Bleiben Sie stets auf dem Laufenden: Wir senden Ihnen aktuelle Informationen rund um digitale Ideen und Trends direkt in Ihren Posteingang. Für Sie und über 14’000 weitere Digital-Enthusiasten fassen wir regelmässig die aktuellsten Neuigkeiten, Projektupdates und inspirierenden Ideen zusammen.
Nach der Anmeldung für unseren Newsletter können Sie das Dokument herunterladen.
Studie über Digitalisierung und Cybersicherheit in KMU 2022
Mit dem propagierten „Ende“ der Pandemie geht auch die Flexibilität der KMU zu Ende. Vor allem die Arbeit von zu Hause aus hat sich nicht durchgesetzt, wie die Ergebnisse der aktuellen Studie zu Digitalisierung und Cybersicherheit in KMU zeigen. Ähnlich verhält es sich mit der Cybersicherheit: Trotz starker Präsenz in den Medien hat das Thema bei den befragten Unternehmen eine geringe Priorität. Auch die Umsetzung von organisatorischen und technischen Maßnahmen zur Verbesserung der Cybersicherheit hat nicht zugenommen. Ein Drittel der befragten KMU lagert seine IT-Sicherheit an externe Dienstleister aus. Die Qualität der angebotenen Dienstleistungen ist somit entscheidend für die Sicherheit der kleinen Unternehmen in der Schweiz.
Die Umfrage wurde im Auftrag der Schweizerischen Mobiliar Versicherungsgesellschaft AG, digitalswitzerland, Allianz Digitale Sicherheit Schweiz, der Fachhochschule Nordwestschweiz FHNW – Kompetenzzentrum Digitale Transformation und der Schweizerischen Akademie der Technischen Wissenschaften SATW durchgeführt.
Lesen Sie die Studie auf Deutsch. Für weitere Analysen lesen Sie bitte das Whitepaper auf Deutsch, Französisch und Italienisch.
Lesen Sie die Pressemitteilung auf Deutsch, Französisch und Italienisch.
Lesen Sie die Präsentation der Pressekonferenz auf Deutsch.
In der Sommersession vom 30. Mai bis zum 17. Juni 2022 sind erneut über 50 Geschäfte zur Digitalpolitik traktandiert – zahlreiche hiervon aus den Themenfeldern E-Government und Cybersecurity.
Der Ständerat wird als Erstrat das «Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben» beraten. Mit der Gesetzesvorlage soll die Digitalisierung der Verwaltung vorangetrieben werden. Aus Sicht der ICT-Wirtschaft ist dies höchste Zeit. Deshalb forderten digitalswitzerland, asut und swissICT eine raschere Umsetzung (Übergangsfrist drei statt fünf Jahre, siehe Schreiben) und unterstützen den entsprechenden Antrag aus der vorberatenden Kommission.
Weiter wird sich der Ständerat mit den sechs gleichlautenden Motionen «Vertrauenswürdige staatlich E-ID» befassen, die parteiübergreifend von Vertreterinnen und Vertretern der FDP, glp, Grünen, Mitte, SP und SVP eingereicht wurden. Nach der Zustimmung des Bundesrats, des Nationalrats und der vorberatenden Kommission, dürfte die Annahme im Ständerat reine Formsache sein. Die Erarbeitung eines neuen E-ID-Gesetzes läuft derweil bereits auf Hochtouren. Die Vernehmlassung soll im Sommer 2022 starten.
Im Nationalrat ist die Motion «Nutzenorientierte Digitalisierungsoffensive der Schweizer Verwaltung» von Marcel Dobler (FDP) traktandiert. Dobler fordert, dass Behördendienste beim Vollzug von Bundesrecht künftig grundsätzlich digital angeboten werden müssten. Weiter wird der Nationalrat das Postulat seiner Wirtschaftskommission «Potenzial für die Schweizer KMU-Wirtschaft bei einem Anschluss an den EU-One-Stop-Shop zur Abrechnung der MWST prüfen» debattieren.
E-Health bleibt zudem Dauerthema. Die kleine Kammer debattiert über die Motion «Elektronische Rezepte für Heilmittel. Bessere Qualität und höhere Patientensicherheit» von Damian Müller (FDP) und in der grossen Kammer stehen die Motionen «Einführung eines E-Rezepts» von Regine Sauter (FDP) und «Elektronisches Patientendossier. Kompetenzen der Patientinnen und Patienten fördern» von Baptiste Hurni (SP) auf dem Programm.
