Zum Inhalt springen

Digitale Identitätskarte «Datenschutz muss von A bis Z eingehalten werden»

  • Der Bundesrat hat den Gesetzesentwurf zur Einführung einer elektronischen Identifizierung (E-ID) verabschiedet.
  • So prüft und bestätigt der Staat wie geplant die Identität. Die technische Umsetzung wird staatlich geprüften privaten Anbietern überlassen.
  • Justizministerin Sommaruga betont, dass das Gesetz sowohl die Rolle des Staates wie auch den Datenschutz noch verstärkt definiere.

«Das Gesetz ist eine wichtige Basis, damit die Digitalisierung in der Schweiz wirklich Fuss fassen kann und Bürgerinnen und Bürger die Angebote und Dienstleistungen richtig nutzen können», stellte Justizministerin Simonetta Sommaruga vor den Medien fest.

Mit den elektronischen Identifizierungsdiensten werde sich nicht zuletzt die Benutzerfreundlichkeit verbessern, sagte sie mit Blick auf die heute noch dauernd wechselnde Vielzahl von Passwörtern und Logins. Und sie betonte in Erwähnung des Datenskandals um Facebook die verbesserte Sicherheit, indem Nutzerinnen und Nutzer zweifelsfrei identifiziert werden könnten.

Bund macht Regeln, Wirtschaft setzt um

Der Anspruch, wonach der Staat die Regeln festlege und die Identität prüfe und bestätige, sei gegenüber der Vernehmlassung noch klarer eingelöst, betonte Sommaruga. Dafür werde in ihrem Departement beim fedpol eine eigentliche Identitätsstelle eingerichtet.

Datenschutz zentral

Während der Bund die Regeln und Standards festlegt, soll die technische Umsetzung laut Sommaruga der Privatwirtschaft überlassen werden. Denn diese seien mit allen erdenklichen Trägern von Handy bis ÖV-Karte auf dem Markt und entwickelten das Angebot ständig weiter und bauten es aus.

Die geltenden Datenschutzbestimmungen müssten von A bis Z eingehalten werden, sagte Sommaruga. «Daten dürfen nur mit Einwilligung des E-ID-Inhabers weitergegeben werden. Sonst läuft nichts.» Anbieter von Karten müssten vom Staat anerkannt sein, für die Bestätigung der Identität gebe es nur den direkten Kontakt mit dem Staat. Die Anbieter unterliegen dem allgemeinen Haftungsrecht, wenn sie Sorgfaltspflichten verletzen.

So läuft die elektronische Identifizierung (E-ID)

Box aufklappen Box zuklappen

Die Rolle des Staates: Bei der E-ID wird es Aufgabe des Staates sein, die Identität einer Person amtlich zu überprüfen und zu bestätigen. Er greift dabei auf die Angaben aus den Informationssystemen des Bundes zurück. Die beim Bundesamt für Polizei (fedpol) neu zu schaffende Identitätsstelle ist für die Erstidentifizierung zuständig und weist jedem Nutzer und jeder Nutzerin einer E-ID eine Registrierungsnummer zu. Die AHV-Nummer darf dafür nicht verwendet werden. Die Identifizierung läuft auch dann über das fedpol, wenn die Person bereits in einem anderen Verfahren identifiziert wurde, zum Beispiel von einer Bank.

Aufgaben und Kontrolle der Privatwirtschaft: Die E-ID selber wird von privaten Anbietern herausgegeben, sogenannten Identity Providern (IdP). Angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen wäre der Bund nicht in der Lage, die Träger der Identitätsangaben selbst zu entwickeln und herzustellen, begründet der Bundesrat die Arbeitsteilung.

Der Bund unterzieht die Identity Provider und deren Systeme jedoch einem Anerkennungsverfahren und regelmässigen Kontrollen. Gemäss Bundesrat soll die Anerkennungsstelle dem Informatiksteuerungsorgan des Bundes (ISB) angegliedert werden. Dieses Zusammenspiel biete «optimale Voraussetzungen für den einfachen und benutzerfreundlichen Einsatz der E-ID durch Verwaltung, Private und Unternehmen», so die Botschaft.

