Suche zurücksetzen

Inhalte

Akteure

  • Lobsiger, Adrian

Prozesse

11 Resultate
Als PDF speichern Weitere Informationen zur Suche finden Sie hier

Mitte Mai 2020 verabschiedete der Bundesrat die bis Ende Juni befristete «Verordnung über den Pilotversuch mit dem ‹Swiss Proximity-Tracing-System› zur Benachrichtigung von Personen, die potenziell dem Coronavirus (Covid-19) ausgesetzt waren». Darin werden gestützt auf das Datenschutzgesetz die Organisation, der Betrieb, die bearbeiteten Daten und die Nutzung der Proximity-Tracing-App für die Dauer der Pilotphase geregelt. Die App werde zunächst versuchsweise Mitarbeiterinnen und Mitarbeitern der ETHZ und der EPFL, Armeeangehörigen, Mitarbeitenden von Spitälern, der eidgenössischen und kantonalen Verwaltungen sowie weiteren ausgesuchten Organisationen zur Verfügung gestellt, damit diese allfällige technische Mängel und Probleme in der Benutzbarkeit aufdecken können, wie der Bundesrat per Medienmitteilung bekannt gab. Die Pilotphase startete schliesslich am 25. Mai. Spätestens Ende Juni soll sie beendet und die «SwissCovid»-App für die Bevölkerung freigegeben werden.
Zweck der App ist es, das klassische Contact Tracing der kantonalen Behörden zu ergänzen. Sie sei technisch nicht in der Lage, Standortdaten aufzuzeichnen, führte der Bundesrat aus, sondern tausche lediglich anonyme Codes mit anderen Smartphones in der Nähe aus. So könnten keine Personendaten rückverfolgt und die Privatsphäre bestmöglich geschützt werden. Diese Einschätzung teilte auch der EDÖB Adrian Lobsiger. Was er bisher vom Projekt gesehen habe, gebe keinen Anlass zu datenschutzrechtlichen Bedenken, sagte er in einem Interview mit «Le Temps». Das Entwicklerteam habe alles getan, um die Anonymität und die Privatsphäre der App-Nutzerinnen und -Nutzer zu gewährleisten, wobei er insbesondere die dezentrale Datenspeicherung und die freiwillige Nutzung der App lobend hervorhob. Er werde allerdings «sehr wachsam» sein, dass kein Druck zur App-Nutzung auf Arbeitnehmende oder Kundinnen und Kunden von Geschäften ausgeübt werde, fügte Lobsiger an.
Zusätzlich zur Funktionalitätstestphase kündigte der Bundesrat einen öffentlichen Sicherheitstest des Systems an. Zu diesem Zweck wurden alle Quellcodes der SwissCovid-App öffentlich zugänglich gemacht, sodass Fachleute und interessierte Personen das System auf Sicherheitslücken prüfen können. Die Ergebnisse werden vom Nationalen Zentrum für Cybersicherheit (NCSC) öffentlich einsehbar gesammelt, bewertet und gegebenenfalls zum Anlass für Anpassungen an der App genommen. Der Sicherheitstest sollte am 28. Mai starten und so lange dauern, bis ihn das NCSC für beendet erklärt.

Einführung der SwissCovid-App

Im Kampf gegen die Ausbreitung des Coronavirus setzten mehrere früh von der Pandemie betroffene Länder, beispielsweise China, Singapur, Südkorea oder Taiwan, auf staatlich verordnetes Mobiltelefon-Tracking, damit die Behörden den Standort einer Person verfolgen und so einerseits die Einhaltung von Isolation und Quarantäne überwachen und andererseits Passanten vor infizierten Personen warnen konnten. Ende März berichtete die Presse, dass auch in der Schweiz das BAG Handydaten zur Bewältigung der Pandemie nutze. Im Fokus stand dabei jedoch nicht das personalisierte Tracking, sondern die Auswertung anonymisierter Massendaten aus dem Mobilfunknetz der Swisscom, um zu überprüfen, ob sich die Bevölkerung an das Verbot von Ansammlungen von mehr als fünf Personen im öffentlichen Raum hielt und wo sich allenfalls zu grosse Menschenansammlungen bildeten. Auf Kritik aus Datenschutzkreisen entgegnete das BAG in der Presse, die Daten liessen keine Rückschlüsse auf einzelne Personen zu und würden nicht in Echtzeit verwendet, weshalb es sich nicht um eine Überwachung, sondern um eine verhältnismässige Massnahme handle.
Die permanente Mitverfolgung des Standorts aller Personen durch den Staat, mit der einige asiatische Länder schnelle Erfolge in der Eindämmung der Pandemie erzielten, war in Europa datenschutzrechtlich undenkbar. Ein paneuropäisches Konsortium von 130 Forschungseinrichtungen aus acht Ländern, darunter auch die ETHZ und die EPFL, das Anfang April in den Medien vorgestellt wurde, arbeitete daher an einer auf Europa zugeschnittenen, die Privatsphäre bewahrenden Lösung, um die Rückverfolgung der Kontakte infizierter Personen zu unterstützen. Ziel war eine Smartphone-App zum Proximity Tracing, d.h. zum Erkennen, welche Personen sich so nah waren, dass eine Übertragung des Coronavirus möglich gewesen wäre. Die europäische App setzte allerdings nicht auf die Standort-Lokalisierung der Nutzerinnen und Nutzer, sondern auf eine extra zu diesem Zweck von Apple und Google gemeinsam entwickelte Bluetooth-Schnittstelle. Über Bluetooth soll die App andere Smartphones in einem gewissen Umkreis erkennen, auf denen die Anwendung ebenfalls aktiviert ist, und diese Kontakte anonym speichern. Eine positiv auf das Coronavirus getestete Person kann dann über die App die registrierten Kontaktpersonen warnen, sodass sich diese frühzeitig in Quarantäne begeben und testen lassen können. Für den Bundesrat sei diese Anwendung «interessant», wie Karin Keller-Sutter gegenüber dem Tages-Anzeiger sagte. Man kläre derzeit ab, wie dieses System in der Schweiz zum Einsatz kommen könnte und wie die Rechtslage aussehe. Aus Datenschutzsicht hielt EDÖB Adrian Lobsiger diesen Weg gemäss Tages-Anzeiger für «gangbar», solange das Herunterladen der App freiwillig sei. Wie in den Medien erklärt wurde, sammle das System keine personalisierten Daten; vielmehr würden die Kontakte für eine begrenzte Zeit als verschlüsselte Codes abgespeichert.
Den beiden Schweizer Hochschulen erschien das europäische Projekt nach einiger Zeit jedoch zu wenig transparent und sie befanden, es lege zu wenig Wert auf den Schutz der Privatsphäre. Mitte April zogen sie sich daher – wie auch einige weitere Institutionen, die zum gleichen Schluss gekommen waren – daraus zurück und kündigten an, stattdessen eine eigene Lösung zu entwickeln, die im Gegensatz zum europäischen System keine Kontaktdaten sammle, sondern sie jeweils dezentral direkt auf dem Smartphone speichere. So könne weder nachverfolgt werden, welche Personen miteinander in Kontakt waren, noch welche sich infiziert und damit eine Warnung ausgelöst haben, selbst wenn die Server der App-Betreiber gehackt werden sollten, erklärten die Medien. Auch der EDÖB, das Nationale Zentrum für Cybersicherheit und die Nationale Ethikkommission zeigten sich in der Presse zufrieden mit dem gewählten dezentralen Ansatz: Damit werde die Privatsphäre bestmöglich geschützt.
In seiner Medienkonferenz vom 29. April bestätigte der Bundesrat schliesslich, dass er plane, der Bevölkerung zeitnah eine solche Corona-Warn-App zur Verfügung zu stellen; diese werde derzeit von der ETHZ und der EPFL gemeinsam mit dem Bund entwickelt. Weiter versicherte die Regierung, dass der Gebrauch der App freiwillig sein und sie nur für die Dauer der Krise eingesetzt werde. Bis anhin hatte sich der Bundesrat dazu nur sehr zurückhaltend geäussert, was in den Medien bereits für Spekulationen gesorgt hatte, weil vonseiten des BAG und der beteiligten Hochschulen bereits Tage zuvor ein konkretes Datum kommuniziert worden war, an dem die App bereitstehen sollte.
Gleichzeitig erörterte die Presse viele noch offene Fragen zur geplanten Corona-Warn-App. Vor dem Hintergrund einer Experteneinschätzung, wonach 60 Prozent der Bevölkerung die App nutzen müssten, damit sie wirksam sei, wurde debattiert, ob die Freiwilligkeit der richtige Weg sei. Dies wurde aus ethischen Gründen – namentlich, weil ein App-Zwang einen inakzeptablen Eingriff in die persönliche Selbstbestimmung darstellte – grösstenteils bejaht, aber gleichzeitig anerkannt, dass eine so weit verbreitete, freiwillige Verwendung der App eine grosse Akzeptanz und damit ein grosses Vertrauen seitens der Bevölkerung voraussetze. Dieses Vertrauen basiere seinerseits gerade auf der Freiwilligkeit und nur schon der geringste Anschein, der Staat wolle die Menschen zur Benutzung der App drängen, könnte es zerstören, warnte etwa die Zürcher GLP-Nationalrätin und Geschäftsführerin des IT-Verbandes Swico Judith Bellaïche im Tages-Anzeiger. Gegen die App wurde indessen das Argument ins Feld geführt, sie bringe nichts, weil sie das manuelle Contact Tracing nicht ersetzen könne. Dem widersprach der massgeblich an der Entwicklung der App beteiligte EPFL-Epidemiologe Marcel Salathé nicht, erklärte aber gegenüber dem «Blick», dass die Contact-Tracing-Stellen durch die App entscheidend entlastet werden könnten und dass jede Installation helfe, auch wenn weniger als 60 Prozent der Bevölkerung die App nutzten.
Eine Mitte April im Auftrag der NZZ durchgeführte Befragung, deren Ergebnisse die Zeitung Anfang Mai publizierte, hatte ergeben, dass knapp drei Viertel der Schweizer Bevölkerung sich bereit erklärten, eine Tracking-App zu installieren, wenn diese zur Eindämmung des Coronavirus und damit zur Verkürzung des Lockdowns beitragen könnte. Dabei würden die Befragten am ehesten eine App installieren, die vom Bundesrat herausgegeben würde – gut die Hälfte erklärte sich dazu bereit –, während das BAG, die Kantone und andere vorgeschlagene Institutionen deutlich weniger Vertrauen genossen. Bei den Bundesparlamentarierinnen und -parlamentariern, unter denen die NZZ eine ähnliche Umfrage durchgeführt hatte, konnte sich ebenfalls gut die Hälfte vorstellen, die Corona-App des Bundes zu installieren, wobei einzig in der Grünen Fraktion klar die Skepsis überwog. Ein Obligatorium für die Anwendung wurde von den Parlamentarierinnen und Parlamentariern hingegen grossmehrheitlich abgelehnt.

