Suche zurücksetzen

Inhalte

  • Datenschutz

Akteure

Prozesse

136 Resultate
Als PDF speichern Weitere Informationen zur Suche finden Sie hier

Nachdem der Ständerat in der Herbstsession 2018 am Eintreten auf das Informationssicherheitsgesetz (ISG) festgehalten hatte, beriet die SiK-NR die Vorlage im Oktober desselben Jahres zum zweiten Mal. Diesmal trat sie zwar mit 17 zu 8 Stimmen bei einer Enthaltung darauf ein, beschloss dann aber mit 17 zu 9 Stimmen die Sistierung des Geschäftes. Unterdessen soll das VBS bis im Juni 2019 Verbesserungsvorschläge für das Gesetzgebungsprojekt ausarbeiten. Neben der inhaltlichen Abstimmung des ISG auf die NCS und der Berücksichtigung eines zukünftigen Kompetenzzentrums für Cybersicherheit verlangte die Kommission eine klare Ausweisung und Limitierung sowie die departementsübergreifende Kompensation der Umsetzungskosten. Weiter muss das VBS aufzeigen, welche Kosten im Bereich der Betriebssicherheitsverfahren auf die öffentlichen und privaten Unternehmen in der Schweiz zukommen bzw. wie eine Belastung der Unternehmen durch das neue Gesetz vermieden werden kann. Generell erwartet die Kommission einen konkreteren, einfacheren und strafferen Gesetzesentwurf.

Informationssicherheitsgesetz

Mit zwölf zu einer Stimme beantragte die SiK-SR ihrem Rat im Herbst 2018, am Eintreten auf das Informationssicherheitsgesetz festzuhalten. Das Gesetz sei im Auftrag des Parlamentes entstanden und berücksichtige klare Vorgaben der GPK und der GPDel, erklärte Kommissionssprecher Isidor Baumann (cvp, UR) vor dem Ratsplenum. Er fügte eine Liste von Gründen an, weshalb das Gesetz notwendig sei: Es brauche das Gesetz, um bei allen Bundesbehörden einen einheitlichen, minimalen Sicherheitsstandard zu gewährleisten, um die Kantone bei der Zusammenarbeit mit dem Bund denselben Sicherheitsvorschriften zu unterstellen, um durch die Verwendung biometrischer Daten unberechtigte Zugriffe auf die Informationssysteme des Bundes besser zu verhindern und um Personensicherheitsüberprüfungen bei Betreibenden oder Verwaltenden der kritischen Informationssysteme des Bundes durchführen zu können. Darüber hinaus könnten damit die Vertrauenswürdigkeit von Unternehmen, die sensible Aufträge für den Bund ausführten, sowie die Einhaltung der Sicherheitsstandards während der Auftragserfüllung kontrolliert werden. Das inhaltlich abgestimmte Gesetz ermögliche gegenüber dem heutigen System einen Bürokratieabbau, indem es Verantwortlichkeiten und Prozesse vereinfache und Massnahmen standardisiere, hob Baumann die Vorteile des Projektes hervor. Auch Bundesrat Guy Parmelin betonte noch einmal die Bedeutung dieses Gesetzes für die Schweiz. Stillschweigend hielt der Ständerat am Eintretensentscheid fest, womit sich nun erneut der Nationalrat mit dem Geschäft befassen wird.

Informationssicherheitsgesetz

Étant donné l’absence de frontière sur l’internet, de nombreuses plateformes commerciales sont actives en Suisse, mais n’y ont pas de domicile de notification. Selon Balthasar Glättli (verts, ZH) une telle situation peut devenir problématique en cas de violation du droit de la personnalité ou du droit de la protection des données. Il a donc déposé une motion pour renforcer l’application du droit sur internet en obligeant les grandes plateformes commerciales à avoir un domicile de notification. Dans cette optique, il propose notamment la modification des articles 140 CPC et 87 CPP.
D'un côté, la motion a été combattue par Philippe Bauer (plr, NE). S'il estime que la question du for des grandes firmes commerciales sur Internet pose un problème, il considère que la solution avancée par le parlementaire vert n'était pas satisfaisante. D'un autre côté, la motion a reçu l'appui du gouvernement, par la conseillère fédérale Simonetta Sommaruga (DFJP). Le gouvernement reconnaît qu'un problème existe, et surtout, estime qu'aucune solution satisfaisante n'a encore été trouvée. Ainsi, il est favorable à la motion afin que des discussions soient lancées pour trouver une solution. Lors du vote, la motion a été adoptée par 141 voix contre 46 et 4 abstentions. L'opposition libérale des voix de la majorité du PLR (24 voix) a été complétée par une minorité UDC. La motion passe à la chambre des cantons.

Renforcer l'application du droit sur Internet en obligeant les grandes plates-formes commerciales à avoir un domicile de notification

Mit einem Postulat bat Nationalrat Guhl (bdp, AG) im März 2018 den Bundesrat, zu prüfen, wie die Identifikation von Drohnen und ähnlichen Flugkörpern aus der Distanz erfolgen könnte. Da Drohnen erst ab einem Gewicht von 30 kg eine Bewilligung benötigten, sei eine Mehrzahl der Drohnen nicht registriert. Gefährde eine Drohne den Flugverkehr oder die Sicherheit von Menschen, so sei der Mensch, der die Drohne aus der Ferne steuere, kaum zu eruieren. Drohnen müssten deshalb aus der Distanz identifiziert werden können, um fehlbare Drohnenpiloten zur Rechenschaft ziehen zu können. Der Bundesrat beantragte die Annahme des Postulats und verwies auf laufende Bemühungen und Projekte des BAZL und der Schweizer Flugsicherung Skyguide. Der Nationalrat nahm das Postulat im Juni 2018 ohne Widerstand an.

Identifikation von Drohnen und ähnlichen Flugkörpern
Drohnen und die Sicherheit im Luftraum

Afin de maintenir la compétitivité de la place économique helvétique, Marcel Dobler (plr, SG) soumet une adaptation du droit des faillites en adéquation avec la numérisation. Il estime que la restitution des données informatiques en cas de faillite doit être réglée à l’article 242 de la loi sur la poursuite pour dettes et la faillite (LP). En effet, aucune base légale ne règle la restitution des données alors que les technologies de l’information envahissent notre économie. A l’unanimité, la commission des affaires juridiques du Conseil national (CAJ-CN) a proposé de donner suite à l’initiative parlementaire.

Les données étant le bien le plus précieux des entreprises privées, il convient de régler leur restitution en cas de faillite

Wie im vergangenen Dezember schon der Ständerat und dessen sicherheitspolitische Kommission stellte im Frühjahr 2018 auch die SiK-NR Handlungsbedarf im Informationssicherheitsmanagement des Bundes fest. Anders als ihre Schwesterkommission, der die kleine Kammer widerstandslos gefolgt war, zweifelte die nationalrätliche Kommission jedoch am Mehrwert, den das Informationssicherheitsgesetz mit sich brächte. Die bedeutendsten Unbekannten im Gesetzgebungsprojekt waren nach wie vor die Kosten und der Personalaufwand im Zusammenhang mit der Umsetzung. Während sich der Ständerat mit der Zusicherung zufriedengegeben hatte, zu den Kosten später noch einmal konsultiert zu werden, beauftragte die SiK-NR die Verwaltung, die Kosten und den Personalaufwand für verschiedene mögliche Sicherheitsniveaus zu beziffern. Es wurden also drei mögliche Szenarien vorgestellt: Ambitionsniveau 1 mit Kosten von CHF 5 Mio. und 9,5 bis 15,5 zusätzlichen Stellen, Ambitionsniveau 2 mit Kosten von CHF 33 bis 58 Mio. und 42 zusätzlichen Stellen sowie Ambitionsniveau 3 mit Kosten von CHF 62 bis 87 Mio. und 78 zusätzlichen Stellen. Für die Kommissionsmehrheit standen diese beträchtlichen Kosten in einem ungenügenden Verhältnis zum Ertrag und darüber hinaus befürchtete sie, der neu geschaffene, komplexe Informationsschutzapparat könnte eine Eigendynamik entwickeln und sich zunehmend der Kontrolle durch das Parlament entziehen. Aus diesen Gründen beantragte die Mehrheit der SiK-NR ihrem Rat Nichteintreten. Eine Minderheit erachtete hingegen den gesamtheitlichen Ansatz der Vorlage als zentral, um die Informationssicherheit beim Bund zu verbessern. Sie hielt die Kosten für vertretbar, da dadurch Sicherheitslücken geschlossen und die Koordination erheblich verbessert werden könne. Einen drohenden Kontrollverlust des Parlaments sah sie nicht und beantragte folglich Eintreten. Die Eintretensdebatte gestaltete sich dementsprechend umfangreich, kontrovers und emotionsgeladen.

Die bürgerlichen Fraktionen machten sich – mit Ausnahme der BDP – für den Nichteintretensantrag stark. Die Kosten entsprächen einer «Blackbox» und es sei «unseriös», nur auf Annahmen gestützt zu entscheiden; anstatt Experimente zu machen, sollten besser bestehende Gesetze angepasst werden, um die Sicherheit zu gewährleisten, so Ida Glanzmann-Hunkeler (cvp, LU) als Vertreterin der CVP-Fraktion. David Zuberbühler (svp, AR) legte die Ansicht der SVP-Fraktion dar: Das Gesetz sei ein neues «Bürokratiemonster», biete nur «Scheinsicherheit» und sei einen konkreten Nutzennachweis bisher schuldig geblieben, weshalb es «brandgefährlich» sei, darauf einzutreten. Für die FDP-Fraktion waren vor allem die Bedenken bezüglich der Kostenfolgen ausschlaggebend dafür, dass man nicht auf das überladene Gesetz und den damit verbundenen «Blindflug» eintrete. Demgegenüber stellte BDP-Fraktionssprecherin Rosmarie Quadranti (bdp, ZH) Eintreten als alternativlos dar; angesichts des Handlungsbedarfs sei Nichtstun jetzt «fahrlässig». Priska Seiler Graf (sp, ZH) hielt als Vertreterin der SP-Fraktion eine regelrechte Brandrede für Eintreten: Das Gesetz werde dringend benötigt und es sei «fatal», dass anstelle der Sicherheitsfragen vielmehr die finanziellen Folgen im Zentrum der Beratungen in der sicherheitspolitischen Kommission gestanden hätten. Sie warf der SiK «Arbeitsverweigerung» vor und wies darauf hin, dass man nach dem Eintreten die Möglichkeit hätte, das – je nach Ansicht überladene, unberechenbare oder lückenhafte – Gesetz zu «entrümpeln». Arbeitsscheue sei in diesem Fall jedoch «geradezu verantwortungslos», denn auch ein Versäumnis ziehe unbezifferbare Kosten nach sich. Ins gleiche Horn blies auch der Grünen-Vertreter Balthasar Glättli (gp, ZH), indem er Nichteintreten als «Dienstverweigerung» bezeichnete und argumentierte, dass Informationssicherheitslecks sowohl Reputations- als auch Finanzschäden zur Folge hätten. Auch Beat Flach (glp, AG) als Sprecher der GLP-Fraktion erschien es unverständlich, weshalb trotz erkanntem Handlungsbedarf nicht eingetreten werden sollte; ein weiteres Mal fiel das Wort «Arbeitsverweigerung». Die Abstimmung ergab schliesslich 117 zu 68 Stimmen für Nichteintreten (8 Enthaltungen). Obschon die Fraktionen der BDP, der SP, der Grünen und der GLP geschlossen für Eintreten votierten, besiegelte die geballte Stimmkraft des SVP-/FDP-/CVP-Blocks mit nur drei Abweichlern den Nichteintretensentscheid.

Informationssicherheitsgesetz

In seiner dem Parlament im Februar 2017 unterbreiteten Botschaft stellte der Bundesrat den Entwurf zum neuen Informationssicherheitsgesetz (ISG) vor. Im Zentrum des Gesetzgebungsprojektes stehen mit der Zusammenführung der wichtigsten Rechtsgrundlagen im Bereich der Informations- und Informatikmittelsicherheit des Bundes in einen einzigen Erlass sowie mit der Einführung einer einheitlichen Regelung für alle Behörden und Organisationen des Bundes zur Erreichung eines möglichst einheitlichen Sicherheitsniveaus zwei ambitiöse Ziele. Dazu sollen im neuen Gesetz insbesondere das Risikomanagement, die Klassifizierung von Informationen, die Sicherheit beim Einsatz von Informatikmitteln, die personellen Massnahmen und der physische Schutz von Informationen und Informatikmitteln geregelt werden. Ausdrücklich festgehalten werden soll auch der Vorrang des Öffentlichkeitsgesetzes, um zu betonen, dass das Öffentlichkeitsprinzip in der Verwaltung weiterhin uneingeschränkte Geltung haben wird. Überdies überführte der Bundesrat die Regelungen über die Personensicherheitsprüfung vom BWIS in das neue ISG und erweiterte den Geltungsbereich des militärischen Betriebssicherheitsverfahrens auf zivile Beschaffungen, um die Informationssicherheit bei der Vergabe von sicherheitsempfindlichen Aufträgen an Dritte zu gewährleisten. Die Kantone sind vom neuen Gesetz insofern betroffen, als sie bei der Bearbeitung von klassifizierten Informationen des Bundes und beim Zugriff auf seine Informatikmittel für eine gleichwertige Informationssicherheit sorgen müssen. Dazu sollen sie in einem Koordinationsorgan Einsitz nehmen.

