EIDCOM – ein “zahnloser” Einzelgänger oder ein bissiger Teamplayer?
Die Eidgenössische E-ID-Kommission (EIDCOM) ist eine unabhängige Kommission, die beim Eidgenössischen Justiz- und Polizeidepartement (EJPD) angesiedelt ist. Doch wie werden ihre Mitglieder bestimmt? Welche Rolle und Staatsgewalt kommt ihr zu? Und ist die EIDCOM überhaupt leistungsfähig? Der vorliegende Beitrag soll diesen Fragen nachgehen.
Prozess zur Bestimmung der Mitglieder
Der Bundesrat bestellt nicht nur die EIDCOM, sondern er wählt auch die fünf bis sieben Mitglieder und bezeichnet die Präsidentin oder den Präsidenten sowie die Vizepräsidentin oder den Vizepräsidenten (Art. 25 Abs. 1 BGEID).
Als Mitglieder kann der Bundesrat aber nur Personen wählen, die unabhängig sind und ausgewiesene Sachkenntnis haben von den massgeblichen Abläufen (Art. 25 Abs. 2 BGEID):
- Unabhängigkeit: Wer Organ einer juristischen Person ist oder einer Behörde angehört, die eine Tätigkeit als IdP ausüben, ist nicht wählbar. Gleichermassen ist nicht wählbar, wer in einem Dienstleistungsverhältnis zu solchen juristischen Personen oder Behörden steht.
- Sachverstand: Man muss von den massgebenden Abläufen Kenntnis haben. Meines Erachtens gehört dazu Folgendes: Man muss wissen, wie Public Key Infrastrukturen funktionieren, wie Sicherheitsarchitekturen aufgebaut sind, wie sie zu schützen sind und wie man sie auditieren kann. Man muss verstehen, wie Security Reports und Audit Reports gelesen werden und wie man sie einordnen kann, um Urteile wie “Sicher”, “Angemessen” und “Unsicher” voneinander abgrenzen zu können. Man sollte m.E. auch den den Markt verstehen. Es wäre gut, wenn man darüber hinaus auch versteht, wer als Akteur auf dem Markt agiert, wo allfällige Interessenbindungen vermuten werden müssen, damit man Vorstösse im Kontext der E-ID einordnen kann.
Aufgrund des Umstands, dass die EIDCOM sich aus mehreren Personen zusammensetzt, muss es meines Erachtens nicht sein, dass jedes einzelne Mitglied alle Anforderungen zum Unterpunkt Sachverstand erfüllt. Die EIDCOM muss einfach als Gesamtkommission leistungsfähig sein und so die Funktion einer wirksamen Aufsicht über die IdP erfüllen können.
In der Gegnerschaft gibt es Stimmen, die vortragen, dass die Schweiz zu klein sei für eine griffige Aufsichtstätigkeit. Mitglieder der EIDCOM würden sich allenfalls auf Rücksicht auf bestehende Beziehungen zum Markt nicht gegen den Markt durchsetzen können. Die Befürchtung ist ernst zu nehmen: Wenn man hohen Sachverstand erwartet, wird man auf Expertinnen mit einem langen Track Record in Sicherheitsfragen und ähnlichen Dingen setzen wollen. Dass diese über die Dauer, während welcher sie Erfahrungen gesammelt haben, auch viele berufliche Beziehungen mit jenen Marktteilnehmenden geknüpft haben, die sie zu beaufsichtigen haben, ist anzunehmen. Das könnte je nach Persönlichkeit der EIDCOM-Mitglieder dazu führen, dass die EIDCOM am Ende gegenüber einzelnen IdPs allenfalls zu nachsichtig umgeht. Das ist auf jeden Fall zu verhindern. Entsprechend wird hier empfohlen, die EIDCOM auch mit Expertinnen und Experten aus der internationalen Security-Community zu besetzen, um Interessenbindungen nach Möglichkeit zu vermeiden und um eine mögliche diverse personelle Zusammensetzung in der EIDCOM zu erhalten.
