Bleiben Sie stets auf dem Laufenden: Wir senden Ihnen aktuelle Informationen rund um digitale Ideen und Trends direkt in Ihren Posteingang. Für Sie und über 14’000 weitere Digital-Enthusiasten fassen wir regelmässig die aktuellsten Neuigkeiten, Projektupdates und inspirierenden Ideen zusammen.
Nach der Anmeldung für unseren Newsletter können Sie das Dokument herunterladen.
Am 7. März 2021 stimmt das Schweizer Volk über die staatlich anerkannte Elektronische Identität (E-ID) ab. Es geht um das Bundesgesetz über Elektronische Identifizierungsdienste (BGEID), gegen welches das Referendum ergriffen wurde. Das Referendumskomitee sagt „Datenschutz ungenügend“. Was ist dran an dieser Kritik?
Bei digitalen Vorgängen stehen Daten im Zentrum, was selbstredend auch für die E-ID gilt. Der Datenschutz ist deshalb für die E-ID zentral. Der nüchterne Blick auf die Fakten zeigt, dass das BGEID den Datenschutz deutlich verbessert – der Datenschutz wird mit dem BGEID sogar besser umgesetzt als mit dem Wunschszenario des Referendumskomitees, was dieser Beitrag beleuchtet.
Wer eine E-ID hat, hat ein Login. Mit dem Login kann die Nutzerin nachweisen, wer sie ist, wenn dies z.B. bei der Online-Bestellung eines Kinobilletts, einer Online-Buchbestellung, beim Online-Behördengang (z.B. Strafregisterauszug bestellen) von ihr verlangt oder in ihr Belieben gestellt wird. Die Kinokasse, der Onlineshop oder die Behörde können unter Rückgriff auf die E-ID die Identität der Nutzerin feststellen.
Ein Online-Login funktioniert auch ohne E-ID. Wer sich im Internet bewegt, weiss, worum es beim Online-Login geht: Entweder schlägt z.B. die Kinokasse vor, dass die Nutzerin ein E-Mail und ein Passwort definiert, mit dem sie sich registriert, oder die Kinokasse erlaubt die Anmeldung über einen Drittdienst. Das BGEID ermöglicht, dass Drittdienste neuerdings ein Online-Login mit einem Gütesiegel des Staats anbieten können. Diese Möglichkeit gab es bislang nicht.
Dem Verständnis der E-ID dient die folgende Gegenüberstellung. Man kann drei Modelle unterscheiden, das dritte Modell beschreibt die E-ID:
Im Modell #1 wird die Interaktion der Nutzerin mit der Kinokasse gezeigt. Dem stehen die beiden Modelle unter Verwendung eines Drittdiensts gegenüber. Anbieter gemäss Modell #2 sind z.B. Twitter, Google oder Facebook. Im Modell #3 (mit E-ID) kann IdP (Anbieter des Drittdiensts) sein, wer die Anerkennungsvoraussetzungen erfüllt (Art. 13 Abs. 2 BGEID: Datenhaltung Schweiz, Gewähr für den Datenschutz).
Die Kinokasse definiert die Angaben, die sie zur Identifikation der Nutzerin benötigt (sog. Personenidentifizierungsdaten). Damit weiss sie, wer (die Nutzerin) wann und mit wem (Kinokasse) interagiert hat (man spricht von Nutzungsdaten). Auch um welchen Film es ging (Titel und Spielzeit der gebuchten Filmvorführung), ist bei der Kinokasse gespeichert (man spricht von Inhaltsdaten). Wenn die Nutzerin mehr als einmal in wiedererkennbarer Weise ein Ticket kauft, gruppiert die Kinokasse diese Angaben (also Inhaltsdaten) sowie die Bestellhistorie (also Nutzungsdaten) zu einem sog. Nutzungsprofil. Was die Kinokasse im Modell #1 und im Modell #2 nicht so genau weiss: Ob die Personenidentifizierungsdaten auch real sind bzw. tatsächlich einer existierenden Person zugeordnet werden können.
