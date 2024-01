Standardisieren und zentralisieren: Das sind per se sinnvolle Massnahmen, wenn es um Datenhaltung geht. Sie sorgen dafür, dass einzelne Datensätze miteinander vergleichbar werden und Duplikate vermieden werden. Im Idealfall wird dabei das Once-only-Prinzip angewandt, was bedeutet, dass Bürgerinnen und Bürger persönliche Daten einer Organisation oder einem Unternehmen nur einmalig mitteilen müssen. Es wird ausserdem nur das erfasst, was wirklich nötig ist. Hier lautet das Stichwort "Datensparsamkeit".

Soweit die Theorie, wie in der idealen Welt mit Daten umgegangen wird. In der Bundesverwaltung ist dieser Zustand aktuell nicht erreicht, wenngleich darauf hingearbeitet wird. Zum Beispiel durch den Aufbau einer Plattform für das Once-Only-Prinzip von Daten , aber auch durch die Strategie "Digitale Verwaltung Schweiz 2024-2027", die darauf abzielt, durchgängige digitale Behördenleistungen für Bürgerinnen und Bürger zu ermöglichen.

Zentralisierung steigert Missbrauchspotenzial

Die Vorteile davon sind offensichtlich, ich habe sie eingangs beschrieben. Allerdings steigt damit auch das Missbrauchspotenzial, wenn die Daten in falsche Hände geraten: Für Cyberkriminelle ist es ein gefundenes Fressen, wenn alle Schweizer Versorgungsnetze am gleichen Ort gespeichert sind. Dasselbe gilt für persönliche Adressdaten und nicht zuletzt, im Speziellen, für Gesundheitsdaten.

Security by Design wird zu selten angewandt

Deshalb sind zentrale Datenbanken tatsächlich nur dann von Nutzen, wenn der Security-Aspekt von Anfang an konsequent mitgedacht und implementiert wird – man spricht von Security by Design. Und hier komme ich ins Zweifeln: Es gibt zwischen Genf und St. Margrethen leider genügend Beispiele von Projekten, bei denen Security nicht by Design sondern by "Das chunnt scho guet" implementiert worden ist.

Der Bund hat es in der Vergangenheit vielfach verpasst, zwingende Sicherheitsfunktionen in der Ausschreibung zu verlangen, weshalb diese IT-Dienstleister gar nicht in ihr Angebot anpreisen konnten – und deshalb beide Parteien darauf vertrauten, dass nichts passiert. Dieses Vorgehen wurde in der Vergangenheit bedauerlicherweise mehrfach bestraft und noch ist nicht erkennbar, dass die nötigen Lehren aus diesen Fehlern gezogen worden sind.

E-ID ist ein guter Anfang, aber ...

Hinzu kommt ein weiteres Problem: Der Schutz persönlicher Daten wird nicht nur von Aussen, also von Cyberkriminellen bedroht, sondern auch von Innen. Wie wir diese Woche lernen mussten, betreibt der Nachrichtendienst des Bundes (NDB) Massenüberwachung in der Schweiz. Ihm kommt es sicher nicht ungelegen, wenn viele relevante Daten zentral und fein säuberlich an einem Ort abgelegt sind…

Unter diesen Gesichtspunkten finde ich es auf einer Skala irgendwo zwischen besorgniserregend und brandgefährlich einzustufen, wenn der Bund relevante, persönliche Daten von Bürgerinnen und Bürgern zentral speichert. Im Falle eines Angriffs oder Missbrauchs der Daten sind die zahlreichen Vorteile, die die standardisierte und zentralisierte Datenhaltung mit sich bringt, in ihr Gegenteil verkehrt.

Der Bund muss zuerst den Beweis antreten, dass er Digitalprojekte sicher aufgleisen kann. Dabei ist das Vorgehen bei der E-ID ein guter Anfang, aber das reicht (noch) nicht.