Die Menschen in diesem Land sollen eine einfache, sichere und eindeutige Identifizierung ihres Gegenübers im digitalen Raum erhalten. Führende Unternehmen der Schweiz wollen gemeinsam eine vertrauenswürdige Schweizer Marke für E-ID aufbauen. Sie schaffen damit die Grundlagen für eine privatwirtschaftlich getragene aber staatlich zertifizierte Lösung. Darauf haben sich die Schweizerische Post, SBB, Swisscom, Credit Suisse, Raiffeisen, UBS, Zürcher Kantonalbank und der Finanzdienstleister SIX sowie die Schweizerische Mobiliar verständigt.

Sie haben ein Memorandum of Understanding unterzeichnet, das die Gründung eines gemeinsamen Unternehmens zur Schaffung und Umsetzung einer digitalen Identität für die Schweizer Bevölkerung zum Ziel hat. Das gemeinsame Unternehmen, die SwissSign Group AG, wird ab Januar 2018 die Tätigkeiten der heutigen SwissSign AG integrieren und die SwissID-Lösung weiterentwickeln. Ziel ist es, digitale Identitäten effizienter, nutzerfreundlicher und einfacher auszustellen und sowohl national wie auch international zu verwenden. Das Vorgehen entspricht den Absichten des Bundesrates im Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste eine Aufgabenteilung zwischen Staat und Privatwirtschaft vorzusehen.

Die „SwissID“ wird es den Menschen in diesem Land erlauben, sich in einer zunehmend digitalen Welt sicher zu bewegen und online Dienstleistungen einfacher zu nutzen. Datenschutz geniesst dabei höchste Priorität: Die Hoheit über die Nutzung der Daten bleibt immer beim Anwender, der Datenschutz ist jederzeit gewährleistet.

Personen in der Schweiz können heute ihre Identität mit einem Reisepass, einer Identitätskarte oder einem Führerausweis nachweisen. Bei Transaktionen über das Internet ist dieser Nachweis jedoch sehr umständlich. Daher ist ein elektronischer Identitätsnachweis nötig, welcher es zum Beispiel Online-Portalen erlaubt, den Inhaber einer elektronischen Identität eindeutig zu identifizieren und zu authentifizieren.

Das heute angekündigte gemeinsame Unternehmen wird ein offenes, diskriminierungsfreies System entwickeln, das alle datenschutzrechtlichen Vorgaben umfassend erfüllt und die Privatsphäre jedes Einzelnen schützt. Die Gründungspartner der SwissSign Group AG bilden eine breite Trägerschaft, die mit weiten Teilen der Bevölkerung in Kundenbeziehungen steht. Zusätzlich zu den insgesamt rund 6 Millionen Nutzern bringen die Konsortiumspartner bestehende Verifizierungsprozesse in das zu bildende System ein. Vergleichbare Modelle werden beispielsweise in Schweden, Norwegen und Dänemark bereits umgesetzt.

Gemeinsames Unternehmen entwickelt offenes und transparentes System

Die Post und SBB werden mit der SwissID ihre in der SwissSign AG gehaltenen Aktivitäten in das neue Unternehmen einbringen und zusammen mit Swisscom, Credit Suisse, Raiffeisen, UBS, Zürcher Kantonalbank und dem Finanzdienstleister SIX sowie der Schweizerischen Mobiliar an der neuen Unternehmung beteiligt sein. Die Geschäftsleitung des neuen Unternehmens wird aus der heutigen Geschäftsleitung der SwissSign AG bestehen. Als CEO wurde Markus Naef bestimmt.

Das neue Unternehmen wird die bestehende SwissID-Lösung weiterentwickeln und den anerkannten Standards rund um digitale Identitäten folgen, für grenzüberschreitende Interoperabilität zwischen verschiedenen E-ID-Systemen sorgen und gegenüber neuen Partnern, Nutzern und anderen Technologien nicht-diskriminierend, offen und transparent sein.

