“Schluss mit dem Passwortchaos.” - so wirbt die Website von e-ID Schweiz für die aktuell diskutierte E-ID. Online soll damit vieles einfacher und sicherer werden, weniger Schlange stehen am Schalter sowie weniger Papierkram. Für Vorsorgeeinrichtungen und deren Kunden verspricht die E-ID eine markante Vereinfachung beim digitalen Zugang, es verbleiben aber einige Stolpersteine, die es zu adressieren gilt, damit die involvierten Parteien auch wirklich profitieren können.
Komfortgewinn dank der E-ID
Dank der E-ID sollen Versicherte in Zukunft sehr einfach auf ihre Daten in der 2. Säule zugreifen und über den digitalen Kanal z.B. eine Einzahlung in ihre Pensionskasse erledigen können. Zusätzlich können sie Dritten den Zugriff durch eine Schnittstelle (API) erlauben. So werden dank der E-ID auch mehrwertige Dienste im Ökosystem ermöglicht.
Der wesentliche Vorteil einer E-ID besteht jedoch aus unserer Sicht in der stark vereinfachten Registrierung bei digitalen Dienstleistern. Man kennt das: mühselig gibt man all seine Personendaten ein, E-Mails zur Verifizierung werden hin und her geschickt und sogar physische Briefe mit Registrierungscodes, die ebenfalls wieder eingegeben werden müssen. Ein solcher Ablauf kann sich oftmals über viele Tage ziehen. Das ist besonders für weniger digital-affine Personen ein anstrengender Prozess. Und da man selten auf seine Vorsorgedaten zugreift, steht der Aufwand der Registrierung in keinem Verhältnis zum Nutzen und schreckt eher ab.
Stellen Sie sich nun vor, sie müssen sich nur ein einziges Mal für die E-ID registrieren, und der ganze Prozess ist erledigt. Man erhält danach “Instant-Access”, also den sofortigen Zugang ganz ohne die schleppende, manuelle Registrierung für jeden digitalen Dienst. Und die Sicherheit ist dabei vollständig gewährleistet. Ausserdem sind die Daten stets korrekt verifiziert und es besteht keine Gefahr mehr sich zu vertippen oder zu verschreiben. Die Inhaber einer solchen E-ID werden begeistert sein. Auch seitens Pensionskassen bringt dies markante Vorteile, da es keine komplizierte Registrierungsprozesse mit hohen Kosten und Fehleranfälligkeit mehr benötigt.
Der Missing Link
So weit so gut. Nur leider ist die Sache noch nicht ganz zu Ende gedacht. Bei der erwähnten Registrierung mittels E-ID, muss die Pensionskasse in ihrem Datenbestand den passenden Versicherten finden. Diese Versicherten werden typischerweise in solchen Systemen anhand der Sozialversicherungsnummer (AHVN13) eindeutig identifiziert. Tönt einfach und wäre es eigentlich auch, nur fehlt bei den Attributen, welche die E-ID zur Person mitliefert eben genau diese Sozialversicherungsnummer.
Gemäss dem Gesetz, das in der Schweiz demnächst zur Abstimmung kommt, werden mit einer E-ID auf dem Sicherheitsniveau 'substantiell' nur die folgenden verifizierten Attribute zur Person mitgeliefert:
- Name, Vorname
- Geschlecht
- Geburtsdatum
- Geburtsort
- Staatsangehörigkeit
Auch wenn nun eine Pensionskasse auf Basis dieser Attribute - ausschliesslich dem Geburtsort, den sie kaum kennt - einen Versicherten in ihrer DB findet, heisst dies leider noch nicht abschliessend, dass es sich um den Inhaber der E-ID handelt. Einen solchen Match zu akzeptieren, wäre geradezu fahrlässig, sind doch die Versichertendaten in hohem Masse schützenswert.
Auf Umwegen zur Sozialversicherungsnummer
Nur mit der korrekten und passenden AHVN13 wird der Versicherte letztendlich eindeutig identifiziert. Und weil die E-ID diese AHVN13 nicht als Attribut mitliefert, muss die Pensionskasse eine Schnittstelle der Zentralen Ausgleichsstelle anbinden - die sogenannte ZAS UPI.
Dazu wird im Vorfeld eine legitimierte Benutzung beim ZAS beantragt, welche den Tätigkeitsbereich prüft, in dem die AHVN13 genutzt werden soll. Ist die Organisation nicht im Verzeichnis der systematischen Benutzer von AHVN13, kann eine berechtigte Person - in der Regel ein Geschäftsleitungsmitglied - online die Anmeldung für die systematische Verwendung der AHVN13 ausfüllen.
Mithilfe der E-ID Attribute als Input kann die Pensionskasse entsprechend die Person im Register der ZAS mit deren AHVN13 gefunden werden. Die ZAS UPI berücksichtigt dabei auch den Geburtsort als Parameter, so kann die gesuchte Person in der Anfrage präziser beschrieben werden.
Werden für eine E-ID mehrere Personen gefunden - was durchaus passieren kann, braucht es einen Fallback, damit der Schutz der Versichertendaten gewährleistet ist. Beispielsweise kann man dann mit weiteren Abfragen nach einer Information verlangen, die der Versicherte seinem letzten Vorsorgeausweis entnehmen kann.
Fazit und Ausblick
Die E-ID kann als wertvolles Bindeglied bei der Registrierung und Authentifizierung bei digitalen Angeboten von Pensionskassen dienen. Allerdings ist das Konzept noch nicht ganz zu Ende gedacht, wie am Beispiel der Problematik mit der Sozialversicherungsnummer deutlich wird. Auch ist der Bezug einer E-ID noch zu wenig klar spezifiziert und eingebettet in weitere Regulatorien (Stichworte: ZertES, Finma). Eine Standardisierung und Harmonisierung von weiteren Registern sollte den Weg ebnen, damit das Gesamtsystem E-ID nahtlos mit allen Anbietern verwendet werden kann und so auch den gepriesenen Nutzen stiftet.
Fragestellungen wären dabei:
Wie kann man Prozesse für den Kunden vereinfachen? Wie erhöht man (dabei) die Sicherheit und die Durchgängigkeit zwischen den Prozessen? Welchen weiteren positiven Aspekte kann man erzielen?
Und welche Vorteil ergeben sich für den Anbieter selber?
Reichlich Potenzial für Mehrwert ist auf jeden Fall vorhanden.