Was steht im E-ID-Gesetzesentwurf?

Der Bundesrat will die elektronische Identifizierung (E-ID). Unsere Autorin und unser Autor haben das Kleingedruckte unter die Lupe genommen und schauen, wie sich diese Umsetzung auf das E-Government auswirken würde.

Bundesrätin Sommaruga hat am 1. Juni das dem Parlament vorgeschlagene E-ID-Gesetz BGEID [1] vorgestellt. Wesentliche Bedenken aus der Vernehmlassung sind adressiert. Es ist nun in der Hand des National- und Ständerats, wie die E-ID-Lösung für die Schweiz aussehen soll. Auch wenn es sich um ein vordergründig einfaches Geschäft handelt, eignet sich das Thema schlecht für simple Lösungen. Der vorgeschlagene Text muss der Komplexität gerecht werden, ohne sich in den Details und fachlichen Termini zu verlieren. Wer sich mit den fachlichen Grundlagen auseinandersetzen will, dem sei der eCH-Standard eCH-0107 [2] empfohlen, dessen 3. Version bis zum 24.Juni in der öffentlichen Konsultation ist.

Die vorgeschlagene Lösung geht auch nicht den trivialen Weg, sondern sucht eine markttaugliche und sichere Aufgabenteilung zwischen Staat und Wirtschaft. Das E-ID-Gesetz will «den Geschäftsverkehr unter Privaten und mit Behörden vereinfachen» und «den Schutz der Persönlichkeit und Grundrechte […] gewährleisten».

Rollen bei der Bereitstellung und Nutzung der E-ID
Das Bundesamt für Polizei fedpol stellt aktuelle Personenidentifizierungsdaten wie Namen, Vornamen oder Geburtsdatum auf der Basis bestehender Register bereit. E-ID-Bezüger (natürliche Personen) können via einen Identity Provider (IdP) eine E-ID eines bestimmten Sicherheitsniveaus (niedrig, substanziell, hoch) beantragen. Das fedpol übermittelt auf der Basis des Antrags dem IdP die dem Sicherheitsniveau entsprechenden Personenidentifizierungsdaten. Auf dieser Basis stellt der IdP dem Bezüger eine E-ID aus.
Mit der E-ID können sich E-ID-Inhaber mit Unterstützung des IdP gegenüber E-ID-verwendenden Diensten, im Fachjargon Relying Party (RP) genannt, Personenidentifizierungsdaten oder die Gültigkeit ihrer E-ID bestätigen lassen. Die E-ID-Inhaber müssen das erste Mal, bevor Daten an einen bestimmten RP übermittelt werden, ihr Einverständnis abgeben.

Das Informatiksteuerungsorgan des Bundes ISB ist für die Anerkennung der IdP und die Abwicklung der Prozesse beim Erlöschen einer Anerkennung zuständig. Dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB müssen die Musterverträge der IdP für RP vorgelegt werden. Er kann dadurch die Interessen der E-ID-Inhaber bezüglich Nutzung und Dateneinsichtnahme bei den RP wahrnehmen.

Bedeutung des BGEID für die Stakeholder
E-ID-Bezüger können eine dem erwünschten Sicherheitsniveau passende E-ID bei einem IdP ihrer Wahl bestellen.
Die IdP können Verträge mit E-ID-Bezügern und RP abschliessen. In der Gestaltung ihrer Konditionen sind sie frei. Sie stehen unter Aufsicht des ISB und müssen gemäss Gesetz umfassende Pflichten erfüllen. Zudem müssen sie ihre Daten regelmässig beim fedpol aktualisieren. IdP müssen fedpol und ISB Gebühren entrichten, wobei bei der Festsetzung berücksichtigt werden kann, ob die E-ID für den Inhaber selbst unentgeltlich ist.
Für RP ist es dank der Interoperabilitätsanforderungen hinreichend, mit einem IdP einen Vertrag abzuschliessen. Bezüglich Preisgestaltung sollten sie insbesondere die Lock-in-Effekte beachten. Dadurch, dass die Musterverträge unter Aufsicht des EDÖB sind, ist davon auszugehen, dass RP die gleichen Einschränkungen in der Nutzung der Daten haben wie die IdP. Die IdP müssten in Artikel 15 Absatz 1 Buchstabe k verpflichtet werden, für Datensparsamkeit und Schutz der Privatsphäre bei der Datenweitergabe an RP zu sorgen.

Offene Punkte im aktuellen Vorschlag
Artikel 18 verlangt die Interoperabilität der IdP. Es bleibt aber unklar, ob und wie Kosten für Carrier-Leistungen verrechnet werden. Vertragliche Vereinbarungen zwischen den IdP sind nicht vorgesehen und gemäss Artikel 18 erlässt der Bundesrat zur Interoperabilität ausschliesslich technische Vorschriften. Hier muss eine Vergütung nach Sicherheitsniveau für den authentifizierenden IdP vorgesehen werden. Dem Bundesrat muss aber ähnlich wie in anderen Bereichen die Kompetenz gegeben werden, Preise festzusetzen, wenn sich die IdP nicht einig werden.