Rollen und Sanktionsgewalt der EIDCOM
Die staatspolitische Einordnung der EIDCOM wird vorliegend anhand der Rolle und der Sanktionsgewalt der EIDCOM vorgenommen.
Rollen der EIDCOM
Die EIDCOM wacht über die E-ID. Hierbei nimmt sie verschiedene Rollen ein:
- Anerkennung: Die EIDCOM anerkennt Unternehmen, welche eine E-ID ausstellen möchten, als IdP (Art. 26 Abs. 2 lit. a BGEID). Die Anerkennung erfolgt nach Anhörung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Art. 13 Abs. 1 BGEID) und wenn die Voraussetzungen des Art. 13 Abs. 2 BGEID erfüllt sind (z.B. Anforderungen für jeweiliges Sicherheitsniveau, Datenhaltung und -bearbeitung in der Schweiz). Die Anerkennung ist ein hoheitlicher Verwaltungsakt, die mit dem Ausstellen einer Urkunde durch die EIDCOM abgeschlossen wird.
- Aufsicht: Die EIDCOM überwacht die Einhaltung des BGEID, seiner Ausführungsbestimmungen und der Pflichten, welche die EIDCOM dem IdP auferlegt hat (Art. 19 Abs. 1 i.V.m. Art. 26 Abs. 2 lit. a BGEID).
- Anordnung von Aufsichtsmassnahmen: Die EIDCOM ordnet Aufsichtsmassnahmen an, wenn ein IdP das BGEID verletzt (Art. 19 Abs. 1 i.V.m. Art. 26 Abs. 2 lit. a BGEID).
- Entzug der Anerkennung: Die EIDCOM kann einem IdP die Anerkennung entziehen, wenn er das BGEID, die dazugehörigen Ausführungsbestimmungen oder seine Pflichten missachtet hat und sich nicht wieder rechtmässig verhält (Art. 19 Abs. 2 i.V.m. Art. 26 Abs. 2 lit. a BGEID).
- Darüber hinaus kommen der EIDCOM weitere Rollen zu, wie die Veröffentlichung einer Liste der IdP und deren E-ID-Systemen oder die Streiterledigung über Fragen des Zugangs zu einer E-ID und zur Interoperabilität (Art. 26 Abs. 2 lit. b, c BGEID). Zudem beobachtet und überwacht sie die Entwicklung der IdP und deren E-ID Systemen hinsichtlich eines sicheren, vielfältigen und erschwinglichen Angebots (Art. 26 Abs. 3 BGEID). Zuletzt kann die EIDCOM dem Bundesrat Vorschläge unterbreiten, wenn der Markt trotz Eingriffen der EIDCOM nicht funktioniert (Art. 26 Abs. 4 BGEID).
Sanktionsgewalt der EIDCOM
Zunächst soll die EIDCOM selbst beurteilt werden, denn auch ihre Sanktionsmöglichkeiten sind vielseitig. Diese ergeben sich nicht nur aus dem BGEID, sondern auch aus dem allgemeinen Verwaltungsverfahrensgesetz (VwVG). Dieses ist anwendbar, da die EIDCOM eine eidgenössische Kommission ist (Art. 1 Abs. 2 lit. d VwVG).
- Entzug der Anerkennung und Unterbreitung von Vorschlägen an den Bundesrat. Diese Sanktionsmöglichkeiten ergeben sich aus dem BGEID (siehe bereits oben).
- Erheben von Beweismitteln (Art. 12 VwVG).
- Ersatzvornahme, d.h. Veranlassen einer rechtmässigen Lösung (Art. 41 VwVG), auf Kosten des IdP.
- Eingriffe in den Geschäftsbetrieb des IdP mit Vorgaben, er habe dies oder das (z.B. einen Datenmissbrauch oder eine Architektur, welche das Need-to-Know-Prinzip nicht achtet) innert kürzester Frist vollständig zu unterlassen (Art. 5 VwVG). Diese Anordnung wird mit Strafandrohung nach Art. 292 StGB verknüpft (siehe sogleich unten).