Mit einem langen Votum eröffnete Ständerat Isidor Baumann (cvp, UR) als Sprecher der vorberatenden SiK-SR in der Wintersession 2017 die Debatte im Erstrat. Er gab dem Ratsplenum einen Einblick in die Arbeiten der Kommission und legte dar, wie sie im Verlaufe von vier Sitzungen zu ihren Entscheidungen gelangt war. Zum grossen und sehr grundsätzlichen Diskussionspunkt der Gesetzesentschlackung führte er aus, man habe sich von der Verwaltung erklären lassen, dass Umfang und Dichte der vorgeschlagenen Regulierung – der Gesetzesentwurf umfasst immerhin 92 Artikel – notwendig seien, weil die Bestimmungen für verschiedenste Behörden, darunter auch das Bundesgericht und die Nationalbank, gelten sollen und eine solche einheitliche Lösung nur auf Gesetzes- und nicht auf Verordnungsstufe erlassen werden könne. Um sich ein besseres Bild von den Auswirkungen des neuen Gesetzes machen zu können, hatte die Kommission bei der Bundesverwaltung weitere Unterlagen angefordert, so beispielsweise eine Liste der zu schliessenden rechtlichen Lücken, eine Auflistung der indirekten Auswirkungen auf die Kantone und genauere Angaben zu personellen und finanziellen Folgen. Darüber hinaus hatte sie Professor Markus Müller, Leiter der Expertengruppe, die am Anfang dieses Gesetzgebungsprojektes gestanden hatte, EDÖB Adrian Lobsiger, RK-MZF-Generalsekretär Alexander Krethlow sowie Vertreterinnen und Vertreter des Bundesgerichts, der Parlamentsdienste, der Nationalbank und der Wirtschaft angehört. Der integrale Ansatz und die angestrebte Vereinheitlichung seien am Gesetzgebungsprojekt von allen Eingeladenen gelobt worden und auch der Handlungsbedarf sei unbestritten anerkannt worden. Kritisiert worden sei die Vorlage vor allem von der Wirtschaftsvertretung, welche das Gesetz auf seine KMU-Tauglichkeit überprüft und mit der laufenden Revision des Bundesgesetzes über das öffentliche Beschaffungswesen abgestimmt wissen wollte. Krethlow habe indes als Kantonsvertreter die Forderung platziert, dass die Kantone für ihre Tätigkeiten im Zusammenhang mit dem Informationssicherheitsgesetz vollumfänglich vom Bund entschädigt werden sollten. Zusammen mit einer Stellungnahme des VBS hatten die in den Anhörungen vorgebrachten Vorschläge und Empfehlungen der Kommission als Grundlage für die Detailberatung gedient. Noch unklar war die Höhe der Umsetzungskosten gewesen, weil das anzustrebende Sicherheitsniveau von den Bundesbehörden erst im Rahmen des Vollzugs festgelegt werde. Der Bundesrat habe sich jedoch einverstanden gezeigt, die SiK-SR zu allen kostenrelevanten Umsetzungsstrategien und Vollzugserlassen zu konsultieren. Die SiK-SR hatte dem Entwurf sodann einstimmig zugestimmt. Nach diesen umfangreichen Erläuterungen trat der Ständerat ohne Gegenantrag auf die Vorlage ein.

In der Detailberatung zeigte sich die Unbestrittenheit der Vorlage: Zu keinem der zahlreichen Änderungsanträge der SiK-SR fand eine Diskussion statt und auch der Bundesrat zeigte sich mit allen Anpassungen einverstanden. Trotz der vielen Anträge, die alle stillschweigend angenommen wurden, änderte sich inhaltlich nur wenig am Entwurf des Bundesrates. So wurde die Trinkwasserversorgung explizit in die Liste der kritischen Infrastrukturen aufgenommen und die systematische (und nicht nur vorübergehende) Verwendung der AHV-Nummer zur Identifikation von Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, erlaubt. Die Bestimmung, wonach Umsetzung, Zweckmässigkeit, Wirksamkeit und Wirtschaftlichkeit des ISG periodisch überprüft werden muss, ergänzte der Ständerat dahingehend, dass diese Überprüfung durch eine unabhängige Stelle, namentlich durch die Eidgenössische Finanzkontrolle, zu geschehen habe. Des Weiteren nahm er das Personal von Fedpol und Bundesanwaltschaft einerseits sowie dolmetschende und übersetzende Personen im Asylbereich andererseits in den Kreis jener Personen auf, die unabhängig davon, ob sie Zugang zu geschützten Informationen oder Informatiksystemen des Bundes haben, einer Sicherheitsprüfung unterzogen werden können. Ins Muster der fehlenden Kontroverse fügte sich schliesslich auch die Gesamtabstimmung ein, bei der die kleine Kammer die Vorlage einstimmig (bei vier Enthaltungen) annahm.

Informationssicherheitsgesetz

Seit einigen Jahren arbeitet der Bund, gemeinsam mit mehreren weiteren Akteuren, an verschiedenen Programmen zur Bewältigung neuer Bedrohungen aus dem digitalen Raum. Diesen als „Cyber-Risiken” umschriebenen, im Zuge der Digitalisierung vermehrt auftretenden Komplikationen und/oder Angriffen wird unter anderem auch mit einer Cyber-Strategie begegnet. Diese Strategie wird dezentral umgesetzt, wobei die Melde- und Analysestelle Informationssicherung (MELANI) eine zentrale Rolle innehat. Damit ist aufgrund des Kooperationsmodells bei MELANI zwischen ISB und NDB direkt auch der Nachrichtendienst des Bundes involviert. Innerhalb des VBS hat aber auch die Armee den Auftrag, sensible IT-Infrastrukturen und Systeme zu schützen. Dafür wurde bis anhin auf die Nutzung sicherer Netze vertraut, gerade auch im militärischen Tagesbetrieb. Zur Informations- und Objektsicherheit wurde zudem innerhalb des Verteidigungsdepartementes eine gleichnamige Stelle eingerichtet. Um nun der weiteren Entwicklung im Cyberbereich zu begegnen, wurde ein Aktionsplan Cyber-Defence ausgearbeitet. Diese auf Anregung von Departementsvorsteher Guy Parmelin 2016 lancierte Massnahme soll bis 2020 umgesetzt werden und die bereits laufenden Vorgänge im Rahmen der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken ergänzen.

Der Aktionsplan Cyber-Defence ist ein rein auf das VBS bezogenes Strategiepapier, das mit einer Standortbestimmung im Sommer 2016 angestossen worden war und im folgenden Herbst eine Strategie hervorgebracht hatte, deren Umsetzungsplan im Sommer 2017 verabschiedet wurde. Gemäss dem Aktionsplan ist dieser vorerst als Orientierungshilfe anzusehen, er bedeute jedoch einen zwingenden ersten Schritt, weil eine Anpassung an neue „Herausforderungen im Cyber-Raum ein wichtiges Thema unserer Sicherheitspolitik geworden ist.”
Als operative Ziele wurden drei Bereiche definiert. Das VBS soll erstens seine eigenen Systeme und Infrastrukturen jederzeit schützen und verteidigen können. Zweitens soll es möglich werden, militärische und nachrichtendienstliche Operationen im Cyber-Raum durchzuführen. Ferner sollen drittens zivile Behörden im Falle von Cyber-Angriffen unterstützt werden können. Diese Zielvorgaben verlangen jedoch eine genügende Ausstattung mit finanziellen, aber auch personellen Ressourcen – ein Unterfangen, das auf der politischen Bühne auszutragen sein wird.

Die Rekrutierung von geeignetem Milizpersonal beispielsweise mittels neu zu schaffender Cyber-RS, wie im Parlament inzwischen gefordert wurde, wurde im Aktionsplan als nicht zielführend beschrieben. Im Papier ist von einem Bedarf von 166 Stellen die Rede, wovon etwa 100 neu zu schaffen wären. Bezüglich Finanzierung wurden keine präzisen Zahlen genannt, eine Schätzung geht jedoch von etwa 2 Prozent des Jahresbudgets des VBS aus. Ob der gesamte Bereich der Cyber-Abwehr, also auch ausserhalb des VBS und der Armee, durch ein Cybersecurity-Kompetenzzentrum organisiert werden könnte, wurde im Aktionsplan nicht genauer ausgeführt. Unter der Bezeichnung „CYD-Campus” wurde jedoch eine Plattform zur vertieften Zusammenarbeit skizziert, deren Entwicklung noch abgewartet werden muss.

