Suche zurücksetzen

Inhalte

  • Datenschutz
  • Datenschutz und Statistik

Akteure

  • Flach, Beat (glp/pvl, AG) NR/CN
  • Markwalder, Christa (fdp/plr, BE) NR/CN
  • Lobsiger, Adrian

Prozesse

17 Resultate
Als PDF speichern Weitere Informationen zur Suche finden Sie hier

Im Nationalrat verlief die Beratung des Bundesgesetzes über die Digitalisierung im Notariat nicht annähernd so harmonisch wie zuvor in der Ständekammer. So hatte sich der Zweitrat in der Frühjahrssession 2023 zunächst mit einem Nichteintretensantrag einer Minderheit Addor (svp, VS) zu befassen. Wie der Minderheitssprecher ausführte, bestehe keine nachgewiesene praktische Notwendigkeit für ein solches Gesetz. Die Abwesenheit eines Bundesregisters für Urkunden schaffe aktuell keinerlei Schwierigkeiten und es bestehe kein Bedarf, ein solches zu schaffen. Zudem sei der Entwurf zu detailliert und gehe zu weit über die Frage der Digitalisierung hinaus, sodass er zu stark ins kantonale Notariatswesen eingreife. Nicht zuletzt bringe ein zentralisiertes Urkundenregister auch neue Datenschutzprobleme mit sich, gerade wenn der Zugang zu diesem Register wie im vorliegenden Entwurf unzureichend geregelt sei. Demgegenüber beantragte die Mehrheit der vorberatenden RK-NR Eintreten. Der digitale Geschäfts- und Amtsverkehr könne nur dann sinnvoll genutzt werden, wenn auch die entsprechenden Belege, bei denen es sich in vielen Fällen um öffentliche Urkunden handle, in elektronischer Form eingereicht werden können, hob Kommissionssprecher Beat Flach (glp, AG) den Zweck des Gesetzes hervor. Der Bund stelle nur das Urkundenregister zur Verfügung und greife ansonsten nicht in den notariellen Prozess ein. Die Kantone könnten das zentrale Register dann als Modul in ihre eigenen Softwarelösungen integrieren. Es sei aber «zentral, dass die Sicherheit und Langlebigkeit der Urkunden im ganzen Land einheitlich geregelt wird», erklärte der Berichterstatter. Im Gesetz seien nur die Grundsätze zu elektronischen öffentlichen Urkunden festgelegt, damit die detaillierten Ausführungsbestimmungen, die auf Verordnungsstufe geregelt werden sollen, einfacher den technischen Veränderungen angepasst werden können, so Flach weiter. Der Sensibilität der betreffenden Daten sei sich die Kommission durchaus bewusst, weshalb sie in diesem Bereich noch an der Vorlage nachgebessert habe. Nach ausführlicher Debatte trat der Nationalrat mit 134 zu 54 Stimmen bei einer Enthaltung auf den Entwurf ein. Für Nichteintreten votierten die geschlossene SVP-Fraktion sowie der Tessiner Mitte-Vertreter Marco Romano.
Die bereits erwähnten Präzisierungen zum Datenschutz, die die Kommissionsmehrheit vorschlug, wurden von einer Minderheit als unnötig erachtet, weil diese Fragen bereits im Datenschutzgesetz geregelt seien, so die Minderheitssprecherin Christa Markwalder (fdp, BE). Die Kommissionsmehrheit wollte im Gesetz explizit festschreiben, dass das Bundesamt für Justiz das zentrale Urkundenregister aufbaut und führt sowie dessen Betrieb, Weiterentwicklung und Sicherheit gewährleistet. Sowohl das BJ als auch die Stellen, die das System nutzen, sollen zudem ausdrücklich für die Gewährleistung des Datenschutzes und der Datensicherheit verantwortlich gemacht werden. Die Volkskammer hiess die vorgeschlagenen Ergänzungen mit 157 zu 38 Stimmen gegen den Widerstand aus den Fraktionen der GLP und der FDP gut. Eine Minderheit Kamerzin (mitte, VS), die noch weiter gehen wollte als die Kommissionsmehrheit und im Gesetz zusätzlich festschreiben wollte, dass sämtliche Zugriffe auf das Urkundenregister mit Angabe der Uhrzeit und der Identität der zugreifenden Person protokolliert werden müssen, scheiterte im Rat jedoch mit 113 zu 82 Stimmen. Sie wurde nur von den Fraktionen der SVP und der Mitte unterstützt. Kommissionssprecher Flach versicherte, die Zugriffsrechte würden auf dem Verordnungsweg geregelt und die Kommission werde «dann gewiss auch das Recht beanspruchen, diese Verordnungen anzuschauen». Alle übrigen Bestimmungen nahm der Nationalrat stillschweigend gemäss Antrag seiner Rechtskommission an. In der Gesamtabstimmung hiess er den Entwurf mit 142 zu 53 Stimmen gut. Abgelehnt wurde er von der geschlossenen SVP-Fraktion, die zu Beginn schon nicht darauf hatte eintreten wollen.

Notariatsdigitalisierungsgesetz (BRG 21.083)

In Anbetracht der steigenden Vernetzung und Zahl von Datenbanken auf Bundes- und Kantonsebene forderte Beat Flach (glp, AG) mittels eines Postulats einen Bericht, welcher die Risiken der Datenbanken und den Handlungsbedarf bezüglich des Datenschutzes aufzeigen soll. Ferner solle der Bericht auch als Gesamtübersicht über die bestehenden Datenbanken, deren Art, Umfang und Zweck, deren Vernetzung und Zugriffe dienen. Um hohe Kosten im Schadensfall zu verhindern, sei es unerlässlich, die Risiken des Datentransfers zu kennen und Sicherheitslücken vorsorglich zu schliessen, argumentierte der Postulant. Der Bundesrat beantragte mit dem Argument des Legalitätsprinzips die Ablehnung des Postulats: Staatliche Datenbanken müssten demnach zwingend auf einer gesetzlichen Grundlage basieren, die deren Zweck, die Zugriffe und das Auskunftsrecht regle. Ausserdem sei die Transparenz solcher Datenbanken auf Bundesebene durch die Meldepflicht nach dem Datenschutzgesetz gewährleistet. Bezüglich kantonaler Datenbanken lägen die Kompetenzen hingegen vollständig bei den Kantonen. Justizministerin Karin Keller-Sutter merkte im Nationalratsplenum an, dass gewisse Herausforderungen bezüglich der Datensicherheit in Datenbanken bereits 2018 und 2019 in den Berichten «Zukunft der Datenbearbeitung und Datensicherheit» respektive «Herausforderungen der künstlichen Intelligenz» dokumentiert worden seien. Entgegen dem Antrag des Bundesrats nahm der Nationalrat das Postulat in der Herbstsession 2021 mit 167 zu 24 Stimmen bei 3 Enthaltungen an.

Datenschutz bei den Datenbanken des Bundes und der Kantone - Es braucht eine Gesamtschau (Po. 19.4567)

In der Sommersession 2020 beugte sich der Nationalrat, nachdem er bei seiner ersten Beratung im Frühling 2018 nicht auf das Geschäft eingetreten war, zum zweiten Mal über den Entwurf zum Informationssicherheitsgesetz (ISG). Die SiK-NR hatte in der Zwischenzeit die angeforderten Verbesserungsvorschläge vom VBS bezüglich der Kosten für öffentliche und private Unternehmen, zur verstärkten Kontrolle des Parlaments bei der Anwendung und Überwachung des Gesetzes, zur Abstimmung des ISG auf die Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken sowie zur Möglichkeit, den Bereich Personensicherheitsüberprüfung in einen separaten Erlass auszulagern, erhalten und diskutiert. Sie beantragte ihrem Rat nun, auf die Vorlage einzutreten. Vertreterinnen und Vertreter sämtlicher Fraktionen ausser der SVP – deren Sprecher David Zuberbühler (svp, AR) das Gesetz als «umfangreiches und komplexes Bürokratiemonster» bezeichnete und die hohen Umsetzungskosten kritisierte – betonten unisono die dringende Notwendigkeit des Gesetzes im Zeitalter der Digitalisierung und sahen die Kosten angesichts des hohen Schadenspotenzials bei Cyberangriffen als verhältnismässig an. Auch Bundesrätin Viola Amherd hob hervor, dass die Kosten zur Umsetzung des ISG «im Verhältnis zu dessen Nutzen gering und gerechtfertigt» seien, denn das ISG werde «zahlreiche wesentliche Sicherheitslücken schliessen, Einheitlichkeit schaffen und gleichzeitig die Effizienz und Wirksamkeit der bestehenden Sicherheitsmassnahmen erhöhen». Nicht zuletzt sei auch die international tätige Wirtschaft auf das Gesetz angewiesen, da sich die entsprechenden Unternehmen sonst nicht mehr zertifizieren lassen und keine Aufträge im sicherheitsrelevanten Bereich mehr ausführen könnten; «das wäre dann der Schaden für die Wirtschaft, nicht die etwas vermehrten Kosten, die sich durch dieses Gesetz ergeben», so die VBS-Chefin weiter. So trat der Nationalrat diesmal ohne Gegenantrag auf die Vorlage ein.
In der Detailberatung schuf die grosse Kammer zwei Differenzen zum Ständerat. Erstens ergänzte sie auf Antrag ihrer Kommission einen Absatz, wonach der Bundesrat seine Ziele und die Kosten für die Informationssicherheit den sicherheitspolitischen Kommissionen vorlegen muss. Damit sollen diese auf jeden Fall zu einem allfällig geplanten Wechsel des Sicherheits-Ambitionsniveaus, das vom Bundesrat festgelegt wird, konsultiert werden, weil der Wechsel auf eine höhere Sicherheitsstufe beträchtliche Mehrkosten nach sich ziehen würde. Der Bundesrat hatte diese Änderung abgelehnt, weil sie angesichts der ohnehin umfassenden Kontrollrechte des Parlaments über den Bundesrat und die Verwaltung in seinen Augen überflüssig sei, unterlag mit diesem Antrag jedoch deutlich. Zweitens schloss sich der Nationalrat in der Frage der Verwendung der AHV-Nummer als Personenidentifikator wieder dem Entwurf des Bundesrats an, nachdem der Ständerat hier weiter gegangen war und die systematische Verwendung der AHV-Nummer hatte erlauben wollen. In der bundesrätlichen Version, für die sich die Kommissionsmehrheit stark gemacht hatte, darf die AHV-Nummer einmalig zur Personenidentifikation verwendet werden, muss nach der Erzeugung einer nicht zurückrechenbaren Personennummer aber gelöscht werden. Eine Minderheit Keller-Inhelder (svp, SG), die gar keine Verwendung der AHV-Nummer erlauben wollte, und eine Minderheit Flach (glp, AG), die den ständerätlichen Beschluss stützte, blieben chancenlos – letztere sogar, obwohl sich der Bundesrat mittlerweile ebenso für die systematische Verwendung der AHV-Nummer aussprach, weil diese mit einer Revision des AHV-Gesetzes sowieso eingeführt werden sollte. Mit diesen zwei inhaltlichen Änderungen sowie einigen redaktionellen Anpassungen übergab der Nationalrat die Vorlage in der Gesamtabstimmung mit 131 zu 53 Stimmen bei einer Enthaltung – sämtliche Opposition aus der SVP-Fraktion – wieder an den Ständerat.

