Zum Hauptinhalt springen

Was Sie vor der Abstimmung wissen müssenMacht mich die E-ID zum gläsernen Bürger?

Mit der E-ID will der Bund ein staatlich zertifiziertes Log-in schaffen, doch Kritiker warnen vor Sicherheitslücken und der Privatisierung des Passes.

Wie funktioniert die E-ID genau?

Die E-ID ist eine amtliche Identitätsbestätigung für den digitalen Raum. Sie ermöglicht es Bewohnern der Schweiz, sich im Internet zweifelsfrei zu identifizieren. Die E-ID soll den elektronischen Bezug von Dienstleistungen erleichtern, für die eine gesicherte Identifikation erforderlich ist. Beispiele sind der Kauf einer SIM-Karte, die Eröffnung eines Bankkontos oder das Bestellen eines Strafregisterauszugs.

Muss jeder Bürger eine E-ID lösen?

Nein. Die E-ID ist freiwillig. Viele Angebote, die wir schon heute online in Anspruch nehmen, werden auch künftig ohne E-ID problemlos zugänglich sein, etwa Onlineshopping, Streaming oder Social Media. Gegner des E-ID-Gesetzes warnen, dass die Freiwilligkeit nicht garantiert ist. Es bestehe die Gefahr, dass Bürger dazu gedrängt werden, eine E-ID zu lösen. Andererseits ist es nicht im Interesse von Onlineanbietern, ihren Kundenkreis einzuschränken, indem eine E-ID zwingend vorausgesetzt wird.

Wie erhalte ich eine E-ID?

Wer eine E-ID will, wendet sich an einen privaten E-ID-Anbieter. Dieser nimmt die Personalien auf und leitet sie ans Bundesamt für Polizei (Fedpol) weiter. Das Fedpol überprüft und bestätigt die Identität anhand der staatlichen Personenregister. Anschliessend weist das Fedpol dem Antragsteller eine Registrierungsnummer zu und teilt diese dem E-ID-Anbieter mit. Nun stellt der E-ID-Anbieter dem Antragsteller die E-ID aus, zum Beispiel mittels einer App.

Warum sind Private für die Herstellung der E-ID zuständig?

Ursprünglich plante der Bund eine rein staatliche E-ID. Wegen Investitionsrisiken und negativer Erfahrungen mit staatlichen E-IDs im Ausland beschloss der Bundesrat 2016 aber, ein Modell mit einer starken Stellung von Privaten zu verfolgen. Die Aufgabenteilung sieht so aus: Die E-IDs werden von privaten Anbietern ausgestellt, das können Firmen, aber auch kantonale oder kommunale Behörden sein. Sie müssen ihr Domizil in der Schweiz haben, die Besitzer einer Firma dürfen aber aus dem Ausland kommen. Der Staat hat in diesem Modell zwei Funktionen. Zum einen überprüft und bestätigt er die Identität der Bürger, die eine E-ID beantragen. Zum anderen anerkennt und überwacht der Staat die E-ID-Anbieter. Dafür wird eine neue Aufsichtskommission geschaffen, die E-ID-Kommission (Eidcom). Verstösst ein E-ID-Anbieter gegen seine gesetzlichen Pflichten, kann die Eidcom ihm die Anerkennung entziehen.

Ist die E-ID kostenlos?

Das ist im Gesetz nicht geregelt. Aussagen von ID-Anbietern deuten aber darauf hin, dass die E-ID für Nutzer gratis sein soll. Zudem gibt es im E-ID-Gesetz einen Anreiz, den Nutzern keine Kosten zu überwälzen: Der Bund kann für Anbieter von kostenlosen E-IDs die Gebühren reduzieren, die er für seine Identifikationsleistungen verlangt.

Wie sieht das Geschäftsmodell der E-ID-Anbieter aus?

E-ID-Anbieter setzen darauf, dass Onlinedienste für die gesicherte Identität der Nutzer zu zahlen bereit sind. Konkret kann man sich das Geschäftsmodell der E-ID-Anbieter so vorstellen: Jedes Mal, wenn sich ein E-ID-Nutzer bei einem Onlinedienst einloggt, bezahlt der Onlinedienst einige Rappen an den E-ID-Anbieter. Mit diesen Einnahmen finanziert der E-ID-Anbieter die Kosten für den Betrieb seines E-ID-Systems.

