Die Analyse der Republik.ch zur Haftung der Nutzerin

Adrienne Fichter sagt:

Ich werde auch hier wieder den ganzen Mist, den Sie geschrieben haben, auseinandernehmen.

Anders als Herr Laux und Herr Grasarevic dies getan haben, werde ich wieder penibel genau aus ihren Blogbeiträgen zitieren:

Zum Aufwärmen schon mal dies: Herr Laux war nicht glücklich über die Zitierung von Daniel Muster als eID-Experte. Weil er ein „pointierter Gegner“ sei.

„Zumindest hätte auch noch ein Experte angeführt werden müssen, der nicht dem Gegnerlager zugeordnet werden kann. Dies erspart sich die Autorin. Ausserdem erspart sie sich den noch aufschlussreicheren Blick in die Botschaft zum BGEID. Diese ist über die Seite des Bundesamts für Justiz (Themenseite zum Gesetzgebungsvorhaben) sowie hier ohne Weiteres auffindbar. Auf Seite 3955 f. kann man nachlesen, welche Sorgfaltspflichten Art. 12 Abs. 1 BGEID meint.“

Blogbeitrag
Herr Laux‘ Aussagen sind hier bereits mehrfach falsch.

Erstens: Herr Laux behauptet also einfach mal, dass ich die Botschaft nicht gelesen habe.
Überraschung, das hab ich und ich beziehe mich sogar im Text darauf:

„Dass die Schweizer E-ID in jedem Fall EU-konform sein und dort anerkannt werden soll, steht auch in der Botschaft des Bundesrats zum Gesetz.„

Republik.ch

Zweitens: Glauben Sie die eID-Bürgerin wird in der Botschaft des Bundesrats auf Seite 3955 f zum Bundesgesetz eID nachlesen, dass sie einen Antivirenschutz aktivieren muss?

Und drittens: Ich zitiere gar nicht nur Daniel Muster sondern Florian Forster. Und das krasserweise gerade beim Thema Missbrauch.

Florian Forster, ehemaliger Leiter der Fachgruppe IAM beim Verein eCH und Spezialist für digitale Identitäten, übt Kritik an der Formulierung. «Am Ende muss die Inhaberin nachweisen, dass sie nichts mit dem Missbrauch ihrer E-ID zu hat. Dabei ist der Schaden für sie am grössten.»

Republik.ch

Darauf geht Herr Laux gar nicht ein. Schon seltsam, oder? Warum negiert Herr Laux die Existenz des Zitats von Herrn Forster nur?

Viertens: Herr Laux verschweigt in seinem Blogbeitrag (böswillig? mutwillig? widerwillig? wir werden es nicht erfahren) dass ich durchaus die Befürworterseite befragt habe. Nämlich den Bund selbst.

„Das Bundesamt für Justiz relativiert: «Wer nun wie genau haftet, muss im Einzelfall geklärt werden», sagt Sprecherin Sonja Margelist. «Wenn sich zum Beispiel nach einer Attacke erweisen sollte, dass der Identitäts­provider den Betrieb seines E-ID-Systems nicht sicher gewähr­leistet, haftet er.»

Republik.ch

Das ist Journalismus, Herr Laux. Man holt immer die offizielle Stellungnahme ein.

So und nun folgen eine Reihe von weiteren und weitaus krasseren Falschaussagen. Herr Laux schreibt folgendes:

„Die Autorin schreibt sodann: “In Fällen von digitalem Identitäts­ klau wird der Inhaber vermutlich automatisch haftbar.” Diese Aussage ist falsch. Wir haben dies hier nachgewiesen. Falsch ist insbesondere der behauptete Automatismus. Haftung gemäss OR ergibt sich zusammenfassend daraus, ob ein Schaden entstanden ist, wer den Schaden wirklich verursacht hat (Kausalität), ob und bei wem ein Verschulden vorliegt und ob der Schaden widerrechtlich verursacht wurde.

(…)

„Darüber hinaus kommen die Beweisregeln zur Anwendung. Wer einen Schaden behauptet, muss die damit zusammenhängenden Tatsachen beweisen. Entsteht der Schaden bei der Nutzerin, muss diese ihn beweisen. Entsteht er bei einem Merchant, beim IdP oder einem Dritten, müssen diese ihn beweisen.““

Blogbeitrag

Falsch. Falsch. Falsch.

Weil: Die Benutzerin, die eID-Bürgerin, kann ja nichts beweisen, da sie nicht mal die Daten bei sich trägt!!

