E-ID: das Bundesgesetz über die elektronische Identität

  
Mit einer gesetzlichen Regelung der elektronischen Identität (E-ID) will der schweizerische Gesetzgeber sicherstellen, dass diese ein vertrauenswürdiges Legitimationsmittel bei der Nutzung von E-Commerce- und E-Government Diensten ist. Gegen das Bundesgesetz über die elektronische Identität wurde aber bekanntlich das Referendum ergriffen. Im Kern stört sich das Referendumskomitee daran, dass die E-ID von privaten Unternehmen herausgegeben werden soll. Nach der Gesetzesvorlage würde sich der Bund auf die Definition der rechtlichen Rahmenbedingungen, die Anerkennung und Beaufsichtigung der Identity Provider und die Bereitstellung von Identitätsdaten beschränken. Unternehmen stünde es zudem grundsätzlich frei, die E-ID von anerkannten Anbietern zur Identifikation ihrer Kunden einzusetzen oder weiterhin andere Lösungen zu nutzen. Unabhängig vom Standpunkt zu dieser Vorlage, kann eine vertrauenswürdige E-ID aber jedenfalls massgeblich zur Implementierung einer Vielzahl von digitalen Geschäftsprozessen beitragen. Die Gesetzesvorlage ist deshalb für Unternehmen aller Branchen relevant. Der Ausgang der Abstimmung darf daher mit Spannung erwartet werden.
  

Wieso braucht es eine elektronische Identität (E-ID)?

Mit fortschreitender Digitalisierung werden immer mehr Waren sowie private und staatliche Dienstleistungen über digitale Kanäle bezogen. Bei all diesen Transaktionen ist aber nie gesichert, dass der Leistungsempfänger die Person ist, für die sie sich ausgibt. Während in der realen Welt eine offizielle Identitätskarte oder ein Pass verlangt und eine Person anhand dieses Legitimationsmittels identifiziert werden kann, ist dies online nicht so einfach möglich. Gewisse Anbieter privater oder staatlicher Leistungen gleichen die Angaben mit Scans von amtlich bestätigten IDs oder Pässen ab. Eine gewisse Authentifizierung der Benutzer-Angaben ist zwar auch über Google oder Facebook-Log-Ins möglich, wenn ein Websitenbetreiber die entsprechenden Schnittstellen integriert. Aber nicht alle Internetnutzer haben ein entsprechendes Log-In oder wollen dieses mit anderen Websites verknüpfen. Häufig müssen Internetnutzer sich für jeden Dienst mit einem neuen Benutzerkonto registrieren und eine Authentifizierung der Angaben findet nicht statt.

Mit einer elektronischen Identität (E-ID) soll es Anbietern von digitalen Diensten möglich werden, Personen online zuverlässig zu identifizieren. Auch die Verifizierung des Alters beim Kauf von Alkoholika, beim E-Banking (siehe dazu: MLL-News vom 18. April 2016) oder beim Streaming von Filmen (siehe dazu: MLL-News vom 21. Dezember 2020) wären potenzielle Anwendungsbereiche. Aber auch im Chat-Bereich wäre es möglich zu verhindern, dass sich Erwachsene beispielsweise als Minderjährige ausgeben, was ebenso dem Jugendschutz dient. Eine vertrauenswürdige E-ID kann also einen Beitrag für die Implementierung einer Vielzahl von digitalen Geschäftsprozessen leisten.
  

Ziele des Bundesgesetzes über die elektronische Identität

Mit einer gesetzlichen Regelung will der schweizerische Gesetzgeber sicherstellen, dass eine solche E-ID ein vertrauenswürdiges Legitimationsmittel ist. Nachdem 2015 erste Konsultationen durchgeführt wurden, entschied sich der Bundesrat für ein System der staatlich anerkannten E-ID (siehe dazu MLL-News vom 21. Juli 2018). Im Unterschied zur physischen soll die elektronische ID von privaten Unternehmen herausgegeben werden; der Staat beschränkt sich auf die Definition der rechtlichen Rahmenbedingungen, die Anerkennung der Anbieter und die Bereitstellung von Identitätsdaten. Nach Abschluss der parlamentarischen Beratung in der Herbstsession 2019 wurde gegen das E-ID Gesetz aber das Referendum ergriffen. Das Referendumskomitee kritisiert insbesondere, dass die E-ID nicht vom Staat herausgegeben wird und vertrauliche Daten in den Händen von privaten Unternehmen landen. Die Volksabstimmung findet am 7. März 2021 statt.
  

