E-ID und Sanktionsmöglichkeiten

Wer als Identity Provider (IdP) E-IDs ausstellt und Daten missbraucht, wird kontrolliert und sanktioniert. Man darf nicht den Fehler machen und nur auf das BGEID schauen.

Darf ein IdP-Mitarbeiter Menschen töten?

Die Frage in der Überschrift klingt absurd.

Die richtige Antwort darauf: “Natürlich nicht!”

Da mag jemand noch sagen: “Das steht aber so nicht im BGEID!”

Die richtige Antwort darauf: “Das muss es auch nicht!”

Die Einleitung soll die Problematik der Diskussion über die Sanktionen “im BGEID” aufzeigen:

Wenn über die E-ID und insbesondere über mögliche Sanktionen diskutiert wird, fällt mitunter die Aussage: “Das steht aber so nicht im BGEID!”

Die richtige Antwort darauf: “Das muss es auch nicht!”

Wir möchten im Folgenden näher erörtern, welche Behörden gestützt auf welche Vorschriften über welche Sanktionsmöglichkeiten verfügen und wie dies im Kontext der E-ID zusammenwirkt.

Involvierte Behörden

Bundesrat

Der Bundesrat konkretisiert mithilfe der Verordnung zum BGEID einzelne Bestimmungen (siehe den Beitrag zur Verordnung). Darüber hinaus kann der Bundesrat selbst dafür sorgen, dass der Bund ein eigenes E-ID-System betreibt, wenn die anerkannten IdP diese Aufgabe nicht erfüllen können (Art. 10 Abs. 1 BGEID).

EIDCOM

Die Eidgenössische E-ID-Kommission (EIDCOM) wacht als Aufsichtsbehörde über die E-ID. Sie wird mit dem BGEID eingeführt. Sie überwacht die Einhaltung des Gesetzes und kann Aufsichtsmassnahmen gegen den IdP anordnen, wenn dieser das Gesetz verletzt (Art. 19 Abs. 1 i.V.m Art. 26 Abs. 1 BGEID)*. Mehr dazu unten.

*Sonst hat sie eher systemische Kompetenzen (um diese geht es hier nicht). Es handelt sich dabei um die folgenden: (1) Anerkennung des IdP (Art. 13 BGEID) – Wer eine E-ID ausstellen möchte, muss sich als IdP anerkennen lassen; (2) Streiterledigung über Fragen des Zugangs zu einer E-ID und zur Interoperabilität (Art. 26 Abs. 1 lit. c BGEID); (3) Überwachung der IdP und deren Systemen im Hinblick auf ein sicheres, vielfältiges und erschwingliches Angebot (Art. 26 Abs. 3 BGEID).

Sekretariat der EIDCOM

Das Sekretariat der EIDCOM dient nicht etwa als “first impression”, sondern taktet Untersuchungen und trifft vorsorgliche Massnahmen (siehe Art. 27 BGEID). Vorsorgliche Massnahmen können ziemlich grosse Schmerzen verursachen.

EDÖB

Neben der EIDCOM kommt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine überaus wichtige Rolle für das E-ID zu. Das wird in der Diskussion zu oft ausgeblendet. Mehr dazu ebenfalls unten.

Strafverfolgungsbehörden

Strafverfolgungsbehörden können Bussen und sogar Freiheitsstrafen aussprechen (z.B. gestützt auf Art. 292 StGB oder Art. 253 StGB). Dies entfaltet eine sehr relevante Wirkung.

Zusammenspiel dieser Behörden

Wie diese Behörden zusammenwirken, stellen wir im Folgenden dar.

(1) Aufsichtsmassnahmen der EIDCOM

Welche Massnahmen?

Welche Aufsichtsmassnahmen der EIDCOM kommen vor?