Informationssicherheitsgesetz (BRG 17.028)

Mitte Mai 2020 verabschiedete der Bundesrat die bis Ende Juni befristete «Verordnung über den Pilotversuch mit dem ‹Swiss Proximity-Tracing-System› zur Benachrichtigung von Personen, die potenziell dem Coronavirus (Covid-19) ausgesetzt waren». Darin werden gestützt auf das Datenschutzgesetz die Organisation, der Betrieb, die bearbeiteten Daten und die Nutzung der Proximity-Tracing-App für die Dauer der Pilotphase geregelt. Die App werde zunächst versuchsweise Mitarbeiterinnen und Mitarbeitern der ETHZ und der EPFL, Armeeangehörigen, Mitarbeitenden von Spitälern, der eidgenössischen und kantonalen Verwaltungen sowie weiteren ausgesuchten Organisationen zur Verfügung gestellt, damit diese allfällige technische Mängel und Probleme in der Benutzbarkeit aufdecken können, wie der Bundesrat per Medienmitteilung bekannt gab. Die Pilotphase startete schliesslich am 25. Mai. Spätestens Ende Juni soll sie beendet und die «SwissCovid»-App für die Bevölkerung freigegeben werden.
Zweck der App ist es, das klassische Contact Tracing der kantonalen Behörden zu ergänzen. Sie sei technisch nicht in der Lage, Standortdaten aufzuzeichnen, führte der Bundesrat aus, sondern tausche lediglich anonyme Codes mit anderen Smartphones in der Nähe aus. So könnten keine Personendaten rückverfolgt und die Privatsphäre bestmöglich geschützt werden. Diese Einschätzung teilte auch der EDÖB Adrian Lobsiger. Was er bisher vom Projekt gesehen habe, gebe keinen Anlass zu datenschutzrechtlichen Bedenken, sagte er in einem Interview mit «Le Temps». Das Entwicklerteam habe alles getan, um die Anonymität und die Privatsphäre der App-Nutzerinnen und -Nutzer zu gewährleisten, wobei er insbesondere die dezentrale Datenspeicherung und die freiwillige Nutzung der App lobend hervorhob. Er werde allerdings «sehr wachsam» sein, dass kein Druck zur App-Nutzung auf Arbeitnehmende oder Kundinnen und Kunden von Geschäften ausgeübt werde, fügte Lobsiger an.
Zusätzlich zur Funktionalitätstestphase kündigte der Bundesrat einen öffentlichen Sicherheitstest des Systems an. Zu diesem Zweck wurden alle Quellcodes der SwissCovid-App öffentlich zugänglich gemacht, sodass Fachleute und interessierte Personen das System auf Sicherheitslücken prüfen können. Die Ergebnisse werden vom Nationalen Zentrum für Cybersicherheit (NCSC) öffentlich einsehbar gesammelt, bewertet und gegebenenfalls zum Anlass für Anpassungen an der App genommen. Der Sicherheitstest sollte am 28. Mai starten und so lange dauern, bis ihn das NCSC für beendet erklärt.

Einführung der SwissCovid-App

Im Kampf gegen die Ausbreitung des Coronavirus setzten mehrere früh von der Pandemie betroffene Länder, beispielsweise China, Singapur, Südkorea oder Taiwan, auf staatlich verordnetes Mobiltelefon-Tracking, damit die Behörden den Standort einer Person verfolgen und so einerseits die Einhaltung von Isolation und Quarantäne überwachen und andererseits Passanten vor infizierten Personen warnen konnten. Ende März berichtete die Presse, dass auch in der Schweiz das BAG Handydaten zur Bewältigung der Pandemie nutze. Im Fokus stand dabei jedoch nicht das personalisierte Tracking, sondern die Auswertung anonymisierter Massendaten aus dem Mobilfunknetz der Swisscom, um zu überprüfen, ob sich die Bevölkerung an das Verbot von Ansammlungen von mehr als fünf Personen im öffentlichen Raum hielt und wo sich allenfalls zu grosse Menschenansammlungen bildeten. Auf Kritik aus Datenschutzkreisen entgegnete das BAG in der Presse, die Daten liessen keine Rückschlüsse auf einzelne Personen zu und würden nicht in Echtzeit verwendet, weshalb es sich nicht um eine Überwachung, sondern um eine verhältnismässige Massnahme handle.
Die permanente Mitverfolgung des Standorts aller Personen durch den Staat, mit der einige asiatische Länder schnelle Erfolge in der Eindämmung der Pandemie erzielten, war in Europa datenschutzrechtlich undenkbar. Ein paneuropäisches Konsortium von 130 Forschungseinrichtungen aus acht Ländern, darunter auch die ETHZ und die EPFL, das Anfang April in den Medien vorgestellt wurde, arbeitete daher an einer auf Europa zugeschnittenen, die Privatsphäre bewahrenden Lösung, um die Rückverfolgung der Kontakte infizierter Personen zu unterstützen. Ziel war eine Smartphone-App zum Proximity Tracing, d.h. zum Erkennen, welche Personen sich so nah waren, dass eine Übertragung des Coronavirus möglich gewesen wäre. Die europäische App setzte allerdings nicht auf die Standort-Lokalisierung der Nutzerinnen und Nutzer, sondern auf eine extra zu diesem Zweck von Apple und Google gemeinsam entwickelte Bluetooth-Schnittstelle. Über Bluetooth soll die App andere Smartphones in einem gewissen Umkreis erkennen, auf denen die Anwendung ebenfalls aktiviert ist, und diese Kontakte anonym speichern. Eine positiv auf das Coronavirus getestete Person kann dann über die App die registrierten Kontaktpersonen warnen, sodass sich diese frühzeitig in Quarantäne begeben und testen lassen können. Für den Bundesrat sei diese Anwendung «interessant», wie Karin Keller-Sutter gegenüber dem Tages-Anzeiger sagte. Man kläre derzeit ab, wie dieses System in der Schweiz zum Einsatz kommen könnte und wie die Rechtslage aussehe. Aus Datenschutzsicht hielt EDÖB Adrian Lobsiger diesen Weg gemäss Tages-Anzeiger für «gangbar», solange das Herunterladen der App freiwillig sei. Wie in den Medien erklärt wurde, sammle das System keine personalisierten Daten; vielmehr würden die Kontakte für eine begrenzte Zeit als verschlüsselte Codes abgespeichert.
Den beiden Schweizer Hochschulen erschien das europäische Projekt nach einiger Zeit jedoch zu wenig transparent und sie befanden, es lege zu wenig Wert auf den Schutz der Privatsphäre. Mitte April zogen sie sich daher – wie auch einige weitere Institutionen, die zum gleichen Schluss gekommen waren – daraus zurück und kündigten an, stattdessen eine eigene Lösung zu entwickeln, die im Gegensatz zum europäischen System keine Kontaktdaten sammle, sondern sie jeweils dezentral direkt auf dem Smartphone speichere. So könne weder nachverfolgt werden, welche Personen miteinander in Kontakt waren, noch welche sich infiziert und damit eine Warnung ausgelöst haben, selbst wenn die Server der App-Betreiber gehackt werden sollten, erklärten die Medien. Auch der EDÖB, das Nationale Zentrum für Cybersicherheit und die Nationale Ethikkommission zeigten sich in der Presse zufrieden mit dem gewählten dezentralen Ansatz: Damit werde die Privatsphäre bestmöglich geschützt.
In seiner Medienkonferenz vom 29. April bestätigte der Bundesrat schliesslich, dass er plane, der Bevölkerung zeitnah eine solche Corona-Warn-App zur Verfügung zu stellen; diese werde derzeit von der ETHZ und der EPFL gemeinsam mit dem Bund entwickelt. Weiter versicherte die Regierung, dass der Gebrauch der App freiwillig sein und sie nur für die Dauer der Krise eingesetzt werde. Bis anhin hatte sich der Bundesrat dazu nur sehr zurückhaltend geäussert, was in den Medien bereits für Spekulationen gesorgt hatte, weil vonseiten des BAG und der beteiligten Hochschulen bereits Tage zuvor ein konkretes Datum kommuniziert worden war, an dem die App bereitstehen sollte.
Gleichzeitig erörterte die Presse viele noch offene Fragen zur geplanten Corona-Warn-App. Vor dem Hintergrund einer Experteneinschätzung, wonach 60 Prozent der Bevölkerung die App nutzen müssten, damit sie wirksam sei, wurde debattiert, ob die Freiwilligkeit der richtige Weg sei. Dies wurde aus ethischen Gründen – namentlich, weil ein App-Zwang einen inakzeptablen Eingriff in die persönliche Selbstbestimmung darstellte – grösstenteils bejaht, aber gleichzeitig anerkannt, dass eine so weit verbreitete, freiwillige Verwendung der App eine grosse Akzeptanz und damit ein grosses Vertrauen seitens der Bevölkerung voraussetze. Dieses Vertrauen basiere seinerseits gerade auf der Freiwilligkeit und nur schon der geringste Anschein, der Staat wolle die Menschen zur Benutzung der App drängen, könnte es zerstören, warnte etwa die Zürcher GLP-Nationalrätin und Geschäftsführerin des IT-Verbandes Swico Judith Bellaïche im Tages-Anzeiger. Gegen die App wurde indessen das Argument ins Feld geführt, sie bringe nichts, weil sie das manuelle Contact Tracing nicht ersetzen könne. Dem widersprach der massgeblich an der Entwicklung der App beteiligte EPFL-Epidemiologe Marcel Salathé nicht, erklärte aber gegenüber dem «Blick», dass die Contact-Tracing-Stellen durch die App entscheidend entlastet werden könnten und dass jede Installation helfe, auch wenn weniger als 60 Prozent der Bevölkerung die App nutzten.
Eine Mitte April im Auftrag der NZZ durchgeführte Befragung, deren Ergebnisse die Zeitung Anfang Mai publizierte, hatte ergeben, dass knapp drei Viertel der Schweizer Bevölkerung sich bereit erklärten, eine Tracking-App zu installieren, wenn diese zur Eindämmung des Coronavirus und damit zur Verkürzung des Lockdowns beitragen könnte. Dabei würden die Befragten am ehesten eine App installieren, die vom Bundesrat herausgegeben würde – gut die Hälfte erklärte sich dazu bereit –, während das BAG, die Kantone und andere vorgeschlagene Institutionen deutlich weniger Vertrauen genossen. Bei den Bundesparlamentarierinnen und -parlamentariern, unter denen die NZZ eine ähnliche Umfrage durchgeführt hatte, konnte sich ebenfalls gut die Hälfte vorstellen, die Corona-App des Bundes zu installieren, wobei einzig in der Grünen Fraktion klar die Skepsis überwog. Ein Obligatorium für die Anwendung wurde von den Parlamentarierinnen und Parlamentariern hingegen grossmehrheitlich abgelehnt.

Einführung der SwissCovid-App

In der Herbstsession 2019 ging das Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) in die Differenzbereinigung. In der ersten Runde konnte sich die bürgerliche Mehrheit im Nationalrat bei allen Streitpunkten durchsetzen, womit die Volkskammer an ihren ursprünglichen Positionen festhielt und keine grosse Kompromissbereitschaft an den Tag legte. Obwohl sich die Frage um das Vertrauen der Bürgerinnen und Bürger in die E-ID wie ein roter Faden durch die Debatte zog, schienen die diesbezüglichen Überlegungen die Entscheidungen des Rats nur wenig zu beeinflussen. So lehnte der Nationalrat sowohl den von einer Minderheit Arslan (basta, BS) geforderten Zwang als auch die vom Ständerat eingeführte, vorbedingungslose Möglichkeit für den Staat zur Herausgabe einer E-ID ab und hielt an der rein subsidiären staatlichen Herausgabe fest, obwohl sich Bundesrätin Karin Keller-Sutter für den ständerätlichen Kompromiss ausgesprochen hatte. Der Staat sollte sich auch nicht wie vom Ständerat vorgesehen an privaten E-ID-Anbietern (Identity Providern) beteiligen können. Des Weiteren hielt die grosse Kammer an der Nennung der Sorgfaltspflichten im E-ID-Gesetz fest und strich lediglich die Delegationsnorm, welche die Konkretisierung der Sorgfaltspflichten durch den Bundesrat vorgesehen hätte. Eine Minderheit Flach (glp, AG) blieb mit dem Vorschlag eines Mittelwegs erfolglos, der das explizite Verbot der Weitergabe der E-ID streichen, die abstrakte Beschreibung der Sorgfaltspflichten aber beibehalten wollte. Ebenfalls erfolglos blieb die durch Beat Flach eingebrachte Forderung des Konsumentenschutzes, dass Dienstleistungen, für die eine E-ID der Sicherheitsstufe «niedrig» ausreicht, auch ohne E-ID genutzt werden können müssen. Da die Angst, im Internet eine Datenspur zu hinterlassen, nachvollziehbar sei, hatte sich Bundesrätin Keller-Sutter auch hierfür vergebens stark gemacht. Die vom Ständerat neu eingeführte E-ID-Kommission (Eidcom) als unabhängige Stelle zur Anerkennung und Kontrolle der Identity Provider blieb im Nationalrat vorerst ebenso chancenlos wie die von der Schwesterkammer verschärften Datenschutzbestimmungen.
Im Ständerat erklärte es Kommissionssprecher Beat Vonlanthen (cvp, FR) zum Ziel dieses Gesetzgebungsprozesses, dass das Gesetz bzw. die E-ID «vertrauenswürdig sein und in einer allfälligen Volksabstimmung bestehen können» müssten. In diesem Lichte hielt die Kantonskammer an ihren Positionen zur Möglichkeit für eine staatliche Herausgabe der E-ID und für eine staatliche Beteiligung an Identity Providern sowie zur Einführung der Eidcom, die sie allesamt als zentral für die Vertrauensbildung in der Bevölkerung erachtete, stillschweigend fest. Einen Schritt auf ihre Schwesterkammer zu machte sie bei den Sorgfaltspflichten, wo sie sich für den zuvor im Nationalrat diskutierten, aber dort noch abgelehnten Mittelweg Flach entschied. Mit der im Nationalrat abgelehnten, zwingenden Alternative zur E-ID bei Dienstleistungen, die nur Sicherheitsstufe «niedrig» verlangen, fand das Anliegen des Konsumentenschutzes im Ständerat Gehör und wurde ins Gesetz aufgenommen. Zugeständnisse an den Nationalrat machte die kleine Kammer auch beim Datenschutz, indem sie einen Kompromiss einführte, wonach die Zweckbindung der Datenverarbeitung erhalten bleiben, eine Bearbeitung durch Dritte im Rahmen des Datenschutzgesetzes aber erlaubt sein soll, um die konzerninterne Arbeitsteilung und das Outsourcing der Datenbearbeitung nicht zu verunmöglichen.
Während sich der Nationalrat bei den Sorgfaltspflichten schliesslich auf den Mittelweg Flach einliess und diese Differenz damit ausräumte, brachte die RK-NR einen neuen Vorschlag betreffend die Rolle des Staates vor. Demnach soll der Staat nur dann selber ein E-ID-System betreiben dürfen, wenn die Zwecke der E-ID gemäss Art. 1 BGEID nicht erfüllt werden. Der Bundesrat unterstützte diese Subsidiaritätsregel nun, da sie die Voraussetzungen für das Tätigwerden des Staates klar formuliere und der Bund auch ohne diese Einschränkung ohnehin nur mit gebührender Zurückhaltung agiert hätte. Entgegen einer Minderheit Min Li Marti (sp, ZH), die von der SP-, der Grünen- sowie einzelnen Mitgliedern der FDP-Fraktion getragen wurde und an der ständerätlichen Version festhalten wollte, entschied sich die grosse Kammer für diesen neuen Kompromiss. Bezüglich der Eidcom hatte sich die Mehrheit der RK-NR seit der letzten Beratung umstimmen lassen; sie setzte sich nun gemeinsam mit dem Bundesrat für deren Einführung als unabhängige Aufsicht ein, da der Staat, würde er subsidiär tätig, sich im Falle der Aufsicht durch das Informatiksteuerungsorgan des Bundes letztlich selber beaufsichtigen würde. Die Mehrheit des Nationalratsplenums liess sich davon überzeugen und schloss sich mit 113 zu 69 Stimmen dem Ständerat an, während die SVP- und die BDP-Fraktionen sowie einige FDP-Vertreterinnen und -vertreter dagegen votierten. Dem ständerätlichen Kompromiss beim Datenschutz stimmte die grosse Kammer stillschweigend ebenfalls zu.
In der einen verbleibenden Differenz zum subsidiären E-ID-System des Bundes schloss sich der Ständerat schliesslich stillschweigend dem neuen nationalrätlichen Vorschlag an. Die so bereinigte Vorlage passierte die Schlussabstimmung im Nationalrat mit 144 zu 51 Stimmen bei 2 Enthaltungen und jene im Ständerat mit 35 zu 2 Stimmen bei 8 Enthaltungen. Wie bereits seit längerem angekündigt, zeigten sich die SP und die Grünen nicht zufrieden mit dem Gesetz, weil sie sich die Herausgabe der E-ID durch den Staat gewünscht hätten. Das letzte Wort in dieser Angelegenheit dürfte wohl das Volk haben, mutmasste die Presse.