Konkreter: Wie bitte soll eID-Nutzerin, die von einem IdP abhängt, die NICHTS IN DER HAND HAT, keinen Zugriff auf ihre Daten hat, alle Authentisierungen, jedes Login etc durch einen IDP durchführen lassen muss, den Schaden und die damit zusammenhängenden Tatsache beweisen?!

Hier die entscheidende Frage: Wie soll sie beweisen, dass sie etwas NICHT GETAN HAT?

Ihr fehlt die ganze Dokumentation. Die eID-Bürgerin hat keine Grundlagen, keine Protokolle nichts, dass sie vorweisen könnte. Nichts.

Ist eigentlich nur logisches Denken, oder?

„Der “Beitrag” der Nutzerin beim Einsatz der E-ID besteht darin, die in der Botschaft ausformulierten Sorgfaltspflichten einzuhalten.“

Blogbeitrag

Ja klar, die eID-Bürgerin wird bestimmt in der Botschaft zum BG eID nachlesen, dass sie einen virenfreier Computer und Smartphone halten muss. Ironie off. Ich halte mich daran was im Bundesgesetz steht. Machen das IT-Anwälte nicht auch?

Und nun – Trommelwirbel- die weitere grösste Fake News dieses Texts:

„Aus dem Satz ergibt sich, dass die Autorin offenbar eine Lösung mit Smartcard favorisiert (es ist ja nach Annahme des BGEID nicht ausgeschlossen, dass die Schweiz eine E-ID mit Smartcard einführen könnte). Ob sich die Haftung bei einer Lösung mit Smartcard dann so gestalten würde, wie die Autorin sich dies vorstellt, muss auch nicht diskutiert werden. Worum es eigentlich gehen sollte: Welche Haftungsfolgen zu Lasten der E-ID-Nutzerin sich aus dem BGEID (Art. 32 Abs. 1 BGEID) ergeben. Solche Aussagen fehlen aber. Entsprechend ist der diskutierte Nachtrag zur Smartcard nicht schlüssig.“

Blogbeitrag

Wow, hier war ich etwas perplex.

Erstens: Mit den angewendeten OIDC-Protokoll – es wird der de facto-Standard sein – und Single-Sign-On-Lösungen (Verordnung/technische Ausführungsbestimmungen mitbeeinflusst von SwissSign und anderen) sind dezentrale eID-Lösungen de facto obsolet. Denn ich habe herausgefunden – achtung Herr Laux, nochmals Trigger-Warnung für Sie: RECHERCHE– dass die Interoperabilität so umgesetzt wird, dass alle IDPs de facto auf das schlechteste Datenschutzniveau runternivellieren müssen. Damit macht es für keinen IDP Sinn, eine datensparsame eID-Lösung mit dezentralem Authentisierungsvorgang anzubieten. Er muss sowieso seinen Kunden- die eID-Bürgerin- an den IDP mit zentralisiertem System „verraten“. Also: alle IDPs erfahren am Schluss alles, weil ein Unternehmen oder eine Behörde stets mit einem IDP zusammenarbeitet (Artikel 20, BG eID).

Zweitens: Und das ist das Lustige: Es bräuchte mit der Smartcard GAR KEINEN IDP. Doch der gesamte BG eID-Entwurf ist auf das Konstrukt und die Rolle des IDP, eine Drittpartei, ausgerichtet. Die verwaltet, hortet und betreibt die eID der Bürgerin. That’s the business modell, stupid!

„Worum es eigentlich gehen sollte: Welche Haftungsfolgen zu Lasten der E-ID-Nutzerin sich aus dem BGEID (Art. 32 Abs. 1 BGEID) ergeben. Solche Aussagen fehlen aber. Entsprechend ist der diskutierte Nachtrag zur Smartcard nicht schlüssig.“

Blogbeitrag

Eben die sind nicht geregelt im Bundesgesetz eID! Meine Güte…Sie drehen sich im Kreis.

Und jetzt noch das schnaubende flammende Finale and the biggest Fake News:

„Es steht fest: Auch bei einer E-ID Lösung mit Smartcard hätte die Inhaberin der E-ID Sorgfaltspflichten. Sie müsste ebenfalls notwendige und zumutbare Massnahmen treffen. Auch bei einer Smartcard-Lösung ginge es darum, wer für den Schaden aufkommen soll, den jemand im Falle eines Missbrauchs erleiden würde: Sie selbst, der Merchant, der IdP, ein Dritter oder der Staat?

