Jahresbericht 2012 der Geschäftsprüfungsdelegation der eidgenössischen Räte

24. Januar 2013

4.2.4 Der «Geheimbereich» des Staates als Aufgabengebiet der GPDel

Die Oberaufsichtsaufgaben der Delegation waren gemäss Artikel 47quinquies GVG und später Artikel 53 des Parlamentsgesetzes (ParlG) eher restriktiv gehalten und beschränkten sich auf die Bereiche des Staatsschutzes und der Nachrichtendienste. Zwar konnten die GPK die Delegation mit weiteren Aufträgen betrauen, doch blieb ein solches Vorgehen die Ausnahme.

Die parlamentarische Initiative «Präzisierung der Informationsrechte der Aufsichtskommissionen»144, die von den beiden Kammern im Juni 2011 einstimmig angenommen wurde, führte zu einer Ausweitung von Artikel 53 ParlG und somit zu einer Anpassung an die in den Jahren zuvor entwickelte Praxis. In ihrer Botschaft erklärte die GPK-S: «Die Tätigkeit der Geschäftsprüfungsdelegation (GPDel) ist […] nicht nur auf die Kontrolle der Tätigkeit von Organen des Staatsschutzes und der Nachrichtendienste im engeren Sinne begrenzt. Sie befasst sich regelmässig auch mit den weiteren Bereichen der inneren und äusseren Sicherheit sowie einzelfallweise mit Vorkommnissen, die ausserhalb des herkömmlichen Sicherheitsbereichs den Landesinteressen schweren Schaden zufügen können»145.

Im Fall der diplomatischen Krise mit Libyen beschloss die Delegation zum Beispiel, die Pläne zur Exfiltration der Geiseln durch eine Sondereinheit der Schweizer Armee zu untersuchen, und zwar nicht, weil es sich um Tätigkeiten im Bereich des Staatsschutzes und der Nachrichtendienste handelte, was ja nicht der Fall war, sondern weil es hier um sensible Informationen aus dem Geheimbereich des Staates ging. Der Bundesrat stellte die Berechtigung der Delegation, auch in diesem Bereich ihre Aufsichtsfunktion wahrzunehmen, im Übrigen nicht in Frage.

Das heisst - und so ist es heute denn auch in Artikel 53 ParlG geregelt -, dass sich der Aufsichtsbereich der Delegation auf alle Angelegenheiten erstreckt, die der Geheimhaltung unterliegen. Genau dies verlangte die PUK EMD bereits vor über 20 Jahren, als sie in ihrer parlamentarischen Initiative die Schaffung einer Delegation forderte, welche die Oberaufsicht «über Tätigkeiten der Verwaltung, die einer besonderen Geheimhaltungspflicht unterliegen»146, wahrnehmen sollte. Es brauchte also nahezu zwei Jahrzehnte, um die verschiedenen Bestrebungen des Parlaments in Richtung einer systematischen Oberaufsicht über die sensiblen Bereiche des Staates auf einer gesetzlichen Basis zu konkretisieren.

4.3 Nachkontrolle zum ISIS-Bericht der Geschäftsprüfungsdelegation

4.3.1 Erledigung der Pendenzen in der Qualitätskontrolle und weitere Reduktion des Datenbestandes

In ihrem Inspektionsbericht147 zum Staatsschutzinformationssystem ISIS148 vom 21. Juni 2010 war die GPDel zum Schluss gekommen, dass die Qualitätssicherung der im System enthaltenen Daten nicht den rechtlichen Vorgaben entsprochen hatte. Weil die Migration der ISIS-Daten auf ein neues Datenbankprogramm im Jahr 2004 langwierige Nachbesserungen nach sich zog, geriet in den Folgejahren die periodisch vorgeschriebene Qualitätssicherung der ISIS-Daten zunehmend ins Hintertreffen. Im Frühjahr 2010 waren rund 114,000 periodische Gesamtbeurteilungen ausstehend149. Erst nachdem im Herbst 2010 die personellen Kapazitäten in der Qualitätssicherung erhöht wurden, konnten die Kontrollen im grossen Stil wieder aufgenommen werden. Zugleich reduzierte die Löschung einer grossen Zahl von Personen, die in ISIS registriert waren, die Menge der noch zu kontrollierenden Einträge.

