Motion #7812
Updated by Atropos about 6 years ago
Die Piratenversammlung möge das Positionspapier E-ID beschliessen. h3. Antragstext Die Piratenpartei unterstützt im Grundsatz die Entwicklung und Einführung einer E-ID zur staatlich anerkannten Identifizierung von Personen im digitalen Raum. 1. Herausgeber Ein Identitätsnachweis, egal ob auf Papier oder elektronisch, ist eine Staatsaufgabe. Nur der Staat hat die Hoheit, die Identitäten zu bezeugen. Es ist inakzeptabel, dass wir Bürger unser Patientendossier mit einer E-ID einer Transportfirma oder ein Gerichtsdokument mit der E-ID einer Telecomfirma validieren sollten. Der Staat kann die Implementierung an einen Dritten delegieren, sofern dieser Dienstleister keine kritischen Abhängigkeiten oder weitere Interessen bezüglich einer Nutzung oder Auswertung von Daten hat. 2. Anwendungen Die Anwendungen der E-ID sollen primär den Anwendungen heutiger analoger Identitätspapiere sowie der klassischen Unterschrift entsprechen. Möglich sind folgende Szenarien: a) Login. Diese Funktion ist sehr niederschwellig, da praktisch jedes Online-Geschäft Logins verwendet. Eine Verknüpfung mit der E-ID würde einem single-sign-on-Prinzip entsprechen, also einem E-ID-Login verknüpft mit einer Vielzahl von Online-Anwendungen. Diese Anwendung widespricht aber eigentlich heutigen Sicherheitsempfehlungen, wo für jedes Login unterschiedliche Angaben empfohlen werden. Würde E-ID-Login kompromittiert, könnte mit einem einzigen Angriff beispielsweise das Bankkonto leergeräumt, der Telefonanschluss gesperrt, das elektronische Patientendossier kopiert und die Versicherung gekündigt werden. Deshalb ist dieses Szenario wenig unterstützenswert. b) Datenfreigabe. Damit können für bestimmte Anwendungne persönliche Daten freigegeben werden. Im Webshop die Adressdaten und die Kreditkarten-Infos oder beim ÖV-Ausweis auch ein Profilfoto. Der Mehrwert dieser Anwendung hält sich in Grenzen und das Szenario ist wenig unterstützenswert. c) Ausweisen. Damit sollten einfachere Online-Geschäfte ermöglicht werden, beispielsweise Alterskontrollen, Registerauszüge oder Datenauskunftsgesuche. Aber auch E-Collecting, also das digitale Unterschriftensammlung für Volksinitativen und Referenden sollte mittels Ausweisvorlage bereits ermöglicht werden. Dieses Szenario wird zunehmend wichtig und muss online möglich werden. d) Ausweisen und Unterschreiben. So kann man beispielsweise Verträge abschliessen oder e-Government-Dienste nutzen. Insbesondere Veträge aller Art zwischen Privatpersonen, zwischen Unternehmen und Privatpersonen (B2C) und zwischen mehreren Unternehmen (B2B) sollten darurch möglich sein. Auch einseitige Willenserklärungen wie Patientenverfügungen oder Testamente sollten ermöglicht werden. Dieses Szenario ist sinnvoll für Private und Firmen und muss online möglich werden. Diesbezüglich muss die E-ID der höchsten Sicherheitsstufe Signaturen gemäss ZertES erstellen unterstützen. ---------------------------------------- Die Piratenpartei fordert, dass jedermann ohne Bewilligung und ohne Vertrag mit einem IdP beliebige ihm von anderen Personen vorgelegte E-ID prüfen und somit die E-ID für seine Zwecke verwenden kann. So soll auch Privatpersonen ermöglicht werden, die E-ID beispielsweise für den Zugang zur Kommentarspalte ihrers Blogs oder für Verträge