Die Idee ist verlockend: Ob Sie Ihren Pass erneuern, Sozialleistungen beantragen oder an einer Abstimmung teilnehmen wollen – das alles können Sie online tun, ganz ohne Gang auf ein Amt. Noch besser: Diese Internet-Prozesse sind schnell, ökologisch (Papier!) und kostengünstig.
Sowohl die EU als auch die Schweiz arbeiten an der Einführung einer elektronischen Identität (E-ID) für ihre Bürgerinnen und Bürger. Denn die E-ID bildet die Grundlage für weitere digitale Dienste.
Allerdings sind die EU und die Schweiz mit einigen Herausforderungen konfrontiert. Beispielsweise hat die Schweizer Bevölkerung das E-ID-Gesetz im März 2021 abgelehnt. Von den 2’762’770 Personen (Beteiligung von 51,29%), die abgestimmt haben, sagten 64,4% «nein» und nur 35,6% «ja». Wie kommt das?
Wir versorgen Sie mit den notwendigen Hintergrundinfos. Zudem geben wir Ihnen einen Überblick über die Vor- und Nachteile einer digitalen ID, über die Anwendungsfälle, den Entwicklungsstand und die ungelösten Probleme. Wir vergleichen ebenso die Situation in Europa und in der Schweiz: wer verfolgt welche Strategie, wer nutzt welche technischen Frameworks, wer lanciert welche Initiativen, wo gelten welche Bestimmungen und welches sind die Meilensteine auf dem Weg zur staatlich ausgegebenen ID.
Die Definition von E-ID unterscheidet sich je nach Akteur.
Finanzdienstleister und Treuhänder müssen ihre Kunden auf der Grundlage der sogenannten «Know Your Customer (KYC)»-Regel kennen. Dies ist wichtig für die digitale Signatur und das Onboarding, das häufig via Video stattfindet. Für diese Anbieter ist die E-ID eine Möglichkeit, ihre Prozesse effizienter und kostengünstiger zu gestalten. Für den normalen Bürger variiert die Bedeutung der E-ID von «supernützlich» bis «davon profitieren nur die Banken».
Im staatlichen Kontext geht es bei der elektronischen Identifikation um die Digitalisierung von Diensten der öffentlichen Verwaltung. Sie verspricht den einfacheren Zugang zu Webseiten und Portalen, zu öffentlichen Zuwendungen, unkompliziertere Finanztransaktionen, digitale Inklusion und mehr. Die vielfältigen Vorteile reichen von weniger Papierkram über Zeit- und Kosteneinsparungen bis hin zu einer höheren Servicequalität.
Bei den aktuellen Initiativen geht es neben der E-ID auch um Vertrauen – d.h. Vertrauen in sämtliche wichtigen Dokumente, die in digitaler Form vorliegen. Der Wert der elektronischen Identifikation lässt sich als die Summe aus Vertrauen, potenzieller Nutzung und individuellem Vorteil definieren.
In der Schweiz
Im März 2021 lehnt das Schweizer Volk das Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) ab. Im Juni 2022 geht der Entwurf des neuen E-ID-Gesetzes in die Vernehmlassung, gefolgt von der Lancierung der Public Sandbox Test Infrastructure im März 2023.
Was zuversichtlich stimmt: Das revidierte Bundesgesetz über den Datenschutz (revDSG), das seit 1. September 2023 in Kraft ist, könnte den Weg ebnen für die Einführung einer staatlich ausgegebenen E-ID.
Am 22. November 2023 verabschiedet der Bundesrat seine Botschaft zum überarbeiteten E-ID-Gesetz. Darin spezifiziert er diverse zentrale Punkte:
Der Bund plant, die Schweizer E-ID ab 2026 anzubieten. Bis dahin entscheidet er über die Technologie für die E-ID-Infrastruktur und plant erneute Sandbox-Tests. Damit will er den beteiligten Parteien die Möglichkeit geben, die E-ID-Infrastruktur auf der gewählten Technologie zu testen und zu integrieren, um vor der Einführung der E-ID wichtige Erkenntnisse zu gewinnen.
In der EU
In der Vergangenheit anerkannten und akzeptierten Mitgliedstaaten die elektronischen Identifikationssysteme anderer Mitgliedstaaten nicht, da eine gemeinsame rechtliche Grundlage fehlte.
Aus diesem Grund präsentierte die Europäische Kommission 2021 den eIDAS-2.0-Vorschlag. Er bildet ein aktuelles Fundament für die grenzübergreifende Identifikation, Authentisierung und Website-Zertifizierung innerhalb der EU. Heute profitieren 60% der Europäer*innen von diesem System. Die Akzeptanz gestaltet sich jedoch zäh und die Geschäftsmöglichkeiten sind begrenzt.
Mit der European Digital Identity Regulation werden die länderspezifischen E-IDs in der EU nun harmonisiert. So lässt sich der notwendige Rahmen schaffen, damit die Mitgliedstaaten European Digital Identity (EUDI) Wallets ausgeben können.
