SwissID und die Datenabenteuer der Post

Wie schafft man es fast das halbe Land digital zu bevormunden? Mit einer Zwangs-App eines Quasi-Monopolisten.

Das ist jetzt zugegeben ein steiler Einstieg ins heutige Thema, wie mein Kollege richtigerweise beim Gegenlesen dieses Texts monierte. Aber er bietet sich an, weil: Es geht heute um die SwissID, einem Dienst zur Identifikation im Internet. Herausgegeben von der Firma SwissSign und im Oktober 2021 übernommen von der Schweizer Post.

Und damit sind wir bereits mitten in der Geschichte drin: die Post ist ein wichtiges Infrastrukturunternehmen, um das wir in unserem Alltag kaum “herumkommen”. Und weil immer mehr Dienstleistungen der Post digital angeboten werden, werden wir uns früher oder später in irgendeiner Form digital registrieren müssen.

Die Post setzt mit ihrem Kauf des grössten Identitätsanbieters nun immer mehr auf die SwissID als exklusive Login-Lösung. Und dadurch multipliziert sich die Zahl der “Pain Points”. Gemeint ist der Moment, bei dem man sich dieser “De Facto-Zwangsverordnung” nicht mehr entziehen konnte. Mein “Pain Point” war die Ankündigung, dass nun die SMS-Briefmarke eingestellt wird. Und nur noch mit der SwissID bezahlbar wird. Um die Single-Sign-On-Lösung der Post kommt man zwangsgenötigt wohl nicht mehr herum.

Doch mein persönliches Leid wäre keine Geschichte wert.

Was ich in der Kurzrecherche rausfand

Die Entwicklungen der letzten drei Jahre beim Gelben Riesen haben bei mir aber ein paar Fragen rund um den Datenschutz und zu den eID-Ambitionen aufgeworfen. Denn die Post will sich ja mit ihrem eingekauften Portfolio bekanntlich als Digitalkonzern etablieren.

Für DNIP.ch hab ich mir nun die Datenschutzbestimmungen der SwissID, die Post-App und die PostCreator-App nun etwas genauer angeschaut. Ebenso wollte ich wissen wie sich die Post als Identitätsanbieter (oder gar eID-Technologie-Anbieter) beim Bund ins Spiel bringt. Nach einem längeren Email-PingPong mit einem Mediensprecher der Post und eigenen Erkundungen bin ich zu folgenden Schlüssen gekommen:

Es existieren grössere Usability-Katastrophen in Sachen Datentransparenz, wie zum Beispiel folgende: Die AGBs konnte ich weder lesen, was einem technischen Fehler geschuldet war, den offenbar niemand vorher entdeckt hatte. Noch konnt ich ihnen explizit zustimmen. Nach einem längeren Irrlauf im PDF-Labyrinth schiebt man den Regler resigniert nach rechts, um das Angebot nutzen zu können.

Die Post ist ein Datenkonzern: Wie so oft in der digitalen Welt gilt auch hier: Wenn Du nicht zahlst, bist Du das Produkt. Wer etwa die Postkarten-App gratis nutzen möchte, muss den AGBs zustimmen. Und “darf” dem Angebot “Angebote Dritte kennenlernen” zustimmen und muss damit seine Daten auswerten lassen für Mailingkampagnen. Ausserdem: die PostCreator-App plaudert munter mit Google.

Bundes-Ambitionen bei der eID: Versucht sich die Post als Behörden-Lösung in Pole Position zu bringen für die eID 2.0 und wenn ja, mit oder ohne SwissID? Unklar. Aber was wir wissen: Die SwissSign versuchte zumindest schon einmal durch die Hintertür an die Behördendienstleistungen des Bundes anzudocken.

Doch wie immer schön der Reihe nach.

