«Wie kann der Staat die Cybersicherheit gewährleisten?»
Warum die mangelnde digitale Kompetenz des Staates zu einem Kontrollverlust führen kann und warum Min Li Marti die Schaffhauser E-ID gut findet, erläutert die Nationalrätin der SP im Interview mit Societybyte-Herausgeber Dr. Reinhard Riedl.
Societybyte: Braucht die Schweiz eine staatlich anerkannte E-ID?
Min Li Marti: Ja. Ich sehe den Nutzen vor allem bei den Behördengängen. Hier können Dienstleistungen für die Bevölkerung digital eine Vereinfachung und einen Mehrwert bringen. Ich denke aber auch, dass es einen Nutzen im übrigen Bereich gibt wie beispielsweise beim E-Banking. Einen wirklichen Mehrwert brächte sie allerdings, wenn sie tatsächlich konsequent als digitaler Ausweis gedacht wäre, wie dies beispielsweise in Estland der Fall ist.
Macht es Sinn, diese E-ID in drei Qualitätsstufen auszugeben?
Ja, im Prinzip schon. Es wird sich aber zeigen, welche Sicherheitsstufen wirklich auch nachgefragt werden.
Ein zentraler Diskussionspunkt ist die Frage, wer die E-IDs ausgeben soll. Welche Eigenschaften sollten Unternehmen oder Institutionen aus Ihrer Sicht erfüllen, die eine staatlich anerkannte E-ID ausgeben?
Die Herausgabe eines Ausweises, die Verwaltung der Identität ist eine klar hoheitliche Aufgabe. Sie ist im öffentlichen Interesse und sollte nicht von gewinnorientierten Akteur*innen übernommen werden. Es gibt einen Grund, warum im 19. und 20. Jahrhundert Güter des öffentlichen Dienstes und im Interesse verstaatlicht wurden. Weil Güter des öffentlichen Interesses auch im Sinne des Gemeinwohls eingesetzt und verteilt werden sollen. Der Vergleich mit der physischen ID ist hier durchaus wertvoll. Wer kann sich vorstellen, eine ID am Bankschalter oder der Migros-Kasse zu bestellen? Warum soll das bei einer E-ID anders sein? Das heisst nicht zwingend, dass eine Verwaltungseinheit selbst die Programmierung und Entwicklung übernehmen muss. Es geht um die Verantwortung.
Wenn wir von der Frage Staat oder Privatwirtschaft absehen: Sind die rechtlichen, organisatorischen und technischen Vorgaben im Gesetz ausreichend, um den bestimmungsmässigen Gebrauch von E-IDs sicherzustellen und den Missbrauch zu unterbinden?
Es gibt zwei wesentliche Probleme innerhalb des Gesetzes: Zum einen ist die Beweislast beim Missbrauch bei den Inhaber*innen der E-ID, womit ihnen eine sehr grosse Verantwortung aufgebürdet wird. Gibt es einen Identitätsdiebstahl sind am Schluss die Inhaber*innen doppelt beschissen: Zum einen wird ihre Identität missbraucht und zum andern haften sie noch dafür.
Das zweite Problem ist die Frage der Nutzungsdaten. Die E-ID ist hier nicht nach dem Grundsatz «Privacy-by-Design» konzipiert. Sie ist nicht dezentral oder datensparsam aufgebaut. Es werden Nutzungsdaten gesammelt, zentral gespeichert und sechs Monate aufbewahrt. Nun ist gesetzlich vorgesehen, dass die Daten separat aufbewahrt werden und nicht weitergegeben werden dürfen. Warum soll man sie dann sechs Monate speichern?
Wird der Missbrauch von Nutzerdaten durch das vorliegende Gesetz ausreichend verhindert?
Das ist im Gesetz nicht ausreichend geregelt, sprengt aber vermutlich auch den gesetzgeberischen Rahmen.
Wird die Einführung der E-ID ohne Begleitmassnahmen, wie sie Dänemark und andere Staaten vorgesehen haben, erfolgreich sein?
Das kommt natürlich auf den Einsatz an. So wie es aussieht, kommt mit dem Konsortium SwissSign ein IDP auf dem Markt, dem alle wesentlichen Player wie Banken, Versicherungen und staatsnahe Betriebe angehören. Diese decken doch relativ viel ab, wenn dazu noch die digitalen Behördengänge kommen und es praktisch keine Alternative zur SwissID geben wird, dann wird sie sich schon durchsetzen. Also wenn man die Steuererklärung online nur noch mit E-ID ausfüllen oder die Postdienstleistungen online nur noch mit E-ID zugänglich sind, dann bestehen – mindestens, wenn man Online-Dienstleistungen benützen will – faktisch kaum Alternativen zur E-ID. Man kann dann sonst noch an den Schalter, aber das wird ja überall abgebaut.
Welche negativen Folgen hätte neben den von Ihnen geschilderten Problemen die Annahme des E-ID-Gesetzes?
Für mich ist die zentrale Frage die Rolle des Staates und der öffentlichen Hand in der Digitalisierung, im digitalen Service Public und in der digitalen Demokratie. Wenn die Antwort des Staates auf jede neue digitale Herausforderung ist, dass er überfordert und inkompetent ist, dann führt dies noch mehr zur totalen Privatisierung und Kommerzialisierung aller öffentlichen Dienstleistungen im digitalen Raum. Das kann potenziell gefährliche Folgen haben, beispielsweise im Bereich der Gesundheitsdaten.