E-ID-Gesetz
Dossier: Elektronische Identität

Der Totalrevision des Datenschutzgesetzes und der Änderung weiterer Erlasse zum Datenschutz nahm sich in der Herbstsession 2019 der Nationalrat als Erstrat an. Das ein Jahr zuvor verabschiedete und am 1. März 2019 in Kraft getretene Schengen-Datenschutzgesetz, das aus Gründen der zeitlichen Dringlichkeit zunächst nur die Schengen-relevanten Anpassungen umsetzte, wird mit der Annahme des totalrevidierten Gesetzes wieder ausser Kraft treten. Mit der Totalrevision sollen über die Schengen-Anforderungen hinausgehend einerseits die Schwächen des heutigen Datenschutzrechts, das noch aus einer Zeit vor dem Internet stammt, behoben und andererseits die Entwicklungen auf EU- und Europarats-Ebene aufgenommen werden. Besonders bedeutsam für die Schweiz ist hierbei, von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Ansonsten, so wurde befürchtet, wäre die Schweizer Wirtschaft mit erheblichen Wettbewerbsnachteilen konfrontiert, da Schweizer Unternehmen nicht mehr so einfach Daten mit Firmen in der EU austauschen könnten. Bis im Mai 2020 wird die EU die Äquivalenz des Schweizer Datenschutzes beurteilen, was eine gewisse Dringlichkeit für die Revision gebietet.
Wie schwierig dieses Unterfangen werden würde, hatte sich schon in der vorberatenden SPK-NR abgezeichnet: Nur mit Stichentscheid des Präsidenten Kurt Fluri (fdp, SO) hatte sich die Kommission im August 2019 durchgerungen, die Vorlage nach mehr als einem Jahr Arbeit überhaupt vors Ratsplenum zu bringen. Die wichtigsten Anpassungen der Kommission am bundesrätlichen Entwurf waren die neu einzuführende Direktwahl des EDÖB durch die Bundesversammlung, die Einführung eines Rechts auf Datenportabilität, die Anpassung der Definition der besonders schützenswerten Personendaten sowie der Verzicht auf eine besondere Regelung für den Umgang mit Daten verstorbener Personen und auf eine ausdrücklich erforderliche Einwilligung zum Profiling. Im Rahmen ihrer Beratungen hatte die SPK-NR zudem sechs Motionen zur Vervollständigung der Datenschutzbestimmungen in weiteren Gesetzen eingereicht.
Kurz vor der Debatte im Nationalrat hatte das Bundesamt für Justiz überdies eine Liste dazu veröffentlicht, welche problematischen Differenzen es zwischen dem Kommissionsvorschlag und den Anforderungen der EU sehe. Auch EDÖB Adrian Lobsiger hatte in der Presse bezweifelt, dass das von der Kommissionsmehrheit vorgeschlagene Gesetz mit dem verlangten Niveau der EU-Datenschutzgrundverordnung (DSGVO) mithalten könne; beim Entwurf des Bundesrates hätte er indes keine Probleme gesehen.
Während der strittige Vorschlag der Kommissionsmehrheit für die SVP bereits zu weit ging, bemängelten SP, Grüne und GLP, er sei zu lasch. Wirtschaftsverbände drängten unterdessen auf eine möglichst rasche, EU-konforme Lösung. So wurde im Vorfeld der nationalrätlichen Debatte von den Mitte- und Linksparteien noch fieberhaft nach Kompromissen gesucht, um den drohenden Absturz der Revision zu verhindern.

In der Eintretensdebatte in der grossen Kammer wurde von allen Seiten – ausser von der SVP-Fraktion – betont, wie wichtig und notwendig das vorliegende Revisionsprojekt sei, sowohl um den Datenschutz dem Internetzeitalter anzupassen als auch um den Datenschutz auf ein der EU gleichwertiges Niveau zu bringen, auch wenn man in den Details der Ausgestaltung verschiedene Ansichten vertrat. Die SVP betrieb hingegen Fundamentalopposition gegen «diesen bürokratischen Unsinn», wie Fraktionsvertreter Gregor Rutz (svp, ZH) das neue Gesetz nannte, denn es sei insgesamt, vor allem für KMU, schlechter als das geltende Datenschutzgesetz – ein Argument, das wenig später durch das Votum von FDP-Vertreter Kurt Fluri (fdp, SO) entkräftet werden sollte, der berichtete, dass der Gewerbeverband die Stossrichtung der Kommissionsmehrheit begrüsse und die Rückweisung nicht unterstütze. Mit der DSGVO verkaufe die EU laut Rutz ihre Bürger für dumm, da sie «kein Mensch» verstehe. «Wir haben langsam genug davon, jeden Unsinn aus der EU ungesehen zu übernehmen!», ärgerte sich der SVP-Vertreter und rief das Ratsplenum auf, die Vorlage an den Bundesrat zurückzuweisen mit dem Auftrag, sie zu entschlacken und EU-Vorschriften nur dort zu übernehmen, wo es unumgänglich sei. Auch eine linke Minderheit hatte ursprünglich die Rückweisung, allerdings an die Kommission, beantragt und diese beauftragen wollen, die Vereinbarkeit der Vorlage mit dem Übereinkommen SEV 108 des Europarats, die Äquivalenz mit dem EU-Datenschutzrecht, die Kompatibilität mit den Schengen-Verträgen und die Nicht-Unterschreitung des heute geltenden Schutzniveaus sicherzustellen. Um die doch eher dringliche Revision nicht unnötig zu verlangsamen und um sich einer «produktiven Diskussion» nicht zu verschliessen, zog Cédric Wermuth (sp, AG) diesen Antrag jedoch «im Sinne eines Vorschussvertrauensbeweises» zurück und hoffte, das Gesetz während der Beratung noch auf eine den genannten Forderungen nähere Linie bringen zu können. Der Rückweisungsantrag der SVP-Minderheit wurde mit 120 zu 66 Stimmen (1 Enthaltung) deutlich verworfen; ausserhalb der geschlossenen SVP-Fraktion sah niemand eine Rückweisung als den richtigen Weg an.

