Die Analyse der Republik.ch zur Haftung der Nutzerin

Die Gegner des BGEID kritisieren die Haftungsregel in Art. 32 Abs. 1 BGEID (zu dieser Bestimmung siehe den Beitrag auf diesem Blog; jener Beitrag schliesst mit der Frage, wo denn genau das Problem sei in Bezug auf Art. 32 Abs. 1 BGEID).

Nicht nur Konsumentinnenschutzorganisationen kritisieren die Haftung. Auch die Republik.ch führt die Haftungsregel als Grund an, gegen das BGEID zu sein (A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik“, 28.01.2021, republik.ch):

Das Gesetz zwingt Inhabern der E-ID in Missbrauchs­fällen die Beweislast auf. Aus Sicht von IT-Expertinnen wie auch des eidgenössischen Datenschutz­beauftragten ist dies unzumutbar: In Fällen von digitalem Identitäts­klau wird der Inhaber vermutlich automatisch haftbar.

Welche «notwendigen und zumutbaren Massnahmen» eine E-ID-Nutzerin genau treffen müsse, um Missbrauch zu verhindern, sei alles andere als klar, sagt auch IT-Sicherheits­experte Daniel Muster.

A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik”, 28.01.2021 (republik.ch)

Analyse

Dass die Autorin die Frage der Haftung aufgreift, ist verdienstvoll. Immerhin könnten solche Regeln im Alltag eine Bedeutung bekommen. Ob die Haftung der E-ID-Nutzerin allerdings tatsächlich relevant werden könnte, ist mit Blick auf die Überlegungen im Beitrag Zur Haftung der E-ID-Nutzerin (Art. 32 Abs. 1 BGEID) gar nicht so klar. Es ist schwer, sich Anlassfälle vorzustellen und solche, die man findet, dürften wegen zu weit entfernter Kausalität nicht zu einem Schaden führen.

Problemstellung

Was passiert, wenn die Sicherheitsarchitektur eines IdP sich als zu wenig robust erweist? Die E-ID wird möglicherweise in einer Vielzahl von Situationen zum Einsatz kommen (obwohl wir finden, dass sie nur für ganz bestimmte Zwecke eingesetzt werden sollte, siehe dazu die Use Cases in der rechten Side Bar). Die E-ID könnte sich somit als lohnenswertes Ziel für Hacker erweisen.

Ein solches Risiko kann nicht zu 100% ausgeschlossen werden. Es hängt allerdings nicht direkt mit dem BGEID zusammen. Was mit dem BGEID zusammenhängt, und dazu äussert sich die Autorin, ist die Formulierung betreffend Haftung der Inhaberin einer E-ID.

Sorgfaltspflichten

Das Gesetz ist generell-abstrakt formuliert. Dem Inhaber der E-ID kommt eine Sorgfaltspflicht zu. Er hat die nach den Umständen notwendigen und zumutbaren Massnahmen zu treffen, damit seine E-ID nicht missbräuchlich verwendet werden kann (Art. 12 Abs. 1 BGEID). Unser Beitrag erläutert, was darunter zu verstehen ist.

Irreführende Aufbereitung des Themas in der Republik.ch

Die Autorin lässt einen Gegner der E-ID, Daniel Muster, zu Wort kommen mit der Aussage: “Welche «notwendigen und zumutbaren Massnahmen» eine E-ID-Nutzerin genau treffen müsse, um Missbrauch zu verhindern, sei alles andere als klar“. Daniel Muster ist ein pointierter Gegner des BGEID.

Seine Gegnerschaft allein disqualifiziert ihn selbstverständlich nicht. Aber es wäre irreführend, ihn als neutralen Sicherheitsexperten und damit als Nachweis zur Aussage “Unklarheit der gesetzlichen Regelung” anzuführen. Genau dies tut aber die Autorin. Sie suggeriert damit, dass das BGEID eine skandalöse Regelung vorsehe.

Man liest es und als unbefangene Leserin beschleicht einen ein dumpfes Gefühl. So eine Sauerei!