SwissID — Chronologie einer Zumutung

Nach der versenkten eID-Abstimmung gab sich die Firma SwissSign (wir erinnern uns: das Unternehmen war in der Pole Position als eID-Technologie-Anbieter) zuerst selbstbewusst: Man wolle weitermachen mit dem neu lancierten Signaturservice. Inzwischen haben 9 Kantone die SwissID als Loginlösung auf ihren Portalen integriert, die nicht auf den Bund warten möchten. Sankt Gallen oder Jura wollen mit der SwissID die Möglichkeit geben, digital die Steuererklärung auszufüllen, einen Umzug zu melden oder einen Betreibungsregisterauszug zu bestellen. SwissSign schaffte es damit geschickte durch die “Kantonshintertür” als Quasi-eID für gewisse staatliche Anwendungsfälle bereits zum Zug zu kommen.

Im Oktober 2021 übernahm die Post die SwissSign AG, was ja ihr ursprüngliches Baby vor sechs Jahren gewesen war. Die Übernahme war damit ein “back to the roots”. Über die Investition konnte man zu Beginn nur rätseln. Schauen wir uns die damalige Medienmitteilung genauer an, fallen zwei Dinge auf.

Erstens dass die Post Grosses vorhat mit SwissID:

“Die Post will diesen Zugang – das digitale Tor zur gelben Welt – auch in Zukunft in den Händen halten und weiterentwickeln. Zudem bietet die Post damit den Menschen und Unternehmen auch in Zukunft eine Schweizer Lösung für Identitäts-, Zertifikats- und Signaturdienstleistungen als Alternative zu internationalen oder privaten Marktteilnehmern.“

Medienmitteilung von Oktober 2021

Die Post framte die SwissID als protektionistische Lösung (was ja SwissSign während des Abstimmungskampfs propagierte). In der gleichen Medienmitteilung bekundete die Post ihre Ambition die staatliche eID 2.0 zu designen und zitiert den Post-CEO Roberto Cirillo folgendermassen:

“Die Post beteiligt sich aus diesem Grund auch aktiv an den Diskussionen rund um eine elektronische Identität (…) Wir wollen den heute meist physischen Service public weiterentwickeln, zukunftsfähig machen und auch digitalisieren. Wenn Bund, Kantone und die Bürgerinnen und Bürger wollen, dass ein bundesnahes Unternehmen Teil der künftigen E-ID-Lösung ist, werden wir dafür bereit sein.“

Roberto Cirillo, CEO der Post

Im April 2022 wurde klar weshalb der Gelbe Riese investierte: Die Post will SwissID als ausschliesslicher Identitätsprovider nutzen. Ihre alternative Lösung—das eigene Post-Kundenlogin—werde sukzessive abgeschafft. Logisch: Zweigleisig zu fahren macht nicht nur aus Kostensicht wenig Sinn.

Im August 2022 macht die Post mit ihrer Ankündigung Ernst: Alle Services der Post sind nur noch mit SwissID nutzbar. Die Post-Nutzer:innen hätten 3 Wochen Zeit für den Umstieg (es erinnerte irgendwie stark an das Vorgehen der Mobiliar bei bexio). Schliesslich muss sich die Investition auszahlen, wie auch der Post-Sprecher bestätigt. 2018 kam dieses erste Zwangsnudging bei den Kund:innen nicht so gut an. Die Post erklärte sich dies damit, dass ihre Nutzerinnen skeptisch waren in Bezug auf den Datenschutz. Damals war ja die SwissSign ein Konsortium von Banken, Versicherungen, der SBB und der Post. Doch jetzt sei die SwissSign quasi in „Staatshand“.

Das aber beruhigte viele aufgebrachte Twitter-User kaum. Über diese Zwangsmassnahme — die dann am Schluss doch nicht so abrupt umgesetzt wird wie angekündigt — ärgern sich die meisten bis heute.

Und im März 2023 folgte der nächste Hammer: Die beliebte SMS-Briefmarke wird nun auch nur noch mit SwissID-Login nutzbar sein. Dasselbe gilt auch seit Längerem für die PostCreator-App, mit der man sich gratis Fotos als Postkarten nach Hause schicken kann.

In unserer Timeline sind die Ereignisse der letzten 2 Jahre rund um die SwissID zusammengefasst.