Die Träger der E-ID: Nicht festgelegt ist der Träger der E-ID. Denkbar sind gängige elektronische Identifizierungsmittel wie Mobiltelefone oder Smartcards, aber auch Lösungen mit Nutzername, Passwort und allenfalls weiteren Authentifizierungen. Die konkrete Lösung dürfte vom Sicherheitsbedürfnis der Anwender abhängen.

Drei Sicherheitsstufen: Der Bundesrat schlägt drei Sicherheitsniveaus vor: niedrig, substanziell und hoch. Die Anforderungen dafür gelten als weltweiter Standard. Für das tiefste Schutzniveau werden mit der E-ID-Registernummer Name, Vorname und Geburtsdatum verbunden. Die Registrierung erfolgt online gestützt auf einen staatlichen Ausweis.

Bei der Stufe «substanziell» kommen Geschlecht, Geburtsort und Staatsangehörigkeit hinzu. Zudem ist eine persönliche Vorsprache oder eine Videoidentifikation nötig. Dieses Sicherheitsniveau verlangt mindestens eine 2-Faktor-Authentifizierung, wie sie heute für E-Banking-Lösungen üblich ist.

Nur für das Sicherheitsniveau «hoch» ist ein Gesichtsbild nötig. Zudem werden ein biometrisches Merkmal und die Echtheit des Ausweises geprüft. Mindestens ein Faktor der Zwei-Faktor-Authentifizierung muss biometrisch sein. Erwähnt sind Fingerabdruck-, Gesichts- oder Stimmenerkennung. Das Sicherheitsniveau «hoch» soll auch Schutz vor Cyberangriffen bieten.

Keine Pflicht zur E-ID: Die Nutzung der E-ID ist freiwillig. Im E-Commerce können damit die Kundinnen und Kunden eindeutig identifiziert werden. Spirituosenhändler können eine verbindliche Altersprüfung durchführen. Die E-ID soll Zugang zum elektronischen Patientendossier gewähren. Im elektronischen Verkehr mit den Behörden ist der Einsatz der E-ID in allen Anwendungen denkbar.

Zweck der E-ID ist es, den sicheren elektronischen Geschäftsverkehr unter Privaten und mit Behörden zu fördern. Es handelt sich um ein Angebot, nicht um eine Pflicht. Daher soll die E-ID vorhandene Identifizierungssysteme auch nicht verdrängen. Diese würden allerdings keine staatliche Anerkennung geniessen.

Wirtschaft in den Startlöchern: Heute sind bereits zahlreiche Identifizierungsangebote mit unterschiedlichen Schutzniveaus im Umlauf. Viele Webseiten verlangen eine Anmeldung mit Nutzername und Passwort. Verbreitet sind E-Banking-Lösungen oder Angebote wie Apple-ID, Google-ID, Mobile-ID, OpenID, SuisseID, SwissID oder SwissPass.

Ein Anbieter einer E-ID hat sich bereits in Position gebracht. Rund um die SwissID von Post und SBB hat sich ein Konsortium gebildet, das inzwischen 18 grosse Unternehmen umfasst. Dazu gehören Swisscom, Credit Suisse, Entris Banking, Raiffeisen, UBS, ZKB, Six Group und die Versicherungen Axa, Baloise, CSS, Helvetia, Mobiliar, SWICA, Swiss Life, Vaudoise und Zürich. Sie wollen eine E-ID anbieten, die für die Nutzer kostenlos ist. Finanziert werden soll diese durch Beiträge der Anbieter von Online-Dienstleistungen. Der Bund rechnet mit Kosten von rund neun Millionen Franken für den Aufbau seiner Systeme und mit 2,4 Millionen Franken pro Jahr für den Betrieb. (sda)

Meistgelesene Artikel