Stärkerer Jugendschutz bei Film und Videospielen
Der Ständerat wird als Zweitrat das neue Bundesgesetz über den «Jugendschutz in den Bereichen Film und Videospiele» behandeln. Die vorberatende Kommission (WBK-S) hat aus Sicht der ICT-Wirtschaft deutliche Verbesserungen an der Vorlage vorgenommen. Sie will die internationalen Standards besser berücksichtigen und schlägt dem Ständerat eine pragmatischere und schlankere Regulierung vor, mit weniger kompliziertem Swiss Finish.
«Lex Booking» auf der Zielgeraden
Der Ständerat wird sich als Zweitrat mit dem «Bundesgesetz gegen den unlauteren Wettbewerb (UWG). Änderung» befassen. Zur Debatte steht das Verbot von Preisbindungsklauseln in Verträgen zwischen Online-Buchungsplattformen und Beherbergungsbetrieben. Der Nationalrat hat die Vorlage in der Frühjahrssession noch verschärft und will nun auch Verfügbarkeits- und Konditionenparitätsklauseln verbieten. Die vorberatende Kommission (RK-S) hatte nichts dagegen einzuwenden und beantragt dem Ständerat die verschärfte Verbotsversion anzunehmen.
Sicherheitsdebatte im Ständerat
Die «Armeebotschaft 2022», welche neben der Grossbeschaffung der F-35-Kampfjets auch finanzielle Mittel für die Cyberabwehr umfasst, kommt erstmals in den Ständerat. Insgesamt umfasst die Botschaft Kreditanträge von 9,3 Milliarden Franken; wobei 110 Millionen hiervon laut Kommission in Material im Cyber-Bereich fliessen sollen. Der Ständerat wird sich zudem als Zweitrat mit dem «Sicherheitspolitischen Bericht 2021» des Bundes befassen. Gemäss diesem soll der Schutz vor Cyberbedrohungen und Desinformation gestärkt werden. Schliesslich steht die Interpellation von Charles Juillard (M-E) «Krieg gegen die Ukraine. Vorbereitung auf mögliche Bedrohungen und beschleunigte Modernisierung der Armee» auf dem Programm.
Der Bund soll sich für mehr Cybersecurity engagieren
Der Nationalrat wird als Erstrat über die Motion von Franz Grüter (SVP) «Beteiligung des Bundes beim Aufbau und Betrieb des Nationalen Testinstituts für Cybersicherheit» debattieren. Grüter fordert den Bundesrat auf, die rechtlichen Grundlagen für die Beteiligung des Bundes am Aufbau und Betrieb des Nationalen Testinstituts für Cybersicherheit (NTC) zu schaffen. Der Bundesrat beantragt die Ablehnung – er sieht den finanziellen Aufbau und Betrieb des Testinstituts als eine Aufgabe der privaten ICT-Wirtschaft.
Weiter wird die grosse Kammer als Erstrat die Änderung des «Bundesgesetzes über die militärischen Informationssysteme» diskutieren. Dabei geht es um die Schaffung von Rechtsgrundlagen zur Bearbeitung von Personendaten in militärischen Informationssystemen. Schliesslich sind im Nationalrat das Postulat «Massnahmen für einen besseren Schutz gegen Ransomware-Angriffe» von Edith Graf-Litscher (SP), die Motion «Fachwissen anzapfen für die Armee der Zukunft!» der FDP-Liberalen Fraktion und die Motion «Nationale Strategie zur Bekämpfung der Cyber-Pädokriminalität» von Yvonne Feri (SP) traktandiert.
Den vollständigen Rückblick auf die Session finden Sie auf der Monitoring-Plattform politoscope.ch. Diese wird exklusiv unseren Mitgliedern zur Verfügung gestellt.
Bei Fragen und für Auskünfte kontaktieren Sie uns unter politics@digitalswitzerland.com.
Freundliche Grüsse, Andreas W. Kaelin, Geschäftsstelle Bern
Finden Sie mit dem Schnelltest von cybero heraus, ob Ihr Unternehmen ausreichend gegen Cyberrisiken geschützt ist.
