An der E-ID scheiden sich in der Schweiz die Geister. National- und Ständerat haben das neue Bundesgesetz über elektronische Identifizierungsdienste beide grundsätzlich abgesegnet. Doch in Detailfragen sind sich die beiden Kammern uneinig und Gegner drohen bereits mit dem Referendum.
Estland denkt den Datenschutz anders. Für die Esten ist zentral zu wissen, ob und wer auf ihre Daten zugegriffen hat. Sie gewichten Transparenz und Nachvollziehbarkeit höher als den eigentlichen Schutz der Daten. Andreas Lobsiger ist der höchste Schweizer Datenschützer und weiss, warum das so in der Schweiz nicht funktionieren würde.
SRF News: Stehen Ihnen die Haare zu Berge, wenn Sie an das Beispiel Estland denken?
Adrian Lobsiger: Estland und die Schweiz haben zwei ganz unterschiedliche Staatsmodelle. Bevor man die digitalen Applikationen vergleicht, muss man auch diese Unterschiede sehen. Wir haben ein föderalistisches Staatsgebilde und eine sektorale Machtteilung der Verwaltungen. Das heisst, jede Behörde bearbeitet die Daten, die sie zum Vollzug des Auftrages benötigt.
Estland ist ein Zentralstaat. Das Land hat auch nicht diese föderalistische Gliederung und diese Machtbegrenzungen, welche bei uns bewusst ins System eingebaut sind und von den Bürgern erwartet werden.
Am Dienstag wurde im Nationalrat über die digitale Identität gesprochen. Wie viel Estland steckt in diesem Schritt?
Die Technologie ist natürlich auf der ganzen Welt die gleiche und dort haben wir sowohl in Estland wie auch in der Schweiz die gleichen Risiken. Unterschiede gibt es dann, wenn diese befürchteten Ereignisse tatsächlich eintreten.
In Estland hat dann unter Umständen ein Eindringling Zugang auf die Steuer-, Gesundheits- und Strafregisterdaten. In der Schweiz ist dann, je nachdem welche Zugänge erschlossen sind, das Klumpenrisiko nicht dasselbe wie in Estland.
Die Tatsache, dass in der Schweiz bei dieser Idee auch private Anbieter involviert sind, ist umstritten. Sie gelangen an sehr sensible Daten. Und dennoch finden Sie das richtig. Warum?
Die gesetzlich vorgeschlagene Lösung sieht sogenannte Identity Provider vor, die zwar private Unternehmen sein können, aber sie müssen staatlich zugelassen sein. Es ist also auch nicht eine reine privatwirtschaftliche Mitwirkung, sondern es sind staatlich zugelassene Firmen.
Der Staat soll nicht Dinge machen, für die er nicht spezialisiert ist, das wäre viel zu teuer.
Und warum nicht der Staat selber?
Das ist eine politische Entscheidung. Wenn man genau hinschaut und die Informationen zur E-ID in Estland liest, wird auch dort auf private Dienstleister verwiesen. Es ist eine Illusion zu glauben, dass Informatiksysteme vom Staat selber gebaut werden können. Sie werden natürlich von privaten Anbietern mitgebaut. Der Staat soll auch nicht Dinge machen, für die er nicht spezialisiert ist, das wäre viel zu teuer.
Aber es ist natürlich immer die Frage, wie man das nach aussen repräsentiert. Es gibt Lösungen, mit einer staatliche Gesamtverantwortung – vielleicht haben wir jetzt diese. Wo eben auch transparent gemacht wird, dass eine privatwirtschaftliche Mitwirkung dabei ist.
Aber hätten Sie als Datenschützer nicht mehr Ruhe, wenn Sie wüssten, die Verantwortung liegt alleine beim Staat?
Meine Aufgabe ist es nicht, das beste oder richtige System zu propagieren. Meine Aufgabe ist es, das von der Politik vorgeschlagene System dahingehend zu überprüfen, ob es datenschutzkonform realisiert werden kann. Und das ist beim jetzigen Vorschlag der Fall.
Das Gespräch führte Simone Hulliger.