In den nächsten Jahren wird sich die EU an ihren digitalen Zielen für 2030 orientieren, die in vier Kategorien unterteilt sind:
E-ID-Systeme gewinnen im behördlichen Umfeld immer mehr an Bedeutung. Sie ermöglichen eine höhere Sicherheit, straffere Prozesse und unkomplizierten Zugang zu staatlichen Dienstleistungen. Hier sind einige häufige Anwendungsfälle für E-ID im Behörden-Umfeld:
E-Government-Dienste
Mit ihrer E-ID haben Bürger*innen Zugang zu Webseiten und Portalen von Behörden, auf denen sie beispielsweise ihre Steuererklärung übermitteln, ein Unternehmen registrieren, ihren Führerschein erneuern oder auf öffentliche Archive zugreifen können.
E-Voting
Mit E-Voting nehmen Stimmberechtigte online an Volksabstimmungen und Wahlen teil. Der Gang zum Stimmlokal oder zum Briefkasten, um das Couvert einzuwerfen, wird damit überflüssig. Das senkt sowohl Barrieren als auch das Betrugsrisiko beim Wahlverfahren.
Steuern und Finanztransaktionen
Eine E-ID erleichtert das Einreichen der Steuererklärung, das Beantragen staatlicher Zuschüsse und Kredite sowie das Abwickeln von Finanztransaktionen mit Behörden.
Öffentliche Zuwendungen und Sozialhilfe
E-IDs vereinfachen das Beantragen und Auszahlen öffentlicher Zuwendungen wie Arbeitslosengeld, Sozialhilfe und Renten.
Digitale Signatur und Authentisierung
Eine E-ID kann als digitale Signatur dienen und so die Authentizität von Dokumenten und Transaktionen gewährleisten. Dies ist bei Behördengeschäften, Gerichtsverfahren und Verträgen äusserst nützlich.
Digitale Inklusion
Eine E-ID ermöglicht Randgruppen der Bevölkerung Zugang zu staatlichen Dienstleistungen sowie finanzielle Inklusion. Damit schliesst sich der digitale Graben.
Grenzkontrolle und Einreise
E-ID-Systeme sind für die Grenzkontrolle, Visumanträge und die Identitätsprüfung von Reisenden am Zoll einsetzbar.
«Die E-ID ist ein wichtiger Schritt auf dem Weg zur Digitalisierung. Die automatisierte Identifizierung wird persönliche Amtsbesuche weniger notwendig machen und das Leben der Bürger*innen erheblich vereinfachen.» Michel Sahli |
|
Vorteile und Risiken
Kein Zweifel: Eine staatlich ausgegebene E-ID hat zahlreiche Vorteile, zum Beispiel Sicherheit und Vertrauen. Kritiker melden jedoch primär in Bezug auf die Privatsphäre der Nutzer*innen Bedenken an. Überwiegen die Vorteile einer staatlichen E-ID die Risiken dennoch? Wagen wir einen Vergleich und beginnen mit den Vorteilen.
Vorteile der E-ID
Die Vorteile variieren je nach der konkreten Umsetzung und dem Design des Systems. Die wichtigsten:
Eine eindeutige digitale Identität ermöglicht es Behörden, ihre Dienstleistungen für Bürger*innen individuell und effizient zu gestalten. Dank E-ID-System straffen sie administrative Prozesse und beschleunigen die Bearbeitungszeit. Dies verbessert die Erbringung von Dienstleistungen, da die Bürger*innen Genehmigungen, Ausweise oder staatliche Leistungen online beantragen können. Das verringert den Papierkram und die Zeit, die sie in Warteschlangen verbringen.
Mit der Einführung eines E-ID-Systems können Behörden ihre Effizienz markant verbessern. Digitalisieren sie die Verfahren zur Identitätsprüfung, profitieren sie von weniger administrativen Aufgaben und weniger manuellem Papierkram. Dank der automatisierten Identitätsprüfung senken sie langfristig die Kosten.
Bei staatlich ausgegebenen E-IDs ist das Betrugspotenzial geringer als bei Identitätsnachweisen in Papierform. E-ID-Systeme sind oft mit fortschrittlichen Sicherheitsmerkmalen wie Verschlüsselung und biometrischer Authentifizierung ausgestattet. Das erschwert es Unbefugten, auf persönliche Daten zuzugreifen und sie zu missbrauchen.
Je nach Design des E-ID-Systems gewähren Behörden den Bürger*innen mehr oder gar die volle Kontrolle über ihre eigenen Daten, zum Beispiel mit Self-Sovereign Identity (SSI). Beim nutzerzentrierten Ansatz steht der Mensch im Zentrum der Identitätsverwaltung. Das bedeutet, dass jede Person selbst entscheidet, welche Daten sie wem preisgibt, was unnötige Risiken vermeidet.
E-ID-Systeme fördern die finanzielle und die soziale Inklusion, indem sie Bürger*innen den bequemen Zugang ermöglichen zu zentralen Dienstleistungen im Gesundheits- und Bildungswesen sowie zu staatlichen Leistungen. Mit einer E-ID weist eine Person ihre Identität nach, ohne physisch anwesend sein zu müssen, was die Inklusion fördert.