Wenn die Kinokasse einen Drittdienst (im Beispiel: Facebook) für den Login-Service benutzt, fallen bei diesem Nutzungsdaten an. Facebook weiss also, wer (die Nutzerin) mit wem (der Kinokasse) wann einen Vertrag abgewickelt hat. Diese Nutzungsdaten gehen somit in die USA. Der Staat verbietet dies nicht, nicht einmal mit dem geltenden oder dem revidierten Datenschutzgesetz (DSG). Inhaltsdaten gehen über, wenn die Kinokasse zusätzlich noch Weiteres übermittelt. Facebook kann bereits aus den überstellten Nutzungsdaten viele Rückschlüsse ziehen – gänzlich ausserhalb der Einflusssphäre der Schweiz.
Mit der E-ID steht der Nutzerin eine Alternative offen. Der IdP übernimmt dabei zunächst dieselbe Rolle wie Facebook. Auch beim IdP fallen Nutzungsdaten an. Und doch gibt es wichtige Unterschiede, und um diese geht es beim BGEID:
Mit diesen Massnahmen werden Online-Bewegungen der Nutzerin geschützt. Bei herkömmlichen Drittdiensten fehlt dieser Schutz. Er entsteht erst mit dem BGEID.
Aus Sicht des Datenschutzrechts geht es jeweils um Folgendes: Wo und zu welchen Zwecken werden Daten erhoben? Wer hat Zugriff auf Daten? Wer darf Daten verwenden und wer nicht?
Der vorstehende Abschnitt hat gezeigt: Das BGEID sieht sehr strikte Zugriffs- bzw. Weitergabeverbote vor, die es ohne BGEID in der Form nicht gäbe (auch nicht im DSG, das Weitergabeverbote a priori nur für besonders schützenswerte Personendaten vorsieht). Die Weitergabe von Nutzungsdaten wäre unter dem BGEID auch mit Zustimmung der Nutzerin nicht möglich, was den Schutz der Nutzerin klar verbessert (anders im DSG). Ebenso streng ist die Analyse in Bezug auf die Verwendungsverbote. IdP dürfen Personenidentifikations- und Nutzungsdaten nicht für eigene oder sonstige sachfremde Zwecke verwenden. Die Kommerzialisierung durch den IdP ist klar ausgeschlossen.
Die Zukunft würde sich im Vergleich zur heutigen Situation mit dem BGEID somit deutlich verbessern. Aus einer datenschutzrechtlichen Optik führt das Referendum aus Nutzersicht somit zu keiner Verbesserung. Die Datenschutzkritik des Referendumskomitees ist unbegründet.
Der IdP verteilt Logins an Personen, die ein solches Login wollen und beim IdP beantragen (Nutzerinnen der E-ID). Wer ein solches Login hat, hat die E-ID erworben. Aus Sicht des Identitätsdienstleisters gilt Folgendes: Er hat der Nutzerin eine E-ID ausgestellt. Nur dieser Ausstellungsvorgang wird mit dem Referendum angefochten. Das Referendumskomitee will, dass der Staat Logins verteilen soll, und nicht ein privater IdP.
Dass der Staat eine private Dienstleisterin (einen Outsourcer) einsetzen würde, wenn er selber die Logins ausgäbe, wäre die naheliegende Folge der vom Referendumskomitee verfolgten Vision (und wird auch vom Referendumskomitee nicht in Abrede gestellt). Der Outsourcer würde für den Staat handeln und die technische Infrastruktur für den Bund bereitstellen. Grafisch lässt sich der Unterschied wie folgt darstellen:
Der Vergleichs zeigt, wie wenig die vom Referendumskomitee propagierte Alternative die Situation ändern würde:
Weiter ist zu hören, dass die zentrale Speicherung von Daten ein Datenschutzproblem darstelle. Es sei eine dezentrale Datenspeicherung vorzuziehen. Dies ist aus Datenschutzsicht ein grundsätzlich richtiger Gedanke (Risikominimierung). Es handelt sich allerdings um eine Frage der Softwarearchitektur. Und hierzu macht das BGEID bewusst keine Vorgaben. Gleich in Art. 1 Abs. 3 BGEID legt es den Grundsatz der Technologieneutralität fest. Das BGEID würde somit IdP-Lösungen mit dezentraler Datenstruktur zulassen. Wer die zentrale Datenhaltung kritisiert, sollte nicht das BGEID bekämpfen. Das BGEID ist vielmehr eine Einladung an Anbieter mit einem dezentralen Lösungsdesign, sich als IdP anerkennen zu lassen. Zudem: Wenn das fedpol selber die eigene Datenbank bei einem Outsourcer hosten lässt, wäre mit dem Referendum nichts gewonnen. Und dass eine redundante Datenhaltung mit dem Referendum vermieden werden kann, ist alles andere als gesichert.
