Lex Laux: Warum es eine kontrollierte E-ID braucht

Das Thema digitale Identität wird unterschätzt, wirft Kolumnist Christian Laux in der zentralen Phase der Debatte ein.
 
In diesem Beitrag, dem letzten von mir in diesem Jahr, soll es um die digitale Identität gehen. Das Thema beschäftigt mich. Letzte Woche habe ich punkto E-ID folgendes notiert:
  • derzeit befasst sich die Rechtskommission des Nationalrats (RK N) mit dem Geschäft E-ID.
  • die zentrale Bedeutung von digitalen Identitäten hat letzte Woche auch das World Economic Forum (WEF) betont. So schildert es der jüngste – unbedingt zur Lektüre empfohlene – Insight Report des WEF mit dem Titel "Our Shared Digital Future". (inside-it.ch berichtete, Anm. d. Red.)
  • am 11. Dezember 2018 wurden dem Bundesrat per Interpellation verschiedene Fragen zur E-ID gestellt. Es geht dabei wieder um die Fragestellung "Die Ausgabe von digitalen Identitäten ist eine
Staatsaufgabe". Die Fragen sind dem Bundesrat gestellt, richten sich aber mittelbar wohl (auch) an die RK N. (inside-it.ch berichtete, Anm. d. Red.)
 
Die Schweiz benötigt eine staatlich anerkannte digitale Identität, die Akzeptanz findet. Eine rasch verfügbare Identifikationsmöglichkeit in der Online-Welt findet nur dann Verbreitung, wenn sie auch benutzt wird. Für eine gute Verbreitung der elektronischen ID braucht es Vertrauen, eine gute Benutzerfreundlichkeit und schliesslich die Aussicht darauf, dass die elektronische ID einen Nutzen bringt (Letzteres bei Anbietern, welche Transaktionen mit Login über die E-ID zulassen: sog. "Relaying Parties"). Eine gute Marktdurchdringung in der Schweiz wird ein bedeutender Erfolgsfaktor sein.
 
Das Thema der digitalen Identität wird unterschätzt. Ich meine: Das Gesetzgebungsvorhaben bekommt in der Öffentlichkeit zu wenig Aufmerksamkeit. Jeder einzelne sollte eine Meinung dazu haben. Warum?
 
Das Schweizerische Zivilgesetzbuch (ZGB) definiert in der Schweiz den Begriff der "Persönlichkeit". Artikel 31 ZGB hält fest, was man auch ohne Gesetzeskenntnis sagen würde: "Die Persönlichkeit beginnt mit dem Leben nach der vollendeten Geburt und endet mit dem Tode." Sind wir mal geboren, möchten wir unsere Persönlichkeit entfalten. Wir lieben unsere Familie und sonstigen engsten Bezugspersonen, wir gehen zur Schule, lernen Freunde kennen und möchten Neues erleben, Reisen unternehmen, eine Ausbildung absolvieren und vielleicht ein Unternehmen gründen. Nebenher kaufen wir das Alltägliche ein (Essen, Kleidung, Bücher, etc.). Was man halt so macht, wenn geordnete Bahnen möglich sind.
 
Das ZGB fasst das in Artikel 11 etwas kürzer wie folgt zusammen, ebenfalls unter dem Stichwort "Persönlichkeit": "Rechtsfähig ist jedermann. Für alle Menschen besteht demgemäss in den Schranken der Rechtsordnung die gleiche Fähigkeit, Rechte und Pflichten zu haben."
 
In der fortschreitend digitalisierten Welt droht das ZGB zur blossen Behauptung zu verkommen. Schule? Schon, aber schon ein fünfjähriges Mädchen kann sich vorschulisch wie eine Forscherin weiterbilden, z.B. zum Thema Dinosaurier (die Bildungskanäle haben sich geöffnet). Ein Kind im Alter von 14 Jahren benutzt Whatsapp ("Klassen-Chat") und Instagram im Sinne einer Selbstverständlichkeit (übrigens trotz der Altersbeschränkung auf 16 Jahre ...). Freunde nur auf dem Schulweg, dem Pausenplatz, auf Eisfeld oder Fussballplatz? Fehlanzeige. Reisen? Online buchen. Zugfahren? Ist einfacher mit der App. Essen einkaufen? Lass' ich mir nach Hause liefern. Zahlungen? Online-Banking. Bücher? Online-Shop. Kleidung? Online-Shop. Sprachen? App.
 
