Keinen digitalen Schweizer Pass von privaten Unternehmen

Parolen, Service Public, Grund- und Menschenrechte

Wir bewegen uns nicht erst seit Corona immer mehr in der virtuellen Welt. Wir kommunizieren, kaufen Waren und Dienst­leistungen online, aber auch die Demokratie (Unterschriften sammeln, abstimmen) und Interaktion mit staatlichen Stellen wird immer mehr online möglich. Und bei vielen dieser Anwendungen ist es wichtig, einfach und sicher nachweisen zu können, wer man wirklich ist. In der physischen Welt haben wir die Identitätskarte oder den Pass, und in der virtuellen Welt sollen wir dafür eine E-ID bekommen.

Der Bedarf ist gerade für die staatlichen Dienstleistungen, die online angeboten werden, nicht ganz neu, und bislang waren die Gemeinden und Kantone individuell dafür verantwortlich, wie sich die Ein­wohner*innen authentifizieren, so hat z.B. der Kanton Schaffhausen seit 2018 eine eigene E-ID. Eine Mehrheit des Parlaments war jedoch der Meinung, dass der Staat nicht in der Lage ist, eine E-ID herauszugeben, und hat diese Aufgabe in einem neuen Gesetz grundsätzlich privaten Unternehmen über­tragen. Der Ausweis, mit dem wir in Zukunft eventuell abstimmen oder unsere Steuerer­klärung einreichen werden, soll also von Banken oder Versicherungen kontrolliert werden.
Und wie wenn das nicht schon problematisch genug wäre, gibt es noch weitere kritische Punkte. Die E-ID soll nicht nur zur Identifikation, sondern auch zur Authentifi­zierung genutzt werden. Ähnlich wie mit dem Google- oder Facebook-Login, das man mittlerweile bei verschiedenen von den Tech-Giganten unabhängigen Diensten nutzen kann, sollen wir in Zukunft dafür die E-ID nutzen, wenn es nach dem Parlament geht. Aus Sicherheits- und aus Datenschutz-Gründen sind solche universellen Logins aber ein Graus. Kurz gesagt, ist es einerseits ein Klumpenrisiko: Falls das Login – aus welchen Gründen auch immer – in die falschen Hände gerät, ist nicht nur der Zugriff auf eine Plattform betroffen, sondern auf alle (ein Tipp zwischendurch: deswegen sollte man auch nicht überall das gleiche Passwort verwenden). Und andererseits kann man Daten aus den verschiedensten Quellen ganz einfach miteinander verknüpfen, ganz zu schweigen davon, dass der Herausgeber der E-ID immer weiss, wann du dich wo einloggst und was du nutzt.
Das beschlossene Gesetz sieht zudem vor, dass eine zentrale Architektur implementiert werden muss, das heisst alle Daten müssen zentral gespeichert werden, und Nutzungs­daten dürfen bis zu sechs Monaten aufbe­wahrt werden, was sie zu einem attraktiven Ziel für Cyberkriminelle macht. Dabei haben wir mit der SwissCovid-App doch erst gerade gesehen, dass der Staat in Zusam­men­arbeit mit Wissenschaft und Wirtschaft durchaus in der Lage ist, Open-Source-Software mit einer dezentralen Architektur und einem Fokus auf Datenschutz umzu­setzen.
Das Ausstellen einer E-ID ist ein zentrales Element von E-Government (dem digitalen Staat) und auch der digitalen Demokratie. Entsprechend ist es wichtig, dass diese Aufgabe als Service Public vom Staat wahrgenommen wird und wir NEIN sagen zu diesem E-ID-Gesetz.

Till Kleisli, Koordination BastA!