36%
der Schweizer KMU wurden bereits Opfer eines Cyberangriffs.*
15%
der Schweizer KMU schätzen das Risiko, durch einen Cyberangriff einen Tag ausser Kraft gesetzt zu sein, als hoch oder sehr hoch ein.*
56%
der KMU beurteilen das Thema Cybersicherheit als wichtig für ihr Unternehmen.*
*Quelle: Homeoffice und Cybersicherheit in Schweizer KMU im Auftrag von Die Mobiliar, digitalswitzerland, FHNW Hochschule für Wirtschaft, SATW; durchgeführt durch gfs-zürich. November 2021
Ergänzend zum KMU CyberCheck haben wir den Cybersecurity-Leitfaden für KMU entwickelt. Dieser Leitfaden zeigt Ihnen konkrete Handlungsempfehlungen auf und bietet weitere Informationen zum Thema Cybersecurity.
Wichtige Hintergrundinformationen zum KMU CyberCheck.
Weshalb ist ein Risikoprofil im Umgang mit Cyberrisken wichtig?
Mit dem KMU CyberCheck erstellen Sie Ihr eigenes IT-Risikoprofil. Mögliche Risiken können Sie so leichter wahrnehmen und besser einschätzen.
Wie verhalte ich mich angesichts der Risiken?
Wie stelle ich sicher, dass mein Unternehmen nicht der Cyberkriminalität zum Opfer fällt?
Nutzen Sie die technische und organisatorische Kompetenz eines CyberSeal-zertifizierten Dienstleisters, um Ihr Unternehmen vor Cyberangriffen zu schützen.
Der Cybersecurity-Schnelltest wird von folgenden Partnern unterstützt.
Bern/Zürich, 18.03.2022 – In der zunehmend digitalisierten Gesellschaft ist Cybersecurity ein zentrales Thema geworden. Dies gilt besonders für den Schutz von kritischen Infrastrukturen. Hier will der Bundesrat nachbessern und führt deshalb zu gleich zwei Vorlagen eine Vernehmlassung durch. Die Einreichungsfrist der ersten, die gezielte Änderung der Verordnung über Fernmeldedienste (FDV) zum Schutz von Fernmeldeinfrastrukturen und -diensten, endet heute. Der Verein digitalswitzerland begrüsst die Revision und schlägt einzelne Anpassungen für eine klare und effiziente Umsetzung vor.
Darum geht es
Heute endet die Vernehmlassung des Bundes zur «Änderung der Verordnung über Fernmeldedienste». Dank dieser soll die Sicherheit von Fernmeldeinfrastrukturen und -diensten weiter gestärkt werden. Der Bundesrat schlägt vier Massnahmen vor, um die unbefugte Manipulation von Fernmeldeanlagen zu bekämpfen und die Netzwerksicherheit von 5G-Mobilfunknetzen sicherzustellen. Namentlich sollen die Anbieterinnen von Internetzugängen (IAP) verpflichtet werden: 1. Spoofing-Versuche zu filtern; 2. die Sicherheit von Geräten, die sie ihren Kunden zur Verfügung stellen, bestmöglich zu gewährleisten; 3. ihre Kunden über die Sperrung von Internetzugängen oder Adressierungselementen zu informieren; sowie 4. unbefugte Manipulationen an Fernmeldeanlagen zu melden und in angemessener Frist Abwehrmassnahmen zu ergreifen.
Cyber-Resilienz ist das Gebot der Stunde
digitalswitzerland begrüsst die vorgeschlagene Revision der FDV ausdrücklich. Eine Stärkung der Sicherheit der Fernmeldenetze als kritische Infrastruktur von allen Seiten ist ein zentrales Element zur Erhöhung der schweizweiten Cyber-Resilienz.
Aus Sicht von digitalswitzerland sind die Prozesse im Interesse der Sicherheit möglichst klar und effizient zu gestalten. Es gilt Doppelspurigkeit zu vermeiden und Vorgaben auf internationalen Standards abzustimmen. Deshalb schlägt digitalswitzerland folgende punktuelle Anpassungen der Vorlage vor:
Weiter begrüsst digitalswitzerland, dass sich die Vorlage im Wesentlichen an Massnahmen orientiert, welche auch in der EU implementiert werden, und auf international anerkannten Sicherheitsnormen und -initiativen basiert (z.B. ENISA, NESAS, 3GGP, EU 5G Toolbox, ISO). Nun ist es wichtig, dass der Bund diesem Grundsatz auch bei den noch folgenden technischen Präzisierungen auf Stufe technischer und administrativer Vorschriften (TAV) treu bleibt.
