Am 22. Februar 2017 eröffnete der Bundesrat die Vernehmlassung zu einem Bundesgesetz über anerkannte elektronische Identifizierungseinheiten (E-ID-Gesetz). Das Ziel dieses Gesetzgebungsprojektes ist es, Geschäfts- und Verwaltungsprozesse im Internet effizienter zu machen. Identifizierungsmittel im Sinne dieses Gesetzes sollen von geeigneten privaten oder öffentlichen, vom Bund anerkannten Dienstleistern herausgegeben werden können. Dabei könnte für den Bund auch die Möglichkeit geschaffen werden, bereits existierende Systeme wie etwa die Projekte von Post und SBB, von Banken und der Swisscom, anzuerkennen. Bezüglich der Sicherheitsanforderungen soll je nach Art des Geschäftsfalles zwischen den drei Sicherheitsniveaus «niedrig», «substanziell» und «hoch» unterschieden werden. Die Betreiber der Online-Dienste sollen jeweils selber entscheiden, welches Sicherheitsniveau für ihren Dienst erforderlich ist. Bei elektronischen Behördendienstleistungen sollen jeweils die einschlägigen gesetzlichen Grundlagen das erforderliche Niveau festlegen. Vorgesehen ist zudem, dass die staatlich anerkannten Anbieter die nötigen Personenidentifizierungsdaten aus den relevanten Datenbanken des Bundes erhalten. Für diese Übermittlung müssten die betroffenen Personen ihre ausdrückliche Zustimmung geben und eine Gebühr entrichten, welche zur Finanzierung der zwei neu zu schaffenden Bundesstellen – der Identitätsstelle und der Anerkennungsstelle – verwendet würde. Die Ausstellung einer solchen elektronischen Identität soll einerseits für Schweizer Bürgerinnen und Bürger und andererseits für Ausländerinnen und Ausländer mit einem gültigen Ausländerausweis möglich sein.

Elektronische Identität

Die Vernehmlassung zum E-ID-Gesetz zeigte, dass das Vorhaben, klare Regeln für einen staatlich anerkannten, überprüfbaren und eindeutigen digitalen Identitätsnachweis festzulegen, grundsätzlich begrüsst wird. Einzig die SVP lehnte das Vorhaben des Bundesrates ab. Wenn die E-ID nicht – wie von der SVP gewünscht – vom Staat herausgegeben werde, solle der Bund auch von jeglicher Verantwortung in Bezug auf die E-ID absehen und es allein dem Markt überlassen, welches System zur digitalen Identifizierung sich durchsetzen werde. Die Rolle des Staates war denn auch bei den anderen Vernehmlassungsteilnehmern der umstrittenste Punkt des Vorentwurfs. Der Bundesrat hatte vorgesehen, dass der Staat lediglich die Kernaufgaben bei der Ausstellung der digitalen Identität – also die amtliche Prüfung und Bestätigung der Existenz einer Person und ihrer Identitätsmerkmale – übernimmt, nicht jedoch die Entwicklung und Ausstellung der konkreten technologischen Träger der digitalen Identität. Diese Aufgaben sollen nicht-staatliche Anbieter übernehmen, die ihrerseits jedoch einem staatlichen Anerkennungsverfahren und regelmässigen Kontrollen unterliegen. Die vorgeschlagene Aufgabenteilung zwischen Staat und Markt war in vielen Stellungnahmen Gegenstand von Kritik. So sahen die BDP, die CVP, die Grünen und die Piratenpartei sowie sieben Kantone die Herausgabe der E-ID grundsätzlich als Staatsaufgabe, welche nicht – oder zumindest nicht im geplanten Ausmass – an Private übertragen werden sollte. Während die SP für einen Kompromissvorschlag zwischen einer vollständigen Auslagerung an die Wirtschaft und einer rein staatlichen Lösung plädierte, unterstützten die FDP und die GLP sowie 21 Kantone das Konzept des Bundesrates. Unter Berücksichtigung der Vernehmlassungsantworten wird das EJPD bis im Sommer 2018 eine Botschaft für das E-ID-Gesetz ausarbeiten. Der Bundesrat hat bereits angekündigt, an der im Vorentwurf enthaltenen Kooperation von staatlichen und nicht-staatlichen Akteuren festzuhalten. Seiner Ansicht nach könnten so einerseits die besten Voraussetzungen für eine praxistaugliche und konsumentenfreundliche Anwendung geschaffen und andererseits die nötige Flexibilität für technologische Veränderungen erreicht werden.

