Watson macht einen “Faktencheck” und bringt alles durcheinander

Am 17. Februar 2021 hat Petar Marjanovic im Artikel “«E-ID ist ein elektronischer Pass» – 7 Behauptungen im Faktencheck” (Watson.ch) versucht, die E-ID zu erklären.

Wir haben den Beitrag gelesen. Und stellen uns die Frage:

Wer macht eigentlich den Faktencheck in Bezug auf den Faktencheck?

Wir nehmen uns dem an. Im Folgenden die Behauptungen in Watson.ch im Einzelnen.

#1 Elektronischer Pass?

Watson prüft: Es wird ein elektronischer Pass eingeführt. Watson bewertet: Diese Aussage sei “grösstenteils richtig”.

Wir haben es ja schon anderswo geschrieben: Mit dem Pass zielen die Gegner der E-ID auf Gefühle (Lex Laux auf inside-it.ch). Denn der Pass ist in der Wahrnehmung der durchschnittlichen Adressatin dieser Diskussion ein etablierter Begriff: Es geht um das rote Büchlein, das die Eidgenossenschaft ihren Bürgerinnen und Bürgern aushändigen lässt. Es ist das Dokument, das Zugehörigkeit zur Schweiz zum Ausdruck bringt.

Unsere Einordnung (“falsch”) basiert auf der folgenden Aussage: Wenn schon etablierte Begrifflichkeiten wie “Pass” explizit verwendet werden, um Gefühle anzusprechen und so die Gegner zu mobilisieren, so sollten diese Begriffe immerhin korrekt sein.

Richtig ist, bei neutraler Betrachtung: Die E-ID ist ein Instrument, um in einer für den Online-Bereich ausreichenden Art den Nachweis zu führen, dass die Nutzerin persönliche Eigenschaften mitbringt, welche für die Relying Party wichtig sind.

Das Referendumskomitee benützt gar den Begriff “digitaler Schweizer Pass”, was noch falscher ist. Die E-ID ist so viel Pass wie ein Studentenausweis, ein Führerschein oder ein Bankkärtchen ein “digitaler Schweizer Pass” sind.

Weiteres zur Nachweisfunktion im Internet hier auf diesem Blog: Identität — Was ist das?

Die E-ID gleicht einige Attribute des Inhabers ab und bestätigt diese – oder eben nicht. Das ist die Gemeinsamkeit von E-ID und einem irgendwie gearteten Ausweis.

Aber: So wie der Führerschein die Fähigkeit bestätigt, dass der Inhaber ein Fahrzeug führen darf, der Studentenausweis die Eigenschaft als Student und das Bankkärtchen ein Konto bei der Bank, so bestätigt der Schweizer Pass, dass diese Person ein Schweizer Staatsbürger oder eine Schweizer Staatsangehörige ist. Die E-ID steht auch Ausländern offen und führt weder zur Staatsangehörigkeit noch ermöglicht sie einen Grenzübertritt. “Pass” ist falsch.

#2 E-ID ein alter Hut?

Watson prüft: Die E-ID gibt es schon. Watson bewertet: Diese Aussage sei “richtig”.

Dass es schon Identifikationsmöglichkeiten im Internet gibt, ist richtig, aber in diesem Zusammenhang irrelevant.

Man muss immer darauf schauen, wozu es Identifikationsmöglichkeiten gibt. Es geht um Use Cases. Worauf zielen Lösungen im Anwendungsbereich des BGEID ab? Und welche sind “sonstige” Convenience-Funktionen. Zu dieser Diskussion siehe unseren Beitrag “Passwortmanager“.

Wir finden: Convenience-Funktionen haben mit der Zielsetzung des BGEID nichts zu tun. Mit der Zielsetzung von privaten Anbieterinnen schon eher.

Relevant ist hingegen die Nutzungsmöglichkeit für die zentralen Use Cases (siehe die Use Cases im Side Bar dieses Blogs). Und dafür ist das richtige Setup erforderlich.

Das Setup im BGEID hat Potential. Denn es bringt die wichtigsten Akteure in der Schweiz an einen Tisch. Aber erst, wenn die E-ID den Merchants wie auch den Inhabern einen genügenden Vorteil verschafft, wird sie zu einer “vollwertigen” E-ID.

#3 Bankkonto nur noch mit E-ID?

Watson prüft: Bei einem «Ja» kann ich das Bankkonto nicht mehr ohne Internet eröffnen. Watson bewertet: Diese Aussage sei “grösstenteils richtig”.

