(sda) Beim Gesetz über den elektronischen Ausweis (E-ID) war der Nationalrat bisher nicht zu Kompromissen bereit. Auf der Zielgeraden hat er nun eingelenkt. Er akzeptierte die vom Ständerat beschlossene unabhängige Aufsichtsbehörde.

Die Eidgenössischen E-ID-Kommission (Eidcom) soll für die Anerkennung der Aussteller von E-ID zuständig sein und diese auch beaufsichtigen. Der Nationalrat hatte bisher darauf beharrt, dass das verwaltungsinterne Informatiksteuerungsorgan mit diesen Aufgaben betraut wird. Eine neues Aufsichtsorgan verursache nur Kosten und Bürokratie, hiess es.

Nun ist die Mehrheit des Nationalrats der Meinung, dass nur eine solche Kommission eine unabhängige Kontrolle gewährleisten kann. "Damit erkaufen wir uns Vertrauen und Sicherheit", sagte GLP-Sprecher Beat Flach (AG). Der Entscheid fiel mit 113 zu 69 Stimmen.

Shoppen ohne E-ID

Ebenfalls einverstanden ist der Nationalrat damit, dass für Logins und andere elektronische Identifizierungen eine Alternative zur E-ID zur Verfügung stehen muss. Die Auflage gilt zwar nur für die niedrigste Sicherheitsstufe. Diese dürfte im Alltag aber die Mehrheit der Anwendungen betreffen, unter anderem das Online-Shopping.

Das Verbot, die E-ID Dritten zu überlassen, wird aus dem Gesetz gestrichen. Dazu war der Nationalrat bereit, nachdem der Ständerat bei der letzten Beratung den verschärften Sorgfaltspflichten zugestimmt hatte. Diese implizieren nach Ansicht der Mehrheit, dass die E-ID nicht übertragbar ist.

Der Nationalrat akzeptierte auch den Kompromiss des Ständerats zur Datenbearbeitung durch Dritte. Diese sollen Daten in dem Rahmen bearbeiten dürfen, in dem sie auch vom Aussteller der E-ID verwendet werden dürften. Damit werden Serviceleistungen durch externe Firmen oder die konzerninterne Datenbearbeitung ermöglicht.

Staat im Hintergrund

Als einzige Differenz bleiben die Voraussetzungen, unter welchen der Staat selber ein E-ID-System betreiben oder der Bund sich an einem entsprechenden Unternehmen beteiligen kann. Der Ständerat will keine besonderen Bedingungen daran knüpfen. Der Nationalrat hingegen möchte das nur zulassen, sofern kein funktionierendes E-ID-Systeme zur Verfügung steht und der Zweck des Gesetzes nicht erreicht werden kann.

Damit werde die Subsidiarität des Staates zum Ausdruck gebracht, sagte CVP-Sprecher Philipp Bregy (VS). Der Staat würde nicht ohne Not tätig werden, sicherte Justizministerin Karin Keller-Sutter zu. Mit dieser Differenz geht die Vorlage noch einmal an den Ständerat.

Umstrittene Aufgabenteilung

Die grundsätzliche Aufgabenteilung stand nicht mehr zur Diskussion. Die Räte hatten sich schon früher darauf geeinigt, dass der Bund die Identität einer Person prüft und bestätigt. Herausgegeben wird die E-ID von privaten Anbietern, sogenannten Identity Providern (IdP). Die Gegner dieses Systems warnen davor, die mit der E-ID verbundenen grossen Datenmengen in die Hände privater Unternehmen zu geben. Ein Referendum ist so gut wie sicher.

Das E-ID-Gesetz soll den Rahmen schaffen für die sichere Identifikation von Personen im Geschäftsverkehr im Internet oder bei E-Government-Anwendungen. Heute werden für die meisten Anwendungen einfache Logins verwendet. Solche Identifizierungen sind auch in Zukunft erlaubt. Zugelassene Herausgeber einer E-ID müssten sich aber ans Gesetz halten.

Eine Identitätsstelle beim Bundesamt für Polizei (fedpol) ist für die Erstidentifizierung zuständig. Sie weist jedem Nutzer und jeder Nutzerin einer E-ID eine Registrierungsnummer zu. Gestützt darauf stellen die IdP die E-ID aus.

Grossunternehmen in den Startlöchern

Die IdP werden nach den Beschlüssen der Räte von der neuen Eidcom zugelassen und überwacht. Die SwissSign Group, die die SwissID herausgibt, ist als IdP bereits in den Startlöchern. Zum Konsortium gehören Post, SBB, Swisscom, Six, die Grossbanken und Versicherungen.

Der Träger der E-ID ist nicht festgelegt. Denkbar sind gängige elektronische Identifizierungsmittel wie Mobiltelefone oder Smartcards, aber auch Lösungen mit Nutzername, Passwort und allenfalls weiteren Authentifizierungen.

Vorgesehen sind drei Sicherheitsniveaus: niedrig, substanziell und hoch. Ab Sicherheitsniveau substanziell ist eine 2-Faktor-Authentifizierung nötig, bei Sicherheitsniveau hoch muss mindestens ein Faktor der Zwei-Faktor-Authentifizierung biometrisch sein.