Inter­pel­la­ti­on Fia­la (18.4169): Die Aus­ga­be von digi­ta­len Iden­ti­tä­ten ist eine Staats­auf­ga­be

Eingereichter Text

Aktu­ell wird ein neu­es Bun­des­ge­setz über elek­tro­ni­sche Iden­ti­tä­ten im Natio­nal­rat ver­han­delt. Kern des neu­en Ansat­zes ist es, die Ver­ant­wor­tung für eine funk­tio­nie­ren­de elD an pri­va­te Anbie­ter zu über­tra­gen. Die­ser Ansatz greift zu kurz. Wenn die elek­tro­ni­sche Iden­ti­tät für umfas­sen­de E-Government-Trans­ak­tio­nen, ein­schliess­lich voll­stän­dig dema­te­ria­li­sier­tem E-Voting benutzt wer­den soll, muss die­se hoheit­li­chen Cha­rak­ter auf­wei­sen und vom Staat aus­ge­ge­ben wer­den. Ein ver­ein­heit­lich­tes Log­in-Tool für pri­va­te Dienst­lei­stun­gen (z.B eBan­king, Swis­sPass, etc.) wür­de für hoheit­li­che Trans­ak­tio­nen nie die erfor­der­li­che Glaub­wür­dig­keit erlan­gen. Dar­aus erge­ben sich fol­gen­de Fra­gen:

1. Wel­che Stra­te­gi­en und Bench­marks ver­folgt der Bun­des­rat um den Rück­stand im Bereich eGo­vernment auf­zu­ho­len?

2. Will der Staat tat­säch­lich eine sei­ner ele­men­ta­ren Auf­ga­ben – die der Iden­ti­fi­ka­ti­on sei­ner Bür­ger- und Ein­woh­ner­schaft aus der Hand geben? Wenn nein, muss der Staat nicht punk­to elek­tro­ni­sche Iden­ti­tät Ver­ant­wor­tung über­neh­men indem er die Rol­le eines Iden­ti­ty Pro­vi­ders (IdP) aus­übt (Aus­ga­be & Authen­ti­fi­zie­rung von Per­so­nen­da­ten) und geeig­ne­te elek­tro­ni­sche Platt­for­men, Schnitt­stel­len und Appli­ka­tio­nen anbie­tet?

3. Wie beur­teilt der Bun­des­rat die Daten­schutz-Risi­ken wel­che ent­ste­hen wür­den, wenn pri­va­te Anbie­ter ldPs für die offi­zi­el­le elek­tro­ni­sche Iden­ti­tät sind?

4. Falls der Bun­des­rat auf den heu­ti­gen de fac­to Kan­di­da­ten für die offi­zi­el­le elek­tro­ni­sche Iden­ti­tät (Swis­sID) setzt: Wie sind die Gou­vernanz Risi­ken zu beur­tei­len, wel­che bei dem kom­ple­xen Kon­sor­ti­um ent­ste­hen? Dabei ist zu beden­ken, dass gegen­wär­tig meh­re­re gro­sse Ban­ken Mit­glie­der des Kon­sor­ti­ums sind und in die­ser Funk­ti­on als IdPs fun­gie­ren, gleich­zeir­tig, akzep­tie­ren sie aber selbst die Swis­sID nicht als voll­wer­ti­gen Ersatz ihrer eige­nen Log­in Tools.

5. Das Gesetz sieht drei unter­schied­li­che Sicher­heits­ni­veaus vor, lässt aber offen, wel­ches Niveau für wel­chen Anwen­dungs­be­reich bestimmt sind. Wel­che Anfor­de­run­gen sind zu erwar­ten im Zusam­men­hang mit E-Government- und E-Health-Trans­ak­tio­nen zwi­schen Bür­ger­schaft und Staat (C2G), Fir­men und Staat (B2G) und zwi­schen staat­li­chen Akteu­ren (G2G). Wel­che Anfor­de­run­gen sind im Fal­le vom voll­stän­dig dema­te­ria­li­ser­ten E-Voting zu erwar­ten?

Stellungnahme des Bundesrats vom 13.2.2019

Der Bun­des­rat hat am 1. Juni 2018 die Bot­schaft zum Bun­des­ge­setz über elek­tro­ni­sche Iden­ti­fi­zie­rungs­dien­ste (vgl. BBl 2018 3915) ver­ab­schie­det. Das Geschäft wird gegen­wär­tig im Par­la­ment bera­ten.

1. Bund, Kan­to­ne und Gemein­den ver­fol­gen seit 2008 eine gemein­sa­me EGo­vernment-Stra­te­gie. Gestützt auf die aktu­el­le E-Government-Stra­te­gie (2016−2019) erar­bei­ten sie u. a. den recht­li­chen Rah­men für eine staat­lich aner­kann­te elek­tro­ni­sche Iden­ti­tät. Im Ver­gleich zu Län­dern, wo bereits heu­te ein flä­chen­decken­des E-Government-Ange­bot besteht, sind in der Schweiz die EID und ande­re wich­ti­ge Basis­dien­ste wie die gemein­sa­me Regi­ster­nut­zung aber noch nicht ver­füg­bar. Dies ist gemäss inter­na­tio­na­len Stu­di­en ein Haupt­grund für den Rück­stand der Schweiz im EGo­vernment. Der Auf­bau von wei­te­ren Basis­dien­sten soll daher gestützt auf die EGo­vernment-Stra­te­gie 2020 – 2023, die momen­tan in Arbeit ist, fort­ge­setzt wer­den.

