Soll die AHV-Nr. als Personenidentifikator verwendet werden? Eine Auslegeordnung.

Ein im Oktober erschienenes ETH-Gutachten liefert neue Einsichten rund um die Verwendung der AHV-Nummer als sektorübergreifender Personenidentifikator. Es zeigt Sicherheitslücken im Status Quo auf, die es zu beheben gilt, wenn der Datenschutz sichergestellt werden soll. Um diese Risiken zu beheben, reicht es jedoch nicht aus, zwischen der AHV-Nummer oder einem sektoriellen Personenidentifikator zu entscheiden.

Im Oktober erschienen in der Presse mehrere Meldungen, die die Verwendung der AHV-Nummer zur eindeutigen Identifizierung und den damit einhergehenden Gefahren aus Sicht Datenschutz thematisieren. Anlass dafür gab die Veröffentlichung eines Gutachtens der ETH Zürich [2], das die Risiken der heutigen Verwendung der AHV-Nr. sowie einer Erweiterung deren Nutzung analysiert. Die kantonalen Datenschützer lesen das Gutachten als empirischen Beleg dafür, dass die aktuelle und jede weitere Verwendung der AHV-Nummer als Personenidentifikator den Datenschutz untergräbt und fordern Kantonsregierungen auf, auf die weitere Verwendung der AHV-Nummer als universellen Personenidentifikator zu verzichten. Bei genauerer Betrachtung des Gutachtens wird jedoch ersichtlich, dass dieser Schluss zu kurz greift und die tatsächlichen Gefahren für den Datenschutz übersehen werden.

Sektorieller Personenidentifikator hebt aktuelle Datenschutzrisiken nicht auf
Das ETH-Gutachten erklärt, dass der Einsatz von sektorspezifischen, nicht-sprechenden Identifikatoren das Risiko im Vergleich zur Verwendung eines nicht-sprechenden sektorübergreifenden Identifikators, wie sie die AHV-Nummer ist, minimiert. Es unterstreicht jedoch die Tatsache, dass diese Massnahme in geeigneter Weise umgesetzt werden muss, um ihre Wirkung zu entfalten. Das Gutachten betont, dass die Datenschutzrisiken durch das gemeinsame Aufbewahren von Registerdaten mit Identitätsattributen auch weiterbestehen würden, wenn lediglich die AHV-Nummer durch einen sektoriellen Personenidentifikator ersetzt wird. Aus ganzheitlicher Betrachtung ist also die Forderung der kantonalen Datenschutzbeauftragten nach einem sektoriellen Personenidentifikator nicht falsch. Sie ist jedoch, als alleinstehende Massnahme, nicht diejenige Massnahme, die die heutigen Datenschutzrisiken in wesentlichem Masse reduzieren wird.

Ein System mit sektoriellen Personenidentifikatoren kostet jährlich sieben Mal mehr
Zudem verweist das ETH-Gutachten darauf, dass die Wahl des Personenidentifikators auch von Kosten- und Effizienzüberlegungen geleitet sein sollte. Diese Aspekte bedürfen einer genauen Prüfung, wurden im betroffenen Gutachten jedoch nicht untersucht. Abhilfe schafft eine Analyse des E-Government-Instituts der Berner Fachhochschule. Die Analyse geht der Frage nach, wie hoch die Kosten für die Schweiz ausfallen, wenn die AHV-Nummer als sektorübergreifender Identifikator verwendet wird, und wie hoch sie für ein System mit sektoriellen, von der AHV-Nummer abgeleiteten Personenidentifikatoren ausfallen würden. Die Berechnungen beruhen auf Kostenmodellen, die auf Basis von Szenarien gebildet wurden und stützen sich auf effektive Ausgaben für den Aufbau und den Betrieb der UPI-Datenbank der Zentralen Ausgleichsstelle ZAS. Die Analyse kommt zum Ergebnis, dass die Eindeutigkeit der Personenidentifikation in Schweizer Behördenabläufen am kostengünstigsten damit sicherzustellen ist, indem Behörden ermächtigt werden, die AHVN13 systematisch als Personenidentifikator zu verwenden. Dieser Weg fällt im jährlichen Betrieb sogar um ein dreifaches günstiger aus, als wenn die Schweiz gänzlich auf einen nationalen Personenidentifikator verzichten würde. Ein System mit sektoriellen Personenidentifikatoren hätte mit ca. 21 Millionen jährlichen Betriebskosten sowie mit ca. 268 Millionen Initialkosten zu rechnen. Dabei sind die Identifikationskosten für jede natürliche Person pro Nummer nicht eingerechnet. Im Vergleich zu einem System, in dem die AHV-Nummer als nationaler Personenidentifikator für Behörden aller Ebenen verwendet wird, fallen hier die Kosten initial um das 2.5-fache und jährlich um das Siebenfache höher an [1].