Einführung der SwissCovid-App

Der Totalrevision des Datenschutzgesetzes und der Änderung weiterer Erlasse zum Datenschutz nahm sich in der Herbstsession 2019 der Nationalrat als Erstrat an. Das ein Jahr zuvor verabschiedete und am 1. März 2019 in Kraft getretene Schengen-Datenschutzgesetz, das aus Gründen der zeitlichen Dringlichkeit zunächst nur die Schengen-relevanten Anpassungen umsetzte, wird mit der Annahme des totalrevidierten Gesetzes wieder ausser Kraft treten. Mit der Totalrevision sollen über die Schengen-Anforderungen hinausgehend einerseits die Schwächen des heutigen Datenschutzrechts, das noch aus einer Zeit vor dem Internet stammt, behoben und andererseits die Entwicklungen auf EU- und Europarats-Ebene aufgenommen werden. Besonders bedeutsam für die Schweiz ist hierbei, von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Ansonsten, so wurde befürchtet, wäre die Schweizer Wirtschaft mit erheblichen Wettbewerbsnachteilen konfrontiert, da Schweizer Unternehmen nicht mehr so einfach Daten mit Firmen in der EU austauschen könnten. Bis im Mai 2020 wird die EU die Äquivalenz des Schweizer Datenschutzes beurteilen, was eine gewisse Dringlichkeit für die Revision gebietet.
Wie schwierig dieses Unterfangen werden würde, hatte sich schon in der vorberatenden SPK-NR abgezeichnet: Nur mit Stichentscheid des Präsidenten Kurt Fluri (fdp, SO) hatte sich die Kommission im August 2019 durchgerungen, die Vorlage nach mehr als einem Jahr Arbeit überhaupt vors Ratsplenum zu bringen. Die wichtigsten Anpassungen der Kommission am bundesrätlichen Entwurf waren die neu einzuführende Direktwahl des EDÖB durch die Bundesversammlung, die Einführung eines Rechts auf Datenportabilität, die Anpassung der Definition der besonders schützenswerten Personendaten sowie der Verzicht auf eine besondere Regelung für den Umgang mit Daten verstorbener Personen und auf eine ausdrücklich erforderliche Einwilligung zum Profiling. Im Rahmen ihrer Beratungen hatte die SPK-NR zudem sechs Motionen zur Vervollständigung der Datenschutzbestimmungen in weiteren Gesetzen eingereicht.
Kurz vor der Debatte im Nationalrat hatte das Bundesamt für Justiz überdies eine Liste dazu veröffentlicht, welche problematischen Differenzen es zwischen dem Kommissionsvorschlag und den Anforderungen der EU sehe. Auch EDÖB Adrian Lobsiger hatte in der Presse bezweifelt, dass das von der Kommissionsmehrheit vorgeschlagene Gesetz mit dem verlangten Niveau der EU-Datenschutzgrundverordnung (DSGVO) mithalten könne; beim Entwurf des Bundesrates hätte er indes keine Probleme gesehen.
Während der strittige Vorschlag der Kommissionsmehrheit für die SVP bereits zu weit ging, bemängelten SP, Grüne und GLP, er sei zu lasch. Wirtschaftsverbände drängten unterdessen auf eine möglichst rasche, EU-konforme Lösung. So wurde im Vorfeld der nationalrätlichen Debatte von den Mitte- und Linksparteien noch fieberhaft nach Kompromissen gesucht, um den drohenden Absturz der Revision zu verhindern.

In der Eintretensdebatte in der grossen Kammer wurde von allen Seiten – ausser von der SVP-Fraktion – betont, wie wichtig und notwendig das vorliegende Revisionsprojekt sei, sowohl um den Datenschutz dem Internetzeitalter anzupassen als auch um den Datenschutz auf ein der EU gleichwertiges Niveau zu bringen, auch wenn man in den Details der Ausgestaltung verschiedene Ansichten vertrat. Die SVP betrieb hingegen Fundamentalopposition gegen «diesen bürokratischen Unsinn», wie Fraktionsvertreter Gregor Rutz (svp, ZH) das neue Gesetz nannte, denn es sei insgesamt, vor allem für KMU, schlechter als das geltende Datenschutzgesetz – ein Argument, das wenig später durch das Votum von FDP-Vertreter Kurt Fluri (fdp, SO) entkräftet werden sollte, der berichtete, dass der Gewerbeverband die Stossrichtung der Kommissionsmehrheit begrüsse und die Rückweisung nicht unterstütze. Mit der DSGVO verkaufe die EU laut Rutz ihre Bürger für dumm, da sie «kein Mensch» verstehe. «Wir haben langsam genug davon, jeden Unsinn aus der EU ungesehen zu übernehmen!», ärgerte sich der SVP-Vertreter und rief das Ratsplenum auf, die Vorlage an den Bundesrat zurückzuweisen mit dem Auftrag, sie zu entschlacken und EU-Vorschriften nur dort zu übernehmen, wo es unumgänglich sei. Auch eine linke Minderheit hatte ursprünglich die Rückweisung, allerdings an die Kommission, beantragt und diese beauftragen wollen, die Vereinbarkeit der Vorlage mit dem Übereinkommen SEV 108 des Europarats, die Äquivalenz mit dem EU-Datenschutzrecht, die Kompatibilität mit den Schengen-Verträgen und die Nicht-Unterschreitung des heute geltenden Schutzniveaus sicherzustellen. Um die doch eher dringliche Revision nicht unnötig zu verlangsamen und um sich einer «produktiven Diskussion» nicht zu verschliessen, zog Cédric Wermuth (sp, AG) diesen Antrag jedoch «im Sinne eines Vorschussvertrauensbeweises» zurück und hoffte, das Gesetz während der Beratung noch auf eine den genannten Forderungen nähere Linie bringen zu können. Der Rückweisungsantrag der SVP-Minderheit wurde mit 120 zu 66 Stimmen (1 Enthaltung) deutlich verworfen; ausserhalb der geschlossenen SVP-Fraktion sah niemand eine Rückweisung als den richtigen Weg an.

