Eingereichter Text
Aktuell wird ein neues Bundesgesetz über elektronische Identitäten im Nationalrat verhandelt. Kern des neuen Ansatzes ist es, die Verantwortung für eine funktionierende elD an private Anbieter zu übertragen. Dieser Ansatz greift zu kurz. Wenn die elektronische Identität für umfassende E‑Government-Transaktionen, einschliesslich vollständig dematerialisiertem E‑Voting benutzt werden soll, muss diese hoheitlichen Charakter aufweisen und vom Staat ausgegeben werden. Ein vereinheitlichtes Login-Tool für private Dienstleistungen (z.B eBanking, SwissPass, etc.) würde für hoheitliche Transaktionen nie die erforderliche Glaubwürdigkeit erlangen. Daraus ergeben sich folgende Fragen:
1. Welche Strategien und Benchmarks verfolgt der Bundesrat um den Rückstand im Bereich eGovernment aufzuholen?
2. Will der Staat tatsächlich eine seiner elementaren Aufgaben – die der Identifikation seiner Bürger- und Einwohnerschaft aus der Hand geben? Wenn nein, muss der Staat nicht punkto elektronische Identität Verantwortung übernehmen indem er die Rolle eines Identity Providers (IdP) ausübt (Ausgabe & Authentifizierung von Personendaten) und geeignete elektronische Plattformen, Schnittstellen und Applikationen anbietet?
3. Wie beurteilt der Bundesrat die Datenschutz-Risiken welche entstehen würden, wenn private Anbieter ldPs für die offizielle elektronische Identität sind?
4. Falls der Bundesrat auf den heutigen de facto Kandidaten für die offizielle elektronische Identität (SwissID) setzt: Wie sind die Gouvernanz Risiken zu beurteilen, welche bei dem komplexen Konsortium entstehen? Dabei ist zu bedenken, dass gegenwärtig mehrere grosse Banken Mitglieder des Konsortiums sind und in dieser Funktion als IdPs fungieren, gleichzeirtig, akzeptieren sie aber selbst die SwissID nicht als vollwertigen Ersatz ihrer eigenen Login Tools.
5. Das Gesetz sieht drei unterschiedliche Sicherheitsniveaus vor, lässt aber offen, welches Niveau für welchen Anwendungsbereich bestimmt sind. Welche Anforderungen sind zu erwarten im Zusammenhang mit E‑Government- und E‑Health-Transaktionen zwischen Bürgerschaft und Staat (C2G), Firmen und Staat (B2G) und zwischen staatlichen Akteuren (G2G). Welche Anforderungen sind im Falle vom vollständig dematerialiserten E‑Voting zu erwarten?
Stellungnahme des Bundesrats vom 13.2.2019
Der Bundesrat hat am 1. Juni 2018 die Botschaft zum Bundesgesetz über elektronische Identifizierungsdienste (vgl. BBl 2018 3915) verabschiedet. Das Geschäft wird gegenwärtig im Parlament beraten.
1. Bund, Kantone und Gemeinden verfolgen seit 2008 eine gemeinsame EGovernment-Strategie. Gestützt auf die aktuelle E‑Government-Strategie (2016−2019) erarbeiten sie u. a. den rechtlichen Rahmen für eine staatlich anerkannte elektronische Identität. Im Vergleich zu Ländern, wo bereits heute ein flächendeckendes E‑Government-Angebot besteht, sind in der Schweiz die EID und andere wichtige Basisdienste wie die gemeinsame Registernutzung aber noch nicht verfügbar. Dies ist gemäss internationalen Studien ein Hauptgrund für den Rückstand der Schweiz im EGovernment. Der Aufbau von weiteren Basisdiensten soll daher gestützt auf die EGovernment-Strategie 2020 – 2023, die momentan in Arbeit ist, fortgesetzt werden.
2. Wie der Bundesrat in seiner Botschaft vom 1. Juni 2018 festgehalten hat, soll weiterhin nur der Staat die amtliche Prüfung und Bestätigung der Existenz einer Person und ihrer Identitätsmerkmale wie Name, Geschlecht oder Geburtsdatum vornehmen dürfen.
Angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen erachtet es der Bundesrat nicht als zielführend, sich heute für eine Technologie zu entscheiden. Damit wäre das Risiko verbunden, dass sich im Markt andere Technologien durchsetzen und die regulierte Bundeslösung ungenutzt bliebe. Die nun vorgeschlagene Lösung, Anwendungen, die sich bewähren, unter bestimmten Bedingungen anzuerkennen und zu beaufsichtigen und auf diese Weise Sicherheit zu gewährleisten, ist erfolgversprechender. Er schlägt deshalb ein Zusammenwirken zwischen Staat und Privaten vor, welches optimale Voraussetzungen für den einfachen und benutzerfreundlichen Einsatz der EID durch Verwaltung, Private und Unternehmen bietet.
3. Die Vorlage trägt dem Datenschutz Rechnung und stellt sicher, dass die Datenschutzrisiken so niedrig wie möglich gehalten werden. Der Entwurf des E‑ID-Gesetzes geht in verschiedenen Punkten über die Anforderungen des Datenschutzgesetzes hinaus.
4. Der Bundesrat setzt nicht auf einen einzigen de facto Kandidaten, sondern wirkt mit dem Gesetzesentwurf auf eine Mehrzahl von IdP hin. Die Zahl der IdP, die sich effektiv um eine Anerkennung bemühen und E‑IDs anbieten werden, ist aber offen. Die interne Organisation ist grundsätzlich Sache des IdP. Dabei hat er aber die gesetzlichen Rahmenbedingungen zu erfüllen, etwa die Anforderung, dass Personenidentifizierungsdaten von den Nutzungsdaten getrennt zu halten sind (Art. 9 Abs. 3 Bst. a und b des Gesetzesentwurfs).
5. Das E‑ID-Gesetz und seine Ausführungsbestimmungen sollen gemäss dem Entwurf des Bundesrats nicht vorschreiben, welches Sicherheitsniveau für welche Anwendungsbereiche erforderlich ist. Dies muss in den jeweiligen Spezialerlassen festgehalten bzw. durch die privaten Betreiberinnen von E‑ID-verwendenden Diensten definiert werden. Die Botschaft erläutert in Ziffer 1.2.5 (vgl. BBl 2018 3926 ff.) den Zweck und Anforderungen jedes Sicherheitsniveaus: Für staatliche Leistungen wie den Bezug von Registerauszügen oder für die Online-Eröffnung eines Bankkontos wird voraussichtlich das Sicherheitsniveau “substanziell” vorgeschrieben werden.
Für den Zugriff auf das elektronische Patientendossier schreibt das Bundesgesetz über das elektronische Patientendossier z.B. eine starke Authentifizierung vor, was weitgehend dem Sicherheitsniveau “substanziell” entspricht.
Welche Anforderungen an ein vollständig dematerialisiertes E‑Voting zu stellen wären, lässt sich (zumindest gegenwärtig) nicht sagen.