Im Laufe der Detailberatung musste der Nationalrat über 45 Minderheits- und mehrere Einzelanträge befinden, die zu einem beträchtlichen Teil die Unterstützung des Bundesrates genossen – hauptsächlich immer dort, wo die Kommissionsmehrheit mit ihrem Vorschlag einen schwächeren Datenschutz wollte als der Bundesrat und somit das heute geltende Schutzniveau oder die Anforderungen der EU und/oder des Europarats unterschreiten wollte. So war die Kommissionsmehrheit bestrebt, sowohl die Daten über gewerkschaftliche Ansichten und Tätigkeiten als auch die Daten über Massnahmen der sozialen Hilfe aus dem Katalog der besonders schützenswerten Daten, für deren Bearbeitung besondere Anforderungen gelten, zu streichen. Während eine bürgerliche Ratsmehrheit die Streichung der Daten über gewerkschaftliche Ansichten und Tätigkeiten guthiess, schwenkte der Nationalrat bei den Daten über Massnahmen der sozialen Hilfe – neben Sozialhilfedaten sind davon auch solche über Sozialversicherungsmassnahmen bei Krankheit oder Unfall, Massnahmen der Vormundschaftsbehörden oder KESB, die fürsorgerische Unterbringung in psychiatrischen Kliniken, Ergänzungsleistungen und Prämienverbilligungen erfasst – auf die Linie des Bundesrates zurück und beliess sie im Katalog. Grünen-Vertreter Balthasar Glättli (gp, ZH) hatte zuvor mit Nachdruck klargemacht, dass deren Streichung für die Grünen und die SP ein Grund wäre, dem Gesetz die Zustimmung zu verweigern. Eine ähnliche Drohung sprach SVP-Fraktionssprecher Gregor Rutz aus, als die Einschränkung des Geltungsbereichs des DSG auf natürliche Personen zur Debatte stand: Einem Gesetz, das – anders als bisher – keinen Datenschutz für juristische Personen mehr vorsehe, werde man «nie im Leben» zustimmen können. Alle anderen Fraktionen befanden den Schutz für juristische Personen durch andere gesetzliche Bestimmungen jedoch als ausreichend und so glich der Nationalrat das DSG mit der Streichung des Schutzes juristischer Personen an die europäischen Regeln an. Bei der Frage der Anforderungen für das sogenannte Profiling zeichnete sich während der Diskussion ab, dass man an diesem Tag keine zufriedenstellende Lösung finden würde. Für jegliche Formen des Profilings, das die Aargauer Zeitung treffend als die «automatisierte Auswertung von Daten, mit denen bestimmte Merkmale einer Person bewertet werden, um etwa Vorhersagen über ihr künftiges Verhalten zu treffen» definierte, hatte der Bundesrat eine ausdrückliche Einwilligung der betroffenen Person voraussetzen wollen, wie sie auch zur Bearbeitung besonders schützenswerter Personendaten vorgesehen war. Da das geltende Recht so eine Regelung für das Erstellen von Persönlichkeitsprofilen umfasst, würde eine komplette Streichung der ausdrücklichen Einwilligung zum Profiling, wie es die Kommissionsmehrheit vorgeschlagen hatte, ein Rückschritt vom aktuellen Schutzniveau darstellen. In der Diskussion wurde mehrheitlich anerkannt, dass verschiedene Formen des Profilings unterschieden werden müssten, da es, wie es Balthasar Glättli erklärte, durchaus einen Unterschied mache, ob Profiling zur Erstellung von passenden Bücherempfehlungen, zur Abschätzung des Risikos für eine Versicherung oder zur Vorhersage der politischen Entscheidungen einer Person gebraucht werde. Der Bundesrat unterstützte folglich einen Einzelantrag Glättli, der eine ausdrückliche Einwilligung nur für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsah. Die Fraktionen der Grünen, SP und GLP unterstützten diesen Antrag ebenfalls, unterlagen jedoch der bürgerlichen Ratsmehrheit, die beim Vorschlag der Kommissionsmehrheit ohne besondere Anforderungen für das Profiling blieb. Der Nachhall der Diskussion war jedoch klar, dass sich der Ständerat noch einmal intensiv mit dieser Frage auseinandersetzen müsse.
Betreffend die Informationspflicht bei der Beschaffung von Personendaten, die Regeln für die Bekanntgabe von Personendaten ins Ausland, die Rechenschaftspflicht für datenbearbeitende Unternehmen über die Einhaltung des Datenschutzrechts sowie das Auskunftsrecht einer Person zu den über sie gesammelten oder bearbeiteten Daten lehnte die Volkskammer einige von der Kommissionsmehrheit vorgeschlagene Lockerungen ab und umschiffte somit ein paar der vielen Klippen im Hinblick auf den Angemessenheitsbeschluss der EU. Die vom Bundesrat eingefügten Regelungen über Daten von verstorbenen Personen erachtete der Rat jedoch als nicht notwendig und strich mit bürgerlicher Mehrheit alle entsprechenden Bestimmungen aus dem Gesetz. Ganz neu und weitgehend unbestritten verankerte der Nationalrat auf Vorschlag seiner Kommissionsmehrheit ein Recht auf Datenportabilität, das heisst auf Datenherausgabe und -übertragung, im Gesetz. Wie Bundesrätin Karin Keller-Sutter erklärte, habe der Bundesrat mit dieser Neuerung eigentlich noch zuwarten wollen, bis erste Erkenntnisse aus der konkreten Umsetzung dieses Rechts in der EU vorlägen; nichtsdestotrotz unterstützte er den Vorschlag der Kommissionsmehrheit, einen Anspruch jeder Person auf «die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format oder sogar deren Übertragung auf einen anderen Verantwortlichen zu verlangen», wie Keller-Sutter das neue Recht erläuterte.
Zurückgehend auf eine entsprechende parlamentarische Initiative Leutenegger Oberholzer (sp, BL; Pa.Iv. 16.409) änderte die grosse Kammer das Wahlverfahren des EDÖB dahingehend, dass er neu von der Bundesversammlung gewählt und nicht mehr durch den Bundesrat ernannt und vom Parlament nur bestätigt werden sollte. Gleichzeitig wurden die Aufsichts- und Untersuchungskompetenzen des EDÖB bei Datenschutzverstössen gestärkt. Diese Änderung sei von wesentlicher Bedeutung im Hinblick auf den Angemessenheitsbeschluss der EU, wie Bundesrätin Keller-Sutter betonte, denn nach bisher geltendem Recht besitze der EDÖB nicht nur weniger Kompetenzen als die Datenschutzbehörden in Europa, sondern auch als andere Aufsichtsbehörden des Bundes, zum Beispiel die Finma oder die Weko. Bei den Strafbestimmungen legte der Nationalrat eine maximale Busse von CHF 250'000 für Datenschutzverstösse fest. Ein neuer Straftatbestand für die Nichteinhaltung der Mindestanforderungen an die Datensicherheit im Sinne einer Sorgfaltspflichtverletzung wurde von der bürgerlichen Ratsmehrheit jedoch nicht goutiert, was laut Bundesrätin Keller-Sutter für die EU-Angemessenheit problematisch sein könnte. Der letzte grosse Zankapfel der Vorlage verbarg sich in den Schlussbestimmungen, namentlich in der Frage zum Inkrafttreten des Gesetzes. Während die Kommissionsmehrheit das Inkrafttreten um zwei Jahre nach Annahme des Gesetzes beziehungsweise nach Verstreichen der Referendumsfrist verzögern wollte, beantragte eine Minderheit Humbel (cvp, AG), wie üblich den Bundesrat das Inkrafttreten bestimmen zu lassen. Eine solche Verzögerung sei bereits wegen der Schengen-relevanten Bestimmungen des Gesetzes ein Problem und daher nicht im Interesse der Wirtschaft, was das Argument der Kommissionsmehrheit gewesen war. Auf Empfehlung des Bundesrates und entgegen der geschlossenen SVP-Fraktion erteilte die grosse Kammer der zweijährigen Inkrafttretensfrist eine Absage.

In der Gesamtabstimmung nahm der Nationalrat das totalrevidierte Datenschutzgesetz mit 98 zu 68 Stimmen bei 27 Enthaltungen an. In den ablehnenden Stimmen spiegelte sich vor allem die Opposition der SVP gegen das Gesetz. Demgegenüber hatte sich die SP-Fraktion mehrheitlich enthalten und damit signalisiert, dass sie noch weitere Nachbesserungen erwartete. Wirklich zufrieden mit dem Gesetz in vorliegender Form war wohl niemand; in dieser Hinsicht sprach das Fazit von Kommissionssprecher Matthias Jauslin (fdp, AG) Bände: «Wir haben jetzt eine Vorlage, die aus Sicht der Kommission durchaus bearbeitbar ist.»

Revision des Datenschutzgesetzes (BRG 17.059)
Dossier: 2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Ende August 2019 eröffnete der Bundesrat die Vernehmlassung zu einer Anpassung des DNA-Profil-Gesetzes. Die Strafverfolgungsbehörden sollen aus einer am Tatort gefundenen DNA-Spur nicht mehr nur das Geschlecht, sondern neu auch die Augen-, Haar- und Hautfarbe, die biogeografische Herkunft und das Alter der Person bestimmen dürfen. Ziel dieser sogenannten Phänotypisierung ist es, Ermittlungen und Fahndungen fokussierter durchführen, den potenziellen Täterkreis eingrenzen und Unbeteiligte rasch ausschliessen zu können. Eine Phänotypisierung soll auf Anordnung der Staatsanwaltschaft und nur bei Verbrechen, d.h. Straftatbeständen mit einer minimalen Strafandrohung von drei Jahren Freiheitsstrafe, durchgeführt werden dürfen. Die Verwendung der Analyseergebnisse ist auf die Ermittlungen in einem konkreten, aktuellen Fall begrenzt; sie sollen nicht in der DNA-Datenbank gespeichert werden. Damit wird eine vom Parlament überwiesene Motion Vitali (fdp, LU; Mo. 15.4150) umgesetzt, die eine gesetzliche Grundlage für die Auswertung der codierenden DNA-Abschnitte forderte. Weiter will der Bundesrat in Umsetzung des Postulats 16.3003 die Regelung zur Löschung von DNA-Profilen vereinfachen. Er sieht vor, dass neu bereits im Strafurteil festgelegt werden soll, wie lange das DNA-Profil eines Täters oder einer Täterin in der DNA-Datenbank aufbewahrt wird. Zudem soll die vom Bundesstrafgericht für zulässig erklärte Ermittlungsmethode des erweiterten Suchlaufs mit Verwandtschaftsbezug ausdrücklich im Gesetz verankert werden: Kann einer am Tatort gefundenen DNA-Spur kein Treffer in der Datenbank zugeordnet werden, darf geprüft werden, ob im System sehr ähnliche Profile, d.h. nahe Verwandte der gesuchten Person, verzeichnet sind. Über eine Kontaktaufnahme zu den Verwandten können die Strafverfolgungsbehörden anschliessend versuchen, die gesuchte Person ausfindig zu machen.
In der Presse zeigte sich die Luzerner Staatsanwaltschaft entschlossen, die Ermittlungen im sistierten «Fall Emmen» wieder aufzunehmen, sobald die neue Gesetzesgrundlage in Kraft trete. Im Sommer 2015 hatte die Vergewaltigung einer seither querschnittgelähmten jungen Frau in Emmen (LU), bei der der Täter trotz DNA-Massentest bisher nicht gefunden werden konnte, eine öffentliche Debatte über die DNA-Analyse als Ermittlungsmethode angestossen. Der Fall hatte auch am Ursprung der Motion Vitali gestanden, die mit der vorgeschlagenen Gesetzesänderung umgesetzt werden soll. Bedenken wegen des zusätzlichen Eingriffs in die Grundrechte äusserte dagegen der EDÖB Adrian Lobsiger. Er zöge es vor, wenn die Phänotypisierung nur bei schweren Verbrechen gegen Leib und Leben, die Freiheit oder die sexuelle Integrität zulässig wäre und nicht von der Staatsanwaltschaft, sondern nur von einem Zwangsmassnahmengericht angeordnet werden dürfte. Ausserdem betonte er die eingeschränkte Genauigkeit der Phänotypisierung – bei blonden Haaren beispielsweise sei die Vorhersage nur zu 69 Prozent zutreffend –, weshalb die Analyseergebnisse nicht als Beweise missverstanden werden dürften.

Änderung des DNA-Profil-Gesetzes (BRG 20.088)
Dossier: DNA-Profile

Ende 2017 lancierte die Krankenkasse Helsana eine App mit dem Namen Helsana+, mit der man für verschiedene sportliche, aber auch soziale Aktivitäten wie Joggen, Fitnesstraining oder Vereinsmitgliedschaften Rabatte in der Zusatzversicherung bis CHF 300 sowie in der Grundversicherung bis CHF 75 erhält. Ähnliche Bonusprogramme für die Zusatzversicherungen gäbe es zwar schon länger, neu sei aber das entsprechende Angebot für die Grundversicherung, berichteten die Medien. Dieser Aspekt löste in der Presse breite Diskussionen aus. Mit dieser App eröffne die Helsana die «Jagd nach besten Risiken» erneut, empörte sich etwa Lukas Bäumle vom Seniorenrat. Die Belohnung von jungen, gesunden Personen diskriminiere die körperlich beeinträchtigten oder betagten Personen und führe zu einer neuen Art der Risikoselektion, pflichtete ihm Marianne Streiff-Feller (evp, BE) bei und auch Karl Vogler (csp, OW) und Gesundheitsminister Berset kritisierten, dass die App dem Solidaritätsgedanken der OKP wiederspreche und die Chancengleichheit verletze. Geteilt wurde die Kritik auch von verschiedenen Organisationen aus Konsumenten- und Patientenschutz und Pflege, Behindertenorganisationen sowie Gewerkschaften in einem Positionspapier. Sie verwiesen zudem auf technisch nicht versierte oder auf ihre Privatsphäre bedachte Personen, die ebenfalls diskriminiert würden.
Doch nicht nur wegen möglicher Diskriminierung wurde die App kritisiert, sondern auch wegen dem Datenschutz. Gesundheitsdaten gelten gemäss Datenschutzgesetz als besonders schützenswerte Daten. Die Helsana erhalte nun dank der App viele persönliche Informationen und Gesundheitsdaten, wie die Informationen aus Fitnesstrackern, Fotos der Versicherten oder Angaben über Vereinsmitgliedschaften, berichtete die Presse. Zudem sammle und verkaufe die App gemäss der Stiftung Konsumentenschutz Unmengen von Daten im Hintergrund. Zwar erklärte die Helsana, keine heiklen Daten zu speichern und die Informationen nicht weiterzugeben, jedoch gewährten die AGB der Versicherung gemäss Konsumentenschutz sehr viel weiterreichende Möglichkeiten – unter anderem eine stillschweigende Änderung der Nutzungsart.
Auf Kritik stiess die App auch in der Bevölkerung. So zeigte eine Befragung von 3'055 Personen durch die Forschungsstelle Sotomo, dass eine Mehrheit der Bevölkerung verhaltensabhängige Krankenkassenprämien ablehnt. Entsprechend trafen sowohl eine Prämiensenkung für Achtsame (56%) sowie eine Prämienerhöhung für Unachtsame (60%) bei den Befragten insgesamt auf Ablehnung. Eine Umfrage der Stiftung für Konsumentenschutz verdeutlichte zudem, dass das Bonusprogramm der Helsana auch in der Branche selbst auf Kritik stiess. 6 von 15 grossen Krankenkassen gaben ausdrücklich an, Rabattsysteme in der Grundversicherung abzulehnen.

