17. November 2017
Soll eine Person nur eine oder mehrere elektronische Identitätskarten und damit -Nummern haben dürfen? Soll es überhaupt eine permanente eID-Registrierungsnummer geben? Soll diese gar mit der AHV-Nummer übereinstimmen? Die Vernehmlassung zum Vorentwurf des Bundesgesetzes über anerkannte elektronische Identifizierungseinheiten wirft Fragen auf, deren Tragweite wohl nur wenige vollständig abschätzen können.
Viele Online-Dienstleistungen, ganz besonders auch jene öffentlicher Behörden, verlangen eine eindeutige Identifikation der Benutzerinnen und Benutzer. Dafür braucht es eine „elektronische Identitätskarte“ (eID/E-ID). Der Bund hat im Februar 2017 einen Vorentwurf des Bundesgesetzes über anerkannte elektronische Identifizierungseinheiten in die Vernehmlassung geschickt, das als Grundlage für eine künftige eID dienen soll. Es weicht deutlich von früheren Massnahmen und Plänen ab (vgl. Neuigkeit „Gesetzes-Vorentwurf für künftige eIDs“):

Die Vorgeschichte


Im Jahr 2010 hatte der Bund noch eigenhändig eine erste schweizweite elektronische Identitätskarte, die SuisseID, lanciert. 2012 plante er, die elektronische Identitätskarte künftig zusammen mit der (physischen) Identitätskarte abzugeben. Doch dann revidierte er sein eID-Konzept grundlegend.

Die Erfahrungen in anderen Ländern hätten gezeigt, so die Begründung für die Konzeptänderung, dass staatlich abgegebene elektronische Identitäten zu hohen ungedeckten IKT-Kosten der öffentlichen Hand führten. Zudem sei der Staat angesichts des raschen technologischen Wandels zu wenig flexibel.

Umstrittene Rolle des Staates


Gemäss dem neuen Konzept soll der Bund nun nur noch eine Anerkennungsstelle für private Identitätsanbieter führen. Zudem soll er die „Stelle für elektronische Identität“ betreiben, die die Identitätsanfragen der Identitätsanbieter prüfen und die Identitätsmerkmale bestätigen soll.

Bereits während der Vernehmlassungsphase hatten sich verschiedene Gruppierungen kontrovers zum Gesetzes-Vorentwurf geäussert. Nun ist die Vernehmlassung abgeschlossen. Der Bericht über das Ergebnis des Vernehmlassungsverfahrens zeigt auf, dass das Thema brisanter ist, als es auf den ersten Blick scheinen mag:

Neben 48 eingeladenen Adressatinnen und Adressaten hatten sich auch 40 Gruppierungen und Personen unaufgefordert zu Wort gemeldet. Unter anderem ist es stark umstritten, ob der Staat die Herausgabe der eID tatsächlich privaten Anbietern überlassen soll.

Weitreichende Folgen


Warum sollen denn nicht Private, die vielleicht schon heute eigene elektronische Identitäten anbieten, künftig die offiziellen schweizweiten elektronischen Identitätskarten herausgeben? Ein Blick in den Vernehmlassungsbericht zeigt, dass es durchaus berechtigte Einwände geben mag:
  • Was, wenn der Anbieter seinem Identitätsmittel bereits selber Daten zugeordnet hat? Darf er diese Daten der eID-Registrierungsnummer zuordnen? Darf er weiterhin mit diesen Daten handeln, auch wenn das für die eID-Daten verboten ist?
  • Darf eine Person nur eine einzige eID besitzen? Ist sie also gezwungen, für niederschwellige und anspruchsvolle Dienste die gleiche eID zu verwenden?
  • Braucht es tatsächlich zusätzlich zur AHV-Nummer eine eID-Registrierungsnummer? Warum genügen nicht transaktionsbezogene, einmal verwendbare Authentisierungscodes? Warum kann nicht direkt die AHV-Nummer verwendet werden?
  • Macht es wirklich Sinn, für das elektronische Patientendossier und für den elektronischen Geschäftsverkehr die gleiche eID zu verwenden? Falls ja, müsste die eID-Registrierungsnummer nicht auch mit der Patientenidentifikationsnummer gemäss Bundesgesetz über das elektronische Patientendossier verbunden werden können? Und: Sollten im Bereich eHealth nicht auch die Gesundheitsinstitutionen eine elektronische Identität erhalten, damit der Patient sicher feststellen kann, ob er mit dem richtigen Patientendossier verbunden ist?
  • Müssen Identitätsanbieter die eIDs der anderen Identitätsanbieter anerkennen? Soll dabei als Bindeglied der Identitätsverbund Schweiz als Identitäts-Broker zum Einsatz kommen?
  • Welche Verantwortung hat der Shop, der den Einsatz der eID erlaubt? Gelten für ihn jeweils analoge Sicherheitsanforderungen wie an die verwendete eID-Sicherheitsstufe?

Gesetzesentwurf bis Sommer 2018


Für Laien ist die Tragweite der Fragen, die zum Teil durch Fachverbände im ICT-Bereich eingereicht wurden, kaum abzuschätzen. Das Eidgenössische Justiz- und Polizeidepartement (EJPD) hat nun den Auftrag, bis im Sommer einen Gesetzesentwurf auszuarbeiten. Bleibt zu hoffen, dass es den Beauftragten gelingt, auf die wichtigen Fragen aus der Vernehmlassung eine angemessene Antwort zu finden.


Weitere Informationen:
Bundesamt für Justiz: Eine staatlich anerkannte digitale Identität: Bundesrat bringt Gesetz bis Sommer 2018, Medienmitteilung vom 15. November 2017
Eidg. Justiz- und Polizeidepartement EJPD: Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) - Bericht über das Ergebnis des Vernehmlassungsverfahrens

Social Media

Twitter 
 
Auf Social Media teilen