• Erheben von Beweismitteln (Art. 12 VwVG)
• Eingriffe in den Geschäftsbetrieb des IdP mit Vorgaben, er habe dies oder das (z.B. einen Datenmissbrauch oder eine Architektur, welche das Need-to-Know-Prinzip nicht achtet) innert kürzester Frist vollständig zu unterlassen (Art. 5 VwVG). Diese Anordnung wird mit Strafandrohung nach Art. 292 StGB verknüpft (siehe unten)
• Ersatzvornahme, d.h. Veranlassen einer rechtmässigen Lösung (Art. 41 VwVG), auf Kosten des IdP
• Entzug der Anerkennung (Art. 19 Abs. 2 BGEID). Die digitale Gesellschaft hat das kritisiert. Wer too big to fail ist, dem entzieht man nicht einfach die Anerkennung (dazu in einem separaten Beitrag mehr; mit Blick auf die limitierten Use Cases, um die es bei der E-ID geht, ist dieses Argument sehr diffus.)
• Strafverfolgung gegen Organe wegen direkten Verstössen gegen das StGB oder ähnliche Bestimmungen (es können Freiheitsstrafen zur Anwendung kommen)
• Strafverfolgung wegen Ungehorsams gegen die Verfügungen der EIDCOM (Bussen nach Art. 292 StGB)
• Unterbreitung von Vorschlägen an den Bundesrat, wenn der Markt trotz Eingriffen der EIDCOM nicht funktioniert. Diese sind inhaltlich nicht beschränkt und können bis zum Vorschlag der Herausgabe einer eigenen E-ID durch den Bund reichen (Art. 26 Abs. 4 BGEID).

Um auf die Einleitung zurückzukommen, der Grund für diesen Sanktionenkatalog ist der: Da es sich bei der EIDCOM um eine eidgenössische Kommission handelt, ist zusätzlich das allgemeine Verwaltungsverfahrensgesetz (VwVG) anwendbar (Art. 1 Abs. 2 lit. d VwVG), welches der EIDCOM diese ergänzenden Möglichkeiten gibt. Es geht also um viel mehr als was im BGEID steht.

Wie wirkt sich das in der Praxis aus?

Die EIDCOM würde als Behörde, die am nächsten dran ist an den Beteiligten, hauptsächlich bei Verstössen im Zusammenhang mit dem BGEID selbst tätig werden. Ein solcher Verstoss reicht von der Weigerung des IdP, einem Interessenten eine E-ID auszustellen, bis hin zu schwerwiegenden Mängeln in der Architektur eines IdP oder missbräuchlichem Verhalten eines Beteiligten. Gestützt auf Art. 41 VwVG könnte dies Folgendes bedeuten:

• Ersatzvornahme: Die EIDCOM kann veranlassen, dass der IdP seine Lösungsarchitektur verbessert. Zum Beispiel, wenn die Lösung gegen Art. 9 oder Art. 16 BGEID verstösst. Wenn der IdP es nicht selber macht, kann die EIDCOM ihm sogar eine Ersatzlösung aufs Auge drücken.
• Entzug der Anerkennung: Wenn der Entzug der Anerkennung einfacher ist, wird die EIDCOM wohl die Anerkennung entziehen. Wenn es nur eine Anbieterin gibt und der Bund die Lösung nicht selber übernehmen will, ist das Aufdrücken der Ersatzlösung ein gangbarer Weg.
• Kostenauflage: Für alle Massnahmen muss der IdP geradestehen und sie bezahlen.
• Strafverfolgung gegen Organe, z.B. weil sie im Anerkennungsverfahren oder bei dessen Erneuerung gelogen haben.
• Strafverfolgung wegen Ungehorsams nach Art. 292 StGB. Dies kann zu Bussen führen.

Die in der Öffentlichkeit diskutierten Verstösse gegen das BGEID würden sehr häufig auch weitere Gesetze betreffen. Damit ist die EIDCOM gewissermassen der Ausgangspunkt für Sanktionszüge des Staats. Sie ist nahe dran. Ihre Mitglieder sind technisch versierte Fachpersonen. Wenn etwas geschieht, klärt die EIDCOM ab. Und umgehend schon zieht sie weitere Behörden bei. Bei Datenschutzverstössen wären dies der EDÖB sowie die Strafverfolgungsbehörden, letztere z.B. bei falschen Angaben im Zusammenhang mit der Anerkennung eines IdP. Auf deren Kompetenzen gehen wir sogleich ein. An Sanktionzügen. welche die EIDCOM lostritt, wird ein IdP keine Freude haben.