AHV-Nummer oder nicht AHV-Nummer?
Werden also Kostenbetrachtungen berücksichtigt, so müsste sich die Schweiz klar für die Erweiterung der systematischen Verwendung der AHV-Nummer entscheiden. Der Bundesrat hat bereits Schritte in diese Richtung unternommen und das EDI mit der Vorbereitung der nötigen Gesetze beauftragt, die Behörden von Bund, Kantonen und Gemeinden generell zur systematischen Verwendung der AHVN13 im Rahmen ihrer gesetzlichen Aufgaben ermächtigt. Die Vernehmlassung dazu ist in nächster Zeit zu erwarten, wurde sie doch für das letzte Quartal 2017 geplant.

Die von der Risikoanalyse der ETH hervorgebrachten Punkte weisen jedoch auf konkrete Sicherheitslücken im heutigen System hin, die es anzugehen gilt. Werden diese Sicherheitslücken nicht behoben, so wird die Erweiterung der systematischen Nutzung der AHV-Nummer als Personenidentifikator auf zusätzliche Bereiche das Datenschutzrisiko erhöhen. Werden diese Lücken jedoch nicht behoben, so wird auch der Verzicht auf die systematische Verwendung der AHV-Nummer das Datenschutzrisiko nur minim reduzieren. Auch das Ersetzen der AHV-Nummer mit einem sektoriellen Identifikator vermag die Risiken nicht substanziell zu verringern. Die Frage, die es zu stellen gilt lautet demnach: Welche Massnahmen sind erforderlich, um die Datenschutzrisiken zu minimieren?

Identitätsdaten von anderen Daten entkoppeln
Das ETH-Gutachten beschreibt ein System als besonders datenschutzfreundlich, wenn darin administrative und organisationale Daten von Identitätsdaten voneinander entkoppelt geführt werden. Als Identitätsdaten verstanden werden jedoch nicht nur eindeutige Personenidentifikatoren, sondern alle Attribute, die Informationen zur Identität einer Person beinhalten, wie z. B. Name, Geburtsdatum oder aber auch Vorname der Eltern. Eine Identifikation von Personen ist also auch unter Verwendung dieser Attribute möglich, nur nicht immer eindeutig. Durch die Kombination verschiedener Identitätsattribute ist jedoch auch ohne Personenidentifikator eine eindeutige Identifikation möglich. Diese «Quasi-Identifikatoren» können mittels einer Kombination von verschiedenen Identitätsattributen gebildet werden. So bildet z. B. die Kombination von Vorname, Name und Geburtsdatum ein Quasi-Identifikator, der mehr als 99.98% der Personen in der Schweiz zu identifizieren vermag. 75.89% der Personen können anhand der Kombination von Namen und Vornamen eindeutig identifiziert werden. Je mehr Identitätsattribute in einem System geführt werden, umso mehr steigt die Wahrscheinlichkeit, damit einen Quasi-Identifikator bilden zu können. Um den Datenschutz zu gewährleisten, ist das reine Verhindern einer zusätzlichen Anreihung der AHV-Nummer an bereits im System geführte Identitätsattribute deshalb nicht hinreichend.

Daten reorganisieren und verteilt speichern
Die Reorganisation der Daten und deren verteilte Speicherung wird im Gutachten mehrmals als Voraussetzung für den Datenschutz genannt. Solange Angaben z.B. zu einer begangenen Strafe einer Person X im selben System gespeichert werden, wie auch die Angaben der tatsächlichen Identität der Person X, ist der Datenschutz gefährdet. Diese Gefährdung liegt auch vor, wenn in den gespeicherten Identitätsattributen die AHV-Nummer nicht vorkommt. Die getrennte Speicherung von Identitätsattributen und administrativen Daten, und der angemessene Schutz der Verknüpfungstabellen, die die Verknüpfung der administrativen Datensätze mit den entsprechenden Identitätsdaten sicherstellt, wird demnach als Schlüsselmassnahme gesehen, die den Datenschutz, in heutigen Systemen stark zu verbessern vermag.