Eine E-ID baut Barrieren ab für Personen mit einer Beeinträchtigung, für die der Gang zu einer Behörde oder der Zugriff auf ein physisches Dokument eine Herausforderung darstellt. Beispielsweise lancierte der Bund 2015 einen Aktionsplan, um die Barrierefreiheit seines kompletten Digitalangebots zu gewährleisten.
Sichere und anerkannte Identifizierungsverfahren wie die E-ID haben das Potenzial, die Beteiligung von Bürger*innen an staatlichen Prozessen wie dem E-Voting zu fördern.
Die folgende Tabelle vergleicht die Vorteile und die Risiken staatlich ausgegebener E-IDs miteinander:
Vorteile |
Risiken |
Höhere Dienstleistungsqualität E-ID-Systeme helfen, administrative Prozesse zu straffen und die Bearbeitungszeit zu beschleunigen. Bürger*innen können Genehmigungen, Ausweise oder staatliche Leistungen online beantragen. Das verringert den Papierkram und die Wartezeit vor Ort. |
Zu wenig kompatibel Sind E-ID-Systeme verschiedener Behörden und Dienste nicht kompatibel, führt dies zu Unannehmlichkeiten für die Bürger*innen und begrenzt den Nutzen der E-ID. |
Effizienz und Kosteneinsparungen Digitalisieren Behörden die Identitätsprüfung, verringern sich ihre administrativen Aufgaben und der manuelle Papierkram, was langfristig die Kosten senkt. |
Kosten und Zugänglichkeit Entwicklung und Einführung von E-ID-Systemen sind kostspielig. |
Höhere Sicherheit E-ID-Systeme sind oft mit fortschrittlichen Sicherheitsmerkmalen wie Verschlüsselung und biometrischer Authentifizierung ausgestattet. Eine staatliche E-ID ist daher weniger anfällig für Identitätsbetrug. |
Sicherheit E-IDs sind ein beliebtes Ziel von Hackern und Cyberkriminellen. Knacken diese eine Behördendatenbank mit digitalen ID-Informationen, kann dies zu Identitätsdiebstahl, -betrug und anderen Online-Straftaten führen. |
Kontrolle über eigene Daten Je nach Design des E-ID-Systems gewähren Behörden den Bürger*innen mehr Kontrolle über ihre eigenen Daten. Mit SSI zum Beispiel entscheidet jede Person selbst, welche Daten sie wem preisgibt.
|
Bedenken bezüglich Datenschutz und Machtkonzentration Der Staat könnte grosse Mengen personenbezogener Daten sammeln und speichern. Es findet eine Machtkonzentration beim Staat statt. Sind die Daten nicht angemessen geschützt, sind sie anfällig für Missbrauch und unbefugten Zugriff. |
Finanzielle und soziale Inklusion Bürger*innen erhalten einfachen Zugang zu zentralen Dienstleistungen, etwa im Gesundheits- und Sozialwesen. Mit einer E-ID weist eine Person ihre Identität nach, ohne phyisisch anwesend sein zu müssen. |
Kosten und Zugänglichkeit Werden die Kosten für ein E-ID-System auf die Bürger*innen überwälzt, kann das Geringverdienenden den Zugang zu Online-Diensten verwehren. |
Barrierefreiheit Eine E-ID baut Barrieren ab für Personen mit einer Beeinträchtigung, für die der Gang zu einer Behörde oder der Zugriff auf ein physisches Dokument eine Herausforderung darstellt. |
Ausgrenzung und Ungleichheit Nicht jeder Mensch hat Zugang zu den notwendigen Technologien und Ressourcen, um eine E-ID zu nutzen. Dies könnte zur Ausgrenzung bestimmter Bevölkerungsgruppen führen. |
Beteiligung von Bürger*innen Sichere und anerkannte Identifizierungsverfahren wie die E-ID fördern die Beteiligung von Bürger*innen an staatlichen Prozessen wie E-Voting. |
Angst vor Überwachung Bürger*innen könnten wenig Vertrauen in die Regierung haben und sowohl staatliche Überwachung als auch ein Übermass an Kontrolle durch die Regierung befürchten. |
Risiken der E-ID
Dies sind einige der Risiken, die staatlich ausgegebene E-IDs bergen:
Wenn E-ID-Systeme verschiedener Behörden und Dienste nicht kompatibel sind, führt dies zu Unannehmlichkeiten für die Bürger*innen und einem begrenzten Nutzen von deren E-ID.
Die Entwicklung und Einführung eines E-ID-Systems kann sich als kostspielig erweisen. Werden die Kosten auf die Bürger*innen überwälzt, hält das jene mit geringem Einkommen davon ab, Online-Dienste zu nutzen.
E-IDs sind ein beliebtes Ziel von Hackern und Cyberkriminellen. Knacken diese eine Behördendatenbank mit digitalen ID-Informationen, kann dies zu Identitätsdiebstahl, -betrug und anderen Online-Straftaten führen.
