Hoch lebe die eIDgenossenschaft!

Der Bundesrat ebnet den Weg für die digitale Identitätskarte. Das Feld wird dabei aber dankbar den Privaten überlassen. Über Sinn und Unsinn der eID.

Anonymität im Internet ist Geschichte. Längst werden wir von diversen Internetkonzernen verfolgt und zur Ware gemacht. Aus unseren Daten werden Profile zusammengestellt und miteinander verknüpft. Diese wiederum finden ihren Weg durch Weiterverkauf oder Diebstahl in alle Ecken des Netzes. Mit von der Partie ist auch der Staat. Dank neuer Technologien wie Vorratsdatenspeicherung, Gesichtserkennung oder Kabelaufklärung werden wir bald auf Schritt und Tritt überwacht. So wird der Graben zwischen digitaler und analoger Welt zunehmend zugeschüttet.

Bei dieser Entwicklung darf natürlich auch die Identitätskarte nicht fehlen. Denn immer öfter müssen wir uns auch im Netz ausweisen: Wenn wir online die Steuererklärung ausfüllen, eine Unterschrift unter ein Dokument setzen oder ganz einfach etwas bestellen wollen. Schon länger liebäugelt deshalb auch der Bund mit einer digitalen Identitätskarte. So sollen wir auch im Internet verlässlich das Schweizerkreuz vorweisen können. Mit dem «Gesetz über die elektronischen Identifizierungsdienste (BGEID)» liefert er jetzt die nötige gesetzliche Grundlage. Und es darf getrost gefragt werden: Ist das euer Ernst?

Sommarugas Masterplan

Das Gesetz sieht eine «Aufgabenteilung» zwischen Staat und Privaten vor. Die Strategie ist dabei schnell erklärt: Die eigentliche Hauptaufgabe sollen private «Identitätsdienstleister» übernehmen. Bei diesen wird die digitale ID angefordert und diesen vertrauen wir unsere Daten umsonst – oder vielleicht gar gegen eine Gebühr? – an. Im Gegenzug überprüfen die Identitätsdienstleister für andere Firmen und den Staat wiederum kostenpflichtig unsere Identität, wenn wir etwas einkaufen oder die Steuererklärung unterschreiben.

Der Bund hält sich dabei fast vollständig aus der Geschichte heraus. Er fertigt bloss die anfängliche Identitätsprüfung ab und kümmert sich um die Zulassung und Kontrolle der diversen Privaten, die gerne e-IDs ausstellen möchten. Anscheinend sieht sich der Bundesrat nicht im Stande, die hoheitliche Aufgabe des Identitätsnachweises zu übernehmen. Denn in der Botschaft zum Gesetz schreibt er: «Angesichts der Dynamik des technologischen Wandels wäre [der Staat] jedoch nicht in der Lage, die technischen Trägermittel für die Identifizierung selbst zu entwickeln und herzustellen.» So liest sich eine digitale Kapitulation.

Ursprünglich plante der Bund noch eine eigene technische Lösung, wie sie zum Beispiel in Estland Einsatz findet. Dort gibt es die elektronische ID bereits seit einigen Jahren und wird für e-Banking, e-Voting, digitale Signaturen und weiteres verwendet. Dabei kooperiert auch Estland mit privaten Entwickler*innen. Doch die Kontrolle liegt beim Staat, der zusammen mit der analogen Identitätskarte eine digitale Identität ausstellt. Manche andere europäische Länder gehen ebenfalls diesen Weg; in einigen haben auch die Banken das Zepter in die Hand genommen.

Die Privaten in den Startlöchern

Warum machte der Bundesrat nun plötzlich eine solche Kehrtwende? Offiziell wird argumentiert, dass die staatliche Lösung «am Markt vorbei» ginge. Zudem sei sie zu teuer und träge. Das ist milde gesagt eine höchst fragwürdige Perspektive auf eine offenkundig staatliche Aufgabe. Ganz ähnlich sieht das Erik Schönenberger von der Digitalen Gesellschaft in einem Gespräch mit der WOZ: «Wenn man mit dieser e-ID auch wichtige Verträge eingehen oder die Steuerunterlagen einreichen möchte, muss sie aber gleichwertig sein wie ein Pass oder eine ID und deshalb staatlich verwaltet werden. Das ist eine hoheitliche Aufgabe, das darf kein privatwirtschaftliches Joint Venture übernehmen.»

Trotz dieser Bedenken hat das Weibeln der Privaten genützt. Denn die stehen bereits in den Startlöchern und haben sich unter dem Mantel der SwissSign Group vereint. Diese entwickelt Sicherheitszertifikate und will zusätzlich mit der «SwissID» eine digitale Identitätskarte lancieren. Hinter der Gruppe stecken eine ganze Reihe von staatsnahen Betrieben (SBB, Post, Swisscom), Banken (Credit Suisse, Raiffeisen, UBS, Six Group) und Versicherungen (Axa, Baloise, Helvetia, Mobiliar, CSS, Zürich und andere). Es erstaunt daher nicht, dass der Bundesrat vom vorgesteckten Kurs abgekommen ist.

