Werden Nutzer einen elektronischen Pass akzeptieren, wenn dieser durch Unternehmen ausgegeben wird? Oder gehören Pass und ID zu den hoheitlichen Aufgaben des Staates? Die Swiss Data Alliance lud letzte Woche zu einem Informationsanlass, um “ihre Position zur E-ID den interessierten Organisationen, Unternehmen und Personen präsentieren und zur Diskussion” zu stellen, wie es in der Einladung heisst.

Wer eine Identität feststellen und diese als Pass oder “elektronisches Identifizierungsmittel” (E-ID) bestätigen darf, ist nach Ansicht der Veranstalterin eine zentrale Frage des E-ID-Gesetzes, das sich zurzeit in Vernehmlassung befindet.

André Golliez, Präsident von OpenData.ch, hielt zu Beginn der Veranstaltungen fest, der NZZ-Artikel zur Elektronischen Identität habe einige Aufmerksamkeit auf das Thema geleitet. Dennoch sollte dieser Anlass in kleinem Rahmen bleiben und insbesondere auf Punkte hinweisen, die der Swiss Data Alliance wichtig seien.

Elektronische ID ab Geburt

Soll jede Person mit der Geburt eine Elektronische ID erhalten? Ein Votum bejahte dies, was die heute fehlende Pflicht, einen Ausweis besitzen zu müssen, eventuell infrage stellen könnte. Ein anderer Beitrag stellte in den Vordergrund, dass es eine elektronische ID ähnlich wie die heutige Identitätskarte geben müsse, egal wer diese herausgebe.

Ein Überblick der Technik und des heutigen Standes der internationalen E-ID-Bemühungen verschaffte Reinhard Riedl, Professor an der BFH. Die rechtlichen Grundzüge präsentierte Christian Laux, Vizepräsident der Swiss Data Alliance.

E-ID-Gesetzesentwurf sieht ID-Herausgabe durch Private vor

Die Swiss Data Alliance kritisiert, dass der Bund keine eigene E-ID herausgeben will, sondern gemäss “Konzept 2016” des EJPD (PDF, S. 2) “vielmehr geeignete E-ID-Systeme des Marktes auf drei verschiedenen Sicherheitsniveaus staatlich anerkennen und beaufsichtigen kann”. In der Diskussion wurde betont, es sei zu unterscheiden zwischen der Bestätigung der persönlichen Identität und beispielsweise dem Vertrieb oder der Herstellung. Für letzteres würden bei der heutigen physischen Identitätskarte ja auch Private beigezogen.

Erwartungsgemäss wurde mehrfach der Vergleich mit der SuisseID hergestellt. Diese habe sich nicht durchsetzen können, weil sie als zu teuer und unnötig erachtet worden sei.

Interessanterweise bestätigte der anwesende Vertreter des EJPD, dass der Bund für die neue E-ID weiterhin ein “pay-per-use”-Modell für die Verrechnung der staatlichen Leistungen an die Marktteilnehmer vorsehe. Der Bund solle also den Identitätsdienstleistern (IdP) nur dann Gebühren in Rechnung stellen, wenn die IdP tatsächlich Attribute abrufen (vgl. auch Konzept S. 50). Zwar werde offen gelassen, wie die IdP ihre Kosten dem Benutzer verrechneten. Damit würde nur ein kleiner Teil der Effizienzgewinne abgeschöpft.

Dies löste aber eine Diskussion aus, ob nicht zuletzt durch dieses Gebührenmodell die E-ID eine weitere “Totgeburt wie schon die Suisse-ID” werde. Die privaten Identitätsdienstleister müssten ja auf die eine oder andere Art Gebühren verrechnen können. Letztlich würde dies in irgend einer Form auf Endkunden abgewälzt. Die heutige physische ID-Karte werde hingegen mit einer relativ günstigen Einmalzahlung (Prepaid-Modell) durch die/den Inhaberin bezahlt. Allerdings wäre anzumerken, dass die SuisseID heute mit ebendiesem Prepaid-Modell angeboten wird. Die Frage, wie oder warum sich die neue E-ID (nicht) durchsetzen werde, oder weshalb umgekehrt die SuisseID bisher keine wesentliche Verbreitung erzielt hat, konnte letztlich nicht beantwortet werden.

Grundsatzfragen ungeklärt?

Zur Frage eines Dienstleister-Vertreters, was denn die Alternative zum kritisierten E-ID-Gesetz sei, sagte Golliez, dieses Gesetz baue tatsächlich auf nicht geklärten Grundsatzfragen auf. Ob der Bund die Hoheit über die Identität haben solle oder welche Rolle die Kantone (welche heute die Passstellen führen) hätten, seien ein Teil der Diskussion, welche nach Rückweisung des E-ID-Gesetzes-Entwurfes rasch geführt werden müsse.

Kommentar

Tatsächlich schien sich die Diskussion stark um diesen einen Aspekt der Identitäts-Bestätigung zu drehen. Nicht diskutiert wurden eventuell heute vorhandene Probleme, die mit einer künftigen E-ID vermieden werden sollten: Wo im heutigen, ansatzweise vorhandenen “E-Government”, im E-Commerce oder beim E-Banking besteht bei der Identitäts-Feststellung Anpassungsbedarf? Noch grundlegender: was ist der mutmassliche Bedarf seitens Anbieter und Kundschaft?

Im Konzept des Bundes werden einige Anwendungsfälle wie E-Commerce oder E-Payment genannt. Vorteile seien etwa die Vereinfachung für Inhaber. Denn dann müssten sie “sich nicht mit x-verschiedenen unterschiedlichen Benutzernamen und Passworten herumschlagen” (S. 54). Bei Mobile Payment könne die “Anwendung schnell freigeschaltet und genutzt werden” (S. 55). Natürlich werden weitere Einsatzbereiche genannt, deren Anwendung mit einer E-ID durchaus verbessert werden könnten. Ob dies für eine grosse Akzeptanz und Verbreitung reicht, kann man zumindest als nicht beantwortete Frage ansehen.

Im B2C E-Commerce besteht ein Element der Identifizierung faktisch häufig aus der Adressvalidierung mittels erfolgreicher Zustellung des bestellten Artikels. Bei Dienstleistungen ist streng genommen eine eindeutige Identifizierung im engeren Sinn teilweise nicht einmal notwendig. Insbesondere die Voraus-Bezahlung einer Leistung oder die positive Zahlungshistorie bei wiederholten Bestellungen ist aus Sicht des Anbieters oft genügend. Aber selbst beim Bezahlungs- oder Forderungsmanagement bedeutet eine Identitäts-Feststellung zuerst einmal kaum, dass damit ein Kreditwürdigkeits-Nachweis verbunden wäre. Falls diese Verknüpfung mit vorhandenen Bonitäts-Datenbanken dereinst doch gemacht werden sollte, dann wären allerdings weitere Grundsatzfragen zu klären.

(Digi-Oek.ch/wue - edit: kleinere Korrekturen)