Der Nationalrat setzt auf die elektronische Identität und hat dem E-ID Gesetz zugestimmt.

Der Nationalrat hat in der Frühlingssession am 20.03.2019 dem Entwurf zum Bundesgesetz über elektronische Identifizierungsdienste (E-BGEID) zugestimmt und damit einen wichtigen Schritt in Richtung staatlich anerkannte elektronischen Identität (E-ID) gemacht.

Das wichtigste in Kürze:

1. Das E-ID Gesetz schafft die gesetzliche Grundlage für die Herausgabe von elektronischen Identifizierungsmittel auf Basis von staatlich bestätigten Daten und ermöglicht natürlichen Personen die sichere und einfache Identifikation im elektronischen Geschäftsverkehr mit Unternehmen und Behörden.

2. Im Gegensatz zur physischen Identität soll bei elektronischen Identifizierungsmitteln ein Zusammenwirken von Staat und Privatwirtschaft zum Tragen kommen. Der Bund bleibt weiterhin für die Überprüfung und Bestätigung der Identität einer Person zuständig und ist für die Anerkennung und Überwachung der Identitätsanbieter verantwortlich. Die Entwicklung und Ausgabe von elektronischen Identifizierungsmitteln übernehmen staatlich anerkannte und beaufsichtige Privatunternehmen.

3. Es wird zwischen den Sicherheitsniveaus hoch, substanziell und tief unterschieden, da nicht alle Geschäftsprozesse identische Sicherheitsanforderungen haben. Die Sicherheitsniveaus unterscheiden sich primär durch die Anzahl Attribute sowie technisch und operationelle Anforderungen bei der Registrierung und Authentifizierung.

4. Beim E-BGEID wurde auf die Kompatibilität mit bestehenden internationalen Verpflichtungen geachtet und auf die Möglichkeit der Notifizierung nach der eIDAS-Verordnung. In Anbetracht der hohen geschäftlichen und gesellschaftlichen Verflechtung mit den meisten EU-Mitgliedsstaaten ist von einem grundsätzlichen Schweizer Interesse auszugehen, in der Zukunft in das europäische System für die Interoperabilität von E-ID eingebunden zu werden.

5. Der Zugang zur E-ID soll erleichtert werden, sodass die E-ID beim via Identitätsanbieter beim fedpol wie auch auf dem Passbüro beantragt werden kann. Identitätsanbietern, die bereits ein physisches Filialnetz betreiben (z.B. Banken), können ebenfalls Unterstützung zur physischen Beantragung der E-ID anbieten.

6. Datenschutz steht im Zentrum der elektronischen Identität. In gewissen Bereichen geht das Bundesgesetz über elektronische Identifizierungsdienste über das heutige Schutzniveau des DSG hinaus. Auch das heutige Datenschutzgesetz befindet sich zurzeit in einer Totalrevision könnte beim Inkrafttreten wichtige Implikationen auf die E-ID haben.

Weitere Informationen zur Total-Revision des Datenschutzgesetzes

7. Wichtige Aspekte sind noch offen und werden auf Verordnungsstufe geregelt. Der Bundesrat hat dadurch eine grosse Verantwortung bei der Umsetzung. Zunächst wird aber die Vorlage von der Rechtskomission des Ständerates und dann von der kleinen Kammer selbst behandelt. Ein Inkrafttreten der Vorlage ist frühestens im Jahr 2020/2021 zu erwarten, sofern kein Referendum ergriffen wird.

Was bedeutet die Einführung einer elektronischen Identität für Ihr Unternehmen?

Die wichtigsten E-ID-Anforderungen sind im E-BGEID festgelegt, aber es gibt weitere Bestimmungen, die eingehalten werden müssen. Neben den rechtlichen Fragen, hat die Einführung einer elektronischen Identität in die Geschäftstätigkeiten eines Unternehmens weitreichende transformatorische Auswirkungen auf unterschiedlichen Ebenen:

• Welche Rolle hat mein Unternehmen im E-ID Ökosystem? Wie positioniere ich mein Unternehmen und mit wem gehe ich welche (vertraglichen) Beziehungen ein?
• Wie verändert die elektronische Identität meine Produkt- Distributions- und Preisstrategie? 
• Welche Auswirkungen hat die elektronische Identität auf meine On-boarding und Authentifizierungsprozesse und welche Kostenersparnisse lassen sich dadurch realisieren?
• Welche Anpassungen sind auf der Technologieebene nötig?
  
