Ich habe zum Entwurf des eID Gesetzes eine Vernehmlassung verfasst. Gerne stelle ich diese zur freien Verwendung zur Verfügung.
Hier das Wichtigste in Kürze:
Die Ausgabe eines einfachen digitalen Ausweises (eID) ist so rasch als möglich umzusetzen.
Bevor über Ökosysteme nachgedacht werden soll, muss mit höchster Dringlichkeit diese EINE eID SOFORT umgesetzt werden (nutzbar für Bund und Kantone). Wir finden es unnötig, dass der vorliegende Vorentwurf bzw. die vorgesehene Infrastruktur unterschiedliche elektronische Nachweise vorsieht und ein umfangreiches Ökosystem gemäss Ambitionsniveau 3 beschreibt. Letzteres führt zu einer Verzettelung der Kräfte und wird die Einführung der dringend benötigten eID unnötig verzögern. Eine Beschränkung auf das Wesentliche bildet den Schlüssel zum Erfolg.
Ohne massive Vereinfachung droht der eID das Schicksal des ePD (el. Patientendossier).
Die Erfüllung von Sicherheitsanforderungen und Datenschutzanliegen sind zwar wichtig, stehen aber klar hinter der Einfachheit und offenen Anwendbarkeit der eID.
Die Drittnutzung der Infrastruktur erzeugt unbekannte Risiken.
Die Nutzung der Infrastruktur für andere elektronische Nachweise ausserhalb der eID ist zu überdenken. Die damit verbundenen Risiken sind nicht zu unterschätzen und können für den Bund nicht abschätzbare Folgen haben. Das schliesst nicht aus, dass unterliegende ID-Aussteller die eID nutzen können (im Vordergrund stehen z.B. die Kantone), sie sind dann aber lediglich Konsumenten und haben keinen Einfluss auf die Sicherheit des Gesamtsystems. Ob im Einzelfall andere Anwender die eID nutzen können, müsste im Einzelfall rigorosen Risikobeurteilungen unterliegen (ins Gesetz aufzunehmen).
Der Grundsatz der Technologieneutralität wurde gut berücksichtigt.
Die Technologieneutralität ist im Entwurf gut umgesetzt und sollte nicht verwässert werden. Insbesondere ist auf eine detaillierte Beschreibung der technischen Verfahren und Systeme bei den Endbenutzern zu verzichten.
Nutzen, was bereits existiert: Für die eID-Infrastruktur existiert bereits ein Gesetz!
Völlig übersehen wurde offenbar, dass für die Umsetzung der Infrastruktur in Kapitel 5 bereits Gesetze existieren, nämlich die ZertES und die VZertEs. Wir empfehlen dringend, diese Gesetze zu harmonisieren. Die ZertEs enthält 80–90 % der im eID-Entwurf beschriebenen Verfahren: Kapitel 5 aus dem Gesetz streichen und ein separates Infrastrukturgesetz erlassen bzw. besser die ZertES anpassen. Das eID-Gesetz sollte sich auf die Verfahren zur Umsetzung der «Root»-Identität (=eID) beschränken.
Keine Anwendungsfälle ins Gesetz
Wir begrüssen, dass darauf verzichtet wurde, konkrete Anwendungsfälle ins Gesetz aufzunehmen. Diese gehören nicht ins BGEID.
Blick in die Vergangenheit (2016): Kritik an der damaligen Swiss ID, die eingetretene Prognose des Scheiterns und wo wir heute stehen