Im Laufe der Detailberatung musste der Nationalrat über 45 Minderheits- und mehrere Einzelanträge befinden, die zu einem beträchtlichen Teil die Unterstützung des Bundesrates genossen – hauptsächlich immer dort, wo die Kommissionsmehrheit mit ihrem Vorschlag einen schwächeren Datenschutz wollte als der Bundesrat und somit das heute geltende Schutzniveau oder die Anforderungen der EU und/oder des Europarats unterschreiten wollte. So war die Kommissionsmehrheit bestrebt, sowohl die Daten über gewerkschaftliche Ansichten und Tätigkeiten als auch die Daten über Massnahmen der sozialen Hilfe aus dem Katalog der besonders schützenswerten Daten, für deren Bearbeitung besondere Anforderungen gelten, zu streichen. Während eine bürgerliche Ratsmehrheit die Streichung der Daten über gewerkschaftliche Ansichten und Tätigkeiten guthiess, schwenkte der Nationalrat bei den Daten über Massnahmen der sozialen Hilfe – neben Sozialhilfedaten sind davon auch solche über Sozialversicherungsmassnahmen bei Krankheit oder Unfall, Massnahmen der Vormundschaftsbehörden oder KESB, die fürsorgerische Unterbringung in psychiatrischen Kliniken, Ergänzungsleistungen und Prämienverbilligungen erfasst – auf die Linie des Bundesrates zurück und beliess sie im Katalog. Grünen-Vertreter Balthasar Glättli (gp, ZH) hatte zuvor mit Nachdruck klargemacht, dass deren Streichung für die Grünen und die SP ein Grund wäre, dem Gesetz die Zustimmung zu verweigern. Eine ähnliche Drohung sprach SVP-Fraktionssprecher Gregor Rutz aus, als die Einschränkung des Geltungsbereichs des DSG auf natürliche Personen zur Debatte stand: Einem Gesetz, das – anders als bisher – keinen Datenschutz für juristische Personen mehr vorsehe, werde man «nie im Leben» zustimmen können. Alle anderen Fraktionen befanden den Schutz für juristische Personen durch andere gesetzliche Bestimmungen jedoch als ausreichend und so glich der Nationalrat das DSG mit der Streichung des Schutzes juristischer Personen an die europäischen Regeln an. Bei der Frage der Anforderungen für das sogenannte Profiling zeichnete sich während der Diskussion ab, dass man an diesem Tag keine zufriedenstellende Lösung finden würde. Für jegliche Formen des Profilings, das die Aargauer Zeitung treffend als die «automatisierte Auswertung von Daten, mit denen bestimmte Merkmale einer Person bewertet werden, um etwa Vorhersagen über ihr künftiges Verhalten zu treffen» definierte, hatte der Bundesrat eine ausdrückliche Einwilligung der betroffenen Person voraussetzen wollen, wie sie auch zur Bearbeitung besonders schützenswerter Personendaten vorgesehen war. Da das geltende Recht so eine Regelung für das Erstellen von Persönlichkeitsprofilen umfasst, würde eine komplette Streichung der ausdrücklichen Einwilligung zum Profiling, wie es die Kommissionsmehrheit vorgeschlagen hatte, ein Rückschritt vom aktuellen Schutzniveau darstellen. In der Diskussion wurde mehrheitlich anerkannt, dass verschiedene Formen des Profilings unterschieden werden müssten, da es, wie es Balthasar Glättli erklärte, durchaus einen Unterschied mache, ob Profiling zur Erstellung von passenden Bücherempfehlungen, zur Abschätzung des Risikos für eine Versicherung oder zur Vorhersage der politischen Entscheidungen einer Person gebraucht werde. Der Bundesrat unterstützte folglich einen Einzelantrag Glättli, der eine ausdrückliche Einwilligung nur für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsah. Die Fraktionen der Grünen, SP und GLP unterstützten diesen Antrag ebenfalls, unterlagen jedoch der bürgerlichen Ratsmehrheit, die beim Vorschlag der Kommissionsmehrheit ohne besondere Anforderungen für das Profiling blieb. Der Nachhall der Diskussion war jedoch klar, dass sich der Ständerat noch einmal intensiv mit dieser Frage auseinandersetzen müsse.
Betreffend die Informationspflicht bei der Beschaffung von Personendaten, die Regeln für die Bekanntgabe von Personendaten ins Ausland, die Rechenschaftspflicht für datenbearbeitende Unternehmen über die Einhaltung des Datenschutzrechts sowie das Auskunftsrecht einer Person zu den über sie gesammelten oder bearbeiteten Daten lehnte die Volkskammer einige von der Kommissionsmehrheit vorgeschlagene Lockerungen ab und umschiffte somit ein paar der vielen Klippen im Hinblick auf den Angemessenheitsbeschluss der EU. Die vom Bundesrat eingefügten Regelungen über Daten von verstorbenen Personen erachtete der Rat jedoch als nicht notwendig und strich mit bürgerlicher Mehrheit alle entsprechenden Bestimmungen aus dem Gesetz. Ganz neu und weitgehend unbestritten verankerte der Nationalrat auf Vorschlag seiner Kommissionsmehrheit ein Recht auf Datenportabilität, das heisst auf Datenherausgabe und -übertragung, im Gesetz. Wie Bundesrätin Karin Keller-Sutter erklärte, habe der Bundesrat mit dieser Neuerung eigentlich noch zuwarten wollen, bis erste Erkenntnisse aus der konkreten Umsetzung dieses Rechts in der EU vorlägen; nichtsdestotrotz unterstützte er den Vorschlag der Kommissionsmehrheit, einen Anspruch jeder Person auf «die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format oder sogar deren Übertragung auf einen anderen Verantwortlichen zu verlangen», wie Keller-Sutter das neue Recht erläuterte.
Zurückgehend auf eine entsprechende parlamentarische Initiative Leutenegger Oberholzer (sp, BL; Pa.Iv. 16.409) änderte die grosse Kammer das Wahlverfahren des EDÖB dahingehend, dass er neu von der Bundesversammlung gewählt und nicht mehr durch den Bundesrat ernannt und vom Parlament nur bestätigt werden sollte. Gleichzeitig wurden die Aufsichts- und Untersuchungskompetenzen des EDÖB bei Datenschutzverstössen gestärkt. Diese Änderung sei von wesentlicher Bedeutung im Hinblick auf den Angemessenheitsbeschluss der EU, wie Bundesrätin Keller-Sutter betonte, denn nach bisher geltendem Recht besitze der EDÖB nicht nur weniger Kompetenzen als die Datenschutzbehörden in Europa, sondern auch als andere Aufsichtsbehörden des Bundes, zum Beispiel die Finma oder die Weko. Bei den Strafbestimmungen legte der Nationalrat eine maximale Busse von CHF 250'000 für Datenschutzverstösse fest. Ein neuer Straftatbestand für die Nichteinhaltung der Mindestanforderungen an die Datensicherheit im Sinne einer Sorgfaltspflichtverletzung wurde von der bürgerlichen Ratsmehrheit jedoch nicht goutiert, was laut Bundesrätin Keller-Sutter für die EU-Angemessenheit problematisch sein könnte. Der letzte grosse Zankapfel der Vorlage verbarg sich in den Schlussbestimmungen, namentlich in der Frage zum Inkrafttreten des Gesetzes. Während die Kommissionsmehrheit das Inkrafttreten um zwei Jahre nach Annahme des Gesetzes beziehungsweise nach Verstreichen der Referendumsfrist verzögern wollte, beantragte eine Minderheit Humbel (cvp, AG), wie üblich den Bundesrat das Inkrafttreten bestimmen zu lassen. Eine solche Verzögerung sei bereits wegen der Schengen-relevanten Bestimmungen des Gesetzes ein Problem und daher nicht im Interesse der Wirtschaft, was das Argument der Kommissionsmehrheit gewesen war. Auf Empfehlung des Bundesrates und entgegen der geschlossenen SVP-Fraktion erteilte die grosse Kammer der zweijährigen Inkrafttretensfrist eine Absage.

In der Gesamtabstimmung nahm der Nationalrat das totalrevidierte Datenschutzgesetz mit 98 zu 68 Stimmen bei 27 Enthaltungen an. In den ablehnenden Stimmen spiegelte sich vor allem die Opposition der SVP gegen das Gesetz. Demgegenüber hatte sich die SP-Fraktion mehrheitlich enthalten und damit signalisiert, dass sie noch weitere Nachbesserungen erwartete. Wirklich zufrieden mit dem Gesetz in vorliegender Form war wohl niemand; in dieser Hinsicht sprach das Fazit von Kommissionssprecher Matthias Jauslin (fdp, AG) Bände: «Wir haben jetzt eine Vorlage, die aus Sicht der Kommission durchaus bearbeitbar ist.»

