Auf Einladung von Bundesrätin Karin Keller-Sutter und Bundeskanzler Walter Thurnherr waren wir im Rahmen des Beirats «Digitale Schweiz» mit ausgewählten Vertreter:innen aus Politik, Wirtschaft, Wissenschaft und Zivilgesellschaft zur künftigen Schweizer E-ID-Lösung im Austausch. Grundlage bildete das gleichzeitig veröffentlichte Diskussionspapier zum «Zielbild E-ID». Damit begann auch die öffentliche Konsultation, zu der wir heute schriftlich Stellung genommen haben.
Vorbemerkungen
Die Digitale Gesellschaft war massgeblich am erfolgreichen Referendum gegen das E-ID-Gesetz beteiligt und brachte sich aktiv in die Abstimmungsdebatte ein. Dabei war es uns immer wichtig, weder die E-ID noch die Digitalisierung per se zu verhindern. Vielmehr muss die Frage gestellt werden, wem der technologische Fortschritt dient. Als zivilgesellschaftliche Organisation setzen wir uns dafür ein, dass (auch) die Ausstellung des digitalen Ausweises eine staatliche Aufgabe bleibt. Im Zentrum müssen der Nutzen für die Inhaber:innen der E-ID sowie die Sicherheit und der Datenschutz stehen.
Zu den einzelnen Fragen
Welches sind die drei wichtigsten Anforderungen an eine staatliche E-ID als digitaler Ausweis?
Die E-ID muss den datenschutzrechtlichen Grundprinzipien «Privacy by Design» und «Privacy by Default» strikt folgen, wie es auch das neue Datenschutzgesetz explizit fordert. Dies bedeutet, dass eine möglichst dezentrale Architektur gewählt wird, bei der die beglaubigten Attribute (wie Name, Geburtsdatum, Wohnort oder Berechtigung zum Führen eines Fahrzeuges) lokal und sicher bei den Benutzer:innen als elektronischer Ausweis (beispielsweise in einem «Wallet») gespeichert werden und direkt einer prüfenden Instanz (wie ein Portal zur Einreichung der Steuererklärung) vorgewiesen werden können. Eine solche Nutzung muss möglichst anonym bzw. datensparsam möglich sein, so dass beispielsweise bei der Überprüfung des Alters weder das genaue Geburtsdatum noch bei der Überprüfung des Covid-Zertifikates der Name bekannt gegeben werden müssen. Für die höchste Sicherheitsstufe muss ein Hardwaretoken (Karte, Stick oder auch Chip) zum Einsatz kommen können.
Neben dem Datenschutz muss der Nutzen für die Inhaber:innen im Zentrum stehen. Eine E-ID muss flexibel verwendbar sein und sollte nicht allein als digitale Identitätskarte dienen. Eine Nutzung muss auf mehreren, verschiedenen Geräten (Smartphone, Tablet, Notebook, Smart Watch, Desktop-Computer) möglich sein. Sie muss international einsetzbar und daher möglichst EU-kompatibel sein. Die Ausstellung und die Verwendung müssen gratis sowie die Implementierung mit möglichst geringen Kosten verbunden sein.
Um die Kosten gering zu halten, das nötige Vertrauen zu schaffen und für die notwendige Verbreitung zu sorgen, müssen die Software sowie Beispiel-Implementierungen unter einer Open-Source-Lizenz entwickelt und veröffentlicht werden und ausnahmslos auf offenen Schnittstellen (APIs) und Standards basieren.
Welche Anwendungsfälle der E-ID stehen im Vordergrund?
Die E-ID ist in erster Linie ein digitaler Ausweis, der für die Identifikation und zur Bestätigung verschiedener Tatsachen (Alter, Aufenthaltsstatus, Covid-Status, Krankenversicherung) verwendet werden kann. Die Identifikation kann auch zum Onboarding für weitere, unabhängige Identitätsdienste verwendet werden. Es geht bei der E-ID aber nicht darum, ein allgemeines Login für alltägliche Online-Dienste (wie Webshops) zu schaffen.
Die E-ID soll zudem ein gesichertes Login (Zwei- oder Multi-Faktor-Authentisierung) ermöglichen. Und sie soll zur (qualifizierten) elektronischen Unterschrift in der Schweiz und im Ausland verwendet werden können.
Welchen Nutzen bietet eine nationale Infrastruktur, die es dem Staat und Privaten ermöglicht, digitale Beweise (z. B. E-ID, digitaler Führerausweis, Mitarbeiterausweise, Ausbildungsnachweise) auszustellen und überprüfen zu können?
Ein flexibler und breiter Anwendungsbereich sorgt für einen grösseren Nutzen bei den Anwender:innen und führt zu einer schnelleren Akzeptanz sowie einer grösseren Verbreitung.
Eine staatliche Infrastruktur schafft die Voraussetzung für Kontinuität und Vertrauen, gerade auch mit Blick auf das Ambitionsniveau 3. Die Infrastruktur muss sich aber auf das technisch Notwendige beschränken und kryptografisch so gestaltet sein, dass ein Rückschluss auf den Zeitpunkt, den Ort oder den Verwendungszweck – also das Sammeln von Randdaten – verunmöglicht wird. Die staatliche Infrastruktur (im weiteren Sinne) soll sich möglichst auf die Ausstellung von Beweisen (beglaubigte Attribute) und die Bereitstellung auf offenen Standards basierender Schnittstellen sowie entsprechender Beispiel-Implementierungen beschränken, die auch eine einfachere Vernetzung mit E-ID-Infrastruktur(en) im Ausland ermöglichen.
Schlussbemerkungen
Die im Diskussionspapier vorgestellten Lösungsansätze (Self-Sovereign Identity, Public Key Infrastruktur, Zentraler staatlicher Identitätsprovider) schliessen sich nicht zwingend aus, sondern können sich (auch) ergänzen. So könnte eine Public Key Infrastrukur beispielsweise als Übergangstechnologie zur Self-Sovereign Identity dienen. Da die internationale Entwicklung und die wissenschaftliche Forschung hin zur Self-Sovereign Identity tendieren, sollte dieser Lösungsansatz stark im Fokus stehen, da er insbesondere auch die Forderungen der sechs gleichlautenden Motionen erfüllt.
Datensparsamkeit, «Privacy by Design» und dezentrale Datenspeicherung sind bei einem zentralen, staatlichen Identitätsprovider hingegen nicht gegeben (oder nur sehr umständlich zu erreichen). Das Konzept der Identitätsprovider (IdP) aus dem gescheiterten E-ID-Gesetz, basierend auf Protokollen wie SAML oder OpenID Connect, steht daher im Widerspruch zur Idee einer selbstbestimmten Identität und sollte daher verworfen werden.