Zu den grössten Bedenken zählt die Möglichkeit des Staates, enorme Mengen personenbezogener Daten zu sammeln und zu speichern. Ebenso die Machtkonzentration. Denn sind die Daten nicht angemessen geschützt, sind sie anfällig für einen Missbrauch dieser Macht und unbefugte Zugriffe.
Nicht jeder Mensch hat Zugang zu den notwendigen Technologien und Ressourcen, um eine E-ID zu nutzen.
Bürger*innen könnten wenig Vertrauen in die Regierung haben und sowohl staatliche Überwachung als auch eine Machtkonzentration in den Händen der Regierung befürchten.
Wollen Regierungen diese Risiken entschärfen, müssen sie wirksame Sicherheitsmassnahmen ergreifen, einen starken Schutz der Privatsphäre aufrechterhalten sowie bei der Verwaltung elektronischer Identitätssysteme Transparenz und Verantwortlichkeit gewährleisten.
Ein feines Gleichgewicht zwischen Bequemlichkeit und Sicherheit ist der Schlüssel um sicherzustellen, dass die staatlich betriebenen E-ID-Systeme der Gesellschaft als Ganzes zugute kommen und gleichzeitig die Rechte und die Privatsphäre des Einzelnen schützen.
Sowohl die Schweiz als auch die EU sind daran, eine E-ID einzuführen. Während sich die Schweiz seit März 2023 in einer Testphase befindet und frühestens Anfang 2026 mit der Einführung der E-ID rechnet, nutzen gewisse europäische Länder bereits eine E-ID, zum Beispiel Estland, Österreich und Deutschland.
Die Situation der Schweiz und der EU unterscheidet sich primär dadurch, dass die Schweiz nicht Mitglied der EU ist. Das zeigt sich insbesondere beim gesetzlichen Rahmen und bei der Kompatibilität.
Gesetzlicher Rahmen: In der EU bildet die «The European Digital Identity Regulation» den rechtlichen Rahmen. Darunter fällt auch die eIDAS-Verordnung. Sie ist die Grundlage für die Entwicklung der EUDI Wallets und der Testinfrastruktur. Des Weiteren ermöglicht sie die gegenseitige Anerkennung nationaler E-IDs über ein Benachrichtigungsverfahren. Mit der European Digital Identity Regulation harmonisiert die EU nun die E-ID auf der Basis der European Digital Identity (EUDI) Wallet. Diese erlaubt sichere und nahtlose elektronische Transaktionen zwischen den EU-Mitgliedstaaten.
Als Nicht-EU-Mitglied hat die Schweiz ihr eigenes E-ID-Gesetz geschaffen, das die Schweizer Stimmberechtigten 2021 ablehnten. Dies hat eine Diskussion darüber ausgelöst, wie die Schweiz ihr Ziel einer staatlichen E-ID erreichen will. Das Gesetz wird derzeit nachgebessert, die Botschaft des Bundesrats zur neuen Version für Ende 2023 erwartet.
Kompatibilität: Mit der eIDAS-Verordnung will die EU die Kompatibilität der E-ID-Systeme und der Vertrauensdienste zwischen sämtlichen Mitgliedstaaten sicherstellen. Damit könnten EU-Bürger*innen und -Unternehmen ihre länderspezifische E-ID für Online-Transaktionen innerhalb der EU verwenden.
Die Schweiz orientiert sich bei der elektronischen Identifikation und den Vertrauensdiensten an EU-Standards, um die Aktivitäten mit EU-Ländern zu vereinfachen, agiert jedoch unabhängig. Möglicherweise werden für die grenzüberschreitende Kompatibilität mit der EU spezielle Vereinbarungen oder technische Lösungen notwendig.
Mit der staatlich ausgegebenen E-ID will der Bund die Digitalisierung vorantreiben. Der Bund ist indes davon überzeugt, dass die Bürger*innen die E-ID nur akzeptieren – und ihr so zum Erfolg verhelfen – wenn sie sowohl für behördliche als auch für geschäftliche Transaktionen genutzt werden kann.
Die wichtigsten Merkmale der Schweizer E-ID-Lösung:
Ein Anreiz ist für Anbieter von Online-Diensten des privaten und des öffentlichen Sektors besonders gross: Da die Kompatibilität durch aufeinander abgestimmte rechtliche und technische Anforderungen ermöglicht wird, müssen die Anbieter keine teure eigene Lösung entwickeln. Zudem hilft die geplante Verwendung technischer Standardprotokolle dabei, die Kosten niedrig zu halten. Das gilt insbesondere für Bund, Kantone und Gemeinden.
b. Getroffene Massnahmen und aktueller Stand
Im März 2023 wurde die Public Sandbox Test Infrastructure aufgeschaltet, in die das Feedback aus der Vernehmlassung integriert ist. Mit dieser Infrastruktur sammeln der Bund und die weiteren Beteiligten technische (Funktionalitäten, Skalierung, Sicherheit usw.), organisatorische (Onboarding, Support usw.) und fachliche (Anwendungsfälle, organisationsübergreifende Operabilität usw.) Erfahrungen. Sie soll zudem dabei helfen, weitere Akteure für das geplante Ökoystem digitaler Nachweise zu gewinnen.
c. Technischer Rahmen
Die vom Bund betriebene Vertrauensinfrastruktur bietet einen sicheren Rahmen für die Digitalisierung analoger Prozesse. Potenzielle Aussteller von digitalen Credentials («Issuer») im Schweizer E-ID-Ökosystem unterliegen den staatlichen Bestimmungen. Damit ist sichergestellt, dass die Nutzer*innen den Issuers vertrauen können, daher «Vertrauensinfrastruktur».