Ich glaube, es ist klar geworden, was ich meine. Wir agieren heute bei weitem nicht mehr nur in der physischen Welt. Wir haben unsere Persönlichkeit mit der Geburt erworben. Aber erst durch unser Leben, unser Denken und Handeln bringen wir sie zum Ausdruck. Und dieses Leben findet immer mehr online statt. Das heisst: Wir bringen auch unsere Persönlichkeit heute zunehmend online zum Ausdruck. Wer offline bleibt, verzichtet darauf, was andern offensteht. Und doch behauptet Artikel 27 ZGB: "Auf die Rechtsfähigkeit [lies: "Persönlichkeit"] … kann niemand ganz oder zum Teil verzichten." Ja, stimmt denn das noch? Stimmt Artikel 11 ZGB, wonach alle gleichermassen ihre Persönlichkeit leben können?
 
Zwischen Anspruch und Wirklichkeit gibt es eine Dissonanz. Vor 125 Jahren war es die Dissonanz der sozialen Ungleichheit, die Anatole France zur folgenden ironischen Feststellung veranlasste: "Das Gesetz in seiner majestätischen Gleichheit verbietet es Reichen wie Armen, unter Brücken zu schlafen, auf Strassen zu betteln und Brot zu stehlen." Die Ableitung: Wenn die kognitive Dissonanz zu gross wird, muss man handeln. Laissez-faire geht nicht.
 
Übersetzt für die heutige Zeit bedeutet dies: Es kann nicht sein, dass jemand nicht von elementaren Vorteilen der modernen Gesellschaft profitieren kann, nur weil ihm oder ihr eine digitale Identität fehlt.
 
Im Jahr 2020 hat nach Schätzungen jeder rund 200 Online-Accounts zu verwalten. Das bedeutet folgendes: Unsere Persönlichkeit ist stärker denn je verteilt, und zwar auf viel mehr Kanäle als früher. Zunächst befreit das. Da aber – erstens – die Nutzung von Online-Diensten in der Regel nicht ohne einen Account funktioniert, da – zweitens – im Kontext der Nutzung eines Online-Dienstes Transaktionen abgewickelt werden, da somit – drittens – Daten über unser Verhalten mit dem jeweiligen Account verknüpft werden und da – viertens – Daten missbraucht werden können, was – fünftens – unsere Handlungsfreiheit limitieren kann, haben wir als Gesellschaft ein Problem. Wie hiess es in Artikel 27 ZGB? Kann wirklich niemand auf die Persönlichkeit verzichten? Auch nicht teilweise?
 
Sodann: Will ein Unternehmen in der Schweiz einen digitalen Business Case durchrechnen, sind Prognosen schwierig. Digitale Unternehmen wollen die ganze Schweiz erreichen. Wenn aber all jene, die aus Angst vor Verlust ihrer Registrierungsdaten nicht erreicht werden, ist der Business Case nur scheinbar auf die ganze Schweiz ausgerichtet. Das hindert das digitale Wachstum, und die viel beschworene Startup-Szene Schweiz wird gebremst. Es ist keine gute Idee, dem digitalen Inkubator Schweiz Fussangeln anzulegen.
 
Wie lautet vor diesem Hintergrund der Auftrag an den Gesetzgeber?
 
Die Schweiz soll die Möglichkeit zur Nutzung einer digitalen Identität schaffen, die den Einzelnen nicht verpflichtet, seine Daten preiszugeben, wenn er sich registrieren muss. Das ist keine leichte Aufgabe. Aber: In der derzeitigen Diskussion wird der Fokus zu stark darauf gelegt, wer die Registrierungsdaten verwaltet (worauf mit dem Slogan „Staatsaufgabe ja oder nein“ angespielt wird). Entsprechend darf man den parlamentarischen Vorstoss von letzter Woche nicht zu sehr überbewerten. Die Frage geht an der eigentlichen Herausforderung vorbei.
 
