https://www.i-web.ch/de/aktuelles/neuigkeiten/welcome.php?action=showinfo&info_id=34480&ls=0&sq=&kategorie_id=&date_from=&date_to=
08.12.2019 22:08:25


eID-Gesetz regelt Private-Public-Zusammenspiel

Es bleibt dabei: Gemäss Entwurf des eID-Gesetzes sollen private Identitätsprovider die neue eID abgeben. Eine neu zu schaffende Identitätsstelle des Bundesamts für Polizei soll die Identitäten verwalten und zur Verfügung stellen. Sie soll für ihre Dienstleistungen „moderate Gebühren erheben“. Die Betreiber eID-verwendender Dienste müssen mindestens mit einem Identitätsprovider einen Vertrag abschliessen. Das gilt insbesondere auch für Anbieter von eGovernment-Diensten.

Der Bundesrat hat am 1. Juni 2018 die Botschaft zum Bundesgesetz über elektronische Identifizierungsdienste zu Handen des Parlaments verabschiedet. Die verabschiedete Gesetzesversion stimmt in den meisten Punkten mit der Version aus der Vernehmlassung überein. Sie enthält aber auch einige bemerkenswerte Abweichungen. Viele Details bleiben noch offen.

 

Begrenzte Rolle des Staates

Die Aufgabe des Bundes beschränkt sich darauf, die Identitätsstelle zu betreiben und die Identitäts-Provider (IdP) zu anerkennen. Die Rolle der Identitäts-Provider kommt primär privaten Anbietern zu. Sie sollen eID-Systeme betreiben und natürlichen Personen eIDs ausstellen. Obwohl diese Rollenverteilung in der Vernehmlassung teilweise kritisiert wurde, bleibt der Bundesrat dabei: Die „vertrauensbildende Wirkung staatlicher Anerkennung und Aufsicht“ sollen „mit dem technologischen Knowhow und der Dynamik privatwirtschaftlicher Initiative“ kombiniert werden.

Wie die eIDs genau aussehen werden, soll laut dem vorliegenden Gesetz der Markt entscheiden. eIDs können auch rein virtueller Natur sein. Es ist also nicht unbedingt ein physischer Datenträger (z.B. Karte, Stick o.Ä.) erforderlich. In einer ersten Phase seien die meisten Staaten davon ausgegangen, dass eine eID auf Identitätskartenkonzepten aufbaue. Gerade das Beispiel des deutschen „elektronischen Personalausweises“ (ePA) zeige aber, dass solche Lösungen zu kompliziert und zu teuer seien. Etwa die Hälfte der deutschen Bevölkerung ist mit dem ePA ausgerüstet. Nur rund drei Prozent haben die Funktion aber bereits aktiviert und genutzt. Es zeige sich, dass „flexible Lösungen auf Smartphones eine höhere Akzeptanz erreichen“.

 

Staatliches Informationssystem

Die Identitätsstelle wird vom Bundesamt für Polizei (fedpol) betrieben. Sie führt ein Informationssystem, das die Personenidentifizierungsdaten enthält. Es dient zur Prüfung der eID-Anträge der Personen, die eine eID erhalten möchten. Zudem stellt es den Identitätsprovidern (IdP) die Identitätsdaten für den regelmässigen Datenabgleich zur Verfügung. Für die Verwaltung und Bestätigung der Identitäten stehen der Identitätsstelle die verschiedenen bereits vorhandenen Register zur Verfügung:

Für den Fall, dass unterschiedliche Personenregister unterschiedliche Angaben liefern, wird eine spezielle Regelung erarbeitet.

 

Private Identitätsprovider

Wer staatlich anerkannte eIDs ausstellen möchte (=Identitäts-Provider), muss diverse Auflagen erfüllen. Um als Identitätsprovider aufzutreten, braucht er eine Anerkennung durch den Bund. Für diese Anerkennung ist das Informatiksteuerungsorgan (ISB) zuständig, das im Finanzdepartement angesiedelt ist. Falls kein Identitätsprovider für die Sicherheitsniveaus substanziell und hoch anerkannt ist, soll gemäss Gesetz der Bund einspringen.

Anerkannte Identitätsprovider stellen allen berechtigten Personen eIDs aus, sofern sie deren Identität erfolgreich prüfen konnten. Sie aktualisieren die von ihnen geführten Personenidentifizierungsdaten regelmässig durch eine automatisierte Abfrage anhand der eID-Registrierungsnummer. Je nach Sicherheitsniveau der eID sind die Daten in unterschiedlichen Zeitabständen (niedrig: jährlich, substanziell: quartalsweise oder hoch: wöchentlich) zu aktualisieren.

