Das Parlament hat dem E-ID-Gesetz heute zugestimmt, die Technologie ist festgelegt. Wie kam es zur neuen Vorlage? Was zeichnet die E-ID aus? Und wie geht es jetzt weiter?
Am 7. März 2021 lehnte die Schweizer Stimmbevölkerung die Vorlage für eine E-ID mit 64,4% Nein-Stimmen ab. Die Vorlage sah eine von privaten Anbietern herausgegebene und staatlich kontrollierte elektronische Identität vor. Das klare Nein an der Urne sei ein Ja für eine staatliche E-ID, kommentierte damals die Digitale Gesellschaft.
Bereits drei Tage später verlangten am 10. März 2021 Nationalräte und Nationalrätinnen aller Parteien mit einer Motion vom Bundesrat die Ausarbeitung einer vertrauenswürdigen, staatlichen E-ID. Nicht ganz vier Jahre später ist die darauf basierende neue Vorlage festgelegt. Am 10. Dezember hat der Ständerat letzte Differenzen beim "Bundesgesetz über den elektronischen Identitätsnachweis und andere elektronische Nachweise" (PDF) bereinigt. Dem Kredit im Umfang von insgesamt rund 100 Millionen Franken für den Aufbau und den Betrieb der nötigen E-ID-Systeme hatten die Räte bereits zuvor zugestimmt.
Die Schlussabstimmungen zum Gesetz fielen heute, 20. Dezember, denn auch deutlich aus. Der Nationalrat stimmte mit 170 Ja gegen 25 Nein bei einer Enthaltung zu. Der Ständerat hiess die Vorlage mit 43 Ja gegen 1 Nein gut. Damit ist alles für die Einführung einer staatlichen E-ID vorbereitet.
Nationalrat Gerhard Andrey (Grüne/FR) ist einer der zentralen Urheber der neuen Vorlage. "Ich bin wirklich sehr zufrieden und damit nicht alleine. Die Unterstützung für die Vorlage ist sehr gross", erklärt er gegenüber inside-it.ch. "Entscheidend dafür war sicher auch der partizipative und transparente Entstehungsprozess mit der Industrie, Wissenschaft, Zivilgesellschaft und der Verwaltung, sogar über mehrere Departemente hinweg und das in bester Open-Source-Community-Manier." Das sei nicht nur ein Novum, sondern wegweisend für nächste Digitalisierungsprojekte der Verwaltung.
Auch Digitalswitzerland zeigt sich in einer Stellungnahme erfreut. Mit der Annahme der Vorlage habe das Parlament die Kritik adressiert, die Schwachstellen identifiziert und eine Lösung geschaffen, die auf einem starken Fundament basiere, schreibt der Verband. "Mit der E-ID legen wir den dringend benötigten Grundstein für die digitale Schweiz: Sie macht unseren Alltag einfacher und sicherer", erklärt Geschäftsführerin Franziska Barmettler.
Für die Digitale Gesellschaft hat das Parlament mit dem neuen Gesetz "die zentralen Forderungen der digitalen Zivilgesellschaft übernommen", heisst es in einer Stellungnahme. Dieses "erfreuliche Ergebnis" bedeute einen klaren Kurswechsel gegenüber dem ursprünglich gescheiterten Vorhaben, bei dem private Unternehmen die E-ID ausstellen sollten. "Mit der Verabschiedung des E-ID-Gesetzes erreicht ein langer, von intensivem Engagement geprägter Prozess ein erfolgreiches Ende", so Erik Schönenberger, Geschäftsleiter der Digitalen Gesellschaft.
Anspruchsvoller Weg zum neuen Gesetz
Wie verlief der Weg hin zu diesem Gesetz? "Die Erarbeitung des Gesetzestexts und der technischen Spezifikation liefen parallel, das war anspruchsvoll. Deshalb sind bis zum Schluss noch Themen dazugekommen", blickt Gerhard Andrey zurück. Ein letzter Knackpunkt sei die Wahlfreiheit der Wallet gewesen. "Weil die Ausstellerin Fedpol heute technisch noch nicht garantieren kann, direkt mit einem spezifischen Kryptoprozessor eine Verbindung aufzubauen, um dort die E-ID abzulegen, wird zu Beginn nur die Wallet-Software des Bundes zum Einsatz kommen. Weil die Industrie in dem Thema aber vorwärts macht, sollten mittelfristig auch andere Wallets zum Einsatz kommen dürfen. Das haben wir nun im Gesetz abgebildet."
