Keller-Sutter zur E-ID: "Bei einem Nein läge der Ball nicht beim Bundesrat."

Interview, 16. Januar 2021: NZZ; Lukas Mäder, Erich Aschwanden

Die E-ID, über die am 7. März abgestimmt wird, biete den Nutzern einen rechtlichen Schutz, sagt Justizministerin Karin Keller-Sutter im Gespräch mit der NZZ.

Frau Keller-Sutter, mit der Swiss-ID gibt es bereits eine Lösung, die später zur E-ID werden soll. Benutzen Sie Swiss-ID?
Nein.

Warum nicht?
Bisher hatte ich nicht das Bedürfnis. Wie wohl die meisten Schweizerinnen oder Schweizer habe ich verschiedene Log-ins, etwa für Bankkonten oder E-Paper-Abos, und ich kaufe auch in Online-Shops ein. Ab und zu vergesse ich mein Passwort, das ich dann wieder zurücksetzen muss.

Aber für diese Zwecke braucht es keine staatlich anerkannte E-ID.
Man kann sich grundsätzlich auf den Standpunkt stellen, dass es keine staatliche Regelung braucht. Doch die Digitalisierung ist da, und die Dynamik wird durch die Corona-Pandemie noch beschleunigt. Was wir jedoch nicht haben, ist eine sichere, staatlich anerkannte elektronische Identität, eben die E-ID. Dies wäre ein Vorteil für die Schweiz.

Soll die Verwendung in Online-Shops möglichst viele Leute dazu bringen, die neue E-ID einzusetzen?
Nein. Die E-ID ist freiwillig. Zudem haben wir im Gesetz auf Anraten des Konsumentenschutzes festgehalten, dass beim Online-Shopping zwingend auch ein Zugang ohne E-ID möglich sein muss. Doch es gibt geschäftliche Anwendungen wie E-Banking, wo eine höhere Sicherheitsstufe erforderlich ist. Eine noch höhere Sicherheitsstufe ist vorgesehen beim Kontakt mit Behörden, etwa wenn ich einen Strafregisterauszug bestelle oder mich nach einem Umzug auf der Gemeinde anmelde. Wenn E-Government bei Bund, Kantonen und Gemeinden wichtiger wird, ist es praktisch, beim Log-in eine sichere und einheitliche Lösung zu haben.

Sie sprechen jetzt Dienstleistungen an, die einen offiziellen Charakter haben. Dann hat die E-ID doch die Funktion eines Ausweises.
Nein, das ist nicht so. Die elektronische Identität ist weder ein Pass noch eine Identitätskarte. Die Abkürzung ID ist da vielleicht etwas irreführend. Die elektronische Identität ist ein Log-in, ein qualifiziertes Log-in. Es ergeben sich keine Ansprüche oder Rechte daraus, wie zum Beispiel mit einem Ausweis beim Reisen. Es geht einfach darum, jemanden im Internet sicher und zweifelsfrei zu identifizieren.

Die Gegner des E-ID-Gesetzes argumentieren, dass genau diese Identitätsbestätigung eine hoheitliche Aufgabe sei.
Die Daten, mit denen eine Person identifiziert wird, sind und bleiben beim Staat. Wenn ein Identity-Provider Ihnen eine E-ID ausstellen will, dann ist es der Staat, der Ihre Identität überprüft und gegenüber diesen Providern bestätigt. Der private Dienstleister hat keinerlei Identifizierungsaufgaben.

Warum gibt der Staat die E-ID nicht ohne private Firmen heraus?
Die Diskussion über die Rollenverteilung zwischen Staat und Privaten dauert schon lange. Vor meiner Zeit als Bundesrätin gab es eine Phase, in der man gesagt hat, der Staat solle die elektronische Identifizierung integral übernehmen. Doch die Erfahrungen in anderen Ländern zeigen, dass sich solche E-ID-Lösungen nicht durchgesetzt haben. In der Schweiz hat man 2016 das Modell überarbeitet und ist zu einer, wie ich finde, optimalen Aufgabenteilung gekommen. Jeder macht das, was er gut kann. Der Staat reguliert und ermöglicht mit seinen Daten die E-ID, und die Privaten machen sie technisch nutzbar.