Will beispielsweise eine Schweizer Nutzerin ihrer Bank oder ihrem Arbeitgeber ein von einem Kanton ausgestelltes Dokument vorlegen, kann sie dies über die Vertrauensinfrastruktur sicher tun. Im Gegensatz zu den Issuers prüft der Bund die verifizierende Partei («Verifier») indes nicht. Die Nutzer*innen entscheiden eigenverantwortlich, welche Daten sie dem Verifier auf Anfrage preisgeben.
d. Initiativen
Der Bund hat für die Nutzung einer E-ID verschiedene Pilotprojekte und Proofs of Concept (PoC) lanciert:
Digitaler Führerschein: Zusammen mit der Vereinigung der Strassenverkehrsämter (asa) arbeitet das Bundesamt für Strassen (ASTRA) an der Einführung eines digitalen Führerscheins.
E-ID für Bundespersonal: In Zusammenarbeit mit dem Eidgenössischen Personalamt überprüft die Schweizerische Bundeskanzlei die Durchführbarkeit einer E-ID-Karte für Angestellte des Bundes (Proof of Concept ePerso). Der PoC basiert auf den Technologien und Use Cases der zukünftigen E-ID.
Sandbox Test Infrastructure: Um technische (Betrieb, Sicherheit usw.) und organisatorische (Onboarding, Support usw.) Erfahrungen zu sammeln, lancierte der Bund die öffentliche Sandbox Test Infrastructure. Ob sie echte oder Dummy-Testdaten bereitstellen, liegt an den Beteiligten. Der Bund ist nicht in der Lage, solche Daten zu verarbeiten. Gegenwärtig umfasst die Test-Infrastruktur 40 Business-Case-Anwendungen, vier implementierte Business Cases und fünf dezentrale Identifikatoren (decentralized identifiers, DID). Sobald der Entscheid über die Technologie für die E-ID gefallen ist, sollen vor 2026 weitere Sandbox-Tests möglich sein.
Bestimmungen – das Schweizer E-ID-Gesetz
Laut dem Schweizer E-ID-Gesetz agiert der Bund als Aussteller der E-ID und betreibt die dafür notwendige Infrastruktur. Er stellt auch eine Smartphone-App für die sichere Verwaltung der E-ID bereit. Die Nutzer*innen werden die volle Kontrolle über ihre Daten haben. Der Schutz der Privatsphäre wird sowohl durch das System selbst («Privacy by Design»), als auch durch minimierte Datenströme und eine dezentrale Datenspeicherung gewährleistet. Um Nutzer*innen zukünftig auch ausserhalb der Schweiz die Verwendung ihrer E-IDs zu ermöglichen, wird sich das Schweizer E-ID-System an internationale Standards halten.
Nach Ansicht des Bundes hat das neue E-ID-Gesetz mehrere Vorteile:
f. Meilensteine und nächste Schritte
Eine staatliche E-ID wird das Leben der Menschen und Dienstleister gleichermassen vereinfachen und so die Wirtschaft ankurbeln, aber die gesetzliche Umsetzung ist zeitaufwendig, wie die folgenden Meilensteine veranschaulichen:
Nächste Schritte:
|
Schweiz |
EU |
Übergeordnete Strategie |
|
|
Getroffene Massnahmen |
|
|
Technische Rahmenbedingungen |
|
|
Initiativen |
|
|
Bestimmungen |
|
|
Meilensteine und nächste Schritte |
|
|
a. Übergeordnete Strategie
Die EU betrachtet die E-ID als einen entscheidenden Wegbereiter in ihrer Strategie zur digitalen Transformation. Daher fördert sie den Gebrauch der E-ID nicht nur für staatliche Dienstleistungen, sondern auch für den Zugang zu Dienstleistungen dritter Parteien, wie Online-Banking und elektronischem Handel. Sie fordert sogar Unternehmen im privaten Sektor dazu auf, die E-ID zu akzeptieren, einschliesslich der Signatur für Zahlungen.
Eins der Hauptziele von eIDAS ist es, innerhalb der EU die grenzübergreifende Anerkennung der E-ID zu ermöglichen. Dies bedeutet, dass Bürger*innen und Unternehmen in die Lage versetzt werden sollen, mit ihrer nationalen E-ID auf Online-Dienstleistungen in anderen Mitgliedstaaten zuzugreifen.
