Die Schweiz ist wieder mal sehr eigenwillig unterwegs in Sachen Internet-Regulierung: Geht es um digitale Bürgerrechte oder Datenschutz will die Schweiz stets nur autonom nachvollziehen. Sprich: es soll nur das Nötigste von der EU übernommen und einige Rosinen herausgepickt werden, damit die Schweizer Unternehmen keinen zu grossen bürokratischen Aufwand haben (for good and bad, es ist Ansichtssache). Doch kaum geht es um Jugendschutz oder Glücksspiel im Internet, kann es plötzlich nicht genügend Verbote und Regeln geben (gefolgt natürlich von der Strafverfolgung, schliesslich liebäugelt der Bundesrat auch mit der vorgesehenen EU-Chatkontrolle oder lehnt diese zumindest nicht ab).
Teils fallen diese noch strenger aus als in Europa. Mit dramatischen Folgen für den Datenschutz und die Privatsphäre. Der “Swiss Finish”, bei dem selbst die EU übertroffen wird, ist nämlich ein Gesetz zur Quasi-Ausweispflicht.
Passdaten für Youtube & Co for free
Es geht um das “Bundesgesetz über den Jugendschutz in den Bereichen Film und Videospiele“.
Vorerst: Es gibt bei dem Thema durchaus Punkte, bei denen durchaus Handlungsbedarf besteht. So sind etwa die Altersfreigaben für den Filmkonsum in den Kinos unterschiedlich geregelt von Kanton zu Kanton. Dass hier eine Vereinheitlichung und Harmonisierung Sinn macht und eine Regulierung vonnöten ist, ist naheliegend.
Ausserdem scheinen gemäss einer schweizweit durchgeführten Studie EU Kids Online Schweiz durchaus ein Grossteil der 15- und 16-Jährigen mit unangemessenen Inhalten immer wieder konfrontiert zu sein. Der Entwurf zielt deshalb auch auf bekannte Plattformen wie Netflix (ein sogenannter “Abrufdienst”) und Youtube (“Plattform”), weshalb es sich beim neuen Jugendschutzgesetz eben auch um ein Internet-Gesetz handelt (auch wenn es interessanterweise vom Bundesamt für Sozialversicherung BSV ausgearbeitet worden ist).
Zur Einordnung: die EU hatte ebenfalls bereits 2018 schärfere Regeln mit dem Zweck des besseren Jugendschutzes beschlossen. So forderte sie dass unangemessene Inhalte schneller gemeldet werden und direkte Beschwerdewege errichtet werden sollen. Massgebend dafür ist die von der EU verabschiedete audiovisuelle Richtlinie der EU (Audiovisual Media Services Directive), diese wird von den EU-Mitgliedsstaaten unterschiedlich umgesetzt.
In Frankreich (Gesetz Nr. 86-1067 vom 30. September 1986 über die Kommunikationsfreiheit (Loi Léotard) – Konsolidiert 18. August 2022 – Art. 60 II und III),
Deutschland (Staatsvertrag über den Schutz der Menschenwürde und den Jugendschutz in Rundfunk und Telemedien (JMStV) – konsolidiert 30. Juni 2022 – Art. 4, 5, 5a, 5b and 6)
oder Österreich ( Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Audiovisuelle Mediendienste-Gesetz – konsolidiert 1. Jänner 2021 – Art. § 39. 1. to 3)
… werden dabei Systeme/Tools zur Altersverifikation gefordert und wurden entsprechende Gesetze in den letzten beiden Jahren verabschiedet. Der Trend der Identifikation und Altersprüfung ist also auf dem Vormarsch: So verlangt die ZDF Mediathek zum Beispiel eine Altersverifikation anhand eines Ausweisdokuments, für Inhalte, die ab 16 Jahren freigegeben werden. In den USA besteht in Louisiana neu eine Ausweispflicht für die Anmeldung bei Plattformen wie Pornhub. Plattformen wie Netflix, Amazon Prime oder Hulu gaben bisher lediglich Tools den Eltern zur Verfügung für die bessere Kontrolle.
