Schweiz
Die E-ID auf dem Durchmarsch. Angeblich nur Vorteile.
Welche Risiken sind zu beachten?
von Philipp Kruse, Rechtsanwalt, LL.M., ABF Schweiz
(25. Oktober 2024) «Die Schweiz will und braucht einen E-ID-Ausweis.» So der Tenor im Bundeshaus. Am 10. September 2024 hat der Ständerat das E-ID Gesetz fast einstimmig angenommen. «Die E-ID ermöglicht den Nachweis der eigenen Identität in der virtuellen Welt. Sie wird mit der Identitätskarte oder mit dem Pass in der physischen Welt vergleichbar sein. Allerdings wird die E-ID die beiden Dokumente nicht ersetzen.» […] Sie wird «den höchsten Anforderungen des Datenschutzes entsprechen.» So Bundesrat Beat Jans am 10. September 2024 im Ständerat.1 Kritische Gegenstimmen sind aktuell nur wenige zu hören. Grund für ABF Schweiz, genauer hinzuschauen.
I. Stand der parlamentarischen Beratungen
Das neue E-ID Gesetz («Bundesgesetz über den elektronischen Identitätsnachweis und andere elektronische Nachweise»)2 wurde am 10. September im Ständerat beraten und mit 43 zu 1 Stimmen klar angenommen. Der Nationalrat hatte bereits in der Frühlingssession für die Einführung der E-ID mit 175 zu 12 Stimmen grünes Licht gegeben. Zu bereinigen bleiben «nur» noch gewisse Differenzen zwischen den beiden Räten zu «Datenschutz- und Cybersicherheitsfragen». Hier wird es spannend werden, wie wir nachfolgend zeigen.
Software und Infrastruktur für die neue E-ID sollen vom EJPD bis Ende dieses Jahres bereitgestellt werden. Dies mit der Vorgabe, dass die E-ID sowohl «einen hohen Schutz der Privatsphäre garantiert als auch international verwendet werden» kann (siehe MM Bundesrat vom 14. Juni).3 Zahlreiche Sicherheitsbedenken sind ungeklärt (s. unten IV.).
Ab 2026 soll die E-ID dann sowohl online als auch im Passbüro kostenlos erhältlich sein. Sie soll freiwillig sein und die heutigen Identitätskarten und Pässe nicht ersetzen.
II. Vorläuferversion des E-ID Gesetzes im 2022 haushoch abgelehnt
Eine Vorläuferversion des E-ID-Gesetzes war in der Referendumsabstimmung vom 7. März 20224 mit 64,4% vom Volk deutlich verworfen worden.
Damals hatte eine breite Allianz von Organisationen und linken Parteien gegen dieses Gesetz mobilisiert. Das allgemeine Misstrauen überwog. Die Kritik der Gegner richtete sich besonders gegen die Tatsache, dass erstmals ein amtlicher Ausweis durch private Anbieter herausgegeben werden sollte. An die Stelle staatlicher Passbüros sollten nun Unternehmen wie Banken und Versicherungen treten, welche ihre Marktmacht missbräuchlich ausnützen würden (Missbräuchliches Horten und Kommerzialisieren von Daten). Ältere Menschen befürchteten zudem, zur E-ID durch private Unternehmen genötigt zu werden (als Voraussetzung für den Bezug von Dienstleitungen und Waren). Des Weiteren herrschten grosse Sicherheitsbedenken vor. ABF Schweiz bezweifelt, dass diese ganz beseitigt sind.
III. Neuauflage des E-ID-Gesetzes
Die Neuauflage des E-ID-Gesetzes soll angeblich alle bisherigen Kritikpunkte beseitigen:
- Die E-ID soll nicht von Privaten herausgegeben werden, sondern von einer Stelle des Bundes (FEDPOL, s. auch Art. 1 I c; 2; 12 E-ID G);
- Die Sicherheit sei ausreichend dadurch gewährleistet, dass die Software-Entwicklung und die Infrastruktur ausschliesslich vom Bund betrieben würden (s. auch Art. 2 und 3 E-ID G);
- Der Datenschutz sei dadurch gewährleistet, dass Nutzer ihre Daten selbst verwalten und diese auf ihrem Handy gespeichert behalten (nicht der Staat oder Dritte; Art. 6; 7 E-ID G);
- Der Bund soll offiziell keinen Einblick in die digitale ID haben und auch nicht erfahren, welche Daten vom Inhaber letztlich genutzt werden. Die Kontrolle sei ausschliesslich beim User (Art. 2 III, IV; 9 II; 16 II E-ID G). Die E-ID soll also offiziell höchsten Massstäben der Sicherheit und des Datenschutzes genügen. Auch sonst soll die neue E-ID nur Vorteile haben:
- Sie sei mehr als nur eine digitale ID. Mit ihr sollen auch weitere Ausweise, Zeugnisse, Urkunden, Fahrausweise und Tickets aller Art abgelegt resp. verknüpft werden können;
- Sie diene als Identifikationsgrundlage beim Bezug von amtlichen Dokumenten und Dienstleistungen sowie von privaten Waren und Dienstleistungen (Art. 23 E-ID G).
