Bundesgesetz über elektronische Identifizierungsdienste: ein kleines Ja, aber ein JA!

Selten hat ein so technisches Thema wie die Abstimmung am 7. März 2010 so viele – oft negative – Positionen in der Medienlandschaft hervorgerufen, sei es in der Presse oder in sozialen Netzwerken.


Ein Argument sticht oft hervor: das der staatlichen Souveränität. Wie kann der Bund es wagen, seine Rolle aufzugeben und sich auf eine private Einrichtung zu verlassen, um unsere Identität zu „verwalten“? In einer Zeit, in der sie häufig zur Meinungsbeeinflussung eingesetzt wird, ist Angst leider oft ein schlechter Ratgeber. Der vorliegende Fall ist keine Ausnahme von der Regel.


Es ist naiv zu glauben, dass die IT-Infrastruktur, auf der die öffentliche Verwaltung heute weitgehend aufbaut, das Ergebnis verwaltungsinterner Entwicklungen ist.


Um ein Beispiel zu nennen: Im Januar dieses Jahres unterzeichnete der Bund einen Vertrag, mit dem er insbesondere die SAP (Suisse) SA mit der Verwaltung seiner Humanressourcen betraute und damit die Auszahlung der Gehälter und die eventuelle Verarbeitung sensibler Daten (wie Mutterschafts- oder Krankheitsurlaub) von mehreren tausend Bundesbeamten für zehn Jahre und mehr als 130 Millionen Schweizer Franken einem privaten Unternehmen überließ. Machen das die Kantone nicht auch? Die Realität ist, dass die öffentlichen Behörden einfach nicht die Ressourcen haben, weder personell noch finanziell, um die notwendigen Lösungen zu entwickeln. Der Rückgriff auf private Anbieter ist oft die Gewissheit, von Standardlösungen, von den Entwicklungen der Anbieter, die aus der Erfahrung mit Hunderten oder gar Tausenden von Kunden stammen, und von kompetentem Support profitieren zu können. Den Menschen etwas anderes weismachen zu wollen, ist gleichbedeutend mit dem Versuch, sie zu täuschen. Die nordischen Länder haben nicht gezögert, ihr elektronisches Identitätsmanagement an private Unternehmen auszulagern, und meines Wissens ist es dabei noch nie zu einem Skandal gekommen.


Die prinzipielle Zulässigkeit einer solchen Auslagerung bedeutet freilich noch nicht, dass sie in jedem Fall sinnvoll ist. Um dies mit gutem Gewissen beurteilen zu können, muss man sich noch die Zeit nehmen, die zur Abstimmung vorgelegte Vorlage und die dazugehörige Botschaft des Bundesrates sorgfältig zu lesen. Doch was ergibt sich daraus?


Zunächst einmal die Tatsache, dass die Nutzung der e-ID nicht zu einem Pflichtinstrument für die Bürger werden soll, sondern nur mit deren Zustimmung, sowohl bei der Erstellung der e-ID als auch bei der ersten Nutzung. Mit anderen Worten: Es steht jedem frei, diese Alternative zu wählen oder nicht. Es wird eingewendet, dass die Verwendung der e-ID schnell von privaten Anbietern bei Transaktionen verlangt werden könnte und somit die Verwendung der e-ID in der Praxis verpflichtend wird. Ohne ein Wahrsager zu sein, habe ich noch nie ein Geschäft gesehen, das seine Kunden zwingt, mit der Kreditkarte zu bezahlen und die Zahlung mit Bargeld verweigert… Es ist daher schwer zu glauben, dass sich die e-ID als einziges mögliches Identifikationsmittel durchsetzen wird.


Zweitens die Tatsache, dass die Daten, die von privaten Akteuren (die als „Identitätsanbieter“ bezeichnet werden) verarbeitet werden, begrenzt sein werden, da sie je nach gewünschtem Identifizierungsgrad mit den folgenden Daten umgehen werden: (1) die e-ID Registrierungsnummer, Name und Vorname und Geburtsdatum (niedrig); (2) Geschlecht, Geburtsort und Nationalität (hoch), (3) ein Foto (hoch). Ist das alles? Ja…unter dem Vorbehalt, dass die e-ID-Nutzungsdaten alle sechs Monate gelöscht werden.


Es ist daher überraschend, den Aufschrei in den Medien zu sehen, wenn man bedenkt, wie viele Daten von privaten Akteuren in unserem täglichen Leben verarbeitet werden, wie z. B. von Kreditkartenherausgebern oder den verschiedenen Websites, die die Erstellung eines Kontos oder eines Profils erfordern, die sich alle nicht scheuen, ihre Daten weiterzugeben, ohne dass diese Entitäten in irgendeiner Weise kontrolliert werden und ohne dass es zu irgendeiner Empörung kommt. Der Cambridge-Analytica-Skandal, unter dem Facebook Inc. im Jahr 2018 zu leiden hatte, hat den Aktienkurs jedoch nicht daran gehindert, über die Jahre hinweg zu steigen.


