Bleiben Sie stets auf dem Laufenden: Wir senden Ihnen aktuelle Informationen rund um digitale Ideen und Trends direkt in Ihren Posteingang. Für Sie und über 14’000 weitere Digital-Enthusiasten fassen wir regelmässig die aktuellsten Neuigkeiten, Projektupdates und inspirierenden Ideen zusammen.
Nach der Anmeldung für unseren Newsletter können Sie das Dokument herunterladen.
Am 7. März 2021 stimmt das Schweizer Volk über die staatlich anerkannte Elektronische Identität (E-ID) ab. Es geht um das Bundesgesetz über Elektronische Identifizierungsdienste (BGEID), gegen welches das Referendum ergriffen wurde. Das Referendumskomitee sagt „Datenschutz ungenügend“. Was ist dran an dieser Kritik?
Bei digitalen Vorgängen stehen Daten im Zentrum, was selbstredend auch für die E-ID gilt. Der Datenschutz ist deshalb für die E-ID zentral. Der nüchterne Blick auf die Fakten zeigt, dass das BGEID den Datenschutz deutlich verbessert – der Datenschutz wird mit dem BGEID sogar besser umgesetzt als mit dem Wunschszenario des Referendumskomitees, was dieser Beitrag beleuchtet.
Wer eine E-ID hat, hat ein Login. Mit dem Login kann die Nutzerin nachweisen, wer sie ist, wenn dies z.B. bei der Online-Bestellung eines Kinobilletts, einer Online-Buchbestellung, beim Online-Behördengang (z.B. Strafregisterauszug bestellen) von ihr verlangt oder in ihr Belieben gestellt wird. Die Kinokasse, der Onlineshop oder die Behörde können unter Rückgriff auf die E-ID die Identität der Nutzerin feststellen.
Ein Online-Login funktioniert auch ohne E-ID. Wer sich im Internet bewegt, weiss, worum es beim Online-Login geht: Entweder schlägt z.B. die Kinokasse vor, dass die Nutzerin ein E-Mail und ein Passwort definiert, mit dem sie sich registriert, oder die Kinokasse erlaubt die Anmeldung über einen Drittdienst. Das BGEID ermöglicht, dass Drittdienste neuerdings ein Online-Login mit einem Gütesiegel des Staats anbieten können. Diese Möglichkeit gab es bislang nicht.
Dem Verständnis der E-ID dient die folgende Gegenüberstellung. Man kann drei Modelle unterscheiden, das dritte Modell beschreibt die E-ID:
Im Modell #1 wird die Interaktion der Nutzerin mit der Kinokasse gezeigt. Dem stehen die beiden Modelle unter Verwendung eines Drittdiensts gegenüber. Anbieter gemäss Modell #2 sind z.B. Twitter, Google oder Facebook. Im Modell #3 (mit E-ID) kann IdP (Anbieter des Drittdiensts) sein, wer die Anerkennungsvoraussetzungen erfüllt (Art. 13 Abs. 2 BGEID: Datenhaltung Schweiz, Gewähr für den Datenschutz).
Die Kinokasse definiert die Angaben, die sie zur Identifikation der Nutzerin benötigt (sog. Personenidentifizierungsdaten). Damit weiss sie, wer (die Nutzerin) wann und mit wem (Kinokasse) interagiert hat (man spricht von Nutzungsdaten). Auch um welchen Film es ging (Titel und Spielzeit der gebuchten Filmvorführung), ist bei der Kinokasse gespeichert (man spricht von Inhaltsdaten). Wenn die Nutzerin mehr als einmal in wiedererkennbarer Weise ein Ticket kauft, gruppiert die Kinokasse diese Angaben (also Inhaltsdaten) sowie die Bestellhistorie (also Nutzungsdaten) zu einem sog. Nutzungsprofil. Was die Kinokasse im Modell #1 und im Modell #2 nicht so genau weiss: Ob die Personenidentifizierungsdaten auch real sind bzw. tatsächlich einer existierenden Person zugeordnet werden können.