Bis Ende 2011 konnten die Pendenzen bei den periodischen Kontrollen auf rund 21,000 abgebaut werden. Mitte 2012 waren noch knapp 10,000 Gesamtbeurteilungen hängig, die alle bis Ende 2012 erledigt werden konnten.

Die Zahl der in ISIS registrierten Personen erreichte mit 212,000 ihren Höchststand im Herbst 2010150. Aufgrund der nachgeholten Qualitätskontrollen und der von der GPDel empfohlenen Löschungen sank bis Ende 2011 die Zahl der Einträge in ISIS auf rund 55,000 Personen, davon 12, 000 Drittpersonen. Im ersten Halbjahr 2012 konnte eine weitere Reduktion auf knapp 50,000 festgestellt werden, wobei Personen und Drittpersonen im gleichen Umfang gelöscht wurden. Ende 2012 waren in ISIS noch rund 38,000 Personen und 7,000 Drittpersonen verzeichnet.

Gegen Ende 2011 intensivierte die Qualitätssicherung des NDB auch die Überprüfung der in ISIS erfassten Institutionen. In der Folge unterschritt deren Bestand Anfang 2012 die Zahl von 15,000. Für den Stand Mitte 2012 meldete der NDB rund 13,500 Institutionen, wobei die Drittinstitutionen nicht separat ausgewiesen wurden. Diese Zahl betrug Ende 2012 rund 11,000.

Anlässlich der Überprüfung des Einsichtsgesuchs einer Schweizer Zeitung hatte das BVGer in einem Entscheid vom 18. März 2009 die Löschung aller in ISIS als eigenständige Objekte registrierten Medien verlangt151. Einen ersten Teil dieser rund 200 Einträge löschte der NDB im Jahr 2011. Diese Zahl sank bis Ende 2012 auf noch rund 100.

Der NDB rechnet damit, dass nach Abschluss der ausserordentlichen Aktion der Pendenzenbewältigung und den damit verbundenen zusätzlichen Löschungen der Gesamtbestand der Registrierungen in ISIS wieder leicht ansteigen wird.

4.3.2 ISIS-Kennzahlen

Empfehlung 13 des ISIS-Berichts verlangte vom VBS, Kennzahlen zu definieren, anhand derer das Departement eine Plausibilitätsprüfung durchführen kann, ob die gesetzlich vorgeschriebene Qualitätssicherung funktioniert. Zu diesem Zweck hat der NDB die Quartalsberichterstattung152 über die Entwicklung des ISIS-Datenbestands, welche die GPDel im März 2010 in Auftrag gegeben hatte, um weitere Informationen erweitert. Ab dem ersten Quartal 2011 enthielt die Berichterstattung auch Zahlen zu den durchgeführten und noch ausstehenden Qualitätskontrollen.

Laut dem ISIS-Datenschutzbeauftragten (vgl. Ziff. 4.3.3) konnten die Führungsverantwortlichen des NDB aus diesen Zahlen klare Tendenzen für die Bereinigung der Pendenzen in der Qualitätssicherung ableiten. Die GPDel nahm nach jedem Quartal die Entwicklung der Zahlen zur Kenntnis.

Aufgrund der Kennzahlen kann die Löschquote bei den Gesamtbeurteilungen berechnet werden. Im Jahr 2012 wurden rund 40 Prozent der überprüften Personen als nicht mehr relevant gelöscht. Von den kontrollierten Institutionen wurden im selben Jahr ein Drittel gelöscht, wobei der Anteil je nach Quartal zwischen 42 und 24 Prozent betrug.

