Wie die Gegner das Gesichtsbild in der E-ID skandalisieren
Dieser Beitrag beleuchtet und bewertet eine einzelne Behauptung im Artikel von A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik“, 28.01.2021 (republik.ch). Dies deswegen, weil soweit ersichtlich dort zum ersten Mal die Eigenschaft des Gesichtsbilds als biometrisches Personendatum deutlich skandalisiert wurde.
Um welche Aussagen geht es
… die Verordnung lässt zu, dass private Anbieter der E-ID in den Besitz von biometrischen Daten der Bürgerinnen gelangen. Das sind unveränderliche Merkmale des menschlichen Körpers wie Fingerabdruck, Iris oder, wie in diesem Fall, das Gesichtsbild.
… sowie ein Passbild von ihr an Swiss Sign weitergeleitet. … Für die Verifikation von Lena Fischer werden also biometrische Daten an Swiss Sign … übermittelt.
A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik”, 28.01.2021 (republik.ch)
Die Autorin schreibt, dass ein Gesichtsbild (Passfoto) ein biometrischer Datensatz sei.
Man kann nicht sagen, dies sei kreuzfalsch. Immerhin zeigt ein Gesichtsbild Merkmale des menschlichen Körpers.
Dass ein Gesichtsbild “unveränderliche” Merkmale des menschlichen Körpers abbilde, ist aber falsch, wie der folgende Beitrag in diesem Blog-Post zeigt: Link.
Ansonsten skandalisiert der Artikel: Fingerabdruck und Iris werden genannt — um diese geht es aber überhaupt nicht bei der E-ID. Und dann wird schüchtern angefügt: ahja, und in diesem Fall gehe es um das Gesichtsbild. Die Schilderung soll skandalisieren. Man könnte darüber hinweg gehen. Aber hier geht es auch darum zu protokollieren, wie die Republik.ch abseits der Fakten Stimmung macht. Das könnte im hektischen Alltagsgeschäft sonst rasch vergessen gehen.
Im einzelnen zur Kritik am Artikel (in Bezug auf die obigen Aussagen):
Fehlende Einordnung
Der Beitrag ist lückenhaft und unvollständig. Es fehlt eine Einordnung in den Gesamtkontext. Das Gesichtsbild ist ein Passfoto. Datenschutzrecht verlangt nach einem risikobasierten Ansatz. Zur Risikobeurteilung findet sich keine nachvollziehbare Wertung im Artikel, siehe aber z.B. den Beitrag hier auf diesem Blog: Das Risiko, das von einem Passfoto ausgeht, ist relativ moderat.
Auslassung
Der Artikel problematisiert den Umstand, dass es bei Einsatz der E-ID zur Speicherung des Gesichtsbilds beim IdP kommen kann, trotzdem. (Jedenfalls bei Einsatz eines IdP mit einem zentralisierten Ansatz). Die Autorin verschweigt, dass die Nutzung des Gesichtsbilds nur dann erfolgt, wenn die Nutzerin ihre Zustimmung dazu erteilt hat. Art. 6 Abs. 2 lit. c BGEID verlangt stets die Zustimmung der Nutzerin.
Stattdessen heisst es bereits auf der ersten Zeile des Beitrags: “Biometrische Daten in den Händen von Privaten”. Als ob dies ein unabwendbarer Automatismus des BGEID wäre (was nicht der Fall ist).
Falsches
Der Artikel stellt die Abläufe so dar, dass bei jedem Verifikationsvorgang stets auch das Gesichtsbild geprüft wird. Bereits aus dem Gesetzestext ergibt sich, dass das Gesichtbild nur für das Sicherheitslevel “hoch” geprüft werden wird. Die Art der Schilderung macht den Beitrag ungenau. Ungenauigkeit ist ein Qualitätsmangel.
Warum spreche ich von “falsch” und nicht bloss von “ungenau”? Begründung: Die Autorin hätte sich fragen und darlegen müssen, dass nach derzeitigen Schätzungen nur etwa in 2-3% der Fälle ein Gesichtsbild verlangt werden wird. Man kann sagen, dass die genauen Details noch nicht feststehen. Aber dass die grösste Zahl der Verifikationen auf Basis des Gesichtsbilds stattfinden werden, kann man bereits heute ausschliessen. Im Gegenteil: Man darf davon ausgehen, dass in der überwiegenden Mehrzahl der Fälle das Gesichtsbild gerade nicht Verwendung finden wird. Somit kommt die E-ID in den meisten Fällen gerade ohne biometrische Daten aus.
Dies ist nun aber ein so diametral anderes Bild als jenes, das die Autorin vermittelt, dass es nicht mehr korrekt wäre, nur von Ungenauigkeit zu sprechen. Vielmehr muss man festhalten, dass der vermittelte Gesamteindruck falsch ist.
Auch die Methodik lässt keinen anderen Schluss zu: Auch wenn die Verordnung noch nicht spruchreif ist, ist es falsch, das Verifikationsverfahren ohne Differenzierung nach Sicherheitsniveaus darzustellen. Denn dass es eine Differenzierung nach Sicherheitslevels geben soll, ergibt sich bereits aus dem BGEID. Und der Text des BGEID ist bekannt.
Übertreibung
Die Autorin übertreibt. Und mit dem Begriff der biometrischen Daten beabsichtigt sie ganz offensichtlich zu skandalisieren. Dies ist mit Blick auf die Faktenbasis nicht haltbar. Sie nennt die Iris. Um die geht es nicht. Sie nennt den Fingerabdruck. Um diesen geht es auch nicht. In seltenen Fällen geht es um ein Passfoto.
Die hier kritisierte Übertreibung entnimmt man dm folgenden Satz: “Das sind unveränderliche Merkmale des menschlichen Körpers wie Fingerabdruck, Iris oder, wie in diesem Fall, das Gesichtsbild.” Iris und Fingerabdrücke haben mit dem BGEID gar nichts zu tun. Der Verweis auf diese ist sachfremd und unnötig. Er dient der Effekthascherei.
Die Diskussion über biometrischen Daten zielt somit auf Effekthascherei. Die Autorin problematisiert die E-ID. Doch das angebliche Problem steht fernab von einer seriösen Risikobewertung.
Wer wie die Autorin wegen eines Passfotos, das in selteneren Fällen auf Systemen des IdP gespeichert bleibt, übertreibt masslos. Der Kommentar in der Neuen Zürcher Zeitung vom 23. Februar 2021, S. 19, hält es treffend fest: “Wie inkonsequent sind wir eigentlich?”.
Was hätte man sonst noch diskutieren müssen?
Der Republik-Artikel leistet die Aufgabe nicht, die eine Leserin an seriösen Journalismus stellen darf. Zum Beispiel fehlt ein Hinweis, dass Risikobeurteilungen einbezogen werden müssten (hierzu in Ansätzen: E-ID und biometrische Daten – worum geht es?). Ausserdem bleibt ohne Erwähnung, dass das BGEID Sicherungsvorkehren eingebaut hat (dazu: Wie sind die Daten beim IdP geschützt?) und dass ein wirksames Sanktionenmodell besteht (dazu: E-ID und Sanktionsmöglichkeiten).
Schlusswort
Der vorliegende Beitrag in diesem Blog ist insofern postfaktisch, als der Beitrag der Republik.ch schon längst seine Kreise gezogen hat. Insofern übernehme ich hier nur die Aufgabe eines Chronisten. Damit im Nachgang eine Einordnung möglich ist. Es wird dabei um die Einordnung gehen, was Journalismus soll. Es wird auch darum gehen, wer mit welchen Mitteln wie auf die öffentliche Meinung Einfluss genommen hat. Und ob die Risikolage die Methoden der Meinungsbildung gerechtfertigt haben.
Herr Laux, juristische Wortklauberei und allerlei Unterstellungen, was ich insinuiere etc um am Schluss eigentlich zuzugeben dass eigentlich faktisch alles stimmt:-)
Ich erkläre Ihnen wie Journalismus funktioniert: Biometrische Merkmale muss man zuerst erklären. Das hab ich im Text gemacht. Nirgendwo behaupte ich dass Iris, Fingerabdruck vom BG eID verlangt werden. Hören Sie doch auf mir Worte in den Mund zu legen, die ich nirgendwo geschrieben habe.
Nirgendwo behaupte ich dass die Nutzerin NICHT der Übergabe des Gesichtsbilds zustimmen muss. Nirgendwo behaupte ich dass es einen Automatismus gebe. Das suggerieren Sie und legen mir ziemlich dreist Interpretationen/Worte in den Mund.
