E-ID Abstimmung
Ist die E-ID nun der «digitale Pass»? – Eine Klärung
Um die Frage, was eine E-ID ist, entstand eine hitzige Diskussion. In einem Satz beantwortet werden kann sie nicht. Denn es gibt rechtliche wie auch praktische Aspekte. Und es ist eine Frage der internationalen Entwicklung. Die in Europa betrifft die Schweiz direkt.

Yves Flückiger  28.01.2021 / Update 11.02.2021

Gegen das Bundesgesetz über elektronische Identifizierungsdienste (BGEID) wurde das Referendum ergriffen. Die Gegner sprechen dabei vom «digitalen Pass», in Anlehnung an das rote Passbüchlein. Damit unterstreichen sie, dass sie die Ausstellung der E-ID als eine hoheitliche Aufgabe des Staates verstehen. Doch die Geschichte zuerst erzählt hat ausgerechnet die Post. Auf einer Webseite verwendet sie ebendiese Analogie in Wort und Bild: die «SuisseID» als der «digitale Pass», illustriert mit dem Schweizer Passbüchlein. Der Betrieb der «SuisseID» wird Ende 2021 eingestellt. Sie gilt als Vorgängerin der künftigen Schweizer E-ID.

Die Post ist Teil der privaten SwissSign Group und setzt sich für das neue Gesetz ein. Denn SwissSign hätte bei Annahme des Gesetzes gute Chancen, sich als Marktführerin der neuen Schweizer E-ID zu etablieren. Daher ist den Befürwortern des Gesetzes die Analogie mit dem Pass ein Dorn im Auge. Selbst der Begriff «Ausweis» wird tunlichst vermieden. Das Wording scheint genau abgestimmt: Man spricht von einem «Log-in», genauer von einem «sicheren, universellen Log-in». Unter «Log-in» versteht man landläufig eine Kombination aus Benutzernamen und Passwort. Wozu also so viel Aufhebens?

Eine Spur legt die Vorsteherin des EJPD, Bundesrätin Karin Keller-Sutter. Sie spricht von einem «qualifizierten Log-in». Das beschreibt ein Log-in mit Identitätsnachweis. Der Identitätsnachweis ist der eigentliche Vorgang, der die E-ID betrifft. Doch dieser Identitätsnachweise ist nicht zwingend an ein Log-in geknüpft. Das «Log-in» ist nur eine der möglichen Anwendungen einer E-ID. Die E-ID identifiziert die Person, während das Log-in lediglich eine Authentifizierung ist.

Innerhalb des EJPD zuständig für die E-ID ist das Bundesamt für Polizei fedpol. In seinem Konzept zur Schweizer E-ID steht: «eine eID dient zum Nachweis der eigenen Identität in der virtuellen Welt, vergleichbar mit Identitätskarte oder Pass in der physischen Welt.» Ausgearbeitet wurde das Konzept vom Fachbereich «Weiterentwicklung Ausweise». Von derselben Stelle also, welche 2010 den biometrischen Pass einführte (E-Pass).

Die Einschätzung des Fachbereichs spiegelt die praktische Nutzung einer E-ID. Sie wird zentral sein für den Bezug von eGovernment-Dienstleistungen mit Ausweispflicht: zum Beispiel beim Bestellen eines Auszugs aus dem Betreibungsregister oder zum Abfragen und Bearbeiten der eigenen Steuerdaten. Aber auch für die Wahrnehmung von Bürgerrechten in einer digitalen Demokratie: Stichworte dazu sind eCollecting und eVoting. Die Botschaft zum BGEID nimmt auch Bezug auf das elektronische Patientendossier EPD. Die E-ID soll mittelfristig die im Bundesgesetz EPDG vorgesehenen Identifikationsmittel ablösen. Die E-ID wird also der universelle Ausweis bei allen persönlichen Geschäften eines Staatsbürgers. Daher sollen per Gesetz auch «alle Behörden oder andere Stellen, die öffentliche Aufgaben erfüllen» verpflichtet werden, die E-ID zu akzeptieren.

Im Bereich eCommerce hingegen besteht selten eine Ausweispflicht. Ausnahmen sind zum Beispiel der Alkoholkauf über das Internet oder der Abschluss eines Mobilevertrages. Daher ist die Vermarktung der E-ID als «universelles Log-in» problematisch. Denn benutzt man seinen Ausweis oft und unnötig, erhöht sich auch das Missbrauchspotential.

Formaljuristisch ist die E-ID noch kein Ausweis im Sinne des Ausweisgesetzes AwG. Dazu fehlen unter anderem Attribute wie zum Beispiel die Unterschrift. Doch auch die elektronische Unterschrift (gemäss Bundesgesetz über die elektronische Signatur – ZertES) soll schon bald Teil des Ökosystems werden. Das war schon bei der alten «SuisseID» der Fall. Denn ohne digitale Identität kann es keine digitale Unterschrift geben. Daher sind auf europäischer Ebene die digitale Identität und die digitale Unterschrift in einer Verordnung geregelt.