Problematische Rückschlüsse auf den Nutzer sind durchaus denkbar.

Welche Daten entstehen bei der Nutzung der E-ID?

Eine der schwierigeren Fragen bei der E-ID. Denn jedes E-ID-System hat einen anderen digitalen Fussabdruck. Grundsätzlich gilt: Mit der E-ID entsteht eine Dreiecksbeziehung zwischen dem Nutzer, dem E-ID-Anbieter und dem Onlinedienst, der die E-ID fürs Log-in anerkennt (z.B. Swisscom). Für die Beurteilung des E-ID-Gesetzes sind vorab jene Daten relevant, die beim E-ID-Anbieter entstehen. Ein Beispiel: E-ID-Nutzer Hans Muster kauft in einem Onlineshop zwei Flaschen Gin. Bevor der Kauf abgeschlossen wird, erkundigt sich der Onlinehändler beim E-ID-Anbieter, ob Hans Muster volljährig ist. Somit weiss der E-ID-Anbieter, dass Hans Muster bei diesem Onlinehändler ein Produkt kaufen will, für das Volljährigkeit erforderlich ist. Das Beispiel zeigt, dass beim E-ID-Anbieter primär Randdaten der E-ID-Nutzung anfallen. Der E-ID-Anbieter sieht also, wann und wo ein Log-in oder eine bestimmte Transaktion stattgefunden hat. Der E-ID-Anbieter sieht aber nicht, was der Nutzer nach dem Log-in tut oder welches Produkt er kauft. Randdaten dürfen aber nicht unterschätzt werden: Problematische Rückschlüsse auf den Nutzer sind durchaus denkbar. Wenn sich ein Bürger mit seiner E-ID häufig bei seiner Krankenkasse einloggt, könnte das ein Hinweis sein, dass der Nutzer gesundheitliche Probleme hat. Und je öfter der E-ID-Nutzer sich mit der E-ID irgendwo einloggt, desto feinkörniger ist das Bewegungsprofil, das beim E-ID-Anbieter entsteht. Aus diesen Informationen sind Rückschlüsse auf den Nutzer möglich (Alter, Interessen, Wohnort, Beziehungsstatus etc.). Genau davor warnt der Anwalt und E-ID-Kritiker Martin Steiger. «Auch wenn beim E-ID-Anbieter nur Randdaten anfallen, hat er potenziell doch einen sehr weitreichenden Einblick in die Privatsphäre seiner Nutzer.»

Kritiker warnen davor, dass private E-ID-Anbieter Nutzungsdaten der Bürger sammeln und sechs Monate lang behalten dürfen.

Macht mich die E-ID zu einem gläsernen Bürger?

Nein. Das E-ID-Gesetz macht klare Vorgaben, was ein E-ID-Anbieter mit den Daten der Nutzer tun darf und was nicht. So ist es dem E-ID-Anbieter untersagt, die Personendaten (Name, Geburtsdatum, Geschlecht etc.) und die Nutzungsdaten an Dritte zu verkaufen oder sie kommerziell auszuwerten. Zudem muss der E-ID-Anbieter Nutzungsdaten nach sechs Monaten löschen. Für Kritiker des Gesetzes ist diese Aufbewahrungsdauer unnötig lang.

Wie werden meine Daten geschützt?

E-ID-Anbieter müssen sich vom Bund anerkennen lassen. Die E-ID-Kommission (Eidcom) überprüft unter anderem, ob das Personal des E-ID-Anbieters fachlich qualifiziert ist und selbst kein Sicherheitsrisiko darstellt (Vorstrafen etc.). Weiter muss der E-ID-Anbieter die Personendaten seiner Nutzer getrennt von den Nutzungsdaten aufbewahren. So soll der Schaden bei einem Datenleak minimiert werden. Zudem müssen alle Daten in der Schweiz gelagert werden, was heute bei vielen ID-Anbietern (Apple, Google etc.) nicht der Fall ist. In einem Interview mit dem «Blick» hat sich Adrian Lobsiger, der Datenschutzbeauftragte des Bundes, positiv zu dieser «gesetzlichen Standardisierung der technischen Sicherheit und des Datenschutzes» geäussert.

«Es gibt einen Wettbewerb»: Bundesrätin Karin Keller-Sutter glaubt nicht an ein Monopol im E-ID-Markt.