Aktionsplan Cyber-Defence
Cyber Defence

Da mit der Verbesserung der informationellen Selbstbestimmung das zentrale Anliegen der beiden parlamentarischen Initiativen Vischer (gp, ZH; Pa.Iv. 14.413) und Derder (fdp, VD; Pa.Iv. 14.434) voraussichtlich im Zuge der Totalrevision des Datenschutzgesetzes umgesetzt werden soll, verzichtete die zuständige SPK-NR vorerst auf eine eigene gesetzgeberische Tätigkeit. Sie wollte zuerst die Botschaft des Bundesrates zum Datenschutzgesetz abwarten. Im August 2017 musste die Kommission nun entscheiden, was mit den zwei Jahre zuvor gutgeheissenen Vorstössen geschehen soll. Die mit Stichentscheid des Präsidenten Heinz Brand (svp, GR) äusserst knapp zustande gekommene Kommissionsmehrheit plädierte für eine zweijährige Fristverlängerung bei beiden Vorstössen. Die SPK-NR werde als zuständige Kommission für Datenschutz auch das Datenschutzgesetz vorberaten und damit die Möglichkeit haben, allenfalls nicht berücksichtigte Forderungen der Initiativen als Anträge einzubringen. Danach könnten die beiden Initiativen abgeschrieben werden. Anstelle der Fristverlängerung beantragte die Kommissionsminderheit die Abschreibung der beiden Vorstösse, da Art. 13 BV (Schutz der Privatsphäre) bereits den Schutz der persönlichen Daten umfasse, womit die Initiativen obsolet seien. Diese Argumentation von Minderheitssprecher Philippe Nantermod (fdp, VS) überzeugte in der Herbstsession 2017 auch die Mehrheit im Nationalrat: Mit 118 zu 76 Stimmen sprach sich die grosse Kammer für Abschreiben der beiden parlamentarischen Initiativen aus.

Pa.Iv. Vischer: Grundrecht auf informationelle Selbstbestimmung / Pa.Iv. Derder: Schutz der digitalen Identität von Bürgerinnen und Bürgern
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Die Totalrevision des Datenschutzgesetzes (DSG) verfolgt gemäss der Mitte September 2017 verabschiedeten Botschaft des Bundesrates hauptsächlich zwei Ziele: Erstens sollen die der rasanten technologischen Entwicklung in jüngster Zeit geschuldeten Schwächen des bestehenden Gesetzes behoben werden und zweitens soll das revidierte Gesetz den diesbezüglichen Entwicklungen im Europarat und in der EU Rechnung tragen. Im Rahmen der Revision ihres Datenschutzrechts erliess die EU u.a. die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts, die auch Teil des Schengen-Acquis ist. Die DSG-Revisionsvorlage soll daher die Anforderungen der genannten EU-Richtlinie übernehmen, um sicherzustellen, dass die Schweiz ihre Schengen-Verpflichtungen wahrnehmen kann. Der Europarat erarbeitete indes ein Protokoll zur Revision des Übereinkommens SEV 108 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten, womit das schweizerische DSG nach der Revision ebenfalls vereinbar sein soll. Aus Sicht des Bundesrates bilden die Ratifikation dieses Übereinkommens einerseits und die Annäherung an das Datenschutzrecht der EU andererseits die zentralen Voraussetzungen dafür, dass die Europäische Kommission der Schweiz weiterhin ein angemessenes Datenschutzniveau attestiert. Vor allem für die Schweizer Wirtschaft ist dieser sogenannte Angemessenheitsbeschluss von zentraler Bedeutung, da die Schweiz in allen Bereichen, die nicht der Schengen-Zusammenarbeit unterstehen, von der EU als Drittstaat angesehen wird und ein Datenaustausch zwischen EU-Mitgliedstaaten und Drittstaaten nur erlaubt ist, wenn Letzterer ein angemessenes Datenschutzniveau gewährleistet.
Zu den wichtigsten inhaltlichen Änderungen im DSG zählt neben dem Verzicht auf den Schutz der Daten juristischer Personen eine grundsätzliche Informationspflicht bei der Datenbeschaffung für alle Bearbeitungen durch Private, um die Transparenz der Datenbearbeitung generell zu verbessern. Überdies soll bei den für die Datenbearbeitung Verantwortlichen über entsprechende, von den Branchen erarbeitete Verhaltenskodizes die Selbstregulierung gefördert werden. Auch der EDÖB soll in seiner Position und Unabhängigkeit gestärkt werden und neu wie seine europäischen Amtskollegen Untersuchungen gegenüber Datenbearbeitern eröffnen sowie Verfügungen erlassen können. Letztlich sollen auch die Strafbestimmungen gegenüber heute verschärft werden. Zur Umsetzung der EU-Richtlinie 2016/680 umfasst die Vorlage zusätzlich Anpassungen in weiteren Gesetzen, namentlich im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz sowie im Schengen-Informationsaustauschgesetz.
Mit seinem Entwurf kam der Bundesrat vor allem der Wirtschaft entgegen, die in der Vernehmlassung Kritik an der weitgehenden Regulierung geübt hatte. So wurde nun auf ein «Swiss Finish» verzichtet; d.h. es sind keine Anpassungen vorgesehen, die über den EU-Standard hinausgehen. Insbesondere das Sanktionensystem kommt im Vergleich zur Vernehmlassung abgeschwächt daher, soll die maximale Busse doch nur noch CHF 250'000 und nicht wie ursprünglich vorgeschlagen CHF 500'000 betragen. In den Augen des SGV sind die Bussen dennoch zu hoch und die Position des EDÖB zu stark. Der EDÖB Adrian Lobsiger selbst zeigte sich im Grossen und Ganzen zufrieden mit dem Entwurf des Bundesrates und bedauerte einzig, dass ihm nicht die Kompetenz zugestanden wird, ohne Strafprozess direkt Bussen zu verhängen.