Die Krönung der Kommunikation ist jedoch folgende Mitteilung vor einigen Monaten: Die Post preist diese Zwangsmassnahme oder in eigenen Worten ihr “Tor zur gelben digitalen Welt” im Februar 2023 als Erfolg an! Und die Alternativlosigkeit mit der Friss-oder-Stirb-Methode wird als Ausdruck des “Vertrauens” ihrer Kundinnen gewertet. Euphemistischer geht nicht mehr:

“Rund ein halbes Jahr später zieht die Post ein erstes positives Fazit. Die Zahl der Kundinnen und Kunden mit einem SwissID-Login für den Onlinekundenbereich der Post ist von 1,7 Millionen auf über 2,8 Millionen gestiegen. Das entspricht einem Zuwachs von über 60 Prozent innerhalb von sechs Monaten. Erfreulich aus Sicht der Post ist zudem, dass insgesamt bereits 3,4 Millionen Nutzerinnen und Nutzer der SwissID als sichere und zukunftsfähige Login-Lösung vertrauen.“

Post-Sprecher

Es wäre interessant zu wissen, wie viele der 60% “Neo-Nutzer:innen” der SwissID effektiv der neuen Lösung aus freien Stücken “vertrauen” oder viel mehr weil sie dazu genötigt wurden.

Welche Daten wandern von SwissSign zur Post?

Natürlich stellt sich bei 3.4 Millionen Nutzer:innen nun die Frage: Was genau erfährt die Post von den SwissID-Aktivitäten? Etwa, wann eine SwissID-Nutzerin gerade einen Einkauf getätigt hat bei galaxus.ch? Wie lange sie auf den Artikeln von blick.ch verweilt? (dank der OneLog-Allianz, die ebenfalls mit der SwissID arbeitet)

Schliesslich ist der gelbe Riese stolz auf seinen Zukauf:

“Aktuell bieten insgesamt über 70 Unternehmen, Organisationen und Behörden ihren Kunden das SwissID-Login als Zugang zu ihren Onlineanwendungen an. Rund 250 Onlineanwendungen lassen sich inzwischen mit der SwissID nutzen.“

Post-Sprecher

Hier gibt es aus Datenschutzsicht schon mal Entwarnung: Offenbar teilen die 70 Unternehmen mit SwissID keine Daten mit der Post, ausser bei ihren eigenen Services (wie eben der Postcreator-App). Also erfährt die Post “nur” die Stammdaten bei der SwissSign, die sie wahrscheinlich eh schon weiss:

“Und dazu gehören auch diejenigen Daten, die durch die Nutzung der SwissID bei der Post entstehen. Die Post bezieht so via SwissID von den Kundinnen und Kunden ausdrücklich freigegebene Daten – zum Beispiel Anrede, Vorname, Name, Sprache, E-Mail-Adresse und Mobilenummer. Diese Daten nutzt die Post für ihre Onlinedienste im Kundenbereich und innerhalb des Konzerns für eigene Werbezwecke gemäss den geltenden AGB.“

Post-Sprecher

Ich habe den Test gemacht und mich bei der neuen Login-Allianz der Schweizer Medien OneLog mit der SwissID angemeldet. Die Schweizer Medienverlage bieten wie gesagt die SwissID als Alternative zur eigenen Login-Lösung an für die Anmeldung auf ihren Newsportalen. Weder in den Datenschutzbestimmungen noch in den AGBs findet sich einen Hinweis zur Post. Das bedeutet: Zum heutigen Zeitpunkt können wir also davon ausgehen, dass unser Leseverhalten der Schweizer Medien via OneLog NICHT an die Post weitergereicht wird. Zumindest gemäss den AGBs und Datenschutzbestimmungen.

Immerhin, ein paar beruhigende Meldungen.

Weniger beruhigend ist etwas anderes: sich zurechtfinden im AGB-Dschungel und zu wissen was ich als Post oder SwissID-Nutzerin überhaupt wem weitergebe.

Usability-Fail I: Die Datenauswertung, die ich weder lesen noch ablehnen kann

Wer sich also die Post-App installiert und sich mit der SwissID anmelden möchte, stimmt der Weitergabe der Daten an die Post zu. Der Post-Sprecher sagte auf Anfrage von DNIP.ch, dass diese Zustimmung explizit erfolgen muss.

