Warum die Digitale Gesellschaft die neue E-ID empfiehlt

Erik Schönenberger, Co-Geschäftsleiter, Digitale Gesellschaft. (Source: zVg)

Erik Schönenberger, Co-Geschäftsleiter, Digitale Gesellschaft. (Source: zVg)

Im Herbst 2025 hat das Stimmvolk der E-ID einen äusserst knappen Sieg beschert. Mit welchem ­Resultat rechneten Sie damals?

Erik Schönenberger: Ich habe eigentlich ein komfortables Ja erwartet, irgendwo im Bereich von rund 60 Prozent. Wir waren von der neuen E-ID-Vorlage überzeugt. Bei der ersten Abstimmung herrschten insbesondere im Bereich Datenschutz noch ganz andere Vorzeichen. Das neue Gesetz setzt diese Anforderungen aus unserer Sicht gut um.

Wie erklären Sie sich das Abstimmungsresultat?

Die Abstimmung bestätigte, was sich schon im Vorfeld abgezeichnet hat: Wir haben in der Schweiz ein Vertrauensproblem gegenüber der Digitalisierung – und das nicht ganz zu Unrecht. Viele Menschen fühlen sich technisch überfordert. Gleichzeitig wissen sie, dass sie von privaten Unternehmen, Stichwort Big Tech, aber auch von staatlichen Stellen überwacht werden können. Das fördert ein gewisses Misstrauen. In Zukunft müssen wir digitale Lösungen schaffen, die den Menschen konkret etwas bringen und bei denen Datenschutz und informationelle Selbstbestimmung klar gewährleistet sind. Nur so kann Vertrauen entstehen.

Wie zufrieden sind Sie mit der neuen E-ID?

Grundsätzlich sind wir zufrieden. Wir haben erreicht, dass die E-ID 2.0 nach dem Prinzip der digitalen Selbstbestimmung aufgebaut ist. Sie ist datensparsam, sicher und privatsphärenfreundlich. Natürlich hätten wir uns in einzelnen Punkten noch weitergehende Lösungen gewünscht. Wir haben nicht alles erreicht, was wir wollten. Aber im Grossen und Ganzen ist es ein gutes Gesetz.

Der Bund gleiste die neue E-ID in einem partizipativen Prozess auf. War das mehr als eine Alibi-Übung?

Ja, denn wir konnten uns tatsächlich einbringen – und andere auch. Am Anfang stand etwa die Frage nach dem Ambitions­niveau: Soll die E-ID nur eine digitale Identitätskarte sein oder darüber hinausgehen? Dazu gab es eine grosse Diskussion mit rund 60 Organisationen, die sich letztlich für ein hohes Ambi­tionsniveau aussprachen. Diese Richtung wurde danach übernommen. Bei den grossen Fragen hat der Prozess sehr gut funktioniert. Bei kleineren Themen gab es natürlich Differenzen, aber die Türen beim Bundesamt für Justiz waren immer offen und unsere Bedenken wurden ernst genommen.

Welches Fazit ziehen Sie zum partizipativen ­Vorgehen?

Den partizipativen Prozess haben wir als fast mustergültig erlebt. Wir würden uns wünschen, dass andere Gesetzesprojekte ähnlich ablaufen – etwa bei E-Collecting oder beim elektronischen Gesundheitsdossier. Und ich glaube, auch beim Bund ist man froh über diesen Ansatz. Ohne diesen Prozess wäre das Abstimmungsergebnis vermutlich noch knapper ausgefallen – oder sogar negativ. Gleichzeitig braucht so ein Vorgehen viele Ressourcen, deshalb ist man dort verständlicherweise vorsichtig. Aber gerade bei der Digitalisierung führt kein Weg daran vorbei, auch die Zivilgesellschaft einzubeziehen.

Im Laufe des politischen Prozesses kritisierten Sie den angedachten Zwang zu einem Bundes-Wallet. Was ist daran problematisch?

Ein solcher Zwang widerspricht dem Open-Source-Gedanken. Wenn man nur eine vom Bund signierte App nutzen darf, schränkt das die digitale Selbstbestimmung ein. Unser Ziel ist es, dass auch eigene Apps oder Open-Source-Wallets verwendet werden können. Im Austausch konnten wir tatsächlich erreichen, dass das grundsätzlich möglich wird.

Heisst das konkret, dass künftig jede Person eine alternative E-ID-App entwickeln kann?

Im Prinzip ja. Der Bund stellt die Swiyu-App bereit und veröffentlicht auch ihren Quellcode. Dieser kann genutzt werden, um eigene Anwendungen zu entwickeln. Voraussetzung ist jedoch die sogenannte Remote Attestation. Damit kann sichergestellt werden, dass die Kommunikation beim Speichern der E-ID wirklich mit dem Kryptoprozessor des Geräts erfolgt, auf dem die App installiert ist, und nicht von Dritten abgefangen wird. Diese Technik existiert heute schon auf ersten Endgeräten, ist aber noch nicht stark verbreitet und je nach Plattform unterschiedlich implementiert. Derzeit laufen Bemühungen zur Standardisierung der Technologie, die nicht nur für die E-ID nützlich sein wird. Sobald das abgeschlossen ist, sind alternative Apps möglich.

