Warum die Arbeitsteilung im BGEID sinnvoll sein könnte
Der Schweizer Staat überwachte die Bürger von 1900 bis 1990 systematisch ohne gesetzliche Grundlage. Das wurde ab den 1990ern als sogenannter “Fichenskandal” bekannt. Nun hat der Staat daraus gelernt und verschiedene Gesetze erlassen, die eine Überwachung entsprechend legitimieren.
Was der Bürger also damals als “Skandal” betrachtete, heisst heute schlicht BÜPF oder NDG und so manch einer findet: Das ist ok so, es dient ja der Sicherheit.
Eine rein staatliche E-ID kann zu mehr Überwachung führen
Eine vom Staat herausgegebene, betriebene und kontrollierte E-ID wäre ein möglicher nächster Schritt. So wäre es beispielsweise ein Leichtes, die Artikel 19 – 22 der Verordnung zum BÜPF (VÜPF) um einen Passus zu erweitern, wonach Fernmeldedienste dafür zu sorgen hätten, dass die E-ID bei jedem Zugang zum Internet stets aktiv hinterlegt sein muss. Der Staat würde sämtliche auf diese Weise anfallenden Daten erheben, bearbeiten und so lange speichern, wie er es für seine Zwecke für nötig hält, also für immer.
Alles dient der Sicherheit. Und mehr Daten ist da einfach besser. Ich verstehe, dass das manche anders sehen. Aber für mich ist es einer der Gründe, weshalb ich eine Arbeitsteilung zwischen Privaten, die bereits heute ein erfolgreiches Geschäft betreiben und eben etwas zu verlieren hätten und dem Staat als Aufsichtsbehörde, einer rein staatlichen E-ID vorziehe.
Das BGEID schützt gegen Missbrauch
Gegner des BGEID betonen immer wieder, dass bei einer privatwirtschaftlichen Lösung ein erhöhtes Missbrauchspotential bestehe.
Und zwar gehe es um Missbrauch durch den Identity-Provider (IdP). Dies liege an der zentralen Speicherung von Daten beim IdP, welche das BGEID zwar nicht vorschreibt, aber doch zulässt. Und es ist bekannt, dass eine Anbieterin am Start steht, die eine zentrale Speicherung von Daten beim IdP vorsieht (siehe den Beitrag Um welche Daten geht es bei der E-ID, der beschreibt, um welche Daten es gehen kann).
Diese Kritik am BGEID, es lasse Missbrauch durch den IdP zu, lässt sich nicht ernsthaft aufrecht erhalten. Im Gegensatz zum Status-Quo, der sich am Datenschutzgesetz orientiert und wo keine absoluten Datenzugriffs- und Datenverwertungsverbote bestehen, enthält das BGEID genau diese Verbote und ist deshalb weit schärfer als was das DSG fordert.
Namentlich die von der Gegnerschaft heraufbeschworene Gefahr der Kommerzialisierung von Daten durch einen IdP ist im BGEID explizit ausgeschlossen.
Wenn also 20 etablierte Schweizer Unternehmen mit unterschiedlichen Geschäftsmodellen und Strategien gemeinsam als eine Anbietern an den Start gehen, schauen sie sich nur schon gegenseitig gehörig auf die Finger. «Mitgegangen, mitgefangen» sagt der Volksmund. Und es würden in der Tat alle mit drin hängen. Dazu käme eine griffige Aufsichtsbehörde EIDCOM.
Anbieterin in den Händen von staatsnahen Betrieben
Die fünf staatsnahen Betriebe wie SBB, Post und Swisscom halten die Mehrheit an der Anbieterin SwissSign (ca. 55%). Die übrigen 15 Teilnehmer halten die restlichen Anteile. Der Staat behält via EIDCOM die Kontrolle über die E-ID aber er überwacht nicht systematisch. Und die IdP dürfen es gesetzlich nicht. Ich bin zuversichtlich, dass sie es auch nicht tun werden.
Um Daten für einen anderen Zweck als für die Identifizierung der E-ID Halter zu bearbeiten, müssten alle 20 Miteigentümer der SwissSign und deren Mitarbeiter bereit sein, das Gesetz systematisch zu brechen und diese “Verschwörung” gemeinsam geheim zu halten. So etwas käme aber extrem schnell heraus und sie würden die Anerkennung als IdP verlieren.
Unternehmen wollen Digitalisierung vorantreiben
Da die beteiligten Unternehmen ihre Geschäftsprozesse weiter digitalisieren möchten, würde ein solches Verhalten ihr Grundgeschäft gefährden. Stellen Sie sich vor, was es für eine Bank bedeuten würde, wenn sie auf elektronisches Onboarding, Kommunikation und Identifikation umstellt und dann von einem Tag auf den anderen plötzlich keinen Zugang mehr zu einer E-ID-Lösung hätte. Das könnte sich keiner von ihnen leisten; vom Reputationsschaden ganz zu schweigen.
Datenspeicherung überschaubar
Alle Daten müssten bei den IdP immerhin stets nach 6 Monaten gelöscht werden. Beim Staat blieben sie wie gesagt für Jahrzehnte. Diese 6 Monate sind übrigens auch nur im BGEID, weil der Staat einzelfallbasierend beispielsweise im Zusammenhang mit Strafuntersuchungen an diese Daten heran möchte. Die IdP selbst benötigen diese Speicherung nicht und sie dürfen mit den Daten – wie erwähnt- nichts anderes tun als die Halter der E-ID zu identifizieren.
Wie stehen Sie zu einer solchen Arbeitsteilung? Würden Sie eine E-ID ganz von Privaten oder ganz vom Staat bevorzugen?