Der Bundesrat hat am 1. Juni 2018 die Botschaft zum Bundesgesetz über elektronische Identifizierungsdienste zu Handen des Parlaments verabschiedet. Die verabschiedete Gesetzesversion stimmt in den meisten Punkten mit der Version aus der Vernehmlassung überein. Sie enthält aber auch einige bemerkenswerte Abweichungen. Viele Details bleiben noch offen.

Begrenzte Rolle des Staates

Die Aufgabe des Bundes beschränkt sich darauf, die Identitätsstelle zu betreiben und die Identitäts-Provider (IdP) zu anerkennen. Die Rolle der Identitäts-Provider kommt primär privaten Anbietern zu. Sie sollen eID-Systeme betreiben und natürlichen Personen eIDs ausstellen. Obwohl diese Rollenverteilung in der Vernehmlassung teilweise kritisiert wurde, bleibt der Bundesrat dabei: Die „vertrauensbildende Wirkung staatlicher Anerkennung und Aufsicht“ sollen „mit dem technologischen Knowhow und der Dynamik privatwirtschaftlicher Initiative“ kombiniert werden.

Wie die eIDs genau aussehen werden, soll laut dem vorliegenden Gesetz der Markt entscheiden. eIDs können auch rein virtueller Natur sein. Es ist also nicht unbedingt ein physischer Datenträger (z.B. Karte, Stick o.Ä.) erforderlich. In einer ersten Phase seien die meisten Staaten davon ausgegangen, dass eine eID auf Identitätskartenkonzepten aufbaue. Gerade das Beispiel des deutschen „elektronischen Personalausweises“ (ePA) zeige aber, dass solche Lösungen zu kompliziert und zu teuer seien. Etwa die Hälfte der deutschen Bevölkerung ist mit dem ePA ausgerüstet. Nur rund drei Prozent haben die Funktion aber bereits aktiviert und genutzt. Es zeige sich, dass „flexible Lösungen auf Smartphones eine höhere Akzeptanz erreichen“.

Staatliches Informationssystem

Die Identitätsstelle wird vom Bundesamt für Polizei (fedpol) betrieben. Sie führt ein Informationssystem, das die Personenidentifizierungsdaten enthält. Es dient zur Prüfung der eID-Anträge der Personen, die eine eID erhalten möchten. Zudem stellt es den Identitätsprovidern (IdP) die Identitätsdaten für den regelmässigen Datenabgleich zur Verfügung. Für die Verwaltung und Bestätigung der Identitäten stehen der Identitätsstelle die verschiedenen bereits vorhandenen Register zur Verfügung:

• Informationssystem Ausweisschriften des fedpol
• zentrales Migrationsinformationssystem (ZEMIS) des Staatssekretariats für Migration
• informatisiertes Personenstandsregister (Infostar) des Bundesamtes für Justiz
• Informationssystem Ordipro des Eidgenössischen Departements für auswärtige Angelegenheiten
• zentrales Versichertenregister (ZAS-UPI) der Zentralen Ausgleichsstelle.

Für den Fall, dass unterschiedliche Personenregister unterschiedliche Angaben liefern, wird eine spezielle Regelung erarbeitet.

Private Identitätsprovider

Wer staatlich anerkannte eIDs ausstellen möchte (=Identitäts-Provider), muss diverse Auflagen erfüllen. Um als Identitätsprovider aufzutreten, braucht er eine Anerkennung durch den Bund. Für diese Anerkennung ist das Informatiksteuerungsorgan (ISB) zuständig, das im Finanzdepartement angesiedelt ist. Falls kein Identitätsprovider für die Sicherheitsniveaus substanziell und hoch anerkannt ist, soll gemäss Gesetz der Bund einspringen.

Anerkannte Identitätsprovider stellen allen berechtigten Personen eIDs aus, sofern sie deren Identität erfolgreich prüfen konnten. Sie aktualisieren die von ihnen geführten Personenidentifizierungsdaten regelmässig durch eine automatisierte Abfrage anhand der eID-Registrierungsnummer. Je nach Sicherheitsniveau der eID sind die Daten in unterschiedlichen Zeitabständen (niedrig: jährlich, substanziell: quartalsweise oder hoch: wöchentlich) zu aktualisieren.

Identitätsprovider anerkennen sich gegenseitig. Sie müssen sicherstellen, dass die eID-Systeme interoperabel sind.

Vorschriften für Datenhaltung

Je nach Sicherheitsniveau enthält die eID unterschiedliche Personenidentifizierungsdaten. Für das Sicherheitsniveau niedrig sind dies die eID-Registrierungsnummer, der amtliche Name (Nachname), die Vornamen und das Geburtsdatum. Für das Sicherheitsniveau substanziell kommen das Geschlecht, der Geburtsort und die Staatsangehörigkeit hinzu. Für das Sicherheitsniveau hoch enthält die eID zusätzlich das Gesichtsbild. Das Gesichtsbild kann auch im Rahmen der Ausstellung einer eID des Sicherheitsniveaus substanziell genutzt werden. In diesem Fall muss es jedoch nach der Ausstellung sofort wieder gelöscht werden.

