Beratung des Bundesgesetzes über elektronische Identifizierungsdienste im Nationalrat am 20.3.2019.
Aus den zustimmenden Voten des Kommissionssprechers und der Kommissionssprecherin:
Philippe Bauer (RL/FDP, NE):
“(…) Le but de cette loi est de promouvoir la sécurité des échanges entre les citoyens, entre les citoyens et les entreprises, entre les entreprises, et avec les autorités publiques. (…)
A l’issue des travaux, la majorité de la commission est convaincue que:
a. l’introduction de l’E-ID permettra de s’enregistrer simplement, de manière sûre sur un site Internet, qu’il soit d’ailleurs privé ou public, et que de ce fait il sera vraisemblablement possible de voir disparaître toutes les calculatrices et autres adresses et codes que nous détenons;
b. l’identification électronique sera aussi un plus dans le cadre de la cybersanté, plus particulièrement dans le cadre du dossier électronique du patient pour là aussi avoir une identification sûre et certaine des personnes susceptibles de consulter leur dossier électronique;
c. il est bien que le support sur lequel l’E-ID sera enregistrée ne soit aujourd’hui pas défini. Cela pourrait être une carte à puce ou quelque chose de complètement dématérialisé. Il pourra peut-être y avoir des mots de passe, peut-être un code unique, peut-être un nom d’utilisateur, que sais-je encore? Car finalement le fait aujourd’hui de rester très générique dans la création de l’identité électronique permettra sans aucun doute de suivre l’évolution très rapide du monde numérique et de conserver, comme on le dit en tactique militaire, la plus grande liberté de manoeuvre possible;
d. il est bien d’avoir prévu dans le projet de loi trois niveaux d’identification, trois niveaux de sécurité dans l’identification – un niveau de sécurité faible, peut-être pour accéder à un certain nombre de données peu sensibles, un niveau substantiel et finalement un niveau élevé.
Enfin, la commission est également convaincue, et je l’ai déjà dit, qu’il est heureux que la loi pose un cadre strict en matière de protection des données, tant pour ce qui concerne la finalité de la loi et les conditions de traitement de l’information, que pour ce qui relève de la communication des données. (…)
Pour la majorité de la commission, il est nécessaire que l’Etat vérifie et confirme officiellement aux fournisseurs d’E-ID l’identité de la personne. Il s’agit là d’une tâche régalienne. Il est aussi nécessaire que l’Etat vérifie les systèmes d’exploitation qui permettent de délivrer des E-ID et les reconnaisse de manière à assurer la sécurité des données, de manière à assurer la sécurité des personnes. Par contre, et toujours pour la majorité de la commission, il appartient au secteur privé de produire les supports technologiques nécessaires et de les faire évoluer à la vitesse où évoluent les systèmes informatiques. Le Conseil fédéral partage d’ailleurs cette préoccupation, convaincu qu’il est, dans son rapport, qu’il n’est pas possible, pour l’administration, de concevoir, de gérer et de faire évoluer le système technologique nécessaire. Enfin, il appartient aussi au secteur privé d’exploiter les systèmes E-ID – et je dis bien les systèmes E-ID, puisque plusieurs pourront être concurrents, étant toutefois entendu que chacun devra être interconnecté avec les autres – et de remettre les E-ID aux futurs utilisateurs.
Pour la majorité de la commission, il s’agit de la solution optimale. La proposition de renvoi a été rejetée par 16 voix contre 7 et 2 abstentions. (…)”
Andrea Gmür-Schönenberger (CVP, LU):
“(…) Im Rahmen ihrer Beratung zum sogenannten E-ID-Gesetz hat unsere Kommission zunächst Anhörungen durchgeführt und sich mit der generellen Stossrichtung des Gesetzes befasst. Die vorgesehene Aufgabenteilung zwischen Staat und privaten Anbietern befürwortet unsere Kommission. Dank der staatlichen Überprüfung der Personen und der staatlichen Anerkennung der E-ID-Dienste soll sich die E-ID zu einem vertrauenswürdigen und sicheren Instrument der digitalisierten Gesellschaft entwickeln, das sich selbst jedoch der dynamischen technischen Entwicklung nicht verschliesst.
Die konkreten Träger der staatlich geprüften und bestätigten E-ID möchte der Bund aber weder selber entwickeln noch ausstellen. Dies sollen Anbieter tun, die näher an den Nutzenden wie auch an den digitalen Technologien sind. Die Anerkennungsstelle soll beim Informatiksteuerungsorgan des Bundes angesiedelt werden. Verschiedene Schweizer Unternehmen haben ein Gemeinschaftsunternehmen gegründet und sind daran, eine E-ID – eine Swiss ID – auf den Markt zu bringen.
Ein wichtiges Anliegen des Gesetzes ist der Datenschutz, der im E-ID-Gesetz teils noch verschärft wurde. Personenidentifizierungsdaten dürfen ausserhalb eines E-ID-Einsatzes nie weitergegeben werden. Die Hoheit über den Einsatz und die Freigabe der Daten liegt stets bei der betroffenen Person. Die Transaktionsdaten, zum Beispiel, was zu welchem Preis gekauft wurde, gehen nicht zum Identitätsdienstleister. Dieser weiss nur, dass eine Transaktion abgelaufen ist. Eine zusätzliche Sicherheit stellt die Trennung der Personenidentifizierungsdaten und der Daten zur Nutzung der E-ID dar. So ist es nicht möglich, auf alle Daten eines Inhabers einer E-ID zuzugreifen. Datenschutz- und Datensicherheitsanforderungen werden für die Nutzerinnen und Nutzer sichergestellt.
Die Rolle des Bundes bei der Ausstellung von elektronischen Identitäten soll sich auf die Überprüfung und Bestätigung der Identität einer Person beschränken. Eine Minderheit möchte darüber hinaus im Gesetz verankern, dass der Bund selbst ein E-ID-System betreiben oder sich an Unternehmen beteiligen kann, welche zum Zweck haben, E-ID auszustellen. (…)
Der Staat führt die Register mit den Daten, die zur Identifikation nötig sind. Private sollen dementsprechend Karten, USB-Sticks oder Apps entwickeln und herausgeben. Der Staat gibt also seine Kernaufgabe bei der Ausstellung einer E-ID nicht aus der Hand. Er wird weiterhin für die amtliche Prüfung und Bestätigung der Existenz einer Person und für die Festlegung der Identitätsmerkmale zuständig sein. Eine solche Identitätsstelle wird bei Fedpol angesiedelt sein. Sicherheit und Kontrolle sind so gewährleistet.(…)”
Min Li Marti (SP, ZH), begründet als Sprecherin der Kommissionsminderheit den Antrag auf Rückweisung an den Bundesrat:
“Wenn Sie einen Pass beantragen wollen, möchten Sie dann lieber auf das Passbüro oder an den Bankschalter oder in die Migros gehen? Vermutlich ins Passbüro, denn für uns alle ist klar, dass die Herausgabe eines Passes eine staatliche, eine öffentliche Aufgabe ist. Warum sollte das anders sein, wenn dieser Pass nicht in Papierform, sondern elektronisch ist?
Es gibt nur einen Grund: Der Bund traut sich diese Aufgabe selber nicht zu; es steht so selbst in der Botschaft: “Angesichts der Dynamik des technologischen Wandels wäre er jedoch nicht in der Lage, die technischen Trägermittel für die Identifizierung selbst zu entwickeln und herzustellen”. (…)
In der Botschaft und im Gesetz wird suggeriert, dass wir hier einen funktionierenden Markt von verschiedenen E-ID-Anbietern haben. Damit sei gewährleistet, dass die Lösung nahe bei den Nutzerinnen und Nutzern sei und flexibel auf technologische Entwicklungen reagiert werden könne. (…)
Es haben sich alle relevanten Player aus Banken, Versicherungen und staatsnahen Betrieben zu einem Konsortium zusammengeschlossen. Dieses Konsortium Swisssign wird voraussichtlich eine marktbeherrschende oder monopolartige Stellung einnehmen. Sie müssen nicht zehn Semester Volkswirtschaft studieren, um zu wissen, dass Monopole gewisse Gefahren bergen.
