“Mit dem E-ID-Gesetz nimmt die Schweiz eine Vorreiterrolle ein”

Für Nicolas Bürer, Managing Director digitalswitzerland ist die Schweizer e-ID unabdingbar. Warum das Stimmvolk das E-ID-Gesetz annehmen sollte, begründet er im Interview mit Prof. Dr. Reinhard Riedl.

Societybyte: Welchen Nutzen bringt eine staatlich anerkannte E-ID? Wie wichtig ist die E-ID für die Schweiz?

Nicolas Bürer: In der Schweiz gibt es gegenwärtig keine Rahmenbedingungen für eine verifizierte und staatlich anerkannte elektronische Identität. Folglich kann sich niemand im Internet sicher identifizieren oder die Identität einer anderen Person überprüfen. Das Fehlen einer sicheren und einfachen Identifikation steht im Widerspruch zu den aktuellen Bedürfnissen. Das E-ID-Gesetz schafft somit einen lang erwarteten rechtlichen und strukturellen Handlungsrahmen. Mit einer Schweizer e-ID können Schweizer Bürgerinnen und Bürger auf einfache und sichere Weise von den Vorteilen und Möglichkeiten der digitalen Welt profitieren. Das E-ID-Gesetz schafft klare Regeln für mehr Transparenz und Datenschutz und garantiert unabhängige Kontrollen.

Was US-Technologiekonzerne wie Apple, Facebook, Amazon und Google betrifft: Wir sollten uns nicht von Dritten abhängig machen und unsere digitale Souveränität wahren.

Das E-ID Gesetz sieht vor, dass der Bund nur dann E-IDs ausgeben soll, wenn es zu keiner funktionierenden privatwirtschaftlichen Lösung kommt. Reicht es aus Ihrer Sicht aus, dass der Staat sich auf technisch-organisatorische Vorgaben und Kontrolle beschränkt?

Mit dem heutigen Technologie-Entwicklungsstand gilt es auch, sich auf die eigenen Stärken zu konzentrieren. Der Staat behält weiterhin die Hoheit und ist alleiniger Herausgeber der e-ID, und verifiziert über das Bundesamt für Polizei (fedpol) und der Eidgenössischen E-ID-Kommission (EIDCOM) alle Identitätsdienstleister, sogenannte Identity-Provider (IdP). Der Staat mischt sich aber nicht in die technologische Lösung ein. Dies ist die Aufgabe der Privatwirtschaft und der Verwaltungseinheiten von Gemeinden oder Kantonen, die als E-ID-Anbieter auftreten werden.

Was braucht es zusätzlich zu einem E-ID-Gesetz, damit die E-ID in der Schweiz ein Erfolg wird – oder genügt das Gesetz?

Nein, ein Gesetz allein genügt nicht. Aber es ist ein wichtiger Anfang, der den rechtlichen Rahmen vorgibt. In einem zweiten Schritt werden gute Anbieter benötigt, die leistungsfähige und benutzerfreundliche Lösungen bereitstellen. Dazu gehört auch eine transparente und starke Kommunikationskampagne. Wir haben das bei der SwissCovid-App gesehen. Mit 2,5 Millionen Anwender: innen wurde ein erster Meilenstein gelegt, aber die erhoffte Nutzerquote von 70% wurde leider nicht erreicht. Immer wieder wurden Zweifel an der Datensicherheit laut. Es braucht auch ein gut funktionierendes Ökosystem mit verlässlichen Partnern, wie Online-Dienstleister auf kantonaler oder privatwirtschaftlicher Ebene, die ein e-ID-System integriert haben.

Sind die Haftungsfragen im E-ID Gesetz ausreichend geregelt?

Im Zusammenhang mit Haftungsfragen ist vieles bereits im Obligationenrecht OR geregelt. Das wird somit im E-ID-Gesetz nicht nochmals separat oder anders formuliert. Im E-ID-Gesetz ist die Haftung in Artikel 32 verankert: Sie richtet sich für Inhaber*innen einer E-ID, der Betreiberin von E-ID-verwendenden Diensten sowie des IdP nach dem Obligationenrecht (Abs. 1); die Haftung des Bundes richtet sich nach dem Verantwortlichkeitsgesetz. Vgl. dazu auch Ziffer 2.11 der Botschaft (BBL 2018 3967).

Wer nun wie genau haftet, muss im Einzelfall geklärt werden. Wenn sich z.B. nach einer Attacke erweisen sollte, dass der IdP den Betrieb seines E-ID-Systems nicht sicher gewährleistet, haftet er. Dazu muss er eine Versicherung abschliessen (vgl. Art. 13 Abs. 2 Bst. f. BGEID), um für den entstandenen Schaden aufkommen zu können. Zudem riskiert der fehlbare IdP je nach Schwere auch seine Anerkennung.

Sollte die Inhaberin oder der Inhaber einer E-ID diese Dritten zugänglich gemacht haben oder die nach den Umständen notwendigen und zumutbaren Massnahmen nicht getroffen haben, damit ihre/seine E-ID nicht missbräuchlich verwendet werden kann, würden diese nach den Regeln des OR haften.

Abschliessend ist auch noch darauf hinzuweisen, dass in der Schweiz in diesem Zusammenhang resp. bei einem Identitätsdiebstahl verschiedene Strafdelikte in Frage kommen könnten wie Betrug (Art. 146 StGB), bei Phishing Urkundenfälschung (Art. 251 StGB) oder unbefugte Datenbeschaffung (Art. 143 StGB), zudem Hacken (Art. 143bis StGB), Datenbeschädigung (Art. 144bis StGB), arglistige Vermögensschädigung (Art. 151 StGB), Drohung (Art. 180 StGB), Nötigung (Art. 181 StGB) oder Ehrverletzung (Art. 173 ff. StGB).

