Project

General

Profile

Motion #7812

Updated by Atropos about 2 years ago

Die Piratenversammlung möge das Positionspapier E-ID beschliessen.

h3. Antragstext

Die Piratenpartei unterstützt im Grundsatz die Entwicklung und Einführung einer
E-ID zur staatlich anerkannten Identifizierung von Personen im digitalen Raum.

1. Herausgeber

Ein Identitätsnachweis, egal ob auf Papier oder elektronisch, ist eine
Staatsaufgabe. Nur der Staat hat die Hoheit, die Identitäten zu bezeugen. Es ist
inakzeptabel, dass wir Bürger unser Patientendossier mit einer E-ID einer
Transportfirma oder ein Gerichtsdokument mit der E-ID einer Telecomfirma
validieren sollten.
Der Staat kann die Implementierung an einen Dritten
delegieren, sofern dieser Dienstleister keine kritischen Abhängigkeiten oder
weitere Interessen bezüglich einer Nutzung oder Auswertung von Daten hat.

2. Anwendungen

Die Anwendungen der E-ID sollen primär den Anwendungen heutiger analoger
Identitätspapiere sowie der klassischen Unterschrift entsprechen. Möglich sind
folgende Szenarien:

a) Login. Diese Funktion ist sehr niederschwellig, da praktisch jedes
Online-Geschäft Logins verwendet. Eine Verknüpfung mit der E-ID würde einem
single-sign-on-Prinzip entsprechen, also einem E-ID-Login verknüpft mit einer
Vielzahl von Online-Anwendungen.
Diese Anwendung widespricht aber eigentlich heutigen Sicherheitsempfehlungen, wo
für jedes Login unterschiedliche Angaben empfohlen werden. Würde E-ID-Login
kompromittiert, könnte mit einem einzigen Angriff beispielsweise das Bankkonto
leergeräumt, der Telefonanschluss gesperrt, das elektronische Patientendossier
kopiert und die Versicherung gekündigt werden.
Deshalb ist dieses Szenario wenig unterstützenswert.

b) Datenfreigabe. Damit können für bestimmte Anwendungne persönliche Daten
freigegeben werden. Im Webshop die Adressdaten und die Kreditkarten-Infos oder
beim ÖV-Ausweis auch ein Profilfoto.
Der Mehrwert dieser Anwendung hält sich in Grenzen und das Szenario ist wenig
unterstützenswert.

c) Ausweisen. Damit sollten einfachere Online-Geschäfte ermöglicht werden,
beispielsweise Alterskontrollen, Registerauszüge oder Datenauskunftsgesuche.
Aber auch E-Collecting, also das digitale Unterschriftensammlung für
Volksinitativen und Referenden sollte mittels Ausweisvorlage bereits ermöglicht
werden.
Dieses Szenario wird zunehmend wichtig und muss online möglich werden.

d) Ausweisen und Unterschreiben. So kann man beispielsweise Verträge
abschliessen oder e-Government-Dienste nutzen. Insbesondere Veträge aller Art
zwischen Privatpersonen, zwischen Unternehmen und Privatpersonen (B2C) und
zwischen mehreren Unternehmen (B2B) sollten darurch möglich sein. Auch
einseitige Willenserklärungen wie Patientenverfügungen oder Testamente sollten
ermöglicht werden.
Dieses Szenario ist sinnvoll für Private und Firmen und muss online möglich
werden. Diesbezüglich muss die E-ID der höchsten Sicherheitsstufe Signaturen
gemäss ZertES erstellen unterstützen.

----------------------------------------

Die Piratenpartei fordert, dass jedermann ohne Bewilligung und ohne Vertrag
mit einem IdP beliebige ihm von anderen Personen vorgelegte E-ID prüfen und
somit die E-ID für seine Zwecke verwenden kann. So soll auch Privatpersonen
ermöglicht werden, die E-ID beispielsweise für den Zugang zur Kommentarspalte
ihrers Blogs oder für Verträge mit anderen Privatpersonen zu verwenden.