Ein anderes Hauptziel ist es, Bürger*innen und Einwohner*innen im Sinne des nationalen Rechts mit einem europaweit harmonisierten Mittel der digitalen Identität auszustatten, das auf dem Konzept einer European Digital Identity (EUDI) Wallet basiert.
b. Bereits getroffene Massnahmen und gegenwärtiger Stand
Mit den entwickelten Bestimmungen und der provisorischen politischen Einigung zu den Kernelementen der Rahmenbedingungen für die E-ID im Juni 2023 wurde die gesetzliche Grundlage für eine EU-weite digitale ID geschaffen. IDUnion, Deutschlands offenes System für vertrauenswürdige Identitäten, arbeitet seit April 2021 an der Lancierung eines Produktnetzwerks und an der Umsetzung von mehr als 40 Pilotanwendungen in verschiedenen Bereichen.
Darüber hinaus wurden gross angelegte Pilotprojekte initiiert, um weitere Use Cases von E-IDs auszuloten (siehe Initiativen).
c. Technische Rahmenbedingungen
Im Juni 2021 rief die Europäische Kommission die Mitgliedstaaten dazu auf, eine Toolbox inklusive digitaler Identitätsarchitektur und Referenzrahmen (ARF, siehe «Die (möglichen) technischen Lücken zwischen der Schweizer E-ID und dem ARF der EU») zu entwickeln, d.h. eine Sammlung gemeinsamer Standards und technischer Spezifikationen, sowie eine Zusammenstellung gemeinsamer Richtlinien und Best Practices.
Das Ziel ist die Einführung der EUDI Wallet. Mit dieser EUDI Wallet wird die European Digital Identity Regulation es Bürger*innen und Unternehmen ermöglichen, auf sicherem und praktischem Wege ihre Identitätsdaten zu teilen. Rahmenbedingungen für die Kompatibilität sorgen dafür, dass die E-ID-Systeme in verschiedenen Mitgliedstaaten nahtlos miteinander kommunizieren und arbeiten können – eine wesentliche Voraussetzung für ein europäisches E-ID-Ökosystem.
d. Initiativen
Im Frühjahr 2023 lancierte die Europäische Kommission vier Pilotprojekte, um die EUDI Wallet auf den Prüfstand zu stellen. An diesen Pilotprojekten sind mehr als 250 private und staatliche Organisationen beteiligt, die aus fast allen Mitgliedstaaten sowie aus Norwegen, Island und Ukraine stammen. In jedem Pilotprojekt werden mehrere Use Cases behandelt.
Dieses Projekt wird von Norwegen geleitet, acht weitere Länder aus der EU und dem europäischen Wirtschaftsraum sind ebenfalls involviert. Die mehr als fünf öffentliche Verwaltungen und über 15 Privatunternehmen werden sich dabei auf einen einzelnen Use Case konzentrieren: den Einsatz der EUDI Wallet, um Zahlungen für Produkte und Dienstleistungen zu autorisieren.
Die Ausstellung von Wallets, die Bereitstellung von Zahlungsmodalitäten durch Finanzinstitutionen sowie die Akzeptanz von Zahlungen im Einzelhandelskontext stehen hierbei im Vordergrund.
e. Bestimmungen – eIDAS und European Digital Identity Regulation
Die 2014 erlassene eIDAS-Verordnung hat einen gesetzlichen Rahmen für die elektronische Identifikation und für vertrauenswürdige Dienstleistungen innerhalb der EU geschaffen. Anhand eines Benachrichtigungsverfahrens ermöglicht sie die gegenseitig Anerkennung nationaler E-IDs.
Mit der European Digital Identity Regulation werden die nationalen E-IDs nun harmonisiert. So werden die Rahmenbedingungen etabliert, unter denen Mitgliedstaaten EUDI Wallets ausstellen können.
Alle EUDI Wallets werden es den Nutzer*innen – d.h. EU-Bürger*innen und Einwohner*innen im Sinne des nationalen Rechts – ermöglichen, sich online, offline und grenzüberschreitend zu identifizieren und zu authentifizieren, um eine grosse Bandbreite behördlicher und privater Dienstleistungen in Anspruch zu nehmen. Sie sollen auch Nutzer*innen in die Lage versetzen, qualifizierte elektronische Signaturen und Siegel zu erschaffen und zu verwenden, die überall in der EU anerkannt werden. Dies alles soll einfach und bequem zu bewerkstelligen sein und immer unter der Kontrolle der Nutzer*innen bleiben.
f. Meilensteine und nächste Schritte
Nächste Schritte:
Die technischen Arbeiten werden fortgesetzt, um den Gesetzestext in Einklang mit der politischen Vereinbarung zu bringen. Sobald der Text finalisiert ist, wird er zur Absegnung an die Mitgliedstaaten übermittelt. Nach der rechtlichen und sprachlichen Überprüfung müssen die überarbeiteten Bestimmungen formell vom EU-Parlament und vom EU-Rat angenommen werden, damit sie in Kraft treten können.
