Stellungnahme
Vertreter der Piratenpartei nahmen heute im Bundeshaus an einer Anhörung der Rechtskommission des Nationalrates zur neuen E-ID teil. Die Piratenpartei hat massgeblich das Referendum gegen das erste E-ID-Gesetz unterstützt, welches in Folge 2021 klar abgelehnt wurde.

Die Piratenpartei hat in ihrer Technologiefolgenabschätzung schon grundsätzliche Bedenken zu einer E-ID an sich, da zu befürchten ist, dass wir uns immer mehr für alltägliche Handlungen ausweisen müssen. Wir haben beispielsweise das neue Jugendschutzgesetz, das eine Altersprüfung bei Videoplattformen wie YouTube oder TikTok fordert. Millionen staatlich verifizierte Datensätze werden dann zu Google, Facebook oder via TikTok dem chinesischen Staat ausgeliefert. Es gibt auch die chancenreiche Motion 23.4530 vom 22. Dezember 2023, die fordert, dass Kommentarschreiber auf Schweizer Webseiten, wie Nachrichtenportale, sich identifizieren müssen.
Beides ist letztlich nur mit einer E-ID umsetzbar.

Jorgo Ananiadis, Präsident der Piratenpartei Schweiz: „Müssen wir uns heute dafür ausweisen, wenn wir auch nur ein Video im Netz anschauen wollen? Wenn wir einen Kommentar schreiben wollen? Wollen wir das in Zukunft?“

Aber auch wenn man diese grundsätzlichen Bedenken aussen vor lässt, kommen wir bei der aktuellen Gesetzesvorlage zur E-ID, zu einem negativen Resultat.
Hauptkritikpunkte sind die erhebliche Unsicherheit der E-ID, die aus der Gesetzesvorlage hervorgeht wie mangelnde Datensicherheit und Datenschutz, Überidentifikation, unklare Haftungsfragen und die mangelnde EU-Kompatibilität.

Unsere Hauptkritikpunkte und Verbesserungsvorschläge am Gesetzesentwurf:

1. Keine Onlineausstellungsverfahren.
2. Klare Regelung im Gesetz, dass nur die für eine Dienstleistung zwingend erforderlichen Daten abgefragt werden dürfen – und dass diese vorab genehmigt werden müssen.
3. Angemessene Strafbestimmungen bei Missbrauch.
4. Klärung der Haftung bei Schäden.

Begründung
Sämtliche Online-Identifikationsverfahren können technisch nicht sicher ausgestaltet und umgesetzt werden. Sie ziehen deshalb Missbrauch und Betrug nach sich. Punkto Sicherheit sind solche Verfahren nicht vergleichbar mit einer persönlichen, physischen Identitätskontrolle, wie wir sie derzeit kennen und praktizieren.
Das geplante Auto-Identifikationsverfahren ermöglicht höchstwahrscheinlich nur ein Sicherheitsniveau “niedrig”. Eine E-ID mit solch niedriger Vertrauensstufe (VS2 / LoA2) verfügt nicht über EU-Kompatibilität gemäss der eIDAs-Verordnung und würde ebenso wenig für ein elektronisches Patientendossier, elektronische Signaturen und vergleichbare Anwendungen genügen.

Philippe Burger, Vizepräsident der Piratenpartei:
“Falls wir digitale Signaturen oder einen Zugriff auf Patientendaten mit der E-ID ermöglichen möchten, dann muss diese höchsten Sicherheitsstandards entsprechen. Mit dem nun geplanten, unsicheren Autoidentverfahren werden inakzeptable Risiken in Kauf genommen. Es ist nur eine Frage der Zeit bis Kriminelle die E-ID für Identitätserschleichung, Datendiebstahl und gefälschte Verträge missbrauchen werden.”

