Es bleibt bei der geplanten Aufgabenteilung: Der Staat prüft die Identität, die Wirtschaft gibt die neue E-ID heraus. Nach dem Nationalrat hat am Dienstag auch der Ständerat diesem Konzept zugestimmt.
Die Aufgabenteilung ist hoch umstritten. Gemäss einer Umfrage wünscht sich die grosse Mehrheit der Bevölkerung eine E-ID vom Staat. Ständerätin Anita Fetz (SP/BS) verlangte denn auch, das Gesetz zur Überarbeitung an den Bundesrat zurückzuweisen.
Es brauche eine sichere und vertrauenswürdige elektronische Identifikation, sagte sie. «Genau so wie der rote Pass muss auch die digitale ID eine staatliche Aufgabe sein.» Das Vertrauen in den Staat sei grösser.
Nach Ansicht des Bundesrats wäre dieser aber kaum in der Lage, eine funktionierende E-ID herauszugeben. Justizministerin Keller-Sutter verwies auf Erfahrungen im Ausland: Staatliche Lösungen würden kaum genutzt. Sie liessen sich nicht rasch genug an die technologische Entwicklung anpassen.
Der Zürcher FDP-Ständerat und IT-Unternehmer Ruedi Noser warnte vor Verzögerungen bei Rückweisung. Damit überliesse man das Feld Amazon, Apple oder Google. Es sei die letzte Gelegenheit, die Kontrolle über die Identität der Schweizerinnen und Schweizer in der Schweiz zu behalten, sagte er.
Kommissionssprecher Beat Vonlanthen (CVP/FR) stellte die Erhebung in Frage, die die breite Zustimmung für eine staatliche Lösung ergeben hatte. Diese gehe von einer falschen Prämisse aus, sagte er. Der Staat bleibe Herausgeber der E-ID. Die Monetarisierung der Daten sei gesetzlich ausgeschlossen.
Keller-Sutter wies zudem darauf hin, dass die E-ID kein digitaler Pass sei, sondern ein qualifiziertes Login. Der Staat gebe die Kontrolle über die Daten nicht aus der Hand. Die privaten Unternehmen lieferten lediglich das Zugangsmittel. Der Rückweisungsantrag scheiterte mit 32 zu 7 Stimmen.
Inhaltlich verschärfte der Ständerat jedoch die Vorschriften im Sinn der Kritiker, insbesondere mit der Einführung der E-ID-Kommission (EIDCOM). Statt der Verwaltung soll dieses unabhängige Gremium die Herausgeber der E-ID, die so genannten Identity Provider (IdP), zulassen und überwachen.
Das Verbot, die E-ID auf Dritte zu übertragen, hat der Ständerat aus dem Gesetz gestrichen, ebenso die erhöhte Sorgfaltspflichten für die Nutzerinnen und Nutzer. Die Vorschriften zur Datenweitergabe wurden verschärft. Zudem soll der Bund selber ein E-ID-System betreiben oder sich an einem solchen beteiligen können.
Das umstrittene Konzept jedoch bliebt unangetastet: Aufgabe des Staates ist es, die Identität einer Person mithilfe von Angaben aus den Informationssystemen des Bundes amtlich zu überprüfen und den IdP zu bestätigen. Diese geben die E-ID heraus.
Den Träger lässt das Gesetz offen. Denkbar sind gängige elektronische Identifizierungsmittel wie Mobiltelefone oder Smartcards, aber auch Lösungen mit Nutzername, Passwort und allenfalls weiteren Authentifizierungen.
Vorgesehen sind drei Sicherheitsniveaus: niedrig, substanziell und hoch. Für das tiefste Schutzniveau werden mit der E-ID-Registernummer Namen, Vornamen und das Geburtsdatum verbunden. Die Registrierung erfolgt online gestützt auf einen staatlichen Ausweis.
Beim Sicherheitsniveau «substanziell» kommen Geschlecht, Geburtsort und Staatsangehörigkeit hinzu. Zudem ist eine persönliche Vorsprache oder eine Videoidentifikation nötig. Dieses Sicherheitsniveau verlangt mindestens eine 2-Faktor-Authentifizierung, wie sie heute für E-Banking-Lösungen üblich ist.
Nur für das Sicherheitsniveau «hoch» ist ein Gesichtsbild nötig. Zudem wird ein biometrisches Merkmal und die Echtheit des Ausweises geprüft. Mindestens ein Faktor der Zwei-Faktor-Authentifizierung muss biometrisch sein. Das Sicherheitsniveau «hoch» soll auch Schutz vor Cyberangriffen bieten.
Die Nutzung der E-ID bleibt freiwillig. Im E-Commerce können damit die Kundinnen und Kunden eindeutig identifiziert werden. Die E-ID soll auch Zugang zum elektronischen Patientendossier gewähren und einen sicheren Behördenkontakt ermöglichen. Die Vorlage geht nun zurück an den Nationalrat. (aeg/sda)