“Die SwissID wiederum weist gegenüber dem Kunden, der Kundin aus, welche Daten sie an Onlinedienstanbieter wie z.B. die Post übermittelt. Auch hier gilt: Die Daten werden nur übermittelt, wenn der Kunde, die Kundin sie ausdrücklich freigegeben hat.“

Post-Sprecher

Ich machte den Test und musste feststellen: Das mit der informierten Zustimmung hat sich gar nicht so einfach erwiesen. Aufgrund eines technischen Bugs konnte ich den Link zu den AGBs bei der Kontoerstellung der SwissID nicht einmal öffnen. Offenbar war ich die erste Kundin, die das überhaupt gemeldet hat.

Die Post reagierte dankbar und schnell.

“Die von Ihnen gemeldete Fehlfunktion ist identifiziert und eingegrenzt. Sie tritt bei der Registrierung ausschliesslich via Post-App auf Android auf. Wann der Fehler aufgetreten ist, lässt sich nicht abschliessend herausfinden. Wir arbeiten mit Hochdruck an einer Lösung. Wir informieren Sie gerne wieder, sobald diese vorliegt. Nochmals besten Dank für Ihren wertvollen Hinweis. Sie sind tatsächlich die allererste Kundin, die uns diese Fehlfunktion gemeldet hat.” 

Post-Sprecher am 15.3.2023

Seit dem 11. April ist das Problem behoben. Es existiert laut Angaben der Post seit Jahresbeginn, was aber noch nicht abschliessend eruiert werden konnte.

Doch auch unabhängig von der Behebung dieses technischen Fehlers fragt sich, wie ausdrücklich diese Zustimmung sein soll, wenn ich diese AGBs pauschal abnicken muss, bevor ich die Kontoerstellung bei der SwissID-Login-Lösung beenden kann. Vielleicht sieht hier die Situation in ein paar Monaten anders aus, wenn das neue Datenschutzgesetz am 1. September in Kraft tritt (und gewisse Verarbeitungszwecke dann in ein separates Feld ausgegliedert und explizit zugestimmt werden müssen).

Usability-Fail II: Das AGB-Nirwana und der Datenkonzern

Als Nächstes hatte ich mir die PostCreator-App noch genauer angeschaut. Hier zeigt sich: Auch beim Staatsunternehmen Post gelten knallharte kommerzielle Realitäten und damit auch eine Binsenwahrheit: Wenn Du nicht zahlen willst, bist Du das Produkt. Bei der Nutzung der (ebenfalls beliebten) PostCreator-App kann das kostenlose Angebot nur gegen Preisgabe der eigenen Daten erfolgen (hier ist der AGB-Link). Das bedeutet: die Post vermarktet meine Daten für Werbekunden.

Der Post-Sprecher versichert, dass auch hier ohne Einwilligung der Kund:innen nix passiere.

Nun ist das aber gar nicht so einfach mit der Einwilligung wie manch einer denkt, denn als App-Nutzerin weiss ich am Ende nicht, welchen Datenbearbeitungen ich jetzt genau zustimme.

Zwar scheint hier der AGB-Link tatsächlich zu funktionieren. Aber: Ich lande auf einem PDF, das mich wiederum auf andere AGBs des “Login Kundencenter” verweist (notabene desjenigen Kundenlogins, das Ende 2023 abgeschaltet wird). Und hier endet die Reise. Weder wird ein Link abgebildet noch finde ich diese in der PostCreator-App. Der entsprechende Link muss man sich ergoogeln, was ja niemand mit begrenztem Zeitbudget ernsthaft auf sich nehmen wird. Ich habe immer noch keine Ahnung welche Daten wohin wandern.

Auch diesen Hinweis mit der katastrophalen Userführung wird vom Post-Sprecher verdankt.

Wer jetzt über den Begriff “Vermarktung” erschrocken ist und denkt, seine Postadresse sei nun Teil eines riesigen Datenhandels, das an allerlei Unternehmen verscherbelt wird: Nein, das passiert nicht.