Pressemitteilung als PDF herunterladen
Weitere Informationen zur Vernehmlassung FDV: siehe vollständige Stellungnahme von digitalswitzerland
Kontakt für weitere Auskünfte
Andreas W. Kaelin, digitalswitzerland | Geschäftsstelle Bern
Tel. +41 31 311 62 45 │ andreas@digitalswitzerland.com
Die parlamentarische Gruppe ePower diskutierte an ihrem traditionellen Sessionsanlass vom Dienstagabend das hochaktuelle und virulenten Thema Cybersicherheit. Nationalrat Franz Grüter, Mitglied des ePower-Kernteams, begrüsste hochkarätige Vertreterinnen und Vertreter aus Politik, Verwaltung, Wirtschaft und Wissenschaft. Das parteiübergreifende Publikum was sich einig: Cybersicherheit ist das Gebot der Stunde.
Den Abend eröffnete niemand geringeres als Bundesrat Ueli Maurer. Der Vorsteher des eidgenössischen Finanzdepartements liess keinen Zweifel an der Wichtigkeit des Themas: Die Cyberbedrohung sei eine der vier Hauptrisiken für die Schweiz. Die Schweiz sei grundsätzlich auf gutem Weg und habe mit ihren hervorragenden Hochschulen und der innovativen Wirtschaft sogar Potenzial, zu einem der führenden Länder im Bereich der Cybersicherheit zu werden. Das Prädikat Weltspitze müsse man anstreben. Um vom Mittelfeld an die Spitze zu gelangen, brauche es jedoch noch eine bessere Vernetzung. Er plädierte deshalb für eine stärkere Zusammenarbeit aller Beteiligten. Das Silodenken müsse aufgebrochen werden – zwischen den Verwaltungseinheiten aber auch zwischen staatlichen Institutionen, der Wirtschaft und der Wissenschaft. So überdenke die Bundesverwaltung derzeit die Strukturen und auch ein Bundesamt oder ein Staatssekretariat für Cybersicherheit sei denkbar, erklärte Bundesrat Maurer. Der Bund bündle seine Kompetenzen bereits im Nationalen Zentrum für Cybersicherheit oder dem Nationalen Testinstitut für Cybersicherheit und biete so einen Wissenstransfer für die Wirtschaft an. Es gelte die gesamte Expertise zusammenzubringen, um die Cyber-Resilienz der Schweiz zu stärken und eine führende Rolle anzustreben.
Cybersicherheit ist ein Element des Geschäftserfolgs, betonte Florian Schütz, Delegierter des Bundes für Cybersicherheit. In seiner täglichen Arbeit sehe er es als seine Pflicht, die Unternehmen in ihrer Cyberabwehr so weit zu unterstützen, dass sie nicht zu stark eingeschränkt würden und langfristig wachsen könnten. Schütz plädierte aber auch dafür, dass Cyberrisiken von den Geschäftsleitungen ernst genommen werden müssten. Die Absicherung vor Cyberrisiken sei eine ständige Aufgabe. Leider erlebe er es noch zu oft, das Unternehmen zu spät reagieren oder schlicht nicht genügend vorbereitet seien. Jede Organisation sei in der Pflicht, ihre Hausaufgaben zu machen und für ihren Schutz zu sorgen. Der Bund wirke subsidiär. Bei der Debatte um Cybersicherheit dürfe aber nicht vergessen gehen, wie viele Chancen die Digitalisierung bietet.
Dr. Raphael Reischuk, Vizepräsident des Cybersecurity Komitees von digitalswitzerland, begrüsste als Moderator der Podiumsdebatte die Gäste Thomas Holderegger, Global Head of Security IT bei der UBS und Dr. Alina Matyukhina, Cybersecurity Manager bei Siemens. Als Experten und Expertin erklärten sie dem Publikum, wie sie den Schutz der beiden globalen Unternehmungen vor Cyberrisiken jeden Tag aufrechterhalten. Einig waren sie sich auch darin, dass gut ausgebildete Fachleute ein wichtiges Puzzleteil für den robusten Schutz sind. Unternehmen und Behörden seien in der ganzen Welt auf der Suche nach den besten Leuten. Als weiterer Podiumsgast gab Dr. Thomas Rothacher, Stellvertretender Rüstungschef und Leiter Kompetenzbereich armasuisse Wissenschaft und Technologie, zu bedenken, dass gerade in sehr sensitiven Bereichen ein vernetztes System auch wieder anfälliger für Angriffe sein kann. Damit ergänzte er die Aussagen der Vorredner und Vorrednerin, die für mehr Vernetzung warben und zeigte die Komplexität der Security-Debatte auf. Florian Schütz rundete das Podium ab und verwies auf aktuelle politische Debatten wie die laufende Vernehmlassung für eine Meldepflicht bei Cybervorfällen für Betreiberinnen kritischer Infrastrukturen.