Natürlich muss die Nutzerin dem aktiv zustimmen, wäre ja noch schöner wenn das ohne ausdrücklichen Willen passieren würde. Dennoch: es landen Gesichtsbilder bei Sicherheitsniveau hoch in der Datenbank des IdPs, wo sie auch gespeichert werden müssen.
Das können auch Sie nicht abstreiten:-) “Die Autorin übertreibt.” ist leider kein Argument, denn faktisch stimmt alles.
So Herr Laux, ich habe jetzt Teil I durchgelesen und mache nun den Faktencheck zu Ihrem “Faktencheck”.
Warum nur Anführungszeichen?
Weil Sie nicht auf die DE FACTO geschriebenen Sätze in meinem Artikel eingehen. Sie paraphrasieren für Ihr Publikum meine Absichten hinter den geschriebenen Sätzen und unterstellen mir allerlei Böses, was ich gemeint haben könnte.
Das ist journalistisch unlauter…was es juristisch bedeutet, weiss ich nicht.
Und was Sie leider tun: Sie verbreiten Fake News zum Gesichtsbild (lesen Sie den weiter unten).
Ich werde jetzt wortwörtlich auf die von Ihnen GESCHRIEBENEN Sätze eingehen.
– “Dass ein Gesichtsbild “unveränderliche” Merkmale des menschlichen Körpers abbilde, ist aber falsch.”
Nun gut…ich lasse den Satz für sich stehen, der ist so falsch, dass er für sich steht.
-“Ansonsten skandalisiert der Artikel: Fingerabdruck und Iris werden genannt — um diese geht es aber überhaupt nicht bei der E-ID.”
ok, schauen wir uns doch an, wie ich das genau im Artikel geschrieben habe:
Republik-Artikel (https://www.republik.ch/2021/01/28/die-probleme-mit-der-schweizer-e-identitaet): “Denn die Verordnung lässt zu, dass private Anbieter der E-ID in den Besitz von biometrischen Daten der Bürgerinnen gelangen. Das sind unveränderliche Merkmale des menschlichen Körpers wie Fingerabdruck, Iris oder, WIE IN DIESEM FALL, das Gesichtsbild.”
Ich habe also genau geschrieben dass sich beim BG eID um das Gesichtsbild handelt.
Jetzt kommt ein schönes Beispiel von whataboutism-Nonsens und absolut unhalterbarer Unterstellung:
Blogartikel eID-Info:”Die Autorin verschweigt, dass die Nutzung des Gesichtsbilds nur dann erfolgt, wenn die Nutzerin ihre Zustimmung dazu erteilt hat. Art. 6 Abs. 2 lit. c BGEID verlangt stets die Zustimmung der Nutzerin.
Stattdessen heisst es bereits auf der ersten Zeile des Beitrags: “Biometrische Daten in den Händen von Privaten”. Als ob dies ein unabwendbarer Automatismus des BGEID wäre (was nicht der Fall ist).”
Wer redet da von Automatismus? Herr Laux unterstellt mir also dass ich durch diese AUSLASSUNG der expliziten Zustimmung suggeriere, Lena Fischers Gesichtsbild würde einfach an SwissSign weitergeleitet.
Das Problem ist: sowas schreibe ich nirgends.
Im Gegenteil. In meinem Artikel steht:
“Lena Fischer möchte eine staatliche E-ID. Sie wendet sich an den Identitätsprovider ihres Vertrauens, in unserem Beispiel Swiss Sign”
Ich schreibe also dass die Bürgerin Lena Fischer eine eID will und gehe jetzt davon aus, das sie sicherlich auch die Zustimmung für die erforderlichen Daten dazu geben wird.
– und jetzt kommt mein Favorit, die absolute FAKE NEWS:
Blogbeitrag: “Der Artikel stellt die Abläufe so dar, dass bei jedem Verifikationsvorgang stets auch das Gesichtsbild geprüft wird. Bereits aus dem Gesetzestext ergibt sich, dass das Gesichtbild nur für das Sicherheitslevel “hoch” geprüft werden wird. Die Art der Schilderung macht den Beitrag ungenau. Ungenauigkeit ist ein Qualitätsmangel.”
Das ist falsch. Leider sind Sie ungenau.
Sie müssen schon besser recherchieren und nicht einfach Dinge “annehmen”.
