Die eIDAS und das BGEID (Replik auf Republik.ch)
Seite Ende Januar 2021 geistert ein Argument durch die öffentliche Debatte zum BGEID:
Obwohl in der Botschaft die internationale Anerkennung betont wird, ist die Schweizer E-ID nicht kompatibel mit den Richtlinien der EU. Bürgerinnen europäischer Länder werden keine Schweizer E-ID benutzen können, umgekehrt können Schweizer mit ihrer E-ID im Ausland nichts anfangen. Dafür bräuchte es zuerst einen bilateralen Staatsvertrag.
A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik”, 28.01.2021 (republik.ch)
Analyse
Zur Aussage “keine Anerkennung in der EU” (Irreführende Aussage Republik.ch)
Dass das BGEID nicht automatisch auch in der EU in Kraft treten würde, ist richtig. Das hat aber nichts mit dem BGEID zu tun. Es bedarf hierzu internationaler Verträge zwischen der Schweizerischen Eidgenossenschaft mit Gegenstellen auf Ebene EU oder auf Ebene von Einzelstaaten.
Zu dieser Behauptung schaut man sich idealerweise die eigene Aussage von A. Fichter im virtuellen Podiumsgespräch “E-ID: Zukunftsträchtig oder problematisch” ab 1:01:28 selbst an:
Um es kurz zu machen: Egal, wie das BGEID umgesetzt werden würde, gäbe es nie eine automatische Anerkennung durch die EU. Das angebliche Problem um die “Kompatibilität” ist kein Problem der konkreten Ausgestaltung des BGEID, sondern eine Folge dessen, dass die Schweiz ganz einfach kein EU-Mitglied ist.
Aus der öffentlichen Debatte mit der Autorin ergibt sich, dass es offensichtlich völlig normal ist, dass es erst zumindest einen bilateralen Vertrag braucht, bis Nutzerinnen der E-ID sich z.B. vor dem Handelsregisteramt in Schweden mit der E-ID identifizieren können.
Selbstverständlich geht das nicht automatisch. Was es noch nicht gibt (E-ID) kann auch noch nicht in der EU eingesetzt werden.
Es erstaunt denn auch nicht, dass A. Silberschmidt in der Podiumsdiskussion (siehe Video) der Autorin sogleich entgegnete, dass sie ihrem eigenen Artikel widerspreche.
Die Darstellung in der Republik.ch vom 28.01.2021 ist irreführend.
Zur Behauptung der fehlenden Kompatibilität (Falschbehauptung Republik.ch)
Der Beitrag behauptet „fehlende Kompatibilität mit dem europäischen Konzept (eIDAS)“.
Diese Behauptung in der Republik.ch vom 28.01.2021 ist falsch. Die eIDAS Verordnung der EU enthält keinen Artikel, welcher der Anerkennung der Schweizer E-ID durch die EU verunmöglichen würde.
Richtig ist: Artikel 7 der massgeblichen eIDAS-Verordnung der EU lässt eIDAS-Nodes zu, die „unabhängig vom notifizierenden Mitgliedstaat ausgestellt und von diesem anerkannt“ werden (Zitat aus der eIDAS-Verordnung).
Das ist genau das Konzept des E-ID-Gesetzes. Es gibt das Problem der fehlenden EU-Kompatibilität nicht. A. Fichter anerkennt dies auch ausdrücklich im oben gezeigten Videobeitrag, nach Minute 01:02:20: “Und es stimmt, es können auch Private die eIDAS-Nodes betreiben”.
Bewertung und Tracing
Bewertung
Zusammenfassend ist der Beitrag vom 28.01.2021 in der Republik.ch falsch und irreführend.
Hätte A. Fichter die Analyse vollständig vorgenommen bzw. vollständig publiziert, wäre von der Kritik, die sich explizit gegen das BGEID richtet, nichts mehr übrig geblieben. Trotzdem musste der Vorwurf offenbar publiziert werden. Was bleibt ist der Eindruck, dass es der Republik.ch mit dem Beitrag vom 28.01.2021 einzig um Stimmungsmache gegen das BGEID ging.
Herkunft der Argumente
Das Argument wurde unter anderem prominent im Folgenden Beitrag aufgegriffen:
A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik“, 28.01.2021 (republik.ch)
Weitere Fundstellen
D. Muster, “E-ID-Gesetz ist wirtschaftsfeindlich – Inside Paradeplatz“, 14.02.2021 (insideparadeplatz.ch) – widerlegt durch Ch. Laux, “Dem E-ID-Gesetz kann man getrost zustimmen – Inside Paradeplatz“, 17.02.2021 (insideparadeplatz.ch)
(Spätere Aktualisierung vorbehalten)
Gut, dann übernehme ich Stück für Stück den Faktencheck dieses “Faktenchecks”.
Ich habe mir nicht widersprochen.
Ja Private können ebenfalls eIDAS-notifiziert werden, etwas anderes habe ich nie behauptet. Ich bat Andri Silberschmidt auch meinen Text nochmals zu lesen.