Wenn die Kinokasse einen Drittdienst (im Beispiel: Facebook) für den Login-Service benutzt, fallen bei diesem Nutzungsdaten an. Facebook weiss also, wer (die Nutzerin) mit wem (der Kinokasse) wann einen Vertrag abgewickelt hat. Diese Nutzungsdaten gehen somit in die USA. Der Staat verbietet dies nicht, nicht einmal mit dem geltenden oder dem revidierten Datenschutzgesetz (DSG). Inhaltsdaten gehen über, wenn die Kinokasse zusätzlich noch Weiteres übermittelt. Facebook kann bereits aus den überstellten Nutzungsdaten viele Rückschlüsse ziehen – gänzlich ausserhalb der Einflusssphäre der Schweiz.
Mit der E-ID steht der Nutzerin eine Alternative offen. Der IdP übernimmt dabei zunächst dieselbe Rolle wie Facebook. Auch beim IdP fallen Nutzungsdaten an. Und doch gibt es wichtige Unterschiede, und um diese geht es beim BGEID:
Mit diesen Massnahmen werden Online-Bewegungen der Nutzerin geschützt. Bei herkömmlichen Drittdiensten fehlt dieser Schutz. Er entsteht erst mit dem BGEID.
Aus Sicht des Datenschutzrechts geht es jeweils um Folgendes: Wo und zu welchen Zwecken werden Daten erhoben? Wer hat Zugriff auf Daten? Wer darf Daten verwenden und wer nicht?
Der vorstehende Abschnitt hat gezeigt: Das BGEID sieht sehr strikte Zugriffs- bzw. Weitergabeverbote vor, die es ohne BGEID in der Form nicht gäbe (auch nicht im DSG, das Weitergabeverbote a priori nur für besonders schützenswerte Personendaten vorsieht). Die Weitergabe von Nutzungsdaten wäre unter dem BGEID auch mit Zustimmung der Nutzerin nicht möglich, was den Schutz der Nutzerin klar verbessert (anders im DSG). Ebenso streng ist die Analyse in Bezug auf die Verwendungsverbote. IdP dürfen Personenidentifikations- und Nutzungsdaten nicht für eigene oder sonstige sachfremde Zwecke verwenden. Die Kommerzialisierung durch den IdP ist klar ausgeschlossen.
Die Zukunft würde sich im Vergleich zur heutigen Situation mit dem BGEID somit deutlich verbessern. Aus einer datenschutzrechtlichen Optik führt das Referendum aus Nutzersicht somit zu keiner Verbesserung. Die Datenschutzkritik des Referendumskomitees ist unbegründet.
Der IdP verteilt Logins an Personen, die ein solches Login wollen und beim IdP beantragen (Nutzerinnen der E-ID). Wer ein solches Login hat, hat die E-ID erworben. Aus Sicht des Identitätsdienstleisters gilt Folgendes: Er hat der Nutzerin eine E-ID ausgestellt. Nur dieser Ausstellungsvorgang wird mit dem Referendum angefochten. Das Referendumskomitee will, dass der Staat Logins verteilen soll, und nicht ein privater IdP.
Dass der Staat eine private Dienstleisterin (einen Outsourcer) einsetzen würde, wenn er selber die Logins ausgäbe, wäre die naheliegende Folge der vom Referendumskomitee verfolgten Vision (und wird auch vom Referendumskomitee nicht in Abrede gestellt). Der Outsourcer würde für den Staat handeln und die technische Infrastruktur für den Bund bereitstellen. Grafisch lässt sich der Unterschied wie folgt darstellen:
Der Vergleichs zeigt, wie wenig die vom Referendumskomitee propagierte Alternative die Situation ändern würde:
Weiter ist zu hören, dass die zentrale Speicherung von Daten ein Datenschutzproblem darstelle. Es sei eine dezentrale Datenspeicherung vorzuziehen. Dies ist aus Datenschutzsicht ein grundsätzlich richtiger Gedanke (Risikominimierung). Es handelt sich allerdings um eine Frage der Softwarearchitektur. Und hierzu macht das BGEID bewusst keine Vorgaben. Gleich in Art. 1 Abs. 3 BGEID legt es den Grundsatz der Technologieneutralität fest. Das BGEID würde somit IdP-Lösungen mit dezentraler Datenstruktur zulassen. Wer die zentrale Datenhaltung kritisiert, sollte nicht das BGEID bekämpfen. Das BGEID ist vielmehr eine Einladung an Anbieter mit einem dezentralen Lösungsdesign, sich als IdP anerkennen zu lassen. Zudem: Wenn das fedpol selber die eigene Datenbank bei einem Outsourcer hosten lässt, wäre mit dem Referendum nichts gewonnen. Und dass eine redundante Datenhaltung mit dem Referendum vermieden werden kann, ist alles andere als gesichert.