Für den Anwender kostenlos, Datenschutz steht im Zentrum

Die Verwendung der digitalen Identität wird für private Anwender einfach, sicher und kostenlos sein. Das Unternehmen wird sich aus einem Entschädigungsmodell finanzieren, das in erster Linie durch die Anbieter von Online-Dienstleistungen gespiesen werden soll. Heute erfolgt die Identifizierung fast bei jedem einzelnen Anbieter in einem separaten Verfahren und verursacht dadurch hohe Kosten. Mit einer weitherum akzeptierten und einsetzbaren digitalen Identität könnten Geschäfts- und Verwaltungsprozesse im Internet wesentlich effizienter gestaltet und abgewickelt werden. Die Initianten sind überzeugt, mit dem neuen Modell nicht nur den Benutzerbedürfnissen Rechnung zu tragen, sondern auch allen im Online-Handel tätigen Unternehmen eine signifikante Vereinfachung und Vergünstigung des Handels zu ermöglichen.

Der Schutz der Kundendaten steht im Zentrum: Die Hoheit über die persönlichen Daten bleibt ausschliesslich bei den Anwenderinnen und Anwendern, der Datenschutz wird vollumfänglich eingehalten. Mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wurde das Gespräch frühzeitig aufgenommen. Er räumt dem Projekt hohe Priorität ein und begrüsst, dass seine Behörde mit SwissSign inskünftig über eine einheitliche Ansprechstelle verfügen wird.

Wichtige Rolle des Staates

Die Rolle des Staates bei der Umsetzung von digitalen Identitäten gemäss E-ID Gesetz bleibt dabei zentral. Der Bund definiert nicht nur die rechtlichen Rahmenbedingungen und zertifiziert und überwacht das E-ID System, sondern dieser alleine kann staatliche Identitäten definieren und verifizieren. Darüber hinaus sind Bund, Kantone und Gemeinden wichtige Leistungsanbieter, die zur Nutzung der digitalen Identität anregen.

 

Zusatzinformationen zum Aufbau einer digitalen Identität Schweiz

Notwendig für eine digitale Gesellschaft

Geschäftsprozesse oder Übereinkünfte zwischen Personen werden immer häufiger digital abgewickelt. Damit auch anspruchsvollere Geschäfte online sicher behandelt werden können, ist es notwendig, dass Geschäftspartner und Einzelpersonen Vertrauen in die Identität ihres Gegen- übers haben können. Dazu braucht es eine digitale Identität (E-ID), die analog einem Pass oder einer Identitätskarte die Person und ihre für den jeweiligen Vorgang notwendigen Personenidentifizierungsdaten (z.B. Vorname, Name, Geburtsdatum etc.) eindeutig nachweisen kann.

Folgende Use-Cases zeigen, wie SwissID die Digitalisierung der Prozesse unterstützt und den digitalen Alltag der Nutzer vereinfacht:

  • – mit SwissID benötigt der Nutzer nur noch ein Passwort, um sich auf sicher auf einer Vielzahl von Onlinediensten einzuloggen
  • – mit SwissID weist sich der Nutzer online aus, bestätigt seine Identität und bei Bedarf weitere Angaben wie sein Alter
  • – mit SwissID füllt der Nutzer seine Steuererklärung aus, unterschreibt und schickt sie direkt an die Steuerverwaltung, alles online und ohne Medienbrüche
  • – mit SwissID schliesst der Nutzer Verträge online rechtsgültig ab / signiert diese rechtsgültig
  • – mit SwissID gibt der Nutzer seine Daten aktiv an ausgewählte Onlinedienstanbieter frei und verwaltet sie zentral an einem Ort

Mit der Gründung eines gemeinsamen Unternehmens setzen die Initianten die Absicht des Bundesrates um, der kürzlich für den Gesetzesentwurf zum Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) eine solche Aufgabenteilung zwischen Staat und Markt vorschlägt. Das Konsortium begrüsst explizit den Vorschlag des Bundesrates. Im Rahmen einer sinnvollen Zusammenlegung des Know-hows und in Aufgabenteilung zwischen Staat und Privatwirtschaft soll nun eine gemeinsame digitale Identität für die Schweiz geschaffen werden. Diese wird es der Bevölkerung erlauben, sich online sicher ausweisen zu können und Identitätsattribute (Personendaten) zur Identifizierung effizient auszutauschen. Aufbauend auf dieser Grundlage wird es möglich sein, elektronische Vertragsunterzeichnungen, sichere Auftragserteilung im ECommerce oder etwa E-Government anbieten zu können. Die Nutzung der E-ID wird für den Endkunden kostenlos sein.