Hätte das Thema anders aufbereitet werden können? Sicher. Hätte es ausgewogener dargestellt werden müssen? Nach meiner Erwartung, die ich an Journalismus habe: Ja.

Zumindest hätte auch noch ein Experte angeführt werden müssen, der nicht dem Gegnerlager zugeordnet werden kann. Dies erspart sich die Autorin. Ausserdem erspart sie sich den noch aufschlussreicheren Blick in die Botschaft zum BGEID. Diese ist über die Seite des Bundesamts für Justiz (Themenseite zum Gesetzgebungsvorhaben) sowie hier ohne Weiteres auffindbar. Auf Seite 3955 f. kann man nachlesen, welche Sorgfaltspflichten Art. 12 Abs. 1 BGEID meint.

Nun könnte die Autorin entgegnen, dass die Botschaft nicht das Gesetz sei. Das ist formell gesehen richtig, in der Praxis aber falsch. Gerichte ziehen Botschaften – insbesondere bei neuen Gesetzen – routinemässig bei, wenn sie ein Gesetz auslegen müssen und wenn sie verstehen möchten, was der Gesetzgeber mit einer bestimmten Formulierung erreichen wollte.

Hinter dem Doppelpunkt: Eine falsche Aussage

Die Autorin schreibt sodann: “In Fällen von digitalem Identitäts­klau wird der Inhaber vermutlich automatisch haftbar.” Diese Aussage ist falsch. Wir haben dies hier nachgewiesen. Falsch ist insbesondere der behauptete Automatismus. Haftung gemäss OR ergibt sich zusammenfassend daraus, ob ein Schaden entstanden ist, wer den Schaden wirklich verursacht hat (Kausalität), ob und bei wem ein Verschulden vorliegt und ob der Schaden widerrechtlich verursacht wurde.

Darüber hinaus kommen die Beweisregeln zur Anwendung. Wer einen Schaden behauptet, muss die damit zusammenhängenden Tatsachen beweisen. Entsteht der Schaden bei der Nutzerin, muss diese ihn beweisen. Entsteht er bei einem Merchant, beim IdP oder einem Dritten, müssen diese ihn beweisen.

Nun haben wir im bereits erwähnten Blog-Post ausgeführt, welche Schäden bei der Nutzung der E-ID entstehen können. Man kann nicht recht erkennen, warum die Republik.ch die Haftungsfrage so hochgekocht hat.

Die Sorgfaltspflichten sind nicht unklar

Der “Beitrag” der Nutzerin beim Einsatz der E-ID besteht darin, die in der Botschaft ausformulierten Sorgfaltspflichten einzuhalten. Diese sind namentlich die folgenden:

  • Bekannte Missbräuche melden,
  • Zugangsdaten sorgfältig aufbewahren und nicht mit Dritten teilen,
  • Zugangsschutz für das Handy aktivieren,
  • Antiviren-Software auf den benützten Geräten aktivieren.

Die Sorgfaltspflichten sind sehr unspektakular. Sie sind auch nicht schwer zu verstehen. Sie sind praxisbezogen und entsprechen denjenigen, die in jedem Unternehmen für jeden Mitarbeiter seit vielen Jahren beim Umgang mit nichtöffentlichen Informationen und Logins gelten. Aus objektiver Sicht wird wirklich nicht zu viel verlangt.

Nun könnte man natürlich einwenden: Nein, nein, das sei keine eigene Aussage von A. Fichter selber gewesen. Das hätten halt Referenzpersonen so dargestellt, und das ergebe sich auch so aus dem Satzbau: Deswegen habe sie die Aussage ja hinter einen Doppelpunkt gestellt. Man müsse halt genau lesen. Nur: Dafür fehlt im Artikel ein Nachweis. Die Wahrnehmung der durchschnittlichen Leserin wird jedenfalls so sein, dass die Autorin die Aussage selber macht.