Die (möglichen) technischen Lücken zwischen der Schweizer E-ID und dem ARF der EU
Die folgende Tabelle zeigt, inwiefern die Schweizer E-ID und das EU Architecture Reference Framework (ARF) die technischen Anforderungen erfüllen:
Anforderungen |
Schweizer E-ID-Gesetz |
EU ARF 1.3 |
Widerruf |
Ja |
Ja |
Sicherheitsmassnahmen für die Wallet |
Die Halter*innen sind verantwortlich |
Die Halter*innen sind verantwortlich, PID-Nachweise (persönliche Informationsdaten) sind nicht exportierbar |
Backup aller Nachweise |
Ja |
Nur Typ-2-Nachweise |
Widerruf ohne Offenbarung von Daten oder Halter*innen |
Ja |
Nicht definiert |
Verifizierung |
Ja |
Ja, aber die ausgewählten Standards (SD-JWT und mDL) können keinen Schutz vor der Identifizierung durch Korrelation gewährleisten. Wenn die Verifier A und B Daten teilen, können sie sie auf eine Person zurückführen. Falls z.B. eine Person Verifer A ihren Vornamen preisgibt und Verifier B ihren Nachnamen, können die Verifier diese Attribute zusammenführen – das ist nicht «Privacy by Design». |
Der Aussteller soll nicht wissen, wo die Nutzer*innen ihre Daten verifizieren |
Ja |
In ARF 1.3 gibt es keine Definition für die Entkopplung zwischen PID und EAA. Der Aussteller kann seinen öffentlichen Schlüssel an eine zentrale Dienstleistung knüpfen und diesen überwachen. Der Aussteller wird wissen, welcher Verifier welche Art von Nachweis verifiziert. |
Selektive Offenlegung |
Ja |
Ja |
Keine Übertragbarkeit von Nachweisen zu anderen Halter*innen (natürliche Personen) |
Ja |
Ja |
Übertragbarkeit von Nachweisen zu anderen Halter*innen (juristische Personen) |
Nicht definiert (der Bund kann entscheiden) |
Nicht definiert |
Gebrauch der Wallet ohne E-ID |
Gebrauch der Wallet ohne E-ID: Im Schweizer E-ID-Gesetz ist das nicht explizit definiert, aber es wird angedeutet, dass die Wallet für jeden Nachweis ohne E-ID verwendet werden kann. Die E-ID ist nur eine Art eines verifizierbaren Nachweises, mit der Besonderheit, dass sie eine Art Schlüsselbindung hat. Es gibt weder eine Einschränkung des Gebrauchs noch ein Zustandskonzept, wie es das ARF für die Wallet vorsieht. |
Ja, aber im Betriebszustand, nicht im vertrauenswürdigen Zustand |
Vertrauensregister ist für Verifier obligatorisch |
Nein |
Ja, aber es ist nicht klar definiert, für welche Arten von Nachweisen das gilt. Vielleicht wird deshalb der «Verifier» als «vertrauende Partei» bezeichnet. |
Wie die Tabelle zeigt, bestehen gewisse Unterschiede zwischen den Anforderungen des Schweizer E-ID-Entwurfs und des Vorschlags für die EU-ID. Dies betrifft insbesondere die «Privacy by Design»-Aspekte und Backups, die anders definiert werden müssen. Allerdings sind in Zukunft auf beiden Seiten Änderungen zu erwarten. Es empfiehlt sich daher, die weitere Entwicklung beider Konzepten im Auge zu behalten.
Schweiz
Das bevorstehende E-ID-Gesetz legt fest, wie einzelne Personen im Internet mit dem E-ID zweifelsfrei identifiziert werden können. Dies ermöglicht es ihnen, auf sichere Weise online Produkte oder Dienstleistungen in Anspruch zu nehmen (z.B. ein Bankkonto eröffnen oder ein amtliches Dokument anfordern).
Die E-ID ist optional. Interessierte Personen müssen sich an einen E-ID-Anbieter wenden, der von der Eidgenossenschaft anerkannt ist. Die technische Umsetzung liegt ebenfalls in der Verantwortung der Anbieter, wie Unternehmen, Kantone oder Gemeinden. Sie alle unterliegen der staatlichen Kontrolle, im Gegensatz zu den Verifiern.
Wenn Personen ihre E-ID nutzen, sind womöglich sensible Daten erforderlich. Wichtig: Wenn Nutzer*innen nicht möchten, dass ihre Daten, z.B. die Sozialversicherungsnummer, geteilt werden, müssen sie dies dem Verifier gegenüber ausdrücklich erwähnen. Auch wenn die Verifier nicht vom Bund überwacht werden, können sie gemäss dem überarbeiteten Datenschutzgesetz (nDSG) ein Vertrauenszertifikat erwerben. Indem es beweist, dass der Verifier die Anforderungen des nDSG erfüllt, kann es als Eintrittskarte in das E-ID-Ökosystem oder Nutzer*innen als Qualitätsindikator dienen.
