Die e-ID und die Kryptowährungen der Zentralbanken (3)

Red. – Bei der Volksabstimmung im März 2021 gab es ein klares Nein zu einer elektronischen ID, die durch private Firmen verwaltet wird. Nun decken die beiden Journalistinnen Serena Tinari und Catherine Riva in Zusammenarbeit mit dem niederländischen Journalisten Jannes van Roermund auf, wie «mächtige kommerzielle und staatliche Akteure bestrebt sind, das Covid-19-Zertifikat in einen digitalen Identitätsnachweis (e-ID) umzuwandeln». «Unsere Recherche zeigt, dass diese Verschiebung bereits im Gange ist und einen tiefgreifenden Paradigmenwechsel herbeiführt, welcher eine dringende gesellschaftliche Debatte erfordert.» Das schreiben Tinari und Riva auf ihrer Website Re-Check, wo der Text zusammen mit Belegen nachzulesen ist.

Um die Diskussion anzustossen, veröffentlicht Infosperber die dreiteilige Serie leicht gekürzt. In dieser dritten Folge erfahren Sie mehr über das Aufkommen von digitalen Währungen, die von Zentralbanken ausgegeben werden, und was das mit e-ID und Covid-19-Zertifikaten zu tun haben könnte.

Die digitale Identität (e-ID oder elektronische Identität) ist das Herzstück eines Wandels, der von den Bürgern kaum wahrgenommen wird, obwohl er weltweit im Gange ist: die Einführung von digitalen Währungen, die von Zentralbanken erzeugt und auch als «central bank digital currency» (CBDC) bezeichnet werden. Langfristig sollen die derzeitigen Landeswährungen in digitales Zentralbankengeld umgewandelt werden, um unregulierten Kryptowährungen wie Bitcoin entgegenzuwirken. So hat die Europäische Zentralbank angekündigt, dass sie in fünf Jahren den digitalen Euro einführen will. Die Diskussion um digitales Zentralbankgeld hat auch deshalb an Tempo gewonnen, weil Internet-Riesen wie Google (Alphabet), Apple, Facebook (Meta), Amazon und Microsoft die Lancierung eigener Kryptowährungen forcieren.

Die Vorteile von CBDCs werden als wichtig, praktisch und wünschenswert dargestellt: Kostensenkung, Erleichterung des Zahlungsverkehrs, Bekämpfung von Geldwäsche und Korruption, Übergang zu einer bargeldlosen Wirtschaft und Förderung der finanziellen Eingliederung. Doch das CBDC-System hat auch eine dunkle Seite, die Kontrolle, Massenüberwachung und Entmündigung der Bevölkerung miteinander verbindet. Der bekannte Whistleblower Edward Snowden fasste das Problem wie folgt zusammen: «Die CBDC ist eher eine Perversion der Kryptowährung, oder zumindest der Gründungsprinzipien und Protokolle der Kryptowährung – eine kryptofaschistische Währung, ein böser Zwilling (…), der ausdrücklich dazu bestimmt ist, seinen Nutzern das grundlegende Eigentumsrecht an ihrem Geld zu verweigern und den Staat als vermittelndes Zentrum jeder Transaktion zu installieren.» Sobald CBDCs mit Konten verknüpft seien, die wiederum mit einer e-ID verbunden sind, würden CBDCs alle Transaktionen völlig transparent machen und die Anonymität, die Bargeld garantiert, endgültig aufheben.

Die Tatsache, dass CBDCs programmierbar sind, verleihe den Regierungen eine enorme Macht, sagt Laura Dodsworth, Journalistin und Autorin: «Mit CBDCs könnte die Regierung durch die Sammlung von Echtzeitdaten alles darüber erfahren, wie Sie Ihr Geld ausgeben.» Dieses Szenario ist in China bereits Realität, wo der digitale Yuan derzeit in mehreren Städten getestet wird und die Kontrolle über alle Transaktionen ermöglicht.