Für die privaten Identitätsprovider gelten strenge Vorschriften zum Umgang mit den Personendaten. Sie dürfen die vom fedpol übermittelten Personenidentifizierungsdaten ausschliesslich für Identifizierungsdienstleistungen verwenden. Sie müssen diese Daten von den Nutzungsdaten (= Daten, die im Rahmen von eID-verwendenden Diensten anfallen) und von weiteren Daten (beispielsweise eigenen Kundendaten) trennen. Die Nutzungsdaten sind nach sechs Monaten zu löschen.

eID-verwendende Dienste

Wer für einen Dienst die Identität der Kunden mittels eID überprüfen möchte, benötigt einen Vertrag mit einem Identitätsprovider (IdP). Wenn er die Identität eines Dienstleistungskunden überprüfen möchte, fragt er diese Daten beim Identitätsprovider ab. Bei der ersten Anfrage für einen Dienstleistungskunden holt der Identitätsprovider bei diesem Kunden das Einverständnis für die Übermittlung der abgefragten Daten ein.

eID-verwendende Dienste müssen jede eID akzeptieren, sofern sie für das erforderliche Sicherheitsniveau ausgestellt wurde. Wer elektronische Dienstleistungen anbietet, ist in der Regel frei, ob er die schweizerische eID oder beliebige elektronische Identitäten anderer Anbieter (z.B. Apple ID) nutzen möchte. Einzig für die Behörden besteht die Verpflichtung, für bestimmte Dienste die eID zu nutzen: Behörden, die für eine eGovernment-Anwendung Identifizierungsleistungen benötigen, „müssen mit mindestens einem Identitätsprovider eine Vereinbarung über die Verwendung eines eID-Systems abschliessen“, schreibt der Bundesrat.

Moderate Gebühren

Das ISB und die Identitätsstelle erheben für ihre Dienstleistungen Gebühren. Die Gebührenhöhe wird vom Bundesrat geregelt. Die Gebührenhöhe kann unterschiedlich ausfallen bei der Erstübermittlung (eID-Antrag) und bei der Aktualisierung der Personenidentifizierungsdaten. Für Abfragen zur Gültigkeit der eID-Registrierungsnummer werden keine Gebühren erhoben.

In seiner Botschaft schreibt der Bundesrat, dass die Gebühr für die Übermittlung von Personenidentifizierungsdaten „moderat“ ausfallen und sich „im Rahmen eines zweistelligen Rappenbetrags“ bewegen soll. Wer die eIDs kostenlos abgibt, könnte im Herausgabeprozess allenfalls die Personenidentifizierungsdaten auch kostenlos erhalten. Damit könnte die Verbreitung der eID beschleunigt werden, meint der Bundesrat.

Offenes und Bemerkenswertes

Es fällt auf, dass der vorliegende Gesetzesentwurf diverse Punkte nicht oder nicht im Detail regelt. Das könnte damit zusammenhängen, dass sich durch das enge Zusammenspiel zwischen öffentlichen und privaten Akteuren einige heikle Fragen stellen. Hier einige Beispiele:

• Beschaffungsverfahren für Behörden: Für Behörden seien Identitätsdienstleistungen „Informatikleistungen, die dem öffentlichen Beschaffungsrecht unterstehen“, heisst es im Bericht. Sie müssten also „ein Beschaffungsverfahren gemäss den anwendbaren Regeln ….“ durchführen. Ganz nebenbei wird angetönt, dass es noch eine andere Lösung gäbe: „… es sei denn, der Bundesrat bezeichnet eine Verwaltungseinheit, die ein eID-System für die Bedürfnisse der Behörden betreibt“.
• Identitätsverbund: Eine Verbindung zum im Rahmen von E-Government Schweiz geplanten Identitätsverbund, die ursprünglich erwogen wurde, ist nun nicht mehr vorgesehen. Zwei unabhängige Studien seien zum Schluss gekommen, dass die Interoperabilität auch ohne Identitätsverbund sichergestellt werden können, schreibt der Bundesrat in seiner Botschaft.
• Keine eIDs für juristische Personen: eIDs werden nur für natürlichen Personen ausgestellt. Zwar zeigte die Vernehmlassung, dass offenbar ein Bedürfnis bestehe, juristische Personen im Internet sicher zu identifizieren. Der Bundesrat verweist aber darauf, dass juristische Personen nur durch ihre Organe, beispielsweise die unterzeichnungsberechtigten natürlichen Personen, handlungsberechtigt seien. Aus diesem Grund brauche es keine eIDs für juristische Personen.
• Patientenidentifikationsnummer nicht übernommen: Anders als ursprünglich vorgesehen soll die eID nicht mit der Patientenidentifikationsnummer gemäss Verordnung über das elektronische Patientendossier gleichgesetzt werden. Sie soll im Gesundheitswesen ergänzend zur Patientenidentifikationsnummer zum Einsatz kommen und diese „mittelfristig wohl ablösen“.
• AHV-Nummer nur begrenzt verwendet: Die AHV-Nummer gehört nicht zu den Personenidentifizierungsdaten der eID. Allerdings verwendet das fedpol diese Nummer für den Datenaustausch mit den Personenregistern. Im Rahmen von eID-verwendenden Diensten wird die AHV-Nummer normalerweise nicht ausgeliefert. Einzige Ausnahme sind Dienste von Behörden, die zur Verwendung der AHV-Nummer berechtigt sind.

Mehr Informationen:

Bundesrat: Besserer Schutz im Internet mit der staatlich anerkannten digitalen Identität, Medienmitteilung vom 1. Juni 2018

Bundesamt für Justiz: Elektronische Identifizierung (E-ID), Dossier mit ergänzenden Unterlagen und Erklärvideo