Lexipedia

preparatory:AB 348955

Michel Matthias · Ständerat · Zug · FDP-Liberale Fraktion · 2024-12-10

Wortprotokoll

Die Kommissionsmehrheit möchte sich bei Artikel 17 bei allen Absätzen dem Nationalrat anschliessen. Theoretisch kann man dann über jeden Absatz separat abstimmen, aber ich werde gleich zu allen sprechen.

Es geht hier um eine etwas technische Materie, ich muss dazu einige Ausführungen machen - angesichts der Minderheit und auch zuhanden des Amtlichen Bulletins. Die Mehrheit beantragt Ihnen, wie gesagt, die nationalrätliche Formulierung zu übernehmen, weil sie eigentlich unserer ständerätlichen Haltung in der ersten Lesung und bei den ersten Beschlüssen entspricht. Der Grundsatz lautet: Sobald es sicherheitstechnisch unbedenklich und möglich ist, sollen auch private Wallets, also Aufbewahrungsorte, für die E-ID zugelassen werden.

Um was geht es? Eine E-ID ist an ein Smartphone gebunden. Die Funktion, die bei der traditionellen Identitätskarte die Plastikkarte übernimmt, also die Trägerschaft, übernimmt bei der elektronischen Identitätskarte das Smartphone oder, noch genauer, der darin eingebaute Kryptoprozessor. Das verstehen die Gäste auf der Tribüne bestimmt besser als wir.

Unbestritten ist, dass jedes System sicherstellen muss, dass nur die Inhaberin oder der Inhaber einer E-ID diese E-ID über das eigene Smartphone nutzen kann. Diese Inhaberbindung wird in Artikel 17 Absatz 2 festgehalten. Man ging bisher davon aus, dass diese Bindung in einem ersten Schritt nur mit dem bundeseigenen Wallet überprüfbar und sicher umgesetzt werden kann. Erst in einem zweiten Schritt - das war auch die Idee unserer Anträge und Beschlüsse - können unter strengen Voraussetzungen Anwendungen privater Anbieter anerkannt werden. Diese sind dann für die Aufbewahrung und Vorweisung der E-ID zugelassen. Das ist jetzt auch im neuen Artikel 17 Absatz 4 festgehalten.

Es gilt also der Grundsatz: Sicherheit zuerst, "security first", private Anwendungen "second", nämlich erst, wenn sie sicher sind. Dieser Grundsatz wird mit der Formulierung des Nationalrates beibehalten, aber etwas flexibler und dynamischer ausgestaltet, denn der technologische Fortschritt ist schnell. Schon heute gibt es je nach Gerät Anwendungen, bei denen die Identität des Inhabers dieses Wallets bzw. der darin enthaltene Kryptoprozessor für den Aussteller, also für das Fedpol, erkennbar ist. Hier ist die Voraussetzung der Inhaberbindung erfüllt; es ist also zum Beispiel erkennbar, dass ich der Inhaber der E-ID bin.

Entsprechend wird im neuen Absatz 3bis gemäss Nationalrat ein Anspruch formuliert: Wenn die Inhaberbindung offensichtlich ist sowie technisch, sprich automatisch, überprüft werden kann, dann kann man dieses private Wallet benutzen. Das ist neu in Absatz 3bis formuliert. Dort, wo diese Inhaberbindung nicht offensichtlich ist und genau überprüft werden muss, gibt es keinen Anspruch. Dort bleibt es dabei, dass es gemäss Absatz 4 Anerkennungsvoraussetzungen gibt. Es ist also eine differenziertere und etwas in die Zukunft hineindenkende Gesetzgebung, weil wir auf diese Art nicht jede Session das Gesetz erneut anpassen müssen.

Die Minderheit möchte an der Fassung des Ständerates festhalten, dies primär aus Sicherheitsbedenken. Man will nicht, dass massgebliche Sicherheitsanforderungen an den Bundesrat delegiert werden. Das sind die Bedenken; Kollege Schwander wird das nachher noch ausführen. Ich möchte dazu schon jetzt Folgendes sagen: Die relevanten Sicherheitsanforderungen sind nach wie vor im Gesetz definiert. So ist zum Beispiel im neuen Absatz 3bis als Voraussetzung festgehalten, dass das Fedpol als ausstellende Behörde eine [PAGE 1153] Bindung an die Inhaberin oder den Inhaber technisch, also automatisiert, sicherstellen kann. Das heisst, dass andere, private Wallets betreffend Sicherstellung dieser Bindung dieselben Anforderungen erfüllen müssen wie das Bundes-Wallet.