(Interessanterweise verlangt Artikel 28 des neuen europäischen Digital Services Act im Widerspruch zur audiovisuellen Richtlinie dass die Plattformen nicht verpflichtet werden dürfen, personenbezogene Daten zu erheben um das Alter festzustellen.)
Auch die Schweiz orientierte sich bei der Gesetzgebung an dieser audiovisuellen Richtlinie der EU. Es gibt aber einen entscheidenden Unterschied und zwar handelt es sich um die Artikel 8.2 und 20.2 des neuen Jugendschutzgesetzes. Die Schweizer Variante verlangt eine pauschale Altersverifikation VOR DER ERSTMALIGEN Nutzung von Netflix und Youtube und damit auch von allen User:innen, die diese Dienste nutzen und sich anmelden sollen. Um allfällige Minderjährigkeit von jemandem festzustellen, müssen somit alle User:innen ihre Identität ausweisen.
Das Gesetz beschränkt sich also nicht auf spezifische Inhalte (wie Gewalt, Pornographie) wie bei den anderen EU-Ländern, sondern knüpft absurderweise die gesamte Kontoerrichtung per se an die Altersprüfung. Ob sich daraus auch eine Klarnamenpflicht für das Benutzerkonto ableitet, ist unklar. Aber de facto kriegen Netflix und Youtube theoretisch alle Daten eines Passes von jeder Schweizer Nutzer:in angezeigt.
Unmissverständlich ist der Bundesrat auch in der dazugehörigen Botschaft. Er schlägt sogar offen vor dass die Alterskontrolle über die Kopie des Ausweises erfolgen soll. Was zuweilen etwas unbeholfen klingt: “Das geforderte System ist dabei nicht ausschliesslich technisch zu verstehen, sondern zum Beispiel auch über die Einforderung einer Kopie des Personalsweises der Nutzerin oder des Nutzers bei der Kontoeröffnung geschehen.” Wie genau ausser auf dem technischem Weg soll diese Ausweiskopie zu den Moderatoren-Teams der Plattform gelangen? Via Brief oder Taubenpost?
Man muss sich das mal einmal vergegenwärtigen: Eine Mehrheit des National- und Ständerats sowie des Bundesrats, die mit Schweizer Konsortien SwissSign erst vor Kurzem gegen die Vorherrschaft von bösen amerikanischen Datenkonzernen wie Google, Twitter, Facebook ankämpfen wollten, möchten FREIWILLIG DENSELBEN Konzernen staatlich verifizierte Personendaten von über 8.5 Millionen Personen – also der Bevölkerung der Schweiz- schenken. Einfach so. Gratis, ohne Gegenleistung. Und ohne Schutzmechanismus.
Keine Einschränkung bei der Verwertung der Daten von Erwachsenen
Die Konsequenz: Amerikanische Plattformen und Abrufdienste erhalten damit staatlich garantierte Daten über mich (mein Name, mein Geburtsort, mein Geburtsdatum) und im Fall meines Personalausweises auch noch biometrische Daten. Ein Horrorszenario von dem die Security-Forscherin Lilith Wittmann stets warnte.
Ausserdem fordert Artikel 8.3 dass die erhobenen Daten von Minderjährigen “ausschliesslich für die Alterskontrolle verwendet werde”, im Umkehrschluss bedeutet dies auch: mit den Passdaten der erwachsenen Nutzer:innen darf alles Mögliche angestellt werden. Sprich: Die hinaufgeladenen Passkopien samt ID-Nummer, Bürgerorte etc. sind also ein möglicher Freipass für Profiling, der nicht gesetzlich verboten wird.
Es bleibt zu hoffen dass die Verordnung dazu noch genauer regelt, wie welche Daten erhoben werden dürfen. Und dass das Gesetz erst nach Einführung einer neuen eID in Kraft tritt, doch dazu später noch mehr.