Das Referendumskomitee bringt vor, es bestehe bei der privatwirtschaftlichen Lösung ein Missbrauchspotential (gemeint ist: erst und gerade wegen des BGEID). Und zwar gehe es um Missbrauch durch den IdP. Dies liege an der zentralen Speicherung von Daten beim IdP. Diese Kritik lässt sich nicht ernsthaft aufrecht erhalten. Wie gesehen, ist die zentrale Speicherung vom BGEID nicht vorgeschrieben. Solange genügend Sicherheitsmassnahmen bestehen, kann ein Anbieter mit einer solchen Lösung noch immer als IdP anerkannt werden (Art. 13 Abs. 2 lit. g BGEID). Zudem: Da das BGEID Datenzugriffs- und Datenverwendungsverbote enthält, die weit schärfer sind als was das DSG fordert, ist der Missbrauchsvorwurf nicht naheliegend. Namentlich die vom Referendumskomitee heraufbeschworene Gefahr der Kommerzialisierung von Daten durch einen IdP ist im BGEID explizit ausgeschlossen.
Nach alldem: Der mit Vehemenz vorgetragene Hauptpunkt des Referendumskomitees (E-ID als Staatsaufgabe!) ist nicht geeignet, die Daten der Bürgerinnen besser und effizienter zu schützen, als dies gemäss BGEID der Fall wäre. Im Gegenteil: Die Wunschlösung des Referendumskomitees führt sogar zu schlechteren Resultaten. Dass es zu einer Datenübermittlung auf Server eines oder mehrerer IdP kommt, kann jedenfalls mit Blick auf die Aufsicht durch die EIDCOM und die festgeschriebenen Nutzungs- und Weitergabeverbote nicht ausschlaggebend sein – insbesondere mit Blick darauf, dass eine langfristige Speicherung von besonders sensiblen Daten beim IdP ebenfalls ausgeschlossen ist. Ergänzend noch dies: Die Ablehnung des BGEID führt nicht automatisch zum Wunschzustand des Referendumskomitees. Vielmehr wird der Status Quo beibehalten – und den will niemand.
Dr. Christian Laux, LL.M., ist Rechtsanwalt und Partner einer Kanzlei mit Büros in Zürich und Basel sowie Vizepräsident der Swiss Data Alliance. Er gibt in diesem Beitrag seine persönliche Meinung wieder.
Die parlamentarische Gruppe Parldigi bringt Mitglieder des National- und Ständerats zusammen, um die Digitalisierung in der Schweiz voranzutreiben. digitalswitzerland ist stolzer Unterstützer von Parldigi. Gemeinsam mit den parlamentarischen Gruppen bieten wir Plattformen für Fachgespräche mit Wirtschaft und Wissenschaft und bringen wichtige Anliegen der Digitalisierung in die parlamentarische Debatte ein.
Die 2009 gegründete parlamentarische Gruppe Digitale Nachhaltigkeit setzt sich ein für den digital nachhaltigen Umgang mit Wissensgütern mittels parlamentarischer Vorstösse, Dinner Anlässen, Open Hearings, Medienmitteilungen sowie Blog-Einträgen.
Die 2009 gegründete parlamentarische Gruppe Digitale Nachhaltigkeit setzt sich ein für den digital nachhaltigen Umgang mit Wissensgütern mittels parlamentarischer Vorstösse, Dinner Anlässen, Open Hearings, Medienmitteilungen sowie Blog-Einträgen.
Gemeinsam mit parlamentarischen Gruppen wie Parldigi führen wir regelmäßig Sessionsanlässe zu aktuellen Themen der Digitalpolitik durch. Die Informations- und Netzwerkveranstaltungen bieten eine wichtige Plattform für den Austausch zwischen Politik, Wirtschaft und Wissenschaft.