Gibt der Staat damit nicht zu viele Kompetenzen aus der Hand?
Nein. Der Staat hat eine tragende und wichtige Rolle. Er ist und bleibt Herr der Daten. Er reguliert. Er überprüft. Er anerkennt. Aber ist es seine Aufgabe, das auch technisch umzusetzen?

Sie sagen, Private wüssten die Technologie besser nutzbar zu machen. Müsste der Staat diese in der heutigen Zeit nicht selbst beherrschen?
Es gibt diverse Informatik-Anwendungen, die ausschliesslich beim Staat sind. Zum Beispiel im Sicherheitsbereich, wo es gar keinen Markt gibt. Bei der E-ID sieht es anders aus. Hier müsste sich der Staat für eine bestimmte Technologie entscheiden, die dann jahrelang zum Einsatz kommt. Es trägt dann auch das Risiko, dass diese bald überholt sein könnte. Man würde also nicht die Marktdurchdringung erreichen, die man eigentlich möchte.

Diese Marktdurchdringung will man durch die Privaten erreichen. Die Leute sollen zur E-ID gedrängt werden, weil es praktisch ist, mit der gleichen Lösung die Steuererklärung auszufüllen, mit der man sich auch bei der SBB einloggt.
Man wird zu nichts gedrängt. Noch einmal: Die E-ID ist freiwillig. Es geht um etwas anderes: Wollen wir jetzt die Chance nutzen, einen rechtlichen Rahmen für eine technologische Entwicklung zu schaffen, die so oder so stattfindet? Wollen wir nach Schweizer Recht die Anerkennung, die Überprüfung und die Sicherheit dieser Daten regeln? Oder machen wir nichts und überlassen das einfach den Privaten? Alle Log-ins, die Sie aufgezählt haben, haben heute keinen solchen gesetzlichen Rahmen. Die grossen Tech-Konzerne wie Apple, Google oder Facebook arbeiten schon heute mit Personendaten. Diese werden aber im Ausland gespeichert. Es gibt keinen staatlichen Schutz.

Welches Interesse haben Firmen daran, in der Schweiz eine E-ID herauszugeben?
Letztlich ist es für viele Unternehmen eine Effizienzfrage, dass die Kunden online Policen abschliessen oder Konten eröffnen können. Und sie haben ein Interesse an einer Lösung, die staatlich anerkannt ist. Wir kombinieren also das Vertrauen in den Staat, welcher die Daten in seinen Registern hält, mit dem technischen Know-how von Privaten.

Also ist die E-ID auch ein Dienst für die Wirtschaft?
Ja, auch. Aber der Staat hat ebenfalls ein grosses Interesse im Zusammenhang mit E-Government. Bereits vor 20 Jahren, ich erinnere mich gut, ich wurde damals Regierungsrätin, haben alle davon gesprochen. Und wenn jemand eine Mail geschrieben hat, dachte man: Das ist jetzt E-Government. Heute sind wir mit der Digitalisierung zwar weiter, aber E-Government hat sich bisher nie wirklich durchgesetzt. Ein Grund dafür ist das Fehlen einer staatlich anerkannten elektronischen Identifizierungsmöglichkeit.

Neben privaten Anbietern will auch der Kanton Schaffhausen als Identity-Provider auftreten und seine kantonale Lösung für die ganze Schweiz herausgeben. Sorgt dies für Entspannung in der politischen Diskussion?
Ich bin froh, dass der Kanton Schaffhausen diesen Schritt machen will. Nicht in erster Linie, weil es eine Lösung aus staatlicher Hand ist, sondern weil es eine Wahlmöglichkeit gibt. In der parlamentarischen Debatte wurde jeweils gesagt, dass das Konsortium SwissSign wohl der einzige Anbieter bleiben werde. Inzwischen gibt es mehrere Interessenten. Ich hoffe auf einen echten Wettbewerb und auf Konkurrenz. Und Schaffhausen zeigt, dass auch Kantone und Gemeinden in Sachen E-Government innovativ sein können.