Es bräuchte in jedem Fall einen staatlichen Hub und staatliche Haftung in jedem Land als Trust Anchor für die EU-Interoperabilität. Fragen Sie doch mal in Brüssel nach.
Ich sage nur: der Bund muss ohnehin einen technischen Aufwand leisten für diesen Knotenpunkt. Er kommt nicht um diese Aufgabe herum
Ausserdem muss das Gesetz zuerst revidiert werden.
So hier im Detail:
Es wird jetzt witzig: Herr Laux verlässt nun das Terrain meines Text und übt sich als investigativer Boulevard-Journalist. Er zitiert mich aus einem Online-Podium und behauptete, dass ich mir widerspreche (so wie das auch Andri Silberschmidt behauptete).
Hier ein paar Klarstellungen:
Erstens: Ich antworte Herr Silberschmidt, dass ich mir nicht widerspreche. Danach wurde das Podium mangels Zeit beendet.
Zweitens: Viel schlimmer: Laux zitiert mich FALSCH aus dem Video (das ist das 1×1-Handwerk eines Journalisten, Herrn Laux). Er versucht wie Silberschmidt einen Widerspruch zu konstruieren, den es nicht gibt. Sie beide meinen, das Schweizer BG eID brauche lediglich einen Rahmenvertrag und bilaterales Abkommen und gut ist… Ich hatte im Podium zugestimmt dass es dies einerseits brauche.
Aber andererseits: DARÜBER HINAUS BRAUCHT ES MEHR.
Was Herr Laux verschweigt: Ich sage ab Minute 1h 2 Minuten 25 Sekunden was die ZENTRALE VORAUSSETZUNG FÜR EU-Kompatibilität ist.
„Am Schluss muss immer noch der Staat haften gemäss geltender [EU]-Richtlinie.“
Quote von Adrienne Fichter im Podium „eID-Zukunftsträchtig oder problematisch?“
Wer das nicht glaubt, kann es im Video nachschauen oder aus dem Transkript des Youtube-Videos lesen. Das bedeutet zum Einen gibt es unabhängig davon, welches eID-Gesetz die Schweiz ausgestaltet, gar keinen MECHANISMUS der Anerkennung durch die EU und zum ANDEREN ist das, was die Schweiz mit dem privatisierten Modell umsetzen will, GAR nicht EU-kompatibel.
Weil: es braucht dafür einen staatlichen Trust Anchor gemäss eIDAS. Und wenn der Bund diesen Knotenpunkt- diesen Hub- zur Verfügung stellen muss und dafür auch noch haften muss, kann er die eID gleich selbst herausgeben. Denn dies ist technisch anspruchsvoll und komplex.
Und jetzt Herr Laux, halten Sie sich fest. Wir machen einen Exkurs in die eIDAS-Welt:
Die Haftung des Staates ist geregelt in der eIDAS-Verordnung.
KAp. II eIDAS, insbesonnere Art. 6, 7 (Voraussetzungen Notifizierung), 8 und 9 (Anerkennung und Notifizierung) und ACHTUNG 2015/1502 (Implementing Act acc. Art.8 sowie Umgang Sicherheitsvorfälle in Art. 10 und Haftung in Art. 11)
eIDAS 1.0 spricht ausschliesslich vom Mitgliedsstaat – ein privater iDP ist naturgemäß kein Mitgliedsstaat. (zum Thema private eIDAS-Nodes)
Hätte nicht gedacht dass ich bei diesem Punkt einen Juristen belehren müsse.
Es braucht ZUDEM NOCH EINE Revision des BG eID, weil es in dieser Form keine geltenden Bestimmungen enthält. Das schrieb ich hier.
„Sonja Margelist vom Bundesamt für Justiz ergänzt: «Wer für den Betrieb des nationalen E-IDAS-Hubs infrage käme, würde erst im Rahmen eines allfälligen Notifizierungsverfahrens entschieden. Zur Zuteilung dieser Aufgabe müsste das E-ID-Gesetz geändert werden.»
Republik.ch
Also for the record nochmals: Nein, das Bundesgesetz eID ist aus mehreren Gründen (Haftung, staatlicher Hub, nicht festgehalten im BG eID und daher revisionsbedürftig) AKTUELL und in DIESER FORM nicht kompatibel mit der EU-Verordnung.
Drittens: Das was ich irgendwo in einem Online-Podium behaupte, hat eigentlich überhaupt NICHTS meinem geschriebenen Text zu tun. Es ist irrelevant. Herr Laux sucht mangels Argumenten und Fakten verzweifelt nach Angriffspunkten. Damit entlarvt er sich selbst und seine Absicht: ihm geht es nur darum, auf meine Person zu zielen. Leider schlug das kolossal fehl. Weil ich mir eben gar nicht widersprochen habe. 🙂
Und nun noch zu guter Letzt. Herr Laux schreibt:
„Der Beitrag behauptet „fehlende Kompatibilität mit dem europäischen Konzept (eIDAS)“.