Wird das Swiss-Sign-Konsortium ein Monopol haben?

Kritiker des E-ID-Gesetzes warnen vor einem Monopol des ID-Anbieters Swiss Sign Group. Von den drei derzeit bekannten Anwärtern für eine staatliche Anerkennung hat dieses Konsortium tatsächlich die grösste Marktmacht: Neben Post, Swisscom und SBB gehören ihm auch Banken wie die UBS, Versicherer wie Zurich und Krankenkassen wie die CSS an. Swiss Sign kann damit nicht nur auf vielen Kundenkontakten aufbauen, sondern verfügt auch über viel grössere finanzielle Ressourcen als die Konkurrenz. Bundesrat und Parlament haben das E-ID-Gesetz aber so konzipiert, dass Konkurrenz gefördert wird. So müssen die E-IDs aller zertifizierten Anbieter interoperabel sein. Der Bürger kann also frei wählen, von wem er seine E-ID bezieht. Justizministerin Karin Keller-Sutter skizzierte die künftige E-ID-Landschaft jüngst so: «Es gibt einen Wettbewerb, und die Bürger haben den Vorteil, dass sie entscheiden können, welche E-ID ihnen am besten passt.» Aber nicht alle Experten teilen diese Einschätzung. Eine Marktanalyse von PWC geht von einer «Winner takes all»-Situation aus. Wie in anderen Internetbereichen könnte sich auch hier ein Akteur durchsetzen und die Konkurrenz ausschalten. Was sicher ist: Ein E-ID-Monopol wäre kaum im Sinn der Konsumenten. Fraglich ist etwa, ob die Aufsicht und die Sanktionsmöglichkeiten der Eidcom noch funktionieren, wenn ihr ein einziger mächtiger E-ID-Anbieter gegenübersteht.

Bei Swiss Sign sind auch Krankenkassen beteiligt. Können diese dank der E-ID ein Risikoprofil von mir erstellen?

Nein. Swiss Sign darf die Daten seiner E-ID-Nutzer nicht an Dritte weitergeben.

Selbst wenn sich die E-ID durchsetzt, werden wir weiterhin viele verschiedene Log-ins und Passwörter verwenden.

Kann ich dank der E-ID alle meine bisherigen Log-ins und Passwörter ersetzen?

Es ist eines der grossen Versprechen der E-ID-Befürworter: «Schluss mit dem Passwortchaos.» Doch wie stark die E-ID unsere Internetnutzung wirklich vereinfachen wird, ist schwer zu sagen. Es hängt massgeblich davon ab, ob sich die E-ID bei den Nutzern, aber auch bei Wirtschaft und Behörden durchsetzt. Im besten Fall könnte man künftig mit demselben Log-in online ein SBB-Ticket lösen, die Steuererklärung ausfüllen, eine Parkkarte bei der Gemeinde buchen, Zahlungen erledigen, Konzerttickets kaufen, Arztrechnungen bei der Krankenkasse einreichen und das E-Paper der Lokalzeitung lesen. Doch selbst in diesem Fall werden wir nftig neben der E-ID weiter viele verschiedene Log-ins und Passwörter verwenden. Google, Apple, Facebook, Amazon und anderen grossen Internetkonzernen ist die Schweizer E-ID egal.

Was passiert bei einem Nein zum E-ID-Gesetz am 7. März?

Scheitert das E-ID-Gesetz, dürfte rasch politischer Druck entstehen für eine rein staatliche Lösung. Die Umsetzung dürfte aber Jahre dauern. Zudem gibt es auch bei einer voll staatlichen E-ID finanzielle und technologische Risiken. In der Zwischenzeit wird sich der ID-Markt ohne staatliche Regulierung weiterentwickeln.

109 Kommentare
    Pius Bergmann

    Swiss Sign Group ist an Kooperation mit "ID2020" interessiert. Es sei aber zu früh sich darüber zu äussern. (Sie warten bis nach der Abstimmung.)

    Hinter "ID2020" stehen Microsoft, Rockefeller-Stiftung, Mastercard und einige andere, die sehr an unseren Daten interessiert sind.

    Generell darf die Swiss Sign Group auch mit ausländischen Firmen kooperieren.

    Logisch, versuchen sie zu vermeiden, dass das thematisiert wird.