Ein Gesetz soll präzisieren, wann Schweizer Behörden einem Unternehmen die Bewilligung erteilen dürfen, mit ausländischen Behörden auch ausserhalb der Amtshilfe zu kooperieren. In diesem Sinne hatte der Bundesrat in Erfüllung einer Motion der FDP und in Reaktion auf den Bericht der Geschäftsprüfungskommissionen der Eidgenössischen Räte vom 30. Mai 2010 betreffend „Die Behörden unter dem Druck der Finanzkrise und der Herausgabe von UBS-Kundendaten an die USA“ 2012 den Entwurf für ein Bundesgesetz über die Zusammenarbeit mit ausländischen Behörden und über den Schutz der schweizerischen Souveränität (ZSSG) in die Vernehmlassung gegeben. Nach dem Präzedenzfall des 2013 verstorbenen Rohstoffhändlers Marc Rich, erhielt das Vorhaben den Spitznamen Lex Marc Rich. Das Gesetz soll insbesondere jene Zusammenarbeit regeln, für die spezialgesetzliche oder staatsvertragliche Bestimmungen fehlen. Weiter sind Massnahmen zum Schutz der Schweizer Souveränität vorgesehen. Dazu gehören unter anderem die Blockierung des Zugangs zu elektronischen Datenträgern oder die Unterstellung von Geschäftstätigkeiten eines Unternehmens unter eine besondere staatliche Aufsicht. Bei der Vernehmlassung wurde deutlich, dass die Bewertung des Vorhabens stark vom Steuerstreit mit den USA beeinflusst und der Entwurf als Abwehrdispositiv gegen die USA wahrgenommen wurde. Trotz der Kritik will der Bundesrat an seinem Vorhaben festhalten und dem Parlament 2014 einen überarbeiteten Gesetzesentwurf vorlegen [15].

Im Mai des Berichtjahres verabschiedete der Bundesrat einen Umsetzungsplan für die im Vorjahr vorgelegte Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS). Der bis 2017 laufende Umsetzungsplan konkretisiert sechzehn Massnahmen der Strategie und legt die Verantwortlichkeiten fest. Da eine personelle Verstärkung im Fachbereich Cyber nötig ist, beabsichtigte der Bundesrat die Schaffung von 28 Stellen in diesem Bereich [16].

Eine interdisziplinäre Expertenkommission soll die Zukunft der Datensicherheit und Datenbearbeitung untersuchen. Dies forderte eine in Reaktion auf die Enthüllungen durch den ehemaligen NSA-Mitarbeiter Edward Snowden eingereichte Motion Rechsteiner (sp, SG), welche der Ständerat in der Wintersession mit 21 zu 15 Stimmen bei 3 Enthaltungen an den Nationalrat überwies. Auch der Bundesrat ortete Handlungsbedarf in diesem Bereich und stellte in Aussicht, zu Beginn 2014 ein Bundesgesetz über die Informationssicherheit in die Vernehmlassung zu schicken. Das Gesetz werde einheitliche, formell-gesetzliche Grundlagen für die Steuerung und die Organisation der Informationssicherheit im Bund schaffen. Der Vorentwurf erfasst unter anderem die Klassifizierung von Informationen, den Schutz von IKT-Mitteln, die Personensicherheitsprüfungen sowie das vereinheitlichte Betriebssicherheitsverfahren. Weiter ist eine behördenübergreifende Organisation der Informationssicherheit im Bund vorgesehen. Eine Expertenkommission wollte der Bundesrat nicht einsetzen und er warnte vor „übertriebenem Aktivismus“ [17].

Die Debatte um den US-Abhörskandal erhielt erneut Aufwind, als das deutsche Nachrichtenmagazin Spiegel enthüllte, dass eine gemeinsame Einheit der CIA und NSA unter dem Dach der amerikanischen Uno-Mission in Genf gezielt Abhöraktionen durchgeführt hatte. Diverse Politiker forderten eine Protestnote an die US-Botschaft. Das EDA wollte jedoch keine Retorsionsmassnahmen ergreifen und der Bundesrat betonte, dass kein direkter Datenaustausch zwischen dem Nachrichtendienst des Bundes (NDB) und der NSA stattfände. Die Bundesanwaltschaft eröffnete ihrerseits mit der Genehmigung des Bundesrates ein Strafverfahren gegen Unbekannt. Gleich zu Beginn dämpfte Bundesanwalt Lauber jedoch die Erwartungen: Aus solchen Ermittlungen Erkenntnisse zu gewinnen, sei schwierig, weil sich Staaten in politischen Delikten generell keine Rechtshilfe leisteten. Durch diese Enthüllungen wurde einer bisher kaum beachteten Bestimmung im Entwurf des Nachrichtendienstgesetzes erstmals Aufmerksamkeit geschenkt: Laut dem Gesetzesentwurf soll der Austausch mit ausländischen Geheimdiensten ohne Zustimmung des Bundesrates möglich werden (Art. 10 NDG) [18].