Elektronische Identität

Mit dem neuen Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) soll für natürliche Personen die Möglichkeit geschaffen werden, sich im Internet sicher und bequem auszuweisen. Es beinhaltet die gesetzliche Grundlage für die Herausgabe von elektronischen Identifizierungsmitteln, die zur Registrierung bei privaten und öffentlichen Online-Portalen – wie zum Beispiel an «virtuellen Schaltern» für E-Government-Anwendungen – genutzt werden können. Der Bundesrat verabschiedete die entsprechende Botschaft am 1. Juni 2018 zuhanden des Parlaments.
Das Gesetz sieht bei der Bereitstellung der E-ID eine Aufgabenteilung zwischen dem Staat und der Privatwirtschaft vor. Während die amtliche Überprüfung und Bestätigung der Identität einer Person dem Staat – konkret einer speziellen Identitätsstelle im EJPD – obliegt, sollen die technischen Trägermittel für die Identifizierung von der Privatwirtschaft hergestellt und entwickelt werden, die sich gemäss Bundesrat besser der Dynamik des technologischen Wandels anpassen könne als der Staat. Die Ausstellung der E-ID sowie das Betreiben des E-ID-Systems sollen also in die Zuständigkeit privater Anbieter übergeben werden (sog. Identity Provider), die wiederum vom Staat anerkannt und kontrolliert werden. Nicht festgelegt wird, auf welchem Trägermedium die E-ID gespeichert werden muss; so sind u.a. Karten mit Speicherchips, Mobiltelefon- oder gar nicht materialisierte Lösungen (wie sie beispielsweise bei Online-Banking-Systemen eingesetzt werden) denkbar. Für die staatliche Anerkennung und Kontrolle sind drei verschiedene, im Gesetz definierte und sowohl von der EU als auch vom National Institute of Standards and Technology der USA festgeschriebene Sicherheitsniveaus massgebend, für die jeweils andere Mindestanforderungen gelten. Ausserdem formuliert das Gesetz die datenschutzrechtlichen Rahmenbedingungen für den Verwendungszweck, die Bearbeitung und Weitergabe der Daten durch die Identity Provider und die Bundesbehörden. Einerseits liegt die Hoheit über den Einsatz und die Freigabe der Daten vollumfänglich und ausschliesslich bei den Nutzerinnen und Nutzern, andererseits können Anbieter von Online-Diensten selbst entscheiden, ob für die Verwendung ihres Dienstes eine staatlich anerkannte E-ID verlangt werden soll oder nicht. In der Botschaft betonte der Bundesrat zudem, dass das Gesetz relevante internationale Regelungen berücksichtige; so wäre die vorgeschlagene Lösung im Falle einer Einbindung der Schweiz in das elektronische Identifizierungssystem der EU mit der einschlägigen EU-Verordnung vereinbar.