Technologische Grenzen

Das Risiko eines «function creep» (Zweckentfremdung oder Funktionsentfremdung) des Covid-19-Zertifikats hängt nicht nur mit der Macht und dem Appetit der Akteure zusammen, die versuchen, e-ID und CBDC in den Industrieländern durchzusetzen. Denn auch wenn die Regierungen ihre eigenen, nicht proprietären (Open Source) Lösungen entwickeln, ziehen sie dieselben technologischen Lösungen in Betracht, insbesondere die Public Key Infrastructure (PKI) und die Self Souvereign Identity (SSI) Link (1)* (2), die beide den Einsatz einer Blockchain voraussetzen. Dies ist in der Schweiz der Fall, wie aus dem Arbeitspapier hervorgeht, das 2021 im Rahmen der Konsultation zum neuen e-ID-Projekt vorgelegt wurde.

Nun gibt es aber viele Unklarheiten, sowohl darüber, was diese Technologien können, als auch über ihre Ausgereiftheit. Wenn Stimmen laut werden, die vor den Risiken warnen, die Covid-19-Zertifikate könnten als Überwachungsinstrument dienen und eine Bedrohung für die Privatsphäre und die persönlichen Freiheiten darstellen, hört man immer wieder die Beschwichtigung: Aufgrund ihrer Natur und ihrer Architektur würden die verwendeten Technologien den Schutz der Privatsphäre, die Sicherheit und die Gewissheit, dass jeder die Kontrolle über seine persönlichen Daten behalten kann, aus sich heraus gewährleisten. Das ist es, was das populäre Konzept der «selbstbestimmten digitalen Identität» (Self-Sovereign Identity) oder SSI. verspricht. «Der Vorteil von SSI: Ähnlich wie die Covid-App bleibt die Hoheit über die eigenen Daten bei den Nutzern», fasste die Aargauer Zeitung im Juli 2021 zusammen. Die Erklärung: «SSI ist dezentral, die Nutzerinnen und Nutzer sind nicht von einem zentralen Identitätsdienstleister abhängig. Sie verwalten ihre digitalen Identitäten selbst. Persönliche Identitätsmerkmale wie Name, Vorname oder Geburtsdatum werden in einer elektronischen Brieftasche (Wallet) auf dem Handy hinterlegt. Der Staat als vertrauenswürdige Stelle bestätigt sie. Das sind ‹Verified Credentials›.»

In Wirklichkeit sind solche Zusicherungen bestenfalls verfrüht und schlimmstenfalls irreführend, da sie eine ganze Reihe von entscheidenden Aspekten ausser Acht lassen. Bisher hat diese Technologie nämlich noch keines der Versprechen eingelöst. «Relativ junger Ansatz, einige Grundsatzfragen sind noch nicht abschliessend geklärt und Standards sind noch nicht komplett», heisst es im «Diskussionspapier zum ‹Zielbid E-ID›» (Download hier) im Kapitel über die SSI. Oder: «Die Verantwortung zur Verwaltung von Verified Credentials wird vollständig dem User übergeben, was Hilfeleistungen durch den Issuer praktisch verunmöglicht.» Und: «Dies kann beim Missbrauchsfall der E-ID oder anderen Nachweisen dazu führen, dass es schwierig wird nachzuweisen, dass man etwas ‹nicht gewesen› ist.»

Entspricht dies wirklich der Vorstellung einer sicheren e-ID, bei der man «Herr seiner eigenen Daten» ist?

Ausserdem kann niemand die Zukunft vorhersagen: Wie in der Recherche zur ID2020 Alliance des Fernsehens SRF festgestellt wurde, kann niemand sagen, welche Techniken Hacker in der Zukunft anwenden werden, auch wenn die neuen Technologien heute unangreifbar erscheinen. Ausserdem haben alle Computersysteme Hintertüren, durch die sich die Geheimdienste der Industrieländer Zugang verschaffen.

Die Blockchain: Dauerhafte Aufzeichnung aller Transaktionen

Auch die Blockchain ist in aller Munde, wenn es um die e-ID geht: Sie soll Dezentralisierung garantieren und inhärent sicher sein. Diese Aussagen lassen ausser Acht, dass die Blockchain eine «Buchhaltungstechnologie» ist. Und als solche erstellt sie permanente Protokolle, wie auf dem Portal Coingape.com erklärt wird: «Die Blockchain ist im Wesentlichen ein offenes und verteiltes Haupt-Protokoll, das Transaktionen dauerhaft und überprüfbar aufzeichnen kann. Die Blockchain ist resistent gegen die Veränderung von Daten, was sie zu einem hervorragenden Kandidaten für den Schutz und die Sicherung von Protokollen macht.»

