Skip to content Skip to footer
Suche

Ergebnisse laden

Entwurf zum Bundesgesetz über elektronische Identifizierungsdienste [E- BGEID]

Philipp Rosenauer Head Data Privacy | ICT | Implementationᐩ, PwC Switzerland 08 Mrz 2019

Der Bundesrat hat am 1. Juni 2018 eine Botschaft für ein Bundesgesetz über elektronische Identifizierungsdienste (E-BGEID) verabschiedet. Das E-BGEID legt die Basis für die Herausgabe elektronischer Identifizierungsmittel durch staatlich bestätigte, eindeutige, sichere Daten und durch die Sicherstellung der Standardisierung und Interoperabilität von benutzerfreundlichen E-ID. 

Im heutigen digitalen Zeitalter ist das Internet allgegenwärtig und die Schranken zwischen physischer und digitaler Welt verschwinden immer mehr. Durch die rasanten technologischen Entwicklungen verlagern sich auch die Geschäftsprozesse immer weiter in den digitalen Raum. Darum besteht vermehrt der gesellschaftliche Bedarf, sich und die Geschäftspartner im digitalen Raum sicher identifizieren zu können. Es existieren heute bereits etliche elektronische Identitätsnachweise (E-ID) mit den unterschiedlichsten Sicherheitsniveaus, z.B. Apple-ID, Google-ID oder SuisseID. Diese sind schon in etlichen Diensten verbunden, wie E-Banking, Logins für elektronisches Patientendossier, Versicherungen oder Zahlungsprozesse bei Onlineshops. Jedoch existiert gegenwärtig in der Schweiz noch keine staatlich anerkannte digitale Identität, mit welcher sich End User im Internet sicher und mit voller Kontrolle über die eigenen Daten bewegen können. 

Deshalb sollen nun klare Regeln für die Ausstellung und Anerkennung von E-ID erlassen werden: Der Bundesrat hat hierzu am 1. Juni 2018 eine entsprechende Botschaft für ein Bundesgesetz über elektronische Identifizierungsdienste (E-BGEID) verabschiedet. Die Kommission des Nationalrats hat in ihrer Sitzung am 25. Januar 2019 den bundesrätlichen Entwurf zum E-BGEID befürwortet. Entsprechend wird der Entwurf nun vom Nationalrat behandelt.

Das E-BGEID legt die Basis für die Herausgabe elektronischer Identifizierungsmittel durch staatlich bestätigte, eindeutige, sichere Daten und durch die Sicherstellung der Standardisierung und Interoperabilität von benutzerfreundlichen E-ID. 

Die Trennung zwischen Staat und Privatwirtschaft würde hohe Sicherheitsstandards ermöglichen, die jedoch flexibel genug wären, mit dem technologischen Fortschritt mitzuhalten. Dadurch könnte insbesondere die Schweizer Finanzbranche profitieren. 

Schweizer Banken sind geradezu prädestiniert als Anbieter von elektronischen Identitätsleistungen (Identity Provider, IdP) aufgrund ihrer hohen Kundenabdeckung, sicheren Authentifizierungsmitteln und dem Kundenvertrauen im Bereich E-Banking. So wären ohne Mehraufwand E-ID-Systeme aus den bestehenden E-Banking-Systemen zu betreiben und anerkannte E-ID auszustellen, mittels welcher bei Partnern, z.B. Onlineshops, Login- und Zahlungsdaten so verknüpft sind, dass ein neues Einkaufserlebnis geschaffen werden kann. Dieses wäre sicher, schnell und einfach zu bedienen. Ebenso wäre es Banken möglich, dass sie den Neukunden durch bereits bestehende entsprechende E-ID ein Bankkonto eröffneten oder Kredite auf diesem Weg für jene einfach und mühelos aufnehmen liessen. Für eine möglichst rasche Kreditbewilligung wäre gegebenenfalls eine «Live-Bonitätsprüfung» möglich, indem die E-ID mit zusätzlichen Informationen versehen würde. 

Regelungsinhalt

Die als anerkannte IdP agierenden Schweizer Banken sowie ihre anerkannten E-ID-Systeme würden vom Informatiksteuerungsorgan des Bundes (ISB) künftig in einer Liste geführt, gepflegt und veröffentlicht. Das ISB erhält u.a. die Kompetenz, die organisatorischen und technischen Vorgaben für die Anerkennung von als IdP agierenden Banken zu erarbeiten und pflegen. Weiter soll das ISB ein Informationssystem für die Anerkennung, Aufsicht und Überwachung der IdP führen.  