Dann schreibt sie, der Automatismus der Haftung werde “vermutlich” entstehen. Die Autorin wird sagen, damit habe sie genügend signalisiert, dass sie eigentlich überhaupt nicht wisse, wie die Sachlage sei. Dass es aber Stimmen gebe, die solches vortrügen. Nur: Dieses Framing fehlt ja im besprochenen Artikel.

Kritik

Qualitätsmängel

Im Sinne einer Zusammenfassung: Die Diskussion zur Haftung der E-ID-Nutzerin in der Republik.ch ist falsch und irreführend.

Fehlende Schlüssigkeit

Die Autorin ergänzt ihre Ausführungen dann noch um Folgendes:

Tatsache ist: Man hätte datensparsamere, sicherere E-ID-Lösungen gesetzlich verankern und damit für verbindlich erklären können. Dies, indem man die E-ID wie einen Pass konzipiert hätte: Nicht ein externer Dienstleister würde die E-ID dabei treuhänderisch verwalten, sondern die Bürgerin selbst wäre Trägerin ihrer E-ID – etwa in Form einer Smartcard.

So könnte die Bürgerin tatsächlich dafür verantwortlich gemacht werden, wenn sie ihre Smartcard verlieren würde oder diese missbraucht würde. 

A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik”, 28.01.2021 (republik.ch)

Wir möchten nicht in diesem Beitrag diskutieren, was wirklich “Tatsache” ist oder ob das BGEID extensive Datennutzungen vorschreibt oder zu technischer Unsicherheit führt. Wir möchten den abschliessenden Satz zur Smartcard diskutieren, wo die Autorin Ausführungen dazu macht, wie man mit einer Lösung auf einer Smartcard haften könnte. Aus dem Satz ergibt sich, dass die Autorin offenbar eine Lösung mit Smartcard favorisiert (es ist ja nach Annahme des BGEID nicht ausgeschlossen, dass die Schweiz eine E-ID mit Smartcard einführen könnte). Ob sich die Haftung bei einer Lösung mit Smartcard dann so gestalten würde, wie die Autorin sich dies vorstellt, muss auch nicht diskutiert werden. Worum es eigentlich gehen sollte: Welche Haftungsfolgen zu Lasten der E-ID-Nutzerin sich aus dem BGEID (Art. 32 Abs. 1 BGEID) ergeben. Solche Aussagen fehlen aber. Entsprechend ist der diskutierte Nachtrag zur Smartcard nicht schlüssig.

Stimmungsmache gegen das BGEID

Es steht fest: Auch bei einer E-ID Lösung mit Smartcard hätte die Inhaberin der E-ID Sorgfaltspflichten. Sie müsste ebenfalls notwendige und zumutbare Massnahmen treffen. Auch bei einer Smartcard-Lösung ginge es darum, wer für den Schaden aufkommen soll, den jemand im Falle eines Missbrauchs erleiden würde: Sie selbst, der Merchant, der IdP, ein Dritter oder der Staat?

Die Autorin macht diesbezüglich gar eine 180 Grad-Drehung und findet – in einem vergleichbaren Szenario – nun plötzlich gerechtfertigt, was sie soeben stark kritisiert hat (Haftung der Nutzerin). Das kann man sachlich nicht mehr nachvollziehen. Was bleibt, ist Stimmungsmache: Ja zu Smartcard, nein zum BGEID. Der Beitrag vom 28.01.2021 ist damit auch in diesem Punkt offenbar nur dies: Stimmungsmache gegen das BGEID.

Bewertung und Tracing

Bewertung

Die Autorin versucht, die Haftungsfrage als ein spezifisches Problem des BGEID darzustellen. Damit verlässt sie das Feld der rein kritischen Kommentierung des BGEID. Ihre Darstellung ist unhaltbar.

Herkunft der Argumente

Das Argument wurde unter anderem prominent im Folgenden Beitrag aufgegriffen:

A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik“, 28.01.2021 (republik.ch)

Weitere Fundstellen

D. Muster, “E-ID-Gesetz ist wirtschaftsfeindlich – Inside Paradeplatz“, 14.02.2021 (insideparadeplatz.ch) – widerlegt durch Ch. Laux, “Dem E-ID-Gesetz kann man getrost zustimmen – Inside Paradeplatz“, 17.02.2021 (insideparadeplatz.ch)

(Spätere Aktualisierung vorbehalten)

Das könnte Dich auch interessieren...