Die Einladung zu den Veranstaltungen richtet sich ausschliesslich an Politiker:innen, Vertreter:innen der Verwaltung und unsere Mitglieder. Die Veranstaltungen finden in der Regel in Bern statt und werden in deutscher Sprache abgehalten.
Rückblick auf vergangene Veranstaltungen
Es wurden einige Sessionsanlässe in Kooperation mit der parlamentarischen Gruppe ePower durchgeführt.
ePower-Sessionsanlass vom 1. März 2022
Unabhängigkeit bei grösstmöglicher Sicherheit in der Cybersicherheit – ein Dilemma?
Rückblick lesen
ePower-Sessionsanlass vom 28. September 2021
Regulierung des Internets: Zwischen gesellschaftlicher Verantwortung, Zensur und Machbarkeit
Rückblick lesen
digitalswitzerland-Sessionsanlass, Montag, 14. Juni 2021
Kann die Schweiz digital? Lehren aus der Krise
Rückblick lesen
Die neu gegründete Parlamentarische Gruppe Weiterbildung setzt sich für ein innovatives und allen zugängliches Weiterbildungssystem ein. Dabei geht es insbesondere um die Frage, wie so die digitale Transformation produktiv gemeistert werden kann.
In der Sommersession 2019 hat sich die parteipolitisch breit abgestützte parlamentarische Gruppe Weiterbildung gesucht und gefunden. Das Co-Präsidium teilen sich die Nationalratsmitglieder Matthias Aebischer (SP, BE), Philipp Kutter (CVP, ZH), Rosmarie Quadranti (BDP, ZH), Maya Graf (GP, BL), Christoph Eymann (LDP, BS) und Isabelle Chevalley (GLP, VD). Ziel der Gruppe ist es, pressierende weiterbildungspolitische Themen aufzugreifen und politische Entscheide vorzubereiten. Dazu gehört insbesondere auch die Frage, welche Rolle Weiterbildungen in der digitalen Transformation übernehmen können und müssen.
Es ist eine oft angeführte Binsenweisheit: die voranschreitende Digitalisierung verändert die Anforderungen an das Kompetenzportfolio Erwerbstätiger grundsätzlich und stetig. Gemäss Digitalisierungsexperten wie Joël Luc Cachelin verläuft der Digitalisierungsprozess exponentiell, und gewinnt somit laufend an Geschwindigkeit und Einfluss. Das ist einer der entscheidenden Gründe, warum Erwerbstätige sich ebenfalls fortlaufend an diese Entwicklung anpassen und neue Kompetenzen aneignen sollten.
Der Tenor nahezu aller Studien, die sich den Entwicklungen auf dem Arbeitsmarkt (zuletzt der OECD Outlook „The Future of Work“) widmen, ist die Feststellung, dass lebenslanges berufliches Lernen immer essentieller werde. Wer sich beruflich nicht laufend weiterbilde, gehöre bald zu den „Digitalisierungsverlierern“ und sei stark gefährdet, aus dem Arbeitsmarkt auszuscheiden. Diese Erkenntnis betrifft Erwerbstätige in praktisch allen Branchen und auf allen Stufen. Kurzum: Unternehmen, die nicht in die Weiterbildung investieren, setzen ihre Wettbewerbsfähigkeit aufs Spiel.
Die parlamentarische Gruppe Weiterbildung ist vor diesem Hintergrund mit folgenden Fragen konfrontiert: Wie muss der Staat auf diese Beobachtungen und Entwicklungen reagieren? Welche Massnahmen können helfen, um die Weiterbildung gezielt zu fördern? Oder reagiert die Wirtschaft eigenständig und erhöht die eigenen Investitionen in Weiterbildungsmassnahmen deutlich?
Wie der Bildungsbericht 2018 zeigt, ist letzteres bisher nicht der Fall. Die Schweizer Unternehmen sind der Digitalisierung (und anderen Entwicklungen des Arbeitsmarktes) in den letzten 20 Jahren nicht mit signifikant erhöhten Weiterbildungsinvestitionen begegnet. Sie investieren ausserdem weiterhin sehr selektiv in ihre Mitarbeitenden. In kleinen und mittleren Unternehmen (KMU) wird nur rund ein Drittel der Mitarbeitenden in Weiterbildungswünschen unterstützt, in grossen Unternehmen ist es lediglich etwas mehr als die Hälfte.
