Schweizerische E-ID: Wer, wie, was?

Grosse Ziele, unklarer Nutzen, ungewisse Erfolgschancen. Eine Analyse und Stellungsnahmen möglicher künftiger Player einer Schweizerischen E-ID.
 
Es gibt viele Arten von E-IDs und fast ebenso viele Schreibweisen. Praktisch jeder Besitzer eines PCs oder eines Smartphones verfügt bereits über mehrere E-IDs. Ohne E-ID geht bei Apple, Google, Microsoft, Facebook, Twitter, Amazon, Zalando etc. fast gar nichts. Auch für jedes Bankkonto gibt es eine. Die E-ID dient zur Identifizierung und Authentifizierung für das Nutzen von Diensten. Das Grundprinzip wird schon heute flächendeckend angewandt. So befindet sich auf der integrierten Smartcard von Bankkontokarten, Kreditkarten und auf den meisten Krankenkassen-Ausweisen eine dienstspezifische E-ID. Jeder dieser Dienste ist heute ein eigener Silo mit eigener E-ID.
 
Die drei Kategorien von E-IDs
Es sprechen zwar alle von E-ID, aber eigentlich sind es drei unterschiedliche Kategorien von E-IDs, die unterschiedlichen Ansprüchen genügen müssen: (1) Staatliche E-ID als elektronisches Äquivalent zur analogen Identitätskarte respektive dem Pass, (2) privatwirtschaftliche E-ID, die erst nach Ausweiskontrolle ausgestellt wird, und (3) privatwirtschaftliche E-ID, die ohne vorgängige Ausweiskontrolle ausgestellt wird.
 
Was will die schweizerische E-ID?
Die Schweiz will eine staatliche E-ID einführen. Der Vorentwurf zu einem Bundesgesetz über anerkannte elektronische Identifizierungseinheiten (E-ID-Gesetz), das die Rahmenbedingungen definieren soll, liegt vor. Die Vernehmlassungsfrist dazu endet am 29. Mai 2017.
 
Gemäss dem Bundesamt für Polizei (fedpol) geht es um die Etablierung einer national und international gültigen elektronischen Identität: "Ziel des strategischen Projektes ist, dass sich Schweizerinnen und Schweizer im Internet mit der gleichen Qualität elektronisch ausweisen können, wie sie dies mit dem Pass oder der Identitätskarte in der physischen Welt tun können." Das Bundesamt für Polizei sieht die E-ID als Schlüsselinfrastruktur-Element, auf dem weitere digitale Dienste für ein durchgehend digitales E-Government, E-Banking, E-Commerce, E-Health, E-Education und E-Voting aufbauen können. So soll die E-ID einen wichtigen Beitrag zur digitalen Transformation der Schweiz leisten.
 
Für welchen Zweck?
Die Digitalisierung von Geschäftsprozessen schreitet unaufhaltsam voran. Das Bundesamt für Polizei ist der Ansicht, dass die Online-Abwicklung anspruchsvollerer Geschäfte das Vertrauen der Geschäftspartner in die Identität ihres Gegenübers erfordert. Dies sei einer der Gründe dafür, dass der Bundesrat rechtliche und organisatorische Rahmenbedingungen für die Anerkennung von elektronischen Identifizierungsmitteln und deren Anbieter schaffen will.
 
Für die Digitalisierung von Geschäftsprozessen braucht es allerdings oft eine rechtsgültige digitale Signatur. Diese ist in einem anderen Gesetz geregelt. Eine Übersicht zu den gesetzlichen Grundlagen findet sich hier.
 
Welche Daten stehen zur Verfügung?
Gemäss Vorentwurf und Begleitschreiben stehen für die Ausstellung einer e-ID die Daten der staatlichen Informationssysteme Infostar (elektronisches Personenstandsregister), ZEMIS (Zentrales Migrationsinformationssystem), ISA (Informationssystem Ausweisschriften) und das Zentralregister der zentralen Ausgleichsstelle der AHV (ZAS-UPI) zur Verfügung.
 