Effizient in der Umsetzung

Die Gründungspartner des neuen Unternehmens bilden eine erfahrene Trägerschaft, die mit breiten Teilen der Bevölkerung in Kundenbeziehung steht und damit bestehende Verifizierungsprozesse nutzen kann. Damit sind diese Partner in der Lage, ein effizientes System der digitalen Identität in der Schweiz aufzubauen. Insbesondere Bankkunden sind bereits mit Authentifizierungsmitteln ausgestattet und haben aus dem E-Banking Erfahrung in der Anwendung solcher Identifikationsprozesse.

Die Post und die SBB werden nun sehr rasch ihren Kunden und Nutzern eine bestätigte Identität auf der Basis von SwissID anbieten können. Bei der Post ist die Pilotphase der Einbindung der SwissID in ihr Kundenlogin mit 3000 Kunden Ende Oktober erfolgreich gestartet. Innerhalb von zehn Tagen wurden bereits rund 1000 Kunden migriert. Nach Abschluss des Pilots startet eine etappenweise Erweiterung des Kreises von Kunden, welche die Verknüpfung vornehmen können. Somit dürften nach den Lösungen für die Anbieter von Online-Dienstleistungen, wie zum Beispiel im Onlinehandel und im Personentransport, schon bald E-IDs für einfache EGovernment Anwendungen oder Zugänge zu ausgewählten Dienstleistungen der Banken oder Versicherungen folgen.

Erfolgsfaktoren

Grundlegende Erfolgsfaktoren einer digitalen Identität sind Vertrauen und Akzeptanz. Garant dafür ist einerseits die staatliche Aufsicht über die Herausgeber von E-IDs sowie der Verwendung der Daten. Andererseits haben die beteiligten Partner ein grosses Know-how in der Verarbeitung und Speicherung von personenbezogenen Daten mit höchsten Sicherheitsstandards.

Private Anbieter bieten die digitale Identitäten an, während der Bund anerkennt, reguliert, kontrolliert und überwacht. Dieses Modell ist erfolgsversprechend, wie Beispiele aus Schweden, Norwegen und Dänemark zeigen. Es ermöglicht eine effiziente Aufgabenteilung zwischen Markt und Staat und stellt gleichzeitig sicher, dass die Identitätsherausgeber (IdP) hohen Anforderungen entsprechen. Dieses Modell entspricht weitgehend jenem der EU, was unter dem Gesichtspunkt der internationalen Interoperabilität besonders wünschenswert ist.

In der digitalen Welt erfolgt die Identifizierung heute fast bei jedem einzelnen Anbieter in einem separaten Verfahren und verursacht dadurch hohe Kosten. Mit weitherum akzeptierten und einsetzbaren elektronischen Identifizierungsmitteln (E-ID) könnten Geschäfts- und Verwaltungsprozesse im Internet wesentlich effizienter gestaltet und abgewickelt werden.

Sicher durch hohe Standards

Die Sicherheitsanforderungen, etwa bei der Ausstellung oder bei der Verwendung der E-ID, können je nach Art des Geschäftsfalles unterschiedlich hoch sein. Deshalb sieht der Gesetzesentwurf drei unterschiedliche Niveaus vor: ‚niedrig‘, ‚substanziell‘ und ‚hoch‘. Welches Sicherheitsniveau für welche Anwendung nötig ist, soll die Betreiberin eines Online-Dienstes selber bestimmen können.

Für elektronische Behördendienstleistungen (E-Government) wird das Niveau in den gesetzlichen Grundlagen zur jeweiligen Anwendung festgelegt. Die für die Zulassung zuständige Anerkennungsstelle überprüft regelmässig, ob die vorgegebenen Prozesse und technischen Standards von den Dienstleistern eingehalten werden. Bei erfolgreicher Prüfung kann sie die Anerkennung erteilen oder verlängern.

