Bessere Kontrolle

Inhaltlich verschärfte der Ständerat jedoch die Vorschriften im Sinn der Kritiker, insbesondere mit der Einführung der E-ID-Kommission (EIDCOM). Statt der Verwaltung soll dieses unabhängige Gremium die Herausgeber der E-ID, die so genannten Identity Provider (IdP), zulassen und überwachen.

Das Verbot, die E-ID auf Dritte zu übertragen, hat der Ständerat aus dem Gesetz gestrichen, ebenso die erhöhte Sorgfaltspflichten für die Nutzerinnen und Nutzer. Die Vorschriften zur Datenweitergabe wurden verschärft. Zudem soll der Bund selber ein E-ID-System betreiben oder sich an einem solchen beteiligen können.

Das umstrittene Konzept jedoch bliebt unangetastet: Aufgabe des Staates ist es, die Identität einer Person mithilfe von Angaben aus den Informationssystemen des Bundes amtlich zu überprüfen und den IdP zu bestätigen. Diese geben die E-ID heraus.

Den Träger lässt das Gesetz offen. Denkbar sind gängige elektronische Identifizierungsmittel wie Mobiltelefone oder Smartcards, aber auch Lösungen mit Nutzername, Passwort und allenfalls weiteren Authentifizierungen.  Vorgesehen sind drei Sicherheitsniveaus: niedrig, substanziell und hoch. Für das tiefste Schutzniveau werden mit der E-ID-Registernummer Namen, Vornamen und das Geburtsdatum verbunden. Die Registrierung erfolgt online gestützt auf einen staatlichen Ausweis.

Beim Sicherheitsniveau «substanziell» kommen Geschlecht, Geburtsort und Staatsangehörigkeit hinzu. Zudem ist eine persönliche Vorsprache oder eine Videoidentifikation nötig. Dieses Sicherheitsniveau verlangt mindestens eine 2-Faktor-Authentifizierung, wie sie heute für E-Banking-Lösungen üblich ist.

Nur für das Sicherheitsniveau «hoch» ist ein Gesichtsbild nötig. Zudem wird ein biometrisches Merkmal und die Echtheit des Ausweises geprüft. Mindestens ein Faktor der Zwei-Faktor-Authentifizierung muss biometrisch sein. Das Sicherheitsniveau «hoch» soll auch Schutz vor Cyberangriffen bieten.

Die Nutzung der E-ID bleibt freiwillig. Im E-Commerce können damit die Kundinnen und Kunden eindeutig identifiziert werden. Die E-ID soll auch Zugang zum elektronischen Patientendossier gewähren und einen sicheren Behördenkontakt ermöglichen. Die Vorlage geht nun zurück an den Nationalrat.