Revision des Datenschutzgesetzes (BRG 17.059)
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Ende August 2019 eröffnete der Bundesrat die Vernehmlassung zu einer Anpassung des DNA-Profil-Gesetzes. Die Strafverfolgungsbehörden sollen aus einer am Tatort gefundenen DNA-Spur nicht mehr nur das Geschlecht, sondern neu auch die Augen-, Haar- und Hautfarbe, die biogeografische Herkunft und das Alter der Person bestimmen dürfen. Ziel dieser sogenannten Phänotypisierung ist es, Ermittlungen und Fahndungen fokussierter durchführen, den potenziellen Täterkreis eingrenzen und Unbeteiligte rasch ausschliessen zu können. Eine Phänotypisierung soll auf Anordnung der Staatsanwaltschaft und nur bei Verbrechen, d.h. Straftatbeständen mit einer minimalen Strafandrohung von drei Jahren Freiheitsstrafe, durchgeführt werden dürfen. Die Verwendung der Analyseergebnisse ist auf die Ermittlungen in einem konkreten, aktuellen Fall begrenzt; sie sollen nicht in der DNA-Datenbank gespeichert werden. Damit wird eine vom Parlament überwiesene Motion Vitali (fdp, LU; Mo. 15.4150) umgesetzt, die eine gesetzliche Grundlage für die Auswertung der codierenden DNA-Abschnitte forderte. Weiter will der Bundesrat in Umsetzung des Postulats 16.3003 die Regelung zur Löschung von DNA-Profilen vereinfachen. Er sieht vor, dass neu bereits im Strafurteil festgelegt werden soll, wie lange das DNA-Profil eines Täters oder einer Täterin in der DNA-Datenbank aufbewahrt wird. Zudem soll die vom Bundesstrafgericht für zulässig erklärte Ermittlungsmethode des erweiterten Suchlaufs mit Verwandtschaftsbezug ausdrücklich im Gesetz verankert werden: Kann einer am Tatort gefundenen DNA-Spur kein Treffer in der Datenbank zugeordnet werden, darf geprüft werden, ob im System sehr ähnliche Profile, d.h. nahe Verwandte der gesuchten Person, verzeichnet sind. Über eine Kontaktaufnahme zu den Verwandten können die Strafverfolgungsbehörden anschliessend versuchen, die gesuchte Person ausfindig zu machen.
In der Presse zeigte sich die Luzerner Staatsanwaltschaft entschlossen, die Ermittlungen im sistierten «Fall Emmen» wieder aufzunehmen, sobald die neue Gesetzesgrundlage in Kraft trete. Im Sommer 2015 hatte die Vergewaltigung einer seither querschnittgelähmten jungen Frau in Emmen (LU), bei der der Täter trotz DNA-Massentest bisher nicht gefunden werden konnte, eine öffentliche Debatte über die DNA-Analyse als Ermittlungsmethode angestossen. Der Fall hatte auch am Ursprung der Motion Vitali gestanden, die mit der vorgeschlagenen Gesetzesänderung umgesetzt werden soll. Bedenken wegen des zusätzlichen Eingriffs in die Grundrechte äusserte dagegen der EDÖB Adrian Lobsiger. Er zöge es vor, wenn die Phänotypisierung nur bei schweren Verbrechen gegen Leib und Leben, die Freiheit oder die sexuelle Integrität zulässig wäre und nicht von der Staatsanwaltschaft, sondern nur von einem Zwangsmassnahmengericht angeordnet werden dürfte. Ausserdem betonte er die eingeschränkte Genauigkeit der Phänotypisierung – bei blonden Haaren beispielsweise sei die Vorhersage nur zu 69 Prozent zutreffend –, weshalb die Analyseergebnisse nicht als Beweise missverstanden werden dürften.

Änderung des DNA-Profil-Gesetzes (BRG 20.088)
DNA-Profile

Ende 2017 lancierte die Krankenkasse Helsana eine App mit dem Namen Helsana+, mit der man für verschiedene sportliche, aber auch soziale Aktivitäten wie Joggen, Fitnesstraining oder Vereinsmitgliedschaften Rabatte in der Zusatzversicherung bis CHF 300 sowie in der Grundversicherung bis CHF 75 erhält. Ähnliche Bonusprogramme für die Zusatzversicherungen gäbe es zwar schon länger, neu sei aber das entsprechende Angebot für die Grundversicherung, berichteten die Medien. Dieser Aspekt löste in der Presse breite Diskussionen aus. Mit dieser App eröffne die Helsana die «Jagd nach besten Risiken» erneut, empörte sich etwa Lukas Bäumle vom Seniorenrat. Die Belohnung von jungen, gesunden Personen diskriminiere die körperlich beeinträchtigten oder betagten Personen und führe zu einer neuen Art der Risikoselektion, pflichtete ihm Marianne Streiff-Feller (evp, BE) bei und auch Karl Vogler (csp, OW) und Gesundheitsminister Berset kritisierten, dass die App dem Solidaritätsgedanken der OKP wiederspreche und die Chancengleichheit verletze. Geteilt wurde die Kritik auch von verschiedenen Organisationen aus Konsumenten- und Patientenschutz und Pflege, Behindertenorganisationen sowie Gewerkschaften in einem Positionspapier. Sie verwiesen zudem auf technisch nicht versierte oder auf ihre Privatsphäre bedachte Personen, die ebenfalls diskriminiert würden.
Doch nicht nur wegen möglicher Diskriminierung wurde die App kritisiert, sondern auch wegen dem Datenschutz. Gesundheitsdaten gelten gemäss Datenschutzgesetz als besonders schützenswerte Daten. Die Helsana erhalte nun dank der App viele persönliche Informationen und Gesundheitsdaten, wie die Informationen aus Fitnesstrackern, Fotos der Versicherten oder Angaben über Vereinsmitgliedschaften, berichtete die Presse. Zudem sammle und verkaufe die App gemäss der Stiftung Konsumentenschutz Unmengen von Daten im Hintergrund. Zwar erklärte die Helsana, keine heiklen Daten zu speichern und die Informationen nicht weiterzugeben, jedoch gewährten die AGB der Versicherung gemäss Konsumentenschutz sehr viel weiterreichende Möglichkeiten – unter anderem eine stillschweigende Änderung der Nutzungsart.
Auf Kritik stiess die App auch in der Bevölkerung. So zeigte eine Befragung von 3'055 Personen durch die Forschungsstelle Sotomo, dass eine Mehrheit der Bevölkerung verhaltensabhängige Krankenkassenprämien ablehnt. Entsprechend trafen sowohl eine Prämiensenkung für Achtsame (56%) sowie eine Prämienerhöhung für Unachtsame (60%) bei den Befragten insgesamt auf Ablehnung. Eine Umfrage der Stiftung für Konsumentenschutz verdeutlichte zudem, dass das Bonusprogramm der Helsana auch in der Branche selbst auf Kritik stiess. 6 von 15 grossen Krankenkassen gaben ausdrücklich an, Rabattsysteme in der Grundversicherung abzulehnen.

In der Folge reichten Karl Vogler (Ip. 18.3373), Marianne Streiff-Feller (Ip. 18.3282) und Prisca Birrer-Heimo (sp, LU; Ip. 18.3354) Interpellationen zu diesem Thema im Nationalrat ein. Darin fragten sie den Bundesrat, ob er auch der Meinung sei, dass solche Bonusprogramme dem Solidaritätsgedanken zuwiderlaufen würden, ob solche Programme gemäss KVG zulässig seien und welche gesetzlichen Massnahmen nötig seien, um solche Programme zu verhindern. Der Bundesrat verwies darauf, dass eine Ungleichbehandlung von Versicherten, Prämienrabatte für gesundes Verhalten sowie eine Zweckentfremdung der Prämiengelder in der Grundversicherung bereits jetzt unzulässig seien, weshalb er keine gesetzlichen Massnahmen als nötig erachte. Die Helsana verwende aber für ihr Rabattprogramm nur Gelder aus der Zusatzversicherung, nicht aus der Grundversicherung. Hingegen kritisierte der Bundesrat denselben Punkt, welcher im April 2018 bereits der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Adrian Lobsiger, angesprochen hatte. Diesem missfiel insbesondere der Zugriff der Zusatzversicherung der Helsana auf Daten der Grundversicherung, welchem die Versicherten für den Erhalt der Boni zustimmen müssten. Dies verstosse gegen das Datenschutzgesetz, da die Datenverarbeitung in den Sozialversicherungen einer gesetzlichen Grundlage unterliegen müssten, betonte er. Die Helsana erachtete die freiwillige Zustimmung der Individuen hingegen als «ausreichende rechtliche Grundlage»; zudem sei man damit nicht dem KVG unterworfen, weil die Prämien aus freien Mitteln der Versicherung, nicht aus den Geldern der OKP bezahlt würden.
Nachdem die Helsana der Aufforderung Lobsigers, das Bonusprogramm auf die Zusatzversicherung zu beschränken, nicht nachgekommen war, gelangte dieser vor das Bundesverwaltungsgericht, das nun entscheiden musste, ob «die Vergütungen das Prinzip des diskriminierungsfreien Zugangs zur Grundversicherung unterlaufe», wie es der Tagesanzeiger formulierte. Nicht Sache des Gerichtsverfahrens waren hingegen die Menge und die Verwendung der durch die App gesammelten Daten. Das Bundesverwaltungsgericht stützte Lobsigers Einschätzung teilweise. Es entschied, dass eine Einwilligung zur Weitergabe der Daten nur über die App nicht ausreiche und die Helsana die unrechtmässig beschafften Daten löschen müsse. Diesen Aspekt habe die Helsana aber bereits nach der Beschwerde des Datenschützers geändert, mittlerweile erfolge die Einwilligung bereits nach den gesetzlichen Vorgaben, berichteten die Medien. Offen liess das Gericht die Frage, ob das Bonusprogramm einer versteckten Prämienverbilligung gleichkomme und damit gegen das KVG verstosse.