- Die auf dieser digitalen ID gespeicherten Informationen sollen von den Nutzern auch selektiv einzeln freigegeben werden können (Art. 9 I E-ID G).
IV. Beurteilung und Kritik «ABF Schweiz»
Der praktische Nutzen einer E-ID ist unbestreitbar. Die Liste der Vorteile klingt gut. Wenn der Bund eine sichere Lösung zur freiwilligen Verwendung wirklich garantieren kann, wäre das wunderbar. Persönliche Daten [inkl. biometrisches Gesichtsbild] müssen aber vor missbräuchlichen Abfragen und Nutzungen durch unbefugte Dritte wirksam geschützt sein. Ob die versprochene Daten-Infrastruktur des Bundes («Basisregister»; «Vertrauensregister») wirklich sicher sein wird, steht aber völlig in den Sternen. Die finale IT-Lösung liegt erst Ende Jahr vor (s. Medienmitteilung vom 14. Juni).5
«Nicht vertrauenswürdig genug»
Ständerat Pirmin Schwander (SZ, SVP) äusserte in der Debatte vom 10. September grundlegende Bedenken zur Sicherheit der E-ID: «Das Volk lehnte den ersten Entwurf aus Sicherheitsüberlegungen und mangelndem Vertrauen ab. [...] Ich [...] staune, dass wir uns bei einer neuen Vorlage zur Frage der Sicherheit zu wenig Gedanken machen.
Die Verfahren, wie sie jetzt angedacht sind, sind meines Erachtens nicht vertrauenswürdig genug, insbesondere in Bezug auf das elektronische Patientendossier oder die Signaturen. Das Online-Identifikationsverfahren ist so, wie es uns präsentiert worden ist, meines Erachtens aus technischer Sicht nicht sicher genug. Das möchte ich Ihnen einfach generell gesagt haben. Die Verfahren sind nicht kompatibel mit eIDAS, und sie führen vor allem zu massenhaften Erfassungen und Speicherungen von biometrischen Daten. All diese vier Punkte veranlassen mich, sehr kritisch hinzuschauen. [...]»
Welche konkreten Gründe gibt es, kritisch hinzuschauen?
Fehlender Schutz der Nutzer vor Marktmacht grosser Konzerne
Die Nutzer dürfen zwar beim Online-Vertragsschluss mittels E-ID selektiv entscheiden, welche einzelnen Daten sie freigeben (Art. 9 II E-ID G). Welche Daten die Nutzer dann aber letztlich effektiv der Vertragspartei übermitteln, bleibt den Kräften des Marktes überlassen. Der Gesetzesentwurf beinhaltet keine Bestimmungen zum Konsumentenschutz vor unnötigen oder missbräuchlich geforderten Informationen («Überidentifikation»). Unternehmen mit grosser Marktmacht (Banken; Versicherungen; Software-Konzerne etc.) können schwächere Kunden ohne weiteres zur Preisgabe privater Daten (inkl. Gesichtserkennung) nötigen und diese dann kommerziell verwerten.
Sicherheitsbedenken von Expertengruppen
Die in diesem Thema seit Jahren politisch aktive «Piratenpartei» weist in einem lesenswerten Beitrag vom 10. September6 auf eine Reihe von konkreten Szenarien hin, welche zu systematischen Eingriffen in die digitale Integrität führen können:
- Bei der Erfassung von biometrischen Daten gab es bereits in der Vergangenheit Sicherheitslücken. Es ist daher nur eine Frage der Zeit, bis auch in der Zukunft unbefugte Dritte auf biometrische Daten zugreifen.
- Grosse Unternehmen und Wirtschaftszweige werden (unter Vorspiegelung eines «berechtigten Interesses») auf dem politischen Weg gesetzliche Ausnahmeregelungen erwirken, um Zugriff auf die E-ID-Daten ihrer Kunden zu erhalten. Für die Nutzung der biometrischen Daten liegen schon konkrete Vorstösse vor:
– Flughäfen und Airlines wollen Gesichtserkennung zur schnelleren Abwicklung nutzen;
– die Konferenz der Kantonalen Justiz- und Polizeidirektoren wollen Sport-Fans damit überwachen;
– Weiter setzen der Nachrichtendienst und diverse Kantonspolizeien ohne Rechtsgrundlage Gesichtserkennungssoftware bereits heute ein;
– fedpol will Gesichtserkennung.
- Die Ausschreibung für das Online-Verifikationsverfahren der E-ID läuft unter Ausschluss jeglicher Kontrolle von Fachpersonen, Parlamentariern, Journalisten oder weiteren interessierten Personen. Sogar die Ausschreibungsunterlagen sind streng geheim (s. Parl. Anfrage Reimann 24.1001).7
Insbesondere EU-Recht
Der Bundesrat will eine E-ID realisieren, welche mit dem EU-Recht kompatibel ist.8,9 Somit ist pro futuro sicherzustellen, dass Eingriffe in die digitale Integrität der Bürger nicht über das EU-Recht möglich werden.
Bereits auf der Basis von geltendem EU-Völkerrecht werden die biometrischen Daten der Schweiz auch mit der EU in der polizeilichen Zusammenarbeit automatisiert abgeglichen. Dies wurde in der sogenannten Prüm-II-Verordnung ausgehandelt (Verordnung «über den automatisierten Datenaustausch für die polizeiliche Zusammenarbeit»).
Grosse Risiken am Horizont: globales Kontrollnetz
Das E-ID Gesetz schafft eine Basistechnologie, welche in Kombination mit bereits laufenden internationalen Entwicklungen zu einer erheblichen Bedrohung für die Grundrechte führen kann. Auch wenn solche Verknüpfungen in der Schweiz noch nicht als konkrete Projekte vorliegen, sind sie international unübersehbar
(ID 2020; EU-Digitalstrategie; UNO «Pact for the Future» und «17 Nachhaltigkeitsziele»; Weltbank «ID4D» etc.; s. Links in Quellen 11.[– 16.] unten).
So besteht die ganz konkrete Gefahr, dass die E-ID zum zentralen Schlüsselbaustein wird, um eine Vielzahl von digitalen Systemen miteinander zu verknüpfen. Beispielsweise mit einem digitalen Impfpass, einem digitalen Organspendeausweis und möglicherweise sogar mit digitalem Zentralbankgeld (CBDC). Auf diese Weise könnte rasch ein allumfassendes Kontrollnetzwerk entstehen, welches tief in das Leben jedes Einzelnen eingreift und in Krisenzeiten zum Entzug der wesentlichsten Grundfreiheiten missbraucht werden kann. Hinweise in diese Richtung sind zu finden in Strategiepapieren von WEF, UNO und der ID2020. Dazu mehr in einem nächsten Beitrag.
Fragen von ABF Schweiz
Die wesentlichen Fragen zum Schutz der digitalen Integrität bleiben unbeantwortet. Wie stellen Bundesrat und Parlament sicher:
1. dass die Daten dieser E-ID den Nutzern nicht unfreiwillig entwendet werden?
2. dass Nutzer vor der Preisgabe von nicht zwingend erforderlichen Daten geschützt sind?
3. dass Nutzer mit traditionellen (physischen) Ausweismethoden nicht diskriminiert werden?
4. dass die elektronischen Spuren der E-ID-Nutzung tatsächlich nicht von Dritten «abgegriffen» und ausgewertet werden können?
5. Wie verhindern wir den globalen Ausbau eines globalen Kontrollnetzes auf der Basis der E-ID nach den Konzepten von UNO, Weltbank, ID2020, GAVI etc.?
Unsere Forderungen
ABF Schweiz fordert deshalb von National- und Ständerat:
- Sicheren Schutz der digitalen Integrität vor Willkür und vor Missbrauch.
- Selbstbestimmte individuelle Kontrolle über die eigenen Daten.
- Schutz vor Diskriminierung und vor Ausschluss von Personen ohne E-ID beim Bezug von Waren und Dienstleistungen und bei der Teilhabe am Sozialen Leben.
Wer die Arbeit von «ABF Schweiz Aktionsbündnis freie Schweiz» unterstützen möchte, kann auch spenden: IBAN CH46 0078 7786 1522 4140 0 Konto-Nr. 78.615.224.140.0, Lautend auf IG KMUnitas, Lättichstrasse 8a 6340 Baar, Betreff/Referenz ABF Schweiz |
Quelle: https://abfschweiz.ch/wp-content/uploads/Artikel-03-10-24.pdf
2 https://www.fedlex.admin.ch/eli/fga/2023/2843/de
3 https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-101414.html
4 https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-101414.html
5 https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-101414.html
6 https://www.piratenpartei.ch/2024/09/10/18764895/
7 https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20241001
8 Diskussionspapier EJPD «Zielbild E-ID» vom 27.08.2021: https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/staatliche-e-id/diskussionspapier-zielbild-e-id.pdf.download.pdf/diskussionspapier-zielbild-e-id-d.pdf
9 EU-Verordnung 910/2014: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32014R0910