Um welche Daten geht es bei der E-ID?

Wenn man über die E-ID spricht, wie das BGEID sie ermöglicht, muss man verstehen, welche Daten wo anfallen.

Dabei interagieren die folgenden Parteien miteinander:

  • Relying Party: Es ist jene Stelle, die wissen will, mit wem sie im Netz zu tun hat. Man spricht auch von der Online-Anbieterin, dem Merchant (wenn es eine private Online-Anbieterin ist, wie z.B. die Kinokasse, die ich so oft als Beispiel verwende). Relying Party ist auch die Amtsstelle (z.B. das Handelsregisteramt, die Strafregisterbehörde, etc.), nur passt dort der Begriff “Merchant” nicht so gut. Das BGEID spricht von den “E-ID verwendenden Diensten”.
  • Identitätsprovider oder IdP: Der Drittdienst, der unter dem BGEID die Anerkennung durch die EIDCOM erlangen kann. Er ist derjenige, der die E-ID ausstellt.
  • Nutzerin: Die Nutzerin setzt eine E-ID bei der Relying Party ein, um gegenüber der Relying Party nachzuweisen, dass sie die Voraussetzungen erfüllt, um den angebotenen Dienst zu erhalten bzw. konsumieren. Sie erbringt mit Einsatz des Logins den Nachweis, dass sie das abgefragte Attribut erfüllt. Mit abgefragtem Attribut meine ich z.B. die Antwort auf die Frage “Bist du wirklich Christian Laux?” oder “Bist du wirklich an jener Adresse gemeldet?”, etc.
  • Bundesstellen: Für das Konzept des BGEID müssen einige Bundesstellen zusammenwirken. Ich gehe in einem separaten Blog darauf ein, um welche es geht. Hier verweise ich pauschal mit dem Begriff “Bundesstellen” auf sie.

Um nun die Daten zu beschreiben, die bei der Nutzung der E-ID anfallen, verwende ich das Beispiel des Handelsregisteramts, das von der Nutzerin wissen will, wer hinter der Anmeldung einer GmbH steht. Im Beispiel will die Nutzerin eine GmbH anmelden und will sich und zwei Mitgründerinnen als Teilhaberinnen der GmbH angeben.

Daran anknüpfend können wir nun die Daten aufzeigen, um die es geht:  

  • Personenidentifizierungsdaten: Das Handelsregisteramt definiert die Angaben, die sie zur Identifikation der Nutzerin benötigt. Die E-ID ist in der Lage, über ein limitiertes Set von Personendaten Auskunft zu geben. Ich beschreibe das unten noch etwas genauer.
  • Nutzungsdaten: Das Handelsregisteramt weiss, wer (die Nutzerin) wann und mit wem (mit dem Handelsregisteramt selber) interagiert. Das ist doch selbstverständlich, würde man meinen. Warum beschreibt er das hier?, mögen Sie sich fragen. Die Antwort ist die: Es geht darum, was Kenntnis heisst. Und das ist ein gar nicht so eindeutiger Begriff, anders als man meint. Dies wird wichtig, weil es bei der Abstimmung darum geht, welche Nutzungsdaten beim IdP anfallen.  
  • Inhaltsdaten: Als Inhaltsdaten bezeichnen wir in diesem Blog jene Angaben, die beschreiben, was die Nutzerin dem Handelsregisteramt mitteilt. Das Handelsregisteramt weiss natürlich, welche GmbH mit welchem Zweck die Nutzerin gründen will (darum geht es ja). Das Handelsregisteramt merkt sich auch, ob die Nutzerin die Gebühren bezahlt hat, etc. (ebenfalls selbstverständlich). Bei der Abstimmung geht es jetzt darum zu verstehen, welche Inhaltsdaten beim IdP anfallen. Bereits an dieser Stelle: Der IdP weiss nichts über diese Inhaltsdaten. Das wurde letzte Woche z.B. in der Republik.ch falsch dargestellt (auch dazu später mehr — puh!, es gibt offenbar noch einige Missverständnisse zu klären …).
  • Nutzungsprofil: Wenn die Nutzerin mehr als einmal in wiedererkennbarer Weise beim Handelsregisteramt Meldungen macht, erhält das Handelsregisteramt natürlich so etwas wie eine Querschnittssicht auf die Aktivitäten der Nutzerin. Dass sie z.B. nicht nur Gesellschafterin der GmbH ist, sondern offenbar auch noch Verwaltungsrätin bei der X. AG, etc. Man kann diese Gesamtsicht bzw. Querschnittsbetrachtung als Nutzungsprofil bezeichnen. Bei der Abstimmung geht es darum zu verstehen, ob der IdP ebenfalls eine solche Querschnittssicht erhält. Ich möchte das separat noch vertiefen und hier nur sagen: Inhaltsdaten sieht der IdP nicht, aber es entsteht beim IdP ein Eintrag darüber, wer (die Nutzerin) mit wem (dem Handelsregister) interagiert hat; nur weiss der IdP eben nicht, zu welchem Thema das geschehen ist. Die Antwort auf die Frage, ob ein Nutzungsprofil beim IdP entsteht, ist also “JA” — man muss allerdings sofort ein präzisierendes ABER hintan stellen, damit diese Information nicht unlauter skandalisiert wird (was leider in der öffentlichen Diskussion so passiert): Wenn die Nutzerin sagen wir alle zwei Jahre ein Startup gründet oder ein neues Mandat als Verwaltungsrätin in der Schweiz annimmt, dann sind die zuvor angefallenen Daten bereits längst gelöscht (die Löschfrist im BGEID beträgt 6 Monate). Im Beispiel Handelsregister kann man also sagen, dass der IdP kein Nutzungsprofil erstellt. Würde die Nutzerin die E-ID jedoch für Nutzungen einsetzen, und zwar wöchentlich einmal, dann entstünde für jede Interaktion ein Eintrag. Der Eintrag würde nicht Aufschluss geben, was sie getan hat. Aber er würde zeigen, dass sie interagiert hat. Nur, aber immerhin.