Bevor der NDB im Herbst 2010 systematisch mit der Bereinigung der Pendenzen in der Qualitätssicherung begann, lag der Anteil der Drittpersonen merklich über 40 Prozent der Gesamtheit der in ISIS registrierten Personen und Drittpersonen. Somit hatte der NDB bei nahezu der Hälfte der in ISIS registrierten Personen noch keine direkten Anhaltspunkte, ob sie für die Sicherheit des Landes von Bedeutung waren.

Je mehr Einträge von Personen im Verlauf des Jahres 2011 durch die Qualitätssicherung gelöscht wurden, umso mehr sank auch der Anteil der Drittpersonen im gesamten Datenbestand. Anfang 2012 fiel er unter 20 Prozent. Gleichzeitig verbesserte sich dieses Verhältnis auch zwischen den neu erfassten Personen und Drittpersonen. Im Jahr 2012 lag es bei rund 15 Prozent. Dieser Trend erscheint plausibel, denn in erster Linie sollten staatsschutzrelevante Personen in ISIS registriert werden und nicht Personen, die zwar mit ihnen in Beziehung stehen, aber deren Staatsschutzrelevanz der NDB nicht beurteilen kann.

Das ISIS-System unterstützt die Generierung von Kennzahlen nur ungenügend. Verschiedene Zahlen müssen manuell erhoben werden. Anlässlich der Aussprache mit dem externen ISIS-Datenschutzbeauftragten empfahl dieser deshalb der Delegation, darüber zu wachen, dass in den Detailspezifikationen des zukünftigen ISIS-Systems (vgl. Ziff. 4.3.11) die entsprechenden Statistikfunktionen von allem Anfang an vorhanden sind.

4.3.3 Arbeit des ISIS-Datenschutzbeauftragten

Aufgrund der Empfehlung 1 der GPDel hatte der Bundesrat einen externen Datenschutzbeauftragten vorgesehen, der die Erledigung der Pendenzen in der Qualitätssicherung überwacht. Gemäss der Empfehlung sollte dieser alle sechs Monate Bericht über seine Tätigkeit erstatten.

Für die Aufgabe des Datenschutzbeauftragten konnte das VBS Anfang 2011 alt Ständerat Hansruedi Stadler gewinnen. Im selben Jahr führte die GPDel mit ihm zwei Aussprachen durch und nahm seinen ersten Halbjahresbericht zur Kenntnis. Im Jahr 2012 sprach die GPDel im März und im Oktober mit dem ISIS-Datenschutzbeauftragten über seinen zweiten, respektive dritten Bericht.

Alle ISIS-Daten, deren Qualitätskontrolle nicht rechtzeitig erfolgt war, hatte der NDB gemäss der Empfehlung der GPDel einer Verwendungssperre zu unterstellen. Die Mitarbeitenden des NDB konnten solche Daten nur verwenden, wenn der ISIS-Beauftragte dies vorgängig genehmigte. Bei Datenbankabfragen signalisierte ISIS dem Benutzer, welche Daten gesperrt waren, verhinderte indes nicht den Zugriff darauf153.

Wie der ISIS-Datenschutzbeauftragte am 19. März 2011 erklärte, überprüfte deshalb die Qualitätssicherung wöchentlich, ob die schriftlichen Berichte, welche die Abteilung Auswertung aufgrund von ISIS-Informationen erstellt hatte, Daten enthielten, die der Verwendungssperre unterlagen. In solchen seltenen Fällen wurden die beanstandeten Informationen dem externen Datenschutzbeauftragten nachträglich zur Genehmigung vorgelegt.

Die Qualitätssicherung des NDB konnte auf Ende 2012 alle ausstehenden Kontrollen nachholen. Damit ist auch der Auftrag des externen Beauftragten im Sinne der ersten Empfehlung der GPDel erfüllt. Nach Ansicht der Delegation hat der Beauftragte einen wichtigen Beitrag zur Herstellung eines gesetzeskonformen Datenbestandes in ISIS geleistet. Seine begleitenden Kontrollen haben das Vertrauen der GPDel in die Qualität der ISIS-Daten erhöht.

