Keller-Sutter Karin · Bundesrat · 2019-06-04
Keller-Sutter Karin · Bundesrat · St. Gallen · 2019-06-04
Wortprotokoll
Ständerat Noser hat vorhin seinen Pass mit der Hand hochgehalten und gesagt, er könne sich damit identifizieren. Das ist richtig; das ist das traditionelle Identifizierungsmittel, womit man eben seine Identität beweisen kann. Ruedi Noser kann beweisen, dass er Ruedi Noser ist. Aber im Internet kann er nicht den Pass zeigen, und darüber sprechen wir heute. Es geht darum, dass wir auch eine sichere elektronische Identität haben, mit der wir im Internet beweisen können, wer wir sind; dass Ruedi Noser also auch im Internet beweisen, nicht nur behaupten, sondern beweisen kann, dass er Ruedi Noser ist.
Die korrekte Identifikation im Internet wird immer wichtiger. Die Anzahl Geschäfte, die über elektronische Plattformen abgewickelt werden, nimmt stetig zu. Sie wissen das; Sie selber kaufen Tickets - vielleicht für ein Konzert - oder Billette für den öffentlichen Verkehr, oder Sie bestellen auch einmal Waren im Internet, bei einem Online-Händler.
Nun, es gibt aber auch staatliche Dienstleistungen, ich möchte zwei Beispiele nennen, bei denen wir - und gerade auch andere Departemente - auf eine elektronische Identität angewiesen sind. Ein Beispiel ist die Umsetzung des elektronischen Patientendossiers: Ohne E-ID ist mit Insellösungen zu rechnen, die eine flächendeckende Einführung des E-Patientendossiers erheblich behindern dürften. Ein anderes Beispiel ist die von der Eidgenössischen Zollverwaltung geplante elektronische Zolldeklaration: Hier können sich Mitarbeiter eines Spediteurs eben mit einer E-ID identifizieren, und sie können Zolldeklarationen einfach online abwickeln. Das sind ja auch Forderungen, die ich in diesem Raum schon oft gehört habe.
Die Bevölkerung und die Wirtschaft sollen die Möglichkeiten der Digitalisierung einfach und sicher nutzen können. Für die physische Welt, ich habe es bereits erwähnt, haben wir die konventionellen Identifizierungsmittel: den Schweizer Pass, die Identitätskarte oder auch den Ausländerausweis. Pass und ID sind auch Reisedokumente, die uns Mobilität erlauben. Ergänzend dazu soll nun die Identität einer natürlichen Person auch in der elektronischen Welt mittels einer E-ID nachgewiesen werden können. Eine E-ID nach diesem Gesetz wird es den Inhaberinnen und Inhabern auch ermöglichen, sich bei Online-Diensten sicher zu registrieren und sich später eben erneut anzumelden.
Herr Ständerat Vonlanthen hat es gesagt, es geht eigentlich um ein qualifiziertes Login. Es geht nicht um einen digitalen Pass, wie man das in den letzten Tagen in den Medien teilweise lesen konnte. Wenn man von Datenwirrwarr spricht, muss man also auch von Informationswirrwarr sprechen. Ich wusste manchmal selber nicht mehr, was jetzt Sache ist, wenn ich diese teilweise doch sehr abenteuerlichen Geschichten gelesen habe. Also, es geht nicht um einen digitalen Pass, es geht nicht um einen Ausweis, Herr Ständerat Germann. Es geht um ein Login, das besonders vertrauenswürdig sein soll. Und ich als Nutzerin kann mich darauf verlassen, dass ein rechtlicher Rahmen meine Interessen schützt.
Die E-ID vereinfacht also nicht nur die Nutzung von Internetdienstleistungen, sondern macht diese eben auch sicherer. Zudem können sich Internetnutzerinnen und -nutzer im Internet mit voller Kontrolle über die eigenen Daten - das ist wichtig: sie haben die Kontrolle - bewegen und bewusst entscheiden, was sie im Internet bekanntgeben. Das fördert eben auch den Wettbewerb zwischen den Online-Anbietern, denn je komplizierter das Registrierungsverfahren ausfällt, desto höher ist die Markteintrittsschwelle für einen Newcomer, der noch über keine registrierten Kundinnen und Kunden verfügt.
Der Nationalrat - es wurde gesagt - hat diese Angelegenheit auch kontrovers diskutiert. Er hat am 20. März darüber diskutiert, es war mein erstes Geschäft im Nationalrat, und Sie können sich vorstellen, dass das eine gehörige Feuertaufe war. Er hat aber jedenfalls diesem Gesetz mit 128 zu 48 Stimmen zugestimmt. Intensiv diskutiert wurde insbesondere die Frage der Aufgabenteilung zwischen Staat und Privatwirtschaft. Zudem will der Nationalrat auch die Passbüros in den Ausstellungsprozess einbeziehen, und er hat die Verpflichtung eingeführt, wonach für alle Personen, die die Voraussetzungen erfüllen, eine E-ID ausgestellt werden muss.