2. Wie der Bun­des­rat in sei­ner Bot­schaft vom 1. Juni 2018 fest­ge­hal­ten hat, soll wei­ter­hin nur der Staat die amt­li­che Prü­fung und Bestä­ti­gung der Exi­stenz einer Per­son und ihrer Iden­ti­täts­merk­ma­le wie Name, Geschlecht oder Geburts­da­tum vor­neh­men dür­fen.

Ange­sichts des tech­no­lo­gi­schen Wan­dels und der Viel­falt mög­li­cher tech­ni­scher Lösun­gen erach­tet es der Bun­des­rat nicht als ziel­füh­rend, sich heu­te für eine Tech­no­lo­gie zu ent­schei­den. Damit wäre das Risi­ko ver­bun­den, dass sich im Markt ande­re Tech­no­lo­gi­en durch­set­zen und die regu­lier­te Bun­des­lö­sung unge­nutzt blie­be. Die nun vor­ge­schla­ge­ne Lösung, Anwen­dun­gen, die sich bewäh­ren, unter bestimm­ten Bedin­gun­gen anzu­er­ken­nen und zu beauf­sich­ti­gen und auf die­se Wei­se Sicher­heit zu gewähr­lei­sten, ist erfolg­ver­spre­chen­der. Er schlägt des­halb ein Zusam­men­wir­ken zwi­schen Staat und Pri­va­ten vor, wel­ches opti­ma­le Vor­aus­set­zun­gen für den ein­fa­chen und benut­zer­freund­li­chen Ein­satz der EID durch Ver­wal­tung, Pri­va­te und Unter­neh­men bie­tet.

3. Die Vor­la­ge trägt dem Daten­schutz Rech­nung und stellt sicher, dass die Daten­schutz­ri­si­ken so nied­rig wie mög­lich gehal­ten wer­den. Der Ent­wurf des E-ID-Geset­zes geht in ver­schie­de­nen Punk­ten über die Anfor­de­run­gen des Daten­schutz­ge­set­zes hin­aus.

4. Der Bun­des­rat setzt nicht auf einen ein­zi­gen de fac­to Kan­di­da­ten, son­dern wirkt mit dem Geset­zes­ent­wurf auf eine Mehr­zahl von IdP hin. Die Zahl der IdP, die sich effek­tiv um eine Aner­ken­nung bemü­hen und E-IDs anbie­ten wer­den, ist aber offen. Die inter­ne Orga­ni­sa­ti­on ist grund­sätz­lich Sache des IdP. Dabei hat er aber die gesetz­li­chen Rah­men­be­din­gun­gen zu erfül­len, etwa die Anfor­de­rung, dass Per­so­nen­iden­ti­fi­zie­rungs­da­ten von den Nut­zungs­da­ten getrennt zu hal­ten sind (Art. 9 Abs. 3 Bst. a und b des Geset­zes­ent­wurfs).

5. Das E-ID-Gesetz und sei­ne Aus­füh­rungs­be­stim­mun­gen sol­len gemäss dem Ent­wurf des Bun­des­rats nicht vor­schrei­ben, wel­ches Sicher­heits­ni­veau für wel­che Anwen­dungs­be­rei­che erfor­der­lich ist. Dies muss in den jewei­li­gen Spe­zial­er­las­sen fest­ge­hal­ten bzw. durch die pri­va­ten Betrei­be­rin­nen von E-ID-ver­wen­den­den Dien­sten defi­niert wer­den. Die Bot­schaft erläu­tert in Zif­fer 1.2.5 (vgl. BBl 2018 3926 ff.) den Zweck und Anfor­de­run­gen jedes Sicher­heits­ni­veaus: Für staat­li­che Lei­stun­gen wie den Bezug von Regi­ster­aus­zü­gen oder für die Online-Eröff­nung eines Bank­kon­tos wird vor­aus­sicht­lich das Sicher­heits­ni­veau “sub­stan­zi­ell” vor­ge­schrie­ben wer­den.

Für den Zugriff auf das elek­tro­ni­sche Pati­en­ten­dos­sier schreibt das Bun­des­ge­setz über das elek­tro­ni­sche Pati­en­ten­dos­sier z.B. eine star­ke Authen­ti­fi­zie­rung vor, was weit­ge­hend dem Sicher­heits­ni­veau “sub­stan­zi­ell” ent­spricht.

Wel­che Anfor­de­run­gen an ein voll­stän­dig dema­te­ria­li­sier­tes E-Voting zu stel­len wären, lässt sich (zumin­dest gegen­wär­tig) nicht sagen.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.