Die Praxis der Ausweiskopie oder die Angabe der zwei letzten Ziffern der Ausweis-ID kam bei den Big Tech-Plattformen bisher zum Glück nur spärlich zum Einsatz. Etwa bei politischen Kampagnen bei Facebook. Hierbei muss sich ein Polit-Campaigner ausweisen, wenn er zielgruppenspezifische Werbekampagnen an Wähler:innen ausspielen will. Ebenfalls möchten Services eine Ausweiskopie, wenn etwa ein Datenlöschbegehren gestellt wird. So wollte Clearview.AI perfiderweise ebenfalls eine Ausweiskopie von mir, als ich beantragte meine Daten (meine Gesichtsbilder) löschen zu lassen.
Mit der neuen eID wäre das Problem besser gelöst
Was allgemein erstaunt bei der parlamentarischen Debatte in Bern: Obwohl das politische Geschäft in mehreren Sessionen immer wieder verhandelt und Differenzen bereinigt wurde, waren die Themen Ausweispflicht, staatliche Identität und biometrische Daten kaum diskutiert worden. Same same gilt auch für Regulierungsfolgenabschätzung, die im Auftrag des BSV erarbeitet worden ist. Auch in diesem Dokument hat die Beratungsfirma lediglich die Aufwände für Plattformbetriebe evaluiert bei der Altersprüfung, jedoch kaum über die Datenschutz-Folgen von amtlichen Passdaten in den Händen von amerikanischer Konzerne gesprochen.
Bei der Debatte im Nationalrat kamen die vernünftigsten Voten sogar von der SVP. So hält die SVP-Nationalrätin Verena Herzog fest in der Parlamentsdebatte:
“Die Schweiz orientiert sich beim vorliegenden Bundesgesetz an der europäischen Richtlinie über audiovisuelle Mediendienste, geht bei der Umsetzung jedoch klar darüber hinaus. (…)
SVP-Nationalrätin Verena Herzog in der Ratsdebatte von 2021
Die Verantwortung liegt jedoch bei den Eltern, ihren Kindern auch im Medienkonsum Leitplanken zu setzen, altersgerechte Inhalte zu wählen, die Kinder bei ihrem Medienkonsum zu begleiten und, ganz wesentlich, ihren Kindern einen verantwortungsbewussten Umgang mit Medien vorzuleben.”
Beidem ist zuzustimmen. Ersteres ist faktisch korrekt: Die Schweiz überschiesst die EU, indem sie keine Koppelung an bestimmte Inhalte festschreibt und eine pauschale Altersprüfung vor erstmaliger Nutzung vorschreibt (da wir ja alle schon Youtube, Netflix, Prime-User:innen sind, stellt sich die Frage ob wir das retrospektiv nun alle noch hochladen und angeben müssen). Und zu Zweiterem: es wäre besser hier edukatorisch aufzuklären und mit Inhaltsdeskriptoren/Content Warnungen zu arbeiten.
Ob die Plattformen Youtube und Netflix extra für die Schweiz eine solche strenge Prüfung 1:1 vornehmen werden, ist ausserdem zu bezweifeln. Artikel 8.2 und 20.2 sind daher auch unrealistisch.
Wäre das neue eID-Gesetz – mit dem zurzeit verhandelten Konzept Self Sovereign Identity – schon bereits in Kraft und umgesetzt, würde je nachdem das Problem der Altersverifikation vermutlich besser gelöst werden (mittels der Freigabe einzelner Attribute wie “Alter” dank digitaler Signaturen). Die renommierte französische Datenschutzbehörde CNIL hat ebenfalls interessante Vorschläge gemacht: zum Beispiel könnte die Altersprüfung von einer Drittpartei vorgenommen werden, die aber im Gegenzug nicht erfährt um welche Plattform es sich handelt (die von der Internet-Nutzerin aufgesucht wird). Umgekehrt erfährt die Plattform nur dass die Person über 18 Jahre alt ist (und weiss weder Klarnamen noch Geburtsdatum). Auch scheint die EU in jene Richtung zu steuern, was wiederum den Widerspruch der audiovisuellen Richtlinie und dem DSA auflösen würde.