Funktionsweise der E-ID gemäss E-ID Gesetz

Mit dem E-ID Gesetz wird Folgendes geregelt:

  • Inhalt, Ausstellung, Verwendung, Sperrung und Widerruf der anerkannten E-ID
  • Anforderungen an die Anbieter einer anerkannten E-ID (nachfolgend „Identity-Provider“, „IdP“)
  • Ausgestaltung der staatlichen Identifizierung der E-ID Inhaber
  • Rechte und Pflichten der E-ID Inhaber
  • Rechte und Pflichten der Betreiberinnen von E-ID verwendenden Diensten (auch als „Merchants“ bezeichnet)
      

Gesetzlich geregelt werden drei E-ID mit unterschiedlichem Sicherheitsniveaus: niedrig, substanziell und hoch. Je nachdem welchem Niveau die E-ID des Anbieters entspricht, gelten weiterreichendere Anforderungen.

Das E-ID Gesetz geht von folgendem Ablauf für die Ausstellung der E-ID aus:

 

 

  • Wer eine E-ID will, stellt einen Antrag beim Identity-Provider (IdP) seiner Wahl.
  • Der Identity-Provider leitet die antragstellende Person für die initiale Überprüfung der beanspruchten Identität an das Bundesamt für Polizei (Fedpol).
  • Fedpol überprüft die Identität der antragstellenden Person bspw. in einem Passbüro. Die Prüfung erfolgt aufgrund eines gültigen Ausweises sowie durch Abfrage und Abgleich der gesetzlich vorgeschriebenen und je nach beantragten Sicherheitsniveau unterschiedlichen Personenidentifizierungsdaten mit den staatlich erfassten Daten. Zudem wird geprüft, ob die Erteilungsvoraussetzungen erfüllt sind.
  • Fedpol übermittelt die E-ID Registrierungsnummer und die Personenidentifikationsdaten an den Identity-Provider.
  • Der Identity-Provider ordnet der antragstellenden Person ein Authentifizierungsmittel mit einem persönlichen Nutzernamen zu, mit dem sich die antragstellende Person online identifizieren kann (die eigentliche E-ID).
      

Die Bearbeitung des Antrags auf Ausstellung einer E-ID läuft weitgehend im Hintergrund ab, sollte aber gemäss Botschaft dank Standards und technischen Protokollen nur wenige Minuten dauern. Zur einfachen Handhabung der E-ID wird sie auf einem Trägermittel angebracht, z.B. einem Mobiltelefon, einer Bankomatkarte, einer virtuellen Cloud oder dem SwissPass der SBB. Welche Mittel letztlich zur Identifizierung durch den IdP angeboten werden, ist gesetzlich nicht geregelt, um Anpassungen an zukünftige Technologien zu ermöglichen.
 

Welche Anforderungen gelten für Unternehmen, die eine E-ID herausgeben wollen (Identity Provider)?

Die Identity-Provider (IdP), welche eine anerkannte E-ID anbieten wollen, müssen bei der zu schaffenden Eidgenössischen E-ID-Kommission (EIDCOM) um Anerkennung ersuchen (Art. 13 E-ID Gesetz). Um eine Anerkennung zu erhalten müssen sie darlegen, dass sie

  • im Handelsregister eingetragen sind;
  • Gewähr bieten, dass sie Personen mit erforderlichen Fachkenntnissen, Erfahrungen und Qualifikationen beschäftigen, die kein Sicherheitsrisiko darstellen;
  • Gewähr für das Sicherheitsniveau ihres Systems bieten;
  • über eine angemessene Versicherungsdeckung oder gleichwertige Sicherheiten verfügen und
  • das anwendbare Recht einhalten, wozu nicht nur das E-ID Gesetz zählt.
     