Sodann ist es wichtig, daran zu erinnern, dass die Sicherheit der Identitätsprüfung durch diese neue Formulierung nicht gefährdet ist. Denn gemäss Artikel 17 Absatz 1 Buchstabe b - dieser wird nicht geändert - findet diese Identitätsprüfung auf jeden Fall beim Fedpol im Bundes-Wallet statt. Genau hier hegte Kollege Schwander schon beim Eintreten Bedenken. Er hat davon gesprochen, dass die höchste Sicherheitsstufe, Stufe 4, bei dieser Identitätsprüfung nicht erreichbar sei. Wir haben das in der Eintretensdebatte abgehandelt und konnten die Bedenken zerstreuen. Diese Identitätsprüfung bleibt, unabhängig davon, welcher Formulierung Sie folgen. Daran ändert sich also nichts.

Für die weiteren Anwendungen sind in Artikel 17 Absatz 4 Buchstaben a und b in der Fassung des Nationalrates, die wir übernehmen wollen, die relevanten Sicherheitskriterien nach wie vor definiert, also die Inhaberbindung und der Datenschutz. Der Kern der Buchstaben a bis c in unserer bisherigen Fassung ist also auch in der neuen Fassung enthalten.

Ebenfalls wichtig ist: In der neuen Fassung sind diese Regeln, diese Anerkennungsvoraussetzungen verpflichtend definiert. In der bisherigen Fassung steht nur eine Kann-Bestimmung: Der Bundesrat kann diese Sicherheitskriterien einfordern, er muss es aber nicht. Die bisherige Fassung ist also schwächer. Hier haben wir nun sogar eine Verstärkung der Sicherheitsanforderungen.

Dann ist noch an Artikel 32 zu denken; er ist nicht mehr auf der Fahne, weil er bereinigt ist. Er enthält die Ausführungsbestimmungen, wobei ich an zwei Punkte erinnere. Dort ist nämlich erstens wiederum definiert, welche Kriterien der Bundesrat zu regeln hat. Artikel 32 Buchstabe b besagt, dass der Bundesrat Bestimmungen erlässt "zu den Standards und Protokollen für die Verfahren der Datenbekanntgabe, insbesondere beim Ausstellen und Vorweisen der elektronischen Nachweise". Bei diesem Kriterium ist also der Bundesrat gefordert. Gemäss Buchstabe e erlässt er zweitens Ausführungsbestimmungen "zu den technischen und organisatorischen Massnahmen, um den Datenschutz und die Datensicherheit bei der Bereitstellung, beim Betrieb und bei der Nutzung der Vertrauensinfrastruktur zu gewährleisten". Welche Sicherheitsanforderungen der Bundesrat zu erfüllen hat, haben wir also in der Ausführungsgesetzgebung definiert. Wir verlieren[NB]überhaupt[NB]nichts,[NB]wenn[NB]wir[NB]dem Nationalrat folgen.

Zusammengefasst: Sobald also die hohen Sicherheitsanforderungen und der Nachweis der Bindung an einen Inhaber erfüllt sind, soll eine private Wallet-App der eigenen Wahl verwendet werden dürfen. Das ist auch Wirtschaftsfreiheit, das ist Konsumentenfreiheit. Diese Lösung garantiert die höchstmögliche Sicherheit, aber, wie gesagt, auch die Wahlfreiheit der Konsumentinnen und Konsumenten und trägt auch dem technischen Fortschritt Rechnung. Ich glaube, das ist wichtig, denn sonst haben wir in Bälde wieder eine Gesetzesrevision vor uns.

Ich danke Ihnen für die Geduld und dafür, dass Sie diesen Ausführungen zugehört haben. Ich glaube aber, sie waren wichtig, um verständlich und nachvollziehbar zu machen, weshalb die Mehrheit zum Schluss gekommen ist, sich hier dem Nationalrat anzuschliessen. Damit hätten wir dann auch keine Differenzen mehr.