Aus der Ingenieurscommunity hört man die Kritik, dass das Gesetz zu sehr auf Vertrauen und Kontrolle setzt und zu wenig auf die technische Verunmöglichung des Datenmissbrauchs. Ist es zeitgemäss, bei solchen sensiblen Fragen sich allein auf Vorschriften zu verlassen?

Das Gesetz gibt die Rahmenbedingungen vor und in den Verordnungen werden noch spezifische Vorschriften ergänzt. Technologische Einschränkungen sollten auf keinen Fall in die Verordnung integriert werden, da diese sonst ständig angepasst werden muss. Die e-ID-Anbieter haben ein ureigenes Interesse daran, immer auf dem neuesten Stand in Sachen Cybersicherheit zu bleiben. Die Transaktionsdaten der Nutzer*innen werden nach 6 Monaten automatisch gelöscht und die e-ID-Anbieter haben keinen Zugriff auf die Inhalte der Online-Dienstleister.

Sollte die Schweiz die Anerkennung ihrer E-ID im Ausland anstreben, beispielsweise in der EU?

Das E-ID-Gesetz ist so formuliert, dass es mit dem europäischen System interoperabel ist. Es ist nicht nur sinnvoll, sondern auch anzustreben, dass sich die Schweiz an den europaweit verbindlichen Regelungen, der eIDAS-Verordnung der EU, anschliesst. In einigen Jahren ist es durchaus denkbar, dass die Schweizer e-ID für Behördengänge oder für e-Commerce in Deutschland genutzt werden kann. Abgesehen von Skandinavien ist die EU gerade erst dabei, ihre Modelle zu evaluieren. Sie beobachtet sehr genau, was die Schweiz unternimmt und wie sie es anpackt.

Sollte die geplante EIDCOM ihre Vorgaben grundsätzlich und schon jetzt so ausrichten, dass die Schweiz E-ID eIDAS-kompatibel wäre?

Genau dies ist der Fall. In der Schweiz werden zwei Staatsorgane für die Verifizierung der e-ID verantwortlich sein: das fedpol und das neu zu schaffende EIDCOM, welche die e-ID-Anbieter beaufsichtigen werden. Das Gesetz sieht vor, dass das EIDCOM sicherstellen soll, dass die Schweizer e-ID eIDAS-kompatibel ist.

Um was geht es bei der Abstimmung? Was wird passieren, wenn das Gesetz angenommen wird und was , wenn das Gesetz abgelehnt wird?

Mit der Annahme des E-ID-Gesetzes wird die Verordnung fertiggestellt und das neue Gesetz wird in den nächsten Monaten in Kraft treten. Das EIDCOM wird sich konstituieren, fedpol wird seine Prozesse ausrichten und der Markt wird sich organisieren. Neue e-ID-Anbieter werden möglicherweise in Erscheinung treten und bestehende Anbieter wie SwissSign und der Kanton Schaffhausen werden sich als offizielle IdPs bewerben.

Ein “Nein” würde uns um 2-3 Jahre zurückwerfen, bevor die Handlungen wieder aufgenommen würden. Erst in 3-4 Jahren wäre somit ein neuer Gesetzesentwurf zu erwarten, wobei dann nicht feststeht, ob dieser überhaupt schon im Parlament mehrheitsfähig sein wird. In der Zwischenzeit werden sich einige Player wie Apple, Google oder Amazon auf dem Markt etablieren. Dies jedoch ohne erhöhte Sicherheit und ohne einen entsprechenden gesetzlichen Rahmen.

Wie lautet, auf den Punkt gebracht, die Abstimmungsempfehlung von digitalswitzerland?

Wir empfehlen ein klares JA! Die Schweiz braucht ein E-ID-Gesetz und eine solche innovative Öffentlich-Private Partnerschaft. Es ist zeitgemäss, es ist zukunftsweisend. Damit würden die Schweiz eine Vorreiterrolle in Europa einnehmen.

Was ist Ihre langfristige Prognose: Welche E-IDs wird es 2035 in der Schweiz geben und welche Rolle werden sie spielen?

Im Jahr 2035 besitzen 90% der Schweizer Bevölkerung eine e-ID. Die e-ID wird viele Anwendungsmöglichkeiten haben: Bei Behörden, aber auch im Online-Handel, für Versicherungen, Bankgeschäfte, Kredite oder Leasing. 2035 werden die europäischen Systeme interoperabel sein, so dass wir Schweizer von zahlreichen Nutzungsmöglichkeiten im Ausland profitieren werden. Im Jahr 2035 wird die e-ID noch nicht als Reisedokument dienen. Die e-ID wird etwas für die Online-Welt bleiben. Sie ist der Schlüssel zur Digitalisierung. Sie wird kein Ersatz der bestehenden Identifikation, wie wir sie in Form des Passes kennen, sondern eine Ergänzung innerhalb der Online-Welt sein.


Zur Person

Nicolas Bürer ist seit 2016 Geschäftsführer der Standortinitiative Digitalswitzerland. Er studierte Physik an der EPFL und war zuvor in verschiedenen Positionen tätig bei Deindeal.ch, Movu.ch, und beim früheren interaktiven TV-Sender Joiz Schweiz.

AUTOR/AUTORIN: Reinhard Riedl

Reinhard Riedl leitet das BFH-Zentrum Digital Society und gibt das Online-Magazin SocietyByte heraus. Er war Präsident der Schweizerischen Informatikgesellschaft sowie der Internationalen Gesellschaft für Neue Musik Bern IGNM.

PDF erstellen

Ähnliche Beiträge

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.