In der Vernehmlassung zur E-ID-Verordnung sprach sich die Digitale Gesellschaft für "weitgehende digitale Souveränität" aus. Was fordern Sie konkret?

Digitale Souveränität ist für die E-ID nur gewährleistet, wenn sie auch auf Geräten funktioniert, die nicht im Apple- oder Google-Ökosystem laufen. Der aktuelle Verordnungsentwurf sieht vor, dass der Bund die Installation nur auf weit verbreiteten Betriebssystemen gewährleistet. Das könnte faktisch zu einer Beschränkung auf die dominanten Plattformen führen. Unser Ziel ist, dass alternative Systeme zumindest nicht ausgeschlossen werden – insbesondere sobald die technischen Voraussetzungen gegeben sind.

Sie schlagen auch ein "System von Transparenz und Warnungen bei erhöhtem Missbrauchsrisiko" vor. Wie würde das funktionieren?

Wir schlagen vor, dass Verifikatorinnen und Verifikatoren – also Organisationen, die eine E-ID verlangen – ihre typischen Anwendungsfälle im Vertrauensregister deklarieren müssten. Wenn bei künftigen Abfragen dann mehr Daten erfragt werden als angekündigt, würde die Nutzerin oder der Nutzer gewarnt. Ein Onlineshop würde beispielsweise im Vorfeld festlegen, dass er für den Alkoholverkauf eine Altersprüfung durchführt. Fordert er bei künftigen Transaktionen plötzlich zusätzliche Daten an, würde der User die Möglichkeit erhalten, den Prozess abzu­brechen.

Wird dieser Vorschlag umgesetzt?

Kurzfristig wohl nicht. Auf Gesetzesstufe wurde er diskutiert, aber man wollte den zusätzlichen Aufwand für Unternehmen vermeiden. Technisch wäre das System jedoch vorbereitet. Sollte der Missbrauch zunehmen, könnte man diese Funktion später ergänzen.

Das bedeutet aber nicht, dass es keine Warnungen vor Missbrauch geben wird.

Korrekt, doch statt eines Vertrauensregisters gibt es gewissermassen ein Nicht-Vertrauensregister. Darin erfasst das Bundesamt für Justiz Organisationen, die bekanntermassen missbräuchlich Daten verlangten. Diese Einträge lösen ebenfalls eine Warnung in der E-ID-App aus. Im Vergleich zu unserem Vorschlag kommen diese Warnungen aber verzögert und nur nach zuvor erfolgter und geprüfter Meldung beim Bund.

Welchen Rat geben Sie Privatpersonen, die sich ­fragen, ob sie eine E-ID beantragen sollen?

Grundsätzlich spricht nichts dagegen. Wenn man ohnehin einen Ausweis digital nutzen möchte, ist eine staatliche Lösung sicher besser als private Alternativen. Gleichzeitig würde ich empfehlen, zuerst abzuwarten, ob überhaupt ein konkreter Bedarf entsteht. Wenn ich eine E-ID beantragen würde, dann vor Ort im Passbüro statt über den Onlineprozess. Letzteren sehen wir kritisch, da er Missbrauchspotenzial birgt.

Wie sieht es für Unternehmen aus? Sollen sie die E-ID nutzen?

Auch hier gilt: zuerst den Bedarf prüfen. Wenn eine Ausweispflicht besteht, etwa bei Altersprüfungen, Bankkonten oder Handyverträgen, dann würde ich die E-ID klar bevorzugen, weil sie datenschutzfreundlicher ist als viele Alternativen. Wichtig ist jedoch, dass Unternehmen eine E-ID nur verlangen dürfen, wenn sie wirklich erforderlich ist.

Es gibt bereits Forderungen nach einer späteren Evaluation der E-ID. Haben Sie noch Wünsche an Gesetzgeber oder Betreiber?

Wir haben noch einzelne Kritikpunkte, aber jetzt sollte man das System zuerst umsetzen, Erfahrungen sammeln und nicht vorschnell Anpassungen vornehmen. Nach ein oder zwei Jahren kann man evaluieren, wie gut es funktioniert – sowohl für Nutzerinnen und Nutzer als auch für Unternehmen und Behörden. Öffentliche Verwaltungen sollten hingegen zeitnah das Zusammenspiel mit bestehenden Login-Systemen wie Agov klären. Die E-ID ist ein Identitätsnachweis, während Agov eher ein Login ist. Beide haben ihre Berechtigung, aber man braucht eine klare Strategie, wann welches Instrument, allenfalls auch kombiniert, eingesetzt wird. Hier sollte das Bundesamt für Justiz entsprechende Vorgaben definieren.