Die EIDCOM selbst hat keine Bussenkompetenz …

Die EIDCOM kann selber keine Bussen ausfällen (wie z.B. die Wettbewerbskommission es kann). Grund: Eine besondere Kompetenz dafür fehlt im BGEID.

… aber sie kann den IdP Beine machen …

Die EIDCOM (bzw. ihr Sekretariat) sind nahe dran. Sie werden Gesetzesverstösse feststellen. Und dann würde eine Busse ausgefällt, wenn der fehlbare IdP den rechtmässigen Zustand nicht innert Frist wiederherstellt. Dies ergibt sich aus dem Strafgesetzbuch: Es berechtigt die EIDCOM, ihre Anordnungen mit Hinweis auf Art. 292 StGB mit einer Strafandrohung zu versehen. Wer nicht spurt, wird dann bestraft.

… und Strafverfolgungsbehörden verhängen dann die Bussen

Das Fehlen einer besonderen Bussenkompetenz bedeutet also nicht, dass es keine Bestrafung von unfehlbaren IdPs geben wird. Nur findet dafür eine Zusammenarbeit mit anderen Behörden statt: sprich dem EDÖB und den Strafverfolgungsbehörden.

Ein anschauliches Vergleichsbeispiel für diese Regelung wäre, den Dieb nicht bereits für den Diebstahl zu bestrafen, sondern erst, wenn er ertappt wurde und die gestohlenen Sachen nicht sofort zurückgibt. Unter dem BGEID ist es vergleichbar: Die EIDCOM kann nicht bereits den ersten Gesetzesverstoss ahnden. Erst die Strafverfolgungsbehörden ahnden dann.

Die EIDCOM kann das Anerkennungsverfahren auf Sanktionen trimmen

Ist ein Verstoss gegen das BGEID zugleich auch ein Verstoss gegen das Strafgesetzbuch (was man bei geeigneter Ausgestaltung des Anerkennungsverfahrens realisieren kann), wird auch der Gesetzesverstoss selbst (also sprich der Diebstahl an sich) direkt bestraft. Die EIDCOM kann das Anerkennungsverfahren (durch Ausgestaltung von Fragebögen) so trimmen, dass Falschangaben des IdP im Anerkennungsprozess sehr rasch zu Strafsanktionen führen. Wir sprechen hier z.B. von falschen Angaben in den Antragsformularen (Art. 253 StGB)

Unter Umständen erfolgt auch gestützt auf das DSG eine direkte Bestrafung

Ist ein Verstoss gegen das BGEID auch zugleich ein Verstoss gegen das Datenschutzrecht (was regelmässig der Fall sein dürfte) und ist der Vorgang nach dem DSG strafrechtlich relevant, wird auch der Gesetzesverstoss selbst (also sprich der Diebstahl an sich) direkt bestraft.

Bewertung

Es gibt eine Vielzahl von Sanktionen. Diese wirken empfindlich. Nichtsdestotrotz: Die fehlende direkte Bussenkompetenz der EIDCOM kann man als Missgriff des Gesetzgebers sehen. Warum man der EIDCOM keine Bussenkompetenz geben wollte, weiss ich nicht. Es sprechen keine Gründe dagegen, finden wir.

(2) Massnahmen des Sekretariats der EIDCOM

Das Sekretariat der EIDCOM erlässt selbständig Verfügungen, soweit das Geschäftsreglement es vorsieht (Art. 27 Abs. 3 BGEID). Es kann in den Betrieb eines IdP eingreifen, sofern die Verhältnisse es erfordern (Art. 27 Abs. 4 BGEID); mit dieser Regelung ist nochmals klargestellt, dass IdP’s vor dem Sekretariat der EIDCOM Respekt haben sollten.

Die EIDCOM kann dem Sekretariat weitere Aufgaben übertragen. Damit kann die EIDCOM zu einer Art Steuerungsbehörde über die Geschicke der digitalen Identität werden. Und das Sekretariat zur scharfen Waffe. Wenn die EIDCOM selber mit Expertinnen und Experten besetzt wird, die sich nicht ein X für ein U vormachen lassen, dürfte eine ziemlich spannende Dynamik entstehen: Das Sekretariat muss sich vor den Expertinnen in der EIDCOM beweisen, seine Untersuchungen dürfen nicht lachhaft sein und doch muss es handlungsfähig bleiben. Dies bedeutet, dass das Sekretariat sich die Sporen wird abverdienen müssen.

