Breitere Verwendung der ­­AHV-Nummer

Viele Verwaltungsabläufe liessen sich mit der AHV-Nummer als eindeutigem Personen­identifikator effizienter gestalten. Aus Datenschutzgründen bestehen diverse ­Vorbehalte ­gegenüber einer breiteren Verwendung der AHV-Nummer, denen der ­Bundesrat in der entsprechenden Gesetzesvorlage, die Ende Oktober in die Vernehmlassung ging, ­allerdings Rechnung trägt.
Katharina Mauerhofer
  |  21. Dezember 2018
    Recht und Politik
  • Alters- & Hinterlassenenversicherung

Seit ihrer Einführung im Jahr 1948 arbeitet die AHV mit einer Versichertennummer. Dieses Personenkennzeichen hat in der AHV bis heute den Zweck, die Verarbeitung von Informationen über Beiträge und die Berechnung damit verbundener Sozialversicherungsleistungen zu erleichtern. Inzwischen erhalten sämtliche Personen mit Wohnsitz oder gewöhnlichem Aufenthalt in der Schweiz eine AHV-Nummer (AHVN), d. h. auch jene, die nicht in der AHV versichert sind.

2008 wurde die alte 11-stellige durch eine nichtsprechende, 13-stellige AHVN ersetzt. Zugleich wurden die Voraussetzungen neu geregelt, unter denen Bundes-, Kantons- und Gemeindebehörden die AHVN auch ausserhalb der AHV systematisch verwenden dürfen. Zum einen sind diejenigen Stellen und Institutionen dazu befugt, die mit dem Vollzug von kantonalem Recht mit besonderem Bezug zu den Sozialversicherungen betraut sind. Zum anderen darf die AHVN systematisch verwendet werden, wenn eine entsprechende spezialgesetzliche Grundlage des Bundes oder der Kantone besteht. Die Bestimmung im jeweiligen Spezialgesetz hat Verwendungszweck und Nutzungsberechtigte zu nennen.

Die systematische Verwendung der AHVN als Personenidentifikator erlaubt die automatische, rasche und genaue Aktualisierung der Personenattribute bei Personenstandsänderungen in einer Datenbank. Dies garantiert die Datenqualität in den Benutzerregistern. Da die Nummer eindeutig ist, können ferner administrative Verwechslungen von Personendossiers und dadurch verursachte Verletzungen des Datenschutzes vermieden werden. Ausserdem steigert ihre Verwendung die Kosteneffizienz der Verwaltung, indem sie eine Vereinfachung der internen Prozesse und der Querprozesse zwischen Behörden ermöglicht. Im Zuge der fortschreitenden Digitalisierung der Verwaltungstätigkeit seit der Einführung der Regelung im Jahr 2008 ist daher eine starke Ausweitung der systematischen Nutzung der AHVN ausserhalb der AHV erfolgt. Sie wird auf Bundesebene, um nur einige Beispiele zu nennen, in den Bereichen Registerharmonisierung, Zivildienst, automatischer Informationsaustausch, Mehrwertsteuer, Zivilschutz und Berufsbildung verwendet.

Die AHVN wird neben den üblichen Personenattributen (Name, Vorname, Geburtsdatum usw.) nur zu administrativen Zwecken verwendet. Sie dient ausschliesslich dazu, innerhalb einer Datensammlung einen Satz von Personendaten der richtigen Einzelperson zuordnen zu können. Sie ist …

…nicht sprechend

Die AHVN ist nicht sprechend, d. h. sie enthält – im Gegensatz zur vormals geltenden AHVN – keine Informationen über den jeweiligen Inhaber und erlaubt somit keine Rückschlüsse auf dessen persönliche Eigenschaften.

…kein Identitätsnachweis

Sie ist kein amtliches Identitätsdokument, das heisst sie kann nicht als formeller Identitätsnachweis eingesetzt werden. Einzig durch Vorweisen der AHVN ist es daher nicht möglich, Zugang zu Leistungen der Sozialversicherungen oder von anderen Ansprüchen zu erhalten.

