Wie sähe eine staatliche Lösung aus?

Mit dem vorgesehenen Gesetz verteilt der Identity Provider (IdP) Logins an Personen, die ein solches möchten und beim IdP beantragen (Nutzerinnen der E-ID; zur Übersicht über die Wirkung des BGEID siehe den folgenden Beitrag: Wissen: 5 Punkte zum BGEID). Wer ein solches Login hat, hat die E-ID erworben. Spiegelbildlich: Der IdP hat der Nutzerin eine E-ID ausgestellt.

Im Streit: Der Ausstellungsvorgang

Ursprünglich war es so, dass nur dieser Ausstellungsvorgang mit dem Referendum angefochten wurde. Das Referendumskomitee will ja, dass der Staat Logins verteilen soll, und nicht ein privater IdP.

Es gibt derzeit keinen allseits akzeptierten Gegenvorschlag

Eine staatliche Lösung ist derzeit nicht vorgesehen.

Die Alternative zum “Nein” zur E-ID ist der jetzige Zustand. Es gibt keinen Gegenvorschlag.

Bis ein neues Gesetz ausgearbeitet werden würde, würden eine lange Zeit vergehen (die Prognosen über die Dauer der Verzögerung schwanken; auf jeden Fall sind es Jahre, wobei optimistische Schätzungen von 2-3 Jahren ausgehen, sehr pessimistische von bis zu 10 Jahren). Ob diese Befürchtung zutrifft (es handelt sich um ein gefühltes Argument, siehe Lex Laux: Gefühle und IT – geht ja doch (inside-it.ch), kann natürlich niemand abschätzen.

Was man aber sagen kann: Auch auf Seiten der Gegner des BGEID gibt es keine Einigkeit darüber, mit welchem Konzept man denn beim Scheitern des BGEID weitermachen will. Soll es eine dezentrale Lösung sein? (Stichwort Self Sovereign Identity, SSI) oder kann es eine zentrale Lösung sein, einfach eine, die vom Staat herausgegeben wird?

Ich habe eine kleine Umfrage mit 163 Teilnehmern gemacht. Natürlich ist sie nicht repräsentativ. Aber im Ergebnis ist sie dennoch ziemlich eindeutig:

Das Ergebnis der Umfrage lässt den Schluss zu, dass es der Mehrheit nicht um die technische Umsetzung geht. Das heisst: “Solange die Lösung vom Staat kommt, wäre jede Lösung recht.”

Könnte es also sein, dass die Schweiz bei einem NEIN zum BGEID am Ende mit einer zentralen Lösung neu an den Start gehen würde?

• Die Umfrage legt nahe, dass die öffentliche Meinung durchaus eine zentrale Lösung akzeptieren würde. (Natürlich müsste eine solche Umfrage erneut gemacht werden, um sie als belastbare Aussage zu destillieren.)
• Daneben indizieren je nach Use Case weitere Gründe eine eher zentrale Lösungsarchitektur: Der Staat auferlegt z.B. den Fernmeldeanbietern (sprich Swisscom, Sunrise etc., siehe Use Case Handy Abonnement) über die Verordnung zum BÜPF (sprich VÜPF) in Artikel 21 weitgehende Datenaufbewahrungspflichten. Offenbar besteht in gewissen Use Cases ein gewichtiges öffentliches Interesse an der zentralen Speicherung von Daten, mit deren Hilfe bestimmte Vorgänge rekonstruiert und einer Person zugeordnet werden können.

Es erscheint unter diesen Voraussetzungen zumindest fraglich, ob der Staat von sich aus bei einer eigenen E-ID-Lösung von den aus dem BÜPF bekannten Grundsätzen abweichen und auf eine datensparsame, dezentrale Lösung mit Datenhoheit bei der Nutzerin setzen würde.

Auf dieser Basis kann man die folgende Frage stellen:

Was würde sich mit einer staatlichen Lösung ändern?

Wenn man also aus den obigen Gründen zur Annahme gelangt, dass der Staat auch bei einem neuen Anlauf eine zentrale Lösungsarchitektur wählen würde, sind die folgenden Überlegungen anzustellen:

Dass der Staat eine private Dienstleisterin (einen Outsourcer) einsetzen würde, wenn er selber eine E-ID mittels einer zentralen Lösung ausgäbe, wäre die naheliegende Folge der vom Referendumskomitee verfolgten Vision (und wird auch vom Referendumskomitee nicht in Abrede gestellt) und seiner bisherigen Strategie beim Umgang mit Daten bei Fernmeldedienstleistern.

Definitiv ist diese Aussage aber natürlich nicht. Je nach Dynamik eines neuen Gesetzgebungsprozesses sind auch etliche andere Lösungen denkbar.

Käme es aber zur skizzierten Lösung, würde der Outsourcer für den Staat handeln und die technische Infrastruktur für den Bund bereitstellen. Grafisch lässt sich der Unterschied wie folgt darstellen:

• 

• 

Analyse

Für diesen Unterschied das BGEID ablehnen?

Der Vergleich zeigt, wie wenig die vom Referendumskomitee propagierte Alternative die Situation ändern würde:

• Anstelle des IdP erhielte ein Outsourcer Zugriff auf die Personenidentifizierungsdaten;
• Auch dem Outsourcer wäre die Datennutzung verboten (allerdings nur noch aus Vertrag und nicht mehr Kraft des Gesetzes).

Ob es sich lohnt, das BGEID abzulehnen, um die E-ID stattdessen – als wohl wahrscheinlichstes Szenario – in mehreren Jahren via oben skizzierter Alternative einzuführen, erscheint uns zweifelhaft.

Die datenschutzrechtliche Situation würde gar verschlechtert

Umgekehrt würde die Situation mit einer solch zentralen Lösung, die vom Staat ausgeht, sogar verschlechtert:

• Es gäbe nur noch einen Anbieter (Bund mit Outsourcer) und nicht mehrere, im Wettbewerb stehende Lösungen. Der Wettstreit der Ideen käme so nicht zum Tragen;
• Der Bund erhielte auch auf die Nutzungsdaten Zugriff (was gemäss BGEID so nicht stattfindet); dies würde den vom Referendumskomitee selber betonten Zielen (Datenvermeidung) widersprechen.

Fazit

Es sind unter anderem solche Überlegungen, die uns dazu veranlassen, das BGEID als annehmbare und aus heutiger Sicht rasch verfügbare Lösung zu bejahen.