Elektronische Identität

Wie schon in der Vernehmlassung stellte sich auch im Nationalrat die Frage der Aufgabenteilung zwischen Staat und Privatwirtschaft als der zentrale Knackpunkt des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) heraus. Während Eintreten in der Frühjahrssession 2018 unbestritten war, wurde lange und ausführlich über einen Rückweisungsantrag der links-grünen Kommissionsminderheit diskutiert, mit dem der Bundesrat beauftragt werden sollte, eine Vorlage auszuarbeiten, die die Ausstellung der E-ID als öffentliche Aufgabe definiert, die der Bund allenfalls mittels Leistungsauftrag an Private übertragen könnte. Die SP- und die Grüne Fraktion unterstützten die Rückweisung mit dem Argument, analoge Ausweise wie der Pass und die Identitätskarte würden auch vom Staat ausgegeben. Alle übrigen Fraktionen sprachen sich jedoch für die vom Bundesrat vorgeschlagene Lösung aus, wonach die Prüfung und Bestätigung der Identität einer Person dem Staat zufallen, die technologische Umsetzung der E-ID hingegen von der Privatwirtschaft übernommen werden soll. Sie betonten, privatwirtschaftliche Anbieter könnten besser auf die technologischen Entwicklungen und die Bedürfnisse der Anwenderinnen und Anwender reagieren, was die E-ID sicherer und nutzerfreundlicher mache; die Innovation werde durch den Wettbewerb gefördert. Mit 131 zu 53 Stimmen bei 2 Enthaltungen wurde das links-grüne Lager überstimmt und der Rückweisungsantrag abgelehnt.
Auch in der Detailberatung stand das links-grüne Lager mehr oder weniger isoliert; alle dessen Minderheitsanträge wurden mit grosser Mehrheit abgelehnt. Die Streichung der Sorgfaltspflichten für E-ID-Inhaberinnen und -Inhaber aus dem Gesetz, wie erstens von einer Minderheit Arslan (basta, BS) gefordert, ändere nichts an der Rechtslage, so die Ansicht der ablehnenden Ratsmehrheit, da die Verschuldenshaftung des OR ohnehin zum Tragen komme – d.h. haftbar ist grundsätzlich, wer in Verletzung von Sorgfaltspflichten einen Schaden verursacht. Um die E-ID nutzen zu können, müssen die Antragstellerinnen und Antragsteller zweitens einwilligen, dass ihre persönlichen Daten ans Fedpol übermittelt werden, damit dieses die Identität bestätigen kann. Ebenfalls eine Minderheit Arslan beantragte, diese Einwilligung durch eine Kenntnisnahme der Übermittlung zu ersetzen, da man sie nicht verweigern könne, sofern man die E-ID nutzen möchte, und unterlag damit der Mehrheit, die fand, die Formulierung mache hier letztendlich keinen Unterschied, wobei die Einwilligung einfacher verständlich sei. Drittens wollte eine Minderheit Marti (sp, ZH) dem Bund die Möglichkeit einräumen, ein eigenes E-ID-System zu betreiben bzw. sich an einem bestehenden System zu beteiligen, und zwar nicht nur wie im Entwurf vorgesehen, wenn der Markt kein Angebot mit den für behördliche Applikationen geforderten Sicherheitsniveaus «substanziell» und «hoch» bereitstellt. Damit sollte verhindert werden, dass bei Nichtfunktionieren der Marktlösung, z.B. infolge Vertrauensverlust nach Hackerangriffen oder Ausstieg der Anbieter aufgrund zu geringer Rentabilität, gar keine E-ID mehr angeboten wird. Der Ratsmehrheit zufolge sei jedoch ein Staatseingriff nur subsidiär zum Markt akzeptabel und eine Mehrheitsbeteiligung von Bundesunternehmen an E-ID-Anbietern nicht wünschenswert, weshalb es keine solche Bestimmung brauche; mit Minderheitsanteilen seien die SBB, die Post und die Swisscom auch ohne explizite gesetzliche Grundlage bereits am SwissSign-Konsortium beteiligt. Viertens solle die Beantragung einer E-ID nicht nur wie vom Bundesrat vorgesehen online direkt beim Anbieter, sondern auch analog auf der Gemeindekanzlei oder beim Passbüro eingeleitet werden können, um Nicht-Digital-Natives den Zugang zu erleichtern, so ein Minderheitsantrag Flach (glp, AG). Die ablehnende Mehrheit argumentierte jedoch, man wolle den Gemeinden und Kantonen keine Zusatzaufgaben aufbürden und ohnehin würden Personen, die nicht mit dem Internet vertraut sind, keine E-ID benutzen. Weitere Minderheiten forderten vergebens die sofortige Vernichtung der Daten durch die Identity Provider, statt wie vorgesehen die Löschung nach sechs Monaten, ein explizites Verbot der kommerziellen Nutzung dieser Daten (beide Arlsan), die Anbindung der Preise an die tatsächlich anfallenden Kosten (Marti) und ausdrückliche Garantien, dass staatliche Dienstleistungen auch weiterhin ohne E-ID zugänglich und eine E-ID auch ohne Kundenbeziehung zum Anbieter erhältlich sein müssen (beide Mazzone, gp, GE).
Als Einzige mit ihrem Minderheitsantrag erfolgreich war Andrea Gmür-Schönenberger (cvp, LU), die Bundesrätin Karin Keller-Sutter sowie eine knappe Ratsmehrheit von der Notwendigkeit überzeugen konnte, den barrierefreien Zugang zur E-ID im Gesetz zu verankern, sodass Menschen mit Behinderung bei der Beantragung einer E-ID nicht benachteiligt werden. Als zweite substanzielle Änderung am bundesrätlichen Entwurf ergänzte der Nationalrat das Gesetz auf Antrag seiner Kommission dahingehend, dass die Identity Provider allen Personen, die einen Antrag stellen und die Voraussetzungen erfüllen, eine E-ID ausstellen müssen. Der Bundesrat plädierte vergeblich für die Wirtschaftsfreiheit der privaten Anbieter. Mit 181 zu 1 Stimme war die grosse Kammer der Ansicht, dass niemand von der E-ID ausgeschlossen werden soll. Das viel und heftig diskutierte, am Ende gegenüber dem Entwurf des Bundesrates aber nur leicht angepasste Gesetz passierte die Gesamtabstimmung im Nationalrat schliesslich mit 128 zu 48 Stimmen bei 4 Enthaltungen; dagegen votierten die Fraktionen der Grünen und der SP – letztere mit einer Ausnahme – geschlossen.

