Der Staat kann IT

Der Staat kann IT nicht.

Im Frühjahr 2021 hatte der Bundesrat noch viele Minderwertigkeits­komplexe in Sachen Digitalisierung. Die damalige Justiz­ministerin Karin Keller-Sutter erklärte bei jeder Gelegenheit, dass die Bundes­verwaltung unfähig sei, einen staatlichen digitalen Ausweis für ihre Bürger heraus­zugeben.

Die Herausgabe einer elektronischen ID, einer E-ID, sollte deshalb an zertifizierte private Unternehmen ausgelagert werden. Nach langem Hin und Her entstand ein kompliziertes Gesetz mit mehr als 30 Artikeln. Ein No-Go für die Zivil­gesellschaft, die erfolgreich das Referendum ergriff.

So kam es im März 2021 zur Volks­abstimmung – und das vom Bundesrat vorgeschlagene privatisierte E-ID-Modell fuhr eine deutliche Niederlage ein. Insgesamt 64 Prozent der Stimm­berechtigten lehnten die Vorlage ab. Das Argument der staatlichen IT-Unfähigkeit wollte eine Mehrheit der Stimm­bevölkerung nicht gelten lassen. Das Verdikt lautete vielmehr: Der Staat muss IT können. Schweizer Bürgerinnen wollen eine digitale Identitäts­karte, die vom Staat ausgestellt wird – analog zum Pass.

Die Gewinner der Abstimmung ruhten sich nicht auf dem Sieg aus, sondern wirkten am zweiten Anlauf für eine E-ID mit. So arbeitete die Digitale Gesellschaft – federführend beim Referendum – gemeinsam mit National­rätinnen sechs gleich­lautende Motionen aus. Die Digital­politiker Min Li Marti (SP), Jörg Mäder (GLP), Gerhard Andrey (Grüne), Franz Grüter (SVP), Simon Stadler (Mitte) sowie die FDP-Fraktion reichten am Mittwoch nach dem Abstimmungs­sonntag den Vorstoss «Vertrauenswürdige staatliche E-ID» ein. Die politische Stoss­richtung für den zweiten Anlauf war damit klar: Die neue E-ID muss vom Staat heraus­gegeben werden und maximalen Daten­schutz für den Bürger bieten.

Das Eidgenössische Justiz- und Polizei­departement (EJPD) startete daraufhin einen zweiten Anlauf zur E-ID und präsentierte nach drei Jahren das neue Modell: Die Bürgerinnen sollen ab 2026 über eine digitale Brieftasche verfügen, mit der sie sich im Internet ausweisen oder Dokumente unterschreiben können. Das Fedpol soll den Lead bei der Ausstellung und Prüfung der staatlichen Identität haben, das Bundesamt für Informatik und Tele­kommunikation die IT-Infrastruktur betreiben.

Wer den Prozess mitverfolgt hat, stellte fest: Der Bund machte bei der E-ID 2.0 einiges richtig. Im Folgenden listen wir die wichtigsten Erfolgs­faktoren auf – und erklären, wieso diese zwingend auch für weitere Digital­projekte des Bundes angewendet werden sollten.

1. Partizipation der Zivilgesellschaft

Das katastrophale Abstimmungs­ergebnis von März 2021 war ein Beleg dafür, wie sehr sich Bundes­behörden und bürgerliche Politiker irrten. Sie setzten auf ein Modell, das auf die grösstmögliche Akzeptanz bei Schweizer Unternehmen und nicht auf die Bedürfnisse der Bürgerinnen ausgerichtet war.

Das Abstimmungs­resultat gab aber auch Aufschluss über die Fehler im Gesetzgebungs­prozess. So hatten die Befürworter die Bedenken zum Datenschutz nicht ernst genommen und Warn­hinweise der Zivil­gesellschaft ignoriert. Die Republik zeichnete in einer Recherche nach, wie die Behörden auch die Vorschläge der Wissenschaft übergingen und wie das Justiz­departement hinter verschlossenen Türen mit dem Unternehmen Swiss Sign den Gesetzes­text verhandelte.

