e-ID explained, Teil 4: Besser als versprochen

Eine Identitätskarte mit einem Schweizerkreuz, daneben ein grünes Häkchen

Die e-ID ist durch den EFK-Bericht in der Kritik. Auch die Pressemitteilung warf viele Fragen auf. Nachfragen ergaben aber: Die e-ID wird besser als letztes Jahr versprochen, viele Kritikpunkte werden angegangen. Eine Übersicht über die geplanten e-ID-Funktionen und ihre Auswirkungen auf Datenschutz, Sicherheit, Konsumentinnen und das Ökosystem.

«e-ID explained»-Serie

In dieser Miniserie geht es um Hintergründe rund um elektronische Identitäten.

  1. «Wieso und wie?»: Was sind die Entwicklungen zur elektronischen Identität?
  2. «Wie funktioniert sie?»: Die Technik der Schweizer e-ID
  3. «Jugendschutz und Anonymität»: Löst die Technik alle Probleme?

Die ersten drei Artikel erschienen Ende August/Anfang September 2025; dieser vierte Teil Ende März 2026.

Hier ein Überblick über die heutigen Themen:

Kritik und Forderungen

Auch wenn die im vergangenen Herbst vom Volk knapp gutgeheissene e-ID 2.0 viele Verbesserungen gegenüber der 2021 verworfenen privaten Lösung aufweist, blieben sowohl auf der zustimmenden als auch auf der ablehnenden Seite Forderungen:

  1. Mehr Datenschutz durch Prävention von Überidentifikation
  2. Mehr Schutz gegen Missbrauch durch Firmen
  3. Wegfall der Benachteiligung bei datenschutzfreundlicher Ausstellung
  4. Ermöglichung der digitalen Souveränität durch Nutzung offener Betriebssysteme
  5. Barrierefreiheit gewährleisten

In der Medienmitteilung vom 25. Februar unter dem Titel „Akzeptanz der E-ID mit zusätzlichen Massnahmen stärken“ wurde versprochen, dass es „Einschränkungen der Datenabfrage und Ausschluss von fehlbaren Anbieterinnen“ geben solle. Doch die Medienmitteilung liess viele Fragen um den konkreten Prozess offen.

Meine umgehende Mail mit Bitte um Klarstellung beantwortete der Informationsbeauftragte e-ID des Bundesamtes für Justiz (BJ) am 2. März.

Was ist neu?

Folgende erweiterte Registrierungen sind für Firmen und andere Organisationen oder Personen (zusammen: „Akteure“) notwendig, welche e-IDs verfizieren möchten („Verifikatorin“):

  1. Wer Informationen aus der e-ID verifizieren möchte, für den ist neu ein Eintrag im Vertrauensregister zwingend. Damit ist für die Inhaberin einer e-ID klar, wer Einblick in die e-ID verlangt.
  2. Alle Verifikatiorinnen müssen neu bei der Registration auch angeben, welche Datenabfragen sie planen.
  3. Falls eine Verifikatorin auch die AHV-Nummer erfragen können möchte, muss dies bei der Registierung beantragt werden. Dafür sind neu zusätzliche Schutzmechanismen vorgesehen.

Ohne diese zusätzlichen Informationen wird die Wallet-App eine deutliche Warnung aussprechen oder die Weitergabe der Informationen verweigern.

Die zusätzlichen Aktionen sind in folgender Grafik blau und fett dargestellt. Die einzelnen Komponenten wurden in Teil 2 bereits eingeführt. Eine kurze Auffrischung kann nicht schaden:

  • Die Inhaberin ist die Person, welche gerne eine elektronische Identifikationsfunktion, namentlich eine e-ID, ausgestellt haben möchte.
  • Die Ausstellerin stellt die Identifikationen aus und stellt sie der Inhaberin zur Verfügung. Die Ausstellerin der e-ID ist das Fedpol, doch sind weitere Dokumente möglich, wie z.B. Fahrausweise.
  • Verifikatorinnen sind alle natürlichen oder juristischen Personen, welche Felder aus den Identitätsdokumenten auslesen möchten.
  • Die Register stehen für Abfragen zur Verfügung, wer die Verifikatorinnen sind und ob ein Ausweisdokument noch gültig ist.
Erweiterung zur Datenflussgrafik des Bundes: Neu müssen sich Verifikatorinnen sowohl im Basis- wie auch im Vertrauensregister eintragen und die von ihnen geplanten Datenabfragen registieren. Die swiyu-Wallet-App warnt bei Abweichungen oder – wenn es sich um eine nicht registrierte AHV-Nummer-Abfrage handelt – verweigert die Datenweitergabe komplett. Die beiden mit einen bleichen „A“ gekennzeichneten Rollen (Ausstellerin und Verifikatorin) werden gemeinsam als „Akteure“ bezeichnet.