Revision des Datenschutzgesetzes
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Die Vernehmlassung zur Totalrevision des Datenschutzgesetzes (DSG) und zur Änderung weiterer Erlasse zum Datenschutz umfasste neben diesem Hauptentwurf auch einen Entwurf für einen Bundesbeschluss betreffend die Genehmigung und Umsetzung des Notenaustausches zwischen der Schweiz und der EU zur Übernahme der Richtlinie (EU) 2016/680 sowie einen Entwurf für die Revision des Übereinkommens SEV 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Im Zentrum des Gesetzgebungsprojektes stehen die Verbesserung der Transparenz von Datenbearbeitungen, die Förderung der Selbstregulierung bei den Verantwortlichen in Form von Empfehlungen der guten Praxis sowie die Stärkung der Position und Unabhängigkeit des EDÖB. Im Einklang mit den europäischen Datenschutzbestimmungen soll darüber hinaus der Schutz von Daten juristischer Personen aufgehoben werden, um insbesondere den Datenaustausch mit dem Ausland zu erleichtern. Einige Anforderungen der EU-Richtlinie 2016/680 erfordern ausserdem Anpassungen im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz und im Schengen-Informationsaustauschgesetz.
Unter den insgesamt 222 Vernehmlassungsteilnehmerinnen und -teilnehmern befanden sich alle Kantone, acht politische Parteien (BDP, CVP, FDP, GLP, GP, SP, SVP, PP), drei eidgenössische Gerichte (Bundesgericht, Bundespatentgericht, Bundesverwaltungsgericht) sowie zahlreiche weitere Organisationen aus den betroffenen Kreisen. Während die Übernahme der EU-Richtlinie 2016/680 sowie der Anforderungen im SEV 108 unumstritten waren, wurde die Revision des DSG und weiterer Erlasse zum Datenschutz von der Mehrheit der Vernehmlasserinnen und Vernehmlasser im Grundsatz ebenfalls begrüsst. Vielerseits gelobt wurde beispielsweise das Vorhaben, das schweizerische Datenschutzrecht so weit an die europäischen Vorgaben anzupassen, dass die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird. Vorbehalte bestanden jedoch gegenüber dem – insbesondere für KMU – grossen Verwaltungsaufwand sowie gegenüber dem „Swiss Finish“: Rund die Hälfte der Teilnehmenden bemängelte, dass der Entwurf unnötigerweise über die europäischen Anforderungen hinaus gehe. Demgegenüber ging er rund einem Fünftel der Teilnehmenden – hauptsächlich aus Konsumentenschutzkreisen – zu wenig weit. Auf harsche Kritik von verschiedensten Seiten stiess das vorgesehene Sanktionensystem. Laut Bericht wünschten sich „sehr viele Teilnehmer“ dessen „vollständige Überarbeitung“, darunter BDP, CVP, FDP, GP, und SP, 18 Kantone sowie Economiesuisse, der Verein Unternehmens-Datenschutz, die FRC, Privatim und die Stiftung für Konsumentenschutz. Hauptsächlich wurde kritisiert, dass keine direkte Strafbarkeit für Unternehmen vorgesehen ist, sondern strafrechtliche Sanktionen, die in erster Linie auf natürliche Personen ausgerichtet sind. In diesem Zusammenhang herrschte die Befürchtung, es könnten einfache Angestellte ohne Entscheidungs- und Vertretungsbefugnis verurteilt werden. Dies wiederum erschwere es den Unternehmen, qualifiziertes und motiviertes Personal – insbesondere Datenschutzverantwortliche – zu rekrutieren. Der häufigste Änderungsvorschlag zielte daher auf ein Modell mit Verwaltungssanktionen anstatt Strafverfahren, die direkt gegen die Unternehmen und nicht gegen Privatpersonen verhängt werden könnten. Verwaltungssanktionen, so die Hoffnung, hätten eine grössere Wirksamkeit als das bislang für die Strafbestimmungen im DSG nur selten angewandte Strafverfahren. Weitere umstrittene Punkte waren auch die Höhe der Bussen – welche einerseits als zu hoch und andererseits als zu niedrig kritisiert wurde – sowie der Katalog der strafbaren Verhaltensweisen, welcher ebenfalls wahlweise als unvollständig bzw. zu umfangreich bezeichnet wurde. Kritisiert wurden des Weiteren auch die mangelhafte Regulierungsfolgeabschätzung und die fehlenden Ausführungen zum Verhältnis zwischen dem Datenschutzrecht des Bundes und jenem auf kantonaler Ebene. Hierzu äusserten auch die Kantone Glarus, Solothurn und Zürich Bedenken, dass die Frist für die Anpassung des kantonalen Rechts zu kurz bemessen sei. Die SVP, die Kantone Schwyz und Waadt sowie einige betroffene Kreise – darunter der AGVS, Auto Schweiz, die FER, PharmaSuisse, Santésuisse sowie der VSV – lehnten den Vorentwurf in der vorliegenden Form ausdrücklich ab, befanden sich damit jedoch klar in der Minderheit aller Vernehmlassungsteilnehmenden.

Revision des Datenschutzgesetzes
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Der Bundesbeschluss über die Erneuerung der Systemplattform Biometriedatenerfassung mit dem darin enthaltenen Verpflichtungskredit von CHF 33 Mio. stand im Frühling 2017 auf der Agenda des Nationalrats. Als einzigen Änderungsantrag brachte seine Staatspolitische Kommission einen zusätzlichen Absatz ein, demnach Offerten im Rahmen des Möglichen vor allem von Schweizer Unternehmen einzuholen sind und die Vergabekriterien so ausgestaltet werden müssen, dass insbesondere Schweizer Unternehmen berücksichtigt werden können. Kommissionssprecher Balthasar Glättli (gp, ZH) betonte, die Ergänzung werde „nicht aus irgendwelchen Gründen des Heimatschutzes wirtschaftlicher Art, sondern aus Gründen der Sicherheit“ gewünscht, da es sich bei biometrischen Daten um besonders schützenswerte Daten handle. Die so abgeänderte Vorlage wurde mit 180 Ja- zu 5 Nein-Stimmen aus der SVP-Fraktion gutgeheissen.

In der Sommersession 2017 behandelte der Ständerat das Geschäft und strich den vom Nationalrat eingefügten Artikel wieder aus dem Entwurf, wie es ihm seine Kommission beantragt hatte. Kommissionssprecher Peter Föhn (svp, SZ) erklärte, das Vorhaben müsse sowieso WTO-konform ausgeschrieben und vergeben werden, weshalb diese Bestimmung nichts bringe. Einstimmig nahm der Ständerat den Bundesbeschluss, der jetzt wieder dem bundesrätlichen Entwurf entsprach, an.

Die Mehrheit der SPK-NR stellte sich weiterhin hinter den Passus, der Schweizer Unternehmen bevorzugen will, und beantragte ihrem Rat Festhalten. Eine Minderheit sah die Datensicherheit jedoch auch bei Berücksichtigung eines fremden Anbieters gewährleistet und wollte sich dem Beschluss des Ständerates anschliessen. Bundesrätin Sommaruga führte aus, dass gemäss einer zwischenzeitlich durchgeführten Risikoanalyse kein Risiko einer nachrichtendienstlichen Ausspähung dieser Daten bestehe, und wies darauf hin, dass eine Bevorzugung schweizerischer Unternehmen vor den WTO-Regeln nur gerechtfertigt werden könnte, wenn diese der Verhinderung oder Minimierung eines solchen Risikos diene. Mit 98 zu 66 Stimmen bei 4 Enthaltungen hielt der Nationalrat an seinem Beschluss fest.

