Volksabstimmungen für Politik nicht mehr bindend

Bereits vor vier Jahren stimmten die Schweizer über die E-ID-Gesetzesvorlage ab. Diese scheiterte dann krachend! 64,4 Prozent waren gegen eine elektronische Identität. Anstatt den Volkswillen zu akzeptieren, wagt die Schweizer Landesregierung nun einen zweiten Anlauf. Es ist nicht der erste Fall, in dem der Bundesrat Volksentscheide nicht umsetzt. Erinnert sei an die Masseneinwanderungsinitiative, die 2014 mit 50,3 Prozent vom Volk angenommen wurde. Die Initiative verlangte, dass die Schweiz die Zuwanderung wieder eigenständig durch Höchstzahlen und Kontingente steuern soll. 2016 beschloss das Parlament eine Umsetzung, die eine Vorzugsbehandlung für inländische Stellensuchende in bestimmten Berufsgruppen vorsah, ohne dabei Kontingente einzuführen. Die Forderungen der Initiative wurden also nicht umgesetzt.

Das Gleiche geschieht nun mit dem E-ID-Gesetz. 2021 wurde über eine elektronische Identität abgestimmt, die private Unternehmen herausgeben sollten. Jetzt versucht der Bundesrat, die E-ID auf staatlichem Wege durchzusetzen. Dreisterweise behauptet der Bund, dass das E-ID-Gesetz deswegen abgelehnt wurde, weil die Bevölkerung nicht wollte, dass die E-ID von privaten Unternehmen herausgegeben wird.

Wer die VOX-Analyse dieser Volksabstimmung anschaut, erkennt, dass dies nicht der Wahrheit entspricht. Seit 1977 untersucht die VOX-Analyse das Stimmverhalten der Schweizer Bevölkerung nach Volksabstimmungen, um die Gründe für die jeweiligen Entscheidungen zu ermitteln. Die Analyse ergab bei der E-ID-Gesetz-Abstimmung, dass bei den Motiven des Nein-Lagers zwei Aspekte im Vordergrund standen: der Datenschutz und die Rolle des Staates. An dritter Stelle kam die Skepsis gegenüber der Rolle der privaten Herausgeber der E-ID nur vereinzelt zum Ausdruck. Es ging also generell um Datenschutz-Bedenken — nicht um die Frage, ob private Unternehmen oder der Staat die E-ID herausgeben.

Die Masseneinwanderungsinitiative und das E-ID-Gesetz zeigen, dass sich Schweizer Politiker nur dann nach dem Volkswillen richten, wenn es der eigenen Agenda entspricht.

Von wegen „Freiwilligkeit“

Der Bundesrat beteuert, dass die E-ID „freiwillig“ sein wird — derselbe Bundesrat, der zu Beginn der Corona-Impfkampagne im Frühjahr 2021 behauptete, dass das Covid-Zertifikat freiwillig sein werde. Anschließend wurde in der Schweiz flächendeckend die 3G-Regel eingeführt und im Winter nach dem zweiten Referendum gegen das Covid-Gesetz die 2G-Regel umgesetzt.

Skepsis ist allerdings nicht nur aufgrund der Erfahrungen aus der Coronazeit angebracht. Das geplante E-ID-Gesetz enthält eine Bestimmung, wonach die elektronische Identität überall dort akzeptiert werden muss, wo derzeit ein herkömmlicher Ausweis verlangt wird. Das heißt, dass man sich als Bürger an diesen Stellen weiterhin mit dem physischen Ausweis identifizieren kann. Dieser Schutz ist aber alles andere als ausreichend. Denn er bezieht sich nur auf jene Stellen, wo bereits heute ein herkömmlicher Ausweis gezeigt werden muss. Das betrifft jedoch nicht zukünftige Anwendungsorte der E-ID. Zudem sieht Art. 31 des E-ID-Gesetzes problematische Gebührenbestimmungen vor: Kantone dürfen zusätzliche Gebühren verlangen, wenn Menschen statt mit der E-ID Dienstleistungen vor Ort beanspruchen möchten. Sprich: Derjenige wird finanziell diskriminiert, der keine E-ID vorweisen möchte.

Parallel zur Verabschiedung des E-ID-Gesetzes stimmte der Schweizer Ständerat einer Motion zu, wonach das Unterschreiben von Initiativen oder Referenden künftig nur noch mit der E-ID möglich sein soll. Soll heißen:

Der Schweizer Staatsbürger wird gezwungen, eine elektronische Identität zu verwenden, um seine demokratischen Rechte wahrnehmen zu können.