” Für die Sicherheitsniveau SUBSTANZIELL und HOCH wird das Gesichtsbild von fedpol an den IDP geliefert, um die Verifizierung durch den IdP zu unterstützen. Der Vergleich des Gesichtsbilds mit der antragstellenden Person ist aber nur ein Teilschritt der Verifizierung. Ein Gesichtsbildvergleich ist bei einem Sicherheitsniveau NIEDRIG nicht möglich, da kein Gesichtsbild von fedpol geliefert wird. Deshalb werden zusätzliche Prüfungen gemacht gemäss dem Prinzip «was bin ich, was weiss ich, was habe ich». Ähnliche Prozesse gibt es heute bereits bei anderen Online-Diensten.”
Sonja Margelist, stellvertretende Informationschefin Bundesamt für Justiz. Das hab ich im O-Ton und schriftlich. So wird es in der Verordnung stehen.
Und jetzt kommts noch besser:
Blogbeitrag:”Warum spreche ich von “falsch” und nicht bloss von “ungenau”? Begründung: Die Autorin hätte sich fragen und darlegen müssen, dass nach derzeitigen Schätzungen nur etwa in 2-3% der Fälle ein Gesichtsbild verlangt werden wird.”
Herr Laux behauptet also meine Aussagen seien falsch um im nächsten Satz zugegeben dass sie eben doch richtig sind, weil er zugibt, dass ein Gesichtsbild verlangt wird. Ob 2-3% oder 7-10 % ist reine Spekulation.
Und jetzt wo dank meinem Faktenhinweis Herr Laux weiss, dass auch bei Sicherheitsstufe “substanziell” Gesichtsbilder verlangt werden, und die Zahl der weitergeleiteten Gesichtsbilder noch viel höher ausfallen wird, als er bisher angenommen hat, könnte er ja ein Korrigenda hinzufügen.
🙂
Fakt ist: die Gesichtsdaten bleiben beim IdP. Dass kann auch Herr Laux nicht wegbloggen….
Aber ich seh schon: die Fakten alleine genügend nicht, Sie versuchen also mich zu diskreditieren mit allerlei Unterstellungen:
“Die Autorin übertreibt. Und mit dem Begriff der biometrischen Daten beabsichtigt sie ganz offensichtlich zu skandalisieren.”
Ja eben, was ich “beabsichtige” ist irrelevant. Ebenso auch was Sie beabsichtigen.
Halten Sie sich doch an das geschriebene Wort, Herr Laux.
Der Fake News-Vorwurf ist falsch. Es gilt Art. 9 Abs. 2 BGEID: “Für E-ID des Sicherheitsniveaus substanziell dürfen sie das Gesichtsbild aus dem Informationssystem nach Artikel 24 nur während des Ausstellungsprozesses verwenden.” Die Abläufe, die gespeicherten Daten und die Prüfvorgänge bei Ausstellung der E-ID substanziell und hoch sind im Detail hier dargestellt: https://e-idblog.ch/2021/02/22/welche-daten-fallen-an/: Die Gesichtsdaten bleiben beim IdP gespeichert, wenn die Nutzerin eine E-ID mit Stufe “hoch” will (mit wöchentlichem Abgleich, Art. 7 BGEID). Sonst nicht.
Herr Laux, Sie haben die Verordnung nicht vor sich und auch nicht die technischen Ausführungsbestimmungen. Ich hab einen Informationsvorsprung gegenüber Ihnen, ich weiss das tut weh. Aber das ist leider so. Sie behaupten Fake News.
Frau Sonja Margelist, Informationschefin des Bundesamts für Justiz schreibt:
“Für die Sicherheitsniveau SUBSTANZIELL und HOCH wird das Gesichtsbild von fedpol an den IDP geliefert, um die Verifizierung durch den IdP zu unterstützen. Der Vergleich des Gesichtsbilds mit der antragstellenden Person ist aber nur ein Teilschritt der Verifizierung. Ein Gesichtsbildvergleich ist bei einem Sicherheitsniveau NIEDRIG nicht möglich, da kein Gesichtsbild von fedpol geliefert wird. Deshalb werden zusätzliche Prüfungen gemacht gemäss dem Prinzip «was bin ich, was weiss ich, was habe ich». Ähnliche Prozesse gibt es heute bereits bei anderen Online-Diensten.”
Weiter:
“Das von fedpol gelieferte Gesichtsbild darf beim Sicherheitsniveau SUBSTANZIELL nur für die Verifikation verwendet werden. Nur auf Sicherheitsniveau HOCH ist das Gesichtsbild Teil der Personenidentifizierungsdaten gemäss Artikel 5 BGEID.”
