Ende November hat der Bundesrat den Entwurf und die Botschaft zum neuen E-ID-Gesetz zuhanden des Parlaments verabschiedet. In der Zwischenzeit hat die Rechtskommission des Nationalrats die Vorlage beraten. Nachbesserungen, die wir insbesondere bei den Themen Identitätsprüfung, Überidentifikation und Open-Source-Software gefordert hatten, wurden von der Kommission vorgenommen. Bereits am kommenden Donnerstag wird das Gesetz nun im Rat behandelt.
Die Digitale Gesellschaft hat die gesellschaftliche, politische und technische Debatte zum ersten E-ID-Gesetz eng begleitet und das Referendum sowie die Volksabstimmung massgeblich geprägt. Die Hauptkritikpunkte des Gesetzes betrafen den Zweck und die Herausgeberschaft sowie den mangelnden Datenschutz. Diese Mängel wurden durch die Neuausrichtung des E-ID-Gesetzes behoben.
Jedoch ist der Schutz der Persönlichkeit und der Personendaten im vom Bundesrat im November vorgelegten Entwurf zum Bundesgesetz über den elektronischen Identitätsnachweis und andere elektronische Nachweise (BGEID) noch unzureichend umgesetzt sowie der Schutz vor Missbrauch der Daten noch unzureichend gewährleistet. Dies betrifft insbesondere die Identitätsprüfung und die drohende «Überidentifikation» (Art. 22). Zudem ist für uns nicht nachvollziehbar, wieso der Quellcode der Vertrauensinfrastruktur nicht unter einer anerkannten Open-Source-Lizenz veröffentlicht werden soll.
Im Januar waren wir nun zur Anhörung in die Rechtskommission des Nationalrats eingeladen, wo wir unsere Anliegen vorbringen konnten. Die Kommission hat entsprechend nachgebessert (Fahne, PDF) und schlägt ihrem Rat einige wichtige Anpassungen vor.
Weiterhin ist zwar auch ein Online-Prozess für die Ausstellung der E-ID vorgesehen. Bei der Ausstellung vor Ort dürfen aber keine biometrischen Daten mehr erhoben werden. Und die biometrischen Daten, die beim Online-Prozess anfallen, dürfen nur noch ausschliesslich zum Zweck der Untersuchung einer Erschleichung einer E-ID aufbewahrt werden.
Zum Thema Überidentifikation gab es zwei Verschärfungen: Nun darf eine E-ID, wenn eine solche nicht gesetzlich vorgesehen ist, nur verlangt werden, wenn sie «für die Zuverlässigkeit der Transaktion unbedingt erforderlich ist; insbesondere um Missbrauch und Identitätsdiebstahl zu verhindern». Zudem soll nun beim Vorweisen der E-ID angezeigt werden, wenn die abfragende Instanz im «Nicht-Vertrauensregister» eingetragen ist.
Weiter wurde in Art. 7 ein Abschnitt eingefügt, der eine ausdrückliche Einwilligung vorsieht, wenn Daten, die beim Ausweisen entstehen, aufbewahrt werden sollen. Und der Quellcode der Vertrauensinfrastruktur soll als Open Source Software freigegeben werden.
Dies sind sehr erfreuliche Verbesserungen; auch wenn man Im Detail sicherlich noch hätte weitergehen können. Nun sind wir auf die Debatte im Nationalrat gespannt. Dieser dürfte den Vorschlägen vom Bundesrat mit den Änderungen der Rechtskommission zustimmen.