Ein fataler Fehler, den man nicht wiederholen wollte. Das Justiz­departement – zuerst unter Karin Keller-Sutter (FDP), dann unter Elisabeth Baume-Schneider (SP) und schliesslich unter Beat Jans (SP) – änderte den Prozess für die zweite E-ID von Grund auf. So haben seit Anfang 2022 fast 20 Partizipations­meetings stattgefunden, bei denen interessierte Bürgerinnen, Fach­personen oder Wissenschaftler virtuell oder auch teilweise vor Ort teilnehmen konnten.

Jede Person mit Internet­anschluss hatte die Möglichkeit, Kritik­punkte und Vorschläge anzubringen. Die Teilnehmerinnen diskutierten dabei die Grundsatz­fragen, die man bei der E-ID-1.0-Debatte nicht stellte: etwa wofür genau eine staatliche E-ID nötig ist, was die konkreten «Use Cases» im Alltag eines Schweizer Einwohners sind und weshalb ein staatlicher digitaler Ausweis nicht dasselbe ist wie bekannte Login-Lösungen (Swiss ID oder eine Google-ID).

Der vom EJPD vorgegebene partizipative Rahmen ermöglichte ein Novum: ein offenes Brainstorming von Gesellschaft, Wissenschaft und Wirtschaft zur Gestaltung einer staatlichen E-ID-Technologie.

Dazu kam: Für die breite Abstützung der E-ID 2.0 führte das EJPD nicht nur ein klassisches Vernehmlassungs­verfahren zum Gesetz durch, sondern bot auch zwei Konsultations­verfahren zur Wahl der Technik an: In Letzterem haben die Teilnehmenden die Technologie­entscheidung (also ob die digitale Brieftasche eine App sein wird und welche Kryptografie verwendet wird) mit allen Vor- und Nachteilen verhandelt. Ein smarter Move, denn nur so gewinnen Bevölkerung und Fach-Community das notwendige Vertrauen, um eine staatliche E-ID-Lösung überhaupt zu beantragen.

2. Transparenz und Fehlerkultur

Die E-ID-Projekt­leitung des Bundes hat die technische Dokumentation sowie den Code zu einer potenziell künftigen E-ID-Architektur offengelegt, und zwar auf der Entwickler­plattform Github. Die verschiedenen Rollen des neuen Modells können damit in einem geschützten Raum ausprobiert werden. Also die Bürgerin, die eine E-ID bestellt; der Staat, der diese ausstellt, und die Unternehmen oder Institutionen, die die Daten abfragen werden.

Der Föderalismus dient hierbei nicht als Bremse, sondern als Labor. So testen die Kantone Appenzell Ausser­rhoden und Thurgau in Pilot­projekten (ein E-Lernfahr­ausweis und ein digitaler Kultur­ausweis) gerade eine solche digitale Brieftasche. Nicht zuletzt ist später ein Hacker­programm zur Suche nach Sicherheits­lücken (und mit Entschädigung) vorgesehen, wie dies bereits beim E-Voting-System der Post der Fall war.

Die Verantwortlichen setzen also auf maximale Transparenz und testen zu jedem Zeitpunkt die technische Machbarkeit. Auch wischen sie dieses Mal Datenschutz­bedenken nicht mehr einfach so vom Tisch.

Nach der Vernehmlassung zur zweiten E-ID-Vorlage im Jahr 2022 gab es von der Digitalen Gesellschaft und der Piraten­partei zwei grosse Kritik­punkte: erstens die Über­identifikation, also dass Firmen bei jeder Gelegenheit Daten verlangen, die sie gar nicht benötigen. Und zweitens die Beantragung einer staatlichen E-ID im missbrauchs­anfälligen Video­verfahren. Der deutsche Chaos Computer Club und der Security-Forscher Martin Tschirsich haben vor bald zwei Jahren gezeigt, wie Video-Identifikations­verfahren überlistet werden können und damit auch Identitäts­diebstahl möglich ist.

Das EJPD sowie später auch die zuständige Kommission im Nationalrat haben sich mit den Bedenken auseinander­gesetzt – und das Gesetz verbessert: Nun werden Firmen, die zu viele Daten von einer Konsumentin verlangen, sozusagen geoutet. Unklar ist zum jetzigen Zeitpunkt, wie dieses «Outing» genau aussehen soll und wer das in letzter Instanz beurteilen wird. Möglich wäre ein Label (mit der Farbe Rot), das gleich neben dem Unternehmens­namen in einer App angezeigt wird. Die Firma wird damit symbolisch als «datengierig» gebrandmarkt. Der potenzielle Reputations­schaden soll eine abschreckende Wirkung entfalten.