Mangelhafter Datenschutz

Ein weiterer Kritikpunkt der vom Bundesrat vorgesehenen E-ID ist der Datenschutz. Für die Ausstellung dieser E-ID wird der sogenannte Liveness-Check verwendet. Dieses Verfahren überprüft, ob die sich identifizierende Person tatsächlich eine anwesende, lebende Person ist und es sich nicht um eine Nachahmung oder einen Betrugsversuch handelt. Der Liveness-Check geht zwar über einen einfachen Gesichtsabgleich mit einem niedrig aufgelösten Bild aus dem Schweizer Bundesamt für Polizei (fedpol) hinaus, das für E-ID und Pass verwendet wird. Allerdings sind dank der künstlichen Intelligenz Deep-Fake-Aufnahmen mittlerweile weit verbreitet. Bei der Ausstellung der E-ID ist das Gesicht das ausschlaggebende Kriterium, was äußerst problematisch ist.

In Zeiten von Social Media, in denen jeder Mensch Fotos von sich postet, sind von fast jedem Menschen Aufnahmen im Internet zu finden. Diese Bilder können für Deep Fakes oder sogar für professionelle Masken missbraucht werden. Mit einem derart unsicheren Ausstellungsverfahren wird das Erschleichen einer E-ID zum Kinderspiel. Dem Identitätsdiebstahl wird Tür und Tor geöffnet.

Dem Bund ist durchaus bewusst, dass das von ihm ausgewählte Ausstellungsverfahren unsicher ist. Dies zeigt sich im Gesetz selbst: Die Daten aus dem Ausstellungsprozess sollen 20 Jahre lang gespeichert werden, und die biometrischen Daten werden erst fünf Jahre nach Ablauf der E-ID gelöscht, siehe Artikel 27. Die lange Speicherdauer erklärt sich dadurch, dass mögliche Identitätserschleichungen aufgeklärt werden können. Der Bund gibt damit zu, dass jemand jahrelang eine E-ID unter falscher Identität nutzen könnte.

Im Übrigen warnt auch das Weltwirtschaftsforum (WEF) vor Identitätsdiebstahl durch Deep-Fake-Aufnahmen:

“Mit der zunehmenden Verfügbarkeit hochentwickelter KI-Werkzeuge für Betrüger verschärft sich das Problem dramatisch. Die KI-gesteuerte Deep-Fake-Technologie ermöglicht Kriminellen, das Erscheinungsbild von Personen täuschend echt nachzuahmen. Dadurch können sie Verifizierungssysteme umgehen und sich Zugang zu sensiblen Ressourcen verschaffen.“

Der Datenschutz ist nicht nur bei der Ausstellung der elektronischen Identität gefährdet. Jedes Mal, wenn man seine E-ID vorzeigt, werden die entsprechenden Daten auf Servern gespeichert. Viele Firmen verfügen jedoch nicht über Cybersicherheitssysteme, die diese Server ausreichend schützen. Dies macht sowohl die Unternehmen als auch die sensiblen Daten der Bürger zu einem attraktiven Angriffsziel für Cyberkriminelle. Das E-ID-Gesetz fordert jedoch keine zusätzlichen Sicherheitsstandards, um die Inhaber der E-ID vor solchen Cyberattacken zu schützen.

Transparenz? Fehlanzeige!

Wird die elektronische Identität wenigstens transparent sein? Mitnichten! Damit der Bund garantieren kann, dass die E-ID die Privatsphäre tatsächlich schützt, muss die Quelloffenheit der Software gewährleistet sein. Dies ist aber im E-ID-Gesetz nicht vorgesehen. Das Gesetz erlaubt, den Quellcode aus Gründen des Drittrechtsschutzes oder der Sicherheit geheim zu halten, siehe Artikel 12. Die E-ID-Software basiert somit nicht auf Open-Source-Prinzipien.

Der Bund verfolgt stattdessen das Konzept Security by Obscurity , das versucht, die Sicherheit eines Systems durch die Geheimhaltung seiner Funktionsweise zu gewährleisten. Das National Institute for Standards and Technology rät davon ausdrücklich ab. Somit ignoriert der Schweizer Staat den aktuellen Stand der Forschung zur IT-Sicherheit.

Überwachung und Kontrolle

Neben der vermeintlichen Freiwilligkeit, dem unzureichenden Datenschutz und der fehlenden Transparenz ist das Missbrauchspotenzial durch Überwachung ein weiterer zentraler Kritikpunkt.

Mit der E-ID wird dem Staat die Möglichkeit zur Hand gegeben, seine Bürger auf Schritt und Tritt zu tracken.

Im Gegensatz zur E-ID hinterlassen physische Ausweise kaum digitale Spuren. Sie werden im Alltag nur selten verlangt und die Daten werden meist nicht gespeichert. Bei der E-ID ist das komplett anders. Wann immer man den elektronischen Digitalnachweis vorweist, werden personenbezogene Daten gespeichert.

Die Schweiz wäre nicht das erste Land mit einer E-ID. In einigen Ländern wird die Infrastruktur des elektronischen Digitalnachweises bereits zur Überwachung und Kontrolle der Bevölkerung genutzt. Als prominentes Beispiel wäre China mit seinem Social-Credit-System zu nennen. Auch in Österreich und Italien werden solche Sozialkreditsysteme bereits getestet. Die E-ID könnte dem Staat ein Überwachungsinstrument in die Hand geben, das die Kontrollmöglichkeiten totalitärer Systeme des vergangenen Jahrhunderts bei Weitem übertrifft. Die E-ID stellt daher eine erhebliche Gefahr für die Grundrechte der Schweizer Bürger dar. Hierbei sei auf die Botschaft des Bundesrats zum E-ID-Gesetz verwiesen, wo es unter Inhalt der Vorlage heißt:

“Die zum Zweck der E-ID geschaffene staatliche Vertrauensinfrastruktur soll auch von den kantonalen und kommunalen Behörden und von Privaten genutzt werden können, die elektronische Nachweise ausstellen möchten. So sollen amtliche Dokumente wie Wohnsitzbestätigungen oder Betreibungsregisterauszüge, aber auch Diplome, Tickets oder Mitgliederausweise mit der geplanten staatlichen Vertrauensinfrastruktur ebenfalls als digitale Nachweise herausgegeben und in der vom Bund zur Verfügung gestellten oder einer anderen von ihm gewählten Applikation sicher verwaltet werden können.“

Bedeutet das, dass künftig auch Impfausweise und -zertifikate über die E-ID herausgegeben werden? In der Botschaft wird unter dem Abschnitt Beantragte Regelung im Kapitel „Grundzüge der Vorlage“ zudem ausgeführt:

“Das BIT (Bundesamt für Informatik und Telekommunikation) stellt (…) eine (…) staatliche elektronische Brieftasche (…) zur Verfügung. (…) Darin können die E-ID sowie andere elektronische Nachweise verwaltet werden.“

Ist diese „staatliche Brieftasche“ ein trojanisches Pferd für alle möglichen Nachweise — sei es das Impfzertifikat oder das CBDC-Konto? Fest steht: Mit der E-ID erhält der Staat weitreichende Möglichkeiten, seine Bürger zu überwachen, zu kontrollieren und zu steuern.

Wie staatlich ist die E-ID wirklich?

Die E-ID wird mit einer proprietären Software betrieben. Anders als bei Open-Source-Software kontrolliert der Anbieter hierbei streng, wie die Software genutzt und weitergegeben werden darf.

Das fedpol ist bei der Umsetzung der E-ID auf die Zusammenarbeit mit einer privaten Firma angewiesen. Das fedpol selbst ist dabei lediglich für die Speicherung und Verwaltung der Daten zuständig. So wurde im Februar 2024 eine Ausschreibung zur Online-Verifikation der Antragsteller im E-ID-Ausstellungsprozess veröffentlicht. Der Auftrag wurde dann an ELCA Informatique SA vergeben, ein Unternehmen mit Sitz in Pully im Kanton Waadt. Obwohl die Schweizer die erste E-ID-Gesetzesvorlage mit privaten Firmen als Aussteller ablehnten, ist auch die neue staatliche E-ID weiterhin auf diese angewiesen.

Der geplante elektronische Identitätsnachweis wird darüber hinaus zunächst nur auf den Betriebssystemen von Apple und Google laufen. Dies hat selbst Rolf Rauschenbach, E-ID-Informationsbeauftragter des Bundes, auf einer Veranstaltung der Datenschutzorganisation „Digitale Gesellschaft“ eingeräumt. Auf die Frage, ob die Bundeswallet-App, in der die E-ID gespeichert wird, auch außerhalb des Google Play Store oder Apple App Store verfügbar sein werde, antwortete er:

“Am Anfang nicht, nein. Und zwar hängt das eben damit zusammen, dass wir dieses Holderbinding sicherstellen wollen, also eben sicher sein wollen, dass eine E-ID eben in einem Bundeswallet ausgestellt wird und nicht in einer anderen Wallet. Und beim Vorweisen, dass wieder kryptografisch nachgewiesen werden kann, dass die E-ID, die vorgewiesen wurde, tatsächlich in einer Bundeswallet ausgestellt worden ist. Und dazu müssen wir auf gewisse Infrastrukturen auch der Gerätehersteller und der App-Store-Anbieter zurückgreifen. Das geht anders leider nicht.“

Mit anderen Worten: Um eine E-ID zu bekommen, ist man als Schweizer Staatsbürger vollständig den Big-Tech-Konzernen ausgeliefert. Dies zeigt, wie „staatlich“ die E-ID tatsächlich ist.

---

Dieser Text erschien zuerst unter dem Titel „Der ignorierte Volkswille“ bei StrauMedia

---