FAQ zu Zusammenspiel AGOV & e-ID – für Behörden

Nein, AGOV bleibt der Authentifizierungsdienst der Schweizer Behörden, also das Loginsystem für das Schweizer E-Government. Denn mit der e-ID allein kann keine Anmeldung durchgeführt werden; vereinfacht gesagt handelt es sich dabei um eine digitale Identitätskarte auf dem Smartphone.

Die e-ID kann in AGOV direkt als Loginfaktor genutzt werden.

Die Bedienung ist wie folgt: Behördenapplikation aufrufen, AGOV-Loginvorgang starten, e-ID vorweisen, schon ist man eingeloggt.

Die e-ID vorweisen bedeutet konkret: mit der Wallet-App auf dem Smartphone (in der die e-ID gespeichert ist) den QR-Code der e-ID auf der AGOV-Seite scannen. Die Wallet-App heisst swiyu. Verwendung der e-ID mit AGOV kurz erklärt.

Die bisherigen AGOV-Loginfaktoren AGOV access App und FIDO-Sicherheitsschlüssel funktionieren weiterhin, Endnutzende haben die freie Wahl und können diese Loginfaktoren sogar wechselnd nutzen, mit demselben AGOV-Konto.

Die e-ID-Nutzung in AGOV hat einen sehr wünschenswerten Effekt: Das betroffene AGOV-Konto gilt dann automatisch als substanziell identitätsgeprüft. Dieser Status kann auch erreicht werden, indem die e-ID nie als AGOV-Loginfaktor verwendet, sondern einmalig auf agov.ch/me registriert wird.

Wenn AGOV-Endnutzende eine substanzielle Identitätsprüfung in AGOV wünschen, ohne Einsatz der e-ID, steht die Online-Identitätsprüfung mit physischem Ausweis in AGOV weiterhin zur Verfügung. Die Transaktionskosten gehen dabei zulasten der Behörde oder zulasten der Endnutzenden (falls die Online-Selbstbezahlung durch die Behörde in AGOV aktiviert wurde).

Nein, die E-Government-Nutzenden loggen sich weiterhin mittels AGOV in die Behördenapplikationen ein und haben dabei die freie Wahl, ob sie die e-ID hierfür einsetzen wollen, also als direkten Loginfaktor in AGOV vorweisen wollen, oder nicht. Konsultieren Sie hierzu auch die FAQ A.2.

Ja, die e-ID kann in allen Fällen zur Anmeldung bei AGOV verwendet werden, auch in solchen, die keine Identitätsprüfung erfordern.

Die AGOV-Nutzenden haben bezüglich der Loginfaktoren die freie Wahl zwischen AGOV access App, FIDO-Sicherheitsschlüssel und Schweizer e-ID und können diese Loginfaktoren auch wechselnd einsetzen, mit demselben AGOV-Konto. Damit ist die politische Vorgabe der e-ID-Freiwilligkeit technisch umgesetzt.

Auf Konfigurationsebene ist es grundsätzlich möglich, dass AGOV für die Anmeldung bei bestimmten Applikationen ausschliesslich die Schweizer e-ID als AGOV-Loginfaktor akzeptiert, dabei müssen jedoch die Rechtsgrundlagen für solche Konfigurationen und die Umsetzung der politischen Vorgabe der e-ID-Freiwilligkeit – hier also ausserhalb von AGOV – berücksichtigt werden.

Nein, ein AGOV-Login bleibt für die Zielapplikationen immer ein Original-AGOV-Login, auch wenn die e-ID als Loginfaktor eingesetzt wird.

Wenn Sie die Nutzung der e-ID empfehlen, kann dies für Ihre Behörde den Vorteil mit sich bringen, dass keine Identitätsprüfungskosten anfallen (vorausgesetzt Ihre Applikationen verlangen bei AGOV-Identitätsprüfungen). Es ist dabei die politische Vorgabe der e-ID-Freiwilligkeit zu beachten.

Da es sehr benutzerfreundlich ist, sich über AGOV direkt mit der e-ID in Applikationen einzuloggen, macht AGOV die e-ID als Loginfaktor prinzipiell attraktiv. Die e-ID-Nutzung kann grafisch in den Vordergrund gestellt werden, indem der Loginfaktor e-ID als Primärvariante dargestellt wird. Darauf wird jedoch vorerst verzichtet, weil die Nutzung der AGOV access App als Primärvariante schweizweit verbreitet ist.

Im Bereich der Identitätsprüfungen in AGOV wird den Endnutzenden der Einsatz der e-ID empfohlen und nicht die kostengenerierenden Varianten.

Wird die e-ID zur Identitätsprüfung anstelle der kostengenerierenden privatwirtschaftlichen Identitätsprüfungsmethoden in AGOV eingesetzt, fallen für die Behörden keine Kosten an. Vgl. FAQ A.2 und FAQ A.8, je letzter Absatz.