2 Antworten

  1. Adrienne Fichter sagt:

    Ich werde auch hier wieder den ganzen Mist, den Sie geschrieben haben, auseinandernehmen.

    Anders als Herr Laux und Herr Grasarevic dies getan haben, werde ich wieder penibel genau aus ihren Blogbeiträgen zitieren:

    Zum Aufwärmen schon mal dies: Herr Laux war nicht glücklich über die Zitierung von Daniel Muster als eID-Experte. Weil er ein „pointierter Gegner“ sei.

    „Zumindest hätte auch noch ein Experte angeführt werden müssen, der nicht dem Gegnerlager zugeordnet werden kann. Dies erspart sich die Autorin. Ausserdem erspart sie sich den noch aufschlussreicheren Blick in die Botschaft zum BGEID. Diese ist über die Seite des Bundesamts für Justiz (Themenseite zum Gesetzgebungsvorhaben) sowie hier ohne Weiteres auffindbar. Auf Seite 3955 f. kann man nachlesen, welche Sorgfaltspflichten Art. 12 Abs. 1 BGEID meint.“

    Blogbeitrag
    Herr Laux‘ Aussagen sind hier bereits mehrfach falsch.

    Erstens: Herr Laux behauptet also einfach mal, dass ich die Botschaft nicht gelesen habe.
    Überraschung, das hab ich und ich beziehe mich sogar im Text darauf:

    „Dass die Schweizer E-ID in jedem Fall EU-konform sein und dort anerkannt werden soll, steht auch in der Botschaft des Bundesrats zum Gesetz.„

    Republik.ch

    Zweitens: Glauben Sie die eID-Bürgerin wird in der Botschaft des Bundesrats auf Seite 3955 f zum Bundesgesetz eID nachlesen, dass sie einen Antivirenschutz aktivieren muss?

    Und drittens: Ich zitiere gar nicht nur Daniel Muster sondern Florian Forster. Und das krasserweise gerade beim Thema Missbrauch.

    Florian Forster, ehemaliger Leiter der Fachgruppe IAM beim Verein eCH und Spezialist für digitale Identitäten, übt Kritik an der Formulierung. «Am Ende muss die Inhaberin nachweisen, dass sie nichts mit dem Missbrauch ihrer E-ID zu hat. Dabei ist der Schaden für sie am grössten.»

    Republik.ch

    Darauf geht Herr Laux gar nicht ein. Schon seltsam, oder? Warum negiert Herr Laux die Existenz des Zitats von Herrn Forster nur?

    Viertens: Herr Laux verschweigt in seinem Blogbeitrag (böswillig? mutwillig? widerwillig? wir werden es nicht erfahren) dass ich durchaus die Befürworterseite befragt habe. Nämlich den Bund selbst.

    „Das Bundesamt für Justiz relativiert: «Wer nun wie genau haftet, muss im Einzelfall geklärt werden», sagt Sprecherin Sonja Margelist. «Wenn sich zum Beispiel nach einer Attacke erweisen sollte, dass der Identitäts­provider den Betrieb seines E-ID-Systems nicht sicher gewähr­leistet, haftet er.»

    Republik.ch

    Das ist Journalismus, Herr Laux. Man holt immer die offizielle Stellungnahme ein.

    So und nun folgen eine Reihe von weiteren und weitaus krasseren Falschaussagen. Herr Laux schreibt folgendes:

    „Die Autorin schreibt sodann: “In Fällen von digitalem Identitäts­ klau wird der Inhaber vermutlich automatisch haftbar.” Diese Aussage ist falsch. Wir haben dies hier nachgewiesen. Falsch ist insbesondere der behauptete Automatismus. Haftung gemäss OR ergibt sich zusammenfassend daraus, ob ein Schaden entstanden ist, wer den Schaden wirklich verursacht hat (Kausalität), ob und bei wem ein Verschulden vorliegt und ob der Schaden widerrechtlich verursacht wurde.

