Elektronische Identifizierungsdienste

Bundesgesetz über elektronische Identifizierungsdienste (Geschäft Nr. 18.049) Stellungnahme privatim vom 4. Oktober 2018

Aufgrund der weitreichenden Auswirkungen nimmt privatim zum aktuellen Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) wie folgt Stellung.

E-ID-Registrierungsnummer

Antrag

Der Einsatz und die Verwendung der E-ID-Registrierungsnummer sei einzuschränken. Die E-ID-Registrierungsnummer soll ausschliesslich für die Kommunikation zwischen dem Bund und den IdP sowie unter den IdP verwendet werden dürfen.

Begründung

Die E-ID-Registrierungsnummer identifiziert eine Person eindeutig über alle Institutionen, mit welchen sie digitale Geschäfte abwickelt. Im vorliegenden Gesetzesentwurf bleibt die Nummer ab dem Zeitpunkt der Ausstellung der E-ID unverändert bestehen und wird von allen E-ID-verwendenden Diensten ohne Einschränkung genutzt. Entsprechend kann diese gar für weitere Zwecke genutzt werden. Dies entspricht somit einer eindeutigen ID, die sowohl von staatlichen als auch von privaten Leistungsanbietern genutzt werden kann. Finden die E-ID die erhoffte Verbreitung, ist davon auszugehen, dass es ein «faktischen Zwang» zur Nutzung der E-ID bei digitalen Angeboten entsteht. In der Folge birgt die «unkontrollierte Verwendung» der E-ID-Registrierungsnummer das Risiko der Vernetzung von Personendatensätzen zwischen einzelnen Systemen (wie dies beispielsweise auch in Kapitel 1.2.6.3 der Botschaft zum Bundesgesetz über elektronische Identifizierungsdienste bezüglich der AHVN13 beschrieben ist).

Diese Regelung steht im Widerspruch zu bestehenden Gesetzen. So regelt beispielsweise das Bundesgesetz vom 19. Juni 2015 über das elektronische Patientendossier (EPDG, SR 816.1), dass die nationale Patientenidentifikationsnummer von Gemeinschaften, Stammgemeinschaften und Zugangsportale als ein Merkmal zur Identifikation von Patientinnen und Patienten verwendet wird (Art. 5 Abs. 1 EPDG), ausserhalb des Anwendungsbereichs des EPDG jedoch ausschliesslich im Gesundheitsbereich eingesetzt werden darf (Art. 6 Abs. 1 EPDG). In der Botschaft zum Bundesgesetz über elektronische Identifizierungsdienste wird im Kapitel 1.2.3 der Bereich E-Health als sinnvolles Einsatzgebiet für die E-ID als Identifizierungsmittel aufgeführt. Wird die E-ID beim EPDG genutzt – und die E-ID-Registrierungsnummer kann ohne Einschränkung frei verwendet werden –, wird der gewünschte Nutzen der sektoriellen Identifikatoren (Patientenidentifikationsnummer) des EPD hinfällig.

Die systematische Verwendung der Versichertennummer (AHVN13) unterliegt ebenfalls strikten Vorgaben, wie dieser eindeutige sektorielle Personenidentifikator geschützt werden muss. In einem vom Bundesamt für Justiz (BJ) und vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Auftrag gegebenen Gutachten der ETH Zürich vom 27. September 2017 kommt Prof. Dr. David Basin aufgrund einer umfassenden Risikoanalyse zum Schluss, dass der kontinuierliche Ausbau der AHV-Nummer zum universellen Personenidentifikator mit hohen Risiken für die Grundrechte und die Persönlichkeitsrechte der Bürgerinnen und Bürger verbunden ist. Diese Risiken lassen sich substantiell nur reduzieren, wenn (wie beispielsweise beim elektronischen Patientendossier oder beim Handelsregister) sektorspezifische Identifikatoren eingesetzt werden und die Verknüpfung des Identifikators mit den weiteren Personendaten nur über einen gesicherten Prozess erfolgt.

Das Postulat «Sicherheitskonzept für Personenidentifikatoren» (Nr. 17.3968) beauftragt den Bundesrat aufzuzeigen, wie den Risiken begegnet werden kann, die mit der Verwendung der dreizehnstelligen AHV-Nummer (AHVN13) als einziger Personenidentifikationsnummer verbunden sind. Der Bundesrat beantragt die Annahme des Postulates und hält fest, dass seit der Einführung der AHV-Nummer im Jahr 2008 eine starke Ausweitung der systematischen Verwendung zu beobachten ist. Er hat das Eidgenössische Departement des Innern beauftragt, eine Vernehmlassungsvorlage zu Änderungen der Bestimmungen des AHV-Rechts vorzulegen, mit der die systematische Verwendung der AHVN13 im Behördenverkehr unter klar definierten Bedingungen geregelt wird. Der Bundesrat erwähnt in diesem Zusammenhang auch das bereits oben erwähnte Gutachten von Prof. Basin. Solange zu dieser Problematik noch nicht abschliessend Stellung genommen wurde, soll die AHV-Nummer nicht verwendet werden.