Die Rolle des Bundes
Gemäss Begleitschreiben des Bundes zur Vernehmlassung (PDF) will er seine Aufgaben in Bezug auf die E-ID auf das Wesentliche beschränken: "Der Bund übernimmt im Bereich staatlich anerkannter E-ID fünf Aufgaben: Er
1) erarbeitet und pflegt die Rechtsgrundlagen und bewirkt damit Transparenz und
Sicherheit;
2) definiert einzuhaltende Standards, Sicherheits-und Interoperabilitätsanforderun-
gen für den Betrieb eines E-ID-Systems;
3) betreibt eine elektronische Schnittstelle, über welche anerkannte IdP (Identitätsdienstleister) staatlich geführte Personenidentifizierungsdaten beziehen können;
4) anerkennt IdP und ihre E-ID-Systeme; und
5) beaufsichtigt anerkannte IdP und E-ID-Systeme.
Diese Aufgaben sollen beim Bund von zwei Verwaltungseinheiten wahrgenommen werden: der 'Schweizerischen Stelle für elektronische Identität (Identitätsstelle)' und der 'Anerkennungsstelle für Identitätsdienstleister (Anerkennungsstelle)'."
 
Wie ist soll sie erhältlich sein?
Für die Ausstellung der E-ID sollen die Aufgaben zwischen Staat und Privatwirtschaft geteilt werden. Der Bund soll sowohl geeignete private als auch öffentliche Identitätsdienstleister zur Ausstellung von staatlich anerkannten E-IDs ermächtigen können.
 
Wer soll das bezahlen?
Für den Staat soll der Betrieb der E-ID mittelfristig haushaltsneutral, da gebührenfinanziert sein. Bis dann werden Steuergelder verwendet. Das betrifft allerdings nur den Betrieb der staatlichen Infrastruktur. Wie die unterschiedlichen Identitätsdienstleister ihre Betriebskosten weitergeben, hängt von ihrem jeweiligen Kosten- und Ertragsmodell ab. Privatrechtliche E-ID-Anbieter sind zudem nicht auf die staatliche Infrastruktur angewiesen.
 
Stellungnahmen und Meinungen
Inside-it.ch hat sowohl wichtige Persönlichkeiten im Bereich E-ID als auch mögliche künftige Identitätsdienstleister um eine Stellungnahme gebeten. Nachstehend die Antworten:
 
Sepp Huber, Leiter Mediendienst Swisscom: "Bis Ende Mai läuft noch die Vernehmlassung zum neuen E-ID-Gesetz. In dieser Zeit laufen viele Gespräche mit verschiedenen Playern. Uns ist wichtig, dass wir in der Schweiz die Kräfte bündeln und ein gemeinsames, föderalistisches System aufbauen, das allen Unternehmen offensteht und auf deren bestehenden Infrastrukturen beruht. Die nächsten Schritte werden wir zu gegebener Zeit kommunizieren."
 
Jaqueline Bühlmann, Mediensprecherin der Schweizerischen Post: "Die Vernehmlassung läuft noch bis am Montag, 29. Mai 2017. Seitens Post werden wir bis dann eine Stellungnahme einreichen. Ein nationales E-ID Gesetz ist notwendig, wir unterstützen einen klaren Rechtsrahmen. Damit Schweizerinnen und Schweizer von einer E-ID profitieren können, braucht es genügend Anwendungen für eine möglichst rasche Verbreitung."
 
Patrick Comboeuf, Studienleiter Center for Digital Business HWZ, Partner Carpathia: "Im Kontext der fortschreitenden Digitalisierung ist die elektronische Identität ein Grundpfeiler für eine zukunftsfähige Volkswirtschaft. Liberalen Überzeugungen und bürokratischer Effizienz zum Trotz: der Bund kann und darf sich bei der E-ID nicht aus der Verantwortung stehlen. Nach all den gescheiterten Anläufen der Vergangenheit muss Bundesbern selbst in den Lead. Die Politik darf sich nicht zu schade sein, Expertise von erfolgreichen E-ID Konzepten aus dem Ausland, zum Beispiel aus Estland einzukaufen bzw. zu kopieren / lizenzieren."
 