Es wäre daher sinnvoll, dass wir auch entsprechend legiferieren. Stattdessen halten wir hier die Fiktion eines Marktes aufrecht. Nur weil die Wirtschaft Druck macht und es schnell gehen soll, entbindet uns das nicht von der Verantwortung, seriös zu arbeiten. Wir haben zur Kenntnis genommen, dass der Bund nicht in der Lage oder vielleicht auch nicht willens ist, dieses Projekt selber an die Hand zu nehmen. Es kann zwar in Zukunft nicht sein, dass alle Service-public-Aufgaben automatisch ausgelagert werden, nur weil sie nicht mehr analog funktionieren.
Aber es würde wohl doch zu lange dauern, um diese Kompetenzen wirklich aufzubauen. Wir haben daher ein Konzessionsmodell vorgeschlagen. Es würde, wie wir es in unserem Rückweisungsantrag fordern, die Ausgabe einer E-ID als öffentliche Aufgabe definieren; diese Aufgabe könnte aber auch als Leistungsauftrag an Private übertragen werden. (…)”
Bundesrätin Karin Keller-Sutter:
“(…) Aufgrund unserer Erfahrungen mit Pass und konventioneller ID ist es, das haben wir gehört, vielleicht emotional naheliegend, dass der Staat auch die E-ID bereitstellt und herausgibt. Erfahrungen in anderen Ländern, vor allem in Deutschland, haben gezeigt, dass rein staatliche Lösungen nicht optimal und nur wenig erfolgreich sind. Solche staatlichen Identifizierungsmittel sind regelmässig zu wenig flexibel und können nicht auf die sich schnell ändernden Bedürfnisse und neuen Technologien reagieren. Aus diesem Grund werden sie von der Wirtschaft oft nicht eingesetzt und können nur im staatlichen Bereich ihre Wirkung entfalten. Damit schwindet aber die Bereitschaft der Nutzerinnen und Nutzer, sie einzusetzen; Internetkontakte der Bürgerinnen und Bürger finden ja in erster Linie im Wirtschaftsbereich statt. Zudem führen Eigenentwicklungen durch den Staat und staatlich abgegebene E-ID in der Regel zu hohen, ungedeckten IKT-Kosten für die öffentliche Hand.
Deshalb sieht das E-ID-Gesetz eine Aufgabenteilung zwischen Staat und Privaten vor. Das Vertrauen in die staatliche Anerkennung und auch die staatliche Aufsicht soll mit dem technologischen Know-how und der Flexibilität privatwirtschaftlicher Akteure verbunden werden: Der Staat führt die Register mit den Daten, die zur Identifikation nötig sind, Private sollen die Karten, USB-Sticks oder E-ID-Applikationen entwickeln und herausgeben.
Der Staat gibt also seine Kernaufgabe bei der Ausstellung einer E-ID nicht aus der Hand, ich glaube, das muss man klarstellen. Der Staat bleibt Herr über seine Register. Die Register sind nicht einfach für Dritte zugänglich, sondern verbleiben beim Staat. Er wird weiterhin für die amtliche Prüfung und Bestätigung der Existenz einer Person und ihrer Identitätsmerkmale zuständig sein. Dies wird Sache der Identitätsstelle sein, welche beim Fedpol angesiedelt werden soll.
Die konkrete Technologie dieser staatlich geprüften und bestätigten digitalen Identität möchte der Bund allerdings weder entwickeln, noch ausstellen. Dies sollen als Hilfsorgane Anbieterinnen tun, die näher an den Nutzern sowie an den Technologien für die Nutzung der digitalen Angebote sind. Auf diese Weise wird auch der Technologiewettbewerb ermöglicht. Das ganze Konzept ist technologieneutral ausgestaltet.
