Gesetzes-Vorentwurf für künftige eIDs
Beschränkte Rolle des Bundes
Das Bundesamt für Polizei arbeitet seit 2012 an einem Konzept zum Thema elektronischer Identitätsnachweis (eID). Dabei kam es zum Schluss, dass der Bund nicht in der Lage sei, selber eine Lösung für die elektronische Identifikation herauszugeben, die mit der technischen Entwicklung mithalten könnte. Stattdessen solle er sich darauf beschränken, marktwirtschaftliche eID-Anbieter und deren eIDs zu anerkennen und zudem einen „staatlichen Identitätsdienst“ bereitzustellen. Im Januar 2016 nahm der Bundesrat Kenntnis von diesem Ergebnis und beauftragte das Eidg. Justiz- und Polizeidepartement damit, eine Vernehmlassungsvorlage zum künftigen eID-Konzept auszuarbeiten.
Inhalte des eID-Gesetzes
Am 22. Februar legte der Bundesrat nun einen Vorentwurf zu einem Bundesgesetz über anerkannte elektronische Identifizierungseinheiten vor. Darin definiert er die rechtlichen Rahmenbedingungen rund um elektronische Identifizierungsmittel und insbesondere
- für die Anerkennung der Anbieter von Identitätsdienstleistungen und ihrer eID-Systeme
- für die Aufsicht über die Anbieter von Identitätsdienstleistungen
- für die Halter von eIDs
- für die Betreiber von eID-verwendenden Diensten
- für die neu zu schaffenden staatlichen Stellen.
Neue Aufgabenteilung
Im erläuternden Bericht zum Gesetzes-Vorentwurf hält das Bundesamt für Justiz fest, dass sich heute in der Schweiz und international verschiedenste marktwirtschaftliche elektronische Identifizierungsangebote verbreiteten. Beispiele sind die Apple-ID, die Google ID, die Mobile ID, die OpenID, die SuisseID oder der SwissPass der SBB. Diese marktwirtschaftlichen eID-Angebote könne und solle der Staat nicht konkurrenzieren.
Zugleich ist es aber für die Abwicklung von anspruchsvolleren elektronischen Geschäftsprozessen wichtig, dass die Beteiligten ausreichendes Vertrauen in die Identität und Authentizität des Gegenübers haben. Privatwirtschaftliche Identitätsanbieter stossen hier an ihre Grenzen. Hingegen verfügt der Bund über die nötige Vertrauenswürdigkeit, um durch die Aufsicht über die Identitätsanbieter mehr Rechtssicherheit zu schaffen. Zu diesem Zweck soll der Bund eine Anerkennungsstelle für Identitätsanbieter führen, die gemäss dem Gesetzes-Vorentwurf beim eidgenössischen Finanzdepartement angesiedelt werden soll.
Staatliche Identitätsstelle
Eine weitere wichtige Aufgabe des Staates sieht der Gesetzes-Vorentwurf darin, eine „Stelle für elektronische Identität“ zu führen. Diese Identitätsstelle erbringt Dienstleistungen für die Anbieter anerkannter elektronischer Identitäten (Identity Provider IdP). Insbesondere ordnet sie den von IdPs ausgestellten Identitäten Personenidentifizierungsdaten zu und übermittelt diese an den IdP. Sie führt zu diesem Zweck ein Informationssystem, das Zugriff auf die folgenden staatlichen Personenregister haben soll:
- Informationssystem für Ausweisschriften (ISA)
- Zentrales Migrationsinformationssystem (ZEMIS)
- Elektronisches Personenstandsregister (Infostar)
- Zentralregister der zentralen Ausgleichsstelle der AHV (ZAS-UPI).
Die staatliche Identitätsstelle soll ihr Informationssystem mit den staatlichen Personenregistern abgleichen und allfällige Widersprüche gemäss definierten Vorgaben lösen. Zugleich soll sie laut dem Gesetzes-Vorentwurf sicherstellen, „dass der IdP die Gültigkeit der eID-Registrierungsnummer jederzeit zuverlässig und kostenlos überprüfen kann“. Die Identitätsstelle soll im eidgenössischen Justiz- und Polizeidepartements (fedpol) angesiedelt sein.
Identitätsabgleich
Für die anerkannte elektronische Identität sind drei verschiedene Vertrauensstufen vorgesehen. Welcher Stufe eine eID zuzuordnen ist, hängt unter anderem von der Zuverlässigkeit des Registrierungsvorgangs bei der Ausstellung der eID und von der Zuverlässigkeit der Personen-Identifikation bei der Anwendung ab. Beim Registrierungsvorgang sind für ein hohes Sicherheitsniveau eine persönliche Vorsprache oder eine „gleichwertige virtuelle Präsenz (z.B. Videoidentifikation)“ erforderlich. Dabei muss die Person einen Ausweis vorlegen, und der IdP muss die Angaben des Ausweises durch die Identitätsstelle bestätigen lassen. Die Identitätsstelle vergleicht die übermittelten Ausweisdaten mit den Daten der staatlichen Personenregister, ordnet die bestätigten Personendaten einer eID-Registrierungsnummer zu und übermittelt die Personendaten und die eID-Registrierungsnummer an den IdP. Der IdP ordnet daraufhin der Person ein „Authentifizierungsmittel“ (=eID-Trägermittel) zu, mit dem sie sich künftig online identifizieren kann.
Weitere Informationen:
Bundesrat: Elektronische Identität: Bundesrat will den nötigen Rahmen schaffen, Medienmitteilung, 22. Februar 2017
Bundesgesetz über anerkannte elektronische Identifizierungseinheiten (E-ID-Gesetz) - Vorentwurf
Bundesamt für Justiz: Erläuternder Bericht zum Vorentwurf des Bundesgesetzes über anerkannte elektronische Identifizierungseinheiten, 22. Februar 2017