Rino Borini, Studiengangleiter CAS Digital Finance HWZ, CEO Financialmedia: "Ohne einheitliche Lösung wird es schwierig. Eine Konkurrenz zwischen inkompatiblen Schweizer E-ID-Systemen löst weder die bestehenden Probleme noch bringt sie dem Benutzer einen Vorteil. Die Akzeptanz auf Nutzer- und Diensteanbieterseite ist entscheidend. Der bisherige Misserfolg von SuisseID, damals unter Federführung des Staatssekretariat für Wirtschaft Seco mit Millionenbeträgen lanciert und gefördert, zeigt dies mit aller Deutlichkeit. Ein weiterer Flop würde die staatliche E-ID auf ihre Basisfunktion reduzieren und der Markt der serviceübergreifenden E-IDs bliebe genauso fragmentiert wie bisher." (Christoph Jaggi)

Unser Kommentar:

Beim aktuellen Entwurf des Bundes geht es um das digitale Äquivalent zur Identitätskarte und dem Pass. Die hoheitliche E-ID und deren gesetzliche Regelung soll sich deshalb primär auf die Ereignisse beschränken, bei denen auch im realen Leben ein analoger Ausweis vorgelegt werden muss oder als Substitut für eine andere Identifizierung und Authentifizierung verwendet werden kann. Auf dem hoheitlichen Ausweis hat es unter anderem ein Photo, einen Namen, biometrische Daten, den Heimatsort und eine Unterschrift, die zur Überprüfung der Identität einer Person herangezogen werden können. Zudem kann der Bund auch den Zugriff von Identitätsdienstleistern auf die hoheitliche E-ID regeln. Der Zugriff privatrechtlicher Identitätsdienstleister auf die staatlichen Informationssysteme sollte hingegen auf die hoheitliche E-ID beschränkt sein.
 
Das Ausstellen der staatlichen E-ID sollte durch die staatliche Behörde erfolgen, welche auch die Pässe und Identitätskarten ausstellt, schliesslich geht es gemäss dem Bundesamt für Polizei um Ausweisäquivalenz. Das lässt sich mittels in die jeweiligen Ausweise integrierter Smartcard lösen. Die Aktivierung der E-ID kann dann problemlos über den vom Nutzer bevorzugten Identitätsdienstleister erfolgen. Nicht-hoheitliche E-IDs der Kategorie zwei können gegen Vorlage eines Ausweises ausgestellt werden und für E-IDs der Kategorie drei kann auf eine Ausweisprüfung verzichtet werden.
 
Die hoheitliche Identifizierung und Authentifizierung ist kein Schlüsselinfrastruktur-Element für die digitale Transformation der Schweiz; dieses Ziel kann auch mit einer interoperablen privatrechtlichen E-ID erreicht werden. Die Kombination von E-ID mit elektronischer Signatur weist für eine vollumfängliche Digitalisierung über mehrere Bereiche hinweg Vorteile auf, da so auch rechtsgültige elektronische Unterschriften möglich sind. Dies aber nur in den B2C-Fällen, in denen eine verifizierte elektronische Identität und eine elektronische Unterschrift effektiv nötig und kosteneffizient sind. Das ist heute noch in den wenigsten Fällen so. Da die E-ID nur die natürlichen Personen abdeckt, sind zudem dem Einsatzbereich für die durchgängige Digitalisierung enge Grenzen gesetzt.
 
Bei Verwendung der gleichen E-ID für mehrere oder gar sämtliche Dienste können detaillierte Verhaltensmuster aufgezeichnet und entsprechende Nutzerprofile angelegt werden. Es ist da nur eine Frage der Zeit bis solche Verhaltensmuster und Nutzerprofile ausgewertet und ausgenützt werden, sofern dem nicht von vornherein ein Riegel vorgeschoben wird.
 
Man kann davon ausgehen, dass jede Person zwar nur eine einzige hoheitliche E-ID, aber mehrere E-IDs der Kategorien zwei und drei verwenden wird. Für die Akzeptanz der E-IDs entscheidend ist der Nutzen für die Beteiligten. Für diensteübergreifende E-IDs braucht es Interoperabilität zwischen unterschiedlichen Identitätsdienstleistern und die Unterstützung durch möglichst viele Diensteanbieter. (Christoph Jaggi)