Es wurde von verschiedenen Befürworterinnen und Befürwortern des Rückweisungsantrages gesagt, ja, man sage jetzt einfach, der Staat könne es nicht und deshalb wolle man es nicht. Das ist nicht das, was wir gesagt haben, sondern die Argumentation ist folgende: Wenn die E-ID und also eben auch dieses Login voll beim Staat wären, hätte dies gewisse Nachteile. Diese Variante wurde auch geprüft, sie wurde aber wieder verworfen, und letztlich hat sich, wie ich gesagt habe, auch der Nationalrat dagegen entschieden.
Ich möchte gerne noch darauf eingehen, warum der Bundesrat zu seinem heutigen Antrag gekommen ist. Herr Ständerat Vonlanthen hat es gesagt: In anderen Ländern haben die Erfahrungen gezeigt, dass rein staatliche Lösungen nicht optimal und nur wenig erfolgreich sind, weil sie von der Wirtschaft einfach nicht genutzt werden. Sie, Herr Berichterstatter, haben gesagt, dass man eine staatliche Anwendung drei, vier Mal pro Jahr nutzt. Es gibt aber praktisch jeden Tag Interaktionen mit der Wirtschaft, beispielsweise mit der Bank, weil Sie Ihr Bankkonto einsehen, einen Versicherungs- oder einen Hypothekarvertrag oder was auch immer abschliessen. Wenn man staatliche Identifizierungsmittel hat, dann sind sie oftmals nicht genug flexibel. Sie können sich nicht so schnell auf die sich ändernden Bedürfnisse und die neuen Technologien einstellen oder darauf reagieren. Aus diesem Grund werden sie von der Wirtschaft oft nicht eingesetzt und können so nur im staatlichen Bereich Wirkung entfalten; ein gutes Beispiel dafür ist Deutschland. Auch das Beispiel Schaffhausen zeigt es: Wenn ich es richtig im Kopf habe, dann ist das eine Anwendung für den Kanton. Damit können Sie aber keine Geschäfte mit verschiedenen Anbietern im Internet erledigen, wie ich das im Zusammenhang mit dem Online-Versandhandel oder mit der Bank gesagt habe. Damit schwindet die Bereitschaft der Nutzerinnen und Nutzer, die so ausgestaltete E-ID überhaupt zu gebrauchen. Internetkontakte der Bürgerinnen und Bürger finden eben in erster Linie im Wirtschaftsbereich statt.
Zudem führen Eigenentwicklungen durch den Staat in der Regel zu hohen ungedeckten Informatikkosten. Es ist einfach nicht die Kernkompetenz des Staates, eine solche E-ID zu entwickeln. Wenn sie scheitert, dann liegt das Risiko voll beim Staat. Deshalb sieht das E-ID-Gesetz eine Aufgabenteilung zwischen Staat und Privaten vor. Dadurch haben wir die vertrauensbildende Kraft staatlicher Anerkennung und Aufsicht, die mit dem technologischen Know-how und der Flexibilität von privatwirtschaftlichen Akteurinnen und Akteuren verbunden werden soll.
Frau Fetz hat gesagt, man wolle nicht, dass die Daten in private Hände gelangen. Ich möchte hier deutlich sagen: Der Staat - und nur der Staat - führt die Register mit den Daten, die zur Identifikation notwendig sind. Die Privaten stellen aber die Karten zur Verfügung, die USB-Sticks oder auch E-ID-Applikationen, die wir heute vielleicht noch nicht [PAGE 275] kennen, weil sie noch nicht entwickelt sind. Die staatlichen Daten, die dort in irgendeiner Art und Weise hinterlegt sind, bleiben beim Staat. Der Staat gibt seine Kernaufgabe bei der Ausstellung einer E-ID damit eben nicht aus der Hand. Er wird weiterhin für[NB]die[NB]amtliche Prüfung und Bestätigung der Existenz einer Person und ihrer Identitätsmerkmale zuständig sein. Dies wird Sache der Identitätsstelle sein, die beim Fedpol angesiedelt werden soll.
Die E-ID ist im Kern also nichts anderes als ein gesetzlich geregelter Datensatz. Diese Daten werden vom Staat herausgegeben - und damit letztlich auch die E-ID. Die Privaten geben einzig das Zugangsmittel heraus. Das ist so, wie wenn Sie den Schlüssel haben, mit dem Sie eine Türe öffnen können, aber nichts hinter der Türe sehen, weil eben die Daten beim Staat sind. Das muss man hier schon zur Kenntnis nehmen.
