Die Schweizer Politik verspricht, die neue E-ID sei sicher, dezentral und ausschließlich auf dem Gerät gespeichert. Doch diese Versprechen blenden einen entscheidenden Punkt aus: Die technische Infrastruktur. Fast alle Smartphones laufen auf Apple iOS oder Google Android, fast alle Computer auf Microsoft Windows. Damit sind die sensibelsten Daten – Identität, Zahlungen, Gesundheitsinformationen – automatisch US-Gesetzen unterworfen.
Denn die USA haben Gesetze erlassen, die eindeutig vorschreiben: US-Firmen müssen Daten herausgeben, egal wo auf der Welt sie gespeichert sind.
Der CLOUD Act (2018)
Originaltext (US-Justizministerium):
“The CLOUD Act clarified that U.S. law requires that providers subject to U.S. jurisdiction disclose data that is responsive to valid U.S. legal process, regardless of where the company stores the data.”
Quelle: justice.gov
Übersetzung:
„Der CLOUD Act stellte klar, dass US-Gesetz Anbieter, die der US-Jurisdiktion unterliegen, verpflichtet, Daten herauszugeben, die auf eine gültige US-Rechtsanfrage passen – unabhängig davon, wo das Unternehmen die Daten speichert.“
US-Kongressbericht zum CLOUD Act
Originaltext (Congressional Research Service):
“The CLOUD Act amended the Stored Communications Act (SCA) to make clear that service providers must disclose data in their possession, custody, or control, even if the data is stored abroad.”
Quelle: congress.gov
Übersetzung:
„Der CLOUD Act änderte den Stored Communications Act (SCA), um klarzustellen, dass Dienstanbieter Daten, die sich in ihrem Besitz, ihrer Obhut oder unter ihrer Kontrolle befinden, offenlegen müssen – selbst wenn die Daten im Ausland gespeichert sind.“
Amazon Web Services (AWS) zur Anwendung des CLOUD Act
Originaltext (AWS Compliance Statement):
“The CLOUD Act updated the Stored Communications Act (SCA) … to require that providers subject to U.S. jurisdiction disclose data … even if that data is stored outside of the U.S.”
Übersetzung:
„Der CLOUD Act aktualisierte den Stored Communications Act (SCA) … und verpflichtet Anbieter, die der US-Jurisdiktion unterliegen, Daten offenzulegen – auch wenn diese Daten außerhalb der USA gespeichert sind.“
Verbindung zur E-ID und Smartphones
Damit wird klar:
- E-ID-Daten mögen technisch „auf dem Gerät“ gespeichert sein – das Gerät selbst läuft aber auf Betriebssystemen von Apple oder Google.
- Updates, App-Verteilung, Push-Dienste, Schnittstellen zu Cloud-Diensten → alles wird über US-Plattformen kontrolliert.
- Microsoft Windows auf PCs fällt ebenso unter den CLOUD Act.
Das bedeutet: Egal ob in Zürich, Berlin oder Singapur – sobald deine E-ID oder digitale Identität auf einem Gerät von Apple, Google oder Microsoft läuft, können US-Behörden über diese Gesetze an deine Daten gelangen.
Jetzt gibt Befürworter, die sagen, ja, aber das macht Big-Tech jetzt schon. Das ist richtig, aber jetzt wird es staatlich bestätigt.
Zusammenfassung in einer Tabelle: Aktuelles Tracking vs. E-ID-Tracking
| Aspekt | Aktuell (ohne E-ID) | Mit E-ID | Mehr Präzision? |
|---|---|---|---|
| Datenqualität | Grob (IP, Cookies, Annahmen) | Verifiziert (staatlich bestätigte ID) | Ja – exakte Zuordnung zu Person |
| Jugendschutz-Beispiel | Ungenaue Checks (Kreditkarte, Fake-Daten) | Präzise Tokens („über 18“ + Meta) | Ja – detailliertere Logs |
| Profilbau | Pseudonyme Profile, fehleranfällig | Granulare Verhaltensprofile | Ja – für Werbung/Social Scoring |
| Rechtliche Risiken | CLOUD Act auf Metadaten | Erweiterte Anwendung auf verifizierte Daten | Ja – höheres Missbrauchsrisiko |
| Nutzerfreiheit | Anonymität möglich (VPN etc.) | Faktische Pflicht für Dienste | Nein – mehr Druck |
Fazit: Ja, Big Tech macht das schon – aber die E-ID würde es präziser und unausweichlicher machen, indem sie eine „vertrauenswürdige Brücke“ schafft. Das ist der Kern der Kritik vom Nein-Komitee: Ein „paradigmatischer Wechsel“ hin zu mehr Kontrolle, ohne ausreichenden Schutz.
Fazit
Die Diskussion über die Sicherheit der E-ID in der Schweiz blendet diesen zentralen Aspekt völlig aus: Technologische Abhängigkeit von US-Big Tech bedeutet Abhängigkeit vom US-Recht.
Während Politiker von „Dezentralität“ sprechen, sind die realen Machtzentren längst klar: Apple, Google, Microsoft – und die US-Behörden, die per Gesetz Zugriff haben.