Vereinen und KMU muss ermöglicht werden, ihre Mitglieder bzw. Kunden sicher zu
identifizieren und diesen beispielsweise die Adressänderung im
Selbstbedienungsverfahren zu ermöglichen. Umgekehrt muss es auch E-ID mit
Firmen- und Vereinseinträgen geben können, unabhängig von der UID.

3. Zugang

Wie die analogen Ausweispapiere muss die E-ID diskriminierungsfrei jedem
Menschen ausgestellt werden. Jeder, der E-ID akzeptiert, muss zwingend alle E-ID
des geforderten Sicherheitsniveaus akzeptieren, damit niemand mehrere E-ID
gleichzeitig haben muss.

Die Kosten dürfen dabei höchsten so hoch sein wie für die Identitätskarte. Es
muss ausserdem explizit verboten sein, Abo- oder Gebrauchskosten zu erheben.

Die Piratenpartei fordert ausserdem, im Gesetz zu verankern, dass
martbeherrschende Anbieter zu jedem ihrer Angebote einen vergleichbaren Zugang
ohne E-ID gewährleisten müssen.

4. Datenschutz

Die relevanten Daten der E-ID sollen denen der analogen Identitätspapiere
entsprechen, d.h. nur die Parameter Name(n), Vorname(n) und Geburtstag
(eventuell noch Nationalität, Heimatort) sind als Basisdaten enthalten. Auf
Foto und biometrische Daten ist zu verzichten, da diese für digitale
Geschäftsprozesse irrelevant sind.
Weitere Parameter dürfen mittels Autorisierung der Person hinzugefügt werden,
aber auf strikt freiwilliger Basis und ohne subtilen Zwang.

Die Piratenpartei fordert, dass das Gesetz explizit vorschreibt, dass kein
Tracking des Gebrauchs der E-ID stattfinden darf. Es ist durch technische und
beweisbare Massnahmen sicherzustellen, dass weder stattliche Stellen, noch IdP
irgendwelche Aufzeichnungen über den Gebrauch der E-ID erstellen können.

Es muss die E-ID-Registrierungsnummer durch eine E-ID-Ausweisnummer ersetzt
werden, welche mit jeder neuen E-ID neu vergeben wird. Durch die Hintertür des
E-ID-Gesetzes darf keine neue eindeutige Personenidentifikationsnummer
eingeführt werden.

Die Piratenpartei fordert, auf jede Kopplung mit der AHV-Nummer zu verzichten.
Die E-ID hat nichts mit dem Sozialversicherungssystem zu tun. Die AHV-Nummer
ist für die meisten Onlinegeschäfte schlicht irrelevant.

Die E-ID soll eine Funktion haben, welche nur das Überschreiten einer
Altersgrenze bezeugt, ohne jedwede weitere Information preizugeben. Dies ist
notwendig, um gesetzliche Verifikationspflichten aus dem Jugendschutz zu
erfüllen, ohne unnötige Daten zu sammeln.

5. Sicherheit

Die Piratenpartei fordert, die Erfassung jeglicher biometrischer Daten für die
E-ID explizit zu verbieten. Biometrie ist als Sicherheitsmerkmal für die E-ID
untauglich, da bereits heute Fingerabdruck- und Irisscanner umgangen und diese
Merkmale, im Gegensatz zu einer Chipkarte oder einem Passwort, nicht geändert
werden können.

6. Haftung

Der IdP hat es in der Hand, eine sichere oder weniger sichere Lösung für seine
E-ID anzubieten. Daher fordert die Piratenpartei, dass die Anbieter von E-ID
für Identitätsdiebstahl oder anderen Missbrauch gegenüber allen kausal
Beteiligten haften. Die Haftungssumme soll bei der Sicherheitsstufe "hoch"
unbegrenzt sein, bei tieferen Sicherheitsstufen entsprechend tiefer.

Die Piratenpartei fordert ausserdem eine Beweislastumkehr bei Missbrauchsfällen:
Der IdP muss beweisen, dass seine E-ID nach dem Stand der Technik sicher ist.
Anhang folgt.

Back