Fetz Anita · Ständerat · 2019-06-04
Fetz Anita · Ständerat · Basel-Stadt · Sozialdemokratische Fraktion · 2019-06-04
Wortprotokoll
Im Grundsatz sind wir uns wohl alle einig: In der digitalisierten Gesellschaft braucht es eine elektronische Identifikation, die sicher und vertrauenswürdig ist. Heute wollen die Bürgerinnen und Bürger sowie die Wirtschaft mit der Verwaltung, aber auch mit den anderen Anbietern von Dienstleistungen, mit den verschiedenen Firmen, unkompliziert und barrierefrei kommunizieren können. Das mühsame Hantieren mit vielen Passwörtern wird dann vielleicht - sage ich mal - der Vergangenheit angehören. Deshalb bestreitet niemand die Notwendigkeit einer E-ID.
Doch genauso wie der rote Pass muss auch die digitale ID eine hoheitliche, sprich öffentliche, staatliche Aufgabe sein. Alle Umfragen zeigen, dass die grosse Mehrheit der Bevölkerung genau das will. Denn das Vertrauen bezüglich Datenschutz und Sicherheit ist bei einer staatlichen Hoheit sehr viel grösser als bei einer privaten. Das ist doch auch ein guter Punkt, es ist doch toll, wenn die Leute vor allem in den Staat Vertrauen haben, und das sollten wir nicht ohne Not in Gefahr bringen. Immerhin sollen mit dieser E-ID zentrale Staatsaufgaben auch abgewickelt werden können, wie Steuern, Betreibungen, elektronische Patientendossiers, eventuell mal E-Voting. Diese Daten gehören nicht in private Hände, auch nicht in datengeschützte private Hände.
Die Vorlage des Bundesrates geht leider den umgekehrten Weg. Sie will die Herstellung und Ausstellung der E-ID an Private geben, angeblich, weil der Staat dem technologischen Wandel nicht gewachsen sei. Wenn der Staat im 21. Jahrhundert nicht fähig ist, die technologische Entwicklung mitzugehen, ja, dann schafft er sich selber ab - anders kann man das nicht interpretieren. Aber es ist ja wahrscheinlich nur ein vordergründiges Argument. Denn sogar der kleine Kanton Schaffhausen und der kleine Kanton Zug und das kleine Land Estland - dieses schon ewig, konkret seit der Jahrtausendwende - sind fähig, eine solche Technologie selber anzubieten. Ich kann nicht glauben, dass dies das einzige Argument sein soll. Wenn der Bund technologisch nicht auf der Höhe sein könnte und wollte, dann würde er sich abschaffen.
Etwas Weiteres gibt diesem Argument einen schalen Nachgeschmack. Ich habe mich gefragt: Wenn er das nicht kann, wie kann ich mich dann darauf verlassen, dass er Cybersicherheit schaffen, dass er ein sicheres E-Voting machen kann? Das ist wirklich ein gefährliches Gegenargument, diese technologische Inkompetenz des Staates.
Aus meiner Sicht ist die Vorlage grundfalsch. Sie stellt eigentlich das Problem auf den Kopf statt auf die Füsse. Für die private Trägerschaft soll ein Wettbewerb ausgeschrieben werden. Hinter den Kulissen hat sich bereits ein exklusiver Club von zwanzig Grossfirmen in der Schweiz formiert, die im Stand-by sind, um diesen Auftrag zu ergattern. Sie nennen sich Swiss Sign Group. Ich kann Ihnen sagen: Das wird mit an Sicherheit grenzender Wahrscheinlichkeit ein Monopol werden. Mit dabei sind die Grossbanken, die grossen Versicherungen, die Swisscom, die Post und mehrere grosse Krankenkassen. Wer das hört, dem klingelt es in den Ohren: Was haben denn die für ein Interesse? Natürlich, die wollen ihre Dienstleistungen möglichst sicher und schnell digital abwickeln können. Aber ich meine, hier drin doch schon ein paarmal gehört zu haben, dass Monopole jetzt nicht unbedingt die Wettbewerbsform der Zukunft sein sollen. Bei privaten Monopolen müssten eigentlich jedem strammen Liberalen die Haare zu Berge stehen.
Dann kommt noch eine andere Überlegung hinzu: Damit sich diese grosse Investition für die privaten Firmen lohnt, müssen sie ihre Kunden in Richtung E-ID schubsen. Ich habe gelesen, das Ziel sei, dass die E-ID über diese zwanzig Firmen, wenn sie den Zuschlag bekommen, an 4 Millionen Einwohnerinnen und Einwohner unseres Landes ausgegeben werden soll. Wie kommen diese Firmen an 4 Millionen E-ID? Indem sie ihre eigenen Kunden schubsen. Und schubsen tun sie sie, indem sie andere digitale Kanäle abschalten, zum[NB]Beispiel die Kontoführung, wenn die Kunden nicht über eine E-ID gehen. Die Gefahr ist gross, dass man dann diese E-ID zwingend haben muss, um auf solche Dienstleistungen zugreifen zu können. Das scheint mir der grundfalsche Weg zu sein!