Elektronische Identität

Nachdem der Nationalrat in der Frühjahrssession 2019 den vom Bundesrat eingeschlagenen Weg in Richtung E-ID fast unverändert weitergegangen war, wurde in den Medien diskutiert, ob die E-ID, wenn sie wie im Gesetzesentwurf vorgesehen von privaten Anbietern herausgegeben wird, auf genügend Vertrauen in der Bevölkerung stossen werde. In diesem Zusammenhang wurden vor allem Datenschutzbedenken vorgebracht, da der private Herausgeber der E-ID auch über deren Nutzung Bescheid wüsste. Da diese Daten mit erheblichem Missbrauchspotenzial behaftet sind, wurde angezweifelt, dass die Schweizerinnen und Schweizer diese in die Hände von privaten Anbietern legen wollten. Um aufzuzeigen, «dass die Mehrheit der Schweizer Bevölkerung nicht hinter einer E-ID steht, die von privaten Firmen herausgegeben wird», so Daniel Graf gegenüber der NZZ, lancierten Grafs Politikplattform Wecollect, die Stiftung für Konsumentenschutz und die Digitale Gesellschaft eine repräsentative Umfrage.
Ebendiese Umfrage förderte Ende Mai zutage, dass das Konzept des Bundesrates mit den privaten Identity Providern bei der Schweizer Stimmbevölkerung durchfällt. 87 Prozent der 973 Befragten wünschten sich, die E-ID solle vom Staat herausgegeben werden, wohingegen sich nur 2 Prozent für die privatwirtschaftliche Lösung aussprachen. 75 Prozent der Befragten haben in Bezug auf den Datenschutz das grössere Vertrauen in den Staat als in private Anbieter; gemäss Sara Stalder, Geschäftsleiterin der SKS, bestehe bei privaten Unternehmen die Gefahr, dass sie die persönlichen Daten für kommerzielle Zwecke nutzten. Die Allianz aus Konsumentenschutzorganisationen, der Digitalen Gesellschaft, dem Verein Public Beta und der Plattform Wecollect erhoffte sich, mit diesen Ergebnissen den Ständerat unter Druck zu setzen, die Gesetzesvorlage in der bevorstehenden Sommersession an den Bundesrat zurückzuweisen, damit dieser ein neues Konzept erarbeite.
Die RK-SR befasste sich in der Zwischenzeit mit dem Gesetz, lehnte einen entsprechenden Rückweisungsantrag ab und unterstützte einstimmig die Einsetzung einer unabhängigen Aufsichtskommission (Eidcom, nach dem Vorbild der Comcom), die anstatt der vom Bundesrat vorgesehenen Verwaltungsstelle mit der Anerkennung und Überwachung der privaten Identity Provider betraut werden soll. Hinter diesem bereits im April vom Präsidenten der Swiss Data Alliance ins Spiel gebrachten Vorschlag steht die Hoffnung, die unabhängige Kontrollstelle möge das Vertrauen der Bevölkerung in die von Privaten angebotene E-ID stärken. David Basin, Leiter der Gruppe für Informationssicherheit an der ETH Zürich, und der Kryptologe Jan Camenisch kritisierten in der NZZ unterdessen, dass das Gesetz keine Mindeststandards für den Datenschutz festlege. Ihrer Einschätzung nach wäre es technisch gesehen sogar möglich, die E-ID so zu realisieren, dass die privatwirtschaftlichen Anbieter gar keine Kenntnis davon erlangen, wann und wo die E-ID zum Einsatz kommt. Da so gar keine Nutzungsdaten anfielen, könnten diese auch nicht gehackt oder weiterverkauft werden, was dem Vertrauen der Nutzerinnen und Nutzer zuträglich sein sollte. Ob man das Referendum ergreifen werde, sollte sich die privatwirtschaftliche Lösung im Parlament letztlich durchsetzen, liess die Gegner-Allianz vorerst noch offen.

