Die staatliche Aufsicht \u00fcber die elektronischen Identifizierungsdienste (E-ID) wirkt beim Blick in das Gesetz, das am 7. M\u00e4rz zur Abstimmung gelangt, nicht gerade schlagkr\u00e4ftig. Doch der Eindruck t\u00e4uscht, denn zusammen mit den Befugnissen des eidgen\u00f6ssichen Datenschutzbeauftragten (ED\u00d6B) k\u00f6nnte ein ansehnliches Arsenal an Aufsichtsmassnahmen bei Datenschutzmissbr\u00e4uchen im Zusammenhang mit elektronischen Identit\u00e4ten zur Anwendung kommen.\u00a0<\/p>\n
Die Debatte im Abstimmungskampf um das Bundesgesetz \u00fcber die elektronischen Identifizierungsdienste (E-BGEID) tobt intensiv. Der gr\u00f6sste Stein des Anstosses der Gegner: Es ist der Staat selbst, der die E-ID herausgeben sollte; eine derart wichtige Aufgabe solle nicht in die Hand privater Anbieter gelegt werden. Ein Gegenargument der Bef\u00fcrworter: Staatliche IT-Projekte haben sich in der Vergangenheit nicht den besten Ruf eingeholt; es ist besser, wenn der Staat Rahmenbedingungen setzt und f\u00fcr die technische Umsetzung auf das Know-how der Privatwirtschaft setzt. Zudem w\u00e4re so oder so zu erwarten, dass der Staat Serverleistung einkaufen w\u00fcrde und somit auch eine \u201ceigene\u201d staatliche E-ID mithilfe privater Dienstleister herausgeben w\u00fcrde.\u00a0
Hinter dem Disput \u201cStaat vs. nicht Staat\u201d liegt die Frage, welche Rolle der Staat in Ausstellung und Betrieb einer digitalen Identit\u00e4t zukommen sollte \u2013 welche Rolle n\u00f6tig ist, um die Ziele des Gesetzes zu erreichen, n\u00e4mlich u.a. die sichere Identifizierung im elektronischen Gesch\u00e4ftsverkehr unter Privaten und mit Beh\u00f6rden und der Schutz der Pers\u00f6nlichkeit und der Grundrechte von Personen, \u00fcber die Daten bearbeitet werden (Art. 1 Abs. 2 lit. a und b E-BGEID). Die Position \u201cpro staatliche E-ID\u201d, die das Gesetz ablehnt, geht dabei von folgender Annahme aus: \u201cstaatliche E-ID\u201d = gut kontrolliert und sicher, \u201cprivate E-ID\u201d = viel Missbrauchspotential.<\/p>\n
Im Folgenden soll untersucht werden, wie das staatliche \u201cInvolvement\u201d in die E-ID gem\u00e4ss E-BGEID ausgestaltet ist und welche Aufsichtsmechanismen vorgesehen sind. Ob diese gen\u00fcgend ausfallen oder nicht, darf dann jede Stimmb\u00fcrgerin und jeder Stimmb\u00fcrger selbst entscheiden.\u00a0<\/p>\n
Zentrale Aufsichtsbeh\u00f6rde gem\u00e4ss E-BGEID ist die Eidgen\u00f6ssische E-ID-Kommission (EIDCOM). Sie ist es, die Identity Providers (IdPs), die basierend auf dem E-BGEID Identit\u00e4ten ausstellen wollen, anerkennt (Art. 13 E-BGEID). Die EIDCOM wird aus f\u00fcnf bis sieben unabh\u00e4ngigen Sachverst\u00e4ndigen zusammengestellt und ist weisungsunabh\u00e4ngig von der Zentralverwaltung (Art. 25 E-BGEID). Ihre Rolle ist es, die Einhaltung des Gesetzes zu \u00fcberwachen und Entscheide zu treffen, bzw. Verf\u00fcgungen zu erlassen, die f\u00fcr den Vollzug notwendig sind.\u00a0Bevor die Befugnisse der EIDCOM etwas genauer unter die Lupe genommen werden, ist zuerst die Liste aller weiteren gem\u00e4ss Gesetzesentwurf involvierten Bundesbeh\u00f6rden zu erstellen:\u00a0<\/p>\n
Das Bundesamt f\u00fcr Polizei (fedpol) hat u.a. folgende Aufgaben:\u00a0<\/p>\n
Der Bundesrat ist der Superstar des E-BGEID: Er ist diejenige Beh\u00f6rde, die mittels Verordnung viele ausf\u00fchrende Bestimmungen zum Gesetz erl\u00e4sst. Wenn ich richtig gez\u00e4hlt habe, enth\u00e4lt das E-BGEID dreizehn (13) Delegationsbestimmungen in 35 Artikeln, zu allen m\u00f6glichen Themen, u.a. genauere Vorschriften zum Ausstellungsprozess, n\u00e4here Vorschriften zu den Voraussetzungen f\u00fcr die Anerkennung von IdPs oder zur Ausgestaltung von E-ID-Systemen und Meldepflichten der IdPs. Betrachtet man die lange Liste an Delegationsbefugnissen, so ist tats\u00e4chlich zu bedauern, dass der Verordnungsentwurf noch nicht ersichtlich ist.\u00a0<\/p>\n