    (…)

    „Darüber hinaus kommen die Beweisregeln zur Anwendung. Wer einen Schaden behauptet, muss die damit zusammenhängenden Tatsachen beweisen. Entsteht der Schaden bei der Nutzerin, muss diese ihn beweisen. Entsteht er bei einem Merchant, beim IdP oder einem Dritten, müssen diese ihn beweisen.““

    Blogbeitrag

    Falsch. Falsch. Falsch.

    Weil: Die Benutzerin, die eID-Bürgerin, kann ja nichts beweisen, da sie nicht mal die Daten bei sich trägt!!

    Konkreter: Wie bitte soll eID-Nutzerin, die von einem IdP abhängt, die NICHTS IN DER HAND HAT, keinen Zugriff auf ihre Daten hat, alle Authentisierungen, jedes Login etc durch einen IDP durchführen lassen muss, den Schaden und die damit zusammenhängenden Tatsache beweisen?!

    Hier die entscheidende Frage: Wie soll sie beweisen, dass sie etwas NICHT GETAN HAT?

    Ihr fehlt die ganze Dokumentation. Die eID-Bürgerin hat keine Grundlagen, keine Protokolle nichts, dass sie vorweisen könnte. Nichts.

    Ist eigentlich nur logisches Denken, oder?

    „Der “Beitrag” der Nutzerin beim Einsatz der E-ID besteht darin, die in der Botschaft ausformulierten Sorgfaltspflichten einzuhalten.“

    Blogbeitrag

    Ja klar, die eID-Bürgerin wird bestimmt in der Botschaft zum BG eID nachlesen, dass sie einen virenfreier Computer und Smartphone halten muss. Ironie off. Ich halte mich daran was im Bundesgesetz steht. Machen das IT-Anwälte nicht auch?

    Und nun – Trommelwirbel- die weitere grösste Fake News dieses Texts:

    „Aus dem Satz ergibt sich, dass die Autorin offenbar eine Lösung mit Smartcard favorisiert (es ist ja nach Annahme des BGEID nicht ausgeschlossen, dass die Schweiz eine E-ID mit Smartcard einführen könnte). Ob sich die Haftung bei einer Lösung mit Smartcard dann so gestalten würde, wie die Autorin sich dies vorstellt, muss auch nicht diskutiert werden. Worum es eigentlich gehen sollte: Welche Haftungsfolgen zu Lasten der E-ID-Nutzerin sich aus dem BGEID (Art. 32 Abs. 1 BGEID) ergeben. Solche Aussagen fehlen aber. Entsprechend ist der diskutierte Nachtrag zur Smartcard nicht schlüssig.“

    Blogbeitrag

    Wow, hier war ich etwas perplex.

    Erstens: Mit den angewendeten OIDC-Protokoll – es wird der de facto-Standard sein – und Single-Sign-On-Lösungen (Verordnung/technische Ausführungsbestimmungen mitbeeinflusst von SwissSign und anderen) sind dezentrale eID-Lösungen de facto obsolet. Denn ich habe herausgefunden – achtung Herr Laux, nochmals Trigger-Warnung für Sie: RECHERCHE– dass die Interoperabilität so umgesetzt wird, dass alle IDPs de facto auf das schlechteste Datenschutzniveau runternivellieren müssen. Damit macht es für keinen IDP Sinn, eine datensparsame eID-Lösung mit dezentralem Authentisierungsvorgang anzubieten. Er muss sowieso seinen Kunden- die eID-Bürgerin- an den IDP mit zentralisiertem System „verraten“. Also: alle IDPs erfahren am Schluss alles, weil ein Unternehmen oder eine Behörde stets mit einem IDP zusammenarbeitet (Artikel 20, BG eID).