Freundliche Grüsse
Andreas Hugi, Geschäftsstelle ePower
Studie zur Digitalisierung und Cybersicherheit in KMU 2021
Schweizer Kleinunternehmen beweisen während der Corona-Krise Flexibilität. Dank moderner Infrastruktur lässt sich die Arbeit im Homeoffice erledigen, sofern dies die Geschäftstätigkeit zulässt. Die Nutzung des Homeoffice verdoppelte sich seit Beginn der Corona-Krise. Die Schattenseite: Waren im Jahr 2020 ein Viertel der befragten Unternehmen von Cyberangriffen betroffen, so sind es bei der zweiten Befragung mehr als ein Drittel. Die Umsetzung von technischen Massnahmen gegen Cyberangriffe ist auf hohem Niveau. Viel Potenzial besteht jedoch bei der Umsetzung organisatorischer Massnahmen wie der Durchführung von Sicherheitsaudits und Mitarbeiterschulungen.
Die Studie wurde im Auftrag der Mobiliar, von digitalswitzerland, der Allianz Digitale Sicherheit Schweiz, der Fachhochschule Nordwestschweiz – Kompetenzzentrum Digitale Transformation und der Schweizerischen Akademie der Technischen Wissenschaften vom gfs-zürich umgesetzt.
Die Studie steht zum Download bereit: LINK
Die Pressemitteilung ist verfügbar auf Deutsch, Französisch und Italienisch.
Lesen Sie die Präsentation der Pressekonferenz auf Deutsch und Französisch.
Am 7. März 2021 stimmt das Schweizer Volk über die staatlich anerkannte Elektronische Identität (E-ID) ab. Es geht um das Bundesgesetz über Elektronische Identifizierungsdienste (BGEID), gegen welches das Referendum ergriffen wurde. Das Referendumskomitee sagt „Datenschutz ungenügend“. Was ist dran an dieser Kritik?
Bei digitalen Vorgängen stehen Daten im Zentrum, was selbstredend auch für die E-ID gilt. Der Datenschutz ist deshalb für die E-ID zentral. Der nüchterne Blick auf die Fakten zeigt, dass das BGEID den Datenschutz deutlich verbessert – der Datenschutz wird mit dem BGEID sogar besser umgesetzt als mit dem Wunschszenario des Referendumskomitees, was dieser Beitrag beleuchtet.
Wer eine E-ID hat, hat ein Login. Mit dem Login kann die Nutzerin nachweisen, wer sie ist, wenn dies z.B. bei der Online-Bestellung eines Kinobilletts, einer Online-Buchbestellung, beim Online-Behördengang (z.B. Strafregisterauszug bestellen) von ihr verlangt oder in ihr Belieben gestellt wird. Die Kinokasse, der Onlineshop oder die Behörde können unter Rückgriff auf die E-ID die Identität der Nutzerin feststellen.
Ein Online-Login funktioniert auch ohne E-ID. Wer sich im Internet bewegt, weiss, worum es beim Online-Login geht: Entweder schlägt z.B. die Kinokasse vor, dass die Nutzerin ein E-Mail und ein Passwort definiert, mit dem sie sich registriert, oder die Kinokasse erlaubt die Anmeldung über einen Drittdienst. Das BGEID ermöglicht, dass Drittdienste neuerdings ein Online-Login mit einem Gütesiegel des Staats anbieten können. Diese Möglichkeit gab es bislang nicht.
Dem Verständnis der E-ID dient die folgende Gegenüberstellung. Man kann drei Modelle unterscheiden, das dritte Modell beschreibt die E-ID:
Im Modell #1 wird die Interaktion der Nutzerin mit der Kinokasse gezeigt. Dem stehen die beiden Modelle unter Verwendung eines Drittdiensts gegenüber. Anbieter gemäss Modell #2 sind z.B. Twitter, Google oder Facebook. Im Modell #3 (mit E-ID) kann IdP (Anbieter des Drittdiensts) sein, wer die Anerkennungsvoraussetzungen erfüllt (Art. 13 Abs. 2 BGEID: Datenhaltung Schweiz, Gewähr für den Datenschutz).