Aber ist es wirklich das, was wir wollen im Zusammenhang mit einer digitalen Identität? Ein permanentes und nachvollziehbares Transaktionsprotokoll, wo steht, wer was macht, wo und wann?

Elizabeth Renieris ist Technologie- und Menschenrechtsexpertin am Carr Center for Human Rights Policy der Harvard Kennedy School of Government, Praktikerin am Digital Civil Society Lab der Stanford University und Gründungsdirektorin des Notre Dame-IBM Technology Ethics Lab an der University of Notre Dame (Indiana). In einem vor kurzem veröffentlichten Artikel weist sie darauf hin, dass «die Blockchain als dauerhafte und unveränderliche digitale Aufzeichnung gedacht ist» und deswegen, «von Natur aus im Widerspruch zum Grundsatz der Speicherbegrenzung» steht. Elizabeth Renieris verliess ID2020 im Mai 2020, als die Allianz begann, die Blockchain für Covid-19-Zertifikate zu propagieren.

Tatsächlich steht diese vollständige Rückverfolgbarkeit beispielsweise im Konflikt mit dem Datenschutzrecht in der EU. Nach der Europäischen Datenschutzverordnung (DSGVO) müssen personenbezogene Daten gelöscht werden, sobald der Zweck ihrer Erhebung entfällt oder die betroffenen Personen ihre Einwilligung widerrufen. Eine solche Löschung ist in der Blockchain nicht möglich.

Covid-Zertifikat: Wirklich nur eine «vorübergehende Massnahme»?

Im März 2021, kurz nach dem Nein des Schweizer Volkes zum ersten Entwurf des e-ID-Gesetzes, veröffentlichte das Online-Portal Swissinfo.ch einen Beitrag von Ian Richards, einem Wirtschaftswissenschaftler der Vereinten Nationen, der schon in früheren Artikeln die Vorteile des Covid-QR-Codes «trotz aller Kontroversen» hervorgehoben hat. Sein Text mit dem Titel «Impfpässe könnten Schweizer Nein zur e-ID obsolet machen» war ähnlich gelagert und stellte eine Utopie vor, in der mit diesem Gerät alles einfach, bequem und reibungslos sein könnte.

Für ihn bestand kein Zweifel, dass die Schweizer im Sommer 2021 die Vorteile der Covid-19-Zertifikate ausprobieren würden und nicht mehr zurückwollten, im Gegenteil: «Ja, die Impfpässe bleiben umstritten. Die Weltgesundheits-Organisation schreibt: ‹Es gibt immer noch kritische Unbekannte bezüglich der Wirksamkeit der Impfung bei der Reduzierung der Übertragung›, und es sei wenig darüber diskutiert worden, wie diese geregelt werden sollten. Aber wenn es darauf ankommt, zwischen einem weiteren Sommer in teuren Bergferienorten oder frisch gegrilltem Fisch in einer Taverne am Strand zu wählen, werden viele wahrscheinlich für die Badehose stimmen, ihren digitalen Impfpass herunterladen und dann ins Ausland reisen. Ferienreisende in anderen Ländern werden das Gleiche tun. Und bei der Rückkehr in die Heimat werden sich die Regierungen wahrscheinlich beeilen, für Pässe und andere Dokumente das zu unternehmen, was die IATA für Impfzeugnisse gemacht hat und was der Irak, Benin und British Columbia tun. In sechs Monaten wird die Hauptkritik an der e-ID vielleicht nicht sein, dass sie zu weit geht, sondern dass sie nicht weit genug geht.»

