In der Schweiz wird heute in über 14'000 staatlichen Datenbanken als zusätzlicher Personenidentifikator die AHV-Nummer (AHVN13) eingesetzt. Ein Gutachten der ETH Zürich zeigt nun auf, dass die damit verbundenen Risiken für den Schutz und die Sicherheit von Bürgerdaten hoch sind. Die kantonalen Datenschutzbeauftragten verlangen deshalb von den Kantonsregierungen, auf die weitere Verwendung der AHV-Nummer als universeller Personenidentifikator zu verzichten.
Privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, macht bereits seit langem darauf aufmerksam, dass der umfassende Einsatz der AHV-Nummer in den Datenbanken der öffentlichen Verwaltung die Grundrechte der BürgerInnen gefährde. Das Gutachten, das David Basin, Professor für Informationssicherheit an der ETH Zürich, nun vorlege, mache das Ausmass der Risiken deutlich und zeige, dass diese mit der immer breiteren Verwendung der Sozialversicherungsnummer weiter zunähmen, betont Privatim in einem heute veröffentlichten Communiqué.
Vorname, Name und Geburtsdatum würden genügten, um 99,98 Prozent der Bevölkerung eindeutig zu identifizieren. Dass zurzeit in über 14'000 staatlichen Datenbanken zusätzlich auch die AHV-Nummer als eindeutiger Identifikator Verwendung fänden, erhöhe die Verknüpfbarkeit von Personendaten und damit die Gefahr ihrer missbräuchlichen Verwendung, so Privatim. Dazu komme, dass die Sicherheitsmassnahmen bei vielen dieser Datenbanken ungenügend seien. Sie könnten somit ein leichtes Ziel von Hackerangriffen werden. Die Daten die dabei in falsche Hände geraten würden, liessen sich ohne weiteres mit zusätzlichen heiklen Informationen über Bürgerinnen und Bürgern verknüpfen. Prof. Basin zeige in seiner Analyse, dass die im Rahmen von eGovernment-Initiativen verfochtene Einführung der AHV-Nummer als Einheits-Personenidentifikator aus Sicht der Sicherheit und des Schutzes von Personendaten unverantwortlich sei.
Anstelle der AHV-Nummer sollen sektorielle Personenidentifikatoren einzusetzen, so wie es das Gesetz beim elektronischen Patientendossier und beim Handelsregister vorsehe, fordert Privatim schon seit längerem. Prof. Basin weise in seinem Gutachten nun nach, dass dies zwar die Missbrauchsrisiken auf einen Sektor beschränken könne, aber noch keine genügende Sicherheit biete. Man schliesse sich deshalb seinen Schlussfolgerungen an, die da lauten: "Es sind zukünftig nur noch sektorielle Personenidentifikatoren einzuführen, die nicht direkt mit identifizierenden Personendaten verbunden sind, sondern eine Verbindung nur über speziell gesicherte Prozesse ermöglichen. Mit diesem Ansatz können die mit der zunehmenden Verwendung der AHV-Nummer bereits bestehenden Risiken für die Privatsphäre zukünftig substantiell verringert werden."
Es liege nun am Bundesrat, auf Bundesebene die Konsequenzen aus der vorliegenden umfassenden Risikoanalyse zu ziehen. Die kantonalen Datenschutzbeauftragten wenden sich gleichzeitig auch an die Kantonsregierungen und fordern diese auf, die Verantwortung für den Schutz und die Sicherheit der Daten ihrer BürgerInnen auf der Ebene ihrer Kantone wahrzunehmen und die weitere Verbreitung der Verwendung der AHV-Nummer in den Datenbanken zu stoppen.
Das Gutachten von Prof. Dr. David Basin, ETH Zürich, wurde vom Bundesamt für Justiz (BJ) und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Auftrag gegeben und ist auf den Websiten des BJ findet BJ und des EDÖB abrufbar.
