"Der Staat kann seine hoheitlichen Aufgaben nicht an die Privatwirtschaft delegieren"
André Golliez sieht Daten als öffentliche Infrastruktur, welche die Schweiz nicht Google oder Facebook überlassen sollte. Als Präsident von Opendata.ch kämpft er für offene Daten in der öffentlichen Verwaltung. Und gegen den Gesetzesentwurf zur E-ID lief er mit der Swiss Data Alliance Sturm.
Herr Golliez, wie steht es Ihrer Ansicht nach um das E-Government in der Schweiz?
André Golliez: Ich bin zurückhaltend mit meiner Beurteilung zum E-Government in der Schweiz. Auch möchte ich mir nicht anmassen, eine objektive Gesamtsicht auf das E-Government in der Schweiz zu haben. Mein Eindruck ist aber, und dabei stütze ich mich auf verschiedene Ratings und Publikationen zum Thema, dass E-Government in der Schweiz stagniert. Die Schweiz gehört bei diesem Thema nicht zu den führenden Nationen. Im Vergleich zu anderen europäischen Staaten liegen wir beim E-Government im hinteren Mittelfeld. Offenbar ist der Leidensdruck und damit die Motivation nicht gross genug, dass vorwärtsgemacht wird. Für mich ist ein Schlüssel zum Erfolg von E-Government die elektronische Identität. Und diese fehlt in der Schweiz noch. Im Gegenzug dazu gibt es einige Insellösungen und digitalisierte Verwaltungsprozesse, die funktionieren. Aber von dem, was man sich vor einigen Jahren vom E-Government versprochen hat, sind wir meilenweit entfernt. Ich stelle auch fest, dass es einen Themenshift gibt von E-Government zur Digitalisierung. Der Kanton Zürich macht das vor. Er hat eine Digitalisierungsstrategie, und E-Government ist ein Teil davon. Ich glaube, das ist ein kluger Move. Denn es geht heutzutage nicht in erster Linie um die Elektronisierung der Verwaltung, sondern es geht um das umfassendere Phänomen der Digitalisierung. Das ist ein eigentlicher Paradigmenwechsel.
Sie sagen, es gebe in der Schweiz keine elektronische Identität und ich füge an: «die der Staat herausgibt». Sie halten also nicht viel von der Swiss-ID, die Swisssign herausgibt?
Ich habe nichts gegen Swisssign und auch nichts gegen die Geschäftstätigkeit dieses Joint Ventures von Post und SBB einzuwenden. Was Swisssign macht, ist aus unternehmerischer Sicht durchaus nachvollziehbar und auch vernünftig. Es geht Swisssign ja darum, dass eine digitale Identität über Unternehmensgrenzen hinweg von der gesamten Wirtschaft verwendet werden kann. Das erhöht die Convenience und soll es auch neuen Playern ermöglichen, ein Teil dieses Ökosystems zu werden. Das ist die umfassendere Thematik. Darin aber geht es um die Frage: Was ist mit den Nachweis der digitalen Identität im staatlichen Bereich? Wer erbringt diesen Nachweis? Braucht es eventuell zwei parallel laufende Systeme? Eines für die kommerzielle Nutzung von digitalen Identitäten und ein System, das vom Staat betrieben wird? Es gibt Länder, wie etwa die Niederlande, wo das so gehandhabt wird. Dort wird nun darüber nachgedacht, die beiden Systeme zusammenzuführen. Bei uns gibt es das Problem, dass der staatliche elektronische Identitätsnachweis als hoheitliche Aufgabe des Staates von diesem gewährleistet werden muss. Zudem muss auch ein System geschaffen werden, das für die User attraktiv ist und die verschiedenen digitalen Identitäten auf eine sinnvolle Art und Weise integriert. Und in diesem Prozess sind wir jetzt. Die Gesetzesvorlage zur E-ID hat diese beiden Punkte in einem gewissen Masse berücksichtigt, aber nicht ganz zu Ende gedacht.
Was fehlt denn?