Zugegeben, ich habe auch schon gesagt, die Herausgabe der E-ID sei eine Staatsaufgabe; aber ich habe dazugelernt und glaube, dass die wahren Probleme andernorts liegen. Man müsste mehr Gewicht legen darauf, welche Daten anschliessend – sobald die digitale Identität eingesetzt wird – mit den Identitätsdaten verknüpft werden. Es geht darum, im Gesetz hierfür den richtigen Rahmen zu legen. Soweit ich sehe, sind die Arbeiten dafür zu wenig fortgeschritten. Man muss diesbezüglich eine relativ klare Vorstellung davon haben, was man mit der digitalen Identität machen können soll und was nicht. Ich hoffe, dieses Wissen ist bei den massgeblichen Kreisen vorhanden.
 
Der Insight Report des WEF schreibt zum Problem der Orientierungslosigkeit:
"There is no shortage of attention, energy or initiatives to tackle these challenges. However, while the landscape of activity is rich, it is highly fragmented. It is fragmented both in terms of the definitions of the problems being tackled and the disparate array of institutions, processes and communities where those discussions are taking place. Today, we lack the shared goals and language that we take for granted in other domains."
 
Das passt durchaus auch für die E-ID: Man sollte sich auch bei der E-ID auf die wirklichen Herausforderungen konzentrieren. Es handelt sich aus meiner Sicht namentlich um die Folgenden:
  1. Schutz von Personendaten: Inhaber einer E-ID (sog. "ID-Owner") müssen mit der E-ID besser geschützt sein als bei anderen Login-Systemen, namentlich (i) in Bezug auf Registrierungsdaten (auf Seiten E-ID-System), (ii) in Bezug auf Transaktionsdaten im E-ID System (es geht um Spuren innerhalb des E-ID-Systems darüber, wie der ID-Owner die elektronische ID einsetzt), (iii) in Bezug auf die der Relying Party offengelegten Angaben über den ID-Owner (eine Teilmenge der im E-ID-System vorliegenden Registrierungsdaten), (iv) Mögliche Verknüpfungen: Rein faktisch besteht die Möglichkeit, dass der jeweilige Akteur diese jeweiligen Daten verknüpft mit weiteren Daten; wenn das nicht geschieht, hätte eine staatliche E-ID wirklich etwas hin zum Datenschutz bewirkt.
  2. E-ID für alle: "Alle in der Schweiz" (Bürgerinnen, berechtigte Einwohner) müssen eine digitale Identität haben. "Müssen" hier nicht gemeint als Zwang, sondern im Sinne von einfacher "Verfügbarkeit".
  3. Behördennutzung: Der Staat muss die E-ID in seinen Prozessen einsetzen. SO.BREIT.WIE.ES.NUR.GEHT. Und möglichst auch in den Kantonen, wobei dem Föderalismus natürlich Rechnung zu tragen ist. Es wird verbindliche Vorgaben brauchen (und auf Bundesebene lässt sich dies auch machen).
Insbesondere beim Schutz von Personendaten kann der Gesetzgeber zeigen, dass er die Staatlichkeit der Aufgabenstellung erkannt hat. Die E-ID wird auf staatlichen Registern aufbauen. Diese sind hoheitlich. Genau dies ist aber das Pfand in der Hand des Bundesgesetzgebers. Dieses Pfand ermöglicht dem Bund, Kontrolle auszuüben: Über das E-ID-System und die Identitätsprovider, bis hinunter zu den Relying Parties. Es wäre irreführend, dem aktuellen Konzept Staatlichkeit abzusprechen, nur weil der Staat die Herausgabe nicht selber organisiert. Was demgegenüber wichtig ist: Der Bund muss die Kontrollhoheit behalten und die Nutzung der Registrierungsdaten von einer strengen Aufsicht über das Gesamtsystem abhängig machen.
 
Und damit nutze ich die Gelegenheit, der Leserschaft von inside-IT.ch und inside-channels.ch einen guten Jahresabschluss und alles Gute für das neue Jahr zu wünschen. 2019 wird z.B. für die E-ID ein wichtiges Jahr sein. Packen wir's an. (Christian Laux)
 
Dr. Christian Laux, LL.M. ist Anwalt und fokussiert auf IT-Rechtsangelegenheiten. Für inside-it.ch äussert er sich an dieser Stelle regelmässig zu Rechtsfragen, welche die Schweizer IT-Branche in relevanter Weise betreffen.