Das Referendumskomitee bringt vor, es bestehe bei der privatwirtschaftlichen Lösung ein Missbrauchspotential (gemeint ist: erst und gerade wegen des BGEID). Und zwar gehe es um Missbrauch durch den IdP. Dies liege an der zentralen Speicherung von Daten beim IdP. Diese Kritik lässt sich nicht ernsthaft aufrecht erhalten. Wie gesehen, ist die zentrale Speicherung vom BGEID nicht vorgeschrieben. Solange genügend Sicherheitsmassnahmen bestehen, kann ein Anbieter mit einer solchen Lösung noch immer als IdP anerkannt werden (Art. 13 Abs. 2 lit. g BGEID). Zudem: Da das BGEID Datenzugriffs- und Datenverwendungsverbote enthält, die weit schärfer sind als was das DSG fordert, ist der Missbrauchsvorwurf nicht naheliegend. Namentlich die vom Referendumskomitee heraufbeschworene Gefahr der Kommerzialisierung von Daten durch einen IdP ist im BGEID explizit ausgeschlossen.
Nach alldem: Der mit Vehemenz vorgetragene Hauptpunkt des Referendumskomitees (E-ID als Staatsaufgabe!) ist nicht geeignet, die Daten der Bürgerinnen besser und effizienter zu schützen, als dies gemäss BGEID der Fall wäre. Im Gegenteil: Die Wunschlösung des Referendumskomitees führt sogar zu schlechteren Resultaten. Dass es zu einer Datenübermittlung auf Server eines oder mehrerer IdP kommt, kann jedenfalls mit Blick auf die Aufsicht durch die EIDCOM und die festgeschriebenen Nutzungs- und Weitergabeverbote nicht ausschlaggebend sein – insbesondere mit Blick darauf, dass eine langfristige Speicherung von besonders sensiblen Daten beim IdP ebenfalls ausgeschlossen ist. Ergänzend noch dies: Die Ablehnung des BGEID führt nicht automatisch zum Wunschzustand des Referendumskomitees. Vielmehr wird der Status Quo beibehalten – und den will niemand.
Dr. Christian Laux, LL.M., ist Rechtsanwalt und Partner einer Kanzlei mit Büros in Zürich und Basel sowie Vizepräsident der Swiss Data Alliance. Er gibt in diesem Beitrag seine persönliche Meinung wieder.
Erstmals 2020 in der Schweiz durchgeführt
8 von 10 KMU vertrauen ihre digitalen Infrastrukturen externen IT-Dienstleistern an und lassen sich von ihnen auch im Bereich Cybersicherheit beraten. Bei der Umsetzung von Massnahmen zum Schutz gegen Cyberkriminalität gibt es aber kaum Fortschritte. Die Ergebnisse der neuesten Studie zur Digitalisierung und Cybersicherheit in KMU machen deutlich: Je stärker sich Unternehmen als digitale «Pioniere» identifizieren, desto öfter setzen sie technische und organisatorische Massnahmen zur Stärkung der Cybersicherheit in ihrem Unternehmen um. Doch während sich in den vergangenen Jahren stets rund ein Fünftel der befragten KMU als digitale «Pioniere» gesehen haben, sind es 2023 nur noch rund ein Zehntel.