Die Autorin macht diesbezüglich gar eine 180 Grad-Drehung und findet – in einem vergleichbaren Szenario – nun plötzlich gerechtfertigt, was sie soeben stark kritisiert hat (Haftung der Nutzerin). Das kann man sachlich nicht mehr nachvollziehen. Was bleibt, ist Stimmungsmache: Ja zu Smartcard, nein zum BGEID. Der Beitrag vom 28.01.2021 ist damit auch in diesem Punkt offenbar nur dies: Stimmungsmache gegen das BGEID.

(…)

Die Autorin versucht, die Haftungsfrage als ein spezifisches Problem des BGEID darzustellen. Damit verlässt sie das Feld der rein kritischen Kommentierung des BGEID. Ihre Darstellung ist unhaltbar.“

Blogbeitrag

Puh, schwer verdauliche Kost.

Es zeigt sich dass Herr Laux weder meinen Artikel gelesen hat oder BEWUSST FALSCHE SCHLÜSSE DARAUS ZOG noch dass er sich mit dem Thema dezentrale Datenhaltung und Missbrauchsszenarien auseinandergesetzt hat.

Wie habe ich es geschrieben? Schauen wir doch mal nach:

„Tatsache ist: Man hätte datensparsamere, sicherere E-ID-Lösungen gesetzlich verankern und damit für verbindlich erklären können. Dies, indem man die E-ID wie einen Pass konzipiert hätte: Nicht ein externer Dienstleister würde die E-ID dabei treuhänderisch verwalten, sondern die Bürgerin selbst wäre Trägerin ihrer E-ID – etwa in Form einer Smartcard.

So könnte die Bürgerin tatsächlich dafür verantwortlich gemacht werden, wenn sie ihre Smartcard verlieren würde oder diese missbraucht würde. Ein solches System wird im Fachjargon als «dezentrale Authentifizierung» bezeichnet. Lena Fischer würde in einem solchen System direkt mit Galaxus oder dem Steueramt interagieren – ohne einen Vermittler dazwischen.

«In einem solchen System würden nachweislich auch Impersonations­risiken minimiert», sagt IT-Sicherheits­experte Florian Forster. Das sieht auch Erik Schönenberger von der Digitalen Gesellschaft so, der das E-ID-Gesetz als unnötig erachtet: «Mit der elektronischen Identitäts­karte hätten wir alle Voraussetzungen gehabt, das Ausweisgesetz hätte gereicht für eine E-ID. Dafür braucht es keinen Zwischen­händler, keinen Intermediär, dem man sich anvertrauen muss.»

Republik.ch

Und was bedeutet das jetzt?

Es bedeutet dass der Satz von Herr Laux „Die Autorin macht diesbezüglich gar eine 180 Grad-Drehung und findet – in einem vergleichbaren Szenario – nun plötzlich gerechtfertigt, was sie soeben stark kritisiert hat (Haftung der Nutzerin)“ blühender Unsinn ist.

Denn: ich schreibe genau das Gegenteil!

Weil wenn die eID-Bürgerin die eID – in welcher materialisierten Form auch immer- „bei sich“ trägt, ist eine grössere Haftung TATSÄCHLICH gerechtfertigt. Ich schreibe: „So könnte die Bürgerin tatsächlich dafür verantwortlich gemacht werden, wenn sie ihre Smartcard verlieren würde oder diese missbraucht würde.„

Es ist- wie ich geschrieben habe- wie beim roten Pass, den ich besitze. Ich bin die Trägerin der eID, und damit auch in grösserem Umfang verantwortlich dafür, was damit gemacht wird. Den roten Pass trage ich auch bei mir. Aber die Zeile mit dem roten Pass hat Herr Laux bewusst ignoriert oder er hat es einfach schlicht weg nicht verstanden.

Was das Bundegesetz eID aber vorsieht und wie es konzeptioniert ist: IN JEDEM FALL wird eine Drittpartei vorgesehen, die ALLE SCHRITTE von A bis Z anbietet, Registrierung, Login, Authentisierung und Identifizierung. Sie muss funktionsfähige Systeme anbieten.

Hätten die PolitikerInnen in Bundesbern Datenhoheit und Datensparsamkeit im Gesetz analog zur SwissCovid-App im Gesetz festgeschrieben, wäre in der technischen Implementierung dezentrale Authentisierungsvorgänge, gar eine Smartcard vorgesehen und keine zentralisierte Datenhaltung bei einer Drittpartei…. ja dann wäre gegen Artikel 12.1 des BG eID nichts einzuwenden.

Ich denke auch hier wäre ein Korrigenda überfällig. Sie verbreiten offensichtlich Fake News und desinformieren die Öffentlichkeit.