In der Folge reichten Karl Vogler (Ip. 18.3373), Marianne Streiff-Feller (Ip. 18.3282) und Prisca Birrer-Heimo (sp, LU; Ip. 18.3354) Interpellationen zu diesem Thema im Nationalrat ein. Darin fragten sie den Bundesrat, ob er auch der Meinung sei, dass solche Bonusprogramme dem Solidaritätsgedanken zuwiderlaufen würden, ob solche Programme gemäss KVG zulässig seien und welche gesetzlichen Massnahmen nötig seien, um solche Programme zu verhindern. Der Bundesrat verwies darauf, dass eine Ungleichbehandlung von Versicherten, Prämienrabatte für gesundes Verhalten sowie eine Zweckentfremdung der Prämiengelder in der Grundversicherung bereits jetzt unzulässig seien, weshalb er keine gesetzlichen Massnahmen als nötig erachte. Die Helsana verwende aber für ihr Rabattprogramm nur Gelder aus der Zusatzversicherung, nicht aus der Grundversicherung. Hingegen kritisierte der Bundesrat denselben Punkt, welcher im April 2018 bereits der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Adrian Lobsiger, angesprochen hatte. Diesem missfiel insbesondere der Zugriff der Zusatzversicherung der Helsana auf Daten der Grundversicherung, welchem die Versicherten für den Erhalt der Boni zustimmen müssten. Dies verstosse gegen das Datenschutzgesetz, da die Datenverarbeitung in den Sozialversicherungen einer gesetzlichen Grundlage unterliegen müssten, betonte er. Die Helsana erachtete die freiwillige Zustimmung der Individuen hingegen als «ausreichende rechtliche Grundlage»; zudem sei man damit nicht dem KVG unterworfen, weil die Prämien aus freien Mitteln der Versicherung, nicht aus den Geldern der OKP bezahlt würden.
Nachdem die Helsana der Aufforderung Lobsigers, das Bonusprogramm auf die Zusatzversicherung zu beschränken, nicht nachgekommen war, gelangte dieser vor das Bundesverwaltungsgericht, das nun entscheiden musste, ob «die Vergütungen das Prinzip des diskriminierungsfreien Zugangs zur Grundversicherung unterlaufe», wie es der Tagesanzeiger formulierte. Nicht Sache des Gerichtsverfahrens waren hingegen die Menge und die Verwendung der durch die App gesammelten Daten. Das Bundesverwaltungsgericht stützte Lobsigers Einschätzung teilweise. Es entschied, dass eine Einwilligung zur Weitergabe der Daten nur über die App nicht ausreiche und die Helsana die unrechtmässig beschafften Daten löschen müsse. Diesen Aspekt habe die Helsana aber bereits nach der Beschwerde des Datenschützers geändert, mittlerweile erfolge die Einwilligung bereits nach den gesetzlichen Vorgaben, berichteten die Medien. Offen liess das Gericht die Frage, ob das Bonusprogramm einer versteckten Prämienverbilligung gleichkomme und damit gegen das KVG verstosse.

Apps Krankenversicherer

Wie schon in der Vernehmlassung stellte sich auch im Nationalrat die Frage der Aufgabenteilung zwischen Staat und Privatwirtschaft als der zentrale Knackpunkt des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) heraus. Während Eintreten in der Frühjahrssession 2018 unbestritten war, wurde lange und ausführlich über einen Rückweisungsantrag der links-grünen Kommissionsminderheit diskutiert, mit dem der Bundesrat beauftragt werden sollte, eine Vorlage auszuarbeiten, die die Ausstellung der E-ID als öffentliche Aufgabe definiert, die der Bund allenfalls mittels Leistungsauftrag an Private übertragen könnte. Die SP- und die Grüne Fraktion unterstützten die Rückweisung mit dem Argument, analoge Ausweise wie der Pass und die Identitätskarte würden auch vom Staat ausgegeben. Alle übrigen Fraktionen sprachen sich jedoch für die vom Bundesrat vorgeschlagene Lösung aus, wonach die Prüfung und Bestätigung der Identität einer Person dem Staat zufallen, die technologische Umsetzung der E-ID hingegen von der Privatwirtschaft übernommen werden soll. Sie betonten, privatwirtschaftliche Anbieter könnten besser auf die technologischen Entwicklungen und die Bedürfnisse der Anwenderinnen und Anwender reagieren, was die E-ID sicherer und nutzerfreundlicher mache; die Innovation werde durch den Wettbewerb gefördert. Mit 131 zu 53 Stimmen bei 2 Enthaltungen wurde das links-grüne Lager überstimmt und der Rückweisungsantrag abgelehnt.
Auch in der Detailberatung stand das links-grüne Lager mehr oder weniger isoliert; alle dessen Minderheitsanträge wurden mit grosser Mehrheit abgelehnt. Die Streichung der Sorgfaltspflichten für E-ID-Inhaberinnen und -Inhaber aus dem Gesetz, wie erstens von einer Minderheit Arslan (basta, BS) gefordert, ändere nichts an der Rechtslage, so die Ansicht der ablehnenden Ratsmehrheit, da die Verschuldenshaftung des OR ohnehin zum Tragen komme – d.h. haftbar ist grundsätzlich, wer in Verletzung von Sorgfaltspflichten einen Schaden verursacht. Um die E-ID nutzen zu können, müssen die Antragstellerinnen und Antragsteller zweitens einwilligen, dass ihre persönlichen Daten ans Fedpol übermittelt werden, damit dieses die Identität bestätigen kann. Ebenfalls eine Minderheit Arslan beantragte, diese Einwilligung durch eine Kenntnisnahme der Übermittlung zu ersetzen, da man sie nicht verweigern könne, sofern man die E-ID nutzen möchte, und unterlag damit der Mehrheit, die fand, die Formulierung mache hier letztendlich keinen Unterschied, wobei die Einwilligung einfacher verständlich sei. Drittens wollte eine Minderheit Marti (sp, ZH) dem Bund die Möglichkeit einräumen, ein eigenes E-ID-System zu betreiben bzw. sich an einem bestehenden System zu beteiligen, und zwar nicht nur wie im Entwurf vorgesehen, wenn der Markt kein Angebot mit den für behördliche Applikationen geforderten Sicherheitsniveaus «substanziell» und «hoch» bereitstellt. Damit sollte verhindert werden, dass bei Nichtfunktionieren der Marktlösung, z.B. infolge Vertrauensverlust nach Hackerangriffen oder Ausstieg der Anbieter aufgrund zu geringer Rentabilität, gar keine E-ID mehr angeboten wird. Der Ratsmehrheit zufolge sei jedoch ein Staatseingriff nur subsidiär zum Markt akzeptabel und eine Mehrheitsbeteiligung von Bundesunternehmen an E-ID-Anbietern nicht wünschenswert, weshalb es keine solche Bestimmung brauche; mit Minderheitsanteilen seien die SBB, die Post und die Swisscom auch ohne explizite gesetzliche Grundlage bereits am SwissSign-Konsortium beteiligt. Viertens solle die Beantragung einer E-ID nicht nur wie vom Bundesrat vorgesehen online direkt beim Anbieter, sondern auch analog auf der Gemeindekanzlei oder beim Passbüro eingeleitet werden können, um Nicht-Digital-Natives den Zugang zu erleichtern, so ein Minderheitsantrag Flach (glp, AG). Die ablehnende Mehrheit argumentierte jedoch, man wolle den Gemeinden und Kantonen keine Zusatzaufgaben aufbürden und ohnehin würden Personen, die nicht mit dem Internet vertraut sind, keine E-ID benutzen. Weitere Minderheiten forderten vergebens die sofortige Vernichtung der Daten durch die Identity Provider, statt wie vorgesehen die Löschung nach sechs Monaten, ein explizites Verbot der kommerziellen Nutzung dieser Daten (beide Arlsan), die Anbindung der Preise an die tatsächlich anfallenden Kosten (Marti) und ausdrückliche Garantien, dass staatliche Dienstleistungen auch weiterhin ohne E-ID zugänglich und eine E-ID auch ohne Kundenbeziehung zum Anbieter erhältlich sein müssen (beide Mazzone, gp, GE).
Als Einzige mit ihrem Minderheitsantrag erfolgreich war Andrea Gmür-Schönenberger (cvp, LU), die Bundesrätin Karin Keller-Sutter sowie eine knappe Ratsmehrheit von der Notwendigkeit überzeugen konnte, den barrierefreien Zugang zur E-ID im Gesetz zu verankern, sodass Menschen mit Behinderung bei der Beantragung einer E-ID nicht benachteiligt werden. Als zweite substanzielle Änderung am bundesrätlichen Entwurf ergänzte der Nationalrat das Gesetz auf Antrag seiner Kommission dahingehend, dass die Identity Provider allen Personen, die einen Antrag stellen und die Voraussetzungen erfüllen, eine E-ID ausstellen müssen. Der Bundesrat plädierte vergeblich für die Wirtschaftsfreiheit der privaten Anbieter. Mit 181 zu 1 Stimme war die grosse Kammer der Ansicht, dass niemand von der E-ID ausgeschlossen werden soll. Das viel und heftig diskutierte, am Ende gegenüber dem Entwurf des Bundesrates aber nur leicht angepasste Gesetz passierte die Gesamtabstimmung im Nationalrat schliesslich mit 128 zu 48 Stimmen bei 4 Enthaltungen; dagegen votierten die Fraktionen der Grünen und der SP – letztere mit einer Ausnahme – geschlossen.

E-ID-Gesetz
Dossier: Elektronische Identität

Wie im vergangenen Dezember schon der Ständerat und dessen sicherheitspolitische Kommission stellte im Frühjahr 2018 auch die SiK-NR Handlungsbedarf im Informationssicherheitsmanagement des Bundes fest. Anders als ihre Schwesterkommission, der die kleine Kammer widerstandslos gefolgt war, zweifelte die nationalrätliche Kommission jedoch am Mehrwert, den das Informationssicherheitsgesetz mit sich brächte. Die bedeutendsten Unbekannten im Gesetzgebungsprojekt waren nach wie vor die Kosten und der Personalaufwand im Zusammenhang mit der Umsetzung. Während sich der Ständerat mit der Zusicherung zufriedengegeben hatte, zu den Kosten später noch einmal konsultiert zu werden, beauftragte die SiK-NR die Verwaltung, die Kosten und den Personalaufwand für verschiedene mögliche Sicherheitsniveaus zu beziffern. Es wurden also drei mögliche Szenarien vorgestellt: Ambitionsniveau 1 mit Kosten von CHF 5 Mio. und 9,5 bis 15,5 zusätzlichen Stellen, Ambitionsniveau 2 mit Kosten von CHF 33 bis 58 Mio. und 42 zusätzlichen Stellen sowie Ambitionsniveau 3 mit Kosten von CHF 62 bis 87 Mio. und 78 zusätzlichen Stellen. Für die Kommissionsmehrheit standen diese beträchtlichen Kosten in einem ungenügenden Verhältnis zum Ertrag und darüber hinaus befürchtete sie, der neu geschaffene, komplexe Informationsschutzapparat könnte eine Eigendynamik entwickeln und sich zunehmend der Kontrolle durch das Parlament entziehen. Aus diesen Gründen beantragte die Mehrheit der SiK-NR ihrem Rat Nichteintreten. Eine Minderheit erachtete hingegen den gesamtheitlichen Ansatz der Vorlage als zentral, um die Informationssicherheit beim Bund zu verbessern. Sie hielt die Kosten für vertretbar, da dadurch Sicherheitslücken geschlossen und die Koordination erheblich verbessert werden könne. Einen drohenden Kontrollverlust des Parlaments sah sie nicht und beantragte folglich Eintreten. Die Eintretensdebatte gestaltete sich dementsprechend umfangreich, kontrovers und emotionsgeladen.

Die bürgerlichen Fraktionen machten sich – mit Ausnahme der BDP – für den Nichteintretensantrag stark. Die Kosten entsprächen einer «Blackbox» und es sei «unseriös», nur auf Annahmen gestützt zu entscheiden; anstatt Experimente zu machen, sollten besser bestehende Gesetze angepasst werden, um die Sicherheit zu gewährleisten, so Ida Glanzmann-Hunkeler (cvp, LU) als Vertreterin der CVP-Fraktion. David Zuberbühler (svp, AR) legte die Ansicht der SVP-Fraktion dar: Das Gesetz sei ein neues «Bürokratiemonster», biete nur «Scheinsicherheit» und sei einen konkreten Nutzennachweis bisher schuldig geblieben, weshalb es «brandgefährlich» sei, darauf einzutreten. Für die FDP-Fraktion waren vor allem die Bedenken bezüglich der Kostenfolgen ausschlaggebend dafür, dass man nicht auf das überladene Gesetz und den damit verbundenen «Blindflug» eintrete. Demgegenüber stellte BDP-Fraktionssprecherin Rosmarie Quadranti (bdp, ZH) Eintreten als alternativlos dar; angesichts des Handlungsbedarfs sei Nichtstun jetzt «fahrlässig». Priska Seiler Graf (sp, ZH) hielt als Vertreterin der SP-Fraktion eine regelrechte Brandrede für Eintreten: Das Gesetz werde dringend benötigt und es sei «fatal», dass anstelle der Sicherheitsfragen vielmehr die finanziellen Folgen im Zentrum der Beratungen in der sicherheitspolitischen Kommission gestanden hätten. Sie warf der SiK «Arbeitsverweigerung» vor und wies darauf hin, dass man nach dem Eintreten die Möglichkeit hätte, das – je nach Ansicht überladene, unberechenbare oder lückenhafte – Gesetz zu «entrümpeln». Arbeitsscheue sei in diesem Fall jedoch «geradezu verantwortungslos», denn auch ein Versäumnis ziehe unbezifferbare Kosten nach sich. Ins gleiche Horn blies auch der Grünen-Vertreter Balthasar Glättli (gp, ZH), indem er Nichteintreten als «Dienstverweigerung» bezeichnete und argumentierte, dass Informationssicherheitslecks sowohl Reputations- als auch Finanzschäden zur Folge hätten. Auch Beat Flach (glp, AG) als Sprecher der GLP-Fraktion erschien es unverständlich, weshalb trotz erkanntem Handlungsbedarf nicht eingetreten werden sollte; ein weiteres Mal fiel das Wort «Arbeitsverweigerung». Die Abstimmung ergab schliesslich 117 zu 68 Stimmen für Nichteintreten (8 Enthaltungen). Obschon die Fraktionen der BDP, der SP, der Grünen und der GLP geschlossen für Eintreten votierten, besiegelte die geballte Stimmkraft des SVP-/FDP-/CVP-Blocks mit nur drei Abweichlern den Nichteintretensentscheid.