Wie man reine Spekulation als “richtig” bezeichnen kann, erschliesst sich dem Leser nicht. Die Post und mit ihr PostFinance müssen eine Grundversorgung sicherstellen:

Das Postgesetz und die Postverordnung legen fest, was zur Grundversorgung gehört und welche quantitativen und qualitativen Anforderungen dabei zu erfüllen sind. Die zur Grundversorgung gehörenden Zahlungsverkehrsdienstleistungen muss die Post allen natürlichen und juristischen Personen mit Sitz in der Schweiz anbieten. Für 90% der Bevölkerung müssen die Dienstleistungen des Zahlungsverkehrs zu Fuss oder mit öffentlichen Verkehrsmitteln innerhalb von 20 Minuten erreichbar sein. Dies gilt unabhängig von der Technologie, mit der die Leistungen angeboten werden.

Website Post: “Grundversorgung im Zahlungsverkehr“, besucht am 17. Februar 2021

Es steht völlig ausser Frage, dass es auch in Zukunft möglich sein wird, ohne eine E-ID ein Postkonto zu eröffnen und den Zahlungsverkehr am Postschalter abzuwickeln. Alle anderen Banken werden das anbieten, was sie für richtig halten. Genau so wie es dem Konsumenten frei steht, eine Bank zu meiden, welche ihm nicht genehm ist.

Und noch eine Bitte: Was die SwissSign heute mit der SwissID macht, lässt zwar erwarten, wie SwissSign Group morgen (nach Inkrafttreten des BGEID, je nach Abstimmungsausgang natürlich) das Angebot einer E-ID erbringen will. Aber die SwissID zum Stand heute ist nicht die E-ID zum Stand morgen und kann es auch nicht sein. Begründung: Das BGEID ist heute noch gar nicht in Kraft. Die heutige SwissID ist keine E-ID.

#4 E-Pässe von Firmen?

Watson prüft: Firmen können bald «E-Pässe» ausstellen. Watson bewertet: Diese Aussage sei “richtig”.

Es ist unklar, weshalb Watson sich gezwungen sieht, auf den Zug mit den “Pässen” aufzuspringen und diese Begriffsauseinandersetzung erneut zu forcieren.

Anerkannte Anbieter, welche sich verpflichten, die strengen Regeln des BGEID einzuhalten und vom Staat kontrolliert werden, können die E-ID in Zusammenarbeit mit dem Bundesamt für Polizei (fedpol) und mit Zustimmung der Inhaberin der E-ID herausgeben. Die Anbieter bestimmen aber nicht, ob ich ich bin, sondern führen die von mir getätigten und von fedpol bestätigten Angaben zusammen und verknüpfen sie zu einer E-ID. Einen “E-Pass” gibt niemand heraus. Er wird auch bei einer Annahme des BGEID nicht existieren.

#5 Mit der E-ID das grosse Geschäft?

Watson prüft: Mit der E-ID können Private dann Profit machen. Watson bewertet: Dieser Aussage “fehle der Kontext”.

Die Identity Provider (IdP) dürfen mit ihrem Angebot einen Gewinn erwirtschaften. Sie erhalten von den Merchants, sprich den Online-Diensten, welche die E-ID einbinden wollen, eine Gebühr. Diese setzt sich zusammen aus einer “Aufschaltgebühr” und einer Nutzungsgebühr pro erfolgter Identifikation. Die Kosten dürften bei SwissSign bei mehreren tausend Franken für das Setup und über 15 Rappen pro Identifikation liegen. Ob eine jährliche Grundgebühr hinzukommt, ist mir derzeit unbekannt. Das klingt für Merchants, die heikle Dienstleistungen anbieten, welche ein umfassendes Onboarding mit vielen Formularen benötigten (z.B. Banken oder Versicherungen) spannend. Auch grössere Gemeinden könnten für ihr E-Government Angebot auf so eine E-ID setzen, da sie genügend Volumen haben und dem Endnutzer für jede Dienstleistung etwas verrechnen dürfen.

Für einen gewöhnlichen Online-Shop oder eine kleine Gemeinde dürfte das nicht attraktiv sein, für nicht-kommerzielle Dienste erst recht nicht.

Und doch schafft diese Ausgangslage vielleicht Raum für alternative Identity Provider, welche eine einfache, schlanke Lösung mit tiefen Kosten anbieten können. Es kann so auch attraktiv sein für Kantone, die bestehende Infrastruktur zu nutzen und “sein eigener” Identity Provider zu werden oder sich für diese Aufgabe zusammenzuschliessen. Das BGEID schliesst das keineswegs aus.

Richtig hingegen ist – aber das ist hier nicht die Frage – dass die Identity Provider die bei einer Identifikation anfallenden Daten nicht kommerzialisieren dürfen.

#6 Ausverkauf der Daten an Private?

Watson prüft: Unsere Daten werden an Private verkauft. Watson bewertet: Diese Aussage sei “richtig”.

Zunächst wird der Ablauf nicht korrekt dargestellt. Korrekt wäre er wie folgt (verkürzte Darstellung):

1. Der Interessent gelangt an einen IdP. Der IdP nimmt die für das gewünschte Sicherheitsniveau i.S.v. Art. 5 BGEID benötigten Daten vom Interessenten auf und leitet sie im Namen des Interessenten ans fedpol (Art. 6 Abs. 1 BGEID)
2. Fedpol prüft die Anfrage des IdP, Fedpol rückversichert sich beim Interessenten, ob eine Einwilligung vorliegt, und wenn ja, übermittelt Fedpol die Personenidentifikationsdaten (PID) an den IdP (Art. 6 Abs. 2 BGEID)
3. Der IdP fügt die Daten zusammen und stellt die zertifizierte EiD Aus (Art. 6 Abs. 4 BGEID)

Entsprechend beisst sich auch das von Watson gebrachte Beispiel mit der Realität. Die Ausstellung ist ein abstrakter, einmaliger Vorgang auf Wunsch und mit Einwilligung des Nutzers, unter Einbezug von Fedpol und unter Aufsicht des Bundes (EIDCOM). Ein Webshop hat damit nichts zu tun.

Wenn ich Daten kaufe, will ich sie so nutzen, wie ich möchte. Die IdP dürfen mit den Personenidentifizierungsdaten (PID) nichts anderes tun, als die Person zu identifizieren (Art. 9 Abs. 1 BGEID und Art. 16 Abs. 1 BGEID). Sie kaufen die Daten also nicht.

Wenn ich Daten kaufe, will ich sie auch weitergeben können. Die IdP dürfen die PID Dritten nicht weitergeben und erst recht auch keine darauf basierenden Nutzungsprofile (Art. 16 Abs. 2 BGEID). Sie kaufen die Daten also nicht.

Wenn ich Daten kaufe, will ich bestimmen, ob und wann ich sie lösche. Alle Nutzungsdaten müssen nach sechs Monaten vernichtet werden (Art. 15 Abs. 1 lit. k BGEID). Es handelt sich um eine Maximalfrist. Die Datenbearbeitungsgrundsätze des DSG können je nach Use Case eine kürzere Löschfrist verlangen. Der Nutzer kann die E-ID jederzeit widerrufen (Art. 9 Abs. 1 BGEID). Soweit nicht eine gesetzliche Vorschrift eine Aufbewahrung für die vollen 6 Monate verlangt, kann die Nutzerin die Datenbearbeitung (sprich: die Datenspeicherung beim IdP) schon zuvor löschen lassen. Die IdP kaufen die Daten also nicht.

Dass so ein Service nicht gratis ist, sollte jedem einleuchten. Bei jeder Lösung fallen Kosten an. Das ist aber nicht der Preis für irgendwelche “Datenkäufe”, sondern für die im Zusammenhang mit der E-ID erbrachten Dienstleistungen.

#7 Nein zu BGEID = Nein zur E-ID?

Watson prüft: Bei einem «Nein» gibt’s einen Stillstand. Watson bewertet: Diese Aussage sei “grösstenteils falsch”.

Um seine Einschätzung zu untermauern, schreibt Marjanovic:

Die Erfahrung vom vorliegenden E-ID-Gesetz zeigt zudem: Wenn man es politisch will, dann geht es auch schnell. Das E-ID-Gesetz brauchte von der Vernehmlassung bis zur Volksabstimmung nur vier Jahre.

Petar Marjanovic, 17. Februar 2021, “«E-ID ist ein elektronischer Pass» – 7 Behauptungen im Faktencheck“

Wenn man die Ansicht vertritt, dass vier Jahre von Vernehmlassung (sprich der Besprechung des Entwurfs des Gesetzes, der bereits vorliegen muss) bis zur Abstimmung, eine kurze Zeit sei, dann stimmt die Aussage mit dem Stillstand nicht. Sprich Watson hätte recht.

Die Gegner der E-ID sind aber heterogen. Zunächst müsste evaluiert werden, weshalb die Vorlage gescheitert wäre. Wäre es wegen dem technischen Setup, weil die Mehrheit eine rein staatliche Lösung wünscht oder weil die Mehrheit überhaupt keine E-ID will? Wenn die Vorlage nicht in der Schublade verschwindet und irgendwann tatsächlich der neue Entwurf fertiggestellt wird, steht der gleiche Prozess an. Eine alternative Lösung könnte folglich in weniger als 10 Jahren in Kraft treten. Es ist denn auch nicht gesagt, dass gegen einen alternativen Vorschlag nicht erneut das Referendum ergriffen werden würde. Die Zukunft ist bei einem “nein” völlig ungewiss. Die Einschätzung von Watson ist meines Erachtens folglich grösstenteils falsch.

Schlussbemerkung

Wir hatten bei alldem vielleicht ein Fehlverständnis von Watson.ch. Dieser Gedanke kommt uns jetzt auf.

Bislang hatten wir watson.ch irgendwo in die Kategorie eines Medienhauses eingereiht. Das will watson.ch wohl eher gar nicht sein, sondern einfach eine Meinungsseite.

Dann reduzieren sich natürlich die Anforderungen.