Identitätsprovider anerkennen sich gegenseitig. Sie müssen sicherstellen, dass die eID-Systeme interoperabel sind.

 

Vorschriften für Datenhaltung

Je nach Sicherheitsniveau enthält die eID unterschiedliche Personenidentifizierungsdaten. Für das Sicherheitsniveau niedrig sind dies die eID-Registrierungsnummer, der amtliche Name (Nachname), die Vornamen und das Geburtsdatum. Für das Sicherheitsniveau substanziell kommen das Geschlecht, der Geburtsort und die Staatsangehörigkeit hinzu. Für das Sicherheitsniveau hoch enthält die eID zusätzlich das Gesichtsbild. Das Gesichtsbild kann auch im Rahmen der Ausstellung einer eID des Sicherheitsniveaus substanziell genutzt werden. In diesem Fall muss es jedoch nach der Ausstellung sofort wieder gelöscht werden.

Für die privaten Identitätsprovider gelten strenge Vorschriften zum Umgang mit den Personendaten. Sie dürfen die vom fedpol übermittelten Personenidentifizierungsdaten ausschliesslich für Identifizierungsdienstleistungen verwenden. Sie müssen diese Daten von den Nutzungsdaten (= Daten, die im Rahmen von eID-verwendenden Diensten anfallen) und von weiteren Daten (beispielsweise eigenen Kundendaten) trennen. Die Nutzungsdaten sind nach sechs Monaten zu löschen.

 

eID-verwendende Dienste

Wer für einen Dienst die Identität der Kunden mittels eID überprüfen möchte, benötigt einen Vertrag mit einem Identitätsprovider (IdP). Wenn er die Identität eines Dienstleistungskunden überprüfen möchte, fragt er diese Daten beim Identitätsprovider ab. Bei der ersten Anfrage für einen Dienstleistungskunden holt der Identitätsprovider bei diesem Kunden das Einverständnis für die Übermittlung der abgefragten Daten ein.

eID-verwendende Dienste müssen jede eID akzeptieren, sofern sie für das erforderliche Sicherheitsniveau ausgestellt wurde. Wer elektronische Dienstleistungen anbietet, ist in der Regel frei, ob er die schweizerische eID oder beliebige elektronische Identitäten anderer Anbieter (z.B. Apple ID) nutzen möchte. Einzig für die Behörden besteht die Verpflichtung, für bestimmte Dienste die eID zu nutzen: Behörden, die für eine eGovernment-Anwendung Identifizierungsleistungen benötigen, „müssen mit mindestens einem Identitätsprovider eine Vereinbarung über die Verwendung eines eID-Systems abschliessen“, schreibt der Bundesrat.

 

Moderate Gebühren

Das ISB und die Identitätsstelle erheben für ihre Dienstleistungen Gebühren. Die Gebührenhöhe wird vom Bundesrat geregelt. Die Gebührenhöhe kann unterschiedlich ausfallen bei der Erstübermittlung (eID-Antrag) und bei der Aktualisierung der Personenidentifizierungsdaten. Für Abfragen zur Gültigkeit der eID-Registrierungsnummer werden keine Gebühren erhoben.

In seiner Botschaft schreibt der Bundesrat, dass die Gebühr für die Übermittlung von Personenidentifizierungsdaten „moderat“ ausfallen und sich „im Rahmen eines zweistelligen Rappenbetrags“ bewegen soll. Wer die eIDs kostenlos abgibt, könnte im Herausgabeprozess allenfalls die Personenidentifizierungsdaten auch kostenlos erhalten. Damit könnte die Verbreitung der eID beschleunigt werden, meint der Bundesrat.

 

Offenes und Bemerkenswertes

Es fällt auf, dass der vorliegende Gesetzesentwurf diverse Punkte nicht oder nicht im Detail regelt. Das könnte damit zusammenhängen, dass sich durch das enge Zusammenspiel zwischen öffentlichen und privaten Akteuren einige heikle Fragen stellen. Hier einige Beispiele:

 

Mehr Informationen:

Bundesrat: Besserer Schutz im Internet mit der staatlich anerkannten digitalen Identität, Medienmitteilung vom 1. Juni 2018

Bundesamt für Justiz: Elektronische Identifizierung (E-ID), Dossier mit ergänzenden Unterlagen und Erklärvideo

 



Datum der Neuigkeit 18. Juni 2018

Diesen Eintrag anschauen bei Link zu Twitter

  zur Übersicht