Die Zahlen des BFS zeigen zudem, dass Erwerbstätige (weiterhin) oft nicht bereit sind, die selektive Weiterbildungstätigkeit ihrer Arbeitgeber durch eigene Investitionen in die berufliche Weiterbildung zu kompensieren. Nur 5% der Erwerbstätigen, die nicht von ihren Arbeitgebern unterstützt werden, nehmen selbstfinanziert an beruflichen Weiterbildungen teil. Das im neuen Weiterbildungsgesetz so hoch gehaltene Prinzip der Eigenverantwortung funktioniert in der beruflichen Weiterbildung also noch nicht.
Die Bundesbehörden waren in den letzten Jahren jedoch nicht untätig. Seit der Einführung des Weiterbildungsgesetzes 2017 unterstützt der Bund die Kantone im Bereich der Förderung der Grundkompetenzen Erwachsener und setzt zudem einen Förderschwerpunkt zur Stärkung der Grundkompetenzen am Arbeitsplatz um. Im Rahmen der Strategie Berufsbildung 2030 werden darüber hinaus Massnahmen zur Stärkung der Berufs-, Studien und Laufbahnberatung erarbeitet. Am 15. Mai dieses Jahres hat der Bundesrat zudem Initiativen für ältere Arbeitnehmende beschlossen. Er will unter anderem eine kostenlose Standortbestimmung, Potenzialanalyse und Laufbahnberatung für Personen ab 40 Jahren ermöglichen.
Alle diese Vorhaben sind positiv zu werten. Aber es muss die Frage erlaubt sein, ob diese vor dem Hintergrund der strukturellen Veränderungen, welche die Digitalisierung mit sich bringt, genügen. Vor allem, weil die Wirtschaft in den letzten zehn Jahren von einer starken Konjunktur und tiefer Arbeitslosigkeit profitiert hat. Was passiert, wenn die Wirtschaft in eine Rezession abrutscht? Aktuell verdichten sich die Zeichen für einen solchen Abschwung.
Kurzum: Weiterbildung ist einer der entscheidenden Wettbewerbsfaktoren für die Schweizer Volkswirtschaft. Er führt dazu, dass das vorhandene Lern- und Leistungspotential optimal genutzt wird. Die parlamentarische Gruppe Weiterbildung tritt also rechtzeitig auf den Plan.
Von Bernhard Grämiger, Schweizerischer Verband für Weiterbildung (SVEB)
Eine grundlegende Infrastruktur für sichere Online-Geschäfte zu schaffen, war ein Prozess von fast 20 Jahren. Nun ist die Zeit reif für eine staatlich anerkannte E-ID, denn es ist auch für die Schweizer Volkswirtschaft wichtig, dass deren Einführung nicht unnötig verzögert wird. Beide Kammern des Schweizer Parlaments, d.h. National- und Ständerat, haben das Bundesgesetz zur E-ID mit deutlicher Mehrheit angenommen und die Schlussabstimmung ist für kommenden Herbst vorgesehen. Es gibt weiterhin kritische Stimmen, wobei deren Argumente weitgehend auf Missverständnisse zurück zu führen sind.
Missverständnis Nr. 1: Die E-ID ist ein Projekt in privater Trägerschaft
Richtig ist: Die Daten werden vom Staat herausgegeben – und damit auch die E-ID. Die Privaten stellen lediglich die technologische Grundlage für die E-ID zur Verfügung und stellen sicher, dass die E-ID auch im täglichen Leben einfach und sicher genutzt werden kann.
Es ist unbestritten, dass es eine staatlich anerkannte E-ID braucht, um sichere Online-Dienstleistungen beziehen zu können. Denn für Internet-Transaktionen, die eine staatlich anerkannte Identifikation voraussetzen, wie zum Bespiel der Abschluss eines Versicherungsvertrags oder die Bestellung eines Strafregisterauszugs, sind sogenannte Social-Logins z.B. Google-ID, nicht ausreichend.