Ausserdem soll jede Bürgerin die Möglichkeit haben, ihre staatliche digitale Identität offline in einem Passbüro vor Ort zu beantragen. Damit fallen auch die Risiken der Video­verfahren beim Fedpol weg.

3. Potenzial zur EU-Kompatibilität

Bei der ersten E-ID-Vorlage hatten die Befürworterinnen behauptet, es gäbe europaweit eine Vielzahl an privaten E-ID-Modellen. Doch dem war nicht so, wie eine Analyse der Republik zeigte. Die meisten EU-Staaten kannten mehrheitlich staatliche E-ID-Lösungen. Wäre das privatisierte und zentralisierte Modell vor drei Jahren an der Urne durch­gekommen, so wäre die Schweizer Lösung kaum anschlussfähig an die EU gewesen. Zumal bereits im Jahr 2021 bekannt war, dass die EU mit der E-IDAS-Verordnung eine neue dezentrale IT-Architektur für digitale Identitäten anstrebt.

Dieses Problem hat die Schweiz nun nicht mehr. Denn das E-ID-Modell der Schweiz und der EU ist weitgehend dasselbe, sodass die Schweizer E-ID theoretisch auch bei europäischen Unternehmen und Behörden eingesetzt werden könnte.

Die vollständige Inter­operabilität mit der EU ist dieses Mal sogar nicht ganz unproblematisch. Denn sie würde je nachdem sogar Abstriche beim Datenschutz bedeuten, wie das von der E-ID-Projekt­leitung veröffentliche Diskussions­papier zeigt. Das in der Schweiz derzeit diskutierte Modell fordert strengere Vorgaben. Unternehmen sollten zum Beispiel keine Transaktionen von einzelnen Bürgerinnen anhand von kryptografischen Signaturen miteinander verknüpfen und damit einer Person zuordnen können. Die E-ID-Projekt­leitung könnte dieses Dilemma technisch gesehen allenfalls mit einer Komponente (Gateway) zwischen den Systemen (Schweiz und EU) lösen.

Zusammengefasst: Die Bundes­behörden haben sich dieses Mal bemüht, kein eigenes Süppchen zu kochen, und arbeiten an einem Kompromiss zwischen EU-Kompatibilität und strengem Datenschutz.

4. Datensparsame Technologie­gestaltung

Es ist fast schon ein politisches Mantra in Bundes­bern, dass Gesetze zur Digitalisierung «technologie­neutral» ausfallen sollen. Das bedeutet: Nicht die Technologien sollen in ein Gesetz geschrieben werden. Sondern deren Auswirkungen müssen mittels Regeln und Verboten reguliert werden. Deswegen existiert bis heute beispielsweise kein spezifisches Schweizer Blockchain-Gesetz.

Dennoch kann der Gesetzgeber Vorgaben zu den Design­prinzipien von Technologie machen. Und hier gibt es nun einen entscheidenden Unterschied zur ersten Vorlage. Die Technologie­gestaltung liess damals zu viel Raum für kommerzielle Daten­sammlungen offen. Das heisst: Das alte E-ID-Gesetz hätte ganze Geschäfts­modelle rund um Login­daten erlaubt. Zentralisierte Daten­banken von beauftragten E-ID-Unternehmen wie Swiss Sign wären die Folge gewesen.

Dies ist anders bei der E-ID 2.0, bei der die technologischen Design­prinzipien dank der parlamentarischen Vorstösse genau vorgegeben worden sind: Die Hoheit über die Daten liegt in erster Linie bei den Nutzerinnen. Man spricht auch vom Konzept der self-sovereign identity, also der selbst­bestimmten Verwaltung der eigenen Identität. Der Aussteller der E-ID ist der Staat. Und die Unternehmen sollen nur diejenigen Daten von Konsumentinnen verlangen, die sie wirklich benötigen.

So braucht eine Video­plattform wie Youtube das genaue Geburts­datum eines Users nicht zu kennen. Sondern dieser muss nur beweisen können, dass er über 18 Jahre alt ist. Verlangt die Video­plattform dennoch das genaue Geburts­datum und weitere Informationen, so könnte sie das oben erwähnte abschreckende Shaming-Label erhalten.