Am 19. Januar 2023 läuft die Frist für die Unterschriftensammlung gegen das “Bundesgesetz über den Jugendschutz in den Bereichen Film und Videospiele” ab. Es wird knapp. Gemäss Pascal Fouquet von der Piratenpartei, die federführend beim Referendum ist, fehlen noch etliche Unterschriften. Erstaunlich ist wie wenig Echo das Referendum in der Schweizer Medienlandschaft bisher auslöste. Gerade mal ein aktueller Beitrag von Blick findet sich hier (mit falschem Framing, schliesslich geht um weit mehr als um Pornographiekonsum).
Fazit: 2023 hat die Schweiz wieder eine Reihe von internetfeindlichen Gesetzen parat. So wird auch die politische Schweiz über das unsägliche Leistungsschutzrecht (eine Link-Steuer für Google zuhanden der Schweizer Medienverlage) beraten, die Chancen stehen gut dass das Gesetz als Ersatz für das abgeschiffte Mediengesetz durchkommen wird beim Parlament. Hierbei ist die Schweiz “in guter Gesellschaft” mit Deutschland, Spanien und Frankreich. Ob auch hier ein unrealistischer “Swiss Finish” zustande kommen wird, werden wir sehen.
Eins ist klar: das Jahr wird nicht langweilig.
Dank an dieser Stelle für Hinweise und Inputs geht an: Andreas von Gunten und Pascal Fouquet
11 Antworten
Die Identitätsprüfung via einer Drittpartei gibt es in einigen Ländern schon lange – allerdings nicht ganz so datenschutzfreundlich wie für diesen Kontext sinnvoll.
So habe ich mal vor 20+ Jahren auf deutscher Seite ein Euro-Konto bei einer Internet-Bank (heute würde man das Neo-Bank oder Fintech nennen) eröffnet. Mangels Filialnetz hat die Deutsche Post via Post-Ident-Verfahren meine Identität bestätigt. Das Konto gibt es schon lange nicht mehr, aber das Verfahren funktioniert als Stellvertreter für die vermutlich noch länger auf sich warten lassende sinnvolle und flächendeckend umsetzbare E-ID. Meine ID läuft 2025 ab – ob es bis dahin reicht? Schön wäre es.
Der Jugendschutz wird ueberbewertet. Die Jugendlichen im Alter in welchem sie sich angesprochen fuehlen haben schon Kontakt mit Porno und Gewalt. Sie senden sich Nacktbilder zu, werden damit straffaellig. Senden sich IS clips zu, weil’s cool ist. Dafuer lohnt es sich nicht den Datenschutz zu kompromittieren.
Die eID ist leider Schrott, das wird noch lange nichts. Solange Mitspieler wie die Post ueberhaupt angehoert werden, sind wir meilenweit weg. Die Post und die Vergeber haben nichts begriffen.
Da wird unter NDA irgend eine obskure Software von spanischen Bastlern eingekauft… sie darf und kann nicht einmal ueberprueft werden.
Dabei geht es gar nicht um Software. Respektive die Software ist das Triviale. Etwas Verschluesselung, etwas Datenbank. Beide Probleme sind geloest.
Das Aufwendige an einer eID resp e-voting ist die Implementation des Drumherums, welche eben nicht von externen Bastlern gemacht werden kann.
Betrachten wir die gewueschte Funktionalitaet. Etwas wie eine PlastikID, mit Ablaufdatum. Etwas wie eine Kreditkarte – es sollte Panik aufkommen, wenn sie weg/kompromitiert ist.
