Elektronische Identifizierungsdienste

Bundesgesetz über elektronische Identifizierungsdienste (Geschäft Nr. 18.049) Stellungnahme privatim vom 4. Oktober 2018

Aufgrund der weitreichenden Auswirkungen nimmt privatim zum aktuellen Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) wie folgt Stellung.

E-ID-Registrierungsnummer

Antrag

Der Einsatz und die Verwendung der E-ID-Registrierungsnummer sei einzuschränken. Die E-ID-Registrierungsnummer soll ausschliesslich für die Kommunikation zwischen dem Bund und den IdP sowie unter den IdP verwendet werden dürfen.

Begründung

Die E-ID-Registrierungsnummer identifiziert eine Person eindeutig über alle Institutionen, mit welchen sie digitale Geschäfte abwickelt. Im vorliegenden Gesetzesentwurf bleibt die Nummer ab dem Zeitpunkt der Ausstellung der E-ID unverändert bestehen und wird von allen E-ID-verwendenden Diensten ohne Einschränkung genutzt. Entsprechend kann diese gar für weitere Zwecke genutzt werden. Dies entspricht somit einer eindeutigen ID, die sowohl von staatlichen als auch von privaten Leistungsanbietern genutzt werden kann. Finden die E-ID die erhoffte Verbreitung, ist davon auszugehen, dass es ein «faktischen Zwang» zur Nutzung der E-ID bei digitalen Angeboten entsteht. In der Folge birgt die «unkontrollierte Verwendung» der E-ID-Registrierungsnummer das Risiko der Vernetzung von Personendatensätzen zwischen einzelnen Systemen (wie dies beispielsweise auch in Kapitel 1.2.6.3 der Botschaft zum Bundesgesetz über elektronische Identifizierungsdienste bezüglich der AHVN13 beschrieben ist).

Diese Regelung steht im Widerspruch zu bestehenden Gesetzen. So regelt beispielsweise das Bundesgesetz vom 19. Juni 2015 über das elektronische Patientendossier (EPDG, SR 816.1), dass die nationale Patientenidentifikationsnummer von Gemeinschaften, Stammgemeinschaften und Zugangsportale als ein Merkmal zur Identifikation von Patientinnen und Patienten verwendet wird (Art. 5 Abs. 1 EPDG), ausserhalb des Anwendungsbereichs des EPDG jedoch ausschliesslich im Gesundheitsbereich eingesetzt werden darf (Art. 6 Abs. 1 EPDG). In der Botschaft zum Bundesgesetz über elektronische Identifizierungsdienste wird im Kapitel 1.2.3 der Bereich E-Health als sinnvolles Einsatzgebiet für die E-ID als Identifizierungsmittel aufgeführt. Wird die E-ID beim EPDG genutzt – und die E-ID-Registrierungsnummer kann ohne Einschränkung frei verwendet werden –, wird der gewünschte Nutzen der sektoriellen Identifikatoren (Patientenidentifikationsnummer) des EPD hinfällig.

Die systematische Verwendung der Versichertennummer (AHVN13) unterliegt ebenfalls strikten Vorgaben, wie dieser eindeutige sektorielle Personenidentifikator geschützt werden muss. In einem vom Bundesamt für Justiz (BJ) und vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Auftrag gegebenen Gutachten der ETH Zürich vom 27. September 2017 kommt Prof. Dr. David Basin aufgrund einer umfassenden Risikoanalyse zum Schluss, dass der kontinuierliche Ausbau der AHV-Nummer zum universellen Personenidentifikator mit hohen Risiken für die Grundrechte und die Persönlichkeitsrechte der Bürgerinnen und Bürger verbunden ist. Diese Risiken lassen sich substantiell nur reduzieren, wenn (wie beispielsweise beim elektronischen Patientendossier oder beim Handelsregister) sektorspezifische Identifikatoren eingesetzt werden und die Verknüpfung des Identifikators mit den weiteren Personendaten nur über einen gesicherten Prozess erfolgt.

Das Postulat «Sicherheitskonzept für Personenidentifikatoren» (Nr. 17.3968) beauftragt den Bundesrat aufzuzeigen, wie den Risiken begegnet werden kann, die mit der Verwendung der dreizehnstelligen AHV-Nummer (AHVN13) als einziger Personenidentifikationsnummer verbunden sind. Der Bundesrat beantragt die Annahme des Postulates und hält fest, dass seit der Einführung der AHV-Nummer im Jahr 2008 eine starke Ausweitung der systematischen Verwendung zu beobachten ist. Er hat das Eidgenössische Departement des Innern beauftragt, eine Vernehmlassungsvorlage zu Änderungen der Bestimmungen des AHV-Rechts vorzulegen, mit der die systematische Verwendung der AHVN13 im Behördenverkehr unter klar definierten Bedingungen geregelt wird. Der Bundesrat erwähnt in diesem Zusammenhang auch das bereits oben erwähnte Gutachten von Prof. Basin. Solange zu dieser Problematik noch nicht abschliessend Stellung genommen wurde, soll die AHV-Nummer nicht verwendet werden.