Fühlen Sie sich bitte frei nachzufragen:
sonja.margelist@bj.admin.ch
Sollte das Gesetz durchkommen, wird das so in der Verordnung/Ausführungsbestimmungen stehen. Und dann werde ich von Ihnen in aller Öffentlichkeit nochmals ein Korrigenda verlangen.
Was Sie schreiben, ergibt sich bereits aus dem BGEID, wie ich es im zitierten Beitrag wie folgt beschrieben habe (https://e-idblog.ch/2021/02/22/welche-daten-fallen-an):
(1) Unter “Datenprüfungsvorgänge bei der Verifikation”
“Die Verifikation wird von den IdP vorgenommen. Hier kommen nun erstmals die drei Stufen ins Spiel, die mit der E-ID zusammenhängen: niedrig, substanziell und hoch. Je nachdem, wie viel Vertrauen vermittelt werden soll, wird der Prüfvorgang aufwändiger oder weniger aufwändig ausgestaltet:
– Für das Sicherheitsniveau niedrig prüft der IdP mindestens offiziöse Dokumente (die NZZ hat in ihrer Ausgabe vom 13.02.2021 als Beispiele die Handyrechnung oder die Steuerrechnung angeführt).
– Für das Sicherheitsniveau substanziell und hoch können zusätzlich das Gesichtsbild zur Verifikation geprüft werden.
Dass die Verordnung weitere Vorgaben zu den Prüfschritten macht, ist anzunehmen. Letztlich geht es darum, dass die Prüfschritte genügend belastbar sind, um der E-ID das Vertrauen zu geben, das Relying Parties benötigen.”
(2) unter “Welche Daten sind beim IdP gespeichert?”
“Der IdP erhält vom FedPol eine im Voraus bestimmte, im BGEID genau definierte Menge von Personendaten, und zwar geht es je nachdem, bis zu welchem Sicherheitsniveau die Nutzerin ihre E-ID einsetzen will, um Folgendes:
– Sicherheitsniveau niedrig: amtlicher Name mit Vorname(n) und Geburtsdatum
– Sicherheitsniveau substanziell: zusätzlich Geschlecht, Geburtsort und Staatsangehörigkeit
– Sicherheitsniveau hoch: zusätzlich das Gesichtsbild, wie es in der Datenbank des FedPol gespeichert ist”
Sie stellen zusätzlich die Medienkritik zur Diskussion. Diese Diskussion ist wichtig und ich finde sie auch wertvoll. Man sollte sie langfristig weiterführen. Es geht um Journalismus als die Vierte Gewalt. Was muss Journalismus? Was darf Journalismus? Wie darf man als Bürger Journalismus kritisieren? Das sind wichtige Fragen.
Das Problem an Ihrer “Medienkritik” ist folgendes:
Für Sie steht fest: Fakt ist, was im Gesetz steht. Jedes Wort das nicht im Gesetz erwähnt, ist somit faktisch falsch.
Die Realität/Wahrheit ist ja eine andere.
Sie als Jurist sagen: Im Gesetz/Strassenverkehrsordnung steht Tempo 30 auf der Strasse, 140 auf der Autobahn.
Ich schreibe: es gibt das Gesetz, doch es passieren täglich Unfälle und es gibt Raser.
Sie sagen: Nein, das Wort Raser kommt im Gesetz nicht vor! Das ist falsch! Auch sowas wie “Unfälle” steht nicht im Wortlaut. Unterstehen Sie sich den AutofahrerInnen solche Vorwürfe zu machen…
Und diese Argumentationslinie zieht sich durch all Ihre Texte. Sie machen eine rechtliche Analyse von journalistischen Texten. Das hat wenig mit Faktenchecks zu tun. Denn journalistische Texte sind Realitätschecks.
IT-JournalistInnen zählen Szenarien auf, die passieren im täglichen Leben. DDOS-Attacken, Phishing, Impersonation, Man-in-the-middle-Attackne…alles Begriffe die nicht im BG eID vorkommen, aber dennoch bittere Realität sind.
Und weil Ihnen die Argumente ausgehen, unterstellen Sie mir alles mögliche (“Sie beabsichtigt…Sie will das Gesetz bodigen), anstelle dass Sie meine geschriebenen Sätze Wort für Wort analysieren.
Wir haben schon in Teil I gesehen, dass Sie offenbar nicht recherchiert haben.