Daran angehaengt mochte man ein e-Voting haben, allenfalls ein Patientendossier, allenfalls Lizenzen zum Fahren, Fliegen von Irgendwas. SIM Karten kaufen, … Muss also bezueglich Sichtbarkeit, Sicherheit, Eindeutigkeit, Nachvollziehbarkeit, all die verbundenen “Standards” erfuellen. Vor allem .. das Handling muss schnell gehen.
Kreditkartenfirmen werben damit, dass man in einem Tag eine neue Kreditkarte haette.
Eine neue eID – darf auch schneller gehen. Man stelle sich vor, eine Online Abstimmung. Ich habe meine eID grad nicht zur Hand. Wie ein Passwort.
Unsortierte Details dazu :
Wer kann eIDs erstellen ? Nachvollziehbar. Aufgrund von Was ? Das muessen eigenlich zwingend die Gemeidebehoerden oder das Passbuero sein, denn die haben die Daten.
Wer kann eIDs aendern ? Wenn sich zB der Pass, die ID aendert. Wegen abgelaufen, wegen Namensaenderung. wegen Geschlechtsaenderung, allenfalls einem Umzug …
Die eID ging verloren. Wegen Umzug, wegen Nichtgebrauchs … Wer darf die Nachschauen ? Bei Vorlage von was ?
Eine eID wurde kompromitiert. wer darf das vermerken, wer darf eine Neue ausstellen ?
Falls eine Funktionalitaet auf eine alte/veraltete/ungueltige eID laeuft, wie wird das gehandhabt.
Ein eID Traeger starb, resp braucht sie nicht mehr, wer darf seine eID loeschen ?
Falls eine eID verschieden sichtbare Anteile hat, wer darf was anschauen ? Aufgrund von was ? Wie werden die Seher ermaechtigt, wie authentifiziert, nachvollziehbar. Wie lange ist so eine Einsichtserlaubnis gueltig.
Allenfalls moechte man temporaere eIDs, im Sinne von einmal gueltig .. die waere dann rueckverfolgbar, aber nicht mehr einsetzbar.
Die Prozesse um die Implementation muessen erarbeitet werden, muessen laufend angepasst werden, zusammen mit dem Buerger, allenfalls mit den ueblichen politischen Prozessen. Die Software nachher ist megatrivial.
Solange dazu irgend etwas von an Firmen auslagern rumgeistert wird das nichts. Vielleicht sind wir in einer Generation so weit.
Die wirklich hässlichen Dinge wurden bei meinen Kindern via Whatsapp & Facebook rumgereicht. Heute andere Tools wie SnapChat, TikTok ( zum Glück sind sie jetzt ein bisschen älter )
Werden sich neue Services daran halten?
Wie gehen wir mit Telegram um?
Wenn es wirklich um Altersabfrage geht, dann könnte man sicher einen Service zur Verfügung stellen, der ein Ja/Nein zurückliefert, ohne dass zu irgendeinem Moment die biographische Daten beim Anbieter gespeichert werden müssen.
Die Implementierung der E-ID könnte genau diesen “Ja/Nein” Service bieten. Dazu müsste es sie aber erstmal geben und flächendeckend ausgerollt sein.
Und je nach Umsetzung der E-ID, was ich nicht hoffe, könnten dann ausländische Staatsbürger diskriminiert sein, wenn diese keine Berechtigung für den Erhalt einer E-ID bkommen. Heisst: die E-ID darf nicht an den Besitz einer CH ID-Karte gebunden sein.
Meine Frage ist eher: wie werden die global Players mit einem Gesetz umgehen, dass ihnen die Wahl lässt (Ausweiskopie oder E-ID ja/nein-Service)? Die Antwort dürfte recht klar lauten, dass sie sich für die Ausweiskopie entscheiden werden, weil einfacher zu implementieren, bereits jetzt verfügbar, im Prinzip international einsetzbar und mehr Informationen über den Nutzer.
Besten Dank für den Artikel.