Der Datenkapitalismus (Onlineshops, Werbeindustrie, soziale Plattformen et cetera) würde aus solchen staatlich verifizierten Personendaten, wie sie die E-ID böte, erhebliche Profite schlagen können. Auch für Hacker sind staatlich verifizierte Daten besonders attraktiv. Hacks und Datenleaks sind inzwischen an der Tagesordnung. Wenn nun eine unsichere E-ID im online-Alltag eingesetzt würde, hätte das unabsehbare Folgen für unsere Gesellschaft. Angriffe sind erwiesenermassen einfach zu entwickeln und können beliebig skaliert werden. Bei der E-ID genügte ein einziger solcher Angriff, um beispielsweise mit Identitätsklau das Vertrauen in die elektronische Identität komplett zu zerstören. Sämtliche Gelder und Ressourcen, welche bis dato in die Entwicklung und Umsetzung des E-ID-Projekts investiert wurden, wären in einem solchen Fall verschwendet.

Forderungen

1. Keine Onlineausstellungsverfahren.

Onlineausstellungsverfahren sind gemäss heutigem Stand der Technik unsicher. Es ist beinahe unmöglich zu gewährleisten, dass in solchen Prozessen keine falschen Identitäten ausgestellt werden können.

2. Klare Regelung im Gesetz, dass nur die für eine Dienstleistung zwingend erforderlichen Daten abgefragt werden dürfen – und dass diese vorab genehmigt werden müssen.

Die aktuelle Ausgestaltung des Gesetzentwurfs zur E-ID, namentlich Art. 22b, ermöglicht einen zu niederschwelligen Zugriff auf die sensiblen Personendaten der E-ID. Es zeichnet sich dadurch ab, dass der Hauptzweck des E-ID-Ökosystems in der Identifikation unserer alltäglichen Aktivitäten liegt – und nicht, wie man erwarten würde, ausschliesslich für identifikationspflichtige Vorgänge, wie etwa digitale Behördengänge oder das Eröffnen eines Bankkontos genutzt werden soll. Internetkonzerne wie Facebook oder Google können aus solchen staatlich verifizierten Personendaten, wie sie die E-ID böte, erhebliche Profite schlagen und haben ein entsprechendes Interesse daran. Deshalb fordern wir: Jeweilige Daten dürfen nur abgefragt werden, wenn sie zwingend notwendig zur Erbringung einer Dienstleistung sind. Beispielsweise der EDÖB muss vorab genehmigen, welche Daten für welchen Zweck überhaupt abgefragt werden dürfen. Zusätzlich sind sämtliche Freigaben in einem öffentlich einsehbaren Register zugänglich zu machen.

Jorgo Ananiadis: “Der vorliegende Gesetzesentwurf zur E-ID ebnet den Weg, dass wir uns für vollkommen alltägliche Handlungen plötzlich ausweisen müssen – anstatt nur bei digitalen Behördengängen oder der Eröffnung eines Bankkontos. Dies würde den Grundstein legen für den weiteren Ausbau der Überwachung des Alltags aller Bürgerinnen und Bürger.”

3. Angemessene Strafbestimmungen bei Missbrauch.

Wir vermissen angemessene Strafbestimmungen bei einem Missbrauch von Daten. Das aktuelle Datenschutzgesetz ist unzureichend. Für adäquat halten wir sowohl Geldstrafen für Unternehmen in Grössenordnung bis 5% des weltweiten Konzernjahresumsatzes des 3-Jahresdurchschnitts pro Fall und persönliche Haftung, je nach Schwere des Verstosses bis zur Führungsebene der Unternehmung.

Jorgo Ananiadis: “Das Datenschutzgesetz zeigt bislang keine Wirkung, wenn es um Datenabfluss und -missbrauch geht. Die relativ geringfügigen Strafen des Datenschutzgesetzes könnten Grosskonzerne aus der Portokasse bezahlen. Die Verletzung der Digitalen Integrität von Bürgerinnen und Bürgern muss einen Preis haben, der eine hinreichend abschreckende Wirkung erzielt.”

4. Klärung der Haftung bei Schäden.

Vollkommen unklar ist die Haftung bei Missbrauch einer E-ID. Es ist zu befürchten, dass dies letztlich am Endnutzer hängen bleibt. Aufgrund der Beweislastumkehr ist es kaum möglich für den normalen Bürger nachzuweisen, dass er unschuldig ist und somit bleibt ein allfälliger Schaden auch bei ihm hängen.

Quellen:
Hack von Onlineidentifikationsverfahren durch Experten des CCC