Informationssicherheitsgesetz (BRG 17.028)

In seiner dem Parlament im Februar 2017 unterbreiteten Botschaft stellte der Bundesrat den Entwurf zum neuen Informationssicherheitsgesetz (ISG) vor. Im Zentrum des Gesetzgebungsprojektes stehen mit der Zusammenführung der wichtigsten Rechtsgrundlagen im Bereich der Informations- und Informatikmittelsicherheit des Bundes in einen einzigen Erlass sowie mit der Einführung einer einheitlichen Regelung für alle Behörden und Organisationen des Bundes zur Erreichung eines möglichst einheitlichen Sicherheitsniveaus zwei ambitiöse Ziele. Dazu sollen im neuen Gesetz insbesondere das Risikomanagement, die Klassifizierung von Informationen, die Sicherheit beim Einsatz von Informatikmitteln, die personellen Massnahmen und der physische Schutz von Informationen und Informatikmitteln geregelt werden. Ausdrücklich festgehalten werden soll auch der Vorrang des Öffentlichkeitsgesetzes, um zu betonen, dass das Öffentlichkeitsprinzip in der Verwaltung weiterhin uneingeschränkte Geltung haben wird. Überdies überführte der Bundesrat die Regelungen über die Personensicherheitsprüfung vom BWIS in das neue ISG und erweiterte den Geltungsbereich des militärischen Betriebssicherheitsverfahrens auf zivile Beschaffungen, um die Informationssicherheit bei der Vergabe von sicherheitsempfindlichen Aufträgen an Dritte zu gewährleisten. Die Kantone sind vom neuen Gesetz insofern betroffen, als sie bei der Bearbeitung von klassifizierten Informationen des Bundes und beim Zugriff auf seine Informatikmittel für eine gleichwertige Informationssicherheit sorgen müssen. Dazu sollen sie in einem Koordinationsorgan Einsitz nehmen.

Mit einem langen Votum eröffnete Ständerat Isidor Baumann (cvp, UR) als Sprecher der vorberatenden SiK-SR in der Wintersession 2017 die Debatte im Erstrat. Er gab dem Ratsplenum einen Einblick in die Arbeiten der Kommission und legte dar, wie sie im Verlaufe von vier Sitzungen zu ihren Entscheidungen gelangt war. Zum grossen und sehr grundsätzlichen Diskussionspunkt der Gesetzesentschlackung führte er aus, man habe sich von der Verwaltung erklären lassen, dass Umfang und Dichte der vorgeschlagenen Regulierung – der Gesetzesentwurf umfasst immerhin 92 Artikel – notwendig seien, weil die Bestimmungen für verschiedenste Behörden, darunter auch das Bundesgericht und die Nationalbank, gelten sollen und eine solche einheitliche Lösung nur auf Gesetzes- und nicht auf Verordnungsstufe erlassen werden könne. Um sich ein besseres Bild von den Auswirkungen des neuen Gesetzes machen zu können, hatte die Kommission bei der Bundesverwaltung weitere Unterlagen angefordert, so beispielsweise eine Liste der zu schliessenden rechtlichen Lücken, eine Auflistung der indirekten Auswirkungen auf die Kantone und genauere Angaben zu personellen und finanziellen Folgen. Darüber hinaus hatte sie Professor Markus Müller, Leiter der Expertengruppe, die am Anfang dieses Gesetzgebungsprojektes gestanden hatte, EDÖB Adrian Lobsiger, RK-MZF-Generalsekretär Alexander Krethlow sowie Vertreterinnen und Vertreter des Bundesgerichts, der Parlamentsdienste, der Nationalbank und der Wirtschaft angehört. Der integrale Ansatz und die angestrebte Vereinheitlichung seien am Gesetzgebungsprojekt von allen Eingeladenen gelobt worden und auch der Handlungsbedarf sei unbestritten anerkannt worden. Kritisiert worden sei die Vorlage vor allem von der Wirtschaftsvertretung, welche das Gesetz auf seine KMU-Tauglichkeit überprüft und mit der laufenden Revision des Bundesgesetzes über das öffentliche Beschaffungswesen abgestimmt wissen wollte. Krethlow habe indes als Kantonsvertreter die Forderung platziert, dass die Kantone für ihre Tätigkeiten im Zusammenhang mit dem Informationssicherheitsgesetz vollumfänglich vom Bund entschädigt werden sollten. Zusammen mit einer Stellungnahme des VBS hatten die in den Anhörungen vorgebrachten Vorschläge und Empfehlungen der Kommission als Grundlage für die Detailberatung gedient. Noch unklar war die Höhe der Umsetzungskosten gewesen, weil das anzustrebende Sicherheitsniveau von den Bundesbehörden erst im Rahmen des Vollzugs festgelegt werde. Der Bundesrat habe sich jedoch einverstanden gezeigt, die SiK-SR zu allen kostenrelevanten Umsetzungsstrategien und Vollzugserlassen zu konsultieren. Die SiK-SR hatte dem Entwurf sodann einstimmig zugestimmt. Nach diesen umfangreichen Erläuterungen trat der Ständerat ohne Gegenantrag auf die Vorlage ein.

In der Detailberatung zeigte sich die Unbestrittenheit der Vorlage: Zu keinem der zahlreichen Änderungsanträge der SiK-SR fand eine Diskussion statt und auch der Bundesrat zeigte sich mit allen Anpassungen einverstanden. Trotz der vielen Anträge, die alle stillschweigend angenommen wurden, änderte sich inhaltlich nur wenig am Entwurf des Bundesrates. So wurde die Trinkwasserversorgung explizit in die Liste der kritischen Infrastrukturen aufgenommen und die systematische (und nicht nur vorübergehende) Verwendung der AHV-Nummer zur Identifikation von Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, erlaubt. Die Bestimmung, wonach Umsetzung, Zweckmässigkeit, Wirksamkeit und Wirtschaftlichkeit des ISG periodisch überprüft werden muss, ergänzte der Ständerat dahingehend, dass diese Überprüfung durch eine unabhängige Stelle, namentlich durch die Eidgenössische Finanzkontrolle, zu geschehen habe. Des Weiteren nahm er das Personal von Fedpol und Bundesanwaltschaft einerseits sowie dolmetschende und übersetzende Personen im Asylbereich andererseits in den Kreis jener Personen auf, die unabhängig davon, ob sie Zugang zu geschützten Informationen oder Informatiksystemen des Bundes haben, einer Sicherheitsprüfung unterzogen werden können. Ins Muster der fehlenden Kontroverse fügte sich schliesslich auch die Gesamtabstimmung ein, bei der die kleine Kammer die Vorlage einstimmig (bei vier Enthaltungen) annahm.

Informationssicherheitsgesetz (BRG 17.028)

Die Totalrevision des Datenschutzgesetzes (DSG) verfolgt gemäss der Mitte September 2017 verabschiedeten Botschaft des Bundesrates hauptsächlich zwei Ziele: Erstens sollen die der rasanten technologischen Entwicklung in jüngster Zeit geschuldeten Schwächen des bestehenden Gesetzes behoben werden und zweitens soll das revidierte Gesetz den diesbezüglichen Entwicklungen im Europarat und in der EU Rechnung tragen. Im Rahmen der Revision ihres Datenschutzrechts erliess die EU u.a. die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts, die auch Teil des Schengen-Acquis ist. Die DSG-Revisionsvorlage soll daher die Anforderungen der genannten EU-Richtlinie übernehmen, um sicherzustellen, dass die Schweiz ihre Schengen-Verpflichtungen wahrnehmen kann. Der Europarat erarbeitete indes ein Protokoll zur Revision des Übereinkommens SEV 108 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten, womit das schweizerische DSG nach der Revision ebenfalls vereinbar sein soll. Aus Sicht des Bundesrates bilden die Ratifikation dieses Übereinkommens einerseits und die Annäherung an das Datenschutzrecht der EU andererseits die zentralen Voraussetzungen dafür, dass die Europäische Kommission der Schweiz weiterhin ein angemessenes Datenschutzniveau attestiert. Vor allem für die Schweizer Wirtschaft ist dieser sogenannte Angemessenheitsbeschluss von zentraler Bedeutung, da die Schweiz in allen Bereichen, die nicht der Schengen-Zusammenarbeit unterstehen, von der EU als Drittstaat angesehen wird und ein Datenaustausch zwischen EU-Mitgliedstaaten und Drittstaaten nur erlaubt ist, wenn Letzterer ein angemessenes Datenschutzniveau gewährleistet.
Zu den wichtigsten inhaltlichen Änderungen im DSG zählt neben dem Verzicht auf den Schutz der Daten juristischer Personen eine grundsätzliche Informationspflicht bei der Datenbeschaffung für alle Bearbeitungen durch Private, um die Transparenz der Datenbearbeitung generell zu verbessern. Überdies soll bei den für die Datenbearbeitung Verantwortlichen über entsprechende, von den Branchen erarbeitete Verhaltenskodizes die Selbstregulierung gefördert werden. Auch der EDÖB soll in seiner Position und Unabhängigkeit gestärkt werden und neu wie seine europäischen Amtskollegen Untersuchungen gegenüber Datenbearbeitern eröffnen sowie Verfügungen erlassen können. Letztlich sollen auch die Strafbestimmungen gegenüber heute verschärft werden. Zur Umsetzung der EU-Richtlinie 2016/680 umfasst die Vorlage zusätzlich Anpassungen in weiteren Gesetzen, namentlich im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz sowie im Schengen-Informationsaustauschgesetz.
Mit seinem Entwurf kam der Bundesrat vor allem der Wirtschaft entgegen, die in der Vernehmlassung Kritik an der weitgehenden Regulierung geübt hatte. So wurde nun auf ein «Swiss Finish» verzichtet; d.h. es sind keine Anpassungen vorgesehen, die über den EU-Standard hinausgehen. Insbesondere das Sanktionensystem kommt im Vergleich zur Vernehmlassung abgeschwächt daher, soll die maximale Busse doch nur noch CHF 250'000 und nicht wie ursprünglich vorgeschlagen CHF 500'000 betragen. In den Augen des SGV sind die Bussen dennoch zu hoch und die Position des EDÖB zu stark. Der EDÖB Adrian Lobsiger selbst zeigte sich im Grossen und Ganzen zufrieden mit dem Entwurf des Bundesrates und bedauerte einzig, dass ihm nicht die Kompetenz zugestanden wird, ohne Strafprozess direkt Bussen zu verhängen.