(3) Massnahmen des EDÖB

Das Datenschutzgesetz wird im Zuge der Totalrevision per 2022 verschärft und gewährt dem EDÖB einen ganzen Strauss an Möglichkeiten, Datenschutzverstösse zu ahnden. Und das funktioniert so:

• Der EDÖB wird bei Verdacht auf einen Datenschutzverstoss von sich aus, auf Geheiss einer Behörde (z.B. der EIDCOM), von Privaten oder den Fehlbaren selbst (Selbstanzeige) tätig.
• Zunächst verfügt der EDÖB über diverse Befugnisse und kann sich zwangsweise Zugang zu Dokumenten, Räumlichkeiten und Personen verschaffen (Art. 50 revDSG).
• Darüber hinaus kann er mithilfe von Verwaltungsmassnahmen etwa Datenbearbeitungen verbieten und zwangsweise Datenlöschungen anordnen (Art. 51 revDSG).

Der Massnahmenkatalog des EDÖB ergänzt somit denjenigen der EIDCOM auf sinnvolle Weise und ermöglicht so eine effiziente Aufsicht der Beteiligten durch den Bund. Der EDÖB verstärkt das Sekretariat der EIDCOM bei Untersuchungen. Man muss das wie eine Eskalation ansehen: Vor Gericht wirkt es ziemlich schlecht, wenn der IdP nicht bereits mit dem Sekretariat der EIDCOM kooperiert hat. Prozesstaktisch würde man dem IdP nicht dazu raten.

(4) Massnahmen von Strafverfolgungsbehörden

Strafenkatalog aus dem DSG

Verstösst ein Beteiligter gegen seine datenschutzrechtlichen Pflichten, (so bei Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten [Art. 60 revDSG], Verletzung von Sorgfaltspflichten [Art. 61 revDSG]), Verletzung der beruflichen Schweigepflicht [Art. 62 revDSG]) oder missachtet er Verfügungen (Art. 63 revDSG), wird er mit Busse bis CHF 250’000 bestraft. Die Strafe trifft direkt die Organe des IdP und wird in der Regel in einem Eintrag im Strafregister münden. Das wirkt normalerweise.

Wer eine unsichere Architektur betreibt, riskiert eine Busse bis CHF 250’000

Die Gegner des BGEID behaupten, dass das BGEID zentrale Sicherheitsarchitekturen vorschreibe. Die daran anknüpfende Folgebehauptung lautet, dass diese zentralen Architekturen unsicher seien.

Wer ein System betreibt, das in Bezug auf die bestehenden Risiken als unsicher gilt (wie die Gegner dies mit der Folgebehauptung postulieren), macht sich strafbar, wenn die Mindestanforderungen an die Datensicherheit nicht eingehalten werden. (Davon muss man ja ausgehen, wenn man den Gegnern gegen das BGEID zuhört.) Wenn also diese Mindestanforderungen nicht eingehalten sind, macht sich z.B. der CEO des IdP strafbar. Es drohen ihm eine Busse von CHF 250’000 plus ein Strafregistereintrag. Das kann sich dieser CEO maximal einmal erlauben. Ab dann wird es schwierig mit der Jobsuche …

Wer im Anerkennungsverfahren lügt, wird mit Gefängnis oder Busse bestraft

Wer sich von der EIDCOM als IdP anerkennen lassen möchte, muss die Voraussetzungen von Art. 13 BGEID und der dazugehörigen Verordnung erfüllen. Die Anerkennung ist ein hoheitlicher Verwaltungsakt, die mit dem Ausstellen einer Urkunde durch die EIDCOM abgeschlossen wird. Wer dabei wissentlich falsche Angaben macht, kann sich der Erschleichung einer Falschbeurkundung strafbar machen (Art. 253 StGB).

