Martin Abegglen, CC BY-SA 2.0
Die Digitalisierung schreitet voran. Der Bedarf nach einer benutzbaren und vertrauenswürdigen elektronischen Identität (wie auch Unterschrift) wächst. Eine E-ID muss jedoch den Bürgerinnen und Bürger dienen. Das Recht auf Privatsphäre – gerade im Internet – muss gestärkt und darf nicht weiter ausgehöhlt werden. Der Vorschlag des Bundes nach privaten staatlichen E-IDs schiesst daher am Ziel vorbei: Diese hoheitliche Aufgabe ist vom Bund selber an die Hand zu nehmen.
Die BewohnerInnen der Schweiz sollen eine elektronische Identität bekommen. Speziell E-Government-Lösungen könnten davon profitieren, da sich bis anhin jede Gemeinde und jeder Kanton selber Gedanken über die Online-Authentifizierung seiner EinwohnerInnen machen muss. Auch das Schliessen von Verträgen, bei denen eine Ausweispflicht besteht oder die Schriftlichkeit voraussetzen, würden mit einer E-ID online vereinfacht.
Eine E-ID muss entsprechend in erster Linie sicher und vertrauenswürdig sein. Jeder Mensch in der Schweiz soll ein Anrecht darauf haben. Hingegen darf es keinen Zwang zu einer generellen Verwendung (z.B. in Online-Shops) geben. Es ist keine E-ID nötig, die in erster Linie eine E-Commerce-ID sein soll, sondern es geht um die digitale Erweiterung von Ausländerausweis, ID und Pass.
Die Pläne des Bundes sind aber anders: Die staatliche E-ID soll von Privaten herausgegeben werden. Nicht etwa das Passbüro oder die Gemeindekanzlei wäre für das Antragsverfahren zuständig, sondern vielmehr soll zwischen verschiedenen privaten Anbietern gewählt werden können.
Neben den verschiedenen Anbietern soll es auch verschiedene Sicherheitsstufen geben (die nicht alle von allen Anbietern angeboten werden müssen). Sämtliche Varianten der E-ID sollen rein online beantragt werden können, wobei sich die Anforderungen leicht unterscheiden. Beim Einsatz setzt die mittlere Stufe dann eine Zwei-Faktor-Authentifizierung voraus. Bei der höchsten Stufe muss diese auf einem biometrischen Merkmal basieren. Typischerweise würde dies ein Fingerabdruck am Smartphone sein. Wer kein passendes Gerät hat (oder einsetzen will), droht ausgeschlossen zu werden.
Faktisch dürfte es in der Schweiz eine Anbieterin geben: die SwissSign. Die ehemalige Tochtergesellschaft der Schweizer Post wurde 2017 zuerst in ein Gemeinschaftsunternehmen der Post und der SBB ausgelagert. Am Digitaltag 2018 wurde dann mit viel Brimborium die Überführung in ein Joint-Venture verkündet. Mit dabei sind neun Schweizer Konzerne, die das grosse Geschäft nicht Facebook, Google und anderen Tech-Giganten überlassen wollen.
Doch der Grossteil der Logins kann nicht durch eine Schweizer E-ID abgelöst werden, da es keine internationale Lösung ist. Bei E-Commerce-Anwendungen steht zudem die Benutzerfreundlichkeit und nicht die Sicherheit im Zentrum: Diese beiden Anforderungen widersprechen sich. Da das schwächste Glied das Niveau vorgibt, ist zudem die vorgesehene Vielfalt der Systeme und Anwendungen ein Nachteil für die Sicherheit, den Datenschutz – und letztlich das Vertrauen in das gesamte E-ID-Ökosystem.
Für die Herausgabe der E-ID soll beim Bundesamt für Polizei (Fedpol) eine zentrale Datenbank geschaffen werden. Das Fedpol soll die verschiedenen Personenidentifizierungsdaten aus unterschiedlichen Registern beziehen können. Der Name einer Person würde über Infostar bestätigt, wohingegen z.B. die Ausweisnummer oder das Gesichtsbild aus weiteren Ausweisdatenbanken stammen, wie dem Informationssystem Ausweisschriften (ISA) oder dem zentralen Migrationsinformationssystem (ZEMIS).
Diese Datenbank wird dann nicht nur bei der Herausgabe der E-ID durch die privaten Anbieter herangezogen, sie wird auch zum periodischen Abgleich der Personendaten verwendet. Die privaten Anbieter (wie SwissSign) und die privaten Nutzer (Online-Shops etc.) erhalten so vom Bund ihre Stammdaten gepflegt. Eine einmalige Zustimmung der BenutzerInnen (bei der erstmaligen Übertragung der Personendaten) reicht.
Eine angemeldete Person (mit oder ohne E-ID) kann perfekt getrackt werden. Zunächst mit persönlichen Rabatten zum Login geködert, ist dann der Weg zum personalisierten Preis nicht weit weg.
Die privaten Anbieter der E-ID dürfen laut Gesetzesentwurf zwar Dritten «die Daten, die bei einer Anwendung der E-ID entstehen, und darauf basierende Nutzungsprofile nicht bekannt geben». Eine weitergehende Einschränkung zur (eigenen) Verwendung der Daten fehlt hingegen.
Die Ausgabe einer E-ID ist eine hoheitliche Aufgabe. Der Staat darf sich entsprechend nicht aus der Verantwortung stehlen. Im Gegenteil: Er muss für das nötige Vertrauen sorgen.
Beglaubigte Identifikationsmerkmale und ein qualifiziertes Zertifikat könnten z.B. sicher auf ID, Pass oder Ausländerausweis gespeichert werden (Smartcard). Die Smarcard könnte auch gleich als zweiter Faktor bei der Authentifizierung verwendet werden. Das Hantieren mit biometrischen Merkmalen wäre nicht notwendig. Um einen gesunden Markt zu fördern, wären weiter offene Schnittstellen und Standards einzusetzen, damit – neben den Behörden für E-Government – Private die E-ID mit Einverständnis der Inhaber ebenfalls nutzen können.
Als Gesetzesgrundlage ist kein neues E-ID-Gesetz nötig. Es kann das bestehende Ausweisgesetz herangezogen werden:
Art. 2 Abs. 2quater AwG: Der Ausweis kann zudem elektronische Identitäten für Authentisierungs-, Signatur- und Verschlüsselungsfunktionen enthalten.
Die Rechtskommission des Nationalrats debattiert das Gesetz für eine E-ID am kommenden Freitag, 25. Februar 2019.