Die Befragung erfolgte im Auftrag der Mobiliar, von digitalswitzerland, der Allianz Digitale Sicherheit Schweiz, der Fachhochschule Nordwestschweiz FHNW – Kompetenzzentrum Digitale Transformation und der Schweizerischen Akademie der Technischen Wissenschaften SATW.
Veröffentlicht am 21. Juni 2021
Wie in anderen Sektoren sind die Digitalisierung und die Alterung der Gesellschaft die Haupttreiber für die Verringerung des Arbeitskräfteangebots. Die Alterung der Gesellschaft hat zur Folge, dass ein immer größerer Teil der Bevölkerung nicht mehr als Arbeitskräfte zur Verfügung stehen wird. Das übergreifende Ziel der Studie ist es, das qualifizierte Arbeitskräftepotenzial der Alterskohorte der 58- bis 70-Jährigen in der ICT und die Möglichkeiten zur Aktivierung dieser Altersgruppe zu erfassen.
Erstmals 2015 in der Schweiz durchgeführt und jährlich aktualisiert.
digitalswitzerland unterstützt den jährlichen Swiss Software Industry Survey (SSIS), die schweizweit grösste Studie zu den wichtigsten Kennzahlen der Branche, die vom Institut für Wirtschaftsinformatik der Universität Bern durchgeführt wird. Die SSIS ist eine Langzeitstudie und gibt Auskunft über die aktuelle Situation, die neuesten Trends und die langfristigen Entwicklungen in der Schweizer Softwarebranche.
TDie vollständigen Studienergebnisse seit 2015 bis heute:
Erstmals 2010 in der Schweiz durchgeführt; alle zwei Jahre aktualisiert.
Die Zahl der Beschäftigten in der Informations- und Kommunikationstechnologie (ICT) wächst in der Schweiz doppelt so schnell wie die Gesamtwirtschaft. Die ICT-Berufsbildung Schweiz, ein Tochterverein von digitalswitzerland, ermittelt alle zwei Jahre, wie viele ICT-Fachkräfte die Schweiz in den kommenden acht Jahren benötigt.
Die vollständigen Studienergebnisse seit 2010 bis heute:
Erstmals 2019 in der Schweiz durchgeführt
Vom 25. Januar bis 15. Februar 2019 hat das Markt- und Sozialforschungsinstitut gfs-zürich eintausend Erwachsene in der Deutsch- und Westschweiz zum Thema Online-Sicherheit befragt.
Die Umfrage zeigt, dass rund eine Million Menschen in der Schweiz bereits von einem Angriff über das Internet betroffen waren. Diese Angriffe hatten finanzielle Schäden zur Folge, erforderten Zeit und Kosten, um sie zu beheben, oder hatten eine belastende emotionale Konsequenz. Dennoch glaubt mehr als die Hälfte der Betroffenen, ausreichend informiert zu sein, um sich vor solchen Angriffen schützen zu können. Dieser Widerspruch zur Realität der Schäden zeigt, wie wichtig umfassende Aufklärungsarbeit ist.
Erstmals 2017 in der Schweiz durchgeführt.
Mehr als ein Drittel aller Schweizer KMU sind von Cyberangriffen betroffen. Die meisten fühlen sich jedoch gut bis sehr gut geschützt, und nur 4% der KMU-Chefs sehen in einem Cyber-Angriff ein erhebliches oder sehr erhebliches Risiko für ihre Existenz. Diese beunruhigenden Ergebnisse stammen aus der repräsentativen Umfrage des Markt- und Sozialforschungsinstituts gfs-zürich. Die Wirtschaftsverbände und der Staat sind gefordert, dieser Sorglosigkeit gegenüber Cyberangriffen entgegenzuwirken.
Erstmals 2015 in der Schweiz durchgeführt.