Dasselbe gilt bei der Erneuerung der Anerkennung alle drei Jahre. Folglich kann sich ein IdP auch während des Betriebs eines E-ID-Systems strafbar machen, wenn er versucht, die Bestimmungen des BGEID zu umgehen.

Wer verbotene Nutzungsprofile anlegt, kann mit Gefängnis bis fünf Jahren bestraft werden

In Frage käme beispielsweise das wissentliche Verschweigen von eingebauten Sicherheitslücken bzw. Backdoors oder das Verschweigen einer zum Zeitpunkt der Anerkennung oder bei der Erneuerung der Anerkennung angestrebten, widerrechtlichen Datenbearbeitung (sprich Datenmissbrauch). Das Beobachten von User Journeys der Nutzerin bei der Relying Party wäre eine nach Art. 9 Abs. 1 BGEID verbotene Datenverarbeitung. Wer solche Fakten der EIDCOM gegenüber verschweigt, kann sich ebenfalls der Erschleichung einer Falschbeurkundung strafbar machen. Diese wird mit Gefängnis bis fünf Jahren geahndet (Art. 253 StGB). Es genügt eine einfache Falschangabe im Antragsformular. Der IdP bzw. seine Organe werden also nicht erst bestraft, wenn sie besonders arglistig waren.

Anpassungen während laufendem Betrieb

Werden die Antragsformulare besonders ausgestaltet, wird man auch Anpassungen an der IT-Architektur zwischen zwei Erneuerungszyklen (3 Jahre) feststellen. Wer diesbezüglich Unwahres in die Antragsformulare schreibt, kann wiederum bestraft werden. Bestraft wird also auch, wer während des Betriebs eines E-ID-Systems nachträglich eine Maschinensicht herstellt (dazu der Beitrag Was bedeutet Kenntnis).

Bussen von bis zu CHF 5 Mio. zu Lasten des Unternehmens bei unklarer Täterschaft

Falls sich nicht eruieren lässt, wer für eine schädliche Routine in den IT-Systemen des IdP verantwortlich ist, kann es zu Bussen von über CHF 5 Mio. gegen den IdP kommen (Art. 102 Abs. 1 StGB).

Hinweis für den Verordnungsgeber

Um diese Strafbarkeit wasserdicht zu machen, sollte in der Verordnung festgelegt sein, dass die Anmeldung zur Anerkennung als IdP explizit (aber nicht abschliessend) vom IdP Folgendes abfragt:

[ ] Planen Sie, die User Journey der E-ID-Inhaberin bei der Relying Party zu beobachten?
[ ] verpflichten Sie sich, über geänderte Situationen beim IdP sofort Meldung an die EIDCOM zu erstatten?

Wohlverstanden: Diese Präzisierungen braucht die EIDCOM nicht. Sie kann auch ohne Verordnung ihre Antragsformulare ausgestalten. Aber es wäre gut, wenn der Bundesrat bereits in der Verordnung den Sack zumacht.

Bestrafung wegen Ungehorsam

Ausserdem sind Strafverfolgungsbehörden berufen, Bussen für den Fall auszusprechen, dass der IdP sich nicht an Anordnungen der angeblich “zahnlosen” EIDCOM (wie die Gegner des BGEID sie bereits abfällig bezeichnen) halten sollte. Wenn der IdP sich nicht an Anordnungen der EIDCOM, werden seine Organe mit Busse bestraft (Art. 41 Abs. 1 lit. d VwVG mit Verweis auf Art. 292 StGB).

Fazit

Es wird also Bussen geben. Und zwar mit Strafregistereintrag. Und es gibt die Freiheitsstrafe als Sanktionsdrohung. Das wirkt normalerweise.

Im Kreise der BGEID-Gegner wurde das Bild geschaffen, die EIDCOM sei zahnlos. Man darf das System des BGEID aber nicht unterschätzen. Wenn die EIDCOM mit anerkannten Fachleuten besetzt wird, kann sie Grossartiges leisten. All die im Rahmen des Abstimmungskampf laut werdenden Sicherheitsexpertinnen und -experten könnten gute und kritisch prüfende Mitglieder werden – und sich dann beweisen im Einsatz an der Front.