Digitaler Ausweis, powered by UBS

Schon bald werden Schweizer Bürgerinnen eine digitale staatliche Identität erhalten. Doch es gibt ein Problem: Der Bund will diese hoheitliche Aufgabe komplett an Private outsourcen – und versagt so demokratiepolitisch.

Eine Analyse von Adrienne Fichter, 15.11.2018

Teilen2 Beiträge2

Drei Buchstaben, ein Zukunftsversprechen: E-ID. Mit dem digitalen staatlichen Identitätsnachweis steht Ihnen, liebe Leserin, lieber Leser, künftig mit einem einzigen Login eine Fülle von Möglichkeiten offen. Sie können shoppen, abstimmen und wählen, mit Freunden chatten – im Netz werden Sie sich dafür bequem ausweisen können: Spätestens ab dem Jahr 2021 wird all das bloss einen Anmeldevorgang entfernt sein. Keine Dutzende Passwörter mehr, die auf Zettelchen in Ihrem Portemonnaie stehen.

Die Erwartungen an die E-ID sind hoch. Sie soll das praktisch tote E-Government wieder zum Leben erwecken, den Schweizer Onlinehandel zum Florieren bringen und der digitalen Strategie des Bundesrats zum Durchbruch verhelfen. Egal, ob Fintech-Industrie, Telecomunternehmen oder Krankenkassen: Alle sehen sie in der digitalen staatlichen Identität die Heilsbringerin.

Dabei können Sie sich schon jetzt an den Gedanken gewöhnen, dass nicht das Passbüro Ihren virtuellen staatlichen Ausweis ausstellt. Stattdessen werden Sie Ihre Dokumente beim Bankschalter vorbeibringen oder vielleicht sogar bei Zalando.ch hochladen.

Im aktuellen Entwurf des E-ID-Gesetzes ist nämlich vorgesehen, dass private Unternehmen diese Aufgabe erledigen werden. Sie zertifizieren ihre Kunden für die E-ID. Die digitale Identitätskarte ist also kein eigenes Benutzerkonto, sie ist viel eher eine Art Gütesiegel. Der Staat legt für Sie die Hand ins Feuer und bestätigt: Ja, diese Userin ist Monika Muster. Derselbe Staat, eigentlich Garant unserer Identität, kommt dabei jedoch nur einmal kurz ins Spiel: beim Abgleich des Antrags mit der Datenbank des Bundesamts für Polizei (Fedpol).

Desaströse Bilanz

Die Herausgabe eines digitalen Passes – eine sensible hoheitliche Aufgabe – soll also komplett privatisiert werden. Wie kam es zu diesem eigenartigen Modell? Die Antwort ist einfach. Und sie ist gleichzeitig ein Armutszeugnis: weil der Bund sich diese Aufgabe selber nicht zutraut. Denn er hat das Ganze schon einmal durchgemacht. Und ist dabei grandios gescheitert.

Die Rede ist von der Suisse ID, initiiert vom Staatssekretariat für Wirtschaft (Seco) vor acht Jahren. Sie war ein derart grosser Flop, dass man beim Bund von neuen Versuchen lieber die Finger lässt. Investition: 20 Millionen Franken. Anzahl Bestellungen: läppische 100’000. Die Gründe für die desaströse Bilanz sind vielfältig. Zu kompliziert, zu umständlich sei die Suisse ID gewesen, sagen Expertinnen.

Nun also der zweite Anlauf. Mit dem Unterschied, dass es dieses Mal die Privaten richten sollen. Denn das Hauptlearning des Bundes lautet: Die Verwaltung ist nicht sexy genug. Nur Nerds kannten die Suisse ID. So was darf sich nicht wiederholen. Banken und Versicherungen hingegen sind finanziell derart potent, dass sie keinen Marketingaufwand scheuen werden, um die E-ID populär zu machen.

Das Hauptargument ist der Skaleneffekt: Je mehr Privatunternehmen sich mit ihren Kundendatenbanken am Projekt beteiligen, desto grösser ist die Verbreitung der E-ID. Und damit auch die Akzeptanz in der Bevölkerung.

Einen weiteren Vorteil sieht der Bund in der Anpassungsfähigkeit der Unternehmen: «Private Herausgeber können viel schneller auf technische Veränderungen reagieren und bereits bestehende Trägermittel einsetzen», heisst es in einem Frage-Antwort-Katalog des Bundesamtes für Justiz.

Kein Grundrecht auf eine E-ID

Doch was gut gemeint war, verkam zum Murks: Der aktuelle Entwurf des E-ID-Gesetzes ist furchtbar kompliziert. Und er weist drei eklatante demokratiepolitische Defizite auf.

Erstens: Wer den privaten Unternehmen misstraut, kann für die Ausstellung seiner E-ID nicht auf den Staat ausweichen. Denn die Option Passbüro oder Einwohnerkontrollbehörde fehlt im Gesetzesentwurf. Obwohl mehrere Parteien und Organisationen diesen Punkt in der Vernehmlassung forderten.