Es fehlt die Definition, in welcher Form der Staat mit der Privatwirtschaft bei der E-ID zusammenarbeiten soll. Kurz zusammengefasst beinhaltet das Gesetzesmodell ja die Delegation der Aufgaben an die Privatwirtschaft. Auf der einen Seite steht der Staat, der die Datenhoheit hat und den Nachweis der Identität aufgrund von Daten aus staatlichen Registern erbringt. Auf der anderen Seite stehen Unternehmen, die vom Staat zertifiziert werden, und dann anstelle des Staates die staatliche Identität herausgeben. Genau dagegen haben wir uns gewehrt. Denn das ist eine Delegation der hoheitlichen Aufgaben des Staates an die Privatwirtschaft. Der Staat kann aber seine hoheitlichen Aufgaben nicht an die Privatwirtschaft delegieren. Analog zum Pass oder zur Identitätskarte will ich, dass der Staat mir meine Identität direkt bestätigt und dass diese Bestätigung den Stempel «staatlich» trägt. Das ist ein Grundanspruch der Bürger, und so etwas kann man nicht an eine Bank, an die Post oder die Migros abgeben.
Wo sehen Sie denn das Problem? Haben Sie Angst vor Missbrauch?
Es ist ein grundsätzliches Prinzip und eine Vertrauensfrage. Ich muss als Bürger die Möglichkeit haben, meinen staatlichen Identifikationsnachweis direkt vom Staat zu beziehen.
Sie möchten also die Wahl haben?
Ja. Es muss möglich sein, dass ich meinen elektronischen Identitätsnachweis beim Passamt oder bei der Einwohnerkontrolle bekomme, wenn ich diese nicht von einer Bank oder von einem Retailer beziehen will. Zudem ist das Passbüro oder die Einwohnerkontrolle dazu verpflichtet, mir eine elektronische Identität auszuhändigen, während ein privater Identitätsanbieter frei ist, ob er mir eine E-ID ausstellen will oder nicht.
Was stört Sie sonst noch am Entwurf zum E-ID-Gesetz?
Im Gesetzesentwurf ist auch nicht geregelt, wie die verschiedenen staatlich zertifizierten Identity-Provider in Zukunft zusammenarbeiten sollen. Im schlechtesten Fall führt das dazu, dass verschiedene ID-Systeme miteinander konkurrieren, die zwar vom Staat zertifiziert sind, aber trotzdem benötigen die Nutzer für die verschiedenen Anbieter wieder unterschiedliche Zugangsdaten oder gar Dongles, Lesegeräte, Smartcards etc. Aber die will niemand. Wir arbeiten darauf hin, dass die verschiedenen Identitätsanbieter miteinander kooperieren, was dazu führen soll, dass die digitale Identität einen hohen Anspruch an Convenience erfüllt. Nur dann wird sich die digitale Identität auch durchsetzen. Ich plädiere für eine digitale Identität, die es mir ermöglicht, mich an möglichst vielen Stellen im Behördenverkehr und in der Wirtschaft zu identifizieren. Im Kern steckt aber die staatliche Bestätigung. Die Frage ist, wie das gemacht werden soll. Die digitale Identität muss ja verknüpft sein mit meinen persönlichen Daten aus den Personenregistern. Aber wer stellt diese Verknüpfung zu welchem Zeitpunkt her? Und wer gibt die digitale Identität heraus? Es ist klar, dass diese Aufgaben in erster Linie dem Staat zukommen. Er muss auch Identity-Provider sein. Das schliesst nicht aus, dass in zweiter Linie auch Versicherungen, Banken, Retailer etc. damit betraut werden können. Wir wollen keine Delegation der Aufgaben mit Überwachungsstelle, sondern eine Kooperation zwischen Staat und Privatwirtschaft und privaten Unternehmen untereinander. In welcher Form das geschehen soll, müssen wir noch diskutieren.
Wie soll das technisch aussehen?
Die technisch-betriebliche Integration der verschiedenen Identitätsanbieter und auch der Nutzer ist ein weiteres sehr wichtiges Element. Es braucht dazu einen vertrauenswürdigen Identity-Broker. Der Staat muss mindestens dabei mitreden können, wie dieser positioniert wird, wie er funktionieren soll und wie er gesteuert wird. Und er muss gewährleisten, dass alles, was mit meiner staatlichen Identität passiert, auch vertrauenswürdig ist und keine Spielregeln verletzt. Wer diese Rolle genau übernimmt, ist herauszufinden. Doch dafür braucht es einen Konsens. Und man kann auch nicht warten, bis das Gesetz endlich da ist. Das dauert ja noch fünf Jahre. Und 2023 kommt dann ja EIDAS in der EU, und wenn wir bis dann noch keine elektronische Identität haben, sind wir komplett abgehängt.
Sie sind ja nicht allein mit Ihrer Kritik am Gesetzesentwurf ...
Ja, wir haben auch viel Zustimmung bekommen für unsere Haltung, dass der staatliche Identitätsnachweis in der Hand des Staates bleiben muss. Die Stiftung Konsumentenschutz, verschiedene Parteien und auch der Wirtschaftsverband Swico sind auf unserer Linie. ICT-Switzerland hat nach heftigen Diskussionen auf eine Stellungnahme verzichtet, und Asut ist unserer Position bezüglich der Hoheitlichkeit des staatlichen Identitätsnachweises mindestens teilweise entgegengekommen. Der Staat muss einerseits dafür sorgen, dass die Personenregisterdaten so zugänglich gemacht werden, dass sie vor unbefugtem Zugriff geschützt sind, aber so, dass man sie als Basisidentifikationsservice brauchen kann.
Sie sind ja auch Präsident von Opendata.ch und kämpfen dafür, dass vom Staat erhobene Daten der Bevölkerung und der Wirtschaft in einer einfach zugänglichen Form zur Verfügung gestellt werden. Warum eigentlich?
Es gibt einen grundsätzlichen Anspruch der Bevölkerung an den vom Staat erhobenen Daten. Schliesslich haben die Steuerzahler auch für die Datenerhebung bezahlt. Und es ist auch kostengünstig, eine Kopie solcher Daten zur Verfügung zu stellen. Darüber hinaus gibt es einen Anspruch der Bürger, Institutionen oder Unternehmen auf eine Datengrundversorgung. Es gibt eine ganze Reihe von Daten, die eine Art öffentliche Infrastruktur der modernen Informationsgesellschaft bilden, vergleichbar mit der Infrastruktur etwa des Strom- oder Wassernetzes. Daten sind Enabler von Innovation und neuen Dienstleistungen und sollen auch neue Wege der Wertschöpfung erschliessen. Und diese Infrastruktur sollte so einfach wie möglich zugänglich sein. Das ist das Kernanliegen von Open Data.
Wie schwer tun sich die öffentlichen Verwaltungen noch, ihre Daten zugänglich zu machen?
In den vergangenen sieben Jahren haben wir einiges erreicht. Die Verwaltungen haben sich in dieser Hinsicht verbessert. Es gibt auch verschiedene Portale für Open Data, auf Bundes- oder auch auf Kantons- und Gemeindeebene. Es dauert natürlich immer noch alles zu lange aus unserer Sicht und man könnte auch mehr machen. Aber der Prozess ist im Gang und darauf bin ich auch recht stolz.
Wo gibt es Widerstand?
Widerstand gegen Open Data sehen wir vor allem verwaltungsintern, auch auf Ebene der Verwaltungsmitarbeiter. Denn es ist für Beamte ein Paradigmenwechsel, Daten herauszugeben, die sie früher nie herausgeben mussten. Wenige Probleme gibt es, abgesehen von den Gebühren, mit Geodaten. Es war etwa schon immer die Aufgabe des Bundesamtes für Landestopografie, Landeskarten anzufertigen und damit die erhobenen Daten der Bevölkerung zur Verfügung zu stellen. Ähnliches gilt für das Bundesamt für Statistik. Auch das Bundesamt für Umwelt ist völlig «open data minded» und es gibt weitere. Für andere Verwaltungseinheiten gehörte das nicht zum Mindset und sie fürchten einen Kompetenzverlust. Zudem schafft ein Einblick in die Behördendaten natürlich auch eine gewisse Transparenz in die Tätigkeit eines Amtes, was je nach Amtsführung vielleicht unerwünscht ist. Mit der Open-Government-Data-Strategie des Bundes, die natürlich niemand kennt, ist ausser der Publikation von Daten auch ein Kulturwandel in der Verwaltung verbunden.
Und wie sieht es mit Widerständen von aussen aus?
Ja, diese gibt es auch. Da hören wir manchmal die Frage: Wer braucht das überhaupt? Für uns ist das natürlich unverständlich und es zeigt, dass in weiten Teilen der Wirtschaft das Potenzial von Open Data noch nicht erkannt wurde. Aber es geht voran. Die Wirtschaft muss sich bewusst werden, was die Bedeutung von Daten als Infrastruktur ist und dann wird sie erkennen, welche Daten sie vom Staat braucht.