Elektronische Identität

Dass die Schweiz eine E-ID schaffen soll, war im Ständerat genauso unbestritten wie im Nationalrat. Die Frage aber, ob die E-ID ein rein staatliches Produkt sein soll oder ob der Staat dafür mit privatwirtschaftlichen Anbietern zusammenarbeiten darf, war in der ständerätlichen Debatte zum E-ID-Gesetz in der Sommersession 2019 mindestens genauso umstritten. Ähnlich wie der Nationalrat befasste sich also auch der Ständerat zuerst mit einem Rückweisungsantrag, demzufolge der Bundesrat die Vorlage dahingehend anpassen müsste, dass die Ausstellung einer E-ID als öffentliche Aufgabe definiert und eine Verwaltungsstelle mit deren Ausstellung beauftragt wird. Für Antragstellerin Anita Fetz (sp, BS) war klar, dass die E-ID «genauso wie der rote Pass» allein vom Staat herausgegeben werden dürfe. Da mit der E-ID zentrale Staatsaufgaben wie Steuern, elektronische Patientendossiers oder vielleicht einmal E-Voting verknüpft sein werden, fielen bei deren Verwendung sensible Daten an, die «nicht in private Hände, auch nicht in datengeschützte private Hände» gelegt werden sollten. Umfragen hätten gezeigt, dass die Bevölkerung dem Staat diesbezüglich das grössere Vertrauen entgegenbringe als der Privatwirtschaft. Das vom Bundesrat vorgebrachte Argument, der Staat könne dem technologischen Wandel nicht genügend folgen, sei im 21. Jahrhundert gar fragwürdig, denn wenn das tatsächlich so wäre, «dann würde er [der Staat] sich abschaffen». Wäre der Staat tatsächlich technologisch inkompetent, fragte Fetz rhetorisch, wie sollte er dann Cybersicherheit schaffen oder ein sicheres E-Voting-System anbieten können? Überdies befürchtete sie, dass man bestimmte Dienstleistungen aus dem Kreise der E-ID-anbietenden Firmen nur noch mit einer E-ID nutzen werden könne, weil diese ein zu starkes Interesse daran hätten, die E-ID zu promoten. Diese Fehler solle man besser jetzt mittels Rückweisung korrigieren, als das Scheitern in einer Referendumsabstimmung in Kauf zu nehmen, begründete Fetz ihr Begehren. Die anschliessende Diskussion um die Machtverteilung zwischen Staat und Markt bei der E-ID verlief überhaupt nicht entlang der klassischen, parteipolitischen Links-Rechts-Konfliktlinie. Während sich die SP-Fraktion selbst gespalten zeigte und Claude Janiak (sp, BL), der noch in der Kommission mit seinem Rückweisungsantrag gescheitert war, im Rat auf die Unterstützung des Antrags Fetz verzichtete, pflichtete SVP-Vertreter Hannes Germann (svp, SH) seinem SP-Ratskollegen Paul Rechsteiner (sp, SG) in dessen Votum für eine staatliche Lösung bei. «Es kommt ja nicht alle Tage vor [...], dass wir gleicher Meinung sind», kommentierte Germann dies.