    Zweitens: Und das ist das Lustige: Es bräuchte mit der Smartcard GAR KEINEN IDP. Doch der gesamte BG eID-Entwurf ist auf das Konstrukt und die Rolle des IDP, eine Drittpartei, ausgerichtet. Die verwaltet, hortet und betreibt die eID der Bürgerin. That’s the business modell, stupid!

    „Worum es eigentlich gehen sollte: Welche Haftungsfolgen zu Lasten der E-ID-Nutzerin sich aus dem BGEID (Art. 32 Abs. 1 BGEID) ergeben. Solche Aussagen fehlen aber. Entsprechend ist der diskutierte Nachtrag zur Smartcard nicht schlüssig.“

    Blogbeitrag

    Eben die sind nicht geregelt im Bundesgesetz eID! Meine Güte…Sie drehen sich im Kreis.

    Und jetzt noch das schnaubende flammende Finale and the biggest Fake News:

    „Es steht fest: Auch bei einer E-ID Lösung mit Smartcard hätte die Inhaberin der E-ID Sorgfaltspflichten. Sie müsste ebenfalls notwendige und zumutbare Massnahmen treffen. Auch bei einer Smartcard-Lösung ginge es darum, wer für den Schaden aufkommen soll, den jemand im Falle eines Missbrauchs erleiden würde: Sie selbst, der Merchant, der IdP, ein Dritter oder der Staat?

    Die Autorin macht diesbezüglich gar eine 180 Grad-Drehung und findet – in einem vergleichbaren Szenario – nun plötzlich gerechtfertigt, was sie soeben stark kritisiert hat (Haftung der Nutzerin). Das kann man sachlich nicht mehr nachvollziehen. Was bleibt, ist Stimmungsmache: Ja zu Smartcard, nein zum BGEID. Der Beitrag vom 28.01.2021 ist damit auch in diesem Punkt offenbar nur dies: Stimmungsmache gegen das BGEID.

    (…)

    Die Autorin versucht, die Haftungsfrage als ein spezifisches Problem des BGEID darzustellen. Damit verlässt sie das Feld der rein kritischen Kommentierung des BGEID. Ihre Darstellung ist unhaltbar.“

    Blogbeitrag

    Puh, schwer verdauliche Kost.

    Es zeigt sich dass Herr Laux weder meinen Artikel gelesen hat oder BEWUSST FALSCHE SCHLÜSSE DARAUS ZOG noch dass er sich mit dem Thema dezentrale Datenhaltung und Missbrauchsszenarien auseinandergesetzt hat.

    Wie habe ich es geschrieben? Schauen wir doch mal nach:

    „Tatsache ist: Man hätte datensparsamere, sicherere E-ID-Lösungen gesetzlich verankern und damit für verbindlich erklären können. Dies, indem man die E-ID wie einen Pass konzipiert hätte: Nicht ein externer Dienstleister würde die E-ID dabei treuhänderisch verwalten, sondern die Bürgerin selbst wäre Trägerin ihrer E-ID – etwa in Form einer Smartcard.

    So könnte die Bürgerin tatsächlich dafür verantwortlich gemacht werden, wenn sie ihre Smartcard verlieren würde oder diese missbraucht würde. Ein solches System wird im Fachjargon als «dezentrale Authentifizierung» bezeichnet. Lena Fischer würde in einem solchen System direkt mit Galaxus oder dem Steueramt interagieren – ohne einen Vermittler dazwischen.

    «In einem solchen System würden nachweislich auch Impersonations­risiken minimiert», sagt IT-Sicherheits­experte Florian Forster. Das sieht auch Erik Schönenberger von der Digitalen Gesellschaft so, der das E-ID-Gesetz als unnötig erachtet: «Mit der elektronischen Identitäts­karte hätten wir alle Voraussetzungen gehabt, das Ausweisgesetz hätte gereicht für eine E-ID. Dafür braucht es keinen Zwischen­händler, keinen Intermediär, dem man sich anvertrauen muss.»

    Republik.ch

    Und was bedeutet das jetzt?