Die Grundsätze der technischen Umsetzung hat der Bundesrat am 6. Dezember bekannt gegeben. Zunächst werde eine hochsichere Vertrauensinfrastruktur eingeführt, so die Regierung. In einem zweiten Schritt wolle man den "noch höheren Anforderungen an den Schutz der Privatsphäre" Rechnung tragen. Details zum gewählten Stack sowie eine Roadmap wurden auf der Github-Seite des E-ID-Projekts veröffentlicht. Die elektronische Wallet für die schweizerische E-ID erhält den Namen "SWIYU".
Kurz darauf erfolgte am 16. Dezember ein Zuschlag des Fedpols an Elca. Das Unternehmen hat sich gegen acht Mitbewerber durchgesetzt und soll für bis zu 13 Millionen Franken ein Produkt zur Online-Verifikation der E-ID-Antragssteller liefern. Das Produkt muss gemäss Ausschreibung die "Lebendigkeit und Gesichtsübereinstimmung" einer Person mit vorhandenen Referenzbildern prüfen, sowie Schweizer Ausweisdokumente auslesen und deren Echtheit überprüfen können.
Die Umsetzung der E-ID
Zur Umsetzung der E-ID erklärt Nationalrat Andrey: "Inhaltlich ist das Gesetz auf Sicherheit und Privatsphäre getrimmt und die technische Umsetzung dafür beeindruckend zeitgemäss. Der Ansatz der sogenannten Self Sovereign Identity (SSI) schlägt ein neues Kapitel auf: Eine völlig dezentralisierte Architektur, welche fast keine Datenspuren hinterlässt." Diese ermögliche zum Beispiel, dass ein anonymer und dennoch verbindlicher Altersnachweis erbracht werden könne. Auch Cyberangriffe würden so "by Design" massiv erschwert.
Beat Jans.
Bundesrat und EJPD-Vorsteher Beat Jans (SP) erklärte in der nationalrätlichen Fragestunde: "Wie im Gesetz definiert, enthalten die Register neben den Identifikatoren und öffentlichen Schlüsseln der Ausstellerinnen und Verifikatorinnen auch Informationen über den Widerruf einzelner Nachweise. Um einen möglichst hohen Datenschutz zu gewährleisten, werden diese in anonymisierten Listen geführt."
Dritte, die keinen Zugang zu einer E-ID haben, könnten ebenso wenig wie das BIT als Systembetreiberin anhand der dort publizierten Information feststellen, welche konkrete E-ID revoziert wurde. "Durch die technische Ausgestaltung des Systems ist es ausgeschlossen, dass das Fedpol oder das BIT erfahren, welche E-ID konkret von einer Verifikatorin auf ihre Gültigkeit hin überprüft wird."
Veröffentlichung des Quellcodes
Ein weiterer wichtiger und umstrittener Punkt war die Offenlegung des Quellcodes. "Wir sind hier sehr weit gegangen, um die vier Open-Source-Freiheiten maximal zu respektieren: verstehen, verwenden, verändern und verbreiten. Nicht nur die E-ID-Vertrauensinfrastruktur soll Open Source sein, auch das sogenannte Informationssystem", so Andrey.
Trotzdem habe man Abstriche machen müssen. "Denn es gibt wohl einzelne Komponenten, welche am Markt noch nicht als Open Source Software zu haben sind oder realistischerweise nicht selber nachgebaut werden können. Solange dem so ist, dürfen vereinzelt auch proprietäre Systeme eingesetzt werden." Sobald Open Source eine Option wird, müsse diese aber genutzt werden. "In diesem Punkt war das Parlament sehr klar", betont Andrey.
Wie geht es weiter?
Gegen das jetzt von beiden Räten angenommene Gesetz kann das Referendum ergriffen werden. "Wird eines ergriffen, müsste natürlich zuerst die Abstimmung gewonnen werden. Weil die Unterstützung aber so wuchtig ist, bin ich zuversichtlich, dass wir die Stimmbevölkerung überzeugen können", so Andrey zu diesem möglichen Szenario. Man habe "wirklich jede Extraschlaufe" gemacht, damit es keine Einwände mehr gebe. "Geschafft ist diese Etappe aber noch nicht, das ist klar."
Bereits laufen in vielen Kantonen und auf Bundesebene digitale Projekte, welche die künftige E-ID in verschiedenen Bereichen einbeziehen wollen. So soll zum Beispiel das Behördenlogin Agov damit verknüpft werden, auch ein mögliches E-Collecting bei Unterschriftensammlungen. Eingeführt werden soll die staatliche E-ID frühestens Anfang 2026. "Ab 2025 wird man in einer Public Beta Phase beginnen können zu integrieren", sagt Andrey.