Der Staat soll ferner bei der Zulassung und beim Betrieb eine wichtige Rolle spielen. Er wird im Anerkennungsverfahren die Anbieter genau unter die Lupe nehmen. Die Anerkennungsstelle soll beim Informatiksteuerungsorgan des Bundes angesiedelt werden. Darüber hinaus werden die ID-Provider beaufsichtigt und regelmässig kontrolliert. Mit dieser Aufteilung sorgt das E-ID-Gesetz einerseits für eine praxistaugliche und konsumentenfreundliche Lösung für Verwaltung, Bürger sowie für die Wirtschaft. Andererseits wird so die nötige Flexibilität für technologische Veränderungen gewahrt.
Ich möchte Sie auch hier bitten, die Rückweisung abzulehnen. Sie würde zu einer unnötigen Verzögerung führen – wir würden weitere zwei Jahre verlieren -, und die Schweiz hat ohnehin einen Rückstand in Sachen Digitalisierung; die Schweiz ist kein Frontrunner. Die Wirtschaft, wie auch die Nutzerinnen und Nutzer warten auf eine Lösung. Ich habe es erwähnt und betone es nochmals: Der Bund soll nicht das Kostenrisiko tragen, und er soll auch nicht durch eine staatliche Lösung die Technologie vorgeben.
Noch zum Datenschutz, der zu Recht von Nationalrat Schwander auch erwähnt wurde: Ein wichtiges Anliegen des E-ID-Gesetzes ist der Datenschutz. Bei der Handhabung und Verwendung der digitalen Identität werden die geltenden Datenschutz- und Datensicherheitsbestimmungen eingehalten. Das E-ID-Gesetz verstärkt sogar in einigen Punkten den Schutz gegenüber dem Datenschutzgesetz. Ich möchte hier ein paar wichtige Punkte aufführen: Die Personenidentifikationsdaten dürfen Dritten nur mit ausdrücklicher Einwilligung der Kundinnen und Kunden weitergegeben werden. Die Hoheit über den Einsatz und die Freigabe der Daten liegt ausschliesslich in der Hand der betroffenen Person. Die Transaktionsdaten – zum Beispiel, was zu welchem Preis wann gekauft worden ist – gehen nicht zum ID-Provider. Dieser erfährt nur, dass eine Transaktion durchgeführt wurde, für die die Identifizierung notwendig war.
Das Gesetz sieht zudem spezifische Sicherheitsmassnahmen vor, die in Bezug auf die Gewährleistung der Datensicherheit über die geltenden rechtlichen Anforderungen hinausgehen. So wird etwa verlangt, dass die anerkannten Anbieter die Personenidentifizierungsdaten und die Daten zur Nutzung von E-ID getrennt voneinander halten. Diese Trennung stellt eine zusätzliche Sicherheitsmassnahme dar, damit Unbefugte nicht auf alle Daten über die Inhaber einer E-ID zugreifen können. Weitere Sicherheitsmassnahmen werden in der Verordnung festgelegt. Wir wissen – ich habe das konstruktiv kritische Votum von Nationalrat Schwander gehört und danke ihm dafür -, dass wir hier eine grosse Verantwortung haben. Die Kommission wird konsultiert, und es wird übrigens auch eine Vernehmlassung zur Verordnung geben. Der Stand der Technik wird bei den Sicherheitsmassnahmen auch ein Massstab sein.
Der Bundesrat will mit dem Entwurf klare Regeln für den staatlichen digitalen Identitätsnachweis erlassen. Mit der zunehmenden Anzahl von Geschäften, die virtuell abgewickelt werden, wird eine korrekte Identifikation im Internet immer wichtiger. Sie soll die Nutzung von Internetdienstleistungen einfacher, aber auch sicherer machen. Der Entwurf des Bundesrates schafft solide Rahmenbedingungen für die korrekte und sichere Anwendung einer E-ID, und er ermöglicht die Umsetzung innovativer E-ID-Lösungen, die auf einer Rollenteilung zwischen Staat und Privaten basiert.
Ich möchte Sie bitten, auf den Entwurf einzutreten und den Rückweisungsantrag abzulehnen.”