Apps Krankenversicherer

In seiner dem Parlament im Februar 2017 unterbreiteten Botschaft stellte der Bundesrat den Entwurf zum neuen Informationssicherheitsgesetz (ISG) vor. Im Zentrum des Gesetzgebungsprojektes stehen mit der Zusammenführung der wichtigsten Rechtsgrundlagen im Bereich der Informations- und Informatikmittelsicherheit des Bundes in einen einzigen Erlass sowie mit der Einführung einer einheitlichen Regelung für alle Behörden und Organisationen des Bundes zur Erreichung eines möglichst einheitlichen Sicherheitsniveaus zwei ambitiöse Ziele. Dazu sollen im neuen Gesetz insbesondere das Risikomanagement, die Klassifizierung von Informationen, die Sicherheit beim Einsatz von Informatikmitteln, die personellen Massnahmen und der physische Schutz von Informationen und Informatikmitteln geregelt werden. Ausdrücklich festgehalten werden soll auch der Vorrang des Öffentlichkeitsgesetzes, um zu betonen, dass das Öffentlichkeitsprinzip in der Verwaltung weiterhin uneingeschränkte Geltung haben wird. Überdies überführte der Bundesrat die Regelungen über die Personensicherheitsprüfung vom BWIS in das neue ISG und erweiterte den Geltungsbereich des militärischen Betriebssicherheitsverfahrens auf zivile Beschaffungen, um die Informationssicherheit bei der Vergabe von sicherheitsempfindlichen Aufträgen an Dritte zu gewährleisten. Die Kantone sind vom neuen Gesetz insofern betroffen, als sie bei der Bearbeitung von klassifizierten Informationen des Bundes und beim Zugriff auf seine Informatikmittel für eine gleichwertige Informationssicherheit sorgen müssen. Dazu sollen sie in einem Koordinationsorgan Einsitz nehmen.

Mit einem langen Votum eröffnete Ständerat Isidor Baumann (cvp, UR) als Sprecher der vorberatenden SiK-SR in der Wintersession 2017 die Debatte im Erstrat. Er gab dem Ratsplenum einen Einblick in die Arbeiten der Kommission und legte dar, wie sie im Verlaufe von vier Sitzungen zu ihren Entscheidungen gelangt war. Zum grossen und sehr grundsätzlichen Diskussionspunkt der Gesetzesentschlackung führte er aus, man habe sich von der Verwaltung erklären lassen, dass Umfang und Dichte der vorgeschlagenen Regulierung – der Gesetzesentwurf umfasst immerhin 92 Artikel – notwendig seien, weil die Bestimmungen für verschiedenste Behörden, darunter auch das Bundesgericht und die Nationalbank, gelten sollen und eine solche einheitliche Lösung nur auf Gesetzes- und nicht auf Verordnungsstufe erlassen werden könne. Um sich ein besseres Bild von den Auswirkungen des neuen Gesetzes machen zu können, hatte die Kommission bei der Bundesverwaltung weitere Unterlagen angefordert, so beispielsweise eine Liste der zu schliessenden rechtlichen Lücken, eine Auflistung der indirekten Auswirkungen auf die Kantone und genauere Angaben zu personellen und finanziellen Folgen. Darüber hinaus hatte sie Professor Markus Müller, Leiter der Expertengruppe, die am Anfang dieses Gesetzgebungsprojektes gestanden hatte, EDÖB Adrian Lobsiger, RK-MZF-Generalsekretär Alexander Krethlow sowie Vertreterinnen und Vertreter des Bundesgerichts, der Parlamentsdienste, der Nationalbank und der Wirtschaft angehört. Der integrale Ansatz und die angestrebte Vereinheitlichung seien am Gesetzgebungsprojekt von allen Eingeladenen gelobt worden und auch der Handlungsbedarf sei unbestritten anerkannt worden. Kritisiert worden sei die Vorlage vor allem von der Wirtschaftsvertretung, welche das Gesetz auf seine KMU-Tauglichkeit überprüft und mit der laufenden Revision des Bundesgesetzes über das öffentliche Beschaffungswesen abgestimmt wissen wollte. Krethlow habe indes als Kantonsvertreter die Forderung platziert, dass die Kantone für ihre Tätigkeiten im Zusammenhang mit dem Informationssicherheitsgesetz vollumfänglich vom Bund entschädigt werden sollten. Zusammen mit einer Stellungnahme des VBS hatten die in den Anhörungen vorgebrachten Vorschläge und Empfehlungen der Kommission als Grundlage für die Detailberatung gedient. Noch unklar war die Höhe der Umsetzungskosten gewesen, weil das anzustrebende Sicherheitsniveau von den Bundesbehörden erst im Rahmen des Vollzugs festgelegt werde. Der Bundesrat habe sich jedoch einverstanden gezeigt, die SiK-SR zu allen kostenrelevanten Umsetzungsstrategien und Vollzugserlassen zu konsultieren. Die SiK-SR hatte dem Entwurf sodann einstimmig zugestimmt. Nach diesen umfangreichen Erläuterungen trat der Ständerat ohne Gegenantrag auf die Vorlage ein.

In der Detailberatung zeigte sich die Unbestrittenheit der Vorlage: Zu keinem der zahlreichen Änderungsanträge der SiK-SR fand eine Diskussion statt und auch der Bundesrat zeigte sich mit allen Anpassungen einverstanden. Trotz der vielen Anträge, die alle stillschweigend angenommen wurden, änderte sich inhaltlich nur wenig am Entwurf des Bundesrates. So wurde die Trinkwasserversorgung explizit in die Liste der kritischen Infrastrukturen aufgenommen und die systematische (und nicht nur vorübergehende) Verwendung der AHV-Nummer zur Identifikation von Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, erlaubt. Die Bestimmung, wonach Umsetzung, Zweckmässigkeit, Wirksamkeit und Wirtschaftlichkeit des ISG periodisch überprüft werden muss, ergänzte der Ständerat dahingehend, dass diese Überprüfung durch eine unabhängige Stelle, namentlich durch die Eidgenössische Finanzkontrolle, zu geschehen habe. Des Weiteren nahm er das Personal von Fedpol und Bundesanwaltschaft einerseits sowie dolmetschende und übersetzende Personen im Asylbereich andererseits in den Kreis jener Personen auf, die unabhängig davon, ob sie Zugang zu geschützten Informationen oder Informatiksystemen des Bundes haben, einer Sicherheitsprüfung unterzogen werden können. Ins Muster der fehlenden Kontroverse fügte sich schliesslich auch die Gesamtabstimmung ein, bei der die kleine Kammer die Vorlage einstimmig (bei vier Enthaltungen) annahm.

Informationssicherheitsgesetz (BRG 17.028)

Die Totalrevision des Datenschutzgesetzes (DSG) verfolgt gemäss der Mitte September 2017 verabschiedeten Botschaft des Bundesrates hauptsächlich zwei Ziele: Erstens sollen die der rasanten technologischen Entwicklung in jüngster Zeit geschuldeten Schwächen des bestehenden Gesetzes behoben werden und zweitens soll das revidierte Gesetz den diesbezüglichen Entwicklungen im Europarat und in der EU Rechnung tragen. Im Rahmen der Revision ihres Datenschutzrechts erliess die EU u.a. die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts, die auch Teil des Schengen-Acquis ist. Die DSG-Revisionsvorlage soll daher die Anforderungen der genannten EU-Richtlinie übernehmen, um sicherzustellen, dass die Schweiz ihre Schengen-Verpflichtungen wahrnehmen kann. Der Europarat erarbeitete indes ein Protokoll zur Revision des Übereinkommens SEV 108 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten, womit das schweizerische DSG nach der Revision ebenfalls vereinbar sein soll. Aus Sicht des Bundesrates bilden die Ratifikation dieses Übereinkommens einerseits und die Annäherung an das Datenschutzrecht der EU andererseits die zentralen Voraussetzungen dafür, dass die Europäische Kommission der Schweiz weiterhin ein angemessenes Datenschutzniveau attestiert. Vor allem für die Schweizer Wirtschaft ist dieser sogenannte Angemessenheitsbeschluss von zentraler Bedeutung, da die Schweiz in allen Bereichen, die nicht der Schengen-Zusammenarbeit unterstehen, von der EU als Drittstaat angesehen wird und ein Datenaustausch zwischen EU-Mitgliedstaaten und Drittstaaten nur erlaubt ist, wenn Letzterer ein angemessenes Datenschutzniveau gewährleistet.
Zu den wichtigsten inhaltlichen Änderungen im DSG zählt neben dem Verzicht auf den Schutz der Daten juristischer Personen eine grundsätzliche Informationspflicht bei der Datenbeschaffung für alle Bearbeitungen durch Private, um die Transparenz der Datenbearbeitung generell zu verbessern. Überdies soll bei den für die Datenbearbeitung Verantwortlichen über entsprechende, von den Branchen erarbeitete Verhaltenskodizes die Selbstregulierung gefördert werden. Auch der EDÖB soll in seiner Position und Unabhängigkeit gestärkt werden und neu wie seine europäischen Amtskollegen Untersuchungen gegenüber Datenbearbeitern eröffnen sowie Verfügungen erlassen können. Letztlich sollen auch die Strafbestimmungen gegenüber heute verschärft werden. Zur Umsetzung der EU-Richtlinie 2016/680 umfasst die Vorlage zusätzlich Anpassungen in weiteren Gesetzen, namentlich im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz sowie im Schengen-Informationsaustauschgesetz.
Mit seinem Entwurf kam der Bundesrat vor allem der Wirtschaft entgegen, die in der Vernehmlassung Kritik an der weitgehenden Regulierung geübt hatte. So wurde nun auf ein «Swiss Finish» verzichtet; d.h. es sind keine Anpassungen vorgesehen, die über den EU-Standard hinausgehen. Insbesondere das Sanktionensystem kommt im Vergleich zur Vernehmlassung abgeschwächt daher, soll die maximale Busse doch nur noch CHF 250'000 und nicht wie ursprünglich vorgeschlagen CHF 500'000 betragen. In den Augen des SGV sind die Bussen dennoch zu hoch und die Position des EDÖB zu stark. Der EDÖB Adrian Lobsiger selbst zeigte sich im Grossen und Ganzen zufrieden mit dem Entwurf des Bundesrates und bedauerte einzig, dass ihm nicht die Kompetenz zugestanden wird, ohne Strafprozess direkt Bussen zu verhängen.