Diese Behauptung in der Republik.ch vom 28.01.2021 ist falsch. Die eIDAS Verordnung der EU enthält keinen Artikel, welcher der Anerkennung der Schweizer E-ID durch die EU verunmöglichen würde.
Richtig ist: Artikel 7 der massgeblichen eIDAS-Verordnung der EU lässt eIDAS-Nodes zu, die „unabhängig vom notifizierenden Mitgliedstaat ausgestellt und von diesem anerkannt“ werden (Zitat aus der eIDAS-Verordnung).
Das ist genau das Konzept des E-ID-Gesetzes. Es gibt das Problem der fehlenden EU-Kompatibilität nicht. A. Fichter anerkennt dies auch ausdrücklich im oben gezeigten Videobeitrag, nach Minute 01:02:20: “Und es stimmt, es können auch Private die eIDAS-Nodes betreiben”.
Blogbeitrag
Schon wieder dasselbe Shitshow-Game aka juristische Wortverdrehung. Ja es können sich Private mit ihren eIDAS-Nodes anerkennen lassen. Ich habe NIE was anderes behauptet.
Ich schreibe folgendes:
„Die E-ID-Systeme fast aller EU-Staaten sind bereits anerkannt, bisher sind es fast ausschliesslich vom Staat herausgegebene E-ID-Lösungen.„
Republik.ch
Hui, was bedeutet denn das nun?
Trigger-Warnung für Herrn Laux: Achtung Empirie: Dass die MEISTEN EU-STAATEN MEHRHEITLICHE STAATLICHE EID-LÖSUNGEN ANBIETEN UND DIESE HABEN ANERKENNEN LASSEN! Und nicht dass die Notifizierung von privaten eID-Lösungen verboten sind. De facto- achtung Praxis- haben die EU-Staaten ihre staatlichen Varianten anerkennen lassen, weil es eIDAS-mässig einfacher ist für interoperable Umsetzung.
Warum ist das so? Eben wegen des staatlichen Hubs und der Haftung.
Siehe Beispiel Österreich. Wer sich auf der eGovernment-Site von Österreich einloggen will, findet einen EU-Login-Button. Und dann eine Auswahl für die EU-Bürgerinnen der jeweiligen Länder. Jetzt raten Sie mal, Herr Laux, zu welchen eID-Lösungen die Userinnen weitergeleitet werden…?
…ja genau. Alles staatliche eIDs.
Herr Laux, Sie kennen das Regelwerk eIDAS offenbar nicht. Machen Sie zuerst Ihre Hausaufgaben.
Ich habe von vielen eIDAS-Experten vom In- und Ausland noch mehr Hinweise darauf bekommen, dass Sie komplett falsch liegen.
Hier noch etwas Lektüre für Sie, ein Hinweis von eIDAS-Experte und bitkom-Fachverantwortliche Steffen Schwalm.
Zacharia et. al.: Commentary zu Art. 1 eIDAS Rnd Nr. 11 Zitat:
„First of all according Art. 1 point a) the regulation lays down the conditions under which Member States recognise electronic identification means of natural and legal persons fallin under a notified eID scheme of another Member States“
„eIDAS only applies to eID that have been notified by Member States“
Art. 11: „In this regard, although the wording could have been clearer, experts in this field state the notifying member state has the obligation to ensure that the personal indentification data be attributed in accordance with the above mentioned procedure (eIDAS), but that the MS also has th obligation to ensure that such data represent uniquely the person in question, that is no one else“
Zacharia et. al.: Commentary zu Art. 1 eIDAS Rnd Nr. 11 (Gesetzeskommentar)
Ergo, der Mitgliedstaat haftet, er muss sicherstellen, dass eID korrekt, die Haftung greift naturgemäß nur, wenn der Mitgliedschaft regulatorisch für Ausstellung eID verantwortlich ist. Rnd Nr. 11 macht noch deutlicher, dass die Zuordnung der Kernidentität der eID zur entspr. Person durch MS kommt.
Verantwortlich für die eigene (zu notifizierende oder notifizierte) eID ist immer der Mitgliedsstaat = staatlicher trust anchor. Eine rein private Abwicklung ohne jede Beteiligung/Verantwortung des MS ist für eID-Schemes bislang nicht vorgesehen.
Vgl. auch Rnd Nr. 5 zu Art. 10 eIDAS in Zaccaria et al.
Ironie: Passenderweise führt Zaccaria das DigiNotar Gate als Negativbeispiel an: Ausstellung Privat, zwar unter Supervisory des niederländischen Staats, nur hatte der Staat keinerlei Steuerungs-Option o.ä. wie es eIDAS vorsieht, ergo Identitätsdiebstahl „leicht gemacht“.
Kommt uns das Beispiel DigiNotar Gate nicht bekannt vor?:)
Machen Sie doch Ihre Hausaufgaben, Herr Laux.