Nur die Zuger und die Schaffhauserinnen können dafür die Behörden aufsuchen, da ihre Kantone Vorreiter in Sachen digitaler Identitätsausweis sind. Die restlichen 8,2 Millionen Einwohner kommen an den privaten Anbietern nicht vorbei.

Zweitens: Anonymität und Datenschutz sind zwingende Voraussetzungen – die E-ID-Unternehmen müssen gegenüber ihren Anwenderinnen «blind» sein. Ein Beispiel: Die Swisscom darf nicht erfahren, was ihre Kundinnen mit dem zertifizierten Benutzerkonto im Netz bestellen. Doch im Gesetz sind kaum demokratische Kontrollmechanismen eingebaut. Somit müssen die Schweizer darauf vertrauen, dass UBS und Co. ihre Daten staatsmännisch handhaben.

Drittens: In Artikel 17 des Gesetzesentwurfs werden zwar Missbrauchsszenarien geregelt. Doch es fehlt ein staatlich verankertes Grundrecht auf Herausgabe einer E-ID. Wir sind somit auf den Goodwill der Banken oder Versicherungen angewiesen.

Bloss ein Pseudowettbewerb

Noch fragwürdiger als die Ausgestaltung ist die Finanzierung der E-ID. Denn die staatliche digitale Identität soll den Fiskus – ausser bei der Bearbeitung des Antrags – praktisch keinen Rappen kosten. Aber auch die Einwohnerinnen werden ihre E-ID im Netz voraussichtlich gratis beantragen können. (Auch das ist eine der Lehren aus dem Suisse-ID-Debakel – die Jahresgebühr von 50 Franken soll schuld daran sein, dass der Durchschnittsbürger bis heute noch nie von der Suisse ID gehört hat.)

Wenn die Bürger den Aufwand also weder mit Steuergeldern noch mit ihren Daten direkt berappen, wer tut es dann? Wiederum lautet die Antwort: die Privatwirtschaft. Konkreter: der Webshop, die Krankenkasse, die Privatbank. Also alle Unternehmen, die die Sicherheitsstandards erfüllen und eine E-ID-Zertifizierung anbieten wollen.

Dieses Outsourcing soll den Wettbewerb ankurbeln. Die Schweizer Bürgerinnen hätten dann bizarrerweise die Auswahl zwischen mehreren E-ID-Brands. Jeder kann mehrere digitale Ausweise bestellen. Im besten Fall gesunder Wettbewerb, im schlimmsten Fall ein absoluter Wildwuchs.

De facto, so sind sich viele IT-Fachverbände einig, läuft jedoch alles auf ein Monopol der Firma SwissSign hinaus. SwissSign ist ein Verbund von Versicherungen wie der Mobiliar, von staatsnahen Betrieben wie der Post und der Swisscom und von Banken wie der Credit Suisse. Ein exklusiver Klub von zwanzig Unternehmen, die ihre Vormachtstellung verteidigen.

Die Migros zum Beispiel wäre trotz Marktführerschaft im Online-Detailhandel keine geeignete Kandidatin für das Konsortium. «Bei uns dabei sind nur die Firmen, die das grösste Interesse an einer staatlichen digitalen Identität haben. Die SwissSign Group AG ist offen für neue Aktionäre, sofern dies aus strategischer Sicht Sinn macht», sagt Thomas Kläusli, Sprecher der SwissSign Group.

Als profitorientiertes Unternehmen will die SwissSign Group mit der E-ID natürlich Geld verdienen. Und ihr Produkt – die Swiss ID – mit einem staatlichen Gütesiegel versehen. Genau diese fragwürdige Verquickung von kommerziellen Motiven mit einer ausgeborgten hoheitlichen Aufgabe wird von mehreren Non-Profit-Verbänden wie der Digitalen Gesellschaft kritisiert.

Egal, wie am Schluss zwischen den Unternehmen abgerechnet wird, ob mit einer «Flatrate» oder über Einzelabfragen: Jedes Mal, wenn jemand seine E-ID nutzt, wird das Konsortium mitverdienen. Danach befragt, wie das Kostenmodell ihrer E-ID ausgestaltet ist, schweigt SwissSign.

«Besser wir als Facebook oder Google»

Wenn so viele Grosskonzerne an einem Strang ziehen, ist klar, wohin die Reise gehen wird: Niemand wird an einer E-ID wie der Swiss ID vorbeikommen. Entsprechend hoch steckt SwissSign seine Ziele: 4 Millionen Swiss-ID-Nutzerinnen will das Unternehmen gewinnen. Für einen Betrag von gut 200’000 Franken hat das Konsortium ausserdem die Pleitemarke Suisse ID übernommen.

Damit sich die grossen privatwirtschaftlichen Investitionen lohnen, müssen die Kunden sanft in Richtung digitale Identität gestupst werden. Etwa, indem man sie mit Bonus- und Anreizprogrammen verführt. Gut möglich auch, dass die E-ID den Bürgerinnen quasi zwangsverordnet wird: indem Alternativen einfach abgeschaltet werden. Genau das versuchte übrigens die Post bereits auch schon mit der Swiss ID, verärgerte damit aber viele Kunden.

Sprecher Kläusli von SwissSign winkt ab: «Der Markt wird das regeln. Die Firmen haben kein Interesse, sich bei ihren Kunden unbeliebt zu machen.»

Bei Monopol- oder Kartellvorwürfen argumentieren die SwissSign-Firmen alle ähnlich: «Besser wir als Facebook oder Google.» Und es stimmt: Die globalen Technologiekonzerne könnten ohne weiteres im Schweizer Identitätsmarkt mitmischen. Nicht zuletzt deshalb, weil die ausgestellten digitalen Schweizer Pässe kompatibel sein müssen mit internationalen Plattformen. Doch SwissSign hat Heimvorteil. Und geniesst damit einen Vertrauensvorschuss: Die Authentifizierung über eine Schweizer Firma dürfte für viele Kunden vertrauensstiftender wirken als eine über einen internationalen Tech-Giganten.

Wird SwissSign dereinst verstaatlicht?

Die Befürworter verweisen oft auf die Erfahrungen in nordischen Ländern. Doch gerade das Beispiel Dänemark taugt nicht als Vorbild: Auch dort übernahm eine private Firma exklusiv diese Aufgabe. Das Konsortium Nets gewann damals die Ausschreibung, es war ein Zusammenschluss von dänischen Banken und der Telekommunikationsfirma TDC. Nets hatte fortan das Vergabemonopol für die staatliche digitale Identität (NemID) inne.

Aber die Finanzbranche ist bekanntlich hochdynamisch. Und so wurde Nets 2014 aufgekauft, von internationalen Riesen wie dem Pensionsfonds ATP, der Managementfirma Bain Capital und der Private-Equity-Firma Advent International. Die dänischen Behörden mussten die Zusammenarbeit auslaufen lassen, neu ausschreiben und die NemID auf neue Systeme migrieren.

In der Schweiz wird wohl ein anderes Szenario eintreten: Ein Konsortium wie die SwissSign könnte in etwa zehn Jahren verstaatlicht werden. Nicht zuletzt darum, weil die staatsnahen Betriebe wie die Post und die Swisscom zusammen mit den Kantonalbanken die Aktienmehrheit haben.

Doch bis dahin wird ein Pseudowettbewerb herrschen, den SwissSign klar dominieren wird. Mit seinen 500’000 Nutzerinnen ist das Konsortium derzeit klar im Vorteil.

Digitalisierungsturbos machen Druck

Heute Donnerstag befindet die Kommission für Rechtsfragen des Nationalrats über das E-ID-Gesetz. Opposition wird von der SP und den Grünen erwartet, die bürgerlichen Parteien hingegen werden die digitale Public-Private-Partnership absegnen.

Denn die Wirtschaft hat die Geduld verloren. «Die Zeit drängt», schrieben Economiesuisse, Digitalswitzerland und ICT Switzerland jüngst in einem Brief, der der Republik vorliegt, an die Kommissionsmitglieder. Die Banken möchten den Absatz ihrer Finanzprodukte über das Netz vorantreiben. Mit einer anerkannten Identität.

Die Grundsatzentscheidung ist wohl bereits gefallen. Die Schweiz will das «privatisierte» E-ID-Gesetz. Unbequeme, ungeklärte Fragen wie etwa die Höhe der Fedpol-Gebühr sollen erst nachfolgend – via Verordnung – gelöst werden.

Dabei gäbe es durchaus Alternativen. Etwa eine reine Staatsvariante. Das Eidgenössische Justiz- und Polizeidepartement hatte dies 2014 auch so vorgeschlagen. Öffentlich finanziert, über eine Gebühr oder über die Steuer. Private Onlineplattformen hätten an diese andocken können. Wie das etwa in Estland so gehandhabt wird. Doch das Suisse-ID-Trauma und die vorpreschenden Grosskonzerne bewogen den Bund zum Rückzug.

Ob die Schweizer Bevölkerung einem staatlichen Identitätsnachweis powered by Grosskonzernen mehr vertrauen wird als dem Bund selbst, wird sich zeigen.

Eine Frage bleibt – und sie liefert den schalen Nachgeschmack zum Thema: Wenn der Staat sich selbst nicht einmal für eine Kernaufgabe wie die E-ID für kompetent genug hält, wie sieht es dann mit komplexeren Themen wie Cybersicherheit und E-Voting aus?