Was auch bedenklich ist:
Falls dies alle Plattformen umsetzen müssten, wäre dies auch mit sinnlosen Programmier-Kosten verbunden. Es ist fraglich, ob sich dies Schweizer Plattformen leisten können, die beispielsweise Arthouse Filme anbieten. Es ist Verhältnisblödsinn. Denn sind wir ehrlich, welcher 14-jähriger Jugendlicher kauft für bsp. 7 CHF einen Arthouse Film, der ab 16 ist, um ein paar Brüste zu sehen. Auf Google Suche sieht man mehr Sex. Denn die meisten Arthouse Filme sind ab 16, da sich die Altersprüfung nicht lohnt, da Arthouse Filme von der Zielgruppe her, per se Erwachsene ansprechen. Man müsste also eine ID Identifikation machen, obwohl alle Inhalte per se harmlos sind. Das ist absurd.
Und ob dies amerikanische Firmen umsetzen würden, ist sehr fraglich. Das würde bedeuten, dass bsp. nur CH Streaming Plattformen, die in der Schweiz Steuern zahlen und Arbeitsplätze schaffen, dies wohl umsetzen müssten. Das wäre ein klarer Nachteil für CH Unternehmen. Es könnte also sein, dass dieses Gesetz CH Arbeitsplätze vernichtet.
Ein absoluter Nonsens und Verhältnisblödsinn, das wird niemals funktionieren, wenn die Anbieter nicht weltweit dazu verpflichtet werden können und das nur für die klitzekleine Schweiz gelten soll. Und hat sich schon mal jemand gefragt, wenn ich ein Abo mit meiner Kreditkarte bezahle, dann ist ja die Altersverifizierung auch schon automatisch gemacht. Also was soll diese Furzidee der Linken und Grünen?
Bei 131 Ja-Stimmen im Nationalrat und 40(!) Ja-Stimmen im Ständerat kann man nicht von einem linksgrünen Gesetz reden.
Interessantes Thema und effektiv erstaunlich, dass das Gesetz so wenig Aufmerksamkeit gezogen hat. Und sehr schade, dass hier keine Einschränkung für die Datennutzung direkt in diesem Gesetz geschaffen wurde, mit Ausnahme der Minderjährigen (siehe dazu unten). Aber:
– das revidierte DSG dürfte hier ein paar Argumente liefern, in der Verordnung die nötigen Einschränkungen vorzusehen.
– die ja/nein-Altersprüfung hätten wir bereits, wenn die erste E-ID nicht an der Urne abgeschifft wäre (und ich hoffe, dass nun dann effektiv kommt!)
– und noch ein kleines fact checking-Detail: dank der Einschränkung nach Art 8. Abs. 3 betrifft das Risiko der “Schenkung” von Daten (was ich wie gesagt nicht so sagen würde) nicht 8.5. Mio. Personen, sondern “nur” die 7.2 Mio. Erwachsenen… Immerhin 🙂
Danke fürs Feedback. Zu Deinen Punkten
– Auch das BSV argumentiert, dass die Ausweisdaten durch das DSG geschützt sind. Dieses schreibt aber nur vor, dass der Anbieter dokumentieren muss wofür er die Daten nutzen will. Wenn in den AGB also eine allgemeine Nutzungsklausel enthalten ist, ist der Schutz eher mässig.
– Die erste eID-Version ist unter anderem deswegen abgelehnt worden weil sie eine zentrale Registrierung sämtlicher Logins (oder zumindest Account-Erstellungen) enthalten hätte (implizit, aufgrund der Funktionsweise). Über die Risiken eines Log-Files, dem man entnehmen kann, dass Hansli Müller Accounts auf Pornhub und Xhamster hat, müssen wir hoffentlich nicht reden 🙂
Verifizierte Anmeldeinformationen einer selbstbestimmten Blockchain-basierten Identität würden helfen..
Ich weiss nicht, wieso es Blockchain braucht, aber eine “richtige” SSI mit Zero-Knowledge-Proofs würde helfen, ja.