Anerkannte IdP treffen zudem detaillierte Pflichten. Sie müssen insbesondere sicherstellen, dass ihre E-ID funktioniert und ihre Systeme den Anforderungen des E-ID Gesetzes bzw. der noch zu erlassenden Verordnung genügen. Ein IdP muss bei Verlust der E-ID oder Verdacht auf Missbrauch unverzüglich eine Sperrung anordnen (Art. 11 E-ID Gesetz). Das Gesetz sieht zudem Meldepflichten an die EIDCOM und zahlreiche weitere Pflichten vor. Hervorzuheben ist, dass das E-ID Gesetz insbesondere die datenschutzrechtlichen Anforderungen konkretisiert, indem es z.B.

  • die getrennte Haltung von Personenidentifizierungsdaten, Nutzungsdaten und übrigen Daten (Art. 9 Abs. 3 E-ID Gesetz) verlangt,
  • das Einholen einer ausdrücklichen Einwilligung vor der Weitergabe von Personenidentifizierungsdaten verlangt (Art. 15 Abs. 1 lit. i E-ID Gesetz),
  • die Verwendung der bei der E-ID Nutzung anfallenden Daten sowie allfälliger Nutzungsprofile zu anderen Zwecken als zur Erfüllung der gesetzlichen Pflichten verbietet (Art. 16 Abs. 2 E-ID Gesetz)
  • sowie die Löschung von Daten nach sechs Monaten verlangt, die bei der Anwendung der E-ID entstehen (Art. 15 Abs. 1 lit. k E-ID Gesetz).
      

Eine ausdrückliche Einwilligung zur Weitergabe der Daten liegt nur dann vor, wenn die betroffenen Personen selbstbestimmt und hinreichend informiert wurden und sich einverstanden erklären, dass ihre hinterlegten Daten zu den Zwecken und in dem Umfang bearbeitet werden, für die eine Einwilligung vorliegt. Zudem dürfen alle Identity-Provider die Personenidentifizierungsdaten nur bearbeiten, bis die E-ID widerrufen wird und dürfen diese Daten auch nur zur Identifizierung verwenden (Art. 9 E-ID Gesetz). Erfüllt der IdP diese Pflichten oder die Anerkennungsvoraussetzung nicht mehr, kann ihm die EIDCOM eine Frist zur Wiederherstellung des gesetzmässigen Zustands setzen und bei deren unbenützten Ablauf die Anerkennung entziehen (Art. 19 E-ID Gesetz).
  

Was müssen Unternehmen beachten, die eine E-ID einsetzen wollen?

Die jeweiligen Anbieter von Online-Diensten entscheiden selbst, ob sie für die Nutzung ihrer Dienste die Verwendung der staatlich anerkannten E-ID verlangen oder nicht. Betreiber von E-ID verwendenden Diensten (Merchants) können die Nutzer nur zur Authentifizierung mittels E-ID zwingen, wenn sie ausschliesslich E-IDs mit substanziellen oder hohen Sicherheitsanforderungen akzeptieren. Erfolgt die Authentifizierung bei einer Dienstleistung mit einer E-ID mit dem Sicherheitsniveau niedrig, muss für diese weiterhin auch ein Zugang ohne E-ID möglich sein (Art. 12 Abs. 2 E-ID Gesetz).

Entscheiden sich Unternehmen für eine Authentifizierung mittels E-ID, müssen sie eine Vereinbarung mit dem IdP abschliessen, in der das anwendbare Sicherheitsniveau sowie die technischen und organisatorischen Prozesse geregelt werden (Art. 20 E-ID Gesetz). Der IdP wiederum ist dazu verpflichtet, Personenidentifizierungsdaten nur im Rahmen von Auftragsdatenbearbeitungsverträgen weiter zu geben. Da bei einer Auftragsbearbeitung eine Überbindung des Bearbeitungszwecks stattfindet (vgl. Art. 10a Abs. 1 lit. a DSG), wird der IdP den Merchants die Nutzung dieser Daten zu anderen Zwecken als zur Identifizierung vertraglich untersagen. Das E-ID Gesetz schreibt aber nicht vor, dass der Merchant keine Personenidentifikationsdaten erhalten darf (sog. Zero-Knowledge-Proof-Authentifizierung). Auch die weitere Nutzung dieser Daten verbietet das E-ID Gesetz nur indirekt über die Pflicht des IdPs Auftragsbearbeitungsverträge abzuschliessen, in denen er den Merchants die weitere Nutzung untersagt.
  

Rechte und Pflichten der E-ID Inhaberinnen

Eine E-ID können Schweizerinnen und Schweizer beantragen, die über eine gültigen Schweizer Ausweis verfügen. Ausländer und Ausländerinnen können eine E-ID beantragen, wenn sie über einen anerkannten Ausweis verfügen oder ihre Identität in einem anderen Verfahren verlässlich festgestellt wurde (Art. 3 E-ID Gesetz). Die Inhaber einer E-ID haben zudem die nach den Umständen notwendigen und zumutbaren Sicherheitsmassnahmen zu treffen, damit ihre E-ID nicht missbräuchlich verwendet werden kann (Art. 12 E-ID Gesetz). Der Bundesrat kann diese Sorgfaltspflichten in der Verordnung genauer umschreiben. Gemäss der Botschaft haben diese Sorgfaltspflichten Schutznormcharakter und bezwecken die Schaffung von Entlastungsmöglichkeiten bei einer ausservertraglichen Haftung. Kommt jemand aufgrund eines Missbrauchs der E-ID zu Schaden, kann gegen die E-ID Inhaberin rechtlich vorgegangen werden, sofern der Missbrauch auf eine Sorgfaltspflichtverletzung der E-ID Inhaberin zurückzuführen ist. Dass mit der E-ID Inhaberin beim Missbrauch ihrer E-ID durch Dritte kein Vertrag besteht, ist dann nicht entscheidend.
  

Einschätzung

Es ist grundsätzlich zu begrüssen, dass der Gesetzgeber einen Beitrag zur sicheren Implementierung von digitalen Geschäftsprozessen leisten will. Der Erfolg der E-ID wird aber in hohem Masse von den Nutzerzahlen abhängen. Da die Bürgerinnen und Bürger nicht gezwungen werden sollen, sich eine E-ID ausstellen zu lassen, sind zwei Aspekte zentral: Sie müssen der anerkannten E-ID vertrauen und diese muss für sie einen Mehrwert bieten.

Mit dem E-ID Gesetz können die Nutzer darauf vertrauen, dass der Identity Provider ihre Daten nicht zu anderen Zwecken als zur Bereitstellung der E-ID nutzt. Das Gesetz verbietet dies und verlangt auch eine Löschung der Nutzungsdaten nach sechs Monaten. Die (zu schaffende) Aufsichtsbehörde EIDCOM verfügt mit der Möglichkeit des Anerkennungsentzugs auch über scharfe Sanktionsmöglichkeiten, sodass kein IdP die Nutzungsdaten der anerkannten E-ID kommerzialisieren wird. Auch die Merchants werden die Daten nicht ohne Einwilligung der Nutzer kommerzialisieren können.

Mit Blick auf den Nutzen einer E-ID, ist daran zu erinnern, dass bereits angekündigt wurde, dass für gewisse E-Government Leistungen die Authentifizierung mittels E-ID zur Pflicht werden könnte. Dies könnte ihre Verbreitung fördern. Es ist zudem absehbar, dass regulierte Online-Dienste, die gesetzlich dazu verpflichtet sind, für ihr Angebot eine Altersprüfung durchzuführen, über kurz oder lang nicht mehr ohne E-ID nutzbar sein werden. Ausserhalb von regulierten Bereichen wird die Identifikation weiterhin durch andere Elemente (z.B. Nutzername und Passwort) oder andere elektronische Identifizierungsmittel wie beispielsweise Google ID oder Facebook ID möglich sein. Damit bestünden für die Nutzer durchaus gewisse Anreize, sich eine E-ID ausstellen zu lassen. Vor diesem Hintergrund darf man auf das Ergebnis der Abstimmung gespannt sein.

 

Weitere Informationen: