Project

General

Profile

Motion #7812

Updated by Atropos over 6 years ago

Die Piratenversammlung möge das Positionspapier E-ID beschliessen.  

 h3. Antragstext 


 Die Piratenpartei unterstützt im Grundsatz die Entwicklung und Einführung einer 
 E-ID zur staatlich anerkannten Identifizierung von Personen im digitalen Raum. 

 1. Herausgeber 

 Ein Identitätsnachweis, egal ob auf Papier oder elektronisch, ist eine 
 Staatsaufgabe. Nur der Staat hat die Hoheit, die Identitäten zu bezeugen. Es ist 
 inakzeptabel, dass wir Bürger unser    Patientendossier mit einer E-ID einer 
 Transportfirma oder ein Gerichtsdokument mit der E-ID einer Telecomfirma 
 validieren sollten. Der Staat kann die Implementierung an einen Dritten 
 delegieren, sofern dieser Dienstleister keine kritischen Abhängigkeiten oder 
 weitere Interessen bezüglich einer Nutzung oder Auswertung von Daten hat. 

 2. Anwendungen 

 Die Anwendungen der E-ID sollen primär den Anwendungen heutiger analoger 
 Identitätspapiere sowie der klassischen Unterschrift entsprechen. Möglich sind 
 folgende Szenarien: 

 a) Login. Diese Funktion ist sehr niederschwellig, da praktisch jedes 
 Online-Geschäft Logins verwendet. Eine Verknüpfung mit der E-ID würde einem 
 single-sign-on-Prinzip entsprechen, also einem E-ID-Login verknüpft mit einer 
 Vielzahl von Online-Anwendungen. 
 Diese Anwendung widespricht aber eigentlich heutigen Sicherheitsempfehlungen, wo 
 für jedes Login unterschiedliche Angaben empfohlen werden. Würde E-ID-Login 
 kompromittiert, könnte mit einem einzigen Angriff beispielsweise das Bankkonto 
 leergeräumt, der Telefonanschluss gesperrt, das elektronische Patientendossier 
 kopiert und die Versicherung gekündigt werden. 
 Deshalb ist dieses Szenario wenig unterstützenswert. 

 b) Datenfreigabe. Damit können für bestimmte Anwendungne persönliche Daten 
 freigegeben werden. Im Webshop die Adressdaten und die Kreditkarten-Infos oder 
 beim ÖV-Ausweis auch ein Profilfoto. 
 Der Mehrwert dieser Anwendung hält sich in Grenzen und das Szenario ist wenig 
 unterstützenswert. 

 c) Ausweisen. Damit sollten einfachere Online-Geschäfte ermöglicht werden, 
 beispielsweise Alterskontrollen, Registerauszüge oder Datenauskunftsgesuche. 
 Aber auch E-Collecting, also das digitale Unterschriftensammlung für 
 Volksinitativen und Referenden sollte mittels Ausweisvorlage bereits ermöglicht 
 werden. 
 Dieses Szenario wird zunehmend wichtig und muss online möglich werden. 

 d) Ausweisen und Unterschreiben. So kann man beispielsweise Verträge 
 abschliessen oder e-Government-Dienste nutzen. Insbesondere Veträge aller Art 
 zwischen Privatpersonen, zwischen Unternehmen und Privatpersonen (B2C) und 
 zwischen mehreren Unternehmen (B2B) sollten darurch möglich sein. Auch 
 einseitige Willenserklärungen wie Patientenverfügungen oder Testamente sollten 
 ermöglicht werden. 
 Dieses Szenario ist sinnvoll für Private und Firmen und muss online möglich 
 werden. Diesbezüglich muss die E-ID der höchsten Sicherheitsstufe Signaturen 
 gemäss ZertES erstellen unterstützen. 


 ---------------------------------------- 

 Die    Piratenpartei fordert, dass jedermann ohne Bewilligung und ohne Vertrag 
 mit einem IdP beliebige ihm von anderen Personen vorgelegte E-ID prüfen    und 
 somit die E-ID für seine Zwecke verwenden kann. So soll auch    Privatpersonen 
 ermöglicht werden, die E-ID beispielsweise für den Zugang    zur Kommentarspalte 
 ihrers Blogs oder für Verträge mit anderen    Privatpersonen zu verwenden. 