Fazit: Fast alles richtig gemacht

Nicht alle Fragen rund um die E-ID 2.0 sind heute beantwortet. Offen ist etwa, welche Technologie genau zum Einsatz kommt. Doch jetzt schon gibt es von links bis rechts nur Lob für die neue Vorlage. Ein Referendum scheint eher unwahrscheinlich zu sein.

Und natürlich lässt sich am neuen E-ID-Modell der Schweiz und der EU grundsätzliche Kritik anbringen. Denn die Unternehmen gelangen je nachdem in den Besitz von staatlich verifizierten Daten. Sollten deren Daten­banken wegen schlechter IT-Sicherheit gehackt werden, stehen im schlimmsten Fall sensible und kompromittierende Informationen von Konsumentinnen im Darknet zum Verkauf. Nicht zuletzt wegen solcher Risiken soll die digitale Brieftasche freiwillig sein und nicht verpflichtend.

Die Reaktionen der Bundes­behörden auf die Kritik waren meist souverän – mit einer Ausnahme: Die Ausschreibungs­unterlagen für die Anbieterin des Online-Videoverfahrens sind nicht öffentlich auf der Beschaffungs­plattform Simap.ch verfügbar. Aus Sicherheits­gründen, sagt das Fedpol. Für Medien­schaffende seien die Unterlagen erst nach einem allfälligen Zuschlag öffentlich, erklärt die Beschaffungs­behörde, das Bundesamt für Bauten und Logistik, auf Anfrage der Republik.

Dies sorgt für kritische Reaktionen bei Medien und Bundes­politikern, wie die parlamentarische Frage von SVP-Nationalrat Lukas Reimann zeigt. Im Fachjargon der IT nennt man solche pauschalen Verweise auf die Sicherheit oder Geschäfts­geheimnisse «security through obscurity», was bei einem wichtigen Bestandteil des E-ID-Prozesses – nämlich der Beantragung online beim Fedpol – ein schlechtes Zeichen ist.

Dennoch lässt sich als allgemeines Fazit festhalten: Beim zweiten Anlauf haben die Verantwortlichen nach Massstäben gehandelt, die State of the Art für alle IT-Projekte sein sollten. Das Justiz­departement arbeitete mit der Fach-Community wie bei moderner Software­entwicklung iterativ, also mit mehreren Feedback-Schlaufen. Und verbesserte damit sukzessive das Ergebnis.

Und wie macht es der Bund anderswo?

Bleibt die Frage: Wie sieht es bei anderen Digital­gesetzen aus? Erfüllen sie die oben geschilderten Benchmarks?

Eine Auswahl von drei aktuellen IT-Projekten und -Regelwerken zeigt ein gemischtes Bild.

Beim Thema KI-Regulierung ist es zwar noch zu früh für ein Urteil. Der Prozess sieht schon mal vielversprechend aus: Das Bundesamt für Kommunikation (Bakom) und das EJPD arbeiten eine Auslege­ordnung für die Regulierung von künstlicher Intelligenz aus, die im Herbst 2024 vorliegen soll. Hierbei kann sich jede interessierte Person einbringen bei der Bundes­plattform Tripartite, einem offenen Forum für Diskussionen zur Digital­politik. Die erste Sitzung fand am 15. April statt, die zweite ist im Juni geplant. Das Bakom bestätigt auf Anfrage: Das Interesse am Forum ist beachtlich.

Ob dieses Forum wie bei der E-ID 2.0 institutionalisiert in den Gesetzgebungs­prozess eingebunden wird, lässt sich noch nicht sagen. Natürlich ist eine KI-Regulierung nicht 1:1 vergleichbar mit einer staatlichen digitalen Dienst­leistung wie bei der E-ID. Denn bei einem allfälligen KI-Gesetz geht es darum, Regeln für die Wirtschaft und den öffentlichen Sektor im Umgang mit künstlicher Intelligenz zu entwickeln. Doch bei einem derart wichtigen Thema für Wirtschaft und Gesellschaft ist ein inklusiver Prozess umso relevanter. Nur mit einem breit abgestützten Gesetz kann ein Referendum vermieden werden. Auch wird interessant, wo sich die Schweiz im Spannungs­feld zwischen dem Schweizer Ansatz (kein umfassendes KI-Gesetz, sektorale Gesetzes­anpassungen) und der EU (ein horizontales KI-Gesetz mit Ausnahmen für die Sicherheits­behörden) positionieren wird.