Das neue Nachrichtendienstgesetz (NDG) sollte eine einheitliche gesetzliche Grundlage für den 2010 aus der Fusion des Inland- und des Auslandnachrichtendienstes hervorgegangenen Nachrichtendienst des Bundes (NDB) schaffen. Der Bundesrat führte im Berichtjahr eine Vernehmlassung zum entsprechenden Gesetzesentwurf durch, der vorsieht, dass die noch bestehende Zweiteilung in das Bundesgesetz zur Wahrung der inneren Sicherheit (BWIS) und in das Bundesgesetz über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes (ZNDG) aufgehoben wird. Laut dem Entwurf sollte der NDB zudem mehr Kompetenzen erhalten und besonders Terror- und Spionageverdächtige auch im Inland präventiv überwachen dürfen. Da seit der Fichen-Affäre im Jahre 1989 einer Kompetenzausdehnung des Nachrichtendienstes stets mit grossem Misstrauen begegnet wird, waren sowohl der Bundesrat als auch Nachrichtendienstchef Markus Seiler bemüht, die Bedeutung der Gesetzesvorlage zu relativieren. So bliebe die präventive Überwachung bei gewalttätigem Extremismus, dessen Grenzen zum gewaltlosen Extremismus und zum Radikalismus fliessend sind, verboten. Dennoch störte sich der Eidgenössische Datenschutzbeauftragte daran, dass der NDB ausserhalb eines Strafverfahrens über mehr Möglichkeiten in der Ermittlung verfügen sollte als die Strafverfolgungsbehörden. Die Kantone ihrerseits begrüssten das Vorhaben in der Vernehmlassung, wehrten sich aber gegen die geplante Zentralisierung der Oberaufsicht über den Staatsschutz. Sie wollten ihre Oberaufsichtskompetenz über die eigenen Staatsschutzorgane nicht an die Geschäftsprüfungsdelegation abtreten, da diese schon allein aufgrund der personellen Ressourcen keine befriedigende Kontrolle ausüben könne und damit Lücken in der Aufsicht geschaffen würden. Grosso modo sah sich der Bundesrat aber in seiner Stossrichtung bestätigt und beauftragte das VBS mit der Ausarbeitung einer Botschaft zuhanden des Parlaments, das die Vorlage 2014 beraten soll [19].

Das neue Nachrichtendienstgesetz soll die Organisation und die Aufgaben des Informationssystems innere Sicherheit (ISIS) als auch jene des Informationssystems äussere Sicherheit (ISAS) regeln. Während jedoch ISIS mit dem BWIS bereits heute über eine gesetzliche Grundlage verfügt, läuft das ISAS noch in einem durch Verordnungen geregelten Pilotbetrieb. Fehlt bis zum Ablauf der Testphase im Jahr 2015 eine gesetzliche Grundlage für ISAS, muss das Informationssystem, welches Daten ohne direkten Bezug zur Schweiz bearbeitet, laut Datenschutzgesetz eingestellt werden. Um dieses Szenario zu verhindern, legte der Bundesrat im Berichtjahr einen Entwurf zu einer Änderung des Bundesgesetzes über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes (ZNDG) vor. Im Wesentlichen sollten dabei die Bestimmungen über das ISAS von der Verordnungs- auf die Gesetzesstufe gehoben werden. Der Ständerat folgte grundsätzlich dem Vorschlag des Bundesrates. Die kleine Kammer war jedoch der Meinung, dass der Bundesrat die Kompetenz erhalten sollte, die Schutzfrist bei von ausländischen Nachrichtendiensten stammenden Informationen zu verlängern, wenn der betroffene Nachrichtendienst Vorbehalte gegen die Einsicht äussert [20].

Dass Handlungsbedarf bezüglich des Nachrichtendienstes besteht, hat im vergangen Jahr der Spionagefall im Nachrichtendienst des Bundes (NDB) bestätigt. Im Nachgang an den durch einen UBS-Mitarbeiter aufgedeckten Datendiebstahl beim NDB im Mai 2012 führte die Geschäftsprüfungsdelegation (GPDel) vom November 2012 bis Februar 2013 eine formelle Inspektion zur Informatiksicherheit im NBD durch. Im Juni des Berichtjahres übergab die Delegation den Bericht sowie elf Empfehlungen an den Bundesrat. Der Öffentlichkeit wurde aus Überlegungen zum Schutz des Staatsinteresses lediglich eine Zusammenfassung des Berichts zugänglich gemacht. Die GPDel hatte festgestellt, dass bei der Schaffung des NDB aus den beiden Vorgängerorganisationen ein Defizit an Personalressourcen bestand, da das VBS den Dienst für Analyse und Prävention (DAP) ohne Personal vom EJPD übernommen hatte. Der NBD hatte folglich dasselbe Aufgabenpensum mit weniger Arbeitskräften zu bewältigen. Aufgrund dieser knappen Personalressourcen in der Informatik und des unzulänglichen Risikomanagements war der NBD zu wenig darauf ausgerichtet, die Verfügbarkeit, die Integrität und die Vertraulichkeit der Daten als zentrale Zielsetzung der Informatiksicherheit zu gewährleisten [21].