Auf der einen Seite würden Banken, die als IdP agierten, verschiedene zusätzliche Aufgaben auferlegt wie bspw. Ausstellung der E-ID, Betrieb von mindestens einem E ID-System, Einhaltung der Sicherheitsanforderungen, Aktualisierung der Personenidentifikationsdaten jeweils nach Sicherheitsniveau, Fehlermeldung an die Fedpol, Meldung sicherheitsrelevanter Vorkommnisse an das ISB, Gewährung des Onlinezugangs, etc.  

Auf der anderen Seite könnten die anvisierten Bankkunden als natürliche Personen dank ihrer bestehenden Benutzerdaten eine E-ID ohne irgendeinen weiteren Registrierungsprozess generieren. Dies ist gerade insofern von Vorteil, als die Verwendung der E-ID für sie maximal einfach handhabbar sein soll, sodass eine möglichst hohe Zahl von ihnen als Bankkunden in Zukunft vermehrt und/oder hauptsächlich mit E-ID-verwendenden Diensten Onlinegeschäfte tätigt, was zu einer erhöhten Kundenbindung führt. 

Das E-BGEID sieht entsprechend der Bezeichnung und Ausgestaltung der europäischen eIDAS-Verordnung  drei in Kaskaden verlaufende Sicherheitsniveaus, jeweils nach Ausstellungsprozess, Regeln für die Anwendung, Betrieb – wie insbesondere die periodische Aktualisierung der Personenidentifizierungsdaten, Datenzuordnung und weitere technische oder organisatorische Sicherheitsmassnahmen: 

  • «niedrig», d.h. E-ID mit E-ID-Registrierungsnummer, amtlichem Namen, Vornamen und Geburtsdatum als Basisdaten zur Minderung der Gefahr des Identitätsmissbrauchs und der Identitätsveränderung;
  • «substanziell», d.h. E-ID mit Geschlechtsangabe, Geburtsort, Staatsangehörigkeit als ergänzende Daten zum hohen Schutz gegen Identitätsmissbrauch und Identitätsveränderung; und
  • «hoch», d.h. mit zusätzlichem Gesichtsbild aus dem Informationssystem ebenso als ergänzende Daten zum höchstmöglichen Schutz gegen Identitätsmissbrauch und Identitätsveränderung.

Es ist geplant, alle für das geforderte Sicherheitsniveau ausgestellten E-ID von den Betreibern von E-ID-verwendenden Diensten zu akzeptieren. Schweizer Banken könnten mit einer Einstufung ihrer auszustellenden E-ID in das Sicherheitsniveau «hoch» rechnen. 

Neuerungen und zukünftige Anpassungen

Sollte das E-BGEID in der jetzigen Fassung in Kraft treten, würde die Digitalisierung der Wirtschaft einen enormen Sprung nach vorn machen. Die Geschäftsprozesse würden erheblich vereinfacht, anspruchsvolle Geschäfte würden elektronisch und damit massgeblich effizienter werden. Die Schweizer Banken könnten zudem ihre eigenen Kosten erheblich senken, insbesondere im KYC-Bereich (Know Your Customer). Zudem eröffneten sich für sie viele bedeutende neue Geschäftsfelder. 

Schliesslich wurde beim E-BGEID auf die Vereinbarkeit mit bestehenden internationalen Verpflichtungen geachtet und auf die Möglichkeit der Notifizierung nach der eIDAS-Verordnung. In Anbetracht der hohen geschäftlichen und gesellschaftlichen Verflechtung mit den meisten EU-Mitgliedsstaaten ist von einem grundsätzlichen Schweizer Interesse auszugehen, in der Zukunft in das europäische System für die Interoperabilität von E-ID eingebunden zu werden.

Wie PwC Schweiz Ihrem Unternehmen helfen kann

Die wichtigsten E-ID-Anforderungen für die Anerkennung und Ausstellung sind im E-BGEID festgelegt, aber es gibt weitere Bestimmungen, welche in diesem Zusammenhang eingehalten werden müssen. E-ID ist ein komplexes Thema, insbesondere, wenn Herausgeber einer E-ID in mehreren Staaten präsent sind und somit unterschiedlichen Gesetzgebungen unterliegen.

Welche Vorschriften gelten, wann muss gehandelt werden und welche Prozesse sind dabei umzusetzen?

Unsere PwC-Experten helfen Ihnen, sämtliche relevanten Bestimmungen einzuhalten:

  • Assessment und Analyse des Handlungsbedarfs
  • Erfassung der unternehmensrelevanten Daten
  • Entwicklung eines Aktionsplans
  • Implementierung der Compliance-Massnahmen

 

 

Kontaktieren Sie uns

Philipp Rosenauer

Philipp Rosenauer

Head Data Privacy | ICT | Implementationᐩ, PwC Switzerland

Tel.: +41 58 792 18 56

Morris Naqib

Morris Naqib

Director, Finance Risk and Regulatory Transformation, PwC Switzerland

Tel.: +41 58 792 42 83