mit anderen Privatpersonen zu verwenden. Vereinen und KMU muss ermöglicht werden, ihre Mitglieder bzw. Kunden sicher zu identifizieren und diesen beispielsweise die Adressänderung im Selbstbedienungsverfahren zu ermöglichen. Umgekehrt muss es auch E-ID mit Firmen- und Vereinseinträgen geben können, unabhängig von der UID. 3. Zugang Wie die analogen Ausweispapiere muss die E-ID diskriminierungsfrei jedem Menschen ausgestellt werden. Jeder, der E-ID akzeptiert, muss zwingend alle E-ID des geforderten Sicherheitsniveaus akzeptieren, damit niemand mehrere E-ID gleichzeitig haben muss. Die Kosten dürfen dabei höchsten so hoch sein wie für die Identitätskarte. Es muss ausserdem explizit verboten sein, Abo- oder Gebrauchskosten zu erheben. Die Piratenpartei fordert ausserdem, im Gesetz zu verankern, dass martbeherrschende Anbieter zu jedem ihrer Angebote einen vergleichbaren Zugang ohne E-ID gewährleisten müssen. 4. Datenschutz Die relevanten Daten der E-ID sollen denen der analogen Identitätspapiere entsprechen, d.h. nur die Parameter Name(n), Vorname(n) und Geburtstag (eventuell noch Nationalität, Heimatort) sind als Basisdaten enthalten. Auf Foto und biometrische Daten ist zu verzichten, da diese für digitale Geschäftsprozesse irrelevant sind. Weitere Parameter dürfen mittels Autorisierung der Person hinzugefügt werden, aber auf strikt freiwilliger Basis und ohne subtilen Zwang. Die Piratenpartei fordert, dass das Gesetz explizit vorschreibt, dass kein Tracking des Gebrauchs der E-ID stattfinden darf. Es ist durch technische und beweisbare Massnahmen sicherzustellen, dass weder stattliche Stellen, noch IdP irgendwelche Aufzeichnungen über den Gebrauch der E-ID erstellen können. Es muss die E-ID-Registrierungsnummer durch eine E-ID-Ausweisnummer ersetzt werden, welche mit jeder neuen E-ID neu vergeben wird. Durch die Hintertür des E-ID-Gesetzes darf keine neue eindeutige Personenidentifikationsnummer eingeführt werden. Die Piratenpartei fordert, auf jede Kopplung mit der AHV-Nummer zu verzichten. Die E-ID hat nichts mit dem Sozialversicherungssystem zu tun. Die AHV-Nummer ist für die meisten Onlinegeschäfte schlicht irrelevant. Die E-ID soll eine Funktion haben, welche nur das Überschreiten einer Altersgrenze bezeugt, ohne jedwede weitere Information preizugeben. Dies ist notwendig, um gesetzliche Verifikationspflichten aus dem Jugendschutz zu erfüllen, ohne unnötige Daten zu sammeln. 5. Sicherheit Die Piratenpartei fordert, die Erfassung jeglicher biometrischer Daten für die E-ID explizit zu verbieten. Biometrie ist als Sicherheitsmerkmal für die E-ID untauglich, da bereits heute Fingerabdruck- und Irisscanner umgangen und diese Merkmale, im Gegensatz zu einer Chipkarte oder einem Passwort, nicht geändert werden können. 6. Haftung Der IdP hat es in der Hand, eine sichere oder weniger sichere Lösung für seine E-ID anzubieten. Daher fordert die Piratenpartei, dass die Anbieter von E-ID für Identitätsdiebstahl oder anderen Missbrauch gegenüber allen kausal Beteiligten haften. Die Haftungssumme soll bei der Sicherheitsstufe "hoch" unbegrenzt sein, bei tieferen Sicherheitsstufen entsprechend tiefer. Die Piratenpartei fordert ausserdem eine Beweislastumkehr bei Missbrauchsfällen: Der IdP muss beweisen, dass seine E-ID nach dem Stand der Technik sicher ist. Anhang folgt.