…kein Passwort

Die AHVN ist kein Benutzercode, der Zugang zu allen personenbezogenen Daten verleiht und kein Passwort, mit dem man sich unerlaubten Zugriff zu den Informatiksystemen verschaffen kann. Sie bildet nie Teil des Authentifikationsprozesses. Folglich besteht kein höheres Risiko für die Datenbanken, wenn darin auch die AHVN verwendet wird.

Die aktuell geltende Regelung lässt die systematische Verwendung der AHVN ausserhalb der AHVN zwar zu; sie wird mitunter jedoch als umständlich wahrgenommen. Für jede spezialgesetzliche Ermächtigung muss ein Gesetzgebungsverfahren durchlaufen werden. Die Kantone können ihre Behörden zudem nur für den Vollzug von kantonalem Recht zur Verwendung der AHVN ermächtigen. Ausserdem ist die Gesetzgebung hinsichtlich der Berechtigung zur systematischen Verwendung der AHVN uneinheitlich. So war die systematische Verwendung der AHVN bei der Grundbuchführung im Parlament umstritten. Im Rahmen des automatischen Informationsaustauschs in Steuersachen wurde sie hingegen – entgegen dem Vorschlag des Bundesrats – als Steuer­identifikator eingesetzt, der an Finanzinstitute und Steuerbehörden einer Vielzahl ausländischer Staaten geliefert werden muss.

Um die genannten Vorteile der systematischen Verwendung der AHVN uneingeschränkt nutzen und sie als eindeutigen Personenidentifikator für Behörden von Bund, Kantonen und Gemeinden einsetzen zu können, fordern Bundesbehörden und Kantone zunehmend eine Änderung der diesbezüglichen Bestimmungen des Bundesgesetzes über die Alters- und Hinterlassenenversicherung. Der Bundesrat hat daher das Eidgenössische Departement des Innern (EDI) beauftragt, eine Vernehmlassungsvorlage zur Erweiterung der systematischen Verwendung der AHVN ausserhalb der AHV auszuarbeiten.

Herausforderungen einer breiteren Verwendung der AHV-Nummer Die Gesetzesvorlage zum systematischen Einsatz der AHVN muss einige Vorbehalte entkräften und Herausforderungen beachten, die sich insbesondere aus Gründen des Datenschutzes und der Informationssicherheit ergeben. Insbesondere wird vor möglichen Datendiebstählen zwecks Identitätsmissbrauch und vor unrechtmässig erstellten Persönlichkeitsprofilen gewarnt. Die Vorlage sieht daher auch den nötigen Schutz der Daten durch sichere Informationssysteme sowie regelmässige Risikoanalysen vor.

Datenschutz Art. 13 Abs. 2 BV schützt den Einzelnen vor Beeinträchtigungen, die durch die staatliche Bearbeitung seiner persönlichen Daten entstehen. Der Gesetzgeber hat den Auftrag, alle erforderlichen Massnahmen zu treffen, um die Bürgerinnen und Bürger vor missbräuchlicher Verwendung ihrer persönlichen Daten zu schützen. Insbesondere soll er sicherstellen, dass die Behörden mit Personendaten sorgsam umgehen. Dies gilt auch für die Verwendung von Personenidentifikatoren wie der AHVN.

Die Bedeutung von Quasi-Identifikatoren

Alle behördlichen Personenregister enthalten notwendigerweise Identitätsattribute wie Namen, Vornamen, Geburtsdatum oder Geschlecht (sogenannte «Quasi-Identifikatoren»). Damit lassen sich Daten aus verschiedenen Registern mit einem Zuverlässigkeitsfaktor von 99,98 Prozent verknüpfen. Die zusätzliche Verwendung der AHVN in den amtlichen Registern bewirkt somit einen nur marginalen Präzisionsgewinn und liefert keinen zusätzlichen Anreiz zur Bildung von Persönlichkeitsprofilen.