Der Bundesrat kann gemäss Artikel 10 eine Verwaltungseinheit beauftragen, die Rolle eines IdP zu übernehmen. Die Einschränkung, wann dies geschehen kann, ist aber sehr eng formuliert. Die Registrierung einer untauglichen Lösung würde staatliche Intervention bereits verhindern. Sinnvoll wäre, diesem Ausnahmeartikel weitere Ausnahmefälle wie stärkerer Schutz der Privatsphäre hinzuzufügen oder eine offenere Formulierung zu wählen. Die Kosten einer subsidiären Lösung müssten, weil es anscheinend dafür keinen Markt gibt, wahrscheinlich weitgehend durch die Verwaltung getragen werden.

Artikel 15 regelt die Pflichten des IdP, u.a. auch gegenüber dem E-ID-Bezüger. Leider wird da das Thema der Zugänglichkeit für alle (E-Accessibility) nicht adressiert. Diskriminierung soll mit Hilfe des Artikels 17 möglichst ausgeschlossen werden. Weshalb aber Diskriminierung nur marktbeherrschenden Unternehmen untersagt werden kann, bleibt fragwürdig.

Während man im Kontext des Patientendossiers dem Patienten zumutet, die Zugriffsrechte auf die Inhalte seines Dossiers selbstständig zu regeln, wurde die Versichertennummer im Vorschlag von den Personenidentifizierungsdaten ausgeschlossen. Das fedpol darf gemäss Art. 8 «… zur Identifizierung von Personen die Versichertennummer durch ein Abrufverfahren denjenigen Betreiberinnen von E-ID verwendenden Diensten zugänglich machen, die zur systematischen Verwendung der Versichertennummer berechtigt sind.» Dies ist eine Überregulierung mit Zusatzkosten, wenn man bedenkt, dass eine RP die Versichertennummer nur anfordern darf, wenn sie dazu gemäss Gesetz berechtigt ist, und zudem der Bezüger die Übertragung einwilligen muss. Die Versichertennummer sollte unter Artikel 5, Absatz 1 aufgeführt werden.

Umsetzungsplan
Die Planung sieht den Aufbau bis 2020 vor, so dass 2021 E-ID genutzt werden können. Die Übergangsbestimmungen sehen vor, dass bestehende elektronische Identifizierungseinheiten während zwei Jahren weitergenutzt werden können. Damit sollte es möglich sein, auch Anfang 2021 tatsächlich viele E-ID am Start zu haben.

Bedeutung für das E-Government
Eine Verwaltung hat gegenüber einem IdP mehrfache Verpflichtungen:

• Bezüger von E-ID für Verwaltungsangestellte für alle Arten von Anwendungen
• RP für Leistungen der Verwaltungen mit ggf. sehr spezifischen Anforderungen bzgl. Schutz der Privatsphäre
• Vermittlung von weiteren, z.B. berechtigungsrelevanten Attributen zwischen Verwaltungen, aber auch verwaltungsexterne

Anwendungen
Ein Lock-in wiegt bei Verwaltungen besonders schwer, weil diese sogar in Ausnahmesituationen zur Leistungserbringung verpflichtet sind. Stark betroffen sind hier die Kantone als mittlere Ebene im föderalen System. In diesem Sinne wird den Verwaltungen aller föderalen Ebenen empfohlen, einen gemeinsamen IdP nach BGEID-Entwurf in Verbindung mit IDV bei eOperation bereitzustellen und zu betreiben.

Teilnahme am europäischen Digitalen Binnenmarkt
Die Lösung wurde gemäss Botschaft so ausgestaltet, dass eine spätere Notifizierung nach EIDAS möglich sei. Eine Notifizierung und damit der Anschluss ans europäische Identitätssystem erfordert aber einen bilateralen Vertrag. Daher kann ein Schweizer Gesetz alleine den Anschluss an den europäischen Markt nicht verbessern.

Das Gesetz ist sehr technologie-neutral geschrieben. So wird von der Ausstellung einer E-ID gesprochen, doch geht es dabei insbesondere um die Festlegung dem Sicherheitsniveau entsprechender Authentifizierungsmittel. Gerade hier ist zu erwarten, dass die Technologie noch ganz neue Verfahren bringen wird. Der Markt wird sich hier insbesondere an den Smartphone-bezogenen Technologien orientieren. Ebenso wird offengelassen, wie die Interoperabilität zwischen IdP gelöst wird. Details wie diese werden durch den Bundesrat auf der Basis des aktuellen Stands der Technik geregelt. Es steht den IdP offen, weitergehende Lösungen wie z.B. Gesamtlösungen für Identity und Access Management oder Schutz der Privatsphäre anzubieten.

Referenzen

[1] Schweizerische Eidgenossenschaft, Bundesgesetz über elektronische Identifizierungsdienste BGEID (Entwurf). CH, 2018, pp. 77–92.
[2] A. Laube-Rosenpflanzer et al., «eCH-0107 Gestaltungsprinzipien für die Identitäts- und Zugriffsverwaltung (IAM).» Verein eCH, Zürich, pp. 1–53, 2018.