Während in der Schweiz die Vernehmlassung zum neuen e-ID-Gesetz gerade abgeschlossen wurde und der Bundesrat hofft, sich an den Zeitplan der EU für die Annahme dieses Systems auf Ende 2022 halten zu können, wäre es wünschenswert, dass die Bürgerinnen und Bürger die Gelegenheit erhalten, die Auswirkungen und die Verbindung zum Covid-19-Zertifikat gründlich zu überdenken. Denn, wie Elizabeth Renieris im April 2021 festellte, müssen die Zertifikate im «breiteren Kontext einer beschleunigten Einführung der digitalen Identität» betrachtet werden, mit dem Risiko, dass die als Reaktion auf die Covid-Krise aufgebaute und eingesetzte Infrastruktur für die digitale Identität zu einer dauerhaften Einrichtung wird. «Um diese Bedenken zu zerstreuen, versprechen einige Regierungen, dass die Lösungen nur vorübergehend sind», stellt sie fest. Die Europäische Kommission erklärte beispielsweise: «Das System der digitalen grünen Zertifikate ist eine vorübergehende Massnahme, die ausgesetzt wird, sobald die Weltgesundheitsorganisation (WHO) den internationalen Gesundheitsnotstand für beendet erklärt.»

Das Covid-19-Zertifikat hat sich jedoch bereits als eine «erweiterbare» Lösung erwiesen. «In der Tat», so die Forscherin, «müssen wir untersuchen, welche Machtverschiebungen und omnipräsente umfassende Identifikation in vielen Lebensbereiche dieses System bewirken wird».

Auch Tommy Cooke vom Surveillance Studies Centre der Queen’s University in Kanada und Benjamin J. Muller, ausserordentlicher Professor am Institut für Politikwissenschaft vom King’s University College der University of Western Ontario, sehen eine «starke Korrelation» zwischen der Entstehung von Impfzertifikaten und -pässen einerseits und digitalen Identitätssystemen andererseits: «Die Art und Weise, wie Regierungen auf der ganzen Welt digitale Identitätssysteme diskutieren und planen, legt nahe, dass Impfzertifikate und -pässe Prototypen für die zukünftigen Iterationen der digitalen Identität sein könnten.»

Viele Fragen sind offen

Doch während die Bevölkerung in der Lage sein sollte, diese Fragen unzensiert zu diskutieren und dabei ehrliche und präzise Erklärungen zu erhalten, muss man feststellen, dass dies in dem derzeit herrschenden toxischen Klima völlig unmöglich ist.

Tommy Cooke und Benjamin J. Muller betonen: «Wer Sie sind, Ihr Gesundheitszustand und Ihre Fähigkeit, an der Weltwirtschaft teilzunehmen, sind Aspekte, die zunehmend von Ihrem Smartphone abhängen. Die Hintergrundprozesse dieser Anwendungen – diejenigen, die für die Erstellung, Überprüfung und Verteilung von Impfbescheinigungen und/oder digitalen Pässen verantwortlich sind – führen zu beispiellosen Unsicherheiten hinsichtlich der Privatsphäre und des Zugangs für die Bürger. Wer baut, wartet und verwaltet diese Netzwerke? Welche Cybersicherheitsstandards werden verwendet? Welche Arten von Daten, Metriken und anderen Analysen mit sekundärem Nutzen werden in diesen Netzwerken verwendet und warum? Ist ihr Code Open-Source und wenn ja, wer ist für die Prüfung verantwortlich, um sicherzustellen, dass sie nicht nur gesetzeskonform, sondern auch ethisch verantwortlich sind? Noch wichtiger sind Fragen zur Zukunft: Was bedeutet es, wenn all dies auf mobilen Technologien beruht, die immer verbunden und immer aktiv sind? Wie werden diese Entwicklungen die Art der Beziehungen zwischen öffentlichen und privaten Einrichtungen verändern? Wie lange werden diese Systeme funktionieren dürfen, und wie gross werden sie sein? Werden die Bürger zum Beispiel andere Formen von Identitäten auf ihren Smartphones behalten können?»

Nur wenn die Bürger die Möglichkeit haben, diese Aspekte zu prüfen und ehrliche Antworten erhalten, haben sie die Grundlage für eine informierte Entscheidung, ob sie eine «reibungslose» Einführung der e-ID begrüssen, oder ob sie in diesem Instrument eine beunruhigende Entwicklung sehen, weil die bisherige Verwendung des QR-Codes beim Covid-Zertifikat einen Vorgeschmack auf das gegeben hat, was sie in noch grösserem Massstab erwarten könnte.

* Die Zahlen in Klammern sind Links zu den Quellenangaben