Im Gegensatz zu diesen Beispielen sieht das Bundesgesetz über elektronische Identifizierungsdienste solche Kontrollen vor. Als Beispiel sei hier unter anderem die Tatsache genannt, dass : (1) die Daten müssen in der Schweiz bearbeitet werden; (2) der Identitätsanbieter muss im Handelsregister eingetragen sein (und damit einen Sitz in der Schweiz haben); (3) die Daten dürfen nur zu Identifikationszwecken verwendet werden, unter Ausschluss von Marketing oder Kommunikation an andere Dritte; (4) die mit den Nutzern abgeschlossenen Verträge müssen vom Eidgenössischen Datenschutzbeauftragten geprüft werden; (5) die Akkreditierung muss alle drei Jahre überprüft werden; und (6) technische und organisatorische Massnahmen müssen vom Bund auferlegt werden.


Solche Anforderungen sind natürlich willkommen. Zugegeben, nicht alles ist perfekt. So werden z.B. die technischen und organisatorischen Maßnahmen, d.h. die Sicherheitsanforderungen, Normen und Bedingungen für die Interoperabilität, Gegenstand von Verordnungen des Bundesrates sein. Da diese Verordnungen nicht erlassen werden und somit nicht zur Abstimmung stehen, muss über sie abgestimmt werden, ohne ihren Inhalt zu kennen. Während die Gesetzgebungstechnik verständlich ist, ist es bedauerlich, dass ein Text zur Abstimmung gestellt wird, wenn die grundlegenden Punkte des Textes tatsächlich auf der Ebene von Verordnungen geregelt sind.


Es ist alles eine Frage des Vertrauens. Das im Gesetzentwurf vorgesehene System entspricht dem System, das auf EU-Ebene durch die Verordnung 910/2014 über die elektronische Identifizierung, die sogenannte eIDAS-Verordnung, eingeführt wurde, sowie dem vom National Institute of Standards and Technology (NIST) in den Vereinigten Staaten vorgesehenen System. Man kann mit Fug und Recht annehmen, dass der Bund sich dann von den im Ausland auferlegten Anforderungen inspirieren lassen kann, um einen eigenen Rahmen in diesem Bereich zu schaffen (z.B. ANSSI für Frankreich). Erfahrungsreich sind auch die Rahmenbedingungen für die elektronische Patientenakte, die ebenfalls sensibler ist, was die darin enthaltenen Daten angeht.


Ein weiteres Fragezeichen ist das der Kosten, da diese Identitätsanbieter ihre Dienste den Nutzern, die e-ID verwenden möchten, in Rechnung stellen könnten. Der Entwurf sieht jedoch bereits gewisse Abstriche vor, indem er betont, dass der oder die Akteure als „marktmächtig“ im Sinne des Bundespreisüberwachungsgesetzes gelten und daher bestimmten Grenzen hinsichtlich der Preise unterliegen, die sie festlegen können.


Letztlich scheinen die geäußerten Befürchtungen, auch wenn einige Punkte noch zu klären sind, weitgehend unbegründet zu sein, wenn man einen Schritt zurücktritt. Es gibt nur eine wirkliche Befürchtung: dass die Schweiz, die Jahr für Jahr als Spitzenreiter in der Innovationsrangliste gepriesen wird, bei der Digitalisierung immer weiter zurückfallen wird. Wägt man das Für und Wider ab, gibt es keinen Raum für Zweifel: Es ist in der Tat ein kleines, aber zuversichtliches JA, das an diesem Wochenende in die Wahlurne gelegt wird.

Haben Sie Fragen zu den in diesem Artikel behandelten Themen?

Neueste Nachrichten von Wilhelm Gilliéron Avocats

Visuel LinkedIn Wilhelm-2024 (1)
Daten und Datenschutz
Personalisierung von Produkten und Markenrecht: Verletzen oder nicht verletzen?
Visuel LinkedIn
Mitteilungen
Wir gratulieren unserer Anwaltspraktikantin Léa Wyssbrod herzlich zum Erhalt ihres Anwaltspatents.
Visuel LinkedIn
Mitteilungen
IDIAP Symposium : Künstliche Intelligenz und Demokratie

À propos de l’auteur

Avocat à Lausanne en droit suisse des affaires - Avocat Lausanne