Switzerland

Keller-Sutter zur E-ID: «Bei einem Nein läge der Ball nicht beim Bundesrat.»

Für die Wirtschaft und die Behörden bringe eine elektronische Identität viele Vorteile, sagt Justizministerin Karin Keller-Sutter. Denn ohne das Gesetz, das am 7. März zur Abstimmung kommt, würden sich Google und Apple durchsetzen – ohne jegliche Regulierung der heiklen Daten.

«Wir sind den Kritikern in verschiedenen Fragen entgegengekommen. Die Vorlage ist ein echter Kompromiss», sagt Bundesrätin Karin Keller-Sutter.

«Wir sind den Kritikern in verschiedenen Fragen entgegengekommen. Die Vorlage ist ein echter Kompromiss», sagt Bundesrätin Karin Keller-Sutter.

Simon Tanner / NZZ

Frau Keller-Sutter, mit der Swiss-ID gibt es bereits eine Lösung, die später zur E-ID werden soll. Benutzen Sie Swiss-ID?

Karin Keller-Sutter: Nein.

Warum nicht?

Bisher hatte ich nicht das Bedürfnis. Wie wohl die meisten Schweizerinnen oder Schweizer habe ich verschiedene Log-ins, etwa für Bankkonten oder E-Paper-Abos, und ich kaufe auch in Online-Shops ein. Ab und zu vergesse ich mein Passwort, das ich dann wieder zurücksetzen muss.

Aber für diese Zwecke braucht es keine staatlich anerkannte E-ID.

Man kann sich grundsätzlich auf den Standpunkt stellen, dass es keine staatliche Regelung braucht. Doch die Digitalisierung ist da, und die Dynamik wird durch die Corona-Pandemie noch beschleunigt. Was wir jedoch nicht haben, ist eine sichere, staatlich anerkannte elektronische Identität, eben die «E-ID». Dies wäre ein Vorteil für die Schweiz.

Soll die Verwendung in Online-Shops möglichst viele Leute dazu bringen, die neue E-ID einzusetzen?

Nein. Die E-ID ist freiwillig. Zudem haben wir im Gesetz auf Anraten des Konsumentenschutzes ausdrücklich festgehalten, dass beim Online-Shopping zwingend auch ein Zugang ohne E-ID möglich sein muss. Doch es gibt geschäftliche Anwendungen wie E-Banking, wo eine höhere Sicherheitsstufe erforderlich ist. Eine noch höhere Sicherheitsstufe ist vorgesehen beim Kontakt mit Behörden, etwa wenn ich einen Strafregisterauszug bestelle oder mich nach einem Umzug auf der Gemeinde anmelde. Wenn E-Government bei Bund, Kantonen und Gemeinden wichtiger wird, ist es praktisch, beim Log-in eine sichere und einheitliche Lösung zu haben.

Sie sprechen jetzt Dienstleistungen an, die einen offiziellen Charakter haben. Dann hat die E-ID doch die Funktion eines Ausweises.

Nein, das ist nicht so. Die elektronische Identität ist weder ein Pass noch eine Identitätskarte. Die Abkürzung ID ist da vielleicht etwas irreführend. Die elektronische Identität ist ein Log-in, ein qualifiziertes Log-in. Es ergeben sich keine Ansprüche oder Rechte daraus, wie zum Beispiel mit einem Ausweis beim Reisen. Es geht einfach darum, jemanden im Internet sicher und zweifelsfrei zu identifizieren.

Die Gegner des E-ID-Gesetzes argumentieren, dass genau diese Identitätsbestätigung eine hoheitliche Aufgabe sei.

Die Daten, mit denen eine Person identifiziert wird, sind und bleiben beim Staat. Wenn ein Identity-Provider Ihnen eine E-ID ausstellen will, dann ist es der Staat, der Ihre Identität überprüft und gegenüber diesen Providern bestätigt. Der private Dienstleister hat keinerlei Identifizierungsaufgaben.

Warum gibt der Staat die E-ID nicht ohne private Firmen heraus?

