Logo Verein/Association

Verordnung über die Informations- und Speichersysteme des Nachrichtendienstes des Bundes

12. April 2017

Bundesrat Guy Parmelin

VBS

Bundeshaus Ost

3003 Bern

Andrea.Schaer@ndb.admin.ch

Vernehmlassungsverfahren zur Verordnung über die Informations- und Speichersysteme des Nachrichtendienstes des Bundes

Vernehmlassungsantwort von grundrechte.ch

Sehr geehrter Herr Bundesrat

Der Verein grundrechte.ch reicht hiermit einige wenige Bemerkungen zum Entwurf der Verordnung über die Informations- und Speichersysteme des Nachrichtendienstes des Bundes ein.

Allgemeine Bemerkungen

Bei der Durchsicht der Verordnung über die Informations- und Speichersysteme des Nachrichtendienstes des Bundes ist uns zunächst ins Auge gestochen, dass der vermutlich grösste Brocken der Datenflut, welche der Nachrichtendienst des Bundes bisher schon zu sammeln beliebt, entweder gar nicht oder nur ungenügend geregelt ist. Aus dem Jahresbericht 2015 der GPDel ist bekannt, dass der NDB API-Daten der Passagiere mit Abflug von ausgewählten Flughäfen in die Schweiz automatisiert speichert. Von knapp 9,000 Datensätzen im Jahr 2011 explodierte diese Zahl förmlich auf mehr als 500,000 Datensätze im Jahr 2014. Weil in der Zwischenzeit die Anzahl der betroffenen Flughäfen noch erhöht wurde (aktuell sind dies Dubai, Dar es Salaam, Nairobi, Pristina, Istanbul, Moskau, Casablanca, Marrakech, Abu Dhabi, Doha, São Paulo, Peking, Shanghai, Delhi, Hong Kong, Mumbai, Muscat und Singapur), ist ab dem Jahr 2017 mit jährlich weit über einer Million Datensätzen zu rechnen. Wie und wo diese Daten in den Schlünden des NDB verschwinden, bleibt aber auch mit der neuen Verordnung im Dunkeln. Am ehesten noch käme das Informationssystem Quattro P in Frage. Gemäss Art. 51 VIS-NDB ist Quattro P allerdings nur für Daten gedacht, welche die Grenzkontrollorgane dem NDB übermitteln. Die API-Daten werden jedoch vom Staatssekretariat für Migration (SEM) von den Fluggesellschaften erhoben und an den NDB weitergeleitet. Auch weist der Katalog der Personendaten in Quattro P in Anhang 11 keine typischen API-Parameter (z. B. Abflugort, Kreditkartennummer, Essgewohnheiten) auf. Auch kein anderer Katalog in den vielen Anhängen des Verordnungsentwurfs scheint für API-Daten vorgesehen zu sein.

Die zweite grosse Datenflut, welche das neue Nachrichtendienstgesetz bescheren wird, stammt aus der Kabelaufklärung. Auch hier ist diese Verordnung genau so wie die Verordnung zum Nachrichtendienstgesetz (NDV) ungenügend, weil nicht sichergestellt wird, dass die Datenströme von Trägern von Berufsgeheimnissen, Medienschaffenden und zwischen sendenden wie auch empfangenden Personen in der Schweiz im Sinne von Art. 38 Abs. 2 NDG nicht erfasst oder zumindest nicht abgelegt werden. Viel mehr sollen Daten aus der Kabelaufklärung gemäss Art. 57 Abs. 3 VIS-NDB ohne entsprechende Prüfung automatisiert in ISCO abgelegt werden.

Hier besteht Nachholbedarf. Es muss ersichtlich sein, wie und wo Daten abgelegt werden, und die Ausscheidung von nicht zulässig erfassten Daten muss sichergestellt werden.