Regelungen für eigene Identifikationsmerkmale

Es ist von Anfang an vorgesehen gewesen, dass Akteure auch eigene Informationen im swiyu-Wallet ablegen können. Es sind dort also nicht nur staatliche Informationen wie e-ID und Fahrausweis möglich, sondern auch private Informationen.

So könnte eine Firma allen ihren Mitarbeitenden ein zusätzliches Datenfeld „Mitarbeitende bei Firma XY“ ausstellen oder „hat Zugang zu Gebäude Z“, welche die Firma dann für die Zutrittskontrolle zu Veranstaltungen oder Räumlichkeiten verwenden könnte. Die Details des Zugriffsschutzes für diese Daten gehen über diesen Artikel hinaus. Wichtig ist aber, dass auch für private Ausstellerinnen neu die erweiterten Registrierungspflichten gelten sollen.

Registrierung der Akteure

Den neuen Registrierungsprozess für den Umgang mit der e-ID und der swiyu-Wallet-App erklärt das Bundesamt für Justiz wie folgt:

Für die Interaktion mit der elektronischen Brieftasche des Bundes, ([also] für die Ausstellung & Verifikation elektronischer Nachweise) müssen Akteure neu in beiden Registern (Basis- und Vertrauensregister) registriert sein. Bis anhin wurden auch Interaktionen mit Akteuren zugelassen, welche ausschliesslich im Basisregister waren. Zudem war es auch Akteuren ausserhalb des Schweizer Systems möglich Daten abzufragen, sofern die technische Interoperabilität gegeben ist.

Antwort des Bundesamts für Justiz, 2026-03-02

Bei der Anmeldung werden Akteure geprüft. Bisher konnte das durch einen alleinigen Eintrag im Basisregister vermieden werden; neu ist es für alle vorgeschrieben.

Details werden in den überarbeiteten Ausführungsbestimmungen definiert. Vereinfacht gesagt wird geprüft, ob die Antragsstellerin in der Schweiz ansässig ist, ob sie Zugriff auf die bei der Registration angegebenen Schlüssel hat (Proof of Possession) und ob die antragstellende Person berechtigt ist im Namen des Organs zu agieren (Bsp. Zeichnungsberechtigte gemäss Handelsregister).

Antwort des Bundesamts für Justiz, 2026-03-02

Schutz der Attribute

Neu muss ein Akteur auch seine vorgesehenen Datenabfragen im Vorfeld offenlegen. So schreibt das BJ:

Es gibt neben der Registration des Akteurs auf dem Basis- und Vertrauensregister neu auch eine Registration der vorgesehenen Datenabfragen. Fehlt bei einer Verifikationsabfrage diese registrierte Datenabfrage oder weichen die angeforderten Daten von der registrierten Datenabfrage ab, wird die Inhaberin über den entsprechenden Umstand gewarnt und sie kann eine Missbrauchsmeldung absetzen. Bei der AHV-Nummer ist vorgesehen, dass die Registration mit manueller Freigabe durch Mitarbeitende im Bundesamt für Justiz erfolgt. Im Anschluss erhalten Verifikatorinnen eine Bestätigung, welche sie bei der Verifikation übermitteln müssen. Ohne diese wird die Wallet eine Verifikationsanfrage abbrechen.

Antwort des Bundesamts für Justiz, 2026-03-02

Nur bei der AHV-Nummer wird überprüft, ob es für das Feld eine Rechtfertigung gibt. Bei allen anderen Feldern wird nicht geprüft, ob diese für die Verifikatorin überhaupt notwendig sind. Die deklarierten Datenfelder werden aber „über eine öffentliche API für die Allgemeinheit abrufbar“ sein, wie das BJ bestätigte.