Es war schliesslich der Ständerat, der einlenkte und dem Beschluss des Nationalrates stillschweigend zustimmte. Dies jedoch nicht, weil er von der nationalrätlichen Lösung überzeugt war, sondern weil der Zeitplan keinen weiteren Aufschub dieses Geschäfts duldete. Kommissionssprecher Föhn erläuterte, dass im Falle einer weiteren Behandlung dieses Geschäftes in der nächsten Session die fliessende Ablösung des Systems gefährdet werden könnte, was Kosten in Millionenhöhe verursachen würde. Ausserdem sei es „Hans was Heiri“, ob man diese Bestimmung aufnehme oder nicht, da die Beschaffung ohnehin WTO-konform erfolgen müsse. Andrea Caroni (fdp, AR) gab abschliessend noch zu Protokoll, dass man bei der künftigen Ratsplanung solche Eventualitäten vorsehen möge, damit auf politisch bessere Lösungen nicht verzichtet werden müsse, nur weil der Zeitplan nicht passe. Damit ist der Gesamtkredit von CHF 33 Mio. bewilligt und die erste Etappe von CHF 14,3 Mio. zur Konzeption und Realisierung der Systemplattform freigegeben. Die zweite Etappe von CHF 18,7 Mio. für den Kauf von Geräten, den Rollout und die Einführung wird der Bundesrat zu gegebener Zeit freigeben.

Erneuerung der Systemplattform Biometriedatenerfassung

Die Motion der FDP-Fraktion „Gegen Doppelspurigkeiten im Datenschutz“ brachte, nachdem sie im Dezember 2016 vom Nationalrat stillschweigend angenommen worden war, auch im Ständerat keinen Diskussionsbedarf mit sich. Die SPK-SR erwägte in ihrer Vorberatung einzig, dass sie sich den Ausführungen des Bundesrates anschliesse und beantragte einstimmig die Annahme der Motion. In der Frühjahrssession 2017 hiess die Ständekammer den Vorstoss diskussionslos gut. Der Bundesrat muss nun mit der EU Sondierungsgespräche über Zuständigkeiten im Datenschutz aufnehmen.

Mo. FDP-Fraktion: Gegen Doppelspurigkeiten im Datenschutz
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Mit einer Motion forderte Claude Béglé (cvp, VD), dass bei der Revision des Datenschutzgesetzes zwei geltende Gesetzesbestimmungen beibehalten werden. Es handelt sich dabei einerseits um den Schutz von Personendaten juristischer Personen und andererseits um die Möglichkeit für Unternehmen, ihre Datensicherheit durch unabhängige Zertifizierungsstellen bewerten zu lassen. Béglés Ziel war, die Schweiz als universellen virtuellen Datentresor zu positionieren, um eine Führungsrolle in der weltweiten Datenspeicherung zu übernehmen. Durch die Gewährleistung eines hohen Datenschutzniveaus erhoffte sich der Motionär, dass ein „Ökosystem“ aus innovativen Unternehmen im Datenverarbeitungsbereich in der Schweiz entsteht. Der Bundesrat führte in seiner Stellungnahme zum ersten Punkt der Motion aus, dass er im revidierten Datenschutzgesetz gerade auf den Schutz von Personendaten juristischer Personen verzichten wolle. Damit werde der grenzüberschreitende Datenverkehr verbessert und zudem werde dem Stand des europäischen Datenschutzrechts – sowohl im Rahmen des Europarats als auch im Rahmen der EU – Rechnung getragen. Den zweiten Punkt beantragte der Bundesrat zur Annahme, da er nicht vorhabe, die Möglichkeit der Zertifizierung infrage zu stellen. Dementsprechend lehnte der Nationalrat im September 2016 den ersten Punkt der Motion ab und nahm die zweite Ziffer an. Im Februar 2017, als der Ständerat über den zweiten Punkt der Motion befinden sollte, war die Vernehmlassung zum revidierten Datenschutzgesetz bereits eröffnet worden. Die kleine Kammer lehnte das Anliegen demnach ab, da das Parlament im Zuge der Beratungen der DSG-Revision ohnehin die Möglichkeit haben werde, die Forderung zu prüfen.

Mo. Béglé: Förderung der Schweiz als universeller virtueller Datentresor
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Das Wahlverfahren für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) hatte bei der Wahl von Adrian Lobsiger im Jahr 2016 viel zu reden gegeben. In den Medien war dem Bundesrat, dem die Wahl des EDÖB obliegt, vorgeworfen worden, mit einem ehemaligen Bundesbeamten – Lobsiger war lange Zeit Chef des Fedpol gewesen – keine guten Voraussetzungen für die nötige Unabhängigkeit geschaffen zu haben. Auch im Parlament wurde nicht goutiert, dass sich die Regierung vor der Wahl, die von der Vereinigten Bundesversammlung lediglich noch bestätigt werden kann, nicht mit dem Parlament ausgetauscht hatte. Der Unmut manifestierte sich schliesslich in einer parlamentarischen Initiative Leutenegger Oberholzer (sp, BL). Die Baselbieter Sozialdemokratin bemängelte, dass das Parlament mit der einfachen Genehmigung der Wahl keinen Einfluss auf die Auswahl und die Beurteilung der Eignung von EDÖB-Kandidierenden habe. Zwar finde eine formelle Nachprüfung durch die GK statt, dies könne aber kein Ersatz sein für ein stimmiges Ausschreibe- und Auswahlverfahren. Das ganze Wahl- und Auswahlverfahren sei deshalb integral dem Parlament bzw. der vorgelagerten Gerichtskommission beider Räte zu übertragen.
Anfang 2017 gab die SPK-NR der Initiative mit 13 zu 6 Stimmen bei drei Enthaltungen Folge. Es sei in der Tat stossend, dass das Parlament vor ein "fait accompli" gestellt werde.

Wahlverfahren für den EDÖB

Seit dem 1. Juli 2006 ist das Bundesgesetz über das Öffentlichkeitsprinzip in Kraft. Mit diesem Prinzip wird Verwaltungstransparenz angestrebt: Alle Verwaltungsdokumente sollen grundsätzlich allen interessierten Personen offengelegt werden. Das Parlament hatte allerdings einige Ausnahmeregelungen von diesem Prinzip eingeführt. Eine Folge davon ist, dass unterschiedliche Verwaltungseinheiten sehr hohe Gebühren für die Herausgabe von Dokumenten verlangen. Mit einer parlamentarischen Initiative wollte Edith Graf-Litscher (sp, TG) dem einen Riegel schieben. Sie wies zwar in ihrer Begründung darauf hin, dass in den allermeisten Fällen keine Gebühren verlangt würden: 97% der beim EDÖB gemeldeten Gesuche seien gratis erledigt worden. Allerdings seien die restlichen 3% mit teilweise exorbitant hohen Gebühren versehen worden. Sie nannte das Beispiel der Akten im Zusammenhang mit der Duro-Beschaffung, für deren Einsicht vom Bundesamt für Rüstung eine Gebühr von CHF 7'900 erhoben worden sei oder die CHF 16'500, die einer Lärmschutzvereinigung für die Einsicht in einen 90-seitigen Bericht in Rechnung gestellt worden wären. Dies erwecke den Anschein, dass einzelne Verwaltungsstellen hohe Hürden aufstellten. Weil dies dem Öffentlichkeitsprinzip diametral entgegen stehe, sei eine gesetzliche Grundlage für grundsätzlich vollständige Gebührenfreiheit zu schaffen.
Mit 17 zu 4 Stimmen sprach sich die SPK-NR für Folge geben aus. Gleichzeitig müsse auch das Verfahren präzisiert werden. Die ständerätliche Schwesterkommission stiess sich ebenfalls an der uneinheitlichen Erhebung von Gebühren, die aufgrund ihrer abschreckenden Wirkung dem Öffentlichkeitsprinzip zuwiderlaufe, und sprach sich Anfang 2017 einstimmig für das Anliegen aus.