Revision des Datenschutzgesetzes (BRG 17.059)
2. Revision des Bundesgesetzes über den Datenschutz (DSG)

Wie Bundesrat Guy Parmelin bereits im Anschluss an die Volksabstimmung vom 25. September 2016 angekündigt hatte, schickte der Bundesrat Anfang 2017 die Verordnungen zum neuen Nachrichtendienstgesetz in die Vernehmlassung. Es handelte sich dabei einerseits um die Verordnung über den Nachrichtendienst (NDV), die dort greift, wo das NDG der Präzisierung bedarf. So werden darin etwa die Zusammenarbeit des NDB mit in- und ausländischen Stellen, die Informationsbeschaffung, der Datenschutz und die Archivierung, die Kontrolle, der interne Schutz, die Sicherheitsmassnahmen sowie die Bewaffnung des NDB konkretisiert. Andererseits handelte es sich um die Verordnung über die Informations- und Speichersysteme des NDB, die technische Regelungen zum Betrieb, zum Inhalt und zur Nutzung dieser Systeme enthält. In einer separaten Vernehmlassung, die im März eröffnet wurde, holte der Bundesrat zudem Stellungnahmen zur Verordnung über die Aufsicht über die nachrichtendienstlichen Tätigkeiten (VAND) ein. Diese dritte Umsetzungsverordnung regelt administrative Fragen bezüglich der Aufsichtsbehörde (AB-ND), die Kontrolle der Funk- und Kabelaufklärung durch die Unabhängige Kontrollinstanz (UKI) sowie die Zusammenarbeit zwischen dem Bund und der Dienstaufsicht in den Kantonen. Für Kritik sorgte, dass die AB-ND administrativ dem Generalsekretariat des VBS zugeordnet werden sollte. Das entspreche nicht dem Willen des Parlaments, das während der Beratung des NDG den Bundesrat per Motion (15.3498) dazu aufgefordert hatte, Möglichkeiten für eine Aufsicht ausserhalb der Bundesverwaltung aufzuzeigen, monierte Nationalrätin Edith Graf-Litscher (sp, TG) gegenüber der Presse; nicht zuletzt habe das Versprechen einer starken und unabhängigen Aufsicht Viele dazu bewogen, dem Gesetz in der Volksabstimmung zuzustimmen. Weniger problematisch sahen dies Ständerat Alex Kuprecht (svp, SZ), Präsident der GPDel und damit der parlamentarischen Oberaufsicht über den NDB, sowie EDÖB Adrian Lobsiger, die beide die operative Selbstbestimmung der Aufsicht durch deren rein administrative Ansiedlung beim VBS – überdies mit eigenem Budget – nicht gefährdet sahen, wie sie in den Medien erklärten.
Daneben traf der Bundesrat weitere Vorbereitungen für die geplante Inkraftsetzung des neuen NDG am 1. September 2017. So hob er in der bestehenden Verordnung über den Nachrichtendienst des Bundes (V-NDB) die Vorschrift auf, dass der NDB Informationen über das Inland und solche über das Ausland in intern getrennten Organisationseinheiten beschaffen muss. Damit werde «ein letztes Überbleibsel» der einst getrennten Inlands- und Auslandsnachrichtendienste abgeschafft, wie es in der entsprechenden Medienmitteilung hiess. Die V-NDB wird mit Inkrafttreten des neuen NDG ihre Geltung zwar verlieren, doch dass die Fusion im Hinblick auf das neue NDG schon vorzeitig vollzogen werde, sei organisatorisch «sicher sinnvoll», zitierte die NZZ GPDel-Präsident Kuprecht. Gemäss Bundesrat könne der NDB nun seine Organisationsstruktur optimieren und Synergien nutzen. Zudem wählte der Bundesrat im Mai – und damit fast ein halbes Jahr später als von Verteidigungsminister Parmelin ursprünglich angekündigt – den Juristen Thomas Fritschi zum Leiter der AB-ND. Er werde die Aufsichtsbehörde ab August organisatorisch und personell aufbauen, gab die Regierung per Medienmitteilung bekannt.
In der Vernehmlassung wurden erhebliche Einwände hauptsächlich von Mitgliedern des ehemaligen Referendumskomitees vorgebracht, darunter die Forderung, die AB-ND ausserhalb der Bundesverwaltung anzusiedeln. Im Ergebnisbericht erläuterte das VBS, dass dafür eine Änderung des formellen Gesetzes vonnöten wäre, weshalb dieser und weitere Vorschläge nicht in den Entwurf übernommen wurden. Die Kantone als Hauptadressaten des Verordnungsrechts sowie die KKJPD und die KKPKS unterstützten die in den Vorentwürfen eingeschlagene Stossrichtung dagegen einhellig. Von ihnen geäusserte Anpassungswünsche, wie auch die Empfehlungen des Bundesverwaltungsgerichts und der GPDel habe der Bundesrat weitestgehend in die Entwürfe übernommen, erläuterte er per Medienmitteilung. Die Sicherheitspolitischen Kommissionen beider Räte nahmen darauf zur Kenntnis, dass die Regierung die wichtigsten in der Vernehmlassung ausgesprochenen Empfehlungen berücksichtigt habe und verzichteten auf weitere Änderungsvorschläge an den Bundesrat. Sie sprachen sich für eine schnellstmögliche Inkraftsetzung des NDG und der dazugehörigen Verordnungen aus, damit der NDB seinem Auftrag zum Schutz des Landes nachkommen könne.
Der Bundesrat verabschiedete die drei Verordnungen Mitte August und setzte sie zusammen mit dem NDG auf den 1. September 2017 in Kraft. Ab dann kann der NDB seine neuen Kompetenzen wahrnehmen und die neuen Überwachungsmittel einsetzen.
Einen Tag vor dem Inkrafttreten kündigte eine Handvoll Personen aus dem Umfeld der Digitalen Gesellschaft an, beim NDB ein Gesuch um Unterlassung der neuen Kabelaufklärung, d.h. der Durchsuchung des grenzüberschreitenden Internetverkehrs nach Stichworten, einzureichen. Wie die Aargauer Zeitung berichtete, konnten sie unter anderem den Schweizer Anwalt Edward Snowdens, Marcel Bosonnet, für ihre Sache gewinnen. Dennoch rechneten sie nicht damit, dass der NDB ihrem Begehren stattgeben werde, planten aber, anschliessend den Rechtsweg zu beschreiten, «notfalls bis zum EGMR in Strassburg», wie die Zeitung den federführenden Anwalt und Präsidenten von Grundrechte.ch Viktor Györffy zitierte. Spätestens dort würden sie recht erhalten, zeigte sich Györffy überzeugt, denn die «anlasslose Massenüberwachung», die der NDB von jetzt an praktiziere, verletze das Grundrecht auf Privatsphäre, die Unschuldsvermutung und das Verhältnismässigkeitsprinzip.

Neues Nachrichtendienstgesetz (BRG 14.022)
Staatliche Überwachung
Vorstösse und Massnahmen zur Bekämpfung islamistischer Radikalisierungstendenzen

Das Wahlverfahren für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) hatte bei der Wahl von Adrian Lobsiger im Jahr 2016 viel zu reden gegeben. In den Medien war dem Bundesrat, dem die Wahl des EDÖB obliegt, vorgeworfen worden, mit einem ehemaligen Bundesbeamten – Lobsiger war lange Zeit Chef des Fedpol gewesen – keine guten Voraussetzungen für die nötige Unabhängigkeit geschaffen zu haben. Auch im Parlament wurde nicht goutiert, dass sich die Regierung vor der Wahl, die von der Vereinigten Bundesversammlung lediglich noch bestätigt werden kann, nicht mit dem Parlament ausgetauscht hatte. Der Unmut manifestierte sich schliesslich in einer parlamentarischen Initiative Leutenegger Oberholzer (sp, BL). Die Baselbieter Sozialdemokratin bemängelte, dass das Parlament mit der einfachen Genehmigung der Wahl keinen Einfluss auf die Auswahl und die Beurteilung der Eignung von EDÖB-Kandidierenden habe. Zwar finde eine formelle Nachprüfung durch die GK statt, dies könne aber kein Ersatz sein für ein stimmiges Ausschreibe- und Auswahlverfahren. Das ganze Wahl- und Auswahlverfahren sei deshalb integral dem Parlament bzw. der vorgelagerten Gerichtskommission beider Räte zu übertragen.
Anfang 2017 gab die SPK-NR der Initiative mit 13 zu 6 Stimmen bei drei Enthaltungen Folge. Es sei in der Tat stossend, dass das Parlament vor ein "fait accompli" gestellt werde. Ende März folgte auch die Schwesterkommission: Mit 9 zu 3 Stimmen stimmte die SPK-SR dem Vorschlag ebenfalls zu. Das heutige Verfahren befriedige in der Tat nicht. Die SPK-NR wird in der Folge einen Entwurf ausarbeiten.

