Elektronische Identität oder E-ID, das klingt für viele verwirrend. Aber dieses geplante neue, staatlich geprüfte Login für datenschutzsensible Onlinedienste geht uns alle an! Denn niemand bezweifelt, dass es im Internet einen besonders vertrauenswürdigen Zugang für gewisse Bereiche braucht.
In Bundesbern streitet man sich derzeit darüber, was diese E-ID umfasst und ob sie künftig anonyme Geschäfte im Internet verhindert. Auf Widerstand stösst auch die vom Nationalrat beschlossene und vom Ständerat diese Woche bestätigte Aufgabenteilung: Der Staat prüft die Identität, die Wirtschaft gibt die E-ID heraus. Die Gegner dieser Lösung fordern eine rein staatliche E-ID - obschon ein früherer Anlauf mit der Suisse-ID misslang. Eine «Allianz gegen private E-ID» bereitet ein Referendum vor.
Gegenüber SonntagsBlick nimmt nun erstmals der Eidgenössische Datenschutzbeauftragte Stellung.
Pass, AHV, Kreditkarte: Weshalb brauche ich jetzt fürs Internet noch eine weitere persönlich identifizierbare Nummer, die E-ID?
Adrian Lobsiger: Genau solche Missverständnisse haben Experten in verschiedenen Medien verbreitet! Wir brauchen auch in Zukunft keinen elektronischen Pass, um aufs Internet zu gelangen. Das E-ID-Gesetz soll eben gerade keine neuen Identifikationspflichten einführen, die es bisher in der Onlinewelt nicht gibt. Einfache Einkäufe, Ticket-Bestellungen oder Onlinedating sollen ohne gesicherte Identifikation möglich bleiben. Ebenso wenig wäre die E-ID ein Reiseausweis.
Für was braucht es denn die E-ID?
Überall dort, wo es heute schon eine gesicherte Identifikation braucht, etwa beim E-Banking, bei der Steuererklärung oder Auskünften aus dem Strafregister gäbe es künftig ein vertrauenswürdiges Login. Die zur Identifikation notwendigen Personendaten würden vom Staat an einen von ihm zugelassenen Provider geliefert. Dieser dürfte diese Daten nicht weitergeben.
Aber Banken zum Beispiel ver- fügen doch für das E-Banking bereits über besondere Sicherungen - bis hin zur App mit Gesichtserkennung?
Das ist genau der Punkt: Jede Bank, jedes Unternehmen, jede Verwaltung, die auf ein vertrauenswürdiges Login angewiesen ist, braucht heute eine eigene Lösung. Die E-ID hingegen brächte nicht nur eine Vereinfachung, sondern eine gesetzliche Standardisierung der technischen Sicherheit und des Datenschutzes.
Später auch für das elektronische Abstimmen, das E-Voting, oder für das Patientendossier?
Nicht nur. Auch Datenschutz-Auskünfte würden verbessert. Polizei und Verwaltung geben heute aufgrund von oft schlechten Ausweis-Fotokopien bekannt, welche persönlichen Daten sie über einen sammeln. Da besteht ein hohes Risiko, dass höchst sensible Daten an die falsche Person gelangen.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Adrian Lobsiger ist verheiratet, hat zwei erwachsene Töchter und wohnt in Muri bei Bern. Sein Amt, in das er im April vom Bundesrat bis Ende 2023 wiedergewählt wurde, übt der 59-Jährige seit drei Jahren aus. Zuvor war der promovierte Jurist stellvertretender Direktor des Bundesamts für Polizei sowie Dozent zur Bekämpfung der Wirtschaftskriminalität.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Adrian Lobsiger ist verheiratet, hat zwei erwachsene Töchter und wohnt in Muri bei Bern. Sein Amt, in das er im April vom Bundesrat bis Ende 2023 wiedergewählt wurde, übt der 59-Jährige seit drei Jahren aus. Zuvor war der promovierte Jurist stellvertretender Direktor des Bundesamts für Polizei sowie Dozent zur Bekämpfung der Wirtschaftskriminalität.
Verstehen Sie, dass es für einen Teil der Bevölkerung gerade deshalb beunruhigend ist, wenn nicht der Staat, sondern private Firmengruppen die E-ID herausgeben könnten?