Öffentlichkeitsprinzip

Um den Datenschutz zu stärken und an veränderte technologische und gesellschaftliche Verhältnisse anzupassen, soll das Bundesgesetz über den Datenschutz (DSG) totalrevidiert werden. Das revidierte Gesetz soll insbesondere auch die grenzüberschreitende Datenübermittlung weiterhin sicherstellen, indem es die Grundlagen für eine Schweizer Ratifikation der Datenschutzkonvention des Europarates sowie für die Übernahme der EU-Richtlinie über den Datenschutz im Bereich der Strafverfolgung schafft. Ende 2016 schickte der Bundesrat einen entsprechenden Vorentwurf in die Vernehmlassung, welche bis zum 4. April 2017 läuft.

Revision des Datenschutzgesetzes
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Die Fraktion der FDP befürchtete, dass es im Nachgang der Revision des Bundesgesetzes über den Datenschutz sowie des Inkrafttretens der EU-Datenschutzgrundverordnung zu Doppelspurigkeiten im Datenschutz kommen werde, weil die Datenschutzaufsichten der EU und der Schweiz nicht aufeinander abgestimmt seien. Wenn in der Schweiz niedergelassene Personen Daten von Personen bearbeiten, die sich in der EU befinden, fällt diese Datenbearbeitung auch in den Anwendungsbereich der EU-Verordnung. Dadurch unterstünden Schweizer Unternehmen mit Kunden im EU-Raum nicht mehr nur der Aufsicht des EDÖB, sondern auch jener aller betroffenen EU-Datenschutzbehörden, was gerade in puncto Meldepflichten einen erheblichen, unnötigen Mehraufwand mit sich bringe. In einer Motion forderte die FDP-Fraktion den Bundesrat auf, mit der EU Sondierungsgespräche zu führen mit dem Ziel, die Anwendung des jeweils geltenden Datenschutzrechts zu koordinieren. Der Bundesrat betonte in seiner Stellungnahme, dass eine effiziente Zusammenarbeit in diesem Bereich sowohl im Interesse der Schweizer Behörden als auch der Behörden der EU liegen müsse und signalisierte auch seine Bereitschaft zur Aufnahme solcher Sondierungsgespräche mit der EU. Im Nationalrat erfuhr der Vorstoss in der Wintersession 2016 stillschweigende Zustimmung.

Mo. FDP-Fraktion: Gegen Doppelspurigkeiten im Datenschutz
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Ein Komitee, welches von Nationalrat Wobmann (svp, SO) vertreten wurde, reichte im August 2015 eine Petition gegen den Swisspass-Zwang ein und forderte darin die Abschaffung des Swisspass oder zumindest die Herstellung einer Wahlfreiheit bezüglich der Fahrausweise im öffentlichen Verkehr. Die Verkehrskommissionen beider Kammern verwiesen im Frühjahr 2016 auf die Konzessionen, die VöV und SBB beim Datenschutz gemacht hätten, sowie auf die breite Akzeptanz des Swisspass beim Publikum und lehnten Folgegeben ab. Der Ständerat folgte seiner Kommission im Juni 2016, der Nationalrat gab der Petition im Dezember 2016 ebenfalls keine Folge.

Gegen den Swisspass-Zwang

In der Wintersession 2016 stimmte als Zweitrat auch der Ständerat der Motion Romano (cvp, TI) zur verdeckten Registrierung von terroristisch motivierten Reisenden im SIS zu. Neben dem NDB, dessen diesbezügliche Kompetenz im neuen Nachrichtendienstgesetz festgeschrieben ist, wird nun auch das Fedpol die Befugnis erhalten, terroristisch motivierte Reisende verdeckt im SIS auszuschreiben. Ein Vernehmlassungsentwurf für die entsprechende gesetzliche Grundlage soll bis Ende 2017 vorliegen.

Mo. Romano: Kompetenz zur verdeckten Registrierung im SIS. Fedpol muss nicht ausgeschlossen bleiben

In der Herbstsession 2016 überwies der Nationalrat stillschweigend zwei Postulate Béglé (cvp, VD) zum Thema Datenschutz. Das erste (Po. 16.3384) fordert den Bundesrat auf, Wege zu suchen, um im revidierten Datenschutzgesetz eine geschützte, transparente und zielgerichete Datenerhebung, insbesondere bei medizinischen Daten, sicherzustellen. So könnte beispielsweise das Prinzip der „tatsächlichen Einwilligung“ für besonders schützenswerte Daten die heute gebräuchliche Alibi-Einwilligung ersetzen und damit Transparenz für die Patientinnen und Patienten schaffen. Das zweite Postulat (Po. 16.3386) gibt dem Bundesrat den Auftrag, Möglichkeiten zur Förderung der informationellen Selbstbestimmung aufzuzeigen. Durch einen Paradigmenwechsel von „big data“ zu „self-data“ sollen die Bürgerinnen und Bürger die Kontrolle über ihre persönlichen Daten wiedererlangen, indem sie auf ihre Daten frei zugreifen und diese nach eigenem Ermessen weiterverwenden dürfen.

Po. Béglé zum Thema Datenschutz
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Auf Antrag des Bundesrates nahm der Nationalrat eine Motion Romano (cvp, TI) an, welche dem Fedpol die Kompetenz zur verdeckten Registrierung von terroristisch motivierten Reisenden im Schengener Informationssystem (SIS) geben will. Die verdeckte Ausschreibung im SIS – verdeckt deshalb, weil die betroffene Person über ihre Registrierung nicht in Kenntnis gesetzt wird – stelle ein wichtiges Instrument zur Verhinderung und Aufdeckung von Straftaten dar, so die Ansicht des Motionärs und des Bundesrates. Das neue Nachrichtendienstgesetz sieht diese Kompetenz für den NDB vor, damit dieser die Bedrohungslage im Zusammenhang mit registrierten Personen präventiv einschätzen kann. Für die Ermittlung bei bereits begangenen Straftaten ist jedoch das Fedpol zuständig. Dazu soll auch diese Behörde verdeckte Ausschreibungen im SIS tätigen dürfen. Mit 149 gegen 39 Stimmen aus der SP-Fraktion bei einer Enthaltung stimmte die grosse Kammer dem Vorstoss in der Herbstsession 2016 zu.

Mo. Romano: Kompetenz zur verdeckten Registrierung im SIS. Fedpol muss nicht ausgeschlossen bleiben

Voraussichtlich im Jahr 2020 soll nach einer Laufzeit von zehn Jahren die Systemplattform Biometriedatenerfassung erneuert werden. Die Biometriedatenerfassung kommt in den kantonalen Pass- und Migrationsämtern sowie den Schweizer Vertretungen im Ausland für den Schweizer Pass, die biometrischen Ausländerausweise, Reisedokumente für ausländische Personen und für Visa zur Anwendung. Mit seiner im September 2016 verabschiedeten Botschaft beantragt der Bundesrat einen Gesamtkredit von CHF 33 Mio. sowie die Freigabe von CHF 14,3 Mio. für die Realisierung der ersten Etappe, welche die Erneuerung der Biometrieerfassungsplattform beinhaltet. Die nächste Etappe zum Kauf der Systeme sowie deren Einführung bei EDA, EJPD und EFD wird der Bundesrat nach Vorliegen entprechender Ergebnisse bei den notwendigen Systemanpassungen und -erweiterungen freigeben.

