Ihr Kontakt
Anbietern von elektronischen Identifizierungsmitteln ist es in Zukunft möglich, ihre Systeme staatlich anerkennen zu lassen. Der Bundesrat will mit einem neuen Gesetz die rechtlichen Rahmenbedingungen dazu schaffen. Ein entsprechender Vorentwurf wurde im Februar in die Vernehmlassung geschickt.
In Zukunft werden zunehmend komplexere Geschäftsprozesse in die digitale Welt verlagert. So ist beispielsweise der Zugriff auf elektronische Patientendossiers, die Kommunikation mit Steuerbehörden oder die Eröffnung eines Bankkontos über das Internet möglich. Damit solche Transaktionen auch online abgewickelt werden können, sind elektronische Identifikationsmittel von grosser Bedeutung.
Mit einer staatlich anerkannten elektronischen Identität soll in erster Linie Rechtssicherheit und Vertrauen geschaffen werden. Der Bundesrat hat Mitte Januar eine Konzeptstudie des EJPD zu staatlich anerkannten elektronischen Identifizierungsmitteln vorgestellt.
Ausgangslage und konzeptionelle Ausgestaltung
Eine elektronische Identität (eID) ermöglicht den Nachweis der eigenen Identität in der digitalen Welt. Elektronische Identitäten sind nicht neu und werden in der Schweiz von verschiedenen Dienstleistern seit einigen Jahren angeboten. Dazu zählen z.B. Suisse ID, Google ID, Apple ID, Mobile ID etc.
Solchen Identitätsdienstleistern (Identity Provider, IdP) soll es in Zukunft möglich sein, Ihre eID-Systeme staatlich anerkennen zu lassen. Für eine Anerkennung ist geplant, dass Identitätsdienstleister mit einer jährlichen Zertifizierung nachweisen, die Einhaltung von organisatorischen und technischen Sicherheitsvorgaben zu gewährleisten. Der Bund selbst verzichtet auf die Herausgabe einer eigenen staatlichen eID, weil sich privatwirtschaftlich entwickelte eID-Systeme den Marktgegebenheiten schneller anpassen können.
Ein Nutzer kann sich dann bei einem staatlich anerkannten Identitätsdienstleister registrieren und eine eID beziehen. Die eID enthält einen eindeutigen Personenidentifikator (EPID), der unabhängig von anderen persönlichen Daten ist. Mit einer eID kann sich ein Inhaber gegenüber Beteiligten (z.B. Internetportal) authentifizieren oder identifizieren. Eine eID soll nur dann einsetzbar sein, wenn die berechtigte Person die eID durch eine geeignete Handlung aktiviert und damit auch auf ihre physische Präsenz nachweist. Weiter soll es möglich sein, die eID mit verschiedenen weitere Identitätsattributen zu verknüpfen wie z.B. Name, Alter, Nationalität etc. Der Identitätsdienstleister bezieht dann solche Attribute von staatliche Datenbanken.
Nutzerfreundlichkeit vs Sicherheit?
Die Vorteile von eIDs liegen auf der Hand. Trotzdem sind eIDs in der Bevölkerung bisher auf wenig Akzeptanz gestossen, sowohl national wie auch international. So konnte sich in Deutschland der neue Personalausweis oder in der Schweiz die SuisseID nicht wirklich durchsetzen. Zudem haben sich Medienberichte, wonach sich solche Systeme „hacken“ lassen als wenig vertrauensbildend erwiesen.
Gemäss Bundesrat ist deshalb zentral, dass eID-Systeme einerseits nutzerfreundlich und andererseits auch vertrauenswürdig sind. So sind z.B. drei Vertrauensstufen vor wie „Silber“, „Gold“ und „Platin“ geplant, für die unterschiedliche Sicherheitsstufen gelten. So ist es zum Beispiel möglich, dass für den Abschluss eines Online-Vertrags eine andere Vertrauensstufe gilt als für die Einsicht in das elektronische Patientendossier. Mit einer gesteigerten Nutzerfreundlichkeit steige auch die Akzeptanz.
Rechtsetzungsprojekt
Der Bundesrat hat das EJPD beauftragt, bis Ende 2016 eine Vernehmlassungsvorlage eines eID-Gesetzes auszuarbeiten, gestützt auf die Ergebnisse der Konzeptstudie. Im Gesetz sollen insbesondere die möglichen Kategorien der eID (Vertrauensstufen) sowie die Zulassung oder die Zertifizierung von Identitätsdienstleistern definiert werden.
Im Rahmen der Rechtsetzungsarbeiten werden auch Berührungspunkte mit anderen Gesetzen im Detail geprüft, beispielsweise zum Datenschutzgesetz. Es sollen insbesondere Mechanismen zur Datensicherheit, beispielsweise die Verschlüsselung von Daten definiert werden. Weiter ist auch vorgesehen, dass in der Schweiz anerkannte eID-Systeme EU-kompatibel ausgestaltet sind, damit die Systeme bei der EU für eine europaweite Anerkennung notifiziert werden können.
Update: Vernehmlassung zu Vorentwurf für E-ID-Gesetz eröffnet
Am 22. Februar 2017 hat der Bundesrat einen Vorentwurf für ein neues E-ID-Gesetz in die Vernehmlassung geschickt. Beim Vorschlag handelt es sich im Wesentlichen um eine Umsetzung des beschriebenen Konzepts. Über die weitere Entwicklung des Gesetzgebungsprozesses werden wir zu gegebener Zeit berichten.
Weitere Informationen: