Die Schweiz stimmt am 7. März 2021 über die Einführung des E-ID-Gesetzes ab. Die Abstimmungsvorlage ist keine leichte Kost: Es geht um die Digitalisierung, etwas Abstraktes und vor allem um den Datenschutz. Wir beantworten hier die wichtigsten Fragen dazu.
Schon bei der ersten Behauptung wird es höchstpolitisch. Justizministerin Karin Keller-Sutter meidet ihn, die Befürworter nutzen ihn, um Meinungen zu machen. Es geht hier jedoch ums «Wording», um einen Vergleich, den man nicht eindeutig mit «richtig» oder «falsch» beantworten kann.
Fakt ist: Wir stimmen darüber ab, ob es in der Schweiz eine gesetzliche Grundlage für die elektronische Identität geben soll. Dieses sieht vor, dass die Registrierung und das Login auf Webseiten «sicherer» wird, weil der Staat unsere Identität gegenüber der Webseite bestätigt.
Der Vergleich mit dem «Schweizer Pass» geht so: Wenn wir in ein anderes Land wollen, dann könnte sich beim Grenzübertritt eine Person für irgendjemanden ausgeben. Verhindert wird das durch staatliche Reisedokumente: Die Schweiz bestätigt im Pass, dass eine Person wirklich die ist, für die sie sich ausgibt.
Ein solches Schema soll nun auch im Internet eingeführt werden, wie der Bund selbst schreibt: «Ergänzend dazu soll nun die Identität einer natürlichen Person auch in der elektronischen Welt mittels einer E-ID nachgewiesen werden können.» Wir werden jedoch nicht mit der E-ID in ein anderes Land reisen können – da hinkt der Vergleich.
Bewertung: Grösstenteils richtig.
Ja, sogar viele. Ein Blick auf die Liste zeigt uns auch ein bisschen die Leidensgeschichte hinter der «elektronischen Identität» auf.
In den vergangenen Jahren konnte man etwa über die Begriffe SuisseID und SwissID stolpern. Beide Marken beschreiben ein und dasselbe Projekt. Vier Anbieter, darunter die Post und Swisscom, wollten damit ein sicheres Login vereinheitlichen. Man kann sich dort registrieren, ein Foto vom Pass oder der ID hochladen, und sich dann damit verifiziert bei verschiedenen Webseiten einloggen. Beim Vorgängerprojekt «SuisseID» benötigte es früher dazu noch teure Hardware – was die Einstiegshürde zu hoch und die E-ID zu unattraktiv machte.
Studierende dürften zudem das Projekt SWITCHaai bzw. eduID kennen. Auch das ist eine Art «qualifiziertes Login»: Man kann sich damit bei Bibliotheken und Co. einloggen, die Universität bestätigt via eduID, wer wir sind. Ein solches Konzept gibt es auch bei der geplanten E-ID.
Bewertung: Richtig.
Das E-ID-Gesetz wird unter anderem mit dem Argument beworben, die E-ID sei freiwillig. Diese Freiwilligkeit ist aber nur dort gesetzlich vorgesehen, wo eine «niedrige» Sicherheitsstufe gilt. Bei solchen Anwendungen werden nur einige wenige Daten vom Staat bestätigt.
Heikle Dienstleistungen wie das Eröffnen eines Bankkontos benötigen heute bereits auch die staatliche Bestätigung des Geschlechts und der Staatsangehörigkeit. Heute muss man dafür eine Bankfiliale aufsuchen, wenn eine Bank kein Risiko eingehen will. Mit dem E-ID-Gesetz hängt es ebenfalls von der Bank ab, wie sie das handhabt: Sie kann die E-ID zur Pflicht machen oder könnte zusätzliche Gebühren für eine Bankkonto-Eröffnung in einer Filiale verlangen.
Der Jurist und Datenschutz-Experte Martin Steiger schreibt dazu als Fazit: «Im Ergebnis bleibt von der Behauptung, die E-ID sei freiwillig, nicht mehr viel übrig.»
Bewertung: Grösstenteils richtig.
Diese Behauptung geht Hand in Hand mit dem allerersten Punkt ganz oben: Mit dem neuen Gesetz bestätigt der Staat einem E-ID-Anbieter, wer wir sind. Dadurch werden Login-Möglichkeiten geschaffen, die uns in der digitalen Welt eindeutig identifizieren.
