Zur Sorgfaltspflicht der E-ID-Nutzerin (Art. 12 Abs. 1 BGEID)
In der öffentlichen Diskussion stören sich namentlich Konsumentinnenschutzorganisationen, aber auch die Republik.ch sowie gewisse Blogger und Twitterer daran, dass das BGEID der Inhaberin der E-ID (der Nutzerin) Sorgfaltspflichten auferlegt.
Massgebliche Gesetzesbestimmung
Die massgebliche Bestimmung im BGEID sagt dazu Folgendes:
Die Inhaberin oder der Inhaber einer E-ID hat die nach den Umständen notwendigen und zumutbaren Massnahmen zu treffen, damit seine [sc. bzw. ihre] E-ID nicht missbräuchlich verwendet werden kann.
Art. 12 Abs. 1 BGEID
Analyse
Was meint diese Bestimmung? Die Botschaft des Bundesrats zum BGEID enthält die folgenden Klärungen:
Fehler in den Personenidentifizierungsdaten muss man melden
Wenn die Nutzerin in ihren Personenidentifizierungsdaten einen Fehler festgestellt hat, muss sie diese dem Identity Provider (IdP) melden. Es geht um die folgenden Angaben:
- Vorname(n)
- Nachname
- Geburtsdatum
- Geschlecht
- Geburtsort
- Staatsangehörigkeit
Das ist sicher nicht zuviel verlangt. Jede Nutzerin wird das können. Die Nutzerin kann dies auch besser als irgendjemand anders (cheapest cost avoider). Die Nutzerin kann so zur Qualität der E-ID beitragen.
Und selbst wenn eine Nutzerin dies nicht melden sollte: Ich kann mir gerade keinen Anwendungsfall vorstellen, wie dies ihr gegenüber zu Haftung führen würde. (Zur Haftung erstellen wir aber einen anderen Beitrag.)
Wer von einem Missbrauch der eigenen E-ID Kenntnis hat, muss melden
Wer weiss, dass die eigene E-ID missbraucht wird, wird dies melden müssen.
Dies ist ebenfalls zumutbar. Warum sollte ich nicht melden, wenn ich doch vom Missbrauch weiss?
Umgekehrt: Wer nichts vom MIssbrauch weiss, der muss auch nichts melden.
Sorgfältiges Aufbewahren der Zugangsdaten
Schliesslich wird die Nutzerin ihre Zugangsdaten noch sorgfältig aufbewahren müssen. Und sie wird sie mit keinen Dritten teilen dürfen. Die Botschaft (Bundesblatt 2018, ab Seite 3915) erwähnt dies auf Seite 3955.
Zugangsschutz auf dem Handy aktivieren
Ebenso zumutbar sind beispielsweise die Aktivierung des Zugangsschutzes (z.B. PIN oder Fingerabdruckerkennung), dazu ebenfalls die Botschaft auf Seite 3955.
Installation eines Virenschutzprogramms auf dem Handy
Die Botschaft (Seite 3955) regt zudem an, dass die Nutzerin einen Virenschutz auf dem als E-ID-Träger genutzten mobilen Gerät installiert.
Schlussbemerkung
Die Sorgfaltspflichten der Nutzerin scheinen nicht besonders streng. Auf jeden Fall erscheinen sie als zumutbar.