Lexipedia

23.1017 · Anfrage · 2023-03-16

Justiz- und Polizeidepartement

Erledigt

Wortlaut

Am 7. März 2021 wurde das Bundesgesetz über die elektronischen Identifizierungsdienste BGEID in der Volksabstimmung abgelehnt. Danach wurde von Vertreterinnen und Vertretern aller Fraktionen eine Motion für eine vertrauenswürdige, staatliche E-ID eingereicht. Der Bundesrat liess daraufhin ein Grobkonzept für eine neue Lösung ausarbeiten, diese wurde in einer öffentlichen Anhörung, einer öffentlichen Konsultation und Vernehmlassung diskutiert. Geplant ist jetzt, bis im Sommer 2023 eine Botschaft auszuarbeiten. Wie der Bundesrat Ende 2022 bekannt gab, gibt es aufgrund der Vernehmlassung noch einzelne Aspekte, die vertieft abgeklärt werden sollen. Dabei handelt es sich namentlich um folgende Themen: Kreis der E-ID-Berechtigten, Ausstellungsprozess, Aspekte des Datenschutzes, Benutzerfreundlichkeit sowie Supportorganisation in den Kantonen. Ich bitte den Bundesrat in diesem Zusammenhang um die Beantwortung folgender Fragen:

1. Welche Aspekte im Bezug auf den Kreis der E-ID-Berechtigten, Ausstellungsprozess und Datenschutz sind noch unklar?

2. Ist die Architektur des zu betreibenden E-ID-Systems bereits festgelegt?

3. Wie wird sichergestellt, dass die im Abstimmungskampf und in den nationalrätlichen Motionen geforderte Datensparsamkeit und Dezentralität umgesetzt wird?

4. Wie sieht die künftige Architektur aus? Ist vorgesehen, dass für verschiedene Sicherheitsstufen verschiedene Systeme zum Einsatz kommen oder ist eine E-ID-Lösung für alle Berechtigungsstufen angedacht?

5. Für welche Anwendungen ist die E-ID künftig vorgesehen? Was passiert mit bereits bestehenden Systemen wie der Swiss ID?

6. Kommt künftig für Anwendungen bei bundesnahen Betrieben die E-ID zum Einsatz?

Stellungnahme des Bundesrates

1. Es liegen keine grundsätzlichen Unklarheiten vor, sondern Fragen, die aufgrund von politischen und technischen Überlegungen unterschiedlich beantwortet werden können. Dies erfolgt mit der Botschaft, welche vom Bundesrat im Herbst 2023 verabschiedet werden soll.

2. Aus dem Richtungsentscheid des Bundesrats vom 17. Dezember 2021 (Self Sovereign Identity, Privacy by Design, Prinzip der Datensparsamkeit) können gewisse Architekturentscheide abgeleitet werden, die auf Gesetzesstufe geregelt werden müssen und die bereits im Vorentwurf enthalten sind. Allerdings erfordern komplexe Systeme immer architektonische Entscheide auf unterschiedlichen Abstraktionsebenen. Daher ist es Ziel, auf Gesetzesstufe Regelungen zu finden, die weitgehend neutral hinsichtlich Architektur und Technologie sind.

3./4. Die Frage bezüglich zukünftiger Architektur wird hier am Beispiel der E-ID beantwortet. Sie gilt sinngemäss auch für andere elektronische Nachweise. Die Ausstellerin (fedpol) stellt die E-ID in ihren eigenen Systemen aus und übermittelt diese via sicheren Kommunikationskanal der Inhaberin oder dem Inhaber. Die Inhaberin oder der Inhaber hält ihre/seine E-ID in einer elektronischen Brieftasche. Typischerweise handelt es sich hierbei um eine Applikation für Smartphones. Der Bund plant, eine solche Applikation kostenfrei zur Verfügung zu stellen. Beim Vorweisen der E-ID können Behörden oder Private die Authentizität und Gültigkeit der E-ID anhand von Registereinträgen überprüfen. Diese Register werden vom Bund betrieben. Die Registereinträge enthalten keine Inhalte der Nachweise und erlauben auch keine Rückschlüsse auf die Inhaberinnen und Inhaber, den Inhalt der Nachweise oder deren Verwendung.

Wie bereits mit dem Vernehmlassungsentwurf vorgeschlagen, wird die Dezentralität gesichert durch die Haltung der E-ID in individuellen elektronischen Brieftaschen. Die Datensparsamkeit wird gesichert durch den Umstand, dass die Ausstellerin keine Kenntnis hat, wie die Inhaberin oder der Inhaber der E-ID diese einsetzt. Zudem wird es möglich sein, anstelle aller Angaben der E-ID nur einzelne Attribute oder logische Ableitungen vorzuweisen (wie zum Beispiel "ist älter als 18 Jahre alt").

Die EID muss das Sicherheitsniveau "substanziell" erreichen, damit eine gegenseitige Anerkennung insbesondere mit der EU erlangt werden kann und Anwendungen wie das das elektronische Patientendossier die E-ID tatsächlich einsetzen können. Weiter soll bei der E-ID vermerkt werden, welcher amtliche Ausweis der Ausstellung zu Grunde lag. Behörden oder Private können davon unterschiedliche Berechtigungen ableiten. So ist denkbar, dass eine E-ID, die auf Basis einer gewissen Kategorie von Ausländerausweisen ausgestellt worden ist, nicht für die Eröffnung eines Bankkontos verwendet werden kann.

5. Grundsätzlich entscheidet die Inhaberin oder der Inhaber, wann sie oder er die EID einsetzen will (Self Sovereign Identity). Mit der Botschaft sollen jedoch Regelungen vorgeschlagen werden, welche der Gefahr der Überidentifikation (Verlangen der E-ID ohne legitimen Grund oder das Verlangen von mehr als den minimal erforderlichen Bestandteilen der E-ID) entgegenwirken sollen.

Bezüglich der Marktstrategien von privaten Anbieterinnen äussert sich der Bundesrat nicht.

6. Wenn ein bundesnaher Betrieb eine Person in einem gesetzlich geregelten Prozess identifiziert und er die Möglichkeit einer elektronischen Identifikation anbietet, muss er (auch) die E-ID anerkennen.

Bei allen anderen Angeboten sind bundesnahe Betriebe frei, die E-ID zum Einsatz zu bringen, soweit nicht Überidentifikation vorliegt.

Antwort des Bundesrates.