Die Kinokasse definiert die Angaben, die sie zur Identifikation der Nutzerin benötigt (sog. Personenidentifizierungsdaten). Damit weiss sie, wer (die Nutzerin) wann und mit wem (Kinokasse) interagiert hat (man spricht von Nutzungsdaten). Auch um welchen Film es ging (Titel und Spielzeit der gebuchten Filmvorführung), ist bei der Kinokasse gespeichert (man spricht von Inhaltsdaten). Wenn die Nutzerin mehr als einmal in wiedererkennbarer Weise ein Ticket kauft, gruppiert die Kinokasse diese Angaben (also Inhaltsdaten) sowie die Bestellhistorie (also Nutzungsdaten) zu einem sog. Nutzungsprofil. Was die Kinokasse im Modell #1 und im Modell #2 nicht so genau weiss: Ob die Personenidentifizierungsdaten auch real sind bzw. tatsächlich einer existierenden Person zugeordnet werden können.
Wenn die Kinokasse einen Drittdienst (im Beispiel: Facebook) für den Login-Service benutzt, fallen bei diesem Nutzungsdaten an. Facebook weiss also, wer (die Nutzerin) mit wem (der Kinokasse) wann einen Vertrag abgewickelt hat. Diese Nutzungsdaten gehen somit in die USA. Der Staat verbietet dies nicht, nicht einmal mit dem geltenden oder dem revidierten Datenschutzgesetz (DSG). Inhaltsdaten gehen über, wenn die Kinokasse zusätzlich noch Weiteres übermittelt. Facebook kann bereits aus den überstellten Nutzungsdaten viele Rückschlüsse ziehen – gänzlich ausserhalb der Einflusssphäre der Schweiz.
Mit der E-ID steht der Nutzerin eine Alternative offen. Der IdP übernimmt dabei zunächst dieselbe Rolle wie Facebook. Auch beim IdP fallen Nutzungsdaten an. Und doch gibt es wichtige Unterschiede, und um diese geht es beim BGEID:
Mit diesen Massnahmen werden Online-Bewegungen der Nutzerin geschützt. Bei herkömmlichen Drittdiensten fehlt dieser Schutz. Er entsteht erst mit dem BGEID.
Aus Sicht des Datenschutzrechts geht es jeweils um Folgendes: Wo und zu welchen Zwecken werden Daten erhoben? Wer hat Zugriff auf Daten? Wer darf Daten verwenden und wer nicht?
Der vorstehende Abschnitt hat gezeigt: Das BGEID sieht sehr strikte Zugriffs- bzw. Weitergabeverbote vor, die es ohne BGEID in der Form nicht gäbe (auch nicht im DSG, das Weitergabeverbote a priori nur für besonders schützenswerte Personendaten vorsieht). Die Weitergabe von Nutzungsdaten wäre unter dem BGEID auch mit Zustimmung der Nutzerin nicht möglich, was den Schutz der Nutzerin klar verbessert (anders im DSG). Ebenso streng ist die Analyse in Bezug auf die Verwendungsverbote. IdP dürfen Personenidentifikations- und Nutzungsdaten nicht für eigene oder sonstige sachfremde Zwecke verwenden. Die Kommerzialisierung durch den IdP ist klar ausgeschlossen.
Die Zukunft würde sich im Vergleich zur heutigen Situation mit dem BGEID somit deutlich verbessern. Aus einer datenschutzrechtlichen Optik führt das Referendum aus Nutzersicht somit zu keiner Verbesserung. Die Datenschutzkritik des Referendumskomitees ist unbegründet.
Der IdP verteilt Logins an Personen, die ein solches Login wollen und beim IdP beantragen (Nutzerinnen der E-ID). Wer ein solches Login hat, hat die E-ID erworben. Aus Sicht des Identitätsdienstleisters gilt Folgendes: Er hat der Nutzerin eine E-ID ausgestellt. Nur dieser Ausstellungsvorgang wird mit dem Referendum angefochten. Das Referendumskomitee will, dass der Staat Logins verteilen soll, und nicht ein privater IdP.