Die EU schreibt zudem Eingriffe in die Technik vor, wie etwa die Prüfung von Trainings­datensätzen bei den grossen Sprach­modellen. Etwas, das in der unternehmens­freundlichen Schweiz kaum denkbar wäre. Die Organisationen Algorithmwatch Schweiz, Digitale Gesellschaft und auch CH++ haben sich schon früh für verbindliche Regularien bei den Anwendungen von KI-Systemen positioniert. Ihre Bedenken zu ignorieren, würde nur den Fehler der E-ID-Befürworter wiederholen.

Eher fragwürdig läuft der aktuelle Prozess bei der Plattform­regulierung. Hier tüftelt die Schweiz an einem Äquivalent zum neuen «Digital Services Act» der EU. Es ist eine Art «Durchsetzungs­gesetz» für das Zivil- und Strafrecht der europäischen Staaten. Demnach müssen die grossen Big-Tech-Konzerne Beschwerdewege für Nutzerinnen einrichten, ihre Algorithmen erklärbar machen und ihre Plattformen moderieren. Beispielsweise haben sie bei gewalt­verherrlichenden Postings einzugreifen. Nur so können Straftat­bestände wie Verleumdung und Betrug auf Social Media durch die Strafverfolgung geahndet werden.

Auch die Schweiz will dieses digital­politische EU-Gesetz autonom nachvollziehen. Zuerst fanden Anhörungen in der Staats­politischen Kommission des Nationalrats statt, bei denen Organisationen wie Algorithmwatch Schweiz, aber auch Unternehmen wie Google Schweiz ihre Meinungen darlegen konnten. Doch seither arbeitet das Bakom unter der Feder­führung des SVP-Bundesrats Albert Rösti hinter verschlossenen Türen an einer Vorlage. Das Bundesamt hatte ursprünglich einen Entwurf für Frühling 2024 angekündigt, verschob diesen Termin aber gemäss Recherchen von «Le Temps» auf Herbst 2024.

Dies geschah, obwohl es sich hier um Themen wie Hassrede und Falsch­informationen handelt, bei denen man zwingend auf Impulse der Zivil­gesellschaft und der Wissenschaft angewiesen ist. Und bei denen dringend Lösungen nötig sind, wie die Hass-Postings auf Instagram des jugendlichen Attentäters in Zürich zeigten.

Hoffnungslos scheint der Fall beim elektronischen Patienten­dossier zu sein. Das Mammut­projekt wird wohl auch wegen vieler digitaler Altlasten der Nuller­jahre nicht zum Fliegen kommen. Das Patienten­dossier stammt aus einer Ära mit weniger Fokus auf die Autonomie von Patientinnen – und aus einer Ära, in der sich die digitale Zivilgesellschaft der Schweiz noch in den Kinder­schuhen befand.

Auch hat das zuständige Bundesamt für Gesundheit den Technologie­entwicklungs­prozess weder transparent noch partizipativ geführt: Die Vergabe für die Technologie­anbieter durch die Stamm­gemeinschaften erfolgte unter Ausschluss der Öffentlichkeit. Die Post als wichtigste Technologie­lieferantin muss bis heute keinen Code präsentieren. Die Zertifizierungen durch die KPMG werden auch auf Medien­anfrage nicht rausgegeben. Und das Patienten­dossier wurde an den Bedürfnissen der Ärztinnen und Spitäler vorbei entwickelt, weswegen bis heute von medizinischer Seite viel Widerstand kommt. Nicht umsonst redet man heute auch von einem «PDF-Friedhof», weil die Daten der Patientinnen weder strukturiert noch maschinenlesbar sind (und damit auch nicht anonymisiert für die Forschung zur Verfügung stehen).

Beim Patienten­dossier wäre vielleicht dasselbe nötig wie nach der Abstimmungs­niederlage bei der E-ID: den Reset-Button drücken, auf Feld eins zurück­gehen – und das Projekt entlang der vier aufgeführten Grundsätze neu starten.