Erneuerung der Systemplattform Biometriedatenerfassung

In der Woche nach der Schlussabstimmung in den eidgenössischen Räten über das revidierte BÜPF stellte sich – wie von SVP-Nationalrat und Komitee-Chef Franz Grüter (svp, LU) bereits seit längerem angekündigt – das Referendumskomitee „Stop BÜPF“ vor. Ihm gehörten neben der Piratenpartei, der Alternativen Liste und der Partei der Arbeit auch die Jungfreisinnigen, die Jungen Grünliberalen, die Junge SVP sowie die Juso an. Dazu kamen sieben zivilgesellschaftliche Organisationen, namentlich die Digitale Gesellschaft, der Verein Grundrechte, Operation Libero, die Internet Society Schweiz, der Chaos Computer Club Schweiz, die Stiftung pEp und Wilhelm Tux. Diese ungewöhnliche Allianz von Jungparteien von links bis rechts deutete darauf hin, dass in dieser Frage weniger ein parteiideologischer als vielmehr ein Generationenkonflikt vorlag. Mitte April präsentierte das Komitee seine Argumente. Im Zentrum der Kritik stand einerseits die als „unverhältnismässig“ angesehene Vorratsdatenspeicherung, bei der zwar die Frist zur Aufbewahrung der Daten nicht verlängert, aber der Kreis der Anbieter, die Daten für die Behörden bereithalten müssen, ausgeweitet wurde. Andererseits störten sich die BÜPF-Gegner an den Staatstrojanern, die fortan in fremde Computersysteme eindringen und so verschlüsselte Kommunikation abhören können. Besonders stossend sei hierbei, dass die Staatstrojaner bestehende Sicherheitslücken ausnutzen sollen, wodurch ein „legaler Schwarzmarkt von Sicherheitslücken“ geschaffen werde, so Norbert Bollow, Präsident der Digitalen Gesellschaft. Zum Abhören verschlüsselter Kommunikation gebe es auch andere Mittel, betonte JGLP-Co-Präsident Pascal Vuichard und verwies auf die Firma Skype, welche auf Gerichtsbeschluss hin mit den Behörden kooperiere. Vonseiten der IT-Anbieter kritisierte Jean-Marc Hensch, Geschäftsführer des Branchenverbandes Swico, die „überrissenen Mitwirkungspflichten“, da auch kleinere Anbieter einen automatischen Zugriff der Behörden auf ihre Systeme einrichten müssten. Im Grundsatz war sich das Komitee einig, dass die Privatsphäre nicht auf Vorrat eingeschränkt werden solle – mit den Worten von Juso-Präsident Fabian Molina: „Im Zweifel für die Freiheit.“ Ebenfalls im April trat die SP nach einem entsprechenden, äusserst knappen Beschluss der Delegiertenversammlung dem Referendumskomitee bei, allerdings gegen den Widerstand ihres Parteipräsidenten Christian Levrat (sp, FR) und entgegen der Mehrheit der Bundeshausfraktion, die das BÜPF im Parlament gutgeheissen hatte.
Einen Monat vor Ablauf der Referendumsfrist am 7. Juli 2016 wurde bekannt, dass die Unterschriftensammlung bis anhin harzig verlaufen war und deshalb noch rund die Hälfte der benötigten 50'000 Unterschriften fehlten. Daraufhin erklärte Juso-Präsident Fabian Molina den Abbruch der offiziellen Unterschriftensammlung. Er zeigte sich enttäuscht über die schwache Sammelleistung der bürgerlichen Jungparteien und glaubte nicht mehr an den Erfolg des Referendums. Die Allianzpartner ihrerseits bezeichneten den Rückzug Molinas als feige und unzuverlässig und beklagten auch das mangelnde Engagement der Juso, welche das Unterschriften-Soll auch nicht erfüllt hätten. Dennoch wollten sie nicht aufgeben und setzten die Unterschriftensammlung auch ohne Beteiligung der Juso fort. Ende Juni sah es denn auch tatsächlich danach aus, dass sich der Einsatz im Schlussspurt gelohnt hätte: Das Komitee verkündete, 55'000 Unterschriften erhalten zu haben, die lediglich noch beglaubigt werden müssten. Nach dem Austritt der Juso habe sich ein „gewaltiger Alarmismus“ breitgemacht, der die Sammler zusätzlich anspornte, erklärte Hernani Marques vom Chaos Computer Club. Er zeigte sich zuversichtlich, dass mindestens 51'000 gültige Unterschriften beisammen seien und das Referendum damit zustande komme.
Wie sich am Tag des Ablaufs der Referendumsfrist herausstellte, hatte sich das Komitee jedoch verkalkuliert. Von den gut 55'000 gesammelten Unterschriften trafen nur rund 45'000 rechtzeitig beglaubigt ein, damit sie bei der Bundeskanzlei hätten eingereicht werden können. Damit war das Referendum im allerletzten Moment gescheitert. Für das Komitee sei es eine „gewaltige Enttäuschung“. Schuld daran seien aber weder die Sammlerinnen und Sammler noch die Gemeinden, sondern das Komitee selbst, das in der Anfangsphase zu viel Zeit verloren habe, gab es in einer Mitteilung bekannt. Damit wird das BÜPF wie von den eidgenössischen Räten verabschiedet in Kraft treten.

BÜPF-Revision
Staatliche Überwachung

Mithilfe einer parlamentarischen Initiative wollte Joachim Eder (fdp, ZG) eine Stärkung des persönlichen Datenschutzes in der Aufsicht über die Krankenversicherung erreichen, indem Daten nur noch in gruppierter Form, also ohne mögliche Rückschlüsse auf Individuen, an die Aufsichtsbehörden geliefert werden dürften. So fehle der EFIND-Datenerhebung, bei der die Krankenversicherer dem BAG weitreichende individuelle Informationen zu allen Versicherten liefern, eine formalgesetzliche Grundlage: Die Nutzung von individuellen Daten der Versicherten sei weder erlaubt noch für die Durchführung der Aufsicht über die Krankenversicherung vonnöten. Somit verletze eine Weitergabe die Grundsätze der Rechtmässigkeit und der Verhältnismässigkeit und damit auch das Datenschutzgesetz. Einzig für die Umsetzung des Risikoausgleichs seien Individualdaten nötig, folglich sollen die Versicherer ausschliesslich die für diesen Zweck relevanten Daten der gemeinsamen Einrichtung zur Verfügung stellen. Sowohl die SGK-SR als auch die SGK-NR nahmen die parlamentarische Initiative mit 8 zu 1 Stimmen (3 Enthaltungen) respektive mit 17 zu 1 Stimmen (bei 6 Enthaltungen) deutlich an. Nach ersten Anhörungen der betroffenen Akteure im Februar 2017 beschloss die SGK-SR, die Erarbeitung eines Erlassentwurfs einer Subkommission zu übertragen.

Für den Persönlichkeitsschutz auch in der Aufsicht über die Krankenversicherung