Das ist eine Selbstaufgabe des Staates und potenziell gefährlich. Bereits jetzt sind wir in Vielem der Macht der Plattform- und Tech-Giganten ausgeliefert. Es braucht dazu kluge Regulierung und nicht-gewinnorientierte Alternativen. Das alles kann nicht gemacht werden, wenn der Staat keine Kompetenz hat. Zum zweiten: Wie sollen wir glauben, dass der Staat dann in der Lage ist Cybersicherheit zu gewährleisten, wenn er ja keine Kompetenz hat in digitalen Fragen?
Im Fall einer Ablehnung des E-ID-Gesetzes: wie sollte es dann weitergehen?
Der Bundesrat oder das Parlament können sehr schnell eine öffentliche Lösung aufgleisen, zum Beispiel nach dem Modell der Schaffhauser E-ID, die eine E-ID der öffentlichen Hand ist und dezentral und datensparsam konzipiert ist.
In die Zukunft gedacht: Sollte die Schweiz langfristig anstreben – unabhängig von Annahme oder Ablehnung des E-ID Gesetzes – Teil des einheitlichen europäischen Identitätsraums werden, welcher durch die eIDAS-Regulierung geregelt wird?
Das wäre ausgesprochen wünschenswert. Die E-ID ist nämlich weit mehr als ein Login. Dafür braucht es kein Gesetz. Das könnte die Privatwirtschaft ja einfach machen, wenn das so viel Effizienzgewinne gäbe. Die E-ID ist dann interessant, wenn sie tatsächlich immer mehr in Richtung eines digitalen Passes geht, mit dem man auch reisen kann. Ebenfalls wichtig wäre die digitale Signatur, sowohl für Wirtschaft wie auch für direkte Demokratie.
Unsere traditionelle Abschlussfrage: Welche E-IDs wird es langfristig in der Schweiz geben und welche Rolle werden sie spielen?
Das kommt auf den Ausgang der Abstimmung an. Wird sie abgelehnt, gibt es die Chance auf eine gute staatliche Lösung. Wenn nicht, wird sich wohl die SwissSign durchsetzen. Mit allen Nachteilen, die ein privates Monopol mit sich bringt.
Zur Person
Min Li Marti ist Nationalrätin für die SP. Sie Mitglied der vorberatenden Kommission der Rechtskommission. Seit Ende 2014 leitet sie als Verlegerin die linke Wochenzeitung P.S.
Prof. Dr. Reinhard Riedl ist Dozent am Institut Digital Technology Management der BFH Wirtschaft. Er engagiert sich in vielen Organisationen und ist u.a. Vizepräsident des Schweizer E-Government Symposium sowie Mitglied des Steuerungsausschuss von TA-Swiss. Zudem ist er u.a. Vorstandsmitglied von eJustice.ch, Praevenire - Verein zur Optimierung der solidarischen Gesundheitsversorgung (Österreich) und All-acad.com.
Beiträge als RSS
Zitat: «Wer kann sich vorstellen, eine ID am Bankschalter oder der Migros-Kasse zu bestellen».
Niemand. Weil es das auch nie so geben wird.
Diese Frage – auch wenn rhetorisch gemeint- ist sinnlos und zeigt lediglich wie viel Frau Marti Gesetz und das Setting des Real-Betriebs verstanden hat. Nur weil etwas rein formaljuristisch möglich wäre, macht es noch lange keinen wirtschaftlichen Sinn. Es zeigt lediglich, dass die Argumente der Gegner auf wilder Spekulation, Ängsten un Emotionen beruhen sich eigentlich nichts auf eine konkrete Faktenlagen zurückführen lässt.
Vielen Dank für die drei Kommentare.
Sachliche Information: In Dänemark wird auch die neue MitID vom Staat und von Banken ausgegeben.
Zitat: «Gibt es einen Identitätsdiebstahl sind am Schluss die Inhaber*innen doppelt beschissen:»
Nebst der fragwürdigen Wortwahl, hat Frau Marti nicht verstanden, wie im sehr unwahrscheinlichen Fall, dass ein IdP Missbrauch beginge, konkret vorgegangen würde: nämlich in einem geordneten Verfahren, wo im konkret vorliegenden Einzelfall die Sachlage und Schuldfrage geklärt werden wird.
Hierfür ist jeder IdP verpflichtet, eine entsprechende Versicherung abzuschliessen. Das steht übrigens im Gesetz über welches wir abstimmen.
Gem. Frau Marti hätte der Bund – Zitat «gute Chancen» eine eigene E-ID herauszubringen.
Nur leider legt die globale Digitalisierung keinen Marschhalt ein, bis sich eine «Chance» ergibt.
«Chance» heisst weder Gewissheit, nicht mal Plan. Es heisst, dass es VIELLEICHT einmal geschehen wird.
Die SwissID ist heute schon mit 2.5 Mio Registrierten gelebte REALITAET. Was wollen wir da noch mit Chancen?
Wichtig wäre es, diese gelebte Realität mit einem JA weiterhin unter der Führung und Kontrolle des Bundes zu halten. Das sind nicht Chancen, sondern Notwendigkeiten (davon ausgehend, dass es dem Bürger wichtig ist, die E-ID, so wie heute mit der SwissID und der E-ID+ des Kt. Schaffhausen, auch weiterhin vom Bund kontrolliert zu wissen.
Sollte sich herausstellen, das E-ID Nutzer (oder auch Relying Parties) langwierige Prozesse führen müssen, um ihre Unschuld zu beweisen, wenn sie Opfer eines Identitätsdiebstahls werden, dann ist die E-ID Geschichte.