Die Aufmerksamkeit für das Thema elektronische Identität ist – zu Recht – gross, handelt es sich doch beim geplanten Gesetz um eine Grundlage zur Einführung einer Basisinfrastruktur für sichere Online-Transaktionen. Dass im Umgang mit Identitätsdaten grösste Vorsicht geboten ist, versteht sich von selbst.
Dem Parlament wurde entsprechend eine gut austarierte Vorlage unterbreitet. Mit viel Sachverstand beugten sich beide Kammern über die Vorlage und integrierten mit dem Vorschlag für die Schaffung einer unabhängigen Kommission (EIDCOM) auch weitgehend die wenigen kritischen Stimmen. Dass die Referendumsdrohung auch nach der grossmehrheitlichen Annahme der Vorlage durch National- und Ständerat aufrechterhalten wird, ist im Wesentlichen auf drei Missverständnisse zurück zu führen:
Missverständnis Nr. 1: Die E-ID wird von Privaten herausgegeben
Dass es eine staatlich anerkannte E-ID braucht, um Online-Dienstleistungen auf höheren Sicherheitsniveaus zu beziehen, ist unbestritten. Selbstdeklarierte E-IDs, wie z.B. Google-ID, sind zwar für einfache Internet-Transaktionen geeignet, nicht jedoch für solche, die eine staatlich anerkannte Identifikation voraussetzen, etwa den Abschluss eines Versicherungsvertrags oder die Bestellung eines Strafregisterauszugs.
Die Geister scheiden sich indes an der Frage, wer diese E-ID bereitstellen soll. Der aktuelle Gesetzesentwurf stützt sich auf die zwanzigjährige Erfahrung mit digitalen Identitäten in der Schweiz und zieht auch Erkenntnisse aus anderen Ländern heran. Das zugrundeliegende Modell sieht vor, dass private Unternehmen die technische Infrastruktur bereitstellen und das Ökoystem aufbauen. Der Bund anerkennt resp. beaufsichtigt die privaten Anbieter und – ganz wichtig – erstellt die eigentliche persönliche E-ID. Das heisst: der Bund gibt die E-ID heraus.
Es ist wichtig anzumerken, dass die Datenhoheit auch im vorgeschlagenen Modell mit privatwirtschaftlicher Beteiligung immer beim Nutzer bleibt. Die privaten Identitätsanbieter haben lediglich die Aufgabe, im Auftrag des Identitätseigners die Daten abzugleichen und die Technologie hierfür bereitzustellen. Um es in den Worten von Bundesrätin Karin Keller-Sutter zu sagen: «Die E-ID ist im Kern also nichts anderes als ein gesetzlich geregelter Datensatz. Diese Daten werden vom Staat herausgegeben - und damit letztlich auch die E-ID. Die Privaten geben einzig das Zugangsmittel heraus.»
Missverständnis Nr. 2: Die Daten werden von den Privaten gesammelt, ausgewertet und monetarisiert
Bei jedem Digitalisierungsprojekt muss der Datenschutz an erster Stelle stehen. Klar ist aber auch, dass es einen absoluten Datenschutz nicht gibt; hier ist der vielzitierte Vergleich mit der absoluten Sicherheit beim Fliegen, die nur mit den Flugzeugen am Boden herbeizuführen ist, opportun.
Aber man kann den Datenmissbrauch durch geeignete Rahmenbedingungen sowie «Checks and Balances» minimieren. Genau dies wurde im Rahmen des BGEID auch getan: Der Datenschützer war von Beginn weg in das Gesetzesprojekt eingebunden und die gesetzlichen Vorschriften gehen sogar über das Datenschutzgesetz hinaus.
Es ist gemäss BGEID nicht möglich, Daten zu sammeln (sie müssen nach sechs Monaten wieder gelöscht werden), Persönlichkeitsprofile zu erstellen (Transaktions- und Personendaten müssen getrennt aufbewahrt werden!) und Daten weiter zu geben oder gar zu verkaufen (Datenweitergabe ist gesetzlich verboten!). Zudem haben die Nutzer und Nutzerinnen jederzeit die volle Kontrolle über die eigenen Daten – sie entscheiden, was sie wann und wem gegenüber bekanntgeben wollen.
Mit einem Reisepass oder einer Identitätskarte kann eine Person ihre Identität im Alltag beweisen. Im Internet ist dieser Beweis derzeit nur sehr umständlich zu erbringen. Daher braucht es für die digitale Welt einen elektronischen Identitätsnachweis, auch E-ID genannt. Solche staatlich anerkannte elektronische Identifizierungsmittel sind für die weitere Entwicklung von Online-Geschäften und E-Government-Anwendungen wichtig. Der Bundesrat will deshalb rechtliche und organisatorische Rahmenbedingungen für die Anerkennung von elektronischen Identifizierungsmitteln und von deren Anbietern schaffen.
Hier kommen Sie auf die Internetseite des EJPD und hier kommen Sie zu Fragen und Antworten über die E-ID.
Missverständnis Nr. 3: Bei der E-ID handelt es sich um einen digitalen Pass
Die E-ID dient nicht der Ausweisung der Staatsbürgerschaft beim Grenzübertritt, sondern sie gewährleistet die sichere Identifikation und Authentifikation im Internet. Weil es sich bei der E-ID nicht um einen elektronischen Pass im staatbürgerlichen Sinne handelt, werden auch keine Passbüros deswegen abgeschafft.
Wie Bundesrätin Karin Keller-Sutter anlässlich der Parlamentsdebatte ausführte, handelt es sich bei der E-ID um ein qualifiziertes Login – also ein Login, das besonders vertrauenswürdig sein soll und somit Transaktionen ermöglicht, die auch höhere Sicherheit voraussetzen.
Dass es ein solches Login für die weitere Entwicklung von Online-Transaktionen und die sich ausbreitende Digitalisierung braucht, ist unbestritten. Ausländische Erfahrungen zeigen, dass eine erfolgreiche Digitalisierung immer auf einer erfolgreichen E-ID basiert.
Diese Tatsache haben auch andere ID-Provider erkannt und sich in Stellung gebracht: so hat z.B. Apple vergangene Woche angekündigt, die Verbreitung von «Anmelden mit Apple» via Apps vorantreiben zu wollen. Im Unterschied zu den Anforderungen im E-ID Gesetz, ist diese Firma nicht verpflichtet, einen Sitz in der Schweiz zu haben und die Daten ausschliesslich in der Schweiz zu halten, auch finden die hiesigen gesetzlichen Bestimmungen, insbesondere der Datenschutz, keine Anwendung auf die Apple-ID.
Anders gesagt: Das Bedürfnis für ein qualifiziertes Login ist gegeben, die Entwicklungen in diesem Bereich schreiten voran – wir dürfen in der Schweiz diesen Zug auf keinen Fall verpassen!
Marc Walder ist CEO von Ringier – der an der «Handelszeitung» beteiligt ist – und Gründer der Standortinitiative Digital Switzerland