Private Unternehmen sollen digitale Identitäten herausgeben

Zweck der E-ID ist eine sichere und einfache Identifikation für den Geschäftsverkehr im Internet oder E-Government-Anwendungen. Die korrekte Identifikation im Internet werde mit der wachsender Zahl der abgewickelten Geschäfte immer wichtiger, sagte Justizministerin Karin Keller-Sutter.

Das vom Bundesrat ausgearbeitete Gesetz teilt die Aufgaben zwischen Staat und Privatwirtschaft auf. Der Bund prüft und bestätigt die Identität einer Person gestützt auf Angaben aus den Informationssystemen des Bundes. Dafür wird beim Bundesamt für Polizei (fedpol) eine Identitätsstelle geschaffen. Diese ist für die Erstidentifizierung zuständig. Sie weist jedem Nutzer und jeder Nutzerin einer E-ID eine Registrierungsnummer zu.

Bund überfordert

Herausgegeben wird die E-ID von privaten Anbietern, sogenannten Identity Providern (IdP). Der Bund unterzieht die IdP und deren Systeme einem Anerkennungsverfahren und regelmässigen Kontrollen. Die SwissSign Group, die die SwissID herausgibt, ist bereits in den Startlöchern. Zum Konsortium gehören Post, SBB, Swisscom, Six, die Grossbanken und Versicherungen.

Diese Aufgabenteilung war der umstrittenste Punkt des Gesetzes. Nach Ansicht des Bundesrats ist der Bund angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen gar nicht in der Lage, die E-ID selber zu entwickeln. Erfahrungen im Ausland zeigten, dass sich staatliche Lösungen nicht zwigend durchsetzten, sagte Keller-Sutter.

Bedenken wegen des Datenschutzes liess sie nicht gelten. Sie wies auf die strengen Vorschriften im Gesetz hin, die über das geltende Datenschutzrecht hinausgehen. Absolute Sicherheit gäbe es auch dann nicht, wenn die Daten beim Staat lägen. Schliesslich warnte die Justizministerin vor weiteren Verzögerung: Die Schweiz habe bereits einen Rückstand aufzuholen, sagte sie.

«Selbstaufgabe des Staates»

SP und Grüne wollten den Entwurf an den Bundesrat zurückweisen mit dem Auftrag, die Herausgabe der E-ID als öffentliche Aufgabe zu konzipieren. Die Ausgabe eines Passes sei Aufgabe des Staates, sagte Min Li Marti (SP/ZH). «Warum sollte das anders sein, wenn es ein elektronischer Pass ist?» Wenn der Staat sich das nicht zutraue, komme das einer Selbstaufgabe gleich.

Flavia Wasserfallen (SP/BE) sprach von einem «Murks». Ein Anbieter werde sich voraussichtlich durchsetzen, es drohe ein Monopol. Auch die SVP meldete Zweifel an, vor allem wegen Sicherheitbedenken. Es brauche ein praxistaugliches Notfallkonzept im Fall von Datenlecks, verlangte Pirmin Schwander (SZ).

Die Mehrheit, zu der auch die SVP gehörte, hatte jedoch nichts gegen die Rolle der Privatwirtschaft. Der Staat gebe seine Kernaufgaben bei der Prüfung der Identität nicht ab, betonte Kommissionssprecherin Andrea Gmür (CVP/LU). Der Rückweisungsantrag der Linken scheiterte mit 131 zu 53 Stimmen bei 2 Enthaltungen. Ebenso erfolglos waren die Anträge, die die Rolle des Staates stärken wollten.

Der Nationalrat nahm ohnehin nur zurückhaltend Änderungen an der Vorlage des Bundesrat vor. Eine bedeutende Anpassung ist die Pflicht der Herausgeber, allen Personen eine E-ID auszustellen, die die persönlichen Voraussetzungen erfüllen. Keller-Sutter warnte vergeblich vor einem «Vertragszwang».

Persönlicher Ausweis

Einverstanden ist der Nationalrat damit, dass die E-ID persönlich ist und nicht weitergegeben werden darf. Damit würden die Sorgfaltspflichten der Nutzerinnen und Nutzer verdeutlicht, sagte Keller-Sutter. Diese hafteten für den Schaden, den sie mit der E-ID anrichteten.

Nicht festgelegt ist im Gesetz der Träger der E-ID. Der Nationalrat hat die Technologieneutralität explizit im Gesetz festgehalten. Denkbar sind gängige elektronische Identifizierungsmittel wie Mobiltelefone oder Smartcards, aber auch Lösungen mit Nutzername, Passwort und allenfalls weiteren Authentifizierungen. Heute im Umlauf befindliche Angebote bleiben erlaubt. Ohne IdP-Status haben sie aber keine staatliche Anerkennung.

Vorgesehen sind drei Sicherheitsniveaus: niedrig, substanziell und hoch. Ab Sicherheitsniveau substanziell ist eine 2-Faktor-Authentifizierung nötig, bei Sicherheitsniveau hoch muss mindestens ein Faktor der Zwei-Faktor-Authentifizierung biometrisch sein.

Den Preis der E-ID will der Bundesrat dem Markt überlassen. Der Bundesrat rechnet mit Kosten von rund 9 Millionen Franken für den Aufbau seiner Systeme und mit 2,4 Millionen Franken pro Jahr für den Betrieb. Die Vorlage geht nun an den Ständerat.