Die Diskussion über die Rollenverteilung zwischen Staat und Privaten dauert schon lange. Vor meiner Zeit als Bundesrätin gab es eine Phase, in der man gesagt hat, der Staat solle die elektronische Identifizierung integral übernehmen. Doch die Erfahrungen in anderen Ländern zeigen, dass sich solche E-ID-Lösungen nicht durchgesetzt haben. In der Schweiz hat man 2016 das Modell überarbeitet und ist zu einer, wie ich finde, optimalen Aufgabenteilung gekommen. Jeder macht das, was er gut kann. Der Staat reguliert und ermöglicht mit seinen Daten die E-ID, und die Privaten machen sie technisch nutzbar.

Gibt der Staat damit nicht zu viele Kompetenzen aus der Hand?

Nein. Der Staat hat eine tragende und wichtige Rolle. Er ist und bleibt Herr der Daten. Er reguliert. Er überprüft. Er anerkennt. Und er beaufsichtigt. Aber ist es seine Aufgabe, das auch technisch umzusetzen?

Sie sagen, Private wüssten die Technologie besser nutzbar zu machen. Müsste der Staat diese in der heutigen Zeit nicht selbst beherrschen?

Es gibt diverse Informatik-Anwendungen, die ausschliesslich beim Staat sind. Zum Beispiel im Sicherheitsbereich, wo es gar keinen Markt gibt. Bei der E-ID sieht es anders aus. Hier müsste sich der Staat für eine bestimmte Technologie entscheiden, die dann jahrelang zum Einsatz kommt. Es trägt dann auch das Risiko, dass diese bald überholt sein könnte. Man würde also nicht die Marktdurchdringung erreichen, die man eigentlich möchte.

Diese Marktdurchdringung will man durch die Privaten erreichen. Die Leute sollen zur E-ID gedrängt werden, weil es praktisch ist, mit der gleichen Lösung die Steuererklärung auszufüllen, mit der man sich auch bei der Post oder bei den SBB einloggt.

Man wird zu nichts gedrängt. Noch einmal: Die E-ID ist freiwillig. Es geht um etwas anderes: Wollen wir jetzt die Chance nutzen, einen rechtlichen Rahmen für eine technologische Entwicklung zu schaffen, die so oder so stattfindet? Wollen wir nach Schweizer Recht die Anerkennung, die Überprüfung und die Sicherheit dieser Daten regeln? Oder machen wir nichts und überlassen das einfach den Privaten? Alle Log-ins, die Sie aufgezählt haben, haben heute keinen solchen gesetzlichen Rahmen. Die grossen Tech-Konzerne wie Apple, Google oder Facebook arbeiten schon heute mit Personendaten. Diese werden aber im Ausland gespeichert. Es gibt keinen staatlichen Schutz.

Welches Interesse haben denn private Firmen daran, in der Schweiz eine E-ID herauszugeben?

Letztlich ist es für viele Unternehmen eine Effizienzfrage, dass die Kunden online Policen abschliessen oder Konten eröffnen können. Und sie haben ein Interesse an einer Lösung, die staatlich anerkannt ist. Wir kombinieren also das Vertrauen in den Staat, welcher die Daten in seinen Registern hält, mit dem technischen Know-how von Privaten.

Also ist die E-ID auch ein Dienst für die Wirtschaft?

Ja, auch. Aber der Staat hat ebenfalls ein grosses Interesse im Zusammenhang mit E-Government. Bereits vor 20 Jahren, ich erinnere mich gut, ich wurde damals Regierungsrätin, haben alle davon gesprochen. Und wenn jemand eine Mail geschrieben hat, dachte man: Das ist jetzt E-Government. Heute sind wir mit der Digitalisierung zwar weiter, aber E-Government hat sich bisher nie wirklich durchgesetzt. Ein Grund dafür ist das Fehlen einer staatlich anerkannten elektronischen Identifizierungsmöglichkeit.

Neben rein privaten Anbietern will auch der Kanton Schaffhausen als Identity-Provider auftreten und seine kantonale Lösung für die ganze Schweiz herausgeben. Sorgt dies für Entspannung in der politischen Diskussion?

Ich bin froh, dass der Kanton Schaffhausen diesen Schritt machen will. Nicht in erster Linie, weil es eine Lösung aus staatlicher Hand ist, sondern weil es eine Wahlmöglichkeit gibt. In der parlamentarischen Debatte wurde jeweils gesagt, dass das Konsortium SwissSign wohl der einzige Anbieter bleiben werde. Inzwischen gibt es mehrere Interessenten. Ich hoffe auf einen echten Wettbewerb und auf Konkurrenz. Und Schaffhausen zeigt, dass auch Kantone und Gemeinden in Sachen E-Government innovativ sein können.