Wer zukünftig E-ID-Anbieter ist, ist noch offen. Theoretisch könnten das Gemeinden, Kantone, aber auch private Firmen wie Banken oder Versicherungen sein. Der Staat sieht Anforderungen vor, überwacht diese und kann einem E-ID-Anbieter die Zulassung entziehen.
Bewertung: Richtig.
Kritikerinnen und Kritiker sprechen häufig von der «Kommerzialisierung» der E-ID. Fakt ist, dass E-ID-Anbieter die elektronischen Identitäten nicht selbst für kommerzielle Zwecke nutzen dürfen. Dort, wo «niedrige Sicherheitsniveaus» herrschen, darf es zudem für Nutzerinnen und Nutzer keinen Zwang zur E-ID geben.
Der heikle Punkt liegt woanders: Heute können sich Nutzerinnen und Nutzer auf Foren und Webseiten mehrfach unter falschen Namen registrieren. Das verstösst häufig gegen Nutzungsbedingungen, wirklich kontrollieren tut das aber kaum eine Internetseite. Mit der E-ID werden künftig Unternehmen ihre User einfacher eindeutig unterscheiden können, wenn sie das wollen.
Sie können dadurch einfacher analysieren, was ihre User interessiert (Stichwort Tracking). Was das für den Gewinn eines Unternehmens bedeutet, hängt auch davon ab, wie User auf die Loginpflicht reagieren. Die Behauptung ist deshalb aus heutiger Sicht eine Spekulation.
Bewertung: Fehlender Kontext.
Für diese Behauptung muss man sich die drei Player im E-ID-Bereich anschauen:
Zwischen diesen drei Playern fliesst irgendwann tatsächlich Geld in Form von Gebühren. Will ein E-ID-Anbieter vom Fedpol eine Identitätsbestätigung, so kassiert der Staat dafür zwischen 30 und 50 Rappen. Zudem dürfe die staatliche Zulassung, um E-ID-Anbieter werden zu können, einige zehntausend Franken kosten. E-ID-Anbieter können wiederum von Dienstleistern Gebühren verlangen.
Dieses komplexe System können wir uns am Ende vereinfacht so vorstellen:
Bewertung: Richtig.
Dieses Argument hört man bei der Befürworter-Seite: Sagt das Volk «Nein» zum E-ID-Gesetz, dauert es nochmals Jahre, bis eine elektronische Identität eingeführt wird.
Die Erfahrung der vergangenen Jahre zeigte tatsächlich: Die Schweiz hat Mühe mit der Digitalisierung. Das ist aber nicht ein generelles Problem, mit dem Staaten zu kämpfen haben. Die «Republik» verglich die E-ID-Lösungen anderer europäischer Staaten und kam zum Schluss, dass der «unfähige Staat» ein Märchen sei.
Zwar hätten alle Länder «hybride Lösungen», wo private und öffentliche Unternehmen elektronische Identitäten anbieten würden. In Ländern «mit einem hohen Bewusstsein für die Privatsphäre, mit einer langjährigen Identitätskarten-Tradition und hohem Vertrauen in den Staat» hätten sich jedoch staatliche Lösungen etabliert.
Und die Schweiz? Das vorliegende E-ID-Gesetz setzt auch auf eine hybride Lösung, gibt jedoch den privaten Anbietern grosse Spielräume und vor allem die Möglichkeit, grösser und mächtiger zu werden. Das war eine politische Entscheidung unter dem Vorurteil, der Staat könne es nicht besser.
Ein Blick ins Ausland zeigt jedoch, dass dies durchaus möglich ist. Die Erfahrung vom vorliegenden E-ID-Gesetz zeigt zudem: Wenn man es politisch will, dann geht es auch schnell. Das E-ID-Gesetz brauchte von der Vernehmlassung bis zur Volksabstimmung nur vier Jahre.
Bewertung: Grösstenteils falsch.
* Diese Darstellung enthielt in der ursprünglich publizierten Version des Artikels einen Fehler. Das Login mit der E-ID ist erst möglich, wenn ein Identitätsanbieter die Person bereits kennt. Die Identifikationskaskade erfolgt daher leicht anders als verkürzt dargestellt. Wir haben diesen Block berichtigt und bedanken uns für den Hinweis.
Und bald wird sich der Grösste mit einem Quasi-Monopol durchsetzen.
Dann doch lieber eine staatliche Lösung. Die können das! Siehe Kanton Schaffhausen. Und ich weiss dann, dass mit meinen Daten nicht Schindluder getrieben wird.
Wieso die Risiken einer E-ID auf uns nehmen, wenn sie doch so wenig Nutzen hat?