Natürlich verstehe ich das. Aber nochmals: Nur der Staat würde die Daten liefern. Private ID-Provider müssten staatlich zugelassen werden und dürften die Daten nur für die Ausstellung der E-ID verwenden. Die Weitergabe der Daten an Dritte oder der Verkauf wären verboten. Die Lösung gemeinsam mit Privaten, so wie es National- und Ständerat jetzt favorisieren, hat weiter den Vorteil, dass sich die Privaten darauf einlassen, ein E-ID-System zu finanzieren und zu betreiben. Und zwar eines, für das der Staat die Vorgaben macht.
Zumal frühere rein staatliche Anläufe wie die Suisse-ID ein Flop waren?
Ja. Aber vor allem, weil die privaten Onlinedienstleister wie in der SwissSign-Gruppe - Post, Swisscom, Versicherungen, Banken und andere - auch sagen könnten, wir machen das ohne Staat.
Was wäre dann?
Das könnte den Staat zwingen, für den Zugang zu seinen Onlinediensten eine rein private E-ID anerkennen zu müssen, die weniger Datenschutz und einen geringeren staatlichen Einfluss vorsähe. Und wenn auch eine solche rein private Lösung scheitern würde, dann müsste die Schweiz dereinst vielleicht auf ausländische Identifikationen zurückgreifen wie die Apple- oder Google-ID.
Das Horrorszenario für den Datenschutzbeauftragten!
Ohne E-ID-Gesetz wäre es schwierig, diese ausländischen ID-Provider zu verpflichten, Identifikations- und Nutzerdaten streng zu trennen, nach sechs Monaten zu löschen. Oder zu verhindern, dass sie für andere Zwecke verwendet, Dritten weitergegeben oder gar verkauft würden.
Genau diese Befürchtung besteht - zumindest laut einer Umfrage - bei sehr vielen doch auch gegenüber Schweizer Privaten?
Das neue E-ID-Gesetz würde das Befürchtete verhindern. Ich verlange, dass nun die dazugehörende Verordnung rasch ausgearbeitet wird, damit der Bürger volle Transparenz erhält.
Welche Daten würden eigentlich erfasst?
Es gäbe drei Sicherheitsniveaus. Beim niedrigsten wären es die Nummer, der amtliche Name, Vorname und Geburtsdatum. Für das mittlere kämen Geschlecht, Geburtsort und Staatsangehörigkeit hinzu, beim höchsten das Gesichtsbild.
Also alles Daten, die ich zum Beispiel auf USA-Reisen freiwillig und transparent angebe ...
Meine Hausbank verwendet die Gesichtserkennung längst. Viele Private haben heute das Vertrauen ihrer Kunden, obschon sie sehr sensible Daten über sie bearbeiten. Nicht nur der Staat, auch die Wirtschaft kann Vertrauen erarbeiten - oder verspielen.
Steckt hinter der Skepsis gegenüber Privaten die Angst vor Datendiebstählen oder mehr Hackerangriffen?
Diese Risiken werden durch die Kritiker der E-ID zu Recht erwähnt. Sie sind realistisch und brandgefährlich: Einerseits könnte es zu Missachtungen der rechtlichen Bedingungen kommen - fahrlässig oder vorsätzlich. Andererseits könnte mangelnde technische Sicherheit zu einem unbeabsichtigten Datenverlust führen.
Trotz dieser Risiken stehen Sie voll hinter einer halbprivaten E-ID?
Ich stehe hinter meiner Aussage, dass man dieses Modell datengesetzkonform ausgestalten kann. Risikoangst hilft nicht weiter. Ich verlange von den Providern, dass sie konkrete Massnahmen gegen die Gefahren aufzeigen.
Hätten Sie bei der Aufsicht ein Mitspracherecht oder nur die E-ID-Kommission, die vom Bundesrat gewählt würde?
Mit der Schaffung der E-ID-Kommission will die Politik zeigen, dass man die staatliche Kontrolle sehr ernst nimmt und dass ein gewichtig zusammengesetztes, unabhängiges Expertengremium die staatliche Zulassung verantwortet. Aber sie ersetzt meine Stelle nicht. Als Datenschutzbeauftragter überwache ich, dass die Provider die rechtlichen Vorgaben einhalten.
Und was passiert mit denen, die auf eine E-ID pfeifen?
Jeder Bürger könnte nach wie vor Dienstleistungen auf herkömmlichem Weg beziehen. Wer behauptet, man könne aus dem E-ID-Gesetz neue Identifikationspflichten herleiten, sollte es nochmals in Ruhe lesen.