Nationalrätin Doris Fiala (FDP) stellte dem Bundesrat mit Interpellation 18.4169 fünf Fragen im Zusammenhang mit der Ausgabe von digitalen beziehungsweise elektronischen Identitäten (E-ID).
Hintergrund der Fragen ist, dass es aus Sicht von Nationalrätin Fiala zu kurz greift, «die Verantwortung für eine funktionierende E-ID an private Anbieter zu übertragen». Sie fordert insbesondere, dass eine schweizerische E-ID « hoheitlichen Charakter aufweisen und vom Staat ausgegeben werden» muss.
Nationalrätin Fiala ist Mitglied im Verwaltungsrat der E-Government-Dienstleisterin Procivis. Wie die Netzwoche schrieb, beschäftigt sich Procivis unter anderem mit E-ID-Projekten.
Inzwischen hat der Bundesrat die Fragen von Nationalrätin Fiala beantwortet:
Bundesrätliche Antworten zur digitalen Identität als Staatsaufgabe
Wie soll der Rückstand beim E-Government aufgeholt werden?
«Welche Strategien und Benchmarks verfolgt der Bundesrat um den Rückstand im Bereich eGovernment aufzuholen?»
Antwort:
«Bund, Kantone und Gemeinden verfolgen seit 2008 eine gemeinsame E-Government-Strategie. Gestützt auf die aktuelle E-Government-Strategie (2016-2019) erarbeiten sie unhter anderem den rechtlichen Rahmen für eine staatlich anerkannte elektronische Identität. Im Vergleich zu Ländern, wo bereits heute ein flächendeckendes E-Government-Angebot besteht, sind in der Schweiz die E-ID und andere wichtige Basisdienste wie die gemeinsame Registernutzung aber noch nicht verfügbar. Dies ist gemäss internationalen Studien ein Hauptgrund für den Rückstand der Schweiz im E-Government. Der Aufbau von weiteren Basisdiensten soll daher gestützt auf die E-Government-Strategie 2020-2023, die momentan in Arbeit ist, fortgesetzt werden.»
Will der Staat die digitale Identität tatsächlich aus der Hand geben?
«Will der Staat tatsächlich eine seiner elementaren Aufgaben – die der Identifikation seiner Bürger- und Einwohnerschaft aus der Hand geben? Wenn nein, muss der Staat nicht punkto elektronische Identität Verantwortung übernehmen indem er die Rolle eines Identity Providers (IdP) ausübt (Ausgabe & Authentifizierung von Personendaten) und geeignete elektronische Plattformen, Schnittstellen und Applikationen anbietet?»
Antwort:
«Wie der Bundesrat in seiner Botschaft vom 1. Juni 2018 festgehalten hat, soll weiterhin nur der Staat die amtliche Prüfung und Bestätigung der Existenz einer Person und ihrer Identitätsmerkmale wie Name, Geschlecht oder Geburtsdatum vornehmen dürfen.
Angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen erachtet es der Bundesrat nicht als zielführend, sich heute für eine Technologie zu entscheiden. Damit wäre das Risiko verbunden, dass sich im Markt andere Technologien durchsetzen und die regulierte Bundeslösung ungenutzt bliebe. Die nun vorgeschlagene Lösung, Anwendungen, die sich bewähren, unter bestimmten Bedingungen anzuerkennen und zu beaufsichtigen und auf diese Weise Sicherheit zu gewährleisten, ist erfolgversprechender. Er schlägt deshalb ein Zusammenwirken zwischen Staat und Privaten vor, welches optimale Voraussetzungen für den einfachen und benutzerfreundlichen Einsatz der E-ID durch Verwaltung, Private und Unternehmen bietet.»
Wie werden die Datenschutz-Risiken beurteilt?
«Wie beurteilt der Bundesrat die Datenschutz-Risiken welche entstehen würden, wenn private Anbieter IdP für die offizielle elektronische Identität sind?»
Antwort:
«Die Vorlage trägt dem Datenschutz Rechnung und stellt sicher, dass die Datenschutzrisiken so niedrig wie möglich gehalten werden. Der Entwurf des E-ID-Gesetzes geht in verschiedenen Punkten über die Anforderungen des Datenschutzgesetzes hinaus.»
Wie werden die Governance-Risiken mit Blick auf die Swiss ID der SwissSign Group beurteilt?
«Falls der Bundesrat auf den heutigen de facto Kandidaten für die offizielle elektronische Identität (Swiss ID) setzt: Wie sind die Gouvernanz Risiken zu beurteilen, welche bei dem komplexen Konsortium entstehen? Dabei ist zu bedenken, dass gegenwärtig mehrere grosse Banken Mitglieder des Konsortiums sind und in dieser Funktion als IdP fungieren, gleichzeirtig, akzeptieren sie aber selbst die Swiss ID nicht als vollwertigen Ersatz ihrer eigenen Login Tools.»
Antwort:
«Der Bundesrat setzt nicht auf einen einzigen de facto Kandidaten, sondern wirkt mit dem Gesetzesentwurf auf eine Mehrzahl von IdP hin. Die Zahl der IdP, die sich effektiv um eine Anerkennung bemühen und E-ID anbieten werden, ist aber offen. Die interne Organisation ist grundsätzlich Sache des IdP. Dabei hat er aber die gesetzlichen Rahmenbedingungen zu erfüllen, etwa die Anforderung, dass Personenidentifizierungsdaten von den Nutzungsdaten getrennt zu halten sind (Art. 9 Abs. 3 Bst. a und b des Gesetzesentwurfs).»
Welche Sicherheitsanforderungen sind für E-Government und E-Health zu erwarten?
«Das Gesetz sieht drei unterschiedliche Sicherheitsniveaus vor, lässt aber offen, welches Niveau für welchen Anwendungsbereich bestimmt sind. Welche Anforderungen sind zu erwarten im Zusammenhang mit E-Government- und E-Health-Transaktionen zwischen Bürgerschaft und Staat (C2G), Firmen und Staat (B2G) und zwischen staatlichen Akteuren (G2G). Welche Anforderungen sind im Falle vom vollständig dematerialiserten E-Voting zu erwarten?»
Antwort:
«Das E-ID-Gesetz und seine Ausführungsbestimmungen sollen gemäss dem Entwurf des Bundesrats nicht vorschreiben, welches Sicherheitsniveau für welche Anwendungsbereiche erforderlich ist. Dies muss in den jeweiligen Spezialerlassen festgehalten bzw. durch die privaten Betreiberinnen von E-ID-verwendenden Diensten definiert werden. Die Botschaft erläutert in Ziffer 1.2.5 (vgl. BBl 2018 3926 ff.) den Zweck und Anforderungen jedes Sicherheitsniveaus: Für staatliche Leistungen wie den Bezug von Registerauszügen oder für die Online-Eröffnung eines Bankkontos wird voraussichtlich das Sicherheitsniveau ‹substanziell› vorgeschrieben werden.
Für den Zugriff auf das elektronische Patientendossier schreibt das Bundesgesetz über das elektronische Patientendossier z. B. eine starke Authentifizierung vor, was weitgehend dem Sicherheitsniveau ‹substanziell› entspricht.
Welche Anforderungen an ein vollständig dematerialisiertes E-Voting zu stellen wären, lässt sich (zumindest gegenwärtig) nicht sagen.»