Zus\u00e4tzlich zu seiner Verordnungskompetenz w\u00e4hlt der Bundesrat die Mitglieder der EIDCOM sowie die Direktion des EIDCOM-Sekretariats (Art. 25 und 28 E-BGEID). Er genehmigt das Organisationsreglement der EIDCOM (Art. 25 Abs. 6 E-BGEID) und kann bei Marktversagen entscheiden, ein eigenes E-ID-System zu betreiben oder sich an einem IdP beteiligen (Art. 10 Abs. 1 E-BGEID).\u00a0<\/p>\n
Ziel der Aufsicht ist es, die Einhaltung der anwendbaren rechtlichen Vorschriften, hier also des E-BGEID, zu \u00fcberwachen und durchzusetzen. Wie gut und schlagkr\u00e4ftig diese Aufsicht effektiv ist, bemisst sich an den Instrumenten, das der Beh\u00f6rde im konkreten Fall zur Verf\u00fcgung steht. Zu denken ist an Auskunfts- und Inspektionsrechte, Widerruf von Bewilligungen, Bussen, etc.; die Liste theoretisch m\u00f6glicher Aufsichtsinstrumente ist lang. Nur gilt f\u00fcr alles staatliche Handeln das Legalit\u00e4tsprinzip, d.h. gerade bei Sanktionen ist zu verlangen, dass eine m\u00f6glichst solide Verankerung in einem vom Parlament erlassenen Gesetz erfolgt (auch wenn hier gewisse Ausnahmen m\u00f6glich sind).\u00a0<\/p>\n
Nun zu den eigentlichen Aufsichtsmassnahmen, denn hier wird es interessant. Der Entwurf sieht vor, dass die EIDCOM insbesondere f\u00fcr die Anerkennung von IdP und den Entzug der Anerkennung zust\u00e4ndig ist sowie f\u00fcr die \u201cAnordnung von Massnahmen\u201d (Art. 26 Abs. 2 lit. a i.V.m. Art. 19 E-BGEID). Ferner kann sie im Streitfall \u00fcber Fragen des Zugangs zur E-ID und zur Interoperabilit\u00e4t entscheiden (Art. 26 Abs. 2 lit. c E-BGEID). Einigermassen explizit wird das Gesetz mit einer Art Massnahmen-Generalklausel in Art. 19, wo die EIDCOM bef\u00e4higt wird, Massnahmen anzuordnen \u201czur Wiederherstellung des rechtm\u00e4ssigen Zustandes\u201d, wenn ein IdP Gesetz, Ausf\u00fchrungsbestimmungen oder von der EIDCOM auferlegte Pflichten missachtet. Der Entzug der Anerkennung ist dabei die einzige explizit im Gesetz ausformulierte Sanktion, was aus gesetzgeberischer Sicht durchaus etwas heikel erscheint. Der EIDCOM werden weder der Erlass von Bussen noch spezifische Untersuchungs-, Inspektions- oder Auditbefugnisse einger\u00e4umt; das Sekretariat der Kommission erh\u00e4lt aber die Befugnis, selbst\u00e4ndig Verf\u00fcgungen zu erlassen und in den Betrieb eines IdP einzugreifen, \u201csofern die Verh\u00e4ltnisse es erfordern\u201d (Art. 27 Abs. 3 und 4 E-BGEID).\u00a0<\/p>\n
Was die im E-BGEID fehlenden Untersuchungsbefugnisse anbelangt, so d\u00fcrfte das Verwaltungsverfahrensgesetz (Bundesgesetz \u00fcber das Verwaltungsverfahren VwVG, SR 172.021) zumindest teilweise in die Bresche springen: Es ist anwendbar auf Verfahren in Verwaltungssachen, die durch Verf\u00fcgungen eidgen\u00f6ssischer Kommissionen zu erledigen sind (Art. 1 Abs. 1 und 2 lit. d VwVG). Es sieht vor, dass die Beh\u00f6rde den Sachverhalt von Amtes wegen abkl\u00e4ren kann und dazu verschiedene Beweismittel, darunter immerhin Dokumente (\u201cUrkunden\u201d) und den \u201cAugenschein\u201d, beiziehen kann (Art. 12 VwVG). Die Mitwirkungspflicht von IdPs d\u00fcrfte vorliegend im Rahmen des VwVG aber beschr\u00e4nkt ausfallen. \u00a0
Daneben werden der EIDCOM vor allem beratende und informelle Instrumente in die Hand gelegt (Art. 26 E-BGEID).\u00a0<\/p>\n