Die gute Nachricht: Die Verhaltens- und Stammdaten von mir als App-Nutzerin wird gemäss Post-Mediensprecher nicht direkt an Dritte weitergegeben. Was der Werbekunde erhält, ist eine aggregierte und anonymisierte Zusammenfassung der Daten. Das bedeutet: Ein Unternehmen bucht bei der Post folgendes Mailing: “8000 Frauen in Uster”, das Alter kennt die Post nach Angaben des Mediensprechers nicht. Die Post führt im Auftrag dieses Unternehmens dann dieses Mailing durch. Unsere Post-Daten verlassen somit nie das Post-Universum, wie auch der Sprecher der Post bestätigt.

Was jedoch durchaus die PostCreator-App in Richtung Silicon Valley verlässt: Die MobileAdvertisingID, Gerätekennung etc. und andere Daten von Android in Richtung Googles Werbeprogramm. Denn gemäss des Tools Exodus Privacy ist der Tracker Google AdMob (Doubleclick) integriert. Damit erfährt das Big Tech-Unternehmen aus den USA, welche Fotoquellen mein Gerät nutzt, unabhängig davon, ob ich nun zahlende Kundin bin oder nicht.

Eine Post-Sprecherin begründen den Einsatz des Google-Trackers mit der Einblendung von Werbung bei der kostenlosen Nutzung der App (also dem Gratis-Versand der Postkarten).

Gut möglich. Dennoch: Den Abfluss in Richtung Google-Server beim Öffnen der App verhindert das nicht. Natürlich gehen bei allen PostCreator-Nutzer:innen alle eindeutigen gerätebezogenen Daten in Richtung amerikanische Google-Server, egal ob sie nun zahlen oder nicht. Bei den Bezahl-Kund:innen wird einfach keine Werbung in der App eingeblendet.

Und zu dieser Datenweitergabe findet sich leider gar nichts in den Bestimmungen, in keinen der genannten AGBs (weder hier noch hier). Die Post-Sprecherin wies auf die allgemeine Datenschutzbedingungen der Post hin, in denen Google durchaus explizit erwähnt wird. Doch diese allgemeinen Datenschutzbedingungen sind aber weder in den AGBs der “AGB PostCreator-App” noch bei der “AGB Login Kundencenter” verlinkt oder erwähnt. Im Klartext: Ich lade eine spezifische App herunter, die mit Trackern verbaut ist, von der aber in den zugehörigen rechtlichen Grundlagen keine Rede ist. Die Herausgeberin hofft dabei auf meine Eigeninitiative, viel Zeit und Geduld dass ich mich durch 1000e ihrer Webseiten durchsurfe. Schöne neue Welt…

Benutzungsunfreundlicher geht nicht. Und damit werden auch appspezifische AGBs zur Farce, denn sie erzählen offenbar nur die halbe Wahrheit.

Die eID-Pläne der Post — mit der SwissID?

Kommen wir auf das letzte Thema zu sprechen. Anfangs 2022 eröffnete die Bundeskanzlei, dass die digitalen Bundesdienstleistungen nicht nur mit CH-Login sondern auch von anderen Identitätsprovidern zugänglich gemacht werden. Nachgefragt bei der Bundeskanzlei sind das bisher Folgende:

• FED-LOGIN (Mitarbeitende der Bundesverwaltung und z.T. kantonale Mitarbeitende)
• CH-LOGIN (E-Government-Identitätsprovider der Bundesverwaltung)
• #edaLogin (E-Government-Identitätsprovider des EDA, interoperabel mit dem CH-LOGIN)
• SWITCH edu-ID (Identitätsprovider des Schweizer Hochschulbereichs)
• Die kantonalen E-Government-Identitätsprovider der Kantone Schaffhausen, Genf, Zug und Bern.