Es gibt Stimmen, die der Ausweitung der systematischen Verwendung der AHVN kritisch gegenüberstehen. Befürchtet werden einerseits Daten- und Identitätsdiebstahl und anderseits die erleichterte Bildung von Persönlichkeitsprofilen. Allerdings gründen die vorgebrachten Einwände oftmals auf falschen Vorstellungen von der Eigenschaft und der Funktion der AHVN.

Datendiebstähle und Persönlichkeitsprofile mithilfe der AHVN? Soll das Risiko einer Einsichtnahme in Datenbanken und einer Manipulation der Datensätze durch Unberechtigte («Datendiebstähle») vermindert werden, ist dies eine Frage der Informationssicherheit und nicht eine solche der verwendeten Identifikatoren. Insbesondere bei der Sicherheit von Informatiksystemen braucht es ständige, minutiöse Kontrollen, vor allem, wenn sensible Personen­daten darin gespeichert sind. Um Zwischenfälle zu verhindern, müssen die Prozesse und Sicherheitsverfahren permanent auf dem neusten Stand gehalten werden. In­formationssicherheit kann nur in einem Prozess entstehen, der die kontinuierliche Überprüfung und Anpassung organisatorischer, personeller, infrastruktureller und technischer Sicherheitsmassnahmen gewährleistet.

Werden Personendaten verschiedener Datenbanken (z. B. gesundheits-, steuer- und betreibungsrelevante Informationen) miteinander verknüpft, entstehen sogenannte Persönlichkeitsprofile. Die Zusammenführung von Daten aus verschiedenen Quellen setzt allerdings voraus, dass jemand zu mindestens zwei Datenbanken Zugang hat. Die Datenbanken von Bund, Kantonen und Gemeinden sind dezentral organisiert. Sie können mithilfe der AHVN nicht untereinander verknüpft werden. Zur Wahrung der Verhältnismässigkeit hat jede Behörde nur Zugriff auf die Daten, die sie zur Erfüllung ihrer gesetzlichen Aufgaben benötigt. Multithematische Zugriffe, z. B. zu statistischen Zwecken, sind sehr selten und gegebenenfalls streng reglementiert.

Informationssicherheit und Risikoanalysen Obschon die erweiterte systematische Verwendung der AHVN nicht zu einem erhöhten Missbrauchsrisiko führt, sollen Bund und Kantone dieses laufend überprüfen müssen. Um den fehlerfreien Gebrauch sicherzustellen, bedarf es zudem technisch-organisatorischer Vorgaben. Entsprechend sind die verwendenden Behörden zu verpflichten, ihre Informationssysteme auf dem neusten Stand zu halten. Somit dient das Revisionsvorhaben auch der generellen Steigerung der Informationssicherheit in der öffentlichen Verwaltung.

Um die Sicherheit der Datenbanken zu erhöhen, sind diese vor unberechtigtem Zugriff zu sichern. Konkret bedeutet dies zunächst, dass die Verantwortlichkeiten für die IT-Sicherheit nachvollziehbar geregelt sein müssen. Mitarbeitende, die mit Informatikmitteln zu tun haben, sollten im sicheren Umgang mit der IT-Infrastruktur geschult sein. Sicherheitsrichtlinien und -anweisungen müssen in schriftlicher Form dokumentiert werden. Die Risiken im Bereich Informationssicherheit sind regelmässig zu prüfen und es ist ein Informationssicherheits- und Datenschutzkonzept zu erstellen.

Was die konkreten Massnahmen angeht, ist einerseits der Zugang zu Informatikmitteln und Datenspeichern physisch zu sichern. Technische Zugriffsrisiken sind durch geeignete Authentisierungsverfahren sowie Informatiksicherheitsmassnahmen (Antiviren-Software, Firewall-Systeme) zu minimieren. Andererseits müssen die AHVN und andere Personendaten vor der Reparatur, Entsorgung oder Vernichtung von Informatikmitteln so gelöscht werden, dass sie nicht rekonstruiert werden können. Die Software muss dem gegenwärtigen Stand der Technik entsprechen und regelmässig aktualisiert werden. Bei mobilen Netzen sind die Daten mit zeitgemässen kryptografischen Verfahren zu verschlüsseln. Elementar für das Erkennen von Störungen oder Vorfällen ist auch das Auswerten von Log-Daten der Rechner. Um Schäden zu vermeiden oder zu begrenzen, müssen Sicherheitsvorfälle ausserdem schnell und effizient bearbeitet werden können. Wenn hierbei ein vorgegebenes und erprobtes Verfahren existiert, hilft dies, die Reaktionszeiten zu minimieren.