Die Studie zeigt, dass arbeitssuchende IT-Fachleute im Alter von 45 Jahren und darüber insgesamt gut qualifiziert sind. Die Tatsache, dass die Chancen auf dem Arbeitsmarkt mit zunehmendem Alter der Bewerber sinken, könnte mit den Einstellungsfiltern zusammenhängen. In der IT-Branche mangelt es an Transparenz, da es keine einheitliche Sprache für die Beschreibung von Fähigkeiten und Anforderungen gibt. Die Studie schlägt konkrete Massnahmen vor, um die Chancen auf dem Arbeitsmarkt für Schweizer IT-Fachkräfte zu verbessern. Die Massnahmen und Empfehlungen richten sich an Bewerber/Arbeitnehmer, Arbeitgeber und Branchenverbände, Bildungsinstitutionen sowie an Politik und Verwaltung.
Analyse & Massnahmen zur Sicherung der digitalen Lieferkette
Das Internet verbindet zunehmend Menschen und Maschinen und hat unser Leben bereits heute nachhaltig verändert. Während die Integrität und Sicherheit von Produkten aus traditionellen Branchen vor der Marktzulassung auf gewisse Fragestellungen hin überprüft werden (z.B. im Bereich Mobilität, Lebensmittel, Medikamente, etc.), werden Qualität und Sicherheit vieler digitaler Produkte oft nicht hinreichend überprüft. Die Gründe dafür sind vielfältig. So ist beispielsweise die heutige Sicherheit der Lieferkette (Supply Chain) digitaler Produkte oft unzulänglich und untergräbt bestehende Sicherheitsvorkehrungen. Auch ist es Entscheidungsträgern mangels fundierter und transparenter Informationen oft nicht möglich, nachhaltige Entscheidungen zu treffen.
Durch die fortschreitende Digitalisierung kann die Unkenntnis über das Sicherheitsniveau der eingesetzten Produkte zu kritischen Bedrohungen führen. Kommen nicht vollständig geprüfte Produkte in kritischen Infrastrukturen zum Einsatz, so sind Bedrohungen unter Umständen flächendeckend und gefährden die Versorgung der Gesellschaft in den Bereichen Elektrizität, Medizin, Mobilität und physischer Schutz. Die einhergehenden Risiken sind oft abstrakt und entwickeln sich schleichend, in der Folge wurden sie lange Zeit kaum wahrgenommen und haben sich bis heute fortwährend kumuliert.
Die Arbeitsgruppe Supply Chain Security analysiert den Umgang mit Technologierisiken in anderen Industrien (Bsp. Strom), darauf aufbauend identifiziert und dokumentiert sie notwendige Massnahmen für eine sichere Digitalisierung. Unter anderem werden folgende Fragestellungen bearbeitet:
Die Gesellschaft ist heute gefordert, bekannte und vermeidbare Fehler zu verhindern, damit die Chancen der Digitalisierung deren Risiken überwiegen.
Eine grundlegende Infrastruktur für sichere Online-Geschäfte zu schaffen, war ein Prozess von fast 20 Jahren. Nun ist die Zeit reif für eine staatlich anerkannte E-ID, denn es ist auch für die Schweizer Volkswirtschaft wichtig, dass deren Einführung nicht unnötig verzögert wird. Beide Kammern des Schweizer Parlaments, d.h. National- und Ständerat, haben das Bundesgesetz zur E-ID mit deutlicher Mehrheit angenommen und die Schlussabstimmung ist für kommenden Herbst vorgesehen. Es gibt weiterhin kritische Stimmen, wobei deren Argumente weitgehend auf Missverständnisse zurück zu führen sind.
Missverständnis Nr. 1: Die E-ID ist ein Projekt in privater Trägerschaft
Richtig ist: Die Daten werden vom Staat herausgegeben – und damit auch die E-ID. Die Privaten stellen lediglich die technologische Grundlage für die E-ID zur Verfügung und stellen sicher, dass die E-ID auch im täglichen Leben einfach und sicher genutzt werden kann.
Es ist unbestritten, dass es eine staatlich anerkannte E-ID braucht, um sichere Online-Dienstleistungen beziehen zu können. Denn für Internet-Transaktionen, die eine staatlich anerkannte Identifikation voraussetzen, wie zum Bespiel der Abschluss eines Versicherungsvertrags oder die Bestellung eines Strafregisterauszugs, sind sogenannte Social-Logins z.B. Google-ID, nicht ausreichend.