Weitere zu behebende Mängel im Status quo
Im Gutachten stellt Prof. Basin fest, dass der Bund an ihre eigenen Systeme höhere Sicherheitsanforderungen stellt als an Systeme ausserhalb der Bundesverwaltung, die die AHV-Nummer führen. So wird in der Tendenz die Sicherheit der Systeme auf Kantons- oder Gemeindeebene, wie z. B. bei Schulen oder Spitälern als niedriger eingestuft als bei Systemen innerhalb der Bundesverwaltung. Nichts destotrotz empfiehlt er die Erhöhung der Sicherheitsanforderungen sowohl für die Systeme ausserhalb wie auch innerhalb der Bundesverwaltung.
Letztlich weist das ETH-Gutachten darauf hin, dass Datenschutz nur dann gewährleistet werden kann, wenn ein System sicher ist und der Zugang zu Daten kontrolliert abläuft. Eine hundertprozentige Sicherheit gibt es jedoch nicht, und mit Cyberangriffen ist auch zu rechnen, wenn ein System nach dem neuesten und höchsten Sicherheitsstandard geschützt wird. Daraus kann gefolgert werden, dass unabhängig davon, ob ein System die AHV-Nummer mitführt oder nicht, es immer notwendig ist, ein Massnahmenplan für den Fall eines Cyberangriffs zu entwickeln.

Weckruf an Politik und Verwaltung
Das ETH-Gutachten zeigt deutliche Mängel im Bereich Datenschutz auf, die es dringend zu beheben gibt. Diese Mängel lassen sich nicht durch die Diskussion über sektorielle oder universelle Personenidentifikatoren lösen, sondern bedürfen einer grundlegenden Diskussion darüber, welche Identitätsdaten der Staat überhaupt erhebt, wo sie gespeichert werden und wer sie bearbeiten und darauf zugreifen darf und zu welchem Zweck. Es ist an der Zeit, dass die Diskussion rund um die eindeutige Identifikation von Personen in den IT-Systemen der öffentlichen Verwaltungen sich wegbewegt von der Frage sektorieller oder sektorübergreifender Identifikator und eher Antworten auf die Frage liefert: Wie kann der Datenschutz von Personen sichergestellt werden, die bereits mittels Namen und Vornamen eindeutig identifizierbar sind?
Wir können hierfür von den Erfahrungen anderer Länder lernen. In Dänemark empfiehlt der Rat der Digitalen Sicherheit die Nummer nicht zur Online-Authentifikation von Personen zuzulassen und die Möglichkeit, einmal vergebene Nummern z.B. nach einem Identitätsdiebstahl, zu wechseln [3].


Referenzen
[1] Dungga, Angelina und Andreas Spichiger: Personenidentifikatoren. Analyse der gesamtschweizerischen Kosten. In: Stember, Jürgen / Eixelsberger, Wolfgang / Spichiger, Andreas (Hrsg.) 2017: Wirkungen von E-Government. Neue Strategien, Instrumente und Beispiele für die wirkungsgesteuerte und technikinduzierte Verwaltungsreform. Wiesbaden: Springer Gabler.

[2] Basin, David 2017: Risk Analysis on Different Usages of the Swiss AHV Number. Evaluation on behalf of the Federal Office of Justice and the Federal Data Protection and Information Commissioner. Zurich: ETH, Department of Computer Science, Information Security Group. Online: https://www.edoeb.admin.ch/datenschutz/00786/00946/index.html?lang=de

[3] Brian, Oliver, Jérôme Brugger, Angelina Dungga, Esther Hefti, Thomas Selzam, Andreas Spichiger, Katinka Weissenfeld 2015: AHV-Nummer als einheitlicher, organisations-übergreifender Personenidentifikator. Gutachten. URL: https://www.egovernment.ch/index.php/download_file/force/265/3343/

[4] Der Bundesrat 2017: Breitere Verwendung der AHV-Nummer. Medienmitteilung vom 1.02.2017. https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-65458.html

AUTOR/AUTORIN: Angelina Dungga

Angelina Dungga ist wissenschaftliche Mitarbeiterin am Institut Public Sector Transformation der BFH Wirtschaft. Sie forscht über digitale Infrastrukturen, elektronische Identität und die Zugänglichkeit öffentlicher Dienste.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.