade zu auf, um darauf auf Wunsch der betroffenen Person ein entsprechendes Schlüsselpaar mit Zertifikat abzulegen.
[7] Im Unterschied zu Art. 8 Abs. 2 ZertES soll das Zertifikat das Schlüsselmaterial auch für die Verwendung zur Verschlüsselung freigeben. Damit würde das Grundproblem des vertraulichen und sicheren Schlüsselaustauschs bei der Kommunikationsverschlüsselung gelöst.
[8] Auf die Verwendung von biometrischen Merkmale, wie es der Vorentwurf zum E-ID-Gesetz – notabene auf als unsicher zu betrachtenden End-Benutzer-Geräten – vorsieht, muss hingegen verzichtet werden. Anders als beim Einsatz von oben beschriebenen Smartcards können biometrische Merkmale bei Fälschung oder Entwendung naturgemäss nicht zurückgezogen und ersetzt werden. Solch sensible Daten dürfen insbesondere auch nicht durch Dritte in zentralen Datenbanken bearbeitet werden (dürfen).
[9] Wie der Bundesrat im erläuternden Bericht zu Recht schreibt, stellt der Bund in der physischen Welt bereits heute konventionelle Identifizierungsmittel aus, nämlich Schweizer Pass, Identitätskarte und Ausländerausweis. Ergänzend dazu soll die Identität einer natürlichen Person nun auch elektronisch nachgewiesen werden können. Als Gesetzesgrundlage ist kein neues E-ID-Gesetz nötig – es kann das bestehende Ausweisgesetz herangezogen werden:
Art. 2 Abs. 2quater AwG: Der Ausweis kann zudem elektronische Identitäten für Authentisierungs-, Signatur- und Verschlüsselungsfunktionen enthalten.
Schlussfolgerung
Die Digitale Gesellschaft erachtet die Richtung, welche der Bundesrat vorgibt, als grundlegend falsch. Aus den dargelegten Gründen lehnen wir den Vorschlag in der vorliegenden Form vollumfänglich ab. Es scheint, als ob der Blick auf das Wesentliche verloren gegangen ist.
Die Digitalisierung schreitet voran, und auch wir sehen den Bedarf einer benutzbaren und vertrauenswürdige elektronische Identität (wie auch Unterschrift). Dies ist vom Bund in seiner staatshoheitlichen Aufgabe an die Hand zu nehmen. Das Ausweisgesetz kann hierzu als Grundlage dienen. Eine E-ID muss jedoch den Bürgerinnen und Bürger dienen. Das Recht auf Privatsphäre – gerade im Internet – muss gestärkt und darf nicht weiter ausgehöhlt werden.