Das neuen E-ID-Gesetz (BGEID)

Der Ständerat hat am 23.9.2019 die letzte Differenz beim E-ID-Gesetz ausgeräumt. Die Debatte war heftig, obwohl bezüglich der Notwendigkeit einer elektronischen Identifikation grosse Einigkeit herrscht. Gegenstand der parlamentarischen Auseinandersetzungen war, wie die Kompetenzen zu organisieren sind [1]. Verschiedene Kreise haben angekündigt, das Referendum zu ergreifen [2]. Am XY hatten wir wichtige Anforderungen an die Herausgabe der zukünftigen E-ID publiziert [3]. Sind diese gemäss Schlussabstimmungstext [4] erfüllt?

Um es vorweg zu nehmen: Die von uns als wichtig erachteten Anforderungen sind nur teilweise erfüllt. Unsere erste Anforderung ist, dass Nutzungs- und Identifizierungsdaten unabhängig bei verschiedenen Gesellschaften verwalten werden müssen – der E-ID-Herausgeber soll nicht wissen, wie die Besitzer der E-ID diese nutzen. Der Bundesrat betont, dass Personenidentifizierungsdaten, die Daten über die Nutzung einer E-ID und die übrigen Daten physisch und organisatorisch getrennt zu halten sind. Das Parlament hat daran nichts geändert, womit die erste Anforderung durch das BGEID erfüllt ist.

 

Die zweite Anforderung lautet, dass eine Person mehrere E-ID besitzen kann, um das Profiling zu erschweren, beispielsweise, um geschäftliche und private Transaktionen zu trennen. Das BGEID regelt nicht ausdrücklich, ob jemand mehrere E-ID besitzen kann. Der Bundesrat will, dass eine Person mehrere E-ID von verschiedenen Identity Providers (IdP) auf unterschiedlichen Sicherheitsniveaus besitzen kann, wenn sie das möchte – ihre E-ID-Registrierungsnummer bleibt aber immer dieselbe. Entsprechendes wird der Bundesrat voraussichtlich in seiner Ausführungsverordnung zum BGEID regeln. Da dann eine Person mehrere E-ID besitzen kann, ist auch die zweite Anforderung erfüllt.

 

Die dritte Anforderung ist, dass der Besitz einer E-ID weder direkt erzwungen werden darf, noch indirekt, indem Benutzer ohne E-ID unnötig oder unfair benachteiligt werden. Artikel 6 Absatz 1 Satz 1 des BGEID besagt, dass eine Person, die eine E-ID will, diese über einen IdP bei fedpol zu beantragen hat. Von einer (direkten) Pflicht, eine E-ID zu beziehen, kann also nicht die Rede sein. Eine Person könnte aber – indirekt – unter dem neuen BGEID zur Nutzung einer E-ID gezwungen sein. Solche Sachverhalte sind einerseits mit Blick auf Artikel 12 Absatz 2 BGEID denkbar, andererseits kann eine Person dann faktisch zur Nutzung einer E-ID gezwungen sein, wenn alle Anbieter entsprechender Dienstleistungen für den Zugang die Identifizierung per E-ID verlangen.

 

Die vierte Anforderung ist, dass staatliche Stellen keine Registerdaten an Private liefern, sondern nur die Richtigkeit der vom Benutzer selbst gelieferten Daten bestätigen dürfen. Da das fedpol den IdP gestützt auf die Artikel 6 Absatz 2, 7 und 23 Absatz 1 BGEID Personenidentifizierungsdaten übermitteln wird, ist diese Anforderung nicht erfüllt.

 

Die fünfte Anforderung ist, dass E-Commerce-Anbieter von Dienstleistungen, die auf nicht öffentlichen Daten von staatlichen Stellen beruhen, keine Monopolstellung haben dürfen, um faire Preise zu garantieren; dies soll insbesondere für die Herausgeber von E-ID gelten. Mit Blick auf die im BGEID genannten Voraussetzungen (Artikel 13 BGEID) kommen praktisch nur im schweizerischen Markt beheimatete Unternehmen als IdP in Frage – allen voran das Joint Venture Swiss Sign (ein Konsortium von Post, Swisscom, Banken und Versicherungen). Der Gesetzgeber antizipiert, dass es durchaus sein könnte, dass der Markt von einem IdP wie Swiss Sign oder allenfalls von wenigen IdP dominiert wird. Im entsprechenden Artikel 17 BGEID regelt er allerdings nur, dass solche IdP verpflichtet werden, die E-ID allen Personen zu denselben Bedingungen zugänglich zu machen. Das BGEID regelt also nicht, dass IdP als E-Commerce-Anbieter von Dienstleistungen, die auf nicht öffentlichen Daten von staatlichen Quellen beruhen, keine Monopolstellung haben dürfen. Dadurch können faire Preise – sei es für die E-Commerce-Anbieter oder die E-ID-Nutzer – nicht garantiert werden und es wäre zu prüfen, ob das BGEID kartellrechtliche Probleme aufwirft.

 

Totalrevision Datenschutzgesetz

Der Vorentwurf des totalrevidierten Datenschutzgesetzes befindet sich derzeit in der Vernehmlassung. Er bezweckt die Stärkung des Datenschutzes durch erhöhte Transparenz bei der Datenbearbeitung und mehr Kontrollmöglichkeiten der betroffenen Personen. Griffige Sanktionen und Handlungspflichten der verantwortlichen Personen sollen dabei die korrekte Umsetzung gewährleisten.

Links: Entwurf, Bericht

Eurospider Information Technology AG
Schaffhauserstrasse 18
8006 Zürich

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok Ablehnen