Die privaten Anbieter materialisieren die vom Staat herausgegebene E-ID. Die konkreten technologischen Träger dieser staatlich geprüften und bestätigten digitalen Identität möchte der Bund weder selbst entwickeln noch ausstellen. Wie ich gesagt habe, sollen das andere Anbieter tun, die näher an den Nutzerinnen und Nutzern sind, die näher an den Technologien sind, die für die Nutzung der digitalen Angebote notwendig sind. Auf diese Weise wird ein Technologiewettbewerb notwendig. Das ganze Konzept ist deshalb auch technologieneutral ausgestaltet.
Wenn jetzt der Staat selbst eine E-ID herausgeben wollte, dann müsste er Dritte mit einem Leistungsauftrag verpflichten, oder er müsste es selber entwickeln, müsste sich aber für eine Technologie entscheiden. Er müsste beispielsweise sagen: Es ist ein USB-Stick. Dieser Entscheid würde einfach technologische Entwicklungen auf Jahre hinaus verzögern, weil Sie sich eben zu einem Zeitpunkt X entscheiden würden. Es gibt dann keine Flexibilität. Wenn man jetzt argumentiert - ich glaube, Frau Ständerätin Fetz hat das gesagt -, es gebe jetzt dieses Konsortium, das sei ein Monopol, was wäre denn, aber bitte, der Staat als Herausgeber? Ist es kein Monopol, wenn der Staat die E-ID herausgibt? Das ist eigentlich von daher keine schlüssige Argumentation, denn immerhin soll das Ziel ja sein, dass sich auf diesem Markt verschiedene Anbieter eben am Schluss auch konkurrenzieren und damit auch verschiedene technologische Anwendungen möglich sind.
Man würde bei einem staatlichen System Gefahr laufen, dass dieses rasch durch neue Technologien überholt würde und sich in der Praxis dann viele private Logins durchsetzen würden. Das wäre dann aber nicht reguliert, das hat Frau Bruderer richtig erkannt. Diesen gesetzlichen Rahmen hätten Sie dort dann sicherlich nicht. Die Sicherungen, die wir hier eingebaut haben, würden ins Leere laufen.
Die Lösung, die Ihnen der Bundesrat vorschlägt, nimmt die Bedenken auf, die geäussert wurden. Mit dem Anerkennungsregime kann der Bund den Technologiewettbewerb nutzen. Die E-ID-Anbieter können mit ihren neuen Technologien anerkannt werden, und damit können sie auf den rechtlichen Rahmen verpflichtet werden, den das Gesetz vorsieht - sie befinden sich ja nicht im luftleeren Raum, sondern werden streng reguliert.
Das Ganze, ich habe es schon angetönt, ist auch eine Kostenfrage. Wenn der Bund diese E-ID selbst herausgeben oder einen Leistungsauftrag vergeben würde, müsste er auch für die Kosten des gesamten E-ID-Systems aufkommen. Mit der vorgeschlagenen Lösung spielt der Staat auch bei der Zulassung und beim Betrieb eine wichtige Rolle. Er wird die Anbieterinnen und die von ihnen zur Verfügung gestellten Systeme in einem Anerkennungsverfahren genau unter die Lupe nehmen. Diese Anerkennung muss alle drei Jahre erneuert werden. Darüber hinaus werden die Identity Provider beaufsichtigt und regelmässig kontrolliert.
Hier komme ich zum Antrag Ihrer Kommission für Rechtsfragen, die die Idee in die Beratung eingebracht hat, eine unabhängige E-ID-Kommission zu schaffen, die vom Bundesrat eingesetzt wird und aus fünf bis sieben Mitgliedern bestehen und über ein eigenes Sekretariat verfügen soll. Die Eidcom stärkt nicht nur die Anerkennung und Aufsicht über die Identity Provider, sie verbessert sicherlich auch die Wahrnehmbarkeit der Rolle des Staates. Dieser Antrag ist in Zusammenarbeit Ihrer Kommission mit dem Bundesamt für Justiz entstanden, und ich unterstütze diese Änderung ausdrücklich, auch der Bundesrat unterstützt sie.
Ständerat Janiak hat hier von einer Brücke gesprochen; ich glaube, dass dies auch eine Handreichung ist gegenüber jenen, die sich jetzt kritisch geäussert haben. Damit sorgt das E-ID-Gesetz einerseits für eine praxistaugliche und konsumentenfreundliche Lösung für die Verwaltung, für Bürgerinnen und Bürger sowie für die Wirtschaft. Zum andern wird so die nötige Flexibilität für technologische Veränderungen gewahrt.