  

Mehr Informationen zur E-ID und der Debatte im Nationalrat

Die Notwendigkeit einer staatlich anerkannten elektronischen Identität ist unbestritten

Angesichts der stetig zunehmenden Anzahl von digital abgewickelten Transaktionen war die Notwendigkeit einer elektronischen Identität im grossen Rat grösstenteils unbestritten. Das Anwendungsfeld ist breit gefächert und reicht vom Online-Shopping über die Eröffnung eines Bankkontos bis hin zur Nutzung von staatlichen Dienstleistungen wie zum Beispiel dem Bezug eines Strafregisterauszuges.

Das E-ID Gesetz schafft nun die gesetzliche Grundlage für eine staatliche anerkannte elektronische Identität und ermöglicht natürlichen Personen die sichere und einfache Identifikation im elektronischen Geschäftsverkehr mit Unternehmen und Behörden. Die Vorlage regelt den gesamten Lebenszyklus von elektronischen Identifizierungsmitteln von der Ausstellung bis zum Wiederruf und legt die Rechte und Pflichten der verschiedenen Akteure im Ökosystem einer elektronischen Identität fest.

Die Kardinalfrage im E-ID Ökosystem ist die Rolle des Staates

Die grundlegende Stossrichtung des E-BGEID mit einer Rollenverteilung zwischen Staat und Privatwirtschaft wurde bei der Eintrittsdebatte des Nationalrates kontrovers diskutiert. Die Ausgabe von physischen Identifizierungsmitteln wie dem Schweizer Pass, der ID oder dem Ausländerausweis ist eine exklusive Aufgabe des Bundes. Im Falle der E-ID sieht das E-BGEID ein Zusammenwirken zwischen Staat und Privatwirtschaft vor.

Der Staat soll weiterhin eine zentrale Rolle spielen und ist für die amtliche Überprüfung und Bestätigung der Identität einer Person verantwortlich. Die Feststellung einer Identität soll durch eine neu geschaffene Identitätsstelle beim fedpol auf Basis von Daten aus existierenden staatlichen Informationssystemen vorgenommen werden. Anders als im physischen Raum, sollen elektronische Identifizierungsmittel durch staatlich anerkannte und beaufsichtigte Privatunternehmen, sogenannte Identitätsanbieter, entwickelt und ausgegeben werden.

Eine Minderheit votierte für Eintreten und Rückweisung der Vorlage an den Bundesrat mit dem Auftrag, eine Vorlage auszuarbeiten, in der die Ausstellung einer E-ID als öffentliche Aufgabe festgeschrieben wird, die mittels Leistungsauftrag an Private übertragen werden kann. Die Mehrheit der grossen Kammer befürwortete aber ein Zusammenwirken von Staat und Wirtschaft und lehnte den Antrag der Minderheit mit 131 zu 53 Stimmen ab. Die Kombination von vertrauensfördernden staatlichen Anerkennung und privatwirtschaftlicher Dynamik soll eine sichere und benutzerfreundliche Lösung ermöglichen und damit den Erfolg der E-ID sicherstellen.

Der Zugang zur E-ID soll erleichtert werden

In der Detailberatung zum E-BGEID setzte sich der Nationalrat für einen erleichterten Zugang zur E-ID ein und befürwortete zwei Minderheitsanträge. Die Ausstellung einer E-ID erfolgt gemäss Art. 6 Abs. 1 E-BGEID auf Antrag des Nutzers beim fedpol über den Identitätsanbieter. Ergänzend soll die E-ID neu auch auf dem Passbüro beantragt werden können, um technisch weniger versierten Nutzern den Zugang zum E-ID System zu erleichtern. Hier ist anzumerken, dass es auch einem Identitätsanbieter grundsätzlich möglich ist, eine Form zur physischen Beantragung der E-ID zu unterstützen. Gerade für Identitätsanbieter wie Banken, die bereits ein physisches Filialnetz betreiben, könnten so die Verbreitung einer elektronischen Identität beschleunigen. Auch für Menschen mit Behinderungen soll bei der Beantragung einer E-ID kein Nachteil entstehen. Ein entsprechender Minderheitsantrag wurde auch vom Bundesrat unterstützt und vom Nationalrat angenommen.