Sektorielle Personenidentifikatoren erschweren es, personenbezogene Informationen über Systemgrenzen zusammenzuführen.

Rechte und Pflichten der Betreiberinnen von E-ID-verwendenden Diensten

Antrag:

Die Rechte, Pflichten und Voraussetzungen für Betreiberinnen von E-ID-verwenden­den Diensten seien bezüglich der Informationen, die sie im Rahmen des E-ID-Gesetzes bearbeiten, zu konkretisieren (Art. 20 ff. E-ID-Gesetz). Hierbei muss insbesondere die Datensparsamkeit, die Sperrung der E-ID, die Vernichtung und die Weitergabe von Informationen, der Speicherort und der Umgang mit Subcontracting geregelt sowie Mindestanforderungen zum Sicherheitsniveau und zu technischen und organisatorischen Massnahmen klarer definiert werden.

Begründung:

Das E-ID-Gesetz regelt Anforderungen, Pflichten sowie die Aufsicht und Kontrolle der IdP. Im vorliegenden Gesetzesentwurf wird die Verantwortung für ein ausreichend sicheres Bearbeiten von E-ID-Informationen durch Betreiberinnen von E-ID-verwendenden Diensten nicht weiter geregelt. Dieser Aspekt wird an den IdP delegiert (Art. 20 E-ID-Gesetz). Ein ausreichender Schutz der bearbeiteten Informationen (Personendaten) über den Gesamten Prozess kann mit dieser Lücke im Gesetz nicht ausreichend sichergestellt werden.

Stellungnahme als PDF

Verwandte Artikel

Resolution: Fehlende Ress... Am 20. Dezember 2019 beschliesst nach dem Bundesrat auch die Konferenz der Kantonsregierungen (KdK) die neue E-Government-Strategie von Bund, Kantonen und Gemeinden für die Jahre 2020–2023. Damit
Keine Bekanntgabe von med... Die Einführung von Fallkostenpauschalen zur Abrechnung von Spitalleistungen ab 2012 darf nicht zu einer Aushöhlung des Arzt- und Patientengeheimnisses führen. privatim, die Vereinigung der schweizerischen Datenschutzbeauftragten, verlangt,
Amazon setzt Polizei-Koop... Der Konzern fordert einen angemessenen Umgang mit seinem Produkt. Zuvor hatte es Kritik an der Gesichtserkennung gegeben. Die Software könnte Schwarze benachteiligen. 11.6.20, Die Zeit
Staaten sind nicht machtl... In Europa, aber auch in den USA werden immer mehr kartellrechtliche Verfahren gegen Plattformkonzerne wie Google, Facebook, Apple oder Amazon lanciert. Internationale Kooperation würde sie noch effektiver
digma 2012.1 Aus den Datenschutzbehörden Die News in digma 2012.1 enthalten einen ersten Ausblick auf die Revisionsbemühungen der EU im Bereich des Datenschutzrechts (Artikel als PDF).
Ein zeitgemässes Datensc... privatim begrüsst den Vorentwurf zur Totalrevision des Datenschutzgesetzes (VE-DSG). Die Totalrevision bietet die Chance, das Datenschutzrecht den aktuellen Herausforderungen anzupassen und den zunehmenden Risiken für die Grundrechte
Click dystopia This recent TED Talk offers a clear-eyed look at the implications that artificial intelligence and big data have for democracy and privacy. Zeynep Tufekci, a techno-sociologist, contends
Vernehmlassung zum Bundes... privatim begrüsst die Stossrichtung hinsichtlich der Vereinfachung des Rechtszuganges durch Bündelung des geltenden Polizeirechts – es gibt aber gleichwohl einige Punkte zu bemerken. Vernehmlassungsantwort als PDF
The microphone is always ... A warrant from police in Arkansas seeking audio records of a man’s Amazon Echo has sparked an overdue conversation about the privacy implications of “always-on” recording devices. This story should serve
Medienmitteilung Datensch... Zunehmende Vermessung der Privatsphäre bei der Mobilität – neues Datenschutzgesetz überfällig Unsere Gesellschaft stellt hohe Ansprüche an eine multimodale und zugleich nachhaltige Mobilität. Digitale Grossprojekte stossen indessen