Ein Problem ist, dass die Nutzungsdaten nicht beim Staat bleiben. Die privaten E-ID-Anbieter sehen zum Beispiel, wenn ich regelmässig online in einem Wein-Shop einkaufe oder mich bei einer Krebsklinik anmelde. Das können sehr heikle Daten sein.

Wir haben eine klare Trennung der Daten. In der Küche haben Sie auch eine Büchse mit Mehl, eine Büchse mit Zucker und eine Büchse mit Salz. Und die vermischen Sie nicht. Das ist bei der E-ID genauso: Es gibt die Daten zur Identifikation einer Person, und es gibt die Nutzungsdaten der E-ID. Diese beiden Datensätze müssen getrennt voneinander aufbewahrt werden. Ausserdem dürfen die E-ID-Anbieter die Daten nicht für gesetzesfremde Zwecke nutzen. Damit wird verhindert, dass Profile der Nutzer erstellt werden. Wenn ich heute als Kunde bei einem Warenhaus bin und Strumpfhosen, Lippenstift und vielleicht noch Unterwäsche und Nahrungsmittel bestelle, dann können die Betreiber ein Profil von mir erstellen. Und wenn ein Artikel, der mich interessieren könnte, gerade in Aktion ist, erhalte ich eine E-Mail.

Das ist die gesetzliche Regulierung. Wir wissen aber: Nicht alle halten sich an das Gesetz. Wie lange wird es dauern, bis Kriminelle diese Daten erstmals entwenden?

Missbrauch gibt es auch in der analogen Welt. Das lässt sich nie ganz verhindern. Wir können einzig gesetzliche, organisatorische und technische Vorkehrungen dagegen treffen. Ein Provider, der gegen seine Pflichten verstösst, verliert seine Anerkennung. Ich kann mir nicht vorstellen, dass ein Provider, der verschiedene Schweizer Unternehmen vertritt, ein Interesse daran haben kann, Daten missbräuchlich zu verwenden. Das wäre ein enormer Reputationsschaden, und die Konsumentinnen und Konsumenten würden sich von ihm abwenden.

Es gibt Technologien, mit denen diese Nutzungsdaten gar nicht entstehen. Zum Beispiel indem ich als Nutzer einen Schlüssel auf meinem Handy habe und mein Log-in nicht über den zentralen Server läuft. Warum hat man nicht gesetzlich eine solche datensparsame Lösung verlangt?

Ich weiss nicht, ob es eine solche technische Lösung gibt.

Das sagen die Experten.

Ich bin nicht IT-Spezialistin. Ich kann Ihnen aber sagen: Das Gesetz wurde bewusst so formuliert, damit es auch für neue Technologien offen ist. Politisch gesehen ist das vorliegende Gesetz eine Chance, auf die technologische Entwicklung zu reagieren. Jeden Tag loggen sich Millionen von Menschen irgendwo bei einem Anbieter ein, ohne dass es einen spezifischen gesetzlichen Rahmen gibt. Mit dem vorliegenden Gesetz können wir eine Verbesserung erreichen. Wenn man diese Lösung nun ablehnt, kann man letztlich nicht sicher sein, dass es in den nächsten Jahren überhaupt eine staatliche Regulierung gibt.

Warum? Die meisten Gegner des Gesetzes sind nicht grundsätzlich gegen eine E-ID.

Die Aufgabenteilung zwischen Staat und Privaten war in der gesamten Entstehungsgeschichte umstritten, hat sich dann aber klar durchgesetzt. Und wir haben verschiedene Kompromisse gemacht: die Aufsicht durch eine unabhängige E-ID-Kommission zum Beispiel oder die Möglichkeit, auch ohne E-ID online einkaufen zu können. Wenn wir Nein dazu sagen, überlassen wir das Feld den grossen Konzernen, die unsere Daten irgendwo auf der Welt aufbewahren. Ich fände es schade, wenn wir diese Chance verpassen.

Würden Sie bei einem Nein eine neue Gesetzesvorlage ausarbeiten lassen, die eine rein staatliche Lösung vorsieht?

Bei einem Nein läge der Ball nicht beim Bundesrat. Wenn eine Mehrheit die Vorlage am 7. März ablehnt, gibt es dafür ja verschiedene Gründe. Der Bundesrat hätte deshalb nicht automatisch die Legitimation, erneut ein Gesetz vorzulegen. Und wenn ich an die Diskussionen im Parlament zurückdenke, kann ich Ihnen heute schon sagen, wie die Vernehmlassung zu einer rein staatlichen Lösung ausfallen würde.

Wie?

Vernichtend. Wir würden uns im Kreis drehen und viel Zeit verlieren. Ich war beim vorliegenden Gesetz sehr offen, weil es tatsächlich um einen sensiblen Bereich geht. Wir sind den Kritikern in verschiedenen Fragen entgegengekommen. Die Vorlage ist ein echter Kompromiss.

Eines der Zugeständnisse an die Kritiker ist die E-ID-Kommission, die eine unabhängige Aufsicht ausüben soll. Wird diese Kommission auch Zähne haben oder einfach nette Berichte schreiben?

Die Kommission hat viel Macht. Sie entscheidet über Sein und Nichtsein, sie sagt also, ob eine Firma gut genug ist, als ID-Provider anerkannt zu werden. Diese Anerkennung muss zudem alle drei Jahre erneuert werden.

Dazu müssen technisch versierte Leute in der Kommission sitzen, die die IT-Systeme auch verstehen.

Genau, die Mitglieder müssen sich auskennen. Es wird eine Herausforderung sein, die Kommission personell zu besetzen. Denn die Spezialisten müssen ja unabhängig sein. Aber machbar ist es. Zudem verfügt die Kommission über ein professionelles Sekretariat.

Aber hat die Kommission auch Sanktionsmöglichkeiten?

Bereits im E-ID-Gesetz ist vorgesehen, dass sie gegenüber einem ID-Provider Massnahmen anordnen oder sogar die Anerkennung entziehen kann. Wir werden diese Möglichkeiten in der Verordnung zum Gesetz detailliert festschreiben.

Kann sich dieser Kompromiss, wenn er am 7. März angenommen wird, in der Praxis auch durchsetzen? Mit Google, Apple oder Facebook gibt es einige mächtige Tech-Firmen, die bereits selbst elektronische Identitäten anbieten.

Ja, ich glaube, dass sich die Schweizer Lösung durchsetzen wird. Persönlich hätte ich sehr gerne eine staatlich regulierte, sichere E-ID für meine Bankgeschäfte, für die Versicherung oder für den Kontakt mit meiner Gemeinde und dem Kanton. Es geht auch um die Weiterentwicklung des E-Government. Künftige Generationen werden es gewohnt sein, alles online zu machen, auch den Kontakt mit den Behörden. Ich bin weder besonders Technologie-affin noch Technologie-feindlich. Wir müssen einfach der Realität ins Auge sehen. Es gibt Entwicklungen, von denen wir noch nicht genau wissen, in welche Richtung sie gehen. Aber sie brauchen eine staatliche Regulierung, wenn man die Rechtsgüter, über die wir diskutiert haben, schützen will.

Football news:

Sulscher gewann mit Manchester United alle 3 Auswärtsspiele bei Man City. Für Trainer Ole-Gunnar Sulscher ist es das dritte Spiel mit den Citizens zu Gast und in allen drei Spielen hat er gewonnen. Zuvor hatte Manchester United City im Etihad Stadium geschlagen
Liverpool nur schlechter: wieder verloren zu Hause (6. Spiel in Folge!Auch der Antirekord von APL auf Schlägen ohne Tore
Simeone über das 1:1 bei Real: Alle dachten, Atletico würde La Liga mit einem Vorsprung von 20 Punkten gewinnen. Ich weiß nicht, was sie sich vorgestellt haben
Ole-Gunnar Sulscher: City ist so weit in der Tabelle, dass Manchester United einfach höher sein will als vor einem Jahr
Sulscher ist der einzige, der Guardiola öfter gewinnt als verliert, von den Trainern mit 4+ Begegnungen
Manchester United 22 Spiele in Folge nicht verlieren in der APL auswärts. Das Team von Ole-Gunnar Sulscher hat seine Serie ohne Niederlage in der Hinrunde auf 22 Spiele verlängert
Manchester United hat zum ersten Mal in dieser Saison einen Big-Six-Club besiegt. Es gab 2 Niederlagen und 5 Unentschieden