Im e-ID-Ökosystem der Schweiz wird es viele digitale Nachweise geben. Dies können sein: Personalausweise, Niederlassungsbewilligungen, Maturitätszeugnisse, Fahrausweise, Immatrikulationsausweise, Mitgliederausweise und viele mehr. AGOV ist in der Lage, sämtliche digitalen Nachweise aus dem Schweizer e-ID-Ökosystem an Zielapplikationen zu übermitteln, und zwar als Attribute im OIDC- respektive SAML-Kontext. Die Zielapplikationen müssen AGOV mitteilen, welche digitalen Nachweise beim Login erfasst werden müssen und ob diese Erfassung optional oder verpflichtend ist.

Weder e-ID noch AGOV sind elektronische Signaturen oder Auslöser von digitalen Signaturen oder Signaturdienste. Will eine Behörde Dokumente elektronisch signieren lassen, ist das AGOV-Login in den Signaturprozess selbst nicht involviert, möglicherweise aber das Login in den Datenraum, in dem das entsprechende Dokument liegt oder in den es hochgeladen werden soll.

Die Benutzerfreundlichkeit steigt, wenn keine digitalen Signaturen für Willensbekundungen notwendig sind, sondern das eigentliche AGOV-Login hierfür genügt. Behörden haben die Gültigkeit hochwertiger AGOV-Logins als Willensbekundung bereits eingeführt und rechtlich verankert (vgl. Willensbekundung mit und ohne QES im AGOV/e-ID-Kontext).

Bei AGOV ist eine Trennung möglich, bei der e-ID nicht. Letzteres lässt sich daraus ableiten, dass es auch bei der physischen Identitätskarte keine derartige Trennung gibt. Gleichzeitig relativiert sich dieser Umstand durch AGOV: Mit einer Schweizer e-ID können mehrere AGOV-Konten verbunden werden.

Eine Trennung auf Ebene AGOV ist somit möglich, aber nicht zwingend erforderlich. Mit einem einzigen AGOV-Konto können sämtliche Transaktionen abgewickelt werden – ob privat, geschäftlich oder im Vereinskontext. Das AGOV-Konto repräsentiert dabei stets die natürliche Person, die für sich selbst oder eine Körperschaft handelt; der jeweilige Handlungskontext wird nicht in AGOV abgebildet, sondern in der jeweiligen E-Government-Anwendung der Behörde, mit der interagiert wird. Alternativ kann der Handlungskontext auch über AGOV mitgegeben werden, etwa wenn die Zielapplikation einen entsprechenden (zusätzlichen) digitalen Nachweis aus dem e-ID-Ökosystem bei AGOV anfragt und die Endnutzenden diesen übermitteln, beispielsweise eine MDID (agov.ch/mdid).

Viele Endnutzende schätzen jedoch eine Trennung auf der Ebene der AGOV-Konten. Diese lässt sich erreichen, indem mehrere AGOV-Konten registriert werden – jeweils unter einer kontextuell passenden E-Mail-Adresse – und optional mit der e-ID der Person verknüpft werden. AGOV funktioniert dabei auch ohne e-ID, etwa mit der AGOV access App und/oder FIDO-Sicherheitsschlüsseln; letztere können mehrere AGOV-Konten aufnehmen.

Für juristische Personen handeln natürliche Personen und letztere nutzen hierfür AGOV mit oder ohne Einsatz der e-ID. Vgl. auch FAQ A.14.

Eigentlich nein, die e-ID und AGOV – also das AGOV-Login mit und ohne Einsatz der e-ID – repräsentieren immer genau eine natürliche Person, die für sich selbst handelt oder für andere. Es ist Sache der Zielsysteme, einen Kontext herzustellen (z. B. Feststellung und Abbildung der für die Transaktion relevanten Zugehörigkeit). AGOV kann jedoch durch die Vermittlung von zusätzlichen digitalen Nachweisen Kontextinformationen aus dem e-ID-Ökosystem bereitstellen, z. B. elektronische Personalausweise. Vgl. hierzu FAQ A.10 und agov.ch/mdid.

Nein. AGOV kann zwar solche entgegennehmen und an die Zielapplikationen weiterleiten (vgl.FAQ A.10), AGOV ist aber kein sogenannter Issuer von digitalen Nachweisen im Schweizer e-ID-Ökosystem. Bezüglich Issuing siehe Stichwort DVS4U.

Auf physischen Ausweisen sind weder E-Mail-Adresse noch Wohnadresse vermerkt, da diese Daten zu oft ändern. Dieselbe Überlegung gilt für die Schweizer e-ID. AGOV ergänzt die Ergebnisse von Loginvorgängen, bei denen die e-ID direkt eingesetzt wird, immer um diese Angaben, damit die Zielapplikationen immer einen vollwertigen original-geformten AGOV-Authentifizierungstoken erhalten. Ausnahme: Wenn Behörden für bestimmte Zielapplikationen genau diese Datenergänzung deaktivieren (bis jetzt gibt es keinen solchen Fall und keinen plausiblen Use-Case).

AGOV stellt keine Maschinen-Identitäten zur Verfügung. Im Falle von Automatisierung muss sich die natürliche Person zuerst einloggen und danach die Automatisierung starten, also z. B. den KI-Agenten.

Wenn Sie Ihre Applikationen mit AGOV verbinden, ist kein separater e-ID-Anschluss mehr notwendig, AGOV vermittelt die e-ID an Ihre Applikationen. Füllen Sie das richtige Formular unter agov.ch/contact aus.