Im aktuellen Gesetzesentwurf ist eine Aufgabenteilung zwischen dem Staat und Privaten vorgesehen. Private Unternehmen sollen gemäss dem zugrundeliegenden Modell zwar die Aufgabe übernehmen, die technische Infrastruktur bereitzustellen und das Ökosystem aufzubauen sowie – stets im Auftrag der Inhaberinnen und Inhaber von E-ID– die Daten abzugleichen. Es ist aber der Bund, der diese privaten Anbieter anerkennt und beaufsichtigt. Und insbesondere ist es ausschliesslich der Bund, der die eigentliche persönliche E-ID, die nichts anderes ist, als ein gesetzlich geregelter Datensatz, erstellt. So gesehen ist und bleibt der Bund alleiniger Herausgeber der E-ID.
Missverständnis Nr. 2: Die Daten werden von Privaten gesammelt, ausgewertet und monetarisiert
Richtig ist: Der Datenschutz steht auch bei der E-ID an erster Stelle. Eine absolute Sicherheit gibt es leider nie. Aber es wurden geeignete Rahmenbedingungen formuliert, um das Risiko des Datenmissbrauchs weitestgehend zu minimieren. Und: Der schweizerische Datenschützer war von Beginn an eingebunden. Das Datenschutzgesetz ist in seiner strengsten Form für die E-ID garantiert.
Nicht nur haben die Nutzerinnen und Nutzer jederzeit die volle Kontrolle über ihre eigenen Daten und entscheiden selbst, wem sie was und wann bekannt geben wollen. Die im E-ID-Gesetz formulierten Vorschriften gehen zum Teil sogar über das Datenschutzgesetz hinaus. So ist es per Gesetz nicht möglich, Daten zu sammeln und Persönlichkeitsprofile zu erstellen: die Daten müssen nach sechs Monaten gelöscht und Transaktions- und Personendaten müssen getrennt gehalten werden, um Rückschlüsse zu verunmöglichen. Es ist überdies gesetzlich verboten, Daten weiter zu geben, geschweige denn, diese zu verkaufen.
Missverständnis Nr. 3: Bei der E-ID handelt es um einen digitalen Pass
Richtig ist: Die E-ID berechtigt nicht zum Reisen oder zum Grenzübertritt. Bei der E-ID handelt es sich um ein qualifiziertes Login, mit dem man sich im Internet bei Online-Geschäften sicher ausweisen kann.
Die E-ID dient somit nicht der Ausweisung der eigenen Staatsbürgerschaft beim Grenzübertritt. Und es werden deswegen auch keine Passbüros abgeschafft. Die E-ID ist kein elektronischer Pass im staatsbürgerlichen Sinne.
Missverständnis Nr. 4: Anonyme Nutzung im Internet wird nicht mehr möglich sein
Richtig ist: Nicht bei jeder Nutzung werden E-ID Daten geteilt, es gilt der Grundsatz der Datensparsamkeit.
Weitere Verzögerungen bei der Einführung des Gesetzes sind unbedingt zu vermeiden
Es ist keine Frage, dass im Umgang mit Identitätsdaten grösste Vorsicht geboten ist. Bundesrat und Parlament haben mit viel Sachverstand ein ausgewogenes Gesetz erarbeitet, das dem Staat als Herausgeber der E-ID eine tragende Rolle zuschreibt, Sicherheits- und Datenschutzfragen umfassend berücksichtigt und dem aufgrund der raschen Entwicklungen in diesem Bereich dringenden und drängenden Bedürfnis von Privaten und Unternehmen nach einer sicheren Identifikation im Internet Rechnung trägt.
Die Schweiz darf diese Entwicklungen nicht verpassen. Packen wir die Chance: jetzt!
Bleiben Sie stets auf dem Laufenden: Wir senden Ihnen aktuelle Informationen rund um digitale Ideen und Trends direkt in Ihren Posteingang. Für Sie und über 14’000 weitere Digital-Enthusiasten fassen wir regelmässig die aktuellsten Neuigkeiten, Projektupdates und inspirierenden Ideen zusammen.
Jetzt anmelden