Drei verschiedene Sicherheitsniveau sind vorgesehen

Im E-ID Gesetz wird zwischen den Sicherheitsniveaus hoch, substanziell und tief unterschieden, da nicht alle Geschäftsprozesse identische Sicherheitsanforderungen haben. Ein einfacher Ticketkauf für den öffentlichen Verkehr erfordert nicht gleich hohe Sicherheitsvorkehrungen wie die Eröffnung eines Bankkontos oder das E-Voting. Unnötig strikte Sicherheitsanforderungen können von den Nutzern als Bürde wahrgenommen werden und die Verbreitung der E-ID gefährden. Die Sicherheitsniveaus unterscheiden sich primär durch die Anzahl Attribute, die Frequenz der Aktualisierung der Attribute sowie technisch und operationelle Anforderungen bei der Registrierung und Authentifizierung. Je höher das Sicherheitsniveau, für umso sensitivere Anwendungen kann die E-ID eingesetzt werden.

Der Datenschutz hat für die elektronische Identität höchste Priorität

Bei der Ausstellung und Verwendung einer elektronischen Identität werden sensitive und personenbezogene Daten bearbeitet. Datenschutz und Datensicherheit geniessen deshalb im Nationalrat höchste Priorität. Dies wiederspiegelt sich auch im Entwurf des Bundesrates. In gewissen Bereichen geht das Bundesgesetz über elektronische Identifizierungsdienste sogar über das heutige Schutzniveau des DSG hinaus. So darf beispielsweise der Identitätsanbieter der Betreiberinnen von E-ID-verwendenden Diensten nur die Personenidentifizierungsdaten weitergeben in deren Übermittlung die Inhaberin oder der Inhaber der E-ID eingewilligt hat. Bei der Anwendung der E-ID entstehende Protokolldaten müssen vom Identitätsanbieter nach sechs Monaten wieder gelöscht werden. Ein Minderheitsantrag auf sofortige Löschung wurde aus Gründen der Nachvollziehbarkeit abgelehnt. Zudem müssen Personenidentifizierungsdaten, Nutzungsdaten und weitere Daten segregiert gehalten werden. Auch das heutige Datenschutzgesetz befindet sich zurzeit in einer Totalrevision könnte beim Inkrafttreten wichtige Implikationen auf die E-ID haben.

Weitere Informationen unter: E-DSG - Revision des Schweizer Datenschutzgesetzes

Grosse Verantwortung bei der Umsetzung für den Bundesrat

Der aktuelle Entwurf des E-ID Gesetztes weist eine ungewöhnlich hohe Zahl (deren 13) an Delegationsnormen auf. Wichtige Aspekte wie beispielsweise das Verfahren zur Überprüfung der Ausweise (Art. 3 Abs. 2, E-BGEID) oder die technischen und organisatorischen Vorgaben zur Anerkennung der Identitätsanbieter (Art. 13, Abs. 4, E-BGEID) und der Sicherheitsniveaus (Art. 13, Abs. 4, E-BGEID) sollen auf Verordnungsebene geregelt werden. Dies ist angesichts des dynamischen Umfeldes und der in vielen Bereichen hohen technischen Komplexität grundsätzlich angebracht. Dem Bundesrat hat damit bei der Umsetzung aber eine hohe Verantwortung, die verschiedenen Anliegen aller involvierten Parteien zu berücksichtigen. In diesem Zusammenhang hat der Bundesrat auch eine Vernehmlassung der Verordnungen angekündigt.