Wahlverfahren für den EDÖB

Lange bevor der Bundesrat Mitte Juni 2016 mit seiner Medienkonferenz den Abstimmungskampf zum Nachrichtendienstgesetz offiziell eröffnete, wurde das Thema breit in der Öffentlichkeit diskutiert. Anlass dazu boten etwa die Terroranschläge in Brüssel vom 22. März 2016, in deren Nachgang bürgerliche Sicherheitspolitikerinnen und -politiker den Bundesrat dazu aufforderten, dem Nachrichtendienst per dringlichem Bundesbeschluss schleunigst zu den notwendigen Kompetenzen zu verhelfen. Man könne nicht warten, bis das neue NDG nach der Referendumsabstimmung vom September in Kraft treten könne; die jüngsten Anschläge hätten gezeigt, «dass die Bedrohung durch Terrorismus real ist», erklärte die Präsidentin der SiK-NR, Ida Glanzmann-Hunkeler (cvp, LU), gegenüber der NZZ. In Zeiten wie diesen sei es «unsinnig», dass der NDB in seiner Arbeit behindert werde, zitierte die «Tribune de Genève» dazu SiK-SR-Präsident Isidor Baumann (cvp, UR). Der NDB sei momentan «blind und taub», mahnte der Genfer Sicherheitsdirektor Pierre Maudet (GE, fdp) an gleicher Stelle. Obschon die Forderung unerfüllt verhallte, lagen die Hauptargumente für das neue Nachrichtendienstgesetz damit schon einmal auf dem Tisch.

Dass ein grosser Teil der Schweizer Bevölkerung ähnlich dachte, zeigte die im Mai veröffentlichte Studie «Sicherheit 2016» der ETH Zürich. Darin schätzten rund drei Viertel der Befragten die weltpolitische Lage (eher) pessimistisch ein, wobei die Erhebungen bereits im Januar und damit vor den Terrorattacken in Brüssel stattgefunden hatten. Damit einher gingen ein gegenüber dem Vorjahr gestiegenes subjektives Unsicherheitsempfinden sowie die klare Unterstützung von Massnahmen zur Wahrung der inneren Sicherheit wie Datensammlungen über verdächtige Personen, Armeeeinsätze zur Sicherstellung von Ruhe und Ordnung, die Aufstockung der Polizeikorps, Videoüberwachung im öffentlichen Raum oder vorsorgliche Verhaftungen. Von einer gewissen Ambivalenz zeugten die Antworten zum Verhältnis von Freiheit und Sicherheit: 55 Prozent der Befragten waren der Meinung, dass der Staat die Sicherheit der Bevölkerung auch auf Kosten der persönlichen Freiheit garantieren solle, gleichzeitig würden sich aber ebenfalls 55 Prozent für Freiheit statt Sicherheit entscheiden, wenn sie gezwungen wären, eins der beiden zu wählen. Zwei Drittel befürworteten aber die Terrorismusbekämpfung auch unter Einschränkung der persönlichen Freiheit – ein Ergebnis, das «Wasser auf die Mühlen der Befürworter» des neuen NDG sei, wie das St. Galler Tagblatt resümierte.

Weiteren Impetus fand die Befürworterseite in der Tatsache, dass sich offenbar auch der IZRS an der Unterschriftensammlung gegen das NDG beteiligt hatte, wie die Luzerner Zeitung Mitte Juni bekannt machte. Die umstrittene islamische Organisation sehe im NDG ein «Vehikel gegen Muslime», in dessen Fokus «je nach politischem Klima» auch andere Gruppen geraten könnten, weshalb Mediensprecher Qaasim Illi zur Unterschrift gegen das NDG aufgerufen habe. Im Einsatz für das NDG sah man sich dadurch bestätigt, denn es sei «bezeichnend», dass «ein Verein wie der IZRS, der selber im Fokus des NDB stehen könnte», gegen das Gesetz mobil mache, zitierte die Zeitung Ida Glanzmann-Hunkeler. Sogar Bundesrat Guy Parmelin sollte den Widerstand des IZRS einige Tage später vor den Medien lakonisch als «beste Werbung für das Gesetz» bezeichnen. Die Gegenseite distanzierte sich derweil von «diesen Extremisten», wie SP-Sprecher Michael Sorg betonte; man sei nicht verbündet und stehe in keinerlei Kontakt. Aus dem Abstimmungskampf wollte sich der IZRS denn auch heraushalten, wie er über eine Sprecherin verlauten liess.

Auf der Pro-Seite stand neben dem Bundesrat ein überparteiliches Ja-Komitee, das Parlamentarierinnen und Parlamentarier aller grösseren Parteien ausser den Grünen vereinte. Im Laufe der Kampagne sprachen sich zudem die Ost- und Westschweizer Konferenzen der Justiz- und Polizeidirektorinnen und -direktoren sowie die Regierungsräte der Kantone Zürich und Schaffhausen für das NDG aus. Das Hauptargument für das neue Gesetz war, dass die Mittel des schweizerischen Nachrichtendienstes an die aktuelle Bedrohungslage angepasst werden müssten, denn mit seinen heutigen Instrumenten könne er die Schweiz nicht ausreichend vor den sich ständig verändernden und komplexer werdenden Gefahren schützen. Der NDB sei schlicht «überholt», konstatierte FDP-Nationalrätin Corina Eichenberger (fdp, AG) gegenüber der Presse. Klar könne das Risiko nicht vollständig eliminiert werden, aber es seien schon viele Attentate dank Überwachung verhindert worden, pries SVP-Ratskollege Raymond Clottu (svp, NE) die neuen Überwachungsmöglichkeiten an. Als die Ziele des NDG nannte Verteidigungsminister Guy Parmelin einerseits die präventive Überwachung der «gefährlichsten Individuen» (NZZ) sowie andererseits die Erschwerung von Cyberangriffen und -spionage, wie im Fall der Ruag, der Anfang 2016 aufgedeckt worden war. Als weiteren Vorzug des neuen Gesetzes hob NDB-Chef Markus Seiler die Vereinfachung der internationalen Zusammenarbeit in der Terrorismusbekämpfung hervor. Gleichzeitig warnte er vor einer Schwächung der internationalen Stellung der Schweiz, sollte das Gesetz abgelehnt werden, denn je weniger eigene nachrichtendienstliche Erkenntnisse die Schweiz habe, umso grösser sei die Gefahr, von ausländischen Geheimdiensten instrumentalisiert zu werden. Es sei aber mitnichten die Absicht des neuen Gesetzes, alle Bürgerinnen und Bürger zu überwachen und selbstverständlich müsse Missbrauch verhindert werden, betonte Bundesrat Parmelin weiter. Auch das Komitee erklärte, umfassende Kontrollmechanismen und eine gut ausgebaute Aufsicht über den Nachrichtendienst verhinderten, dass ein Überwachungsstaat geschaffen werde. Die Befürworterinnen und Befürworter wurden nicht müde zu betonen, dass das NDG das Gleichgewicht zwischen individueller Freiheit und Sicherheit wahre und letztlich schlicht notwendig sei – oder mit den Worten von SP-Nationalrätin Rebecca Ruiz (sp, VD) in der «Tribune de Genève»: «Wir können nicht bei Windows 95 und Walkie-Talkies bleiben.» Der Status quo sei eine Reaktion auf den Fichenskandal in den 1990er-Jahren gewesen, erklärte auch EDÖB Adrian Lobsiger gegenüber der Sonntagszeitung. Seither hätten sich die Welt verändert und die Sicherheitslage verschärft. Auch er bezeichnete das NDG als «Kompromiss zwischen Freiheit und Sicherheit», liess sich aber nicht auf eine explizite Abstimmungsempfehlung hinaus. Zum frühen Zeitpunkt des offiziellen Kampagnenstarts Mitte Juni sagte Bundesrat Parmelin, er wolle eine «pädagogische» Abstimmungskampagne führen, um der Bevölkerung angesichts des heiklen und komplexen Themas genau zu erklären, was die Neuerungen seien und warum sie nötig seien.