Auf der anderen Seite plädierten Kommissionssprecher Beat Vonlanthen (cvp, FR), FDP-Ständerat Ruedi Noser (fdp, ZH) sowie Bundesrätin Karin Keller-Sutter für Eintreten. Es handle sich bei der E-ID eben – anders als in den Medien oft kommuniziert – nicht um einen Ausweis, sondern um ein «qualifiziertes Login», das besonders vertrauenswürdig sein soll, aber keinen digitalen Pass darstelle, so Keller-Sutter. Als weiteres Argument gegen die Rückweisung wurde angeführt, schnelles Handeln sei erforderlich, da die Schweiz im Bereich digitale Identität den Anschluss zu verlieren drohe und internationale Lösungen, beispielsweise von Google, Facebook oder Apple, diese Funktion übernehmen könnten, wenn die Schweiz nicht zeitnah eine E-ID anbiete. Beispiele aus anderen Ländern zeigten zudem, dass rein staatliche Lösungen wie in Deutschland oder Grossbritannien mit einer Marktdurchdringung von drei Prozent nicht sehr erfolgreich seien. Demgegenüber erreichten skandinavische Länder, die mit einer privatwirtschaftlichen Lösung arbeiteten, Marktdurchdringungsraten von bis zu 90 Prozent, was zeige, dass dies auch für die Schweiz der richtige Weg sei. Die Hoheit über die Personenidentifizierungsdaten bleibe auch bei diesem Modell vollumfänglich beim Staat, nur müsse der Staat nicht alle Kosten für die technologische Umsetzung selber tragen. Mit 32 zu 7 Stimmen bei 3 Enthaltungen lehnte der Ständerat den Rückweisungsantrag schliesslich deutlich ab.
Als Eintreten einmal beschlossen war, verlief die weitere Detailberatung des Gesetzesentwurfs ausgesprochen unspektakulär. Die grösste Änderung, die der Ständerat einbrachte, war die Einführung einer unabhängigen, vom Bundesrat zu wählenden E-ID-Kommission (Eidcom), die anstelle des ursprünglich dafür vorgesehenen Informatiksteuerungsorgans des Bundes die Anerkennung und Kontrolle der Identity Provider übernehmen wird. Diese Neuerung, die schon von der Kommission geschlossen unterstützt worden war, wurde vom Ständerat stillschweigend gutgeheissen. Zudem strich die kleine Kammer den Artikel über die Sorgfaltspflichten aus dem Entwurf – ein Anliegen, das im Nationalrat noch gescheitert war – mit der Begründung, es sei so klarer, dass ohnehin die Sorgfaltspflichten des OR gelten. Um der Kritik am privatwirtschaftlichen Modell etwas entgegenzukommen, wurde dem Bund überdies die Möglichkeit gegeben, jederzeit ein eigenes E-ID-System anzubieten, und nicht nur ausdrücklich subsidiär zum Markt, sowie sich an privaten Anbietern zu beteiligen – um diese beispielsweise aufzukaufen, wenn ansonsten die Übernahme durch ein ausländisches Unternehmen bevorstünde. Mit 33 zu 4 Stimmen bei 2 Enthaltungen stimmte der Ständerat dem Entwurf zu und übergab ihn mit den geschaffenen Differenzen zurück an den Nationalrat. Am Konzept der staatlich-privatwirtschaftlichen Aufgabenteilung bei der E-ID wird das Parlament wohl nichts mehr ändern. Medienberichten zufolge befinde sich die «Allianz gegen die private E-ID» schon in den Startlöchern für das Referendum.

Elektronische Identität