Die Schweizer Datenschützer warnen vor Hack der AHV-Nummern

Weil die IT nicht zu sichern sei, soll die AHV-Nummer nicht als Personen-Identifikator dienen.
 
Die kantonalen Datenschutzbeauftragten haben die Kantone aufgefordert, künftig auf den Gebrauch der AHV-Nummern zur Personenidentifikation zu verzichten. Das Risiko einer missbräuchlichen Verwendung sei zu hoch, wie ein neues Gutachten der ETH Zürich zeige.
 
In über 14'000 staatlichen Datenbanken werde heute als zusätzlicher Personenidentifikator die AHV-Nummer (AHVN13) eingesetzt, schreiben die kantonalen Datenschutzbeauftragten in einer gemeinsamen Medienmitteilung. Dadurch könnten Personendaten leicht verknüpft werden und es steige "die Gefahr ihrer missbräuchlichen Verwendung".
 
Dazu komme, dass die Sicherheitsmassnahmen bei vielen dieser Datenbanken ungenügend seien. "Sie können somit ein leichtes Ziel von Hackerangriffen werden. Die Daten die dabei in falsche Hände geraten würden, liessen sich ohne weiteres mit zusätzlichen heiklen Informationen über Bürgerinnen und Bürger verknüpfen", schreiben die kantonalen Datenschutzbeauftragten.
 
"Einsatz ist unverantwortlich"
Der Autor, ETH-Professor David Basin, zeigt laut der Medienmitteilung, dass der Einsatz der AHV-Nummer als Identifikator, wie in diversen eGovernment-Initiativen gefordert, "unverantwortlich" sei.
 
Um eine Person zu identifizieren ist der Einsatz der AHVN13 aus Sicht der Datenschützer aber gar nicht nötig, denn: Vorname, Name und Geburtsdatum genügten, um 99,98 Prozent der Bevölkerung eindeutig zu identifizieren. Durch das vom Bundesamt für Justiz und dem Schweizer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bestellte Gutachten der ETH Zürich sehen sich die kantonalen Datenschützer in ihren Befürchtungen voll und ganz bestätigt.
 
Die Daten auf den 14'000 verschiedenen IT-Systemen seien "anfällig" für Attacken von innen und aussen, heisst es im Gutachten der ETH Zürich. "Dieses Risiko ist nicht unerheblich, da viele der Systeme, welche diese Register speichern und verarbeiten, von Organisationen wie Gemeindeverwaltungen, Schulen und Krankenhäusern verwaltet werden, welche nicht den gleich hohen Sicherheitsanforderungen wie die IT-Systeme des Bundes unterliegen."
 
Nicht glücklich mit dem Bericht dürfte speziell die Regierung des Kantons Zürich sein: Erst vor rund einem Monat hatte sie die Einführung der AHV-Nummer als Identifikator gefordert.
 
Was tun? Die Datenschützer fordern gemeinsam, dass künftig nur noch sektorielle Personenidentifikatoren einzuführen seien. Diese dürften zudem nur via "speziell gesicherten Prozessen" mit Personendaten verbunden sein. So können die "bereits bestehenden Risiken für die Privatsphäre zukünftig substantiell verringert werden". (mag / sda)