Ein Update erhielt das AwG mit der Einführung des Datenchip auf dem biometrischen Pass (E-Pass). Gleichzeitig wurde ergänzt, dass ein Ausweis nach AwG elektronische Identitäten enthalten kann. Sobald nun die elektronische Identität dieselben Attribute beinhaltet wie ein Ausweis nach AwG, sind sie gleichwertig. Eine E-ID soll auf Sicherheitsstufe «hoch» mindestens ein biometrisches Merkmal enthalten, wie der E-Pass. Ist die E-ID in der Schweiz erst etabliert, wäre es plausibel, das AwG erneut anzupassen: damit die Gesetzgebung und die praktische Verwendung einer E-ID übereinstimmen.

Das weiss man beim fedpol. In seinem Konzept 2016 zur Schweizer E-ID zeigt es, wo der Einsatz der E-ID absehbar ist. Nebst E-Health oder elektronischen Unterschriften (bereits Teil der alten SuisseID) ist ein ganzes Kapitel den E-Ausweisen gewidmet: Diese seien «elektronische Pendants zu physischen hoheitlichen Ausweisen wie Pass, Identitätskarte oder auch Führerausweis». Dabei «wirken die Verfahren und Sicherheitsmechanismen einer klassischen staatlich anerkannten E-ID». Und das fedpol prognostiziert, dass «die für E-Ausweise notwendigen zusätzlichen Funktionen ohne grossen Aufwand seitens IdP ... umgesetzt werden können.»

Eines der grössten Missverständnisse besteht ja darin zu glauben, die Nutzung eines digitalen Ausweises sei auf den digitalen Raum beschränkt. Bereits heute findet man am Markt E-ID Lösungen, welche die Nutzung einer E-ID in der physischen Welt, in alltäglichen Situationen ermöglichen. Basierend auf der E-ID erlauben diese einen Personenausweis, der zum Zeitpunkt der Nutzung digital erzeugt und angezeigt wird. Er zeigte der kontrollierenden Person via QR Code nur gerade die Information, welche sie für die Personenkontrolle benötigte. Beim Eintritt in ein Lokal ab 18 Jahren zum Beispiel reichte dazu das Foto und die Altersbestätigung des Inhabers oder der Inhaberin.  

Während in der Schweiz die für das Dossier zuständige Ministerin die E-ID als «Log-in» abtut und die E-ID von der Identitätskarte (IDK) künstlich abgrenzt, bereitet man sich in Europa auf die Zukunft vor. Die Gleichwertigkeit von analogen Ausweisen und digitalen Identitäten wurde da längst erkannt. Die «Ausweisfunktion» der E-ID wird daher auf den staatlichen Internetseiten hervorgehoben. Österreich, das am Start zur dritten Generation E-ID steht – diesmal soll es eine rein staatliche Lösung sein – will die E-ID künftig automatisch mit dem Pass abgeben. Belgien lancierte 2020 bereits die zweite Generation Personalausweis, welche nur noch kurz «eID» heisst – als wollte man den analogen Teil des Ausweises vergessen machen. Der Ausweis beinhaltet einen RFID-Chip und mit dem digitalen Fingerabdruck nebst dem Foto ein zweites biometrisches Merkmal. Mit dieser eID erhält man in Belgien unter anderem Zugang zum zentralen Zugangsportal der Online-Dienste des Staates (CSAM). Deutschlands elektronischer Personalausweis «ePerso» wiederum galt bereits als eine der sichersten eID Lösungen. Nun folgt mit dem Projekt «Optimos» die Möglichkeit einer digitalen Kopie des Personalausweises auf dem Smartphone. Die Pilotphase startet 2021. Diese staatliche eID ist der Kern eines künftigen eID Ökosystems für Bürger, Staat und Wirtschaft. So sollen etwa auch andere Ausweise angefügt werden können, wie zum Beispiel der Führerausweis. Aber auch Qualifikationen oder relevante Nachweise wie Urkunden oder Zeugnisse. Es ist die endgültige Verschmelzung von digitalen und analogen Ausweisen. Geht es nach der Kanzlerin, soll Deutschlands Projekt die Vision für digitale Identitäten in ganz Europa werden.

Die EU-Verordnung Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste (eIDAS) regelt unter anderem die gegenseitige Anerkennung der ländereigenen eID-Systemen. Der länderübergreifende Zugang zu Onlinediensten erfolgt über sogenannte eIDAS Länderknoten. Damit erhalten bereits heute EU-Bürger verschiedener Länder etwa Zugang zu Österreichs eGovernment Portal. Das «EU-Log-in» führt die verschiedenen eID-Systeme Europas zusammen, damit sich Bürger in anderen Ländern mit ihrer jeweiligen nationalen eID identifizieren können. Gemäss dem E-ID Konzept des Fedpol und der Botschaft zum Gesetz ist eine Notifizierung der Schweiz E-ID nach eIDAS vorgesehen. 