Revision des Datenschutzgesetzes (BRG 17.059)
Dossier: 2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Wie Bundesrat Guy Parmelin bereits im Anschluss an die Volksabstimmung vom 25. September 2016 angekündigt hatte, schickte der Bundesrat Anfang 2017 die Verordnungen zum neuen Nachrichtendienstgesetz in die Vernehmlassung. Es handelte sich dabei einerseits um die Verordnung über den Nachrichtendienst (NDV), die dort greift, wo das NDG der Präzisierung bedarf. So werden darin etwa die Zusammenarbeit des NDB mit in- und ausländischen Stellen, die Informationsbeschaffung, der Datenschutz und die Archivierung, die Kontrolle, der interne Schutz, die Sicherheitsmassnahmen sowie die Bewaffnung des NDB konkretisiert. Andererseits handelte es sich um die Verordnung über die Informations- und Speichersysteme des NDB, die technische Regelungen zum Betrieb, zum Inhalt und zur Nutzung dieser Systeme enthält. In einer separaten Vernehmlassung, die im März eröffnet wurde, holte der Bundesrat zudem Stellungnahmen zur Verordnung über die Aufsicht über die nachrichtendienstlichen Tätigkeiten (VAND) ein. Diese dritte Umsetzungsverordnung regelt administrative Fragen bezüglich der Aufsichtsbehörde (AB-ND), die Kontrolle der Funk- und Kabelaufklärung durch die Unabhängige Kontrollinstanz (UKI) sowie die Zusammenarbeit zwischen dem Bund und der Dienstaufsicht in den Kantonen. Für Kritik sorgte, dass die AB-ND administrativ dem Generalsekretariat des VBS zugeordnet werden sollte. Das entspreche nicht dem Willen des Parlaments, das während der Beratung des NDG den Bundesrat per Motion (15.3498) dazu aufgefordert hatte, Möglichkeiten für eine Aufsicht ausserhalb der Bundesverwaltung aufzuzeigen, monierte Nationalrätin Edith Graf-Litscher (sp, TG) gegenüber der Presse; nicht zuletzt habe das Versprechen einer starken und unabhängigen Aufsicht Viele dazu bewogen, dem Gesetz in der Volksabstimmung zuzustimmen. Weniger problematisch sahen dies Ständerat Alex Kuprecht (svp, SZ), Präsident der GPDel und damit der parlamentarischen Oberaufsicht über den NDB, sowie EDÖB Adrian Lobsiger, die beide die operative Selbstbestimmung der Aufsicht durch deren rein administrative Ansiedlung beim VBS – überdies mit eigenem Budget – nicht gefährdet sahen, wie sie in den Medien erklärten.
Daneben traf der Bundesrat weitere Vorbereitungen für die geplante Inkraftsetzung des neuen NDG am 1. September 2017. So hob er in der bestehenden Verordnung über den Nachrichtendienst des Bundes (V-NDB) die Vorschrift auf, dass der NDB Informationen über das Inland und solche über das Ausland in intern getrennten Organisationseinheiten beschaffen muss. Damit werde «ein letztes Überbleibsel» der einst getrennten Inlands- und Auslandsnachrichtendienste abgeschafft, wie es in der entsprechenden Medienmitteilung hiess. Die V-NDB wird mit Inkrafttreten des neuen NDG ihre Geltung zwar verlieren, doch dass die Fusion im Hinblick auf das neue NDG schon vorzeitig vollzogen werde, sei organisatorisch «sicher sinnvoll», zitierte die NZZ GPDel-Präsident Kuprecht. Gemäss Bundesrat könne der NDB nun seine Organisationsstruktur optimieren und Synergien nutzen. Zudem wählte der Bundesrat im Mai – und damit fast ein halbes Jahr später als von Verteidigungsminister Parmelin ursprünglich angekündigt – den Juristen Thomas Fritschi zum Leiter der AB-ND. Er werde die Aufsichtsbehörde ab August organisatorisch und personell aufbauen, gab die Regierung per Medienmitteilung bekannt.
In der Vernehmlassung wurden erhebliche Einwände hauptsächlich von Mitgliedern des ehemaligen Referendumskomitees vorgebracht, darunter die Forderung, die AB-ND ausserhalb der Bundesverwaltung anzusiedeln. Im Ergebnisbericht erläuterte das VBS, dass dafür eine Änderung des formellen Gesetzes vonnöten wäre, weshalb dieser und weitere Vorschläge nicht in den Entwurf übernommen wurden. Die Kantone als Hauptadressaten des Verordnungsrechts sowie die KKJPD und die KKPKS unterstützten die in den Vorentwürfen eingeschlagene Stossrichtung dagegen einhellig. Von ihnen geäusserte Anpassungswünsche, wie auch die Empfehlungen des Bundesverwaltungsgerichts und der GPDel habe der Bundesrat weitestgehend in die Entwürfe übernommen, erläuterte er per Medienmitteilung. Die Sicherheitspolitischen Kommissionen beider Räte nahmen darauf zur Kenntnis, dass die Regierung die wichtigsten in der Vernehmlassung ausgesprochenen Empfehlungen berücksichtigt habe und verzichteten auf weitere Änderungsvorschläge an den Bundesrat. Sie sprachen sich für eine schnellstmögliche Inkraftsetzung des NDG und der dazugehörigen Verordnungen aus, damit der NDB seinem Auftrag zum Schutz des Landes nachkommen könne.
Der Bundesrat verabschiedete die drei Verordnungen Mitte August und setzte sie zusammen mit dem NDG auf den 1. September 2017 in Kraft. Ab dann kann der NDB seine neuen Kompetenzen wahrnehmen und die neuen Überwachungsmittel einsetzen.
Einen Tag vor dem Inkrafttreten kündigte eine Handvoll Personen aus dem Umfeld der Digitalen Gesellschaft an, beim NDB ein Gesuch um Unterlassung der neuen Kabelaufklärung, d.h. der Durchsuchung des grenzüberschreitenden Internetverkehrs nach Stichworten, einzureichen. Wie die Aargauer Zeitung berichtete, konnten sie unter anderem den Schweizer Anwalt Edward Snowdens, Marcel Bosonnet, für ihre Sache gewinnen. Dennoch rechneten sie nicht damit, dass der NDB ihrem Begehren stattgeben werde, planten aber, anschliessend den Rechtsweg zu beschreiten, «notfalls bis zum EGMR in Strassburg», wie die Zeitung den federführenden Anwalt und Präsidenten von Grundrechte.ch Viktor Györffy zitierte. Spätestens dort würden sie recht erhalten, zeigte sich Györffy überzeugt, denn die «anlasslose Massenüberwachung», die der NDB von jetzt an praktiziere, verletze das Grundrecht auf Privatsphäre, die Unschuldsvermutung und das Verhältnismässigkeitsprinzip.

Neues Nachrichtendienstgesetz (BRG 14.022)
Dossier: Staatliche Überwachung
Dossier: Vorstösse und Massnahmen zur Bekämpfung islamistischer Radikalisierungstendenzen

Das Wahlverfahren für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) hatte bei der Wahl von Adrian Lobsiger im Jahr 2016 viel zu reden gegeben. In den Medien war dem Bundesrat, dem die Wahl des EDÖB obliegt, vorgeworfen worden, mit einem ehemaligen Bundesbeamten – Lobsiger war lange Zeit Chef des Fedpol gewesen – keine guten Voraussetzungen für die nötige Unabhängigkeit geschaffen zu haben. Auch im Parlament wurde nicht goutiert, dass sich die Regierung vor der Wahl, die von der Vereinigten Bundesversammlung lediglich noch bestätigt werden kann, nicht mit dem Parlament ausgetauscht hatte. Der Unmut manifestierte sich schliesslich in einer parlamentarischen Initiative Leutenegger Oberholzer (sp, BL). Die Baselbieter Sozialdemokratin bemängelte, dass das Parlament mit der einfachen Genehmigung der Wahl keinen Einfluss auf die Auswahl und die Beurteilung der Eignung von EDÖB-Kandidierenden habe. Zwar finde eine formelle Nachprüfung durch die GK statt, dies könne aber kein Ersatz sein für ein stimmiges Ausschreibe- und Auswahlverfahren. Das ganze Wahl- und Auswahlverfahren sei deshalb integral dem Parlament bzw. der vorgelagerten Gerichtskommission beider Räte zu übertragen.
Anfang 2017 gab die SPK-NR der Initiative mit 13 zu 6 Stimmen bei drei Enthaltungen Folge. Es sei in der Tat stossend, dass das Parlament vor ein "fait accompli" gestellt werde. Ende März folgte auch die Schwesterkommission: Mit 9 zu 3 Stimmen stimmte die SPK-SR dem Vorschlag ebenfalls zu. Das heutige Verfahren befriedige in der Tat nicht. Die SPK-NR wird in der Folge einen Entwurf ausarbeiten.

Wahlverfahren für den EDÖB

Lange bevor der Bundesrat Mitte Juni 2016 mit seiner Medienkonferenz den Abstimmungskampf zum Nachrichtendienstgesetz offiziell eröffnete, wurde das Thema breit in der Öffentlichkeit diskutiert. Anlass dazu boten etwa die Terroranschläge in Brüssel vom 22. März 2016, in deren Nachgang bürgerliche Sicherheitspolitikerinnen und -politiker den Bundesrat dazu aufforderten, dem Nachrichtendienst per dringlichem Bundesbeschluss schleunigst zu den notwendigen Kompetenzen zu verhelfen. Man könne nicht warten, bis das neue NDG nach der Referendumsabstimmung vom September in Kraft treten könne; die jüngsten Anschläge hätten gezeigt, «dass die Bedrohung durch Terrorismus real ist», erklärte die Präsidentin der SiK-NR, Ida Glanzmann-Hunkeler (cvp, LU), gegenüber der NZZ. In Zeiten wie diesen sei es «unsinnig», dass der NDB in seiner Arbeit behindert werde, zitierte die «Tribune de Genève» dazu SiK-SR-Präsident Isidor Baumann (cvp, UR). Der NDB sei momentan «blind und taub», mahnte der Genfer Sicherheitsdirektor Pierre Maudet (GE, fdp) an gleicher Stelle. Obschon die Forderung unerfüllt verhallte, lagen die Hauptargumente für das neue Nachrichtendienstgesetz damit schon einmal auf dem Tisch.

Dass ein grosser Teil der Schweizer Bevölkerung ähnlich dachte, zeigte die im Mai veröffentlichte Studie «Sicherheit 2016» der ETH Zürich. Darin schätzten rund drei Viertel der Befragten die weltpolitische Lage (eher) pessimistisch ein, wobei die Erhebungen bereits im Januar und damit vor den Terrorattacken in Brüssel stattgefunden hatten. Damit einher gingen ein gegenüber dem Vorjahr gestiegenes subjektives Unsicherheitsempfinden sowie die klare Unterstützung von Massnahmen zur Wahrung der inneren Sicherheit wie Datensammlungen über verdächtige Personen, Armeeeinsätze zur Sicherstellung von Ruhe und Ordnung, die Aufstockung der Polizeikorps, Videoüberwachung im öffentlichen Raum oder vorsorgliche Verhaftungen. Von einer gewissen Ambivalenz zeugten die Antworten zum Verhältnis von Freiheit und Sicherheit: 55 Prozent der Befragten waren der Meinung, dass der Staat die Sicherheit der Bevölkerung auch auf Kosten der persönlichen Freiheit garantieren solle, gleichzeitig würden sich aber ebenfalls 55 Prozent für Freiheit statt Sicherheit entscheiden, wenn sie gezwungen wären, eins der beiden zu wählen. Zwei Drittel befürworteten aber die Terrorismusbekämpfung auch unter Einschränkung der persönlichen Freiheit – ein Ergebnis, das «Wasser auf die Mühlen der Befürworter» des neuen NDG sei, wie das St. Galler Tagblatt resümierte.

Weiteren Impetus fand die Befürworterseite in der Tatsache, dass sich offenbar auch der IZRS an der Unterschriftensammlung gegen das NDG beteiligt hatte, wie die Luzerner Zeitung Mitte Juni bekannt machte. Die umstrittene islamische Organisation sehe im NDG ein «Vehikel gegen Muslime», in dessen Fokus «je nach politischem Klima» auch andere Gruppen geraten könnten, weshalb Mediensprecher Qaasim Illi zur Unterschrift gegen das NDG aufgerufen habe. Im Einsatz für das NDG sah man sich dadurch bestätigt, denn es sei «bezeichnend», dass «ein Verein wie der IZRS, der selber im Fokus des NDB stehen könnte», gegen das Gesetz mobil mache, zitierte die Zeitung Ida Glanzmann-Hunkeler. Sogar Bundesrat Guy Parmelin sollte den Widerstand des IZRS einige Tage später vor den Medien lakonisch als «beste Werbung für das Gesetz» bezeichnen. Die Gegenseite distanzierte sich derweil von «diesen Extremisten», wie SP-Sprecher Michael Sorg betonte; man sei nicht verbündet und stehe in keinerlei Kontakt. Aus dem Abstimmungskampf wollte sich der IZRS denn auch heraushalten, wie er über eine Sprecherin verlauten liess.