Kritiker könnten fragen, was der Nutzen für die Bürger*innen ist, wenn der Schutz der Privatsphäre von der E-ID und dem E-ID-Gesetz nicht vollständig gewährleistet werden kann.
EU
In der Europäischen Union, wo Fragen zur Privatsphäre von der Datenschutz-Grundverordnung (DSGVO) geregelt werden, existiert im Gegensatz zur Schweiz ein solches Konformitätszertifikat nicht. In der EU müssen jedoch alle Verifier den DSGVO-Prozessen entsprechen, um einem Ökosystem beitreten zu können.
Anders als in der Schweiz legt die eIDAS-Verordnung der EU den rechtlichen Rahmen für elektronische Signaturen fest. Sie bestimmt, von wem und in welchem Kontext elektronische Signaturen verwendet werden können. Die beiden Gesetze lassen sich daher nicht eins zu eins vergleichen.
Was ist als Nächstes zu erwarten?
Die EU will bis 2030 drei Hauptziele erreicht haben:
Bis 2030 soll das EU-Rahmenkonzept zu einem weitreichenden Gebrauch einer vertrauenswürdigen, von den Nutzer*innen kontrollierten Identität geführt haben, die allen Nutzer*innen die Kontrolle über ihre Interaktionen und Präsenz im Internet verleiht. Nutzer*innen können auf einfachem Wege und in der ganzen EU Online-Dienstleistungen voll ausschöpfen, ohne ihre Privatsphäre zu gefährden.
Um sich uneingeschränkt der Möglichkeiten bedienen zu können, sollen Nutzer*innen Zugang zu bezahlbarer, sicherer und hochwertiger Konnektivität haben. Darüber hinaus sollen sie in der Lage sein, sich grundlegende digitale Fähigkeiten anzueignen und dank einer universellen digitalen Identität staatliche Dienstleistungen in Anspruch zu nehmen.
Die digitale Transformation soll auch zu einem moderneren und effizienteren Justizwesen verhelfen, die Verbraucherrechte stärken und die Wirksamkeit behördlicher Massnahmen erhöhen. Was offline illegal ist, ist auch online illegal. Und der Gesetzesvollzug muss bestmöglich ausgestattet sein, um den immer zahlreichender und raffinierter werdenden digitalen Verbrechen Herr zu werden.
In der Schweiz wird Ende 2023 die Botschaft des Bundesrats zum nahenden E-ID-Gesetz erwartet. Bis dahin wird sich der Bundesrat der Klärung etlicher offener Fragen widmen. Das Gesetz soll insbesondere den Schutz der Privatsphäre und der Grundrechte der Bürger*innen gewährleisten. Sie sollen sich nicht in alltäglichen digitalen Interaktionen konstant identifizieren müssen, vor allem nicht im Umgang mit Privatunternehmen. Eine solche Überidentifizierung muss mit geeigneten Massnahmen und Auflagen verhindert werden.
Ungeklärte Fragen
Sieht die Zukunft also rosig aus? Fast. Es gibt nämlich im Hinblick auf Gesellschaft und Technologie noch ein paar ungeklärte Fragen.
Gesellschaft
Überidentifizierung
Eine digitale Wallet, die vom Ausweis über den Führerschein bis hin zur Patientenakte alle möglichen Dokumente umfasst und diese unkompliziert bereitstellt, könnte das Nutzerverhalten ändern. Nutzer*innen könnten sich öfter als notwendig identifizieren – weil es so einfach ist. Dies würde in die Hände von Privatunternehmen spielen, während Datenschutzbeauftragte sich für eine Datenminimierung aussprechen.
Inkraftsetzung / Schweizer Referendum und Einführung
Die Einführung der E-ID musste verschoben werden, da das Schweizer Wahlvolk das E-ID-Gesetz 2021 in einem Referendum ablehnte. Eine wesentliche Sorge waren die Auswirkungen auf die Privatsphäre, wenn Privatunternehmen sensible persönliche Daten von Bürger*innen verwalten.
Kein Zweifel: Die Digitalisierung ist der richtige Weg. Eine staatliche E-ID wird das Leben der Bürger*innen einfacher machen – egal ob sie mit staatlichen Behörden oder mit Privatunternehmen zu tun haben. Daher ist es keine Überraschung, dass die EU und die Schweiz mit Hochdruck an der E-ID arbeiten.
Zurzeit konzentriert sich die Schweiz auf das überarbeitete E-ID-Gesetz, die EU ist mit der Kompatibilität der E-ID-Lösung zwischen den Mitgliedstaaten beschäftigt. Beide müssen auf ihrem Weg noch ein paar offene Fragen klären wie die Akzeptanz und die Überidentifizierung.
Während innerhalb der EU Deutschland, Österreich und Estland bereits eine E-ID anbieten, verfügen andere Länder nur über eine Lösung im Anfangsstadium oder fangen gerade bei Null an. In der Schweiz wird die E-ID ab 2026 eingeführt, da der Gesetzeserlass in direkten Demokratien etwas mehr Zeit beansprucht.