Die Warnung, wenn eine Verifikatorin mehr Daten verlangt als angemeldet, soll für Nutzer:innen möglichst klar sein:

Der genaue Wortlaut ist noch nicht festgelegt und wird auch Tests mit Nutzerinnen und Nutzern unterzogen. Die Warnung wird aber ungefähr Folgendes aussagen:

«Die Prüferin verlangt mehr Daten als sie im Register allgemein deklariert hat. Sie entscheiden, ob Sie damit einverstanden sind oder nicht.»

Es ist möglich, dass die Warnung als Zwischenschritt eingeblendet wird, bevor die Nutzerin die abgefragten Datenattribute überhaupt sieht.

Antwort des Bundesamts für Justiz, 2026-03-02

Technisch wäre es möglich, Abfragen über die angemeldeten Datenfelder hinaus einfach zu blockieren. Das Bundesamt für Justiz möchte diesen Schritt aber aktuell nicht gehen:

Bis anhin haben wir eine Strategie verfolgt, in welcher die Selbstbestimmung im Zentrum stand. Diese schränken wir nun teilweise ein. Wir wollen aber eine totale Abkehr vermeiden. Ziel ist es noch immer, den Nutzerinnen und Nutzern eine gewisse Kompetenz und Eigenverantwortung zuzubilligen.

Unverknüpfbarkeit der Abfragen

In der e-ID-Pressemitteilung vom 25. Februar steht auch der Satz: „Die Unverknüpfbarkeit der E-ID ist sichergestellt.“ In seiner Absolutheit ist diese Aussage nicht korrekt, was auch schon früher von Kritikerinnen moniert wurde:

Jede Kombination von Name, Vorname und Geburtsdatum gibt es in der Schweiz wahrscheinlich nur einmal. Wenn eine Verifikatorin bei ihren Anfragen nach Name, Vorname und Geburtsdatum zweimal dieselben Antworten erhält, kann sie mit hoher Wahrscheinlichkeit davon ausgehen, dass es sich um dieselbe Person handelt. Bei solchen Anfragen ist es damit hinfällig, ob hinter der Anfrage noch dieselbe „Passnummer“ (bzw. ihr e-ID-Äquivalent) steckt, also, ob die beiden Anfragen.

Unter Umständen reicht auch schon der Name alleine, um eine Person mit hoher Wahrscheinlichkeit re-identifizieren zu können. So gibt es laut Telefonbuch nur 3 andere Personen mit meinem Namen in der Schweiz. Und wahrscheinlich haben die anderen andere Interessen. Eine „Maria Müller“ könnte sich aber schon relativ anonym fühlen, da es rund 400 Personen ihres Namens in der Schweiz gibt.

Wenn aber beim Alkoholverkauf nur beispielsweise das Attribut „Über 18 Jahre?“ angefragt wird, dann wäre es aus Sicht des Käufers wünschenswert, wenn das Geschäft nicht anhand des Vorweisens der e-ID schon alle seine anderen Alkoholkäufe mit ihm in Verbindung setzen könnte.

Ebenso ist es wünschenswert, wenn jemand, der im Rahmen des Jugendschutzgesetzes einem Videoportal sein Alter beweisen muss, nicht automatisch als dieselbe Person erkannt wird, die gerade eben Alkohol im Laden gekauft hat.

Die Technik hinter der Schweizer e-ID verhindert, dass ein Geschäft bei zweimaliger Nutzung der e-ID erkennen kann, dass es sich um dieselbe Person handelt. Sie verhindert ebenfalls, dass zwei Webseiten ihre e-ID-Daten austauschen können, um aufgrund der e-ID-Daten zu erfahren, welche Kunden sie gemeinsam haben.

Ausser natürlich, die übermittelten Informationen identifizieren die Halterin eindeutig, wie beispielsweise die Kombination Name/Vorname/Geburtsdatum oder eben die AHV-Nummer. (Deshalb wird ja auch die AHV-Nummer zusätzlich geschützt.)

Das hindert die Webseiten aber nicht daran, mittels Tracking-Technologien wie Cookies oder durch Nutzung der Logindaten eben solche Analysen anzustellen. Das hat aber nichts mit der e-ID zu tun.

