Behauptung: “Der IdP wird dich im Internet überwachen”
Im Netz wird fleissig darüber spekuliert, welche Horrorszenarien mit dem BGEID eintreten könnten. Es lohnt sich, auf diese einzugehen.
Behauptung
| Der IdP kann tracken, was du im Internet machst. Er wird daraus Nutzungsprofile erstellen. Und er wird diese kommerzialisieren. |
Beispiel:
(1) Antwort zu “kann tracken”
Im Mittelpunkt der Tätigkeit des IdP stehen die Personenidentifizierungsdaten (sie sind in Art. 5 BGEID geregelt). Der IdP darf diese nur für die Identifizierung der Nutzer gemäss BGEID bearbeiten (Art. 9 Abs. 1 BGEID). Er darf solche Daten auch nicht an Dritte weitergeben (Art. 16 Abs. 2 BGEID). Siehe hierzu den Beitrag “Wie sind die Daten beim IdP geschützt?“
Der IdP hat in der Tat Kenntnis (im Sinne von “Maschinensicht”, siehe hier: Was bedeutet Kenntnis?) von gewissen Datenpunkten, wenn die Nutzerin sich irgendwo mit ihrer E-ID einloggt. Es sind keine Inhaltsdaten (“IdP sehen keine Inhaltsdaten“), sondern nur Angaben dazu wer (die Nutzerin) wann bei wem (dem Merchant, der Relying Party) einen Identifikationsvorgang absolvieren musste. Was auf den Systemen des IdP entsteht ist sog. “Maschinensicht”. Es entsteht nicht ohne Weiteres Klartextzugriff durch Personen (d.h. keine “Personensicht”), die ohnehin nach Art. 9 Abs. 1 BGEID nicht systematisch erstellt werden darf. Diese Präzisierungen sind notwendig. “Kenntnis” als Begriff wird ja in der Diskussion zu oft falsch verstanden.
Zunächst: Datenhaltung auf den Systemen des IdP dauert maximal sechs Monate (Art. 15 Abs. 1 lit. k BGEID). Spätestens dann, wenn nicht schon früher, müssen die Daten gelöscht werden.
Unterstellen wir mal, dass es zu “Personensicht” käme, dann wäre die Analyse wie folgt:
- Der IdP kann beispielsweise aus den zeitlich unmittelbar anknüpfenden Besuchen von zwei Online-Shops nicht schliessen, dass der Kaufprozess beim ersten unterbrochen wurde. Er könnte daraus nur ableiten, dass es einen zweiten Shopbesuch gegeben hat.
| Beispiel: Wenn die Shopperin zuerst auf den Shop von Jimmy Choo navigiert und dann auf jenen von Dosenbach, sind beide Seitenbesuche per se auf den Systemen des IdP datenmässig erfasst. Ob vor dem Besuch bei Dosenbach ein Kauf, ein Kaufabbruch oder ein Systemfehler geschehen ist, kann man noch nicht sagen. |
- Mit zusätzlicher Datenanalyse kann der IdP (im Beispiel Jimmy Choo / Dosenbach) aus der Verkettung der beiden Ereignisse schliessen, dass die Shopperin sich vermutlich für Schuhe interessiert. Ob dies zutrifft, ob die Shopperin ein Paar oder zwei Paar Schuhe oder überhaupt Schuhe (vielleicht andere Lederwaren wie Gürtel?) kaufen wollte, ist nicht ersichtlich. Das müsste man aber wissen, um beurteilen zu können, ob es beim ersten Shop zu einem Kaufabbruch kommt.
Das Beispiel zeigt: Es braucht also eine zusätzliche Datenanalyse.
Solche zusätzliche Datenanalysen sind nach Art. 9 Abs. 1 BGEID verboten, siehe Wie sind die Daten beim IdP geschützt? Art. 9 Abs. 1 BGEID lautet wie folgt:
| IdP dürfen von fedpol übermittelte Personenidentifizierungsdaten nur bearbeiten, bis die E-ID widerrufen wird, und nur für Identifizierungen nach diesem Gesetz. |
Art. 9 Abs. 1 BGEID ist eine klare Bestimmung. Sie ist zwingend, siehe den Beitrag hier.
Das Erheben von zusätzlichen Angaben im Sinne der geschilderten zusätzlichen Datenanalyse stellt einen schweren Verstoss gegen eine klare und zwingende Bestimmung eines Bundesgesetzes dar.
Die Tätigkeit des IdP steht unter Aufsicht der EIDCOM. Diese würde sich solchen Geschäftspraktiken annehmen müssen. Und es käme zu Sanktionen: E-ID und Sanktionsmöglichkeiten.
(2) Antwort zu “wird Nutzungsprofile erstellen”
Es kann Datenreihen geben, wenn eine Nutzerin sich entgegen unserer Empfehlung für mehr als nur die absolut notwendigen Use Cases mit der E-ID einloggt (siehe dazu die Seite hier).
Eine Nutzung dieser Daten für andere Zwecke als zur Identifizierung nach dem BGEID ist verboten; denn es würde sich um eine Bearbeitung von Personenidentifizierungsdaten handeln, was verboten ist (Art. 9 Abs. 1 BGEID).
(3) Antwort zu “wird diese kommerzialisieren”
Die Kommerzialisierung von Nutzungsprofilen ist verboten, Art. 9 Abs. 1 BGEID. Ein IdP, der sich solchen Geschäftspraktiken hingibt, wird hart sanktioniert werden, siehe den Beitrag E-ID und Sanktionsmöglichkeiten.
Fazit
Das Gesetz verbietet dem IdP die Verknüpfung und Analyse von Daten, die mithilfe von Personenidentifizierungsdaten entstehen, um daraus Profile zu erstellen. Diese Tatsache scheint manch einen nicht weiter zu interessieren. Es ist schade, dass sich die Diskussion zusehends vom effektiven Inhalt des Gesetzes loslöst und in die Sphären von Fear, Uncertainty and Doubt (FUD) abdriftet.
Das BGEID hat auch seine Schwächen, aber die eingangs erwähnte Behauptung ist keine davon.