Grundzüge der Revisionsvorlage Vor diesem Hintergrund sollen die rechtlichen Voraussetzungen geschaffen werden, dass die Behörden von Bund, Kantonen und Gemeinden nicht mehr für jede neue systematische Verwendung der AHVN eine spezifische gesetzliche Grundlage benötigen. Anstelle dieses bisherigen Erfordernisses soll eine generelle gesetzliche Berechtigung für Behörden und für bestimmte Institutionen treten. Indem die Verwendungsvoraussetzungen für alle Behörden die gleichen sind, wird die Transparenz erhöht. Zudem soll die Durchsetzung des Datenschutzes und der Informationssicherheit den erforderlichen Stellenwert erhalten. In den Bereichen, in denen die Gesetzgebung dies ausschliesst, darf die AHVN weiterhin nicht verwendet werden. Insofern bleibt die Entscheidungskompetenz über die Verwendung der AHVN letztlich beim Gesetzgeber. Zudem sollen auch Organisationen und Personen, die keine Behördeneigenschaft besitzen und die ein Gesetz mit der Wahrnehmung einer Verwaltungsaufgabe betraut, zur systematischen Verwendung der AHVN nur dann berechtigt sein, wenn eine Bestimmung im betreffenden Spezialgesetz dies vorsieht. Die systematische Verwendung rein privater Art soll nach wie vor ausgeschlossen sein.

Die Voraussetzungen für zulässige Datenverknüpfungen werden durch die vorgeschlagene Neuregelung nicht gelockert. Datenverknüpfungen sind weiterhin nur mit einer formell-gesetzlichen Grundlage zulässig, wie sie beispielsweise im Bundesstatistikgesetz oder im Volkszählungsgesetz enthalten sind. Um unzulässige Datenverknüpfungen zu verhindern, haben Bund und Kantone zudem Risikoanalysen durchzuführen, deren Zweck darin besteht, die Risiken unerlaubter Zusammenführungen von Datenbanken zu erkennen. Mit Blick darauf sollen sie Verzeichnisse derjenigen Datenbanken unterhalten müssen, die in ihrem Zuständigkeitsbereich liegen und in denen die AHVN systematisch verwendet wird.

Wer die AHVN systematisch verwendet, ohne dazu berechtigt zu sein, soll wie bisher mit einer Geldstrafe belegt werden. Die Strafnorm betreffend die Durchführung der technischen und organisatorischen Massnahmen wird verschärft. Bisher machte sich nur strafbar, wer vollständig auf die Durchführung derselben verzichtete. Wer die genannten Massnahmen hingegen durchführte, dabei aber mangelhaft vorging, machte sich bis anhin nicht strafbar. Diese Lücke soll behoben werden. Künftig soll auch die nachlässige oder unvollständige Ausführung technischer und organisatorischer Massnahmen von der Strafbestimmung erfasst und als Übertretung mit Busse geahndet werden.

Unter den skizzierten revidierten rechtlichen Rahmenbedingungen gefährdet die erweiterte systematische Verwendung der AHVN weder den Datenschutz noch führt sie zum «gläsernen Bürger». Die vorgeschlagene Lösung erweist sich somit hinsichtlich der Sachdienlichkeit, der Durchführbarkeit und der Verhältnismässigkeit als ausgewogen.

Dr. iur., Stab Geschäftsfeld AHV, 
berufliche Vorsorge und EL, BSV (bis Dez. 2020).
[javascript protected email address]