Der Gesetzentwurf - das möchte ich auch noch anfügen - berücksichtigt auch internationale Entwicklungen, er wäre also auch mit EU-Regelungen kompatibel.
Noch eine Bemerkung zum Datenschutz und zur Datensicherheit, beides wurde zu Recht auch in der Eintretensdebatte erwähnt und eingefordert: Ein wichtiges Anliegen des E-ID-Gesetzes ist der Datenschutz; bei der Handhabung und Verwendung der digitalen Identität werden die geltenden Datenschutz- und Datensicherheitsbestimmungen eingehalten. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte unterstützt das Gesetz ausdrücklich. Das E-ID-Gesetz verstärkt in einigen Punkten den Schutz gegenüber dem Datenschutzgesetz sogar.
Ich möchte hier exemplarisch ein paar wichtige Punkte nennen: Die Personenidentifikationsdaten dürfen Dritten, also z.[NB]B. Online-Diensten, nur mit ausdrücklicher Bewilligung der Kundinnen und Kunden weitergegeben werden. Sowohl dem Identity Provider als auch der Betreiberin von E-ID-verwendenden Diensten ist es untersagt, die Personenidentifizierungsdaten ausserhalb eines E-ID-Einsatzes weiterzugeben und insbesondere damit zu handeln. Die Hoheit über den Einsatz und die Freigabe der Daten liegt ausschliesslich in der Hand der betroffenen Person, und die Transaktionsdaten, d.[NB]h., was wann und wo zu welchem Preis gekauft wurde, gehen nicht zum Identity Provider. Dieser erfährt nur, dass eine Transaktion durchgeführt wurde, für die die Identifizierung nötig war. Das Gesetz sieht ferner spezifische Sicherheitsmassnahmen vor, die in Bezug auf die Gewährleistung der Datensicherheit über die geltenden rechtlichen Anforderungen hinausgehen. So wird etwa verlangt, dass die anerkannten Anbieter die Personenidentifizierungsdaten und die Daten zur Nutzung der E-ID getrennt voneinander halten. Diese Trennung stellt eine zusätzliche Sicherheitsmassnahme dar, damit eben Unbefugte nicht auf alle Daten von Inhabern einer E-ID zugreifen können. Weitere Sicherheitsmassnahmen werden dann in der Verordnung festgelegt. Hier wird auch der Stand der Technik Massstab der Dinge sein.
Der Bundesrat will mit dem Entwurf klare Regeln für einen staatlichen digitalen Identitätsnachweis erlassen. Mit der zunehmenden Anzahl Geschäfte, die virtuell abgewickelt werden, wird eine korrekte Identifikation im Internet immer wichtiger. Die E-ID soll die Nutzung von Internetdienstleistungen einfacher, aber auch sicherer machen.
Der Gesetzentwurf des Bundesrates schafft hier solide Rahmenbedingungen für die korrekte und sichere Anwendung einer E-ID. Er ermöglicht die Umsetzung innovativer E-ID-Lösungen, weil er eben auf dieser Rollenteilung zwischen Staat und Privaten basiert. Ich habe es eben ausgeführt: Die Datenschutz- und Datensicherheitsanforderungen für die Nutzerinnen und Nutzer sind streng, gehen sogar über jene des Datenschutzgesetzes hinaus.
Ich möchte Sie bitten, auf diese Vorlage einzutreten. Ich bitte Sie jetzt bereits, auch den Rückweisungsantrag Fetz abzulehnen. Wir würden tatsächlich sehr viel Zeit verlieren. Es ginge, wie Herr Vonlanthen das ausgeführt hat, sicher zwei Jahre, bis wir eine Botschaft hätten und diese wieder vernehmlasst hätten. Dann käme wieder der parlamentarische Prozess. Die Schweiz ist hier nicht an der Front. Wir haben bei diesen digitalen Nutzungen eher Rückstand. Es wäre schade, wenn wir viel Zeit dafür aufwenden müssten.
Ich bin aber bereit, den Einzelantrag Fetz zu Artikel 10 anzunehmen. Frau Fetz hat ja gesagt, sie habe vorausschauend gedacht, für den Fall, dass der Rückweisungsantrag, den sie gestellt hat, nicht durchkommen sollte. Ich denke, der [PAGE 276] Einzelantrag könnte eine weitere Brücke sein - um Ständerat Janiak zu zitieren -, um hier vielleicht noch etwas mehr Vertrauen zu schaffen und auch die kritischen Stimmen, die jetzt in der Eintretensdebatte geäussert wurden, ernst zu nehmen und diese kritischen Stimmen eben auch in der Gesetzesarbeit zu berücksichtigen.