Mit diesen Lösungen lässt sich also das klassische eGovernment des Bundes nutzen wie zum Beispiel der Online-Zugang des Bundesarchivs. Eine anonyme Hinweisgeberin machte mich darauf aufmerksam, dass auch SwissSign sich zu dieser illustren Reihe auch gesellen wollte. Wir erinnern uns: Die SwissID ist ja bereits bei 9 Kantonen als Login-Lösung für die Bürgerportale m Einsatz. Offenbar reicht das dem Identitätsanbieter nicht, SwissSign wollte auch als Eintrittstor für die eGovernment-Leistungen des Staates zum Zug kommen.

Damit konfrontiert bleibt der Mutterkonzern aber wortkarg.

“Informationen zu geschäftlichen Beziehungen unserer Tochtergesellschaften mit Dritten kommunizieren wir nicht. Sie agieren im freien Wettbewerb, weshalb für sie das Geschäftsgeheimnis gilt – so auch für SwissSign. Besten Dank für ihr Verständnis.“

Post-Sprecher

Der Post-Sprecher wollte ausserdem “mitgeben”, dass die Post Lösungen anbieten will die auch für Behörden interessant seien.

Ob jetzt die Bundeskanzlei diesen “interessanten Lösungen” der Post einen Korb gegeben hat oder nicht, ist unklar. Beide Seiten wollten die “Bundes-Avancen” von SwissSign/Post nicht weiter kommentieren. Fest steht aber: Für das klassische E-Government würden grundsätzlich nur behördliche und nicht-kommerzielle elektronische Identitäten angeschlossen, wie Bundeskanzlei-Mediensprecher Florian Imbach auf Anfrage von DNIP.ch sagt. Nix mit SwissID also.

Die Post beteiligte sich auch 2022 in der Vernehmlassung zur eID-Vorlage. Hier wiederum weist sie sachlich richtig darauf hin, dass es in der Vorlage eine Abgrenzung zu den Authentifikationsmittel und Login-Lösung (was eben die SwissID ja darstellt) brauche und eine staatliche eID etwas Anderes darstellen soll.

Auffällig ist: Von der SwissID ist in der Vernehmlassung und in den jüngsten Medienmitteilungen keine Rede mehr. Die Architektur der Login-Lösung (zentralisiert) würde auch nicht zur vorgesehenen SSI-Lösung (dezentralisiert) passen.

Dennoch machte die Post nie einen Hehl daraus, dass sie sich als eID 2.0-Anbieterin ins Spiel bringen möchte. Wir erinnern uns an den Satz von CEO Cirillo von Oktober 2021:

“Wenn Bund, Kantone und die Bürgerinnen und Bürger wollen, dass ein bundesnahes Unternehmen Teil der künftigen E-ID-Lösung ist, werden wir dafür bereit sein.“

Post-Medienmitteilung von Oktober 2021

Es bleibt also spannend.

Fazit: Es gibt Luft nach oben. Und Zwang funktioniert nie

Die Post erfindet sich digital neu und hatte auch einige originelle Ideen in petto wie die PostCreator-App oder eben die SMS-Briefmarke. Doch in Sachen Kommunikation des Datenhandels und Usability gibt es noch einige grosse Hausaufgaben zu bewältigen.

Hinzu kommt: Mit dem Fokus auf die SwissID und der Zwangsgängelung der Post-Kund:innen schafft sie sich rundum keine Freunde. Ein künstlich geschaffener hoher Marktanteil ist noch kein Argument für die Qualität einer Lösung.

Ich schliesse mit den Worten meines Berufskollegen Reto Vogt, Chefredakteur bei Inside IT:

“Seiner Kundschaft eine Technik aufzuzwingen, die sie nicht will, hat noch selten zu einer höheren Zufriedenheit geführt. Im Gegenteil. Wenn man jemandem eine Technik aufzwingen muss, ist sie einfach nicht gut genug.“

Inside IT-Chefredakteur Reto Vogt zu den Entwicklungen rund um die SwissID

Update 25.4.2023 um 14:15: Ein aufmerksamer Hinweis des Twitter-Users ecom: Da die SwissID beim posteigenen EPD (Elektronischen Patientendossier) auch eingesetzt wird, wird die Post natürlich früher oder später noch mehr Daten erfahren. Genauere Analyse von mir folgt.