Obwohl das Volk am 7. März 2022 das E-ID-Gesetz in einer Referendumsabstimmung deutlich verwarf, hat das Schweizer Parlament bereits gut zwei Jahre später eine neue Version des E-ID-Gesetzes angenommen. Der Tenor war durch die Parteien hinweg positiv. Doch schauen wir genauer hin: Trägt das neue E-ID-Gesetz den Datenschutz- und Sicherheitsbedenken ausreichend Rechnung?  

Von Ralph Studer

Bundesrat Beat Jans zeigte sich in der Ständeratsdebatte vom 10. September 2024 überzeugt, dass die E-ID „den höchsten Anforderungen des Datenschutzes entsprechen“. Und Jans weiter: „Die E-ID ermöglicht den Nachweis der eigenen Identität in der virtuellen Welt. Sie wird mit der Identitätskarte oder mit dem Pass in der physischen Welt vergleichbar sein. Allerdings wird die E-ID die beiden Dokumente nicht ersetzen.“ Der Ständerat folgte Jans und nahm – wie bereits zuvor der Nationalrat in der Frühjahrssession 2024 – das neue E-ID-Gesetz an. Allerdings bestehen im Bereich „Datenschutz- und Cybersicherheitsfragen“ noch gewisse Differenzen zwischen den Räten, die diese noch zu bereinigen haben.

Geplantes Vorgehen

Bis Ende 2024 sollen Software und Infrastruktur für die neue E-ID vom Eidgenössischen Justiz- und Polizeidepartement (EJPD) breitgestellt werden. Die E-ID soll international verwendet werden können und einen hohen Schutz der Privatsphäre garantieren. Ab 2026 ist geplant, dass die E-ID sowohl online als auch im Passbüro kostenlos erhältlich wird. Zudem soll sie freiwillig sein und die heutigen Identitätskarten und Pässe nicht ersetzen.

Bei diesem Vorhaben ist es elementar, dass die persönlichen Daten vor missbräuchlichen Abfragen und Nutzungen durch unbefugte Dritte wirksam geschützt sind. Ob die versprochene Daten-Infrastruktur des Bundes wirklich sicher sein wird, ist aber noch unklar. Grund: Die finale IT-Lösung liegt erst Ende 2024 vor.

Wie sieht die Neuauflage des E-ID-Gesetzes aus?

Im Vergleich zur gescheiterten Vorläuferversion des E-ID-Gesetzes sollen nun alle bisherigen Kritikpunkte im neuen Gesetzesentwurf behoben sein, so u.a.:

• Die E-ID werde nicht von Privaten herausgegeben, sondern von einer Stelle des Bundes (Art. 1, 2, 12 E-ID-Gesetz);
• Ausreichende Sicherheit soll dadurch gewährleistet sein, dass ausschliesslich der Bund die Software-Entwicklung und die Infrastruktur betreibt (Art. 2 und 3 E-ID-Gesetz)
• Der Datenschutz sei dadurch gewährleistet, dass Nutzer ihre Daten selbst verwalten und diese auf dem Handy gespeichert behalten (Art. 6 und 7 E-ID-Gesetz)
• Der Bund soll keinen Einblick in die digitale E-ID erhalten und nicht erfahren, welche Daten vom Inhaber letztlich genutzt werden. Der User habe die ausschliessliche Kontrolle (Art. 2, 9 und 16 E-ID-Gesetz).
• Die auf der digitalen ID gespeicherten Daten sollen vom Nutzer auch selektiv einzeln freigegeben werden können (Art. 9 E-ID-Gesetz).
• Die E-ID diene als Identifikationsgrundlage beim Bezug von amtlichen Dokumenten und Dienstleistungen sowie von privaten Waren und Dienstleistungen (Art. 23 E-ID-Gesetz).

Berechtigte Kritik

Zu Recht weist ABF Schweiz u.a. auf folgende kritische Punkte des E-ID-Gesetzes hin:

• Zwar dürfen die Nutzer beim Online-Vertragsschluss mittels E-ID selektiv entscheiden, welche einzelnen Daten sie freigeben (Art. 9 E-ID-Gesetz). Welche Daten die Nutzer dann aber letztlich effektiv der Vertragspartei übermitteln, bleibt den Kräften des Marktes überlassen. Der Gesetzesentwurf beinhaltet keine Bestimmungen zum Konsumentenschutz vor unnötigen oder missbräuchlich geforderten Informationen („Überidentifikation“). Unternehmen mit grosser Marktmacht wie Banken, Versicherungen und Software-Konzerne können schwächere Kunden ohne weiteres zur Preisgabe privater Daten (inkl. Gesichtserkennung) nötigen und diese dann kommerziell verwerten.
• Bei der Erfassung von biometrischen Daten gab es bereits in de Vergangenheit Sicherheitslücken. Es ist daher nur eine Frage der Zeit, bis auch in der Zukunft unbefugte Dritte auf biometrische Daten zugreifen.
• Es ist klar davon auszugehen, dass grosse Marktplayer auf dem politischen Weg Ausnahmeregelungen erwirken, um Zugriff auf die E-ID-Daten ihrer Kunden zu erhalten. Für die Nutzung der biometrischen Daten liegen schon konkrete Vorstösse vor, wie z.B.:
• Flughäfen und Fluggesellschaften wollen Gesichtserkennung zur schnelleren Abwicklung.
• Die Konferenz der Kantonalen Justiz- und Polizeidirektoren wollen Sportfans damit überwachen.
• Die Ausschreibung für das Online-Verifikationsverfahren der E-ID läuft unter Ausschluss jeglicher Kontrolle von Fachpersonen, Parlamentariern oder weiteren interessierten Personen. Sogar die Ausschreibungsunterlagen sind streng geheim.

Globale Entwicklung im Auge behalten

Im Weiteren weist ABF Schweiz auf einen ernstzunehmenden Umstand hin: Das E-ID-Gesetz schafft eine Basistechnologie, die in Kombination mit bereits laufenden internationalen Entwicklungen zu einer erheblichen Bedrohung für Grundrechte führen kann. Auch wenn solche Verknüpfungen in der Schweiz noch nicht als konkrete Projekte vorliegen, sind sie international unübersehbar (wie ID 2020, EU-Digitalstrategie, UNO „Pact for the Future“).

E-ID-Gesetz nicht ausreichend

Aufgrund dessen besteht die konkrete Gefahr, dass die E-ID- zum zentralen Schlüsselbaustein wird, um eine Vielzahl von digitalen Systemen miteinander zu verknüpfen, wie z.B. mit einem digitalen Impfpass (aktueller Testlauf des europäischen Impfpasses). Deshalb ist es nicht von der Hand zu weisen, dass ein umfassendes Kontrollnetzwerk entstehen kann, welches tief in das Leben eines jeden Einzelnen eingreift und in Krisenzeiten zum Entzug von wesentlichen Grundfreiheiten missbraucht werden könnte.

Diese Aspekte gilt es bei der Beurteilung des vorliegenden Gesetzesentwurfs zu berücksichtigen, was zum Schluss führt: Das vorliegende E-ID-Gesetz ist insgesamt  unter den Gesichtspunkten von Datenschutz, Sicherheit und Schutz der Freiheitsrechte kritisch zu sehen und trägt diesen Aspekten und der internationalen Entwicklung nur ungenügend Rechnung.