 Vereinen und KMU muss ermöglicht    werden, ihre Mitglieder bzw. Kunden sicher zu 
 identifizieren und diesen    beispielsweise die Adressänderung im 
 Selbstbedienungsverfahren zu    ermöglichen. Umgekehrt muss es auch E-ID mit 
 Firmen- und    Vereinseinträgen geben können, unabhängig von der UID. 

 3. Zugang 

 Wie die analogen Ausweispapiere muss die E-ID diskriminierungsfrei jedem 
 Menschen ausgestellt werden. Jeder, der E-ID akzeptiert, muss zwingend alle E-ID 
 des geforderten Sicherheitsniveaus akzeptieren, damit niemand mehrere E-ID 
 gleichzeitig haben muss. 

 Die    Kosten dürfen dabei höchsten so hoch sein wie für die Identitätskarte.    Es 
 muss ausserdem explizit verboten sein, Abo- oder Gebrauchskosten zu    erheben. 

 Die    Piratenpartei fordert ausserdem, im Gesetz zu verankern, dass 
 martbeherrschende Anbieter zu jedem ihrer Angebote einen vergleichbaren    Zugang 
 ohne E-ID gewährleisten müssen. 

 4. Datenschutz 

 Die    relevanten Daten der E-ID sollen denen der analogen Identitätspapiere 
 entsprechen, d.h. nur die Parameter Name(n), Vorname(n) und Geburtstag 
 (eventuell noch Nationalität, Heimatort) sind als Basisdaten enthalten.    Auf 
 Foto und biometrische Daten ist zu verzichten, da diese für digitale 
 Geschäftsprozesse irrelevant sind. 
 Weitere    Parameter dürfen mittels Autorisierung der Person hinzugefügt werden, 
 aber auf strikt freiwilliger Basis und ohne subtilen Zwang. 

 Die    Piratenpartei fordert, dass das Gesetz explizit vorschreibt, dass kein 
 Tracking des Gebrauchs der E-ID stattfinden darf. Es ist durch    technische und 
 beweisbare Massnahmen sicherzustellen, dass weder    stattliche Stellen, noch IdP 
 irgendwelche Aufzeichnungen über den    Gebrauch der E-ID erstellen können. 

 Es    muss die E-ID-Registrierungsnummer durch eine E-ID-Ausweisnummer    ersetzt 
 werden, welche mit jeder neuen E-ID neu vergeben wird. Durch die    Hintertür des 
 E-ID-Gesetzes darf keine neue eindeutige    Personenidentifikationsnummer 
 eingeführt werden. 

 Die Piratenpartei fordert, auf jede Kopplung mit der AHV-Nummer zu    verzichten. 
 Die E-ID hat nichts mit dem Sozialversicherungssystem zu    tun. Die AHV-Nummer 
 ist für die meisten Onlinegeschäfte schlicht    irrelevant. 

 Die E-ID soll eine Funktion haben, welche nur das Überschreiten    einer 
 Altersgrenze bezeugt, ohne jedwede weitere Information    preizugeben. Dies ist 
 notwendig, um gesetzliche Verifikationspflichten    aus dem Jugendschutz zu 
 erfüllen, ohne unnötige Daten zu sammeln. 

 5. Sicherheit 

 Die Piratenpartei fordert, die Erfassung jeglicher biometrischer Daten für die 
 E-ID explizit zu verbieten.    Biometrie ist als Sicherheitsmerkmal für die E-ID 
 untauglich, da     bereits heute Fingerabdruck- und Irisscanner umgangen und diese 
 Merkmale, im Gegensatz zu einer Chipkarte oder einem Passwort, nicht geändert 
 werden können. 

 6. Haftung 

 Der    IdP hat es in der Hand, eine sichere oder weniger sichere Lösung für    seine 
 E-ID anzubieten. Daher fordert die Piratenpartei, dass die    Anbieter von E-ID 
 für Identitätsdiebstahl oder anderen Missbrauch    gegenüber allen kausal 
 Beteiligten haften. Die Haftungssumme soll bei    der Sicherheitsstufe "hoch" 
 unbegrenzt sein, bei tieferen    Sicherheitsstufen entsprechend tiefer. 

 Die Piratenpartei fordert ausserdem eine Beweislastumkehr bei Missbrauchsfällen: 
 Der IdP muss beweisen, dass seine E-ID nach dem Stand der Technik sicher ist. Anhang folgt.

Back