Im aktuellen Gesetzesentwurf ist eine Aufgabenteilung zwischen dem Staat und Privaten vorgesehen. Private Unternehmen sollen gemäss dem zugrundeliegenden Modell zwar die Aufgabe übernehmen, die technische Infrastruktur bereitzustellen und das Ökosystem aufzubauen sowie – stets im Auftrag der Inhaberinnen und Inhaber von E-ID– die Daten abzugleichen. Es ist aber der Bund, der diese privaten Anbieter anerkennt und beaufsichtigt. Und insbesondere ist es ausschliesslich der Bund, der die eigentliche persönliche E-ID, die nichts anderes ist, als ein gesetzlich geregelter Datensatz, erstellt. So gesehen ist und bleibt der Bund alleiniger Herausgeber der E-ID.
Missverständnis Nr. 2: Die Daten werden von Privaten gesammelt, ausgewertet und monetarisiert
Richtig ist: Der Datenschutz steht auch bei der E-ID an erster Stelle. Eine absolute Sicherheit gibt es leider nie. Aber es wurden geeignete Rahmenbedingungen formuliert, um das Risiko des Datenmissbrauchs weitestgehend zu minimieren. Und: Der schweizerische Datenschützer war von Beginn an eingebunden. Das Datenschutzgesetz ist in seiner strengsten Form für die E-ID garantiert.
Nicht nur haben die Nutzerinnen und Nutzer jederzeit die volle Kontrolle über ihre eigenen Daten und entscheiden selbst, wem sie was und wann bekannt geben wollen. Die im E-ID-Gesetz formulierten Vorschriften gehen zum Teil sogar über das Datenschutzgesetz hinaus. So ist es per Gesetz nicht möglich, Daten zu sammeln und Persönlichkeitsprofile zu erstellen: die Daten müssen nach sechs Monaten gelöscht und Transaktions- und Personendaten müssen getrennt gehalten werden, um Rückschlüsse zu verunmöglichen. Es ist überdies gesetzlich verboten, Daten weiter zu geben, geschweige denn, diese zu verkaufen.
Missverständnis Nr. 3: Bei der E-ID handelt es um einen digitalen Pass
Richtig ist: Die E-ID berechtigt nicht zum Reisen oder zum Grenzübertritt. Bei der E-ID handelt es sich um ein qualifiziertes Login, mit dem man sich im Internet bei Online-Geschäften sicher ausweisen kann.
Die E-ID dient somit nicht der Ausweisung der eigenen Staatsbürgerschaft beim Grenzübertritt. Und es werden deswegen auch keine Passbüros abgeschafft. Die E-ID ist kein elektronischer Pass im staatsbürgerlichen Sinne.
Missverständnis Nr. 4: Anonyme Nutzung im Internet wird nicht mehr möglich sein
Richtig ist: Nicht bei jeder Nutzung werden E-ID Daten geteilt, es gilt der Grundsatz der Datensparsamkeit.
Weitere Verzögerungen bei der Einführung des Gesetzes sind unbedingt zu vermeiden
Es ist keine Frage, dass im Umgang mit Identitätsdaten grösste Vorsicht geboten ist. Bundesrat und Parlament haben mit viel Sachverstand ein ausgewogenes Gesetz erarbeitet, das dem Staat als Herausgeber der E-ID eine tragende Rolle zuschreibt, Sicherheits- und Datenschutzfragen umfassend berücksichtigt und dem aufgrund der raschen Entwicklungen in diesem Bereich dringenden und drängenden Bedürfnis von Privaten und Unternehmen nach einer sicheren Identifikation im Internet Rechnung trägt.
Die Schweiz darf diese Entwicklungen nicht verpassen. Packen wir die Chance: jetzt!
Bleiben Sie stets auf dem Laufenden: Wir senden Ihnen aktuelle Informationen rund um digitale Ideen und Trends direkt in Ihren Posteingang. Für Sie und über 14’000 weitere Digital-Enthusiasten fassen wir regelmässig die aktuellsten Neuigkeiten, Projektupdates und inspirierenden Ideen zusammen.
Jetzt anmelden