Dieses Ziel verfolgt auch Liechtenstein. Als enger Nachbar der Schweiz ist Liechtenstein ständiger Gast in verschiedenen kantonalen Konferenzen. Trotzdem geht das Land bei der E-ID einen anderen Weg als die Schweiz. Es hat im April 2020 seine rein staatliche E-ID in Betrieb genommen. Als Mitglied des EWR wird Liechtenstein seine E-ID unweigerlich rascher nach eIDAS notifizieren lassen können als die Schweiz, die dafür erst einen Staatsvertrag benötigte. Doch auch der Umstand, dass in der Schweiz mehrere rein private Lösungen koexistieren sollen, wird zuweilen kritisch beurteilt. Jedes System müsste wohl einzeln notifiziert werden. Zudem gilt im europäischen Kontext der Staat als der «trust-anchor»: Das heisst, der Schweizer Staat haftet, obschon er selbst gar kein System betreibt. Es ist auch noch nicht klar, wer den Schweizer eIDAS Länderknoten betreiben würde. Dazu bräuchte es erst eine Änderung des BGEID, das noch nicht mal in Kraft ist.

Lichtenstein hat also gute Chancen, früher als die Schweiz seine «europäische E-ID» anzubieten. Auch sonst scheint sich das kleine Land gut auf die Digitalisierung vorzubereiten. In einem dem Bürger einfach zugänglichen und verständlichen Dokument beschreibt es seinen Weg dorthin. Die «Digitale Agenda Liechtensteins» definiert das Ziel «digital by default». Die eID wird dabei als «staatlicher Basisdienst» beschrieben – wie später auch die eSignature, das zweite grosse Thema der eIDAS Verordnung. Diese Basisdienste sollen auch digitale Geschäftsmodelle ermöglichen, zum Beispiel im Rahmen der FinTech. So will die Regierung Liechtensteins unter anderem «einen digitalen Pass für den Finanzplatz auf der Basis der staatlichen eID einführen». Womit wir wieder beim «Pass» sind.

«The future of air travel is… paperless» – auf der Suche nach dem «digitalen Pass» im Sinne eines internationalen Reisedokuments führt der Weg ausgerechnet in die Schweiz. Das World Economic Forum (WEF) startete die Initiative «Known Traveller Digital Identity» (KTDI). In einem Pilotprojekt sollen vorerst Flugpassagiere zwischen Kanada und den Niederlanden ohne herkömmlichen Pass reisen können. Ihre persönlichen Identitätsdaten inklusive biometrischer Merkmale sind verschlüsselt auf dem Mobiltelefon abgelegt. Diese sollen unter jeweiliger Zustimmung des Inhabers sowohl der Fluggesellschaft als auch den zuständigen Behörden digital übermittelt werden. Bedauerlich aus der Sicht der Schweiz ist, als Gastgeberin des WEF nicht Teil dieses Projekts zu sein. 

Angesichts dieser Entwicklungen scheint es müssig, in der Schweiz noch darüber zu debattieren, ob die E-ID nun ein «digitaler Pass» sei. Die Reduktion der E-ID auf ein «sicheres, universelles Log-in» ist aber Mumpitz. Dort eingesetzt, wo gar kein Identitätsnachweis gefordert ist, ist die E-ID nicht sicherer als jedes andere Log-in mit Zweifaktor-Authentifizierung (2FA). Im Gegenteil: kann man ein und dasselbe Log-in überall verwenden, büsst es sogar an Sicherheit ein. Für sichere Log-ins reicht ein Passwortmanager. Das ist auch die datensparsamste Lösung.

Wird eine staatlich anerkannte E-ID hingegen gemäss ihrem Zweck als Identifikationsmittel eingesetzt, hat sie alle Ausprägungen eines staatlichen Ausweises. Auf Sicherheitsstufe «hoch» gar die eines Passes. Das hatte wohl auch die Post erkannt, als sie die Analogie zum Passbüchlein machte. Ein solcher rein elektronischer Pass hätte viele Vorteile. Umso mehr befremdet, dass die Justizministerin soviel Wert darauf legt, die E-ID sei nicht mal vergleichbar mit der Identitätskarte.

Ob die E-ID dereinst als Reisepass gültig sein wird, ist lediglich eine Frage internationaler Verträge und der Anpassung einzelner Gesetzgebungen. Angesichts der aktuellen Dynamik in den Ländern der EU zum Thema elektronische Identitäten könnte die E-ID jedenfalls rasch an Bedeutung gewinnen. Die Schweiz täte gut daran, sich an diesem internationalen Prozess zu beteiligen.

Ohne Zweifel: Die E-ID ist der Ausweis der Zukunft – einsetzbar im digitalen wie im physischen Raum, in der Schweiz und im Ausland. Diese Einsicht kann dem Staatsbürger die Frage beantworten, ob nicht doch besser der Staat die Schweizer E-ID herausgibt.