Um diese Daten wird es in der Abstimmung gehen. Manchmal werden die Bezeichnungen anders gewählt. Wir versuchen, in diesem Blog stets nur diese Begriffe zu verwenden.

Was man in Bezug auf Personenidentifizierungsdaten noch nachlegen kann: Ein Merchant weiss normalerweise nicht so genau, ob die bei ihm angegebenen Personenidentifizierungsdaten auch real sind bzw. tatsächlich einer existierenden Person zugeordnet werden können. Es gibt viele Alltagsbeispiele, wo der Merchant dies auch gar nicht wissen muss:

(1) Wenn ich mich z.B. bei einer Kinokasse mit einem Pseudonym “Gregor Samsa” anmelde, stört das wahrscheinlich niemanden.

(2) Das Handelsregisteramt würde sich daran stören. Es hat eine ihm vom Gesetz zugewiesene Aufgabe zu erfüllen. Eine Eintragung im Handelsregister darf nur dann erfolgen, wenn eine Anmeldung von der “richtigen” Person ausgeht. Das steht in Art. 17 der Handelsregisterverordnung. Das muss so sein, weil sonst der Zweck des Handelsregisters nicht erfüllt werden könnte, wie es in Art. 927 des Obligationenrechts steht:

Das Handelsregister … bezweckt … die Erfassung und die Offenlegung rechtlich relevanter Tatsachen über Rechtseinheiten und dient der Rechtssicherheit sowie dem Schutz Dritter.

Damit eine Tatsache “rechtlich relevant” sein kann, muss sie natürlich wahr sein. Gregor Samsa wäre es nicht. Die E-ID hilft hier, indem sie ermöglicht, bestätigte Personenidentifikationsdaten zu übermitteln. Dies entbindet die Nutzerin vom Gang zum Handelsregisteramt, wenn sie etwas gründen will.

Dies ist nicht nur in Pandemiezeiten gut, sondern fördert das Startup-Land Schweiz auch anderswie: Die Gründerin kann z.B. bei ihrer Angel-Investorin in Kalifornien, die sie dort regelmässig trifft, Geld beschaffen und von dort aus direkt in der Schweiz gründen, ohne erst in die Schweiz zu fliegen (Zeit- und Flugkosten kann sie zugleich effizienter in das neue Startup reinstecken). Es gewinnen:

  • die Gründerin: Weil sie sich Aufwand spart; es sind Gründungsschwierigkeiten reduziert worden
  • das Handelsregisteramt: Es kann einen Haken hinter seine Prüfpflicht setzen
  • die Gesellschaft: Das Startup kann sich mit mehr Vorschub seiner eigentlichen Geschäftstätigkeit widmen und wird potentiell erfolgreicher
  • der Staat: Die Schweiz kann mehr besteuern, weil das Startup potentiell erfolgreicher ist

Das war jetzt eine Variation zum Thema Personenidentifizierungsdaten und Use Cases der E-ID zugleich. Wir müssen den einzelnen Themen sicher noch einige weitere dedizierte Posts widmen. Es zeigt einfach, wie sich das Thema E-ID mit dem Alltag vernetzt. Dies ist eben typisch für ein Infrastrukturprojekt, wie die E-ID es ist. Vielleicht kann ich auch dazu mal noch mehr schreiben. Hoffentlich bleibt so viel Zeit …

Das könnte Dich auch interessieren...

2 Antworten

  1. Perica Grasarevic sagt:

    Lieber Christian,

    Ausserdem wichtig: Das BGEID schützt Personenidentifizierungsdaten besonders. Es sieht auch vor, dass nicht immer alle Personenidentifizierungsdaten an die Relying Party übermittelt werden.

    Worum geht es? Das BGEID sieht Sicherheitsniveaus vor (niedrig, substanziell und hoch). Damit meint man, dass bei der Ausstellung der E-ID je nachdem mehr oder weniger Attribute abgeprüft werden.

    Zusätzlich gibt es auf der Seite der Nutzung eine Differenzierung.

    Für die meisten Nutzungen braucht es das Niveau “hoch” nicht. Für keine einzige Anwendung des Alltags braucht es das Sicherheitsniveau “hoch”. Das ist relevant. Denn nur beim Sicherheitsniveau “hoch” wird bestätigt, dass bei der Prüfung auch das Passbild der Nutzerin überprüft wurde.

    Die beiden häufigsten Einsatzformen kommen ohne das Passfoto aus. Prägnant formuliert: Bei der E-ID fallen im Alltagseinsatz keine biometrischen Daten an. Das wird ja aber von den Gegnern als Skandal aufgebauscht. Da müssten wir auch mal noch etwas dazu schreiben.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.