Es gibt Unternehmen, die machen nichts anderes als Daten zu sammeln und zur Verfügung zu stellen, Google etwa. Ist der Zug, eine eigene solche Dateninfrastruktur aufzubauen, nicht schon abgefahren?
Nein, wieso? Die Daten haben wir ja. Die Schweiz muss sich die Frage stellen: Welche Dateninfrastruktur wollen wir als Land selbst betreiben und unterhalten und nutzbar machen. Das muss diskutiert werden. Wir sind ja eine Demokratie. Und wenn wir zum Schluss kommen, dass wir alles Google geben wollen, dann wäre ich zwar dagegen, aber dann ist es halt so. Ich bin der Überzeugung, dass wir eine Daten-Grundinfrastruktur brauchen, die wir selbst in der Hand haben, die wir selbst aufbauen, unterhalten, schützen, zugänglich machen. Und dazu braucht es Spielregeln, die vertrauenswürdig sind und vertrauensbildend wirken. Dazu gehört auch offener Source-Code. Das alles haben wir bei Google und Facebook nicht.
In Ihrer Funktion als Präsident der Swiss Data Alliance wollen Sie die persönlichen Daten den Nutzern zurückgeben. Gehören die Daten, die Unternehmen von ihren Kunden speichern, überhaupt den Kunden?
Daten sind kein Sachgut, weshalb der Eigentumsbegriff aus rechtlicher Sicht schwierig ist. Dieser Ansicht sind auch Rechtsgelehrte, mit denen ich verkehre. Es geht insofern nicht um Eigentum, sondern um Zugang und Kontrolle. Daten etwa, die bei einer Bank über mich anfallen, beziehen sich auf mich. Denken Sie etwa an den Kontoauszug oder Daten zum Zahlungsverkehr. Folgende Fragen stellen sich für uns bei der Swiss Data Alliance: Wer darf was mit meinen Daten machen? Wer hat Zugang zu meinen Daten? Sind meine Daten korrekt und vollständig? Liegen meine Daten in einem verständlichen Format vor? Wohin gehen meine Daten? Was passiert mit meinen Daten? Lassen sich meine Daten löschen und korrigieren? Das ist nicht geregelt. Oder noch nicht geregelt. Das neue EU-Datenschutzgesetz GDPR (General Data Protection Regulation, Anm. d. Red.) schreibt diese Punkte vor. Das wird auch die Datenschutzgesetzgebung in der Schweiz massgeblich beeinflussen und einen Paradigmenwechsel beim Datenschutz herbeiführen. Der Kerngedanke ist: Ich als Individuum soll in Zukunft aktiv an der Weiterverwendung meiner Daten partizipieren.
Ist der Nutzer überhaupt mündig genug, die Verantwortung über seine Daten selbst zu übernehmen und diese selbst zu managen?
Das wird sich natürlich nicht schnell in diese Richtung entwickeln und nicht jeder soll oder will zum Datenmanager werden. Aber die Möglichkeit, selbst darüber zu bestimmen, was mit meinen Daten geschieht, eröffnet auch wieder neue Möglichkeiten für Dienstleistungsangebote, die Datenintermediäre etc. erbringen könnten. Es ist einfach eine Tatsache, dass Daten ein Asset sind. Aber sie sind asynchron verteilt. Das ist der Hauptgrund, warum der sogenannte Datenportabilitätsartikel in die GDPR aufgenommen wurde. Aber klar: Das ist ein Prozess und auch Gegenstand der Datenpolitik. Ich stelle mir vor, dass die Nutzer durch kluge Apps und Lösungen beim Management ihrer eigenen Daten unterstützt werden und sich so auch das Bewusstsein und Verständnis für das Thema bildet.
Wie lange wird es dauern, bis wir in der Schweiz auf ein gutes Niveau bei der Dateninfrastruktur, wie Sie sie postulieren, kommen?
Vorausgesetzt wir stellen jetzt die Weichen richtig: fünf bis siebe Jahre. Ich bin aber zuversichtlich, dass wir das hinbekommen. Denn es gibt eigentlich keine Alternative.