Die Kontra-Seite bestand hauptsächlich aus dem Referendumskomitee «Bündnis gegen den Schnüffelstaat», das von den Grünen, der SP, den Juso, der Piratenpartei, der Gewerkschaft Syndicom, der Digitalen Gesellschaft, dem Verein Grundrechte.ch sowie dem Chaos Computer Club unterstützt wurde. Ein bürgerlich geprägtes Gegenkomitee um die bürgerlichen Jungparteien, kritische Parlamentarierinnen und Parlamentarier von SVP bis GLP sowie die Operation Libero, das liberale Argumente gegen das NDG anführen wollte, zerbrach hingegen, bevor es sich formieren konnte. Man habe das NDG gleichzeitig mit dem BÜPF bekämpfen wollen, aber mit dem Scheitern des BÜPF-Referendums sei die Gruppe auseinandergefallen, schilderte der Koordinator und stellvertretende SGV-Direktor Henrique Schneider dem St. Galler Tagblatt. So dominierten denn auch die von links geäusserten Bedenken das Argumentarium der Gegnerschaft. Weil es dem NDB erlaube, auf Basis blosser Vermutungen zu agieren, gehe das neue Nachrichtendienstgesetz zu weit, so das Hauptargument des Nein-Lagers. Juso-Präsidentin Tamara Funiciello nannte das NDG einen «Schritt Richtung Massenüberwachung». Mit dem Gesetz würden alle Bürgerinnen und Bürger zu Verdächtigen gemacht, sodass der NDB letztlich jeden zum potenziellen Terroristen «emporstilisieren» könne, kritisierte der Präsident des Vereins Grundrechte.ch, Viktor Györffy. Das von der Befürworterseite propagierte Gleichgewicht zwischen individueller Freiheit und Sicherheit konnte die Gegnerschaft nirgends erkennen. Mit der Stärkung des Nachrichtendienstes kreiere man nur eine «Illusion von Sicherheit», bemängelte der Grüne Nationalrat Balthasar Glättli (gp, ZH). Die Attentäter von Paris und Brüssel seien sehr wohl nachrichtendienstlich oder polizeilich bekannt gewesen, aber nichtsdestotrotz hätten die Anschläge nicht verhindert werden können. Dass eine parlamentarische oder juristische Kontrolle die Aktivitäten des NDB und damit die Eingriffe in die Grundrechte wirklich begrenzen könne, sei ebenfalls «illusorisch», so Györffy weiter. Glättli sah das Gesetz ausserdem – sowohl aufgrund der Zusammenarbeit mit ausländischen Nachrichtendiensten als auch wegen der Möglichkeit zum Eindringen in ausländische Computersysteme – als Gefahr für die Neutralität der Schweiz. Zudem missbilligte die Gegnerschaft, dass der Staat durch den Kauf von Trojanern den Schwarzmarkt für Sicherheitslücken und das organisierte Verbrechen fördere.

Insgesamt verlief die öffentliche Debatte über lange Zeit unaufgeregt und angesichts der Tragweite des Themas eher spärlich. Erst rund drei Wochen vor dem Abstimmungssonntag, im Anschluss an die SRF-«Arena» zum NDG, gewann sie «doch noch etwas an Temperatur», wie der Tages-Anzeiger kommentierte. Dabei stand das Instrument der Kabelaufklärung im Fokus, in der die Gegenseite nichts anderes als die verdachtsunabhängige Massenüberwachung erkannte. Die Beteuerung, es werde nur der grenzüberschreitende, nicht aber der inländische Internetverkehr überwacht, sei bedeutungslos, da etwa sehr viele E-Mails über ausländische Server verschickt würden, auch wenn sich Sender und Empfänger in der Schweiz befänden. Ein viel genanntes Argument gegen diese Art der Überwachung war die Suche nach der sprichwörtlichen Nadel im Heuhaufen, die eben nicht einfacher werde, wenn man den Heuhaufen vergrössere. NDG-Fürsprecherin Corina Eichenberger hielt dem in der «Tribune de Genève» entgegen, man werde im Internetverkehr schon nach sehr eng definierten Schlagworten suchen, und nicht einfach nach «Islam» oder «Bombe». Ausserdem führte die Pro-Seite an, der NDB verfüge gar nicht über genug Ressourcen für eine solche Massenüberwachung. Der Bundesrat sprach bis zuletzt von rund zehn Fällen pro Jahr, in denen bewilligungspflichtige Beschaffungsmassnahmen eingesetzt würden, wie er auch schon dem Parlament erklärt hatte. In den Medien wurde diese Zahl jedoch in Zweifel gezogen, da sich seit den parlamentarischen Beratungen die Bedrohungslage durch vermehrte Anschläge in Europa – die bisher folgenschwersten in Paris und Brüssel – und die zunehmende Anzahl Dschihad-Reisender aus der Schweiz verschärft habe. Während das VBS die Zahl als Durchschnittswert, der mit der Bedrohungslage variieren könne, verteidigte, sprach Ida Glanzmann-Hunkeler eher von 20 bis 25 Fällen pro Jahr, wobei diese Schätzung nicht statistisch extrapoliert, sondern «mehr ein Gefühl» sei, wie sie gegenüber dem Tages-Anzeiger erklärte. NDG-Gegner Balthasar Glättli sah in diesem Zahlenwirrwarr gemäss St. Galler Tagblatt ein Indiz dafür, dass «die staatlichen Schnüffler wesentlich hungriger» seien, als sie es «vor der Abstimmung zugeben» wollten. Wie der Tages-Anzeiger feststellte, wurde der Abstimmungskampf gegen Ende zum «Streit der Begrifflichkeiten», der sich vor allem um die Definition von Massenüberwachung drehte. Es sei die Antwort auf die von Beat Flach (glp, AG) in der «Arena» gestellte Frage, ob es wirklich so furchtbar sei, dass in Zukunft alles zuerst durch den Filter des NDB gehe, die Befürworter und Gegner des NDG trenne, konstatierte dieselbe Zeitung.

Die ab Mitte August durchgeführten Umfragen zeigten schon von Anfang an eine breite Unterstützung von knapp 60 Prozent für das NDG, die bis zur letzten Umfragewelle Mitte September ungefähr konstant blieb. Als wichtigste Argumente identifizierten die Befragungen die Befürchtung möglichen Missbrauchs neuer Technologien auf der Pro- sowie den mangelhaften Schutz der Privatsphäre auf der Kontra-Seite. Bei den bürgerlichen Parteien wollte die Mehrheit der Basis Ja stimmen, während die Anhängerschaft der linken Parteien mehrheitlich ein Nein einlegen wollte. Damit hatte das NDG gute Voraussetzungen, das Referendum ungefährdet zu passieren.

Neues Nachrichtendienstgesetz (BRG 14.022)
Staatliche Überwachung
Vorstösse und Massnahmen zur Bekämpfung islamistischer Radikalisierungstendenzen

Das Prozedere für die Wahl des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sieht vor, dass die vereinigte Bundesversammlung den Wahlvorschlag des Bundesrates bestätigen muss. Eine Kommission hat die Wahl des EDÖB durch den Bundesrat zu begutachten und der Bundesversammlung den von der Regierung gewählten Kandidaten zur Annahme oder zur Ablehnung zu empfehlen. Da der amtierende EDÖB Hanspeter Thür auf eine weitere Amtsperiode verzichtete, hatte der Bundesrat Ende 2015 Adrian Lobsiger, bis dato stellvertretender Direktor des Bundesamtes für Polizei, in dieses Amt gewählt.
Mit der Begutachtung wurde die GK betraut. In ihrem Bericht kritisierte die GK das Verfahren und die Kompetenzverteilung. Sie äusserte zudem Bedauern, dass vor der Wahl Lobsigers kein Austausch zwischen dem Bundesrat und dem Parlament stattgefunden habe. Das Wahlverfahren selber wurde – aufgrund von Gesprächen mit dem Bundeskanzler Walter Thurnherr sowie der Leiterin der Sektion Personal und Ressourcen Prisca Leu – als korrekt beurteilt. Es sei aus dem Dossier nicht ersichtlich, dass bestimmte Kandidatinnen oder Kandidaten oder bestimmte Bewerberkategorien bevorzugt behandelt worden seien. Bei Gesprächen mit den GPK und den GPDel seien ebenfalls keine Einwände zur Wahl Lobsigers vorgebracht worden. Schliesslich habe auch eine Anhörung des Kandidaten selber auf keine mangelnde Einigung hingewiesen. Mit 10 Stimmen bei sechs Enthaltungen – vermutlich ein stiller Protest gegen das Verfahren und die in den Medien vorgebrachten Bedenken gegen Lobsiger – beantragte die GK deshalb, die Wahl Adrian Lobsigers durch den Bundesrat zu bestätigen.
In den Medien war die Wahl Lobsigers auf Skepsis gestossen. Als Fedpol-Chef sei er treibende Kraft für das präventive Sammeln von Daten gewesen und es sei zudem fraglich, ob er als ehemaliger Bundesbeamter die nötige Unabhängigkeit haben könne. Der Rollenwechsel und seine Verwaltungsnähe waren aber dann für die Bundesversammlung kein Hinderungsgrund, Lobsiger zu bestätigen. In der Frühjahressession folgte sie dem Antrag der GK. Bei der geheimen Wahl, in der ein einfaches Mehr genügt und die leeren Stimmen mitgezählt werden, waren 139 Stimmen für eine Bestätigung der Wahl des Bundesrats und 54 Stimmen dagegen. Fünf Wahlzettel blieben leer. Damit galt Adrian Lobsiger für die 50. Legislaturperiode als EDÖB bestätigt.

Datenschutz- und Öffentlichkeitsbeauftragter - Bestätigung