Die SwissSign Group AG wird nun sehr rasch ihren Kunden und Nutzern eine bestätigte Identität auf der Basis von SwissID anbieten können. Schon bald dürften Lösungen für die Anbieter von Online-Dienstleistungen folgen, also E-IDs für E-Commerce Lösungen, einfache E-Government Anwendungen oder Zugänge zu ausgewählten Dienstleistungen der Banken oder Versicherungen.

E-ID Anwendungen im E-Health Bereich und für E-Banking sind um einiges anspruchsvoller. Hier dürfte es noch eine längere Zeit dauern bis verlässliche Lösungen für diese Bereiche vorhanden sein werden.

Die Ausstellung von elektronischen Identitäten, die der Staat gewährleisten kann, soll für zwei Kategorien von Personen möglich sein: Erstens für Schweizerinnen und Schweizer, die zum Zeitpunkt der Ausstellung über einen gültigen Schweizer Ausweis verfügen. Zweitens für Ausländerinnen und Ausländer mit Aufenthaltsbewilligung, die zum Zeitpunkt der Ausstellung einen gültigen Ausländerausweis haben. Das neue Unternehmen will jedoch auch einer dritten Kategorie von Individuen E-IDs anbieten, zum Beispiel für Personen mit anderen Bewilligungen, wie etwa Grenzgänger, die in Schweizer E-Shops mit ihrer E-ID bestellen möchten.

Akzeptiert durch staatliche Rahmenbedingungen

Die Rolle des Staates bei Einführung und Betrieb der E-ID ist zentral. Der Staat definiert nicht nur die gesetzlichen Grundlagen für die E-ID, er bleibt auch zuständig für die Identitätsdaten und zertifiziert und überwacht den Identity Broker. Zudem stellt er Schnittstellen zu staatlichen Datenbanken zur Verfügung. Bund, Kantone und Gemeinden sind schliesslich auch wichtige Leistungsanbieter, die zur Verbreitung der E-ID beitragen.

Die in das System eingebundenen Unternehmen werden keinerlei staatliche Aufgaben übernehmen, stellen aber ihre Identifikations- und Authentifizierungssysteme anderen privaten und öffentlichen Stellen zur Verfügung.

Das Scheme wird die jeweils geltenden datenschutzrechtlichen Vorgaben vollumfänglich respektieren. Mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wurde das Gespräch frühzeitig aufgenommen. Er räumt dem Projekt hohe Priorität ein und begrüsst, dass seine Behörde mit SwissSign inskünftig über eine einheitliche Ansprechstelle verfügen wird.

Das E-ID-„Ökosystem“

Die Umsetzung der digitalen Identität Schweiz sieht ein System vor, bei dem die einzelne Person bei einem Identity Provider (IdP), das kann eine Bank, ein anderes Unternehmen oder eine Regierungsstelle sein, eine persönliche digitale Identität (E-ID) löst. Dieser Identity Provider wiederum gleicht zur Erstellung einer E-ID die Daten mit vorhandenen Identitätselementen aus staatlichen Registern ab. Die Datenhoheit bleibt jedoch immer bei der einzelnen Person, die entscheidet, welche Identitätsattribute sie freigeben will. Mit seiner persönlichen elektronischen Identität kann sich die Person nun bei irgendeinem Anbieter von Leistungen (Relying Party), z.B. im Detailhandel, im E-Commerce oder auf seiner Gemeinde im digitalen Verkehr eindeutig zu erkennen geben. Dieser Leistungsanbieter (Relying Party) verifiziert die Identität der Einzelperson bei einem Identity Broker, der die Interoperabilität sicherstellt und so die E-ID für einen Leistungsanbieter verfügbar macht. Die Broker-Lösung wird sich am eingeführten Standard von SwissID orientieren. Dabei ist die Einfachheit und Geschwindigkeit dieser Verifizierung zentral um ein positives Kundenerlebnis zu gewährleisten. Der Bund legitimiert als staatliche Anerkennungsstelle den Identity Broker und schafft so Vertrauen in das System.