E-ID: Was ist das? (ein Login)
Um über Rechtliches diskutieren zu können, muss man verstehen, worum es überhaupt geht. In der Juristerei spricht man vom Sachverhalt.
Zur Übersicht: Man kann für das Online-Login drei Modelle unterscheiden:
- direkte Logins direkt bei der Online-Anbieterin
- Login-Prozesse mit Hilfe eines Drittdienstes (ohne E-ID)
- Login-Prozesse mit Hilfe eines Drittdienstes (mit E-ID)
Diese drei Modelle lassen sich wie folgt unterscheiden:
Zum Modell #1 (Direktes Login, ohne E-ID):
Links wird die Interaktion der Nutzerin mit einer Online-Anbieterin gezeigt. Man bezeichnet diese auch als Merchant oder, in Bezug auf die E-ID, als sog. Relying Party oder im Gesetz als ein die E-ID verwendender Dienst. Die Nutzerin meldet sich beim Dienst an.
| Erläuterung zum Beispiel: Im Beispiel steht die Kinokasse als Merchant da. Nehmen wir an, dass die Kinokasse wissen will, wer bei ihr ein Kinoticket bestellt. Es könnten hier aber auch andere Relying Parties genannt sein, zum Beispiel eine amtliche Stelle wie das Handelsregisteramt (Grund: Sorgt für Registergenauigkeit und zeigt, wer z.B. hinter einer GmbH steht), eine private Stelle wie z.B. eine Bank (Grund: Will wissen, wer von einem Konto Geld abbuchen darf), eine Mobilfunkanbieterin (muss die Identität von Handyabonnenten prüfen, z.B. zwecks Terrorismusbekämpfung) oder viele Weitere. Dass es so viele sind, für die in dieser digitalisierten Welt (bzw. dieser Corona-Welt) ein Login wichtig ist, ist der Grund, warum wir über das BGEID sprechen. |
Dem Modell #1 stehen die beiden Modelle unter Verwendung eines Drittdiensts gegenüber.
| Erläuterung zum Begriff Drittdienst: Mit “Verwendung eines Drittdiensts” meinen wir, dass die Relying Party eine dritte Stelle darüber befragt, wer sich bei ihr einloggen will. Dies ist heute möglich. Zahlen nennen, dass heute rund 80% der Online-Shops ihren Nutzerinnen und Nutzern erlauben, sich mit einem Drittdienst einzuloggen. Für die Nutzerin hat dies den Vorteil, kein neues Passwort finden und sich merken zu müssen. Die Kinokasse (bzw. der Merchant, ganz allgemein) ermöglicht ein rascheres Login (was ihr letztlich auch bessere Verkaufschancen gibt). |
Zum Modell #2 (Login über Drittdienst, ohne E-ID):
Anbieter gemäss Modell #2 sind Drittdienste, die typischerweise bereits über eine breite Nutzerbasis verfügen. Neben Facebook sind dies v.a. Apple, Amazon und Twitter. Es handelt sich meistens um Anbieterinnen im Ausland.
Das dritte Modell beschreibt die E-ID. Auch die E-ID sieht vor, dass das Login von einem Drittdienst angeboten wird (gleich wie bei Modell #2). Der Drittanbieter heisst im BGEID “Identitätsanbieter” oder “Identitätsprovider” (IdP).
Im Modell #3 (mit E-ID) kann ein IdP (Anbieter des Drittdiensts) sein, wer die Anerkennungsvoraussetzungen erfüllt (Art. 13 Abs. 2 BGEID: Datenhaltung Schweiz, Gewähr für den Datenschutz, etc.). Ein IdP ist konzeptionell ansonsten auch ein Drittdienst.
Es geht in der Abstimmung darum zu verstehen, ob bzw. warum es eine gute Idee ist, neben den bestehenden Möglichkeiten zusätzlich auch noch die Möglichkeit der Registrierung über einen Drittdienst zuzulassen. Dem möchten wir unter https://e-idblog.ch vertieft nachgehen. Stay tuned.