Es wird auch immer gesagt, dass das ja andere Länder auch schon gemacht und dass sie damit gute Erfahrungen gemacht hätten. Ich habe ein Land gefunden, das damit weniger gute Erfahrungen gemacht hat, nämlich Dänemark. Dänemark hat Ende der Nullerjahre genau dieses Modell mit einem privaten Konsortium eingeführt. Das Konsortium hat die Ausschreibung gewonnen, es wurde dann aber 2014 von zwei US-amerikanischen Equity-Firmen aufgekauft - und siehe da: Sämtliche Daten der dänischen Bürgerinnen und Bürger waren plötzlich in der Hand von amerikanischen Hedge-Fonds-Firmen! Natürlich hat das der Staat nicht zugelassen. Da mussten sämtliche Daten migriert werden - wer schon mal eine Riesenmigration gemacht hat, weiss, wie aufwendig das ist -, und dies natürlich auf Staatskosten.
Sie werden dann sehen, ich habe ein bisschen vorausgedacht. Vielleicht wollen Sie ja nicht alle diesen Rückweisungsantrag unterstützen. Deshalb habe ich zu Artikel 10 noch Eventualanträge gestellt. Ich gehe davon aus, dass wir, falls dieses Gesetz durchkommt, in zehn bis zwanzig Jahren eine Verstaatlichung dieses Konsortiums haben werden, weil es nicht mehr machbar ist, dass man so hochsensible Daten an Private gibt: Das ist dann die Zukunftsgeschichte.
Vorerst möchte ich auch noch darauf hinweisen, dass die von unserer Kommission für Rechtsfragen eingefügte unabhängige Überwachungskommission sicher gut ist, das Problem aber nicht grundsätzlich entschärft. Es bleibt weiterhin beim Tatbestand, dass der Bund die Herausgabe von amtlich zertifizierten Ausweisen an Private delegiert. Es genügt einfach nicht, dass der Staat den privaten E-ID-Anbieter überprüft, zertifiziert und kontrolliert. Es handelt sich hier und heute aus meiner Sicht um einen Grundsatzentscheid von staatspolitischer Bedeutung: Wollen wir unsere Daten privaten Firmen geben - also dort, wo es sich um die E-ID handelt -, oder finden wir, das gehöre in die Hände des Staates? Jede Nutzung einer E-ID hinterlässt eine Datenspur. Der private Anbieter weiss, wer sich wann und wie wo einloggt. Es ist meines Wissens auch nicht so, dass der Bürger dann auswählen kann. Es gibt ja nicht eine staatliche Alternative, sondern er muss dann die privat hergestellte E-ID nehmen. [PAGE 271]
Zudem definiert das Gesetz keinerlei technische Mindeststandards für den Datenschutz. Natürlich sagt es, der Datenschutz sei wichtig. Das hat auch der Kommissionspräsident gesagt, es wird auch im Gesetz betont. Aber es braucht in der digitalisierten Gesellschaft entsprechende technische Mindeststandards, und die müssen gesetzt sein. Von denen habe ich nichts gesehen. Also, das heisst doch, nur mit klaren staatsschutzrelevanten Standards kann eine Kommission es auch überwachen. Für die Setzung dieser Standards, dieser technischen Schwellen, genügt das Datenschutzgesetz nicht. Im Klartext: Ich finde, in diesem Gesetz fehlt ein Verbot - ich betone: ein Verbot - der Sammlung und Nutzung von Randdaten.
Noch ein Wort zum Tempo, das der Kommissionspräsident hier angemahnt hat: Ja, ich finde auch, es sollte zügig gehen. Aber ein solch grundlegender Entscheid sollte nicht vom Tempo, sondern von staatspolitischen Überlegungen abhängig sein. Was ich Ihnen ganz sicher sagen kann, ist, dass eine Rückweisung mit dem Auftrag, die Ausstellung einer elektronischen ID als öffentliche Aufgabe festzuschreiben, wesentlich schneller geht als ein Referendum. Das müssten Sie vielleicht auch noch bedenken. Es braucht nur eine einzige grosse Korrektur, die nicht wahnsinnig viel Abklärungen benötigt, nämlich dass die Ausstellung einer E-ID als öffentliche Aufgabe definiert wird. Wie man das umsetzt, danach kann sich der Bund bei den Kantonen Schaffhausen und Zug erkundigen. Es ist damit ja nicht gemeint, dass man keine Technologie einkaufen kann, sondern dass der ganze Prozess in der Hand des Staates und nicht in der Hand von Banken und Krankenkassen ist.
Ich bitte Sie also, dem Rückweisungsantrag zuzustimmen. Ich finde, wir sollten hier keine Experimente mit Privaten machen, die dann allenfalls irgendwann von anderen Firmen aufgekauft werden, sondern wir sollten eine elektronische Identität in der Hand des Staates behalten - genauso wie wir den Pass dort hineingelegt haben.