Bemerkungen zu einzelnen Bestimmungen

Art. 6

Es entspricht nicht der guten Praxis, dass Inhalte in einem Datenbankverbund dupliziert und anschliessend bearbeitet werden. Auf diese Weise werden Abweichungen innerhalb ursprünglich identischer Datensätze geschaffen, und die Datenbank ist nicht mehr konsistent. Korrekturen oder Löschungen in den Originaldaten werden nicht in die kopierten Daten übernommen, und eine Auswertung erfolgt möglicherweise aufgrund veralteter resp. überholter Informationen. Abhilfe würde schaffen, wenn statt Daten zu kopieren, wie in Art. 6 Abs. 3 VIS-NDB vorgesehen, nur Referenzen zu den einzelnen Datensätzen angelegt würden. Auf diese Weise wären alle Inhalte ebenfalls sichtbar, ohne jedoch zu inkonsistenten Datenbanken zu führen.

Art. 20

In der Vergangenheit hat der NDB bei der Überprüfung bereits erfasster Daten wiederholt gesündigt, was jeweils durch Inspektionen der GPDel ans Licht gekommen ist. Es entspricht nicht dem Rechtsverständnis von grundrechte.ch, wenn eine mangelhafte Überprüfung von personenbezogenen Daten verhindert wird, indem exorbitant lange Fristen für die gesetzlich vorgeschriebenen Überprüfungsintervalle vorgesehen werden.

Die Fristen von 10, 15 und 20 Jahren in Art. 20 Abs. 3 VIS-NDB sind viel zu lange und müssen auf 2 oder 3 Jahre reduziert werden.

Art 38

Das Selbe wie für Art. 20 gilt auch für Art. 38 VIS-NDB. Bei der Löschung nicht mehr benötigter Verzeichnisse und Unterverzeichnisse geht es einzig um die Entfernung von Datenleichen, und eine derartige Putzaktion hat mindestens ein Mal jährlich zu erfolgen, zumal sie nicht allzu viel Aufwand verursachen dürfte.

Art. 52

Die Datenbank Quattro P haben wir in den einleitenden Bemerkungen schon thematisiert. Sofern die API-Daten aus dem Bestand des SEM in Quattro P abgelegt werden sollen, ist anzumerken, dass diese Daten keinen Aufgabenbezug zu Art. 6 NDG haben. Die Daten werden vom SEM gemäss Art. 104 AuG zur Verbesserung der Grenzkontrollen sowie der Bekämpfung der rechtswidrigen Einreisen in den Schengen-Raum und Durchreisen durch die internationalen Transitzonen der Flughäfen und nicht zu nachrichtendienstlichen Zwecken erhoben. Ein automatisiertes Ablegen der API-Daten im Sinne von Art. 52 Abs. 3 VIS-NDB wäre somit unzulässig. Es kommt hinzu, dass Daten von Schweizer Bürgern unrechtmässig erfasst werden, weil es keine Rechtsgrundlage dazu gibt.

Art. 55

Sofern API-Daten in Quattro P gespeichert würden, wäre die Aufbewahrungsdauer von 5 Jahren viel zu lange. Gemäss Art. 104a Abs 5 AuG sind API-Daten nach spätestens 2 Jahren zu löschen.

Anhänge

Eine grosse Anzahl der Kataloge der Personendaten scheint mit copy & paste dupliziert worden zu sein. Dies erscheint fragwürdig. Besonders im Restdatenspeicher, wo alles landet, was während der Triage nicht einer anderen Datenbank zugeordnet werden konnte und was kaum bereits ausgewertet wurde, ergeben Datenfelder wie Nummer 17 (Identität von Bezugspersonen/Familienangehörigen, Geschäftspartnerinnen und -partner und anderen Kontakten sowie Angaben zur Art der jeweiligen Beziehung) wenig bis keinen Sinn. Wir empfehlen daher, alle identischen Kataloge mit 25 Einträgen zu überprüfen.

Gerne hoffen wir, dass unsere Vorschläge in die definitive Verordnung einfliessen werden.

Mit freundlichen Grüssen

RA Viktor Györffy

Präsident von grundrechte.ch

 

Webauftritt gestaltet mit YAML (CSS Framework), Contao 3.5.27 (Content Management System) und PHPList (Newsletter Engine)

Copyright © 2006-2019 by grundrechte.ch