    Es bedeutet dass der Satz von Herr Laux „Die Autorin macht diesbezüglich gar eine 180 Grad-Drehung und findet – in einem vergleichbaren Szenario – nun plötzlich gerechtfertigt, was sie soeben stark kritisiert hat (Haftung der Nutzerin)“ blühender Unsinn ist.

    Denn: ich schreibe genau das Gegenteil!

    Weil wenn die eID-Bürgerin die eID – in welcher materialisierten Form auch immer- „bei sich“ trägt, ist eine grössere Haftung TATSÄCHLICH gerechtfertigt. Ich schreibe: „So könnte die Bürgerin tatsächlich dafür verantwortlich gemacht werden, wenn sie ihre Smartcard verlieren würde oder diese missbraucht würde.„

    Es ist- wie ich geschrieben habe- wie beim roten Pass, den ich besitze. Ich bin die Trägerin der eID, und damit auch in grösserem Umfang verantwortlich dafür, was damit gemacht wird. Den roten Pass trage ich auch bei mir. Aber die Zeile mit dem roten Pass hat Herr Laux bewusst ignoriert oder er hat es einfach schlicht weg nicht verstanden.

    Was das Bundegesetz eID aber vorsieht und wie es konzeptioniert ist: IN JEDEM FALL wird eine Drittpartei vorgesehen, die ALLE SCHRITTE von A bis Z anbietet, Registrierung, Login, Authentisierung und Identifizierung. Sie muss funktionsfähige Systeme anbieten.

    Hätten die PolitikerInnen in Bundesbern Datenhoheit und Datensparsamkeit im Gesetz analog zur SwissCovid-App im Gesetz festgeschrieben, wäre in der technischen Implementierung dezentrale Authentisierungsvorgänge, gar eine Smartcard vorgesehen und keine zentralisierte Datenhaltung bei einer Drittpartei…. ja dann wäre gegen Artikel 12.1 des BG eID nichts einzuwenden.

    Ich denke auch hier wäre ein Korrigenda überfällig. Sie verbreiten offensichtlich Fake News und desinformieren die Öffentlichkeit.

  2. Adrienne Fichter sagt:

    Nach Veröffentlichung meiner Antwort auf Ihren Blogbeitrag haben ich noch einige Hinweise erhalten. Ich habe diese als Update eingefügt. Sie zeigen wie gefährlich die ganze Haftung bei eID ist, wenn man es mit einem anderen relevanten Regelwerk vergleicht.

    Beim Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur ZERTes ist die ganze Haftungsgeschichte grundlegend anders geregelt.

    7. Abschnitt: Haftung
    Art. 17 Haftung der Anbieterin von Zertifizierungsdiensten
    1 Die anerkannte Anbieterin von Zertifizierungsdiensten haftet der Inhaberin oder dem Inhaber eines gültigen geregelten Zertifikats und Drittpersonen, die sich auf ein solches Zertifikat verlassen haben, für Schäden, die diese erleiden, weil die Anbieterin den Pflichten aus diesem Gesetz und den entsprechenden Ausführungsbestimmungen nicht nachgekommen ist.

    2 Sie trägt die Beweislast dafür, den Pflichten aus diesem Gesetz und den Ausführungsbestimmungen nachgekommen zu sein.

    3 Sie kann ihre Haftung aus diesem Gesetz weder für eigenes Verhalten noch für jenes ihrer Hilfspersonen wegbedingen. Sie haftet jedoch nicht für Schäden, die sich aus der Nichtbeachtung oder Überschreitung einer Nutzungsbeschränkung (Art. 7 Abs. 3 Bst. c und d) ergeben.

    https://www.fedlex.admin.ch/eli/cc/2016/752/de

    Ergo: Die Beweislast liegt beim Anbieter der Signaturdienste. Jemand vom Sales SuisseID sagte mir: „Die Geschäfts SuisseID Kunden betrachteten diesen Passus als wertvoll, da die Beweislast nicht bei ihnen liegt“

    Das, Herr Laux, haben Sie alles nicht erwähnt. Weshalb bloss?

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.