Darüber hinaus erfolgt auch eine enge Zusammenarbeit mit den Strafverfolgungsbehörden und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB):
- Strafverfolgung wegen Ungehorsams: Auch wenn die EIDCOM selbst keine Bussenkompetenz hat, kann eine Busse ausgefällt werden, wenn der fehlbare IdP den rechtmässigen Zustand nicht innert Frist wiederherstellt und damit gegen Verfügungen der EIDCOM verstösst. Dies ergibt sich aus dem Strafgesetzbuch: Es berechtigt die EIDCOM, ihre Anordnungen mit Hinweis auf Art. 292 StGB mit einer Strafandrohung zu versehen.
- Strafverfolgung gegen Organe: Hierbei kann eine Strafverfolgung wegen direkten Verstössen gegen das StGB oder ähnliche Bestimmungen erfolgen. Dabei können auch Freiheitsstrafen zur Anwendung kommen. So wird z.B. mit Busse oder Gefängnis bis fünf Jahre bestraft, wer beim Anerkennungsprozess lügt oder wer verbotene Nutzungsprofile anlegt (Art. 253 StGB).
- Strafverfolgung wegen Verstoss gegen Datenschutzrecht: Ist ein Verstoss gegen das BGEID zugleich ein Verstoss gegen das Datenschutzrecht (DSG) – was regelmässig der Fall sein dürfte – und ist der Vorgang nach dem DSG strafrechtlich relevant, wird der Verstoss gegen das BGEID gestützt auf das DSG bestraft.
- Massnahmen des EDÖB: Das Datenschutzgesetz wird im Zuge der Totalrevision per 2022 verschärft und gewährt dem EDÖB vielseitige Möglichkeiten, Datenschutzverstösse zu ahnden. So verfügt der EDÖB über diverse Befugnisse und kann sich zwangsweise Zugang zu Dokumenten, Räumlichkeiten und Personen verschaffen (Art. 50 revDSG). Zudem kann er mithilfe von Verwaltungsmassnahmen etwa Datenbearbeitungen verbieten und zwangsweise Datenlöschungen anordnen (Art. 51 revDSG).
Ist die EIDCOM leistungsfähig?
Es wird eine heftige Diskussion darüber geführt, ob die EIDCOM leistungsfähig sein wird oder nicht. Manche verunglimpfen den Begriff “Aufsicht” und stellen dies so dar, dass eine blosse “Aufsicht” gar nichts bewirken könne. Diese Kritik leitet sich jedoch ausschliesslich aus einem Begriff ab, was per se wenig überzeugend ist. Die Finma (Eidgenössische Finanzmarktaufsicht) hat ebenfalls eine Aufsichtsrolle inne. Es wird aber niemand wagen, ihr die Leistungsfähigkeit abzusprechen. Eine Untersuchung der Finmal will eigentlich niemand über sich ergehen lassen.
Bei der EIDCOM wird es nicht anders sein. Wenn die EIDCOM mit anerkannten Fachleuten besetzt wird, kann sie Grossartiges leisten. Dann ist sie nahe an der Sache dran und kann auch andere Behörden beiziehen. Gewissermassen ist die EIDCOM dann der Ausgangspunkt für Sanktionszüge des Staats. Damit wird die Bestimmung ihrer Mitglieder von zentraler Bedeutung für die Durchsetzung des BGEID sein.
Fazit
Die Kritik an der EIDCOM halte ich für nicht fundiert. Die Sanktionsmöglichkeiten der EIDCOM aus dem VwVG werden meist ausser Acht gelassen, wenn die EIDCOM kommentiert wird. Zweitens werden die weiteren Akteure, wie die Strafverfolgungsbehörden und der EDÖB, die aber ebenfalls für die Gesamtwertung relevant sind, ausgeblendet.
Ist die Durchsetzung des BGEID einem “zahnlosen” Bettvorleger vorbehalten? Oder ist die EIDCOM eher ein bissiger Teamplayer, der mit den Strafverfolgungsbehörden und dem EDÖB eng zusammenarbeitet?
Aus unserer Analyse wird klar: Ich halte die EIDCOM für einen bissigen Teamplayer. Die EIDCOM wird Grossartiges leisten können.