Wenn nun aber der Bund sich entscheiden sollte, seine internen e-ID-Ausstellungsdaten illegalerweise mit einer dieser Verifikatorinnen zu teilen, könnte diese böswillige Partnerschaft diese Unverknüpfbarkeit unterwandern. Um das doch noch zu verbessern hat der Bund Gelder für die Forschung bewilligt, wie man solche nachträglichen Verknüpfungen auch technisch verhindern könnte.

Die Unverknüpfbarkeit zweier Anfragen an normale Webseiten ist in den e-ID-Lösungen in unseren europäischen Nachbarländern nicht immer gegeben. Das ist mit ein Kritikpunkt, der dort regelmässig auftaucht. In der Schweiz wird das aber durch die sogenannte Batch Issuance so weit wie möglich umgangen.

Fazit

Einige meiner Kritikpunkte haben sich hiermit in Luft aufgelöst. Oder zumindest sehr stark entschärft. Der Wunsch nach weiteren Schritten in Richtung Daten- und Konsumentinnenschutz bleibt.

Aber weitere Schritte könnten auch die Nutzung von elektronischen Identitäten erschweren, beispielsweise für den Verein, der einfach seinen Mitgliedern Zugang zum Vereinslokal ermöglichen möchte. Und der dafür nicht beliebig viel Bürokratie auf sich nehmen möchte. Ein anderer Fall könnte eine Firma sein, die für zwei unterschiedliche Zwecke Identitätsinformationen benötigt. Auch da ist die Deklaration der üblichen Attribute schwierig.

Was ist gut?

Es wird für Firmen schwieriger, zu viele Daten zu erfragen; die sogenannte Überidentifikation wird also erschwert. So werden also die von Verifikatorinnen typischerweise erfragten Datenfelder jetzt öffentlich bekannt, die AHV-Nummer wird zusätzlich geschützt und die Benutzer werden bei Abfragen von zusätzlichen Attributen gewarnt. Transparenz, Datenschutz und Konsumentenschutz wird also verbessert.

Was bleibt noch zu tun?

Das vom Bund gewählte Prinzip Eigenverantwortung wird aber dafür sorgen, dass die Zivilgesellschaft diese Transparenz auch nutzen muss, um Missbräuche ans Tageslicht zu bringen.

So wird sich hoffentlich jemand finden, der in regelmässigen Abständen das Daten-API des Bundes abfragen wird und in einem schönen Dashboard auflistet, was die Firmen so typischerweise von ihren Kunden an Attributen verlangen. Damit wieder andere bei potenziellen Überidentifikationen dies mit der Firma klären können und bei Divergenzen dies dem zuständigen Bundesamt oder – als Fallback – den Medien melden können.

Ebenfalls unberührt von diesen Massnahmen sind die eingangs erwähnten Punkte 3-5, nämlich die finanzielle Benachteiligung bei der datenschutzfreundlichen Ausstellung; die fehlende Garantie für eine Verfügbarkeit auf Betriebssystemen, die nicht von Google, Apple oder Microsoft stammen; sowie bisher schwierige Nutzbarkeit für Blinde und Sehbehinderte.

Auch die von der EFK Ende letzten Jahres kritisierten Punkte gilt es zu adressieren.

Trotzdem: Ein wichtiger Schritt ist geschafft. Ich freue mich auf den nächsten.

Mehr zur e-ID

Die e-ID bei DNIP

Interessenbindungen

Marcel Waldvogel ist seit rund einem Jahr im Vorstand der Digitalen Gesellschaft, die das Referendum gegen die private e-ID 1.0 mitgetragen und den Prozess zur staatlichen e-ID 2.0 begleitet hat. Er schreibt diesen Artikel aber unabhängig von seinem DigiGes-Engagement.

dnip.ch mit Deiner Spende unterstützen

Wir wollen, dass unsere Inhalte frei verfügbar sind, weil wir es wichtig finden, dass möglichst viele Menschen in unserem Land die politischen Dimensionen der Digitalisierung erkennen und verstehen können.

Damit das möglich ist, sind wir auf deine Unterstützung angewiesen. Jeder Beitrag und sei er noch so klein, hilft uns, unsere Aufgabe wahrzunehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge