Nun bewahrheitet sich, was ich schon geschrieben habe: Die eID kommt nicht mehr 2026…sondern im ersten Halbjahr 2027.

Ich verstehe den Frust bei Allen, die beim eCollecting (Unterschriftensammelung für Volksinitiativen und Referenden) vorwärts machen wollen. Sich für digitale Barrierefreiheit einsetzen (die ist bei diesem Projekt von Anfang an mitgedacht). Oder endlich die eID-Lösung und Vertrauensinfrastruktur aufgebaut haben wollen, bevor wieder die USA ihren dystopisch unsinnigen «Age Verification»-Wahnsinn durchsetzen.

Was ich mit «Age Verification«.Wahnsinn meine, habe ich in einer meiner CTRL-Newsletter aufgeschrieben. Eine Rekapitulation:

Staaten mit Social-Media-Verboten für Teenager lagern die Verantwortung diesbezüglich an die Platt­formen aus. Und forcieren damit den Aufbau einer potenziell globalen Überwachungs­struktur. Vorangetrieben wird dies von Regulierungen verschiedener Länder – die Auswirkungen auf die gesamte Welt haben könnten.

Wie es dazu kam?

Der Meta-Konzern von Mark Zuckerberg wurde von zwei US-Gerichten verurteilt. Im Bundesstaat New Mexico belegte die Staats­anwaltschaft, dass die Meta-Plattformen für sogenanntes Grooming verwendet wurden, also zur Kontakt­aufnahme von Erwachsenen mit Minder­jährigen in der Absicht, sie zu missbrauchen. Die Straf­ermittlerinnen gaben sich als Kinder aus und wurden von Erwachsenen belästigt.

Interessant ist dabei, was der Meta-CEO vor Gericht als Lösung präsentierte: Zuckerberg argumentierte, dass Anbieter von Betriebs­systemen besser in der Lage seien als etwa soziale Netzwerke, Tools zur Alters­überprüfung zu implementieren. Kurz: Zuckerberg sourct sein Problem der Alters­verifikation einfach an Google, Apple, Microsoft und Linux (es gibt keine Ausnahme für Open-Source-Anbieter) out.

Er wurde erhört. Gleich mehrere US-Bundes­staaten haben Gesetze zur Alters­verifikation verabschiedet, wie eine Analyse von tboteproject.com zeigt. Vorreiterin ist Kalifornien, wo viele Tech-Konzerne beheimatet sind. Dort verlangt ein neues Gesetz, das am 1. Januar 2027 in Kraft tritt, dass Anbieter eines Betriebs­systems das Alter ihrer Nutzerinnen erfassen müssen. Die Alters­information soll permanent an alle Apps ausgespielt werden. Wie sie dies umsetzen, obliegt ihnen.

Was das konkret bedeutet, kann man in Gross­britannien beobachten. Apple fordert dort seit einigen Monaten beim Update des Betriebs­systems von iPhone-Besitzern, ihre Identität entweder mit einer ID oder ihrer Kredit­karte zu verifizieren. Verweigern sie dies, wird Apple Filter einsetzen. Sie werden demnach als «minderjährig» eingestuft. Gesetzes­grundlage dafür ist der britische «Online Safety Act». Denselben Mechanismus rollte Apple auch in Singapur und Südkorea aus.

Mit der eID könnten wir jenes Problem mehr oder weniger lösen:

In Europa soll der Alters­nachweis nämlich mit einer dezentralen Struktur (somit das Gegenteil für eine zentralisierte Identiätsprüfung durch Betriebssysteme) für die kommende staatliche digitale Identität (E-ID-Wallet «Swiyu» in der Schweiz, EUDI-Wallet in der EU) mit einem krypto­grafisch gesicherten Hinweis gelöst werden. Dieser gibt nur bekannt, ob ein User über 18 Jahre alt ist oder nicht, ohne Preisgabe des genauen Geburts­datums, Namens und weiterer Informationen. Die Daten­hoheit soll bei den Nutzern verbleiben, mit einer dezentralen Struktur.

Daran arbeiten das Bundesamt für Justiz sowie zahlreiche weitere Behörden. Social-Media-Platt­formen wie Tiktok oder Instagram müssten sich für die «Vertrauens­infrastruktur» für E-ID-Daten­abfragen anmelden, dürften nur das Alter anfordern und keine weiteren Daten.

Doch es gibt auch gute Gründe, warum sich die eID-Einführung verzögern sollte. Ich habe darüber bereits auf dnip.ch im Februar 2026 geschrieben:

Wir erinnern uns: die Stimmbevölkerung hat die eID denkbar knapp an der Urne angenommen. (50.4% JA)

«Zur Erlangung des Vertrauens der Schweizer Bevölkerung in diese vom Bund bereitgestellte Lösung wird es keine zweite Chance geben». Diese drastische Worte wählte die Eidgenössische Finanzkontrolle EFK in einem Bericht über das Projekt staatliche eID, der heute für die Medien freigegeben worden ist.

Nach der Lektüre des Berichts ist klar: Kritische Stimmen aus der Fachwelt wurden in allen Punkten bestätigt. So schrieb die Republik in ihrer Analyse vor der Abstimmung, dass besonders Kryptologen und Expertinnen für digitale Identitäten den ambitionierten Fahrplan des eID-Projektteams anzweifeln. Diese beteuerte auch nach dem knappen Abstimmungsresultat im September 2025, dass man nach wie vor an der Lancierung im 2026 festhalten möchte.

Die Experten empfahlen im Vorfeld der Abstimmung, Tempo rauszunehmen, an sicheren Architekturen zu tüfteln und auch in Sachen Konsumentenschutz über die Bücher zu gehen. Die Hauptkritik der EFK gilt denn auch der geplanten technischen Infrastruktur: Dass nicht automatisch verhindert werde, dass Unternehmen zu viele Daten abfragen. So darf ein Online-Händler beispielsweise für den Kauf von Alkohol einen Altersnachweis verlangen, nicht aber das konkrete Geburtsdatum oder die Sozialversicherungsnummer einer E-ID-Nutzerin. Falls er solche Angaben dennoch einfordert, wird er für übermässiges Datensammeln nur dann bestraft, wenn Betroffene dies melden. Das kritisieren auch die Gegner der E-ID-Vorlage vor der Abstimmung. 

Die EFK fordert vom Bundesamt für Justiz (BJ), dass man sich hier an den strengeren Vorgaben der EU orientiert und das Vertrauensregister auf die Datenabfrage ausweiten soll. Bisher war nur vorgesehen, dass Unternehmen neben dem einfachen Basisregister (wo sie quasi ihre Teilnehmerschaft an der eID-Vertrauensinfrastruktur anmelden können und lediglich Basisdaten hinterlegen) ihre Identität vom BJ freiwillig überprüfen lassen können. Und nach positiver Prüfung einen Vertrauensregister-Eintrag erhalten. Was danach passiert und ob Unternehmen sich an die Regeln halten, wollten die Behörden nicht proaktiv weiterverfolgen.

Grund dafür sei zum einen, dass man «den Einsatz der E-ID durch behördliche Prüfungen nicht erschweren will», sagt der Bund in seiner Stellungnahme zum EFK-Bericht. Es gehe aber auch darum, «die Wahrnehmung zu vermeiden, dass einzelne Teilnehmer vertrauens­würdiger seien als andere». Das BJ hat die Kritik der EFK jedoch angenommen und werde prüfen, wie man die Akzeptanz in die eID verbessern in diesem Bereich.

Die EFK kritisiert ausserdem die fehlenden Kontrollen beim Basisregister NACH Registrierung: „Während diejenigen Teilnehmenden, die auf eigenen Wunsch im Vertrauensregister eingetragen werden wollen, vorab einen Prüfungsprozess durchlaufen müssen, sind im Basisregister aller registrierter Teilnehmender keine Kontrollen geplant. Sobald ein Teilnehmender in der Portalanwendung der Vertrauensinf-rastruktur registriert ist und die notwendigen Gebühren entrichtet hat, kann der Zugang genutzt werden. Zur Registrierung sind nur wenige Daten verpflichtend anzugeben, und die erfassten Daten unterliegen keinen Kontrollen. Das Programm E-ID begründet dies damit, dass die im Basisregister erfassten Daten der Teilnehmenden ohnehin an keiner weiteren Stelle zur Verwendung kommen.“

Und nun: wegen Datenschutzbedenken ist das BJ eben doch gezwungen jene Punkte ernst zu nehmen.

Etwa die Sperrung der unsinnigen AHV-Nummer in der eID (die wir ja im normalen laminierten Papierpass ja auch nicht vorweisen müssen) für die Unternehmen, die diese nicht brauchen und auch nie abfragen dürfen..

Und deshalb verzögert sich das ganze Vorgehen. Wie gesagt: aus guten Gründen…