Sektorielle Personenidentifikatoren erschweren es, personenbezogene Informationen über Systemgrenzen zusammenzuführen.

Rechte und Pflichten der Betreiberinnen von E-ID-verwendenden Diensten

Antrag:

Die Rechte, Pflichten und Voraussetzungen für Betreiberinnen von E-ID-verwenden­den Diensten seien bezüglich der Informationen, die sie im Rahmen des E-ID-Gesetzes bearbeiten, zu konkretisieren (Art. 20 ff. E-ID-Gesetz). Hierbei muss insbesondere die Datensparsamkeit, die Sperrung der E-ID, die Vernichtung und die Weitergabe von Informationen, der Speicherort und der Umgang mit Subcontracting geregelt sowie Mindestanforderungen zum Sicherheitsniveau und zu technischen und organisatorischen Massnahmen klarer definiert werden.

Begründung:

Das E-ID-Gesetz regelt Anforderungen, Pflichten sowie die Aufsicht und Kontrolle der IdP. Im vorliegenden Gesetzesentwurf wird die Verantwortung für ein ausreichend sicheres Bearbeiten von E-ID-Informationen durch Betreiberinnen von E-ID-verwendenden Diensten nicht weiter geregelt. Dieser Aspekt wird an den IdP delegiert (Art. 20 E-ID-Gesetz). Ein ausreichender Schutz der bearbeiteten Informationen (Personendaten) über den Gesamten Prozess kann mit dieser Lücke im Gesetz nicht ausreichend sichergestellt werden.

Stellungnahme als PDF

Verwandte Artikel

Why Should Americans Care... We are all in this together, argues Tim Edgar in this opinion piece: In the digital age, the only way to protect the privacy of Americans is to protect
Cloud Computing im Schulb... Microsoft passt Vertragsbedingungen für Bildungsinstitutionen an privatim hat einen Durchbruch bei der Umsetzung der datenschutzrechtlichen Vorgaben bei Standardprodukten im Cloudbereich erreicht: Microsoft passt seine Vertragsbedingungen für Bildungsinstitutionen
digma 2013.4 Aus den Datenschutzbehörden Die letzten News aus den Datenschutzbehörden aus dem Jahr 2013 berichten von der Studie über den Einsatz von Videoüberwachung im Kanton Genf sowie über die
Digitalisierung braucht w... Am heutigen ersten Schweizer Digitaltag werden zu Recht die Chancen der Digitalisierung hervorgehoben. privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, bekräftigt die Wichtigkeit der Digitalisierung für die Schweizer
Vernehmlassung Erwachsene... Mit den vorgeschlagenen Änderungen im Erwachsenenschutzrecht sollen Einschränkungen der Handlungsfähigkeit im Betreibungsregisterauszug ersichtlich werden. privatim lehnt diese Änderungen ab. Vernehmlassungsantwort als PDF
digma 2017.1 Beiträge in «Digma: Zeitschrift für Datenrecht und Informationssicherheit», No.1/2017, Schwerpunkt Datenschutzreform «Souveräner Datenschutz ist notwendig» Die Totalrevision des Datenschutzgesetzes ist zu begrüssen. Sie versteckt sich aber hinter dem (notwendigen) Nachvollzug
Anzahl entdeckter Softwar... Im Jahr 2017 hat die Zahl der weltweit registrierten Software-Sicherheitslücken einen neuen Höchststand erreicht, wie eine Auswertung des Potsdamer Hasso–Plattner-Instituts (HPI) ergab. 26.1.2018, Hasso-Plattner-Institut
Wie Online-Portale datens... In der digitalisierten Verwaltung sind Online-Portale die Schnittstelle zwischen der Verwaltung und den Bürgerinnen und Bürgern. Die heutigen Technologien ermöglichen es, Dienstleistungen rund um die Uhr anzubieten
Bundesgesetz über Vorlä... Vernehmlassungsantwort privatim
digma 2011.1 Aus den Datenschutzbehörden Die News in digma 2011.1 berichten von der Stellungnahme der Joint Supervisory Authority of Schengen zum Thema «Hotelmeldescheine», berichten zum Thema «live@edu» und enthalten