Das E-ID-Debakel vom 7. März 2021 hat nun doch etwas in Gang gebracht. Aber wir dürfen die Hände nicht in den Schoss legen.
Als am 7. März 2021 das E-ID-Gesetz von allen Kantonen und fast zwei Dritteln der Stimmenden abgelehnt worden ist, war das eine wuchtige Ohrfeige. Links eine fürs Parlament, rechts eine für interessierte Kreise, allen voran die IT-Wirtschaft, welche sich für das Gesetz ins Zeug gelegt hatte, aus gesamtwirtschaftlichen, aber durchaus auch aus kommerziellen Überlegungen.
Seither ist Verschiedenes passiert: Das Bundesamt für Justiz hat ein Zielbild formuliert. Im Spätherbst fand eine öffentliche Konsultation statt, schriftliche Stellungnahmen wurden eingereicht und der Bundesrat hat kurz vor Weihnachten das weitere Vorgehen strukturiert und terminiert. Zeitgleich wurde SwissSign vom Moloch der Grosskonzerne zur Postfiliale zurückgestutzt.
Ich habe im letzten März nur mit Bedenken und “faute de mieux” Ja gestimmt, da mir aus Gründen der Vertrauenswürdigkeit ein privater Identitätsprovider nicht ideal schien. Ich bin also nicht unbedingt unglücklich über das Nein, auch wenn mich der Zeitverlust eines neuen gesetzgeberischen Anlaufs schmerzt. Das Vertrauensargument scheint jedenfalls der Vorlage den Todesstoss gegeben zu haben. Zusätzlich zu Konservativen, IT-Fernen und grundsätzlichen Staatskritikern sagten auch viele Stimmende Nein, welche an sich durchaus den Nutzen und die Bedeutung einer elektronischen Identität anerkennen.
Der Staat soll es richten
Diese Kuh ist jedenfalls vom Eis: Niemand bestreitet mehr die tragende Rolle des Bundes. Das Ziel lautet nun offiziell: “Die Schweiz hat eine staatlich betriebene digitale Vertrauensinfrastruktur, welche sichere, medienbruchfreie Prozesse ermöglicht und fördert.” Bei dieser Vision fällt auf, dass es nicht “nur” um eine elektronische Identität geht, sondern dass – wie schon seinerzeit – die Sache grösser gedacht werden muss. Der Bundesrat spricht von einem E-ID-Ökosystem, das grundsätzlich allen staatlichen und privaten Stellen für die Ausstellung unterschiedlicher digitaler Nachweise zur Verfügung stehen soll. Dieser Entscheid ist richtig: Nur ein breit angelegtes Ökosystem kann kosteneffizient betrieben werden und weite Verbreitung finden. Natürlich soll der Aufbau schrittweise erfolgen und von Pilotprojekten flankiert werden.
Ich selbst bin überdurchschnittlich von der fehlenden E-ID betroffen: Als Business Angel und Verwaltungsrat bin ich häufiger physisch vor Ort in Notariaten und Handelsregisterämtern, um zu bestätigen, dass ich tatsächlich ich bin, oder dass meine Unterschrift wirklich meine Unterschrift ist. Allerdings profitiert jedermann von einer E-ID: beim Umzug, bei der Eröffnung eines Bankkontos, bei der Steuererklärung, beim Bezug von Betreibungs- oder Strafregisterauszügen, beim Hochschuldiplom, beim Führerausweis, ja sogar beim Abschluss eines Handy-Abos oder aktuell beim Covid-Zertifikat. Die E-ID ist also kein Gadget für Nerds; sie nützt allen, weil viele Dienstleistungen schneller, (zeitlich) flexibler, ohne Reisezeit, effizienter und ohne Medienbruch erbracht werden können. Und wir alle profitieren als Steuerzahler von den massiven Effizienzgewinnen, die auf der Grundlage der E-ID innerhalb der Verwaltung möglich werden.
Braucht es ein Hard-Token?
Noch strittig ist, ob es für die Umsetzung ein physisches Gerät/Element zur Aufbewahrung von digitalen, privaten Schlüsseln braucht (sogenanntes Hard-Token). Dagegen spricht die Benutzerfreundlichkeit, dafür – so argumentiert etwa die digitale Gesellschaft – die Sicherheit.
Wie bereits von Inside-it.ch vermeldet, sprechen sich die meisten Akteure und nun auch der Bundesrat für den “Self-Sovereign-Ansatz” (SSI) aus: Bei der einzelnen Person wird die vom “Schweizerischen Identitätsdienst” ausgestellte Identität in einem Wallet abgespeichert. Diese Brieftasche soll auch für andere digitale Nachweise nutzbar sein und basiert technologisch auf asymmetrischer Kryptografie. Dies ist aus Datenschutzsicht sinnvoll, da nicht jedes Mal der “volle” Datensatz übermittelt wird, sondern nur die jeweils relevanten Aspekte (z.B. nicht das Geschlecht, aber das Alter, wenn es um einen Altersnachweis geht). Stichworte dazu sind Datensparsamkeit und “Privacy by design”.
Die Anbindung von Drittsystemen ist bei SSI deutlich einfacher und generell geht die internationale Entwicklung in diese Richtung. Der Haken dabei ist, dass die Technologie vergleichsweise in den Kinderschuhen steckt. Aber da wir uns ja darauf verlassen können, dass Berner Mühlen langsam mahlen, wird der laufende technische Fortschritt dieses Problem wohl von allein lösen…
Das bringt uns zum Zeitplan. Hier gibt der Bundesrat für seine Verhältnisse richtig Gas. Bereits Mitte 2022 soll eine neue Vorlage in die Vernehmlassung geschickt werden. Aufgefallen ist mir allerdings, dass nach der öffentlichen Konsultation im Spätherbst 2021 nur vier Parteien eine Stellungnahme abgegeben haben: SP, GP, GLP und Piraten. Kann es wirklich sein, dass insbesondere SVP, FDP und die Mitte kein Interesse an dieser Frage haben? Das wäre ein ganz schlechtes Omen für die parlamentarische Arbeit. Denn bekanntlich gilt: Was der Bauer nicht kennt, das frisst er nicht.
In diesem Sinn sind wir als Exponenten der IT-Wirtschaft dringend aufgefordert, dafür zu sorgen, dass das Thema möglichst bald auch auf der Themenliste der bürgerlichen Parteien auftaucht. Denn diesmal sollten wir unbedingt vor der Tat Rat halten!
Dieser Beitrag erschien in weitgehend identischer Form in meiner Kolumne “Von Hensch zu Mensch” auf inside-it.ch und inside-channels.ch. Photo by George Prentzas on Unsplash