Doch warum ist das Interesse der Privaten an einer nichtstaatlichen Lösung so gross? Bei der SwissSign Group bemüht man primär Begriffe wie «Effizienz» und «Nutzerfreundlichkeit». In einer Pressemitteilung schreibt die Gruppe: «Die SwissID wird es den Anwendern ermöglichen, sich in einer zunehmend digitalen Welt sicher zu bewegen und Onlinedienstleistungen einfacher zu nutzen.» Das hört sich schön an. Doch nebst den Gebühren für die Nutzung sind Banken und Versicherungen sicherlich auch an den anfallenden Personendaten interessiert. Denn das Gesetz sieht eine sechsmonatige Speicherung der Transaktionsdaten vor. Da ist es wenig beruhigend, dass die Identitätsdienstleister diese nicht weiterverkaufen dürfen.

Gretchenfrage Sicherheit

Denn eine solche Menge an Daten ist natürlich auch ein gefundenes Fressen für Hacker*innen. Das weiss das das digitale Vorzeigeland Estland besser als alle anderen. 2007 wurde es von breit angelegten Cyberangriffen unter Beschuss genommen. Und im November 2017 tauchte eine kritische Sicherheitslücke in der elektronischen Identitätskarte auf. Damals beschwichtigte Kaspar Korjus, Direktor des Programms für e-Residency, welches an die e-ID geknüpft ist: «Es gibt nach wie vor keine bekannten Fälle, in denen ein digitaler estnischer Personalausweis missbraucht wurde. Der Schutz der Integrität der digitalen Identität muss an erster Stelle stehen.»

Auch wenn die Daten nicht entwendet wurden, steht das nötige Vertrauen damit auf dem Spiel. Für Schönenberger darf die Schweizer e-ID deshalb nicht den externen Akteur*innen überlassen werden. Gegenüber der WOZ meint er: «Es geht um hoch sensible Daten – und es geht um Vertrauen. Die e-ID soll vielleicht auch einmal beim elektronischen Abstimmen und Wählen eingesetzt werden. Stellen Sie sich vor, die e-ID würde von einem Grosskonzern herausgegeben. Das nötige Vertrauen würde fehlen. In solch heiklen Bereichen kann dieses nur der Staat schaffen.»

In der Tat soll die e-ID im Endeffekt der Schlüssel zu diversen Anknüpfungspunkten der digitalen Demokratie werden – allen voran für das umstrittene e-Voting. Denn dadurch entfiele in vielen Bereichen die nötige persönliche Identifizierung, die ansonsten im Netz fast unmöglich ist oder mittels analoger Hilfsmittel geschaffen werden muss. Das Resultat wäre jedoch auch eine e-ID als Datenknotenpunkt der verschiedensten Tätigkeiten von Bürger*innen innerhalb der digitalen Gesellschaft. Eine solche Konzentrierung von Information darf nicht in die Hände von Privaten gelangen, deren primäre Motivation die Steigerung von Profit und Effizienz sind.

Dehumanisierung und Rationalisierung

Hinzu kommt, dass sich das Gesetz in die gegenwärtige Dehumanisierung und Rationalisierung gesellschaftlicher Prozesse einreiht. Wie viele anderen Digitalisierungsmassnahmen werden Kontakte zu anderen Menschen damit immer weniger wichtig. Berufe werden zunehmend ersetzt und an ihre Stelle tritt das Mantra der gnadenlosen Effizienz. Die e-ID ist ein elementares Puzzleteil der Digitalisierung der Demokratie. Als solches beschleunigt es bedenkliche Entwicklungen.

Dazu gehört auch die schleichende Libertarisierung der Gesellschaft. Denn mit der e-ID wird eine zentrale Aufgabe des Staates an die Privaten ausgelagert – ein Leitmotiv der neuen digitalen Technologien. Immer mehr Bereiche werden Privaten überlassen, weil diese den Markt besser kennen würden oder der Bund nicht über die nötigen Mittel oder das relevante Wissen verfüge. Das ist keine pragmatische Haltung, sondern ein gesellschaftspolitischer Richtentscheid.Die e-ID ist an sich keine dumme Idee. Es macht Sinn, sich über eine Form der Identifizierung im digitalen Raum Gedanken zu machen und es ist zu begrüssen, dass diese nicht primär an der Staatsbürgerschaft festgemacht wird. Doch was als pragmatisches und zukunftsweisendes Gesetz daherkommt, ist undurchsichtig, kompliziert und primär eine staatliche Kapitulation vor der Digitalisierung.

Dieser Artikel erschien im megafon # 438 (12/2018). Die Illustration stammt von Alvin Reber.