Was allerdings in der Praxis bedeutsam werden k\u00f6nnte \u2013 und in diesem langen Text bisher g\u00e4nzlich ignoriert wurde \u2013 ist die Rolle des Eidgen\u00f6ssischen Datenschutz- und \u00d6ffentlichkeitsbeauftragten (ED\u00d6B). Auch der Entwurf des E-ID-Gesetzes gibt sich dazu eher wortkarg; namentlich bei der Anerkennung von IdPs sieht es vor, dass der ED\u00d6B vorg\u00e4ngig anzuh\u00f6ren ist (Art. 13 Abs. 1 E-BGEID). Da die Bestimmungen des Bundesgesetzes \u00fcber den Datenschutz (DSG) auch auf den Betrieb der E-ID-Systeme anwendbar sein werden, sind f\u00fcr die Frage nach der Aufsicht auch die Kompetenzen des ED\u00d6B einzuberechnen.\u00a0<\/p>\n
Gem\u00e4ss dem neuen DSG, das voraussichtlich 2022 in Kraft treten d\u00fcrfte, wird der ED\u00d6B von Amtes wegen oder auf Anzeige hin Untersuchungen durchf\u00fchren k\u00f6nnen, bei denen auch diejenigen Massnahmen angeordnet werden k\u00f6nnen, die im E-BGEID fehlen: Zugang zu allen relevanten Unterlagen und Personendaten, zu R\u00e4umlichkeiten und Anlagen, Zeugeneinvernahmen, Begutachtungen durch Sachverst\u00e4ndige (Art. 49-50 DSG neu). Er kann Verwaltungsmassnahmen (Art. 51 DSG neu) und einschneidende Bussen anordnen (Art. 60-64 DSG neu). Das DSG sieht im Gegensatz zum E-BGEID auch eine Koordinationsbestimmung vor, wonach auch Aufsichtsbeh\u00f6rden des Bundesrechts den ED\u00d6B zur Stellungnahme einladen, bevor sie in datenschutzrechtlichen Angelegenheiten eine Verf\u00fcgung erlassen. Wenn sowohl gem\u00e4ss E-BGEID und DSG Verfahren laufen, sind beide zu koordinieren (Art. 53 DSG neu).<\/p>\n
Aus gesetzgeberischer Sicht ist zu bedauern, dass nicht pr\u00e4zisere Verhaltenspflichten und Sanktionen bereits auf Gesetzesstufe im E-BGEID verankert werden, denn die weitgehende Delegation auf Verordnungsebene bringt gewisse Abstriche in der demokratischen Abst\u00fctzung und in der Rechtssicherheit mit sich. Dies liegt gerade hinsichtlich der Befugnisse der EIDCOM wohl am Gesetzgebungsprozess, bei dem das Parlament in den Beratungen die EIDCOM nachtr\u00e4glich eingef\u00fcgt hat \u2013 eine Erg\u00e4nzung, die wiederum hinsichtlich der staatlichen Aufsicht und Kontrolle klar zu begr\u00fcssen ist. Umso wichtiger wird es sein, dass die Verordnung(en) des Bundesrats pr\u00e4zise verfasst werden und dass im Aus\u00fcben der Aufsichtsinstrumente die Verh\u00e4ltnism\u00e4ssigkeit hochgehalten wird.\u00a0<\/p>\n
Der Umweg \u00fcber das Datenschutzgesetz zeigt, dass die allgemeine Aufsicht bei Annahme des Gesetzes eingehender ausfallen d\u00fcrfte, als dies das E-BGEID selbst vermuten l\u00e4sst. Sofern es sich also um allgemeine Datenschutzverst\u00f6sse bei IdPs handelt (und nicht um spezifische Pflichten aus dem E-BGEID), sind ab Inkrafttreten des neuen DSG schlagkr\u00e4ftige staatliche Aufsichtsinstrumente vorhanden, um diese zu ahnden.\u00a0<\/p>","protected":false},"excerpt":{"rendered":"
Die staatliche Aufsicht \u00fcber die elektronischen Identifizierungsdienste (E-ID) wirkt beim Blick in das Gesetz, das am 7. M\u00e4rz zur Abstimmung gelangt, nicht gerade schlagkr\u00e4ftig. Doch der Eindruck t\u00e4uscht, denn zusammen [\u2026]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21],"tags":[73,74,54,75,76],"class_list":["post-226","post","type-post","status-publish","format-standard","hentry","category-datenschutz","tag-aufsicht","tag-bgeid","tag-datenschutz","tag-e-id","tag-elektronische-identitat"],"_links":{"self":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/226","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/comments?post=226"}],"version-history":[{"count":1,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/226\/revisions"}],"predecessor-version":[{"id":348461,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/226\/revisions\/348461"}],"wp:attachment":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media?parent=226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/categories?post=226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/tags?post=226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}