Dass der Staat eine private Dienstleisterin (einen Outsourcer) einsetzen würde, wenn er selber die Logins ausgäbe, wäre die naheliegende Folge der vom Referendumskomitee verfolgten Vision (und wird auch vom Referendumskomitee nicht in Abrede gestellt). Der Outsourcer würde für den Staat handeln und die technische Infrastruktur für den Bund bereitstellen. Grafisch lässt sich der Unterschied wie folgt darstellen:
Der Vergleichs zeigt, wie wenig die vom Referendumskomitee propagierte Alternative die Situation ändern würde:
Weiter ist zu hören, dass die zentrale Speicherung von Daten ein Datenschutzproblem darstelle. Es sei eine dezentrale Datenspeicherung vorzuziehen. Dies ist aus Datenschutzsicht ein grundsätzlich richtiger Gedanke (Risikominimierung). Es handelt sich allerdings um eine Frage der Softwarearchitektur. Und hierzu macht das BGEID bewusst keine Vorgaben. Gleich in Art. 1 Abs. 3 BGEID legt es den Grundsatz der Technologieneutralität fest. Das BGEID würde somit IdP-Lösungen mit dezentraler Datenstruktur zulassen. Wer die zentrale Datenhaltung kritisiert, sollte nicht das BGEID bekämpfen. Das BGEID ist vielmehr eine Einladung an Anbieter mit einem dezentralen Lösungsdesign, sich als IdP anerkennen zu lassen. Zudem: Wenn das fedpol selber die eigene Datenbank bei einem Outsourcer hosten lässt, wäre mit dem Referendum nichts gewonnen. Und dass eine redundante Datenhaltung mit dem Referendum vermieden werden kann, ist alles andere als gesichert.
Das Referendumskomitee bringt vor, es bestehe bei der privatwirtschaftlichen Lösung ein Missbrauchspotential (gemeint ist: erst und gerade wegen des BGEID). Und zwar gehe es um Missbrauch durch den IdP. Dies liege an der zentralen Speicherung von Daten beim IdP. Diese Kritik lässt sich nicht ernsthaft aufrecht erhalten. Wie gesehen, ist die zentrale Speicherung vom BGEID nicht vorgeschrieben. Solange genügend Sicherheitsmassnahmen bestehen, kann ein Anbieter mit einer solchen Lösung noch immer als IdP anerkannt werden (Art. 13 Abs. 2 lit. g BGEID). Zudem: Da das BGEID Datenzugriffs- und Datenverwendungsverbote enthält, die weit schärfer sind als was das DSG fordert, ist der Missbrauchsvorwurf nicht naheliegend. Namentlich die vom Referendumskomitee heraufbeschworene Gefahr der Kommerzialisierung von Daten durch einen IdP ist im BGEID explizit ausgeschlossen.
Nach alldem: Der mit Vehemenz vorgetragene Hauptpunkt des Referendumskomitees (E-ID als Staatsaufgabe!) ist nicht geeignet, die Daten der Bürgerinnen besser und effizienter zu schützen, als dies gemäss BGEID der Fall wäre. Im Gegenteil: Die Wunschlösung des Referendumskomitees führt sogar zu schlechteren Resultaten. Dass es zu einer Datenübermittlung auf Server eines oder mehrerer IdP kommt, kann jedenfalls mit Blick auf die Aufsicht durch die EIDCOM und die festgeschriebenen Nutzungs- und Weitergabeverbote nicht ausschlaggebend sein – insbesondere mit Blick darauf, dass eine langfristige Speicherung von besonders sensiblen Daten beim IdP ebenfalls ausgeschlossen ist. Ergänzend noch dies: Die Ablehnung des BGEID führt nicht automatisch zum Wunschzustand des Referendumskomitees. Vielmehr wird der Status Quo beibehalten – und den will niemand.
Dr. Christian Laux, LL.M., ist Rechtsanwalt und Partner einer Kanzlei mit Büros in Zürich und Basel sowie Vizepräsident der Swiss Data Alliance. Er gibt in diesem Beitrag seine persönliche Meinung wieder.
Bleiben Sie stets auf dem Laufenden: Wir senden Ihnen aktuelle Informationen rund um digitale Ideen und Trends direkt in Ihren Posteingang. Für Sie und über 14’000 weitere Digital-Enthusiasten fassen wir regelmässig die aktuellsten Neuigkeiten, Projektupdates und inspirierenden Ideen zusammen.
Jetzt anmelden