Ein Problem ist, dass die Nutzungsdaten nicht beim Staat bleiben. Die privaten E-ID-Anbieter sehen zum Beispiel, wenn ich regelmässig online in einem Wein-Shop einkaufe oder mich bei einer Krebsklinik anmelde. Das können sehr heikle Daten sein.
Wir haben eine klare Trennung der Daten. In der Küche haben Sie auch eine Büchse mit Mehl, eine Büchse mit Zucker und eine Büchse mit Salz. Und die vermischen Sie nicht. Das ist bei der E-ID genauso: Es gibt die Daten zur Identifikation einer Person, und es gibt die Nutzungsdaten der E-ID. Diese beiden Datensätze müssen getrennt voneinander aufbewahrt werden. Ausserdem dürfen die E-ID-Anbieter die Daten nicht für gesetzesfremde Zwecke nutzen. Damit wird verhindert, dass Profile der Nutzer erstellt werden. Wenn ich heute als Kunde bei einem Warenhaus bin und Strumpfhosen, Lippenstift und vielleicht noch Unterwäsche und Nahrungsmittel bestelle, dann können die Betreiber ein Profil von mir erstellen. Und wenn ein Artikel, der mich interessieren könnte, gerade in Aktion ist, erhalte ich eine E-Mail.

Das ist die gesetzliche Regulierung. Wir wissen aber: Nicht alle halten sich an das Gesetz. Wie lange wird es dauern, bis Kriminelle diese Daten erstmals entwenden?
Missbrauch gibt es auch in der analogen Welt. Das lässt sich nie ganz verhindern. Wir können einzig gesetzliche, organisatorische und technische Vorkehrungen dagegen treffen. Ein Provider, der gegen seine Pflichten verstösst, verliert seine Anerkennung. Ich kann mir nicht vorstellen, dass ein Provider, der verschiedene Schweizer Unternehmen vertritt, ein Interesse daran haben kann, Daten missbräuchlich zu verwenden. Das wäre ein enormer Reputationsschaden, und die Konsumentinnen und Konsumenten würden sich von ihm abwenden.

Es gibt Technologien, mit denen diese Nutzungsdaten gar nicht entstehen. Zum Beispiel indem ich als Nutzer einen Schlüssel auf meinem Handy habe und mein Log-in nicht über den zentralen Server läuft. Warum hat man nicht gesetzlich eine solche datensparsame Lösung verlangt?
Ich weiss nicht, ob es eine solche technische Lösung gibt.

Das sagen die Experten.
Ich bin nicht IT-Spezialistin. Ich kann Ihnen aber sagen: Das Gesetz wurde bewusst technologieneutral formuliert, damit sollten auch solche Lösungen grundsätzlich möglich sein. Politisch gesehen ist das vorliegende Gesetz eine Chance, auf die technologische Entwicklung zu reagieren. Jeden Tag loggen sich Millionen von Menschen irgendwo bei einem Anbieter ein, ohne dass es einen spezifischen gesetzlichen Rahmen gibt. Mit dem vorliegenden Gesetz können wir eine Verbesserung erreichen. Wenn man diese Lösung nun ablehnt, kann man letztlich nicht sicher sein, dass es in den nächsten Jahren überhaupt eine staatliche Regulierung gibt.

Warum? Die meisten Gegner des Gesetzes sind nicht grundsätzlich gegen eine E-ID.
Die Aufgabenteilung zwischen Staat und Privaten war in der gesamten Entstehungsgeschichte umstritten, hat sich dann aber klar durchgesetzt. Und wir haben verschiedene Kompromisse gemacht: die Aufsicht durch eine unabhängige E-ID-Kommission zum Beispiel oder die Möglichkeit, auch ohne E-ID online einkaufen zu können. Wenn wir Nein dazu sagen, überlassen wir das Feld den grossen Konzernen, die unsere Daten irgendwo auf der Welt aufbewahren. Ich fände es schade, wenn wir diese Chance verpassen.

Würden Sie bei einem Nein eine neue Gesetzesvorlage ausarbeiten lassen, die eine rein staatliche Lösung vorsieht?
Wenn eine Mehrheit die Vorlage am 7. März ablehnt, gibt es dafür ja verschiedene Gründe. Der Bundesrat hätte deshalb nicht automatisch die Legitimation, erneut ein Gesetz vorzulegen. Und wenn ich an die Diskussionen im Parlament zurückdenke, kann ich Ihnen heute schon sagen, wie die Vernehmlassung zu einer rein staatlichen Lösung ausfallen würde.

Wie?
Vernichtend. Wir würden uns im Kreis drehen und viel Zeit verlieren. Ich war beim vorliegenden Gesetz sehr offen, weil es tatsächlich um einen sensiblen Bereich geht. Wir sind den Kritikern in verschiedenen Fragen entgegengekommen. Die Vorlage ist ein echter Kompromiss.

Eines der Zugeständnisse an die Kritiker ist die E-ID-Kommission, die eine unabhängige Aufsicht ausüben soll. Wird diese Kommission auch Zähne haben oder einfach nette Berichte schreiben?
Die Kommission hat viel Macht. Sie entscheidet ob eine Firma gut genug ist, als ID-Provider anerkannt zu werden. Diese Anerkennung muss zudem alle drei Jahre erneuert werden.

Aber hat die Kommission auch Sanktionsmöglichkeiten?
Bereits im E-ID-Gesetz ist vorgesehen, dass sie gegenüber einem ID-Provider Massnahmen anordnen oder sogar die Anerkennung entziehen kann. Wir werden diese Möglichkeiten in der Verordnung zum Gesetz detailliert festschreiben.

Kann sich dieser Kompromiss, wenn er am 7. März angenommen wird, in der Praxis auch durchsetzen? Mit Google, Apple oder Facebook gibt es mächtige Firmen, die selbst E-Identitäten anbieten.
Ja, ich glaube, dass sich die Schweizer Lösung durchsetzen wird. Persönlich hätte ich sehr gerne eine staatlich regulierte, sichere E-ID für meine Bankgeschäfte, für die Versicherung oder für den Kontakt mit meiner Gemeinde und dem Kanton. Es geht auch um die Weiterentwicklung des E-Government. Künftige Generationen werden es gewohnt sein, alles online zu machen, auch den Kontakt mit den Behörden. Ich bin weder besonders Technologie-affin noch Technologie-feindlich. Wir müssen einfach der Realität ins Auge sehen. Es gibt Entwicklungen, von denen wir noch nicht genau wissen, in welche Richtung sie gehen. Aber sie brauchen eine staatliche Regulierung, wenn man die Rechtsgüter, über die wir diskutiert haben, schützen will.

Weitere Infos

Dossier

  • Elektronische Identität: das E-ID-Gesetz

    Vieles wird heute über das Internet abgewickelt. Darum ist es wichtig, dass wir uns auch online sicher ausweisen können. Das von Bundesrat und Parlament verabschiedete Gesetz schafft die Grundlage für eine einfache, sichere und vom Bund anerkannte elektronische Identität. Gegen das Gesetz wurde das Referendum ergriffen, die Abstimmung findet am 7. März 2021 statt.

Medienmitteilungen

Zur Darstellung der Medienmitteilungen wird Java Script benötigt. Wenn sie Java Script nicht aktivieren möchten, können sie über den unten stehenden Link die Medienmitteilungen lesen. 

Zur externen NSB Seite

Interviews

Letzte Änderung 16.01.2021

Zum Seitenanfang