Auf der Pro-Seite stand neben dem Bundesrat ein überparteiliches Ja-Komitee, das Parlamentarierinnen und Parlamentarier aller grösseren Parteien ausser den Grünen vereinte. Im Laufe der Kampagne sprachen sich zudem die Ost- und Westschweizer Konferenzen der Justiz- und Polizeidirektorinnen und -direktoren sowie die Regierungsräte der Kantone Zürich und Schaffhausen für das NDG aus. Das Hauptargument für das neue Gesetz war, dass die Mittel des schweizerischen Nachrichtendienstes an die aktuelle Bedrohungslage angepasst werden müssten, denn mit seinen heutigen Instrumenten könne er die Schweiz nicht ausreichend vor den sich ständig verändernden und komplexer werdenden Gefahren schützen. Der NDB sei schlicht «überholt», konstatierte FDP-Nationalrätin Corina Eichenberger (fdp, AG) gegenüber der Presse. Klar könne das Risiko nicht vollständig eliminiert werden, aber es seien schon viele Attentate dank Überwachung verhindert worden, pries SVP-Ratskollege Raymond Clottu (svp, NE) die neuen Überwachungsmöglichkeiten an. Als die Ziele des NDG nannte Verteidigungsminister Guy Parmelin einerseits die präventive Überwachung der «gefährlichsten Individuen» (NZZ) sowie andererseits die Erschwerung von Cyberangriffen und -spionage, wie im Fall der Ruag, der Anfang 2016 aufgedeckt worden war. Als weiteren Vorzug des neuen Gesetzes hob NDB-Chef Markus Seiler die Vereinfachung der internationalen Zusammenarbeit in der Terrorismusbekämpfung hervor. Gleichzeitig warnte er vor einer Schwächung der internationalen Stellung der Schweiz, sollte das Gesetz abgelehnt werden, denn je weniger eigene nachrichtendienstliche Erkenntnisse die Schweiz habe, umso grösser sei die Gefahr, von ausländischen Geheimdiensten instrumentalisiert zu werden. Es sei aber mitnichten die Absicht des neuen Gesetzes, alle Bürgerinnen und Bürger zu überwachen und selbstverständlich müsse Missbrauch verhindert werden, betonte Bundesrat Parmelin weiter. Auch das Komitee erklärte, umfassende Kontrollmechanismen und eine gut ausgebaute Aufsicht über den Nachrichtendienst verhinderten, dass ein Überwachungsstaat geschaffen werde. Die Befürworterinnen und Befürworter wurden nicht müde zu betonen, dass das NDG das Gleichgewicht zwischen individueller Freiheit und Sicherheit wahre und letztlich schlicht notwendig sei – oder mit den Worten von SP-Nationalrätin Rebecca Ruiz (sp, VD) in der «Tribune de Genève»: «Wir können nicht bei Windows 95 und Walkie-Talkies bleiben.» Der Status quo sei eine Reaktion auf den Fichenskandal in den 1990er-Jahren gewesen, erklärte auch EDÖB Adrian Lobsiger gegenüber der Sonntagszeitung. Seither hätten sich die Welt verändert und die Sicherheitslage verschärft. Auch er bezeichnete das NDG als «Kompromiss zwischen Freiheit und Sicherheit», liess sich aber nicht auf eine explizite Abstimmungsempfehlung hinaus. Zum frühen Zeitpunkt des offiziellen Kampagnenstarts Mitte Juni sagte Bundesrat Parmelin, er wolle eine «pädagogische» Abstimmungskampagne führen, um der Bevölkerung angesichts des heiklen und komplexen Themas genau zu erklären, was die Neuerungen seien und warum sie nötig seien.

Die Kontra-Seite bestand hauptsächlich aus dem Referendumskomitee «Bündnis gegen den Schnüffelstaat», das von den Grünen, der SP, den Juso, der Piratenpartei, der Gewerkschaft Syndicom, der Digitalen Gesellschaft, dem Verein Grundrechte.ch sowie dem Chaos Computer Club unterstützt wurde. Ein bürgerlich geprägtes Gegenkomitee um die bürgerlichen Jungparteien, kritische Parlamentarierinnen und Parlamentarier von SVP bis GLP sowie die Operation Libero, das liberale Argumente gegen das NDG anführen wollte, zerbrach hingegen, bevor es sich formieren konnte. Man habe das NDG gleichzeitig mit dem BÜPF bekämpfen wollen, aber mit dem Scheitern des BÜPF-Referendums sei die Gruppe auseinandergefallen, schilderte der Koordinator und stellvertretende SGV-Direktor Henrique Schneider dem St. Galler Tagblatt. So dominierten denn auch die von links geäusserten Bedenken das Argumentarium der Gegnerschaft. Weil es dem NDB erlaube, auf Basis blosser Vermutungen zu agieren, gehe das neue Nachrichtendienstgesetz zu weit, so das Hauptargument des Nein-Lagers. Juso-Präsidentin Tamara Funiciello nannte das NDG einen «Schritt Richtung Massenüberwachung». Mit dem Gesetz würden alle Bürgerinnen und Bürger zu Verdächtigen gemacht, sodass der NDB letztlich jeden zum potenziellen Terroristen «emporstilisieren» könne, kritisierte der Präsident des Vereins Grundrechte.ch, Viktor Györffy. Das von der Befürworterseite propagierte Gleichgewicht zwischen individueller Freiheit und Sicherheit konnte die Gegnerschaft nirgends erkennen. Mit der Stärkung des Nachrichtendienstes kreiere man nur eine «Illusion von Sicherheit», bemängelte der Grüne Nationalrat Balthasar Glättli (gp, ZH). Die Attentäter von Paris und Brüssel seien sehr wohl nachrichtendienstlich oder polizeilich bekannt gewesen, aber nichtsdestotrotz hätten die Anschläge nicht verhindert werden können. Dass eine parlamentarische oder juristische Kontrolle die Aktivitäten des NDB und damit die Eingriffe in die Grundrechte wirklich begrenzen könne, sei ebenfalls «illusorisch», so Györffy weiter. Glättli sah das Gesetz ausserdem – sowohl aufgrund der Zusammenarbeit mit ausländischen Nachrichtendiensten als auch wegen der Möglichkeit zum Eindringen in ausländische Computersysteme – als Gefahr für die Neutralität der Schweiz. Zudem missbilligte die Gegnerschaft, dass der Staat durch den Kauf von Trojanern den Schwarzmarkt für Sicherheitslücken und das organisierte Verbrechen fördere.

Insgesamt verlief die öffentliche Debatte über lange Zeit unaufgeregt und angesichts der Tragweite des Themas eher spärlich. Erst rund drei Wochen vor dem Abstimmungssonntag, im Anschluss an die SRF-«Arena» zum NDG, gewann sie «doch noch etwas an Temperatur», wie der Tages-Anzeiger kommentierte. Dabei stand das Instrument der Kabelaufklärung im Fokus, in der die Gegenseite nichts anderes als die verdachtsunabhängige Massenüberwachung erkannte. Die Beteuerung, es werde nur der grenzüberschreitende, nicht aber der inländische Internetverkehr überwacht, sei bedeutungslos, da etwa sehr viele E-Mails über ausländische Server verschickt würden, auch wenn sich Sender und Empfänger in der Schweiz befänden. Ein viel genanntes Argument gegen diese Art der Überwachung war die Suche nach der sprichwörtlichen Nadel im Heuhaufen, die eben nicht einfacher werde, wenn man den Heuhaufen vergrössere. NDG-Fürsprecherin Corina Eichenberger hielt dem in der «Tribune de Genève» entgegen, man werde im Internetverkehr schon nach sehr eng definierten Schlagworten suchen, und nicht einfach nach «Islam» oder «Bombe». Ausserdem führte die Pro-Seite an, der NDB verfüge gar nicht über genug Ressourcen für eine solche Massenüberwachung. Der Bundesrat sprach bis zuletzt von rund zehn Fällen pro Jahr, in denen bewilligungspflichtige Beschaffungsmassnahmen eingesetzt würden, wie er auch schon dem Parlament erklärt hatte. In den Medien wurde diese Zahl jedoch in Zweifel gezogen, da sich seit den parlamentarischen Beratungen die Bedrohungslage durch vermehrte Anschläge in Europa – die bisher folgenschwersten in Paris und Brüssel – und die zunehmende Anzahl Dschihad-Reisender aus der Schweiz verschärft habe. Während das VBS die Zahl als Durchschnittswert, der mit der Bedrohungslage variieren könne, verteidigte, sprach Ida Glanzmann-Hunkeler eher von 20 bis 25 Fällen pro Jahr, wobei diese Schätzung nicht statistisch extrapoliert, sondern «mehr ein Gefühl» sei, wie sie gegenüber dem Tages-Anzeiger erklärte. NDG-Gegner Balthasar Glättli sah in diesem Zahlenwirrwarr gemäss St. Galler Tagblatt ein Indiz dafür, dass «die staatlichen Schnüffler wesentlich hungriger» seien, als sie es «vor der Abstimmung zugeben» wollten. Wie der Tages-Anzeiger feststellte, wurde der Abstimmungskampf gegen Ende zum «Streit der Begrifflichkeiten», der sich vor allem um die Definition von Massenüberwachung drehte. Es sei die Antwort auf die von Beat Flach (glp, AG) in der «Arena» gestellte Frage, ob es wirklich so furchtbar sei, dass in Zukunft alles zuerst durch den Filter des NDB gehe, die Befürworter und Gegner des NDG trenne, konstatierte dieselbe Zeitung.

Die ab Mitte August durchgeführten Umfragen zeigten schon von Anfang an eine breite Unterstützung von knapp 60 Prozent für das NDG, die bis zur letzten Umfragewelle Mitte September ungefähr konstant blieb. Als wichtigste Argumente identifizierten die Befragungen die Befürchtung möglichen Missbrauchs neuer Technologien auf der Pro- sowie den mangelhaften Schutz der Privatsphäre auf der Kontra-Seite. Bei den bürgerlichen Parteien wollte die Mehrheit der Basis Ja stimmen, während die Anhängerschaft der linken Parteien mehrheitlich ein Nein einlegen wollte. Damit hatte das NDG gute Voraussetzungen, das Referendum ungefährdet zu passieren.

Neues Nachrichtendienstgesetz (BRG 14.022)
Dossier: Staatliche Überwachung
Dossier: Vorstösse und Massnahmen zur Bekämpfung islamistischer Radikalisierungstendenzen

Das Prozedere für die Wahl des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sieht vor, dass die Vereinigte Bundesversammlung den Wahlvorschlag des Bundesrates bestätigen muss. Eine Kommission hat die Wahl des EDÖB durch den Bundesrat zu begutachten und der Bundesversammlung den von der Regierung gewählten Kandidaten zur Annahme oder zur Ablehnung zu empfehlen. Da der amtierende EDÖB Hanspeter Thür auf eine weitere Amtsperiode verzichtete, hatte der Bundesrat Ende 2015 Adrian Lobsiger, bis dato stellvertretender Direktor des Bundesamtes für Polizei, in dieses Amt gewählt.
Mit der Begutachtung wurde die GK betraut. In ihrem Bericht kritisierte die GK das Verfahren und die Kompetenzverteilung. Sie äusserte zudem Bedauern, dass vor der Wahl Lobsigers kein Austausch zwischen dem Bundesrat und dem Parlament stattgefunden habe. Das Wahlverfahren selber wurde – aufgrund von Gesprächen mit dem Bundeskanzler Walter Thurnherr sowie der Leiterin der Sektion Personal und Ressourcen Prisca Leu – als korrekt beurteilt. Es sei aus dem Dossier nicht ersichtlich, dass bestimmte Kandidatinnen oder Kandidaten oder bestimmte Bewerberkategorien bevorzugt behandelt worden seien. Bei Gesprächen mit den GPK und den GPDel seien ebenfalls keine Einwände zur Wahl Lobsigers vorgebracht worden. Schliesslich habe auch eine Anhörung des Kandidaten selber auf keine mangelnde Einigung hingewiesen. Mit 10 Stimmen bei sechs Enthaltungen – vermutlich ein stiller Protest gegen das Verfahren und die in den Medien vorgebrachten Bedenken gegen Lobsiger – beantragte die GK deshalb, die Wahl Adrian Lobsigers durch den Bundesrat zu bestätigen.
In den Medien war die Wahl Lobsigers auf Skepsis gestossen. Als Fedpol-Chef sei er treibende Kraft für das präventive Sammeln von Daten gewesen und es sei zudem fraglich, ob er als ehemaliger Bundesbeamter die nötige Unabhängigkeit haben könne. Der Rollenwechsel und seine Verwaltungsnähe waren aber dann für die Bundesversammlung kein Hinderungsgrund, Lobsiger zu bestätigen. In der Frühjahressession folgte sie dem Antrag der GK. Bei der geheimen Wahl, in der ein einfaches Mehr genügt und die leeren Stimmen mitgezählt werden, waren 139 Stimmen für eine Bestätigung der Wahl des Bundesrats und 54 Stimmen dagegen. Fünf Wahlzettel blieben leer. Damit galt Adrian Lobsiger für die 50. Legislaturperiode als EDÖB bestätigt.

Datenschutz- und Öffentlichkeitsbeauftragter - Bestätigung