Der GPDel ist es allerdings auch wichtig, dass es in Zukunft nicht wieder zu Unterlassungen in der Qualitätssicherung kommt. Der Abbau der Pendenzen, der zwischen Oktober 2010 und Ende 2012 erfolgt ist, verlangte einen substanziellen Auf-wand, der zusätzlich zu den regulär anfallenden Kontrollen bewältigt werden musste. Der NDB hätte die Aufgabe nicht erfüllen können, wenn das VBS nicht auf befristeter Basis zusätzliches Personal bewilligt hätte.

Einmal überprüfte ISIS-Einträge werden nach den gesetzlichen Vorgaben für die Qualitätssicherung periodisch alle drei Jahre erneut für eine Überprüfung fällig. Das bedeutet, dass zumindest ein Teil der Einträge, die der NDB im Verlauf des Pendenzenabbaus während der letzten zwei Jahre kontrollierte, ab Ende 2013 wieder sukzessive zur Überprüfung anstehen wird. Der Zusatzaufwand dürfte aber weniger hoch ausfallen, da mit den Kontrollen auch Löschungen verbunden waren (rund 40 % im Jahr 2012). Trotzdem wird der NDB ab Ende 2013 erneut mit einer überdurchschnittlichen Zahl von Überprüfungen konfrontiert sein. Für den NDB stellt sich deshalb bereits heute die Frage, wie er diese Kontrollen termingerecht wird bewältigen können, wenn ihm ab Ende 2012 das befristete Personal nach dem Abbau der Pendenzen nicht mehr zur Verfügung stehen wird.

Der ISIS-Datenschutzbeauftragte hatte bereits in seinem zweiten Bericht auf diese Problematik hingewiesen. Wie die GPDel im März 2012 erfuhr, zog der NDB den Beauftragten auch in die Abklärungen zum zukünftigen Personalbedarf in der Qualitätssicherung bei. Dem dritten Bericht des Beauftragten konnte die GPDel entnehmen, dass das VBS ab 2013 drei zusätzliche Stellen für die Qualitätssicherung bewilligt hatte. Der NDB plant zudem, einen Teil der Kontrollen vorzuziehen, um nicht Gefahr zu laufen, dass der spätere Kontrolltermin wegen zu vieler fälliger Überprüfungen nicht eingehalten werden kann.

Laut dem zweiten Bericht des externen Datenschutzbeauftragten befasste sich dieser auch mit der Frage, welche rechtlichen Minimalanforderungen für die Qualitätssicherung gelten. Im Rahmen der Vorbereitung der Revision der Verordnung über die Informationssysteme des NDB (ISV-NDB)154 vom 9. Dezember 2011 hatte der NDB vorgeschlagen, die Auflagen für die Qualitätssicherung durch eine Verordnungsänderung zu lockern155. So sollten nur noch Informationen, die als ungesichert eingetragen waren, periodisch überprüft werden, und der zeitliche Abstand zwischen diesen Kontrollen sollte verlängert werden. Nach Ansicht des NDB sollten diese Abstriche an die Qualitätskontrolle erlauben, die Pendenzen in der Qualitätssicherung nachhaltig in den Griff zu bekommen. Das vom Gesetzgeber vorgegebene Kontrollniveau würde dabei aus Sicht des NDB immer noch eingehalten werden.

Demgegenüber erachtete der ISIS-Datenschutzbeauftragte die vom NDB vorgesehene Änderung als mit einer korrekten Interpretation von Artikel 15 Absatz 5 BWIS nicht vereinbar. Sowohl das BJ, der EDÖB als auch die ND-Aufsicht waren im Rahmen der Ämterkonsultation zu einem ähnlichen Schluss gelangt. In der Folge verzichtete das VBS auf eine Lockerung der Vorgaben für die Qualitätssicherung in ISIS, so dass die vom Bundesrat verabschiedete Revision der ISV-NDB zu keinerlei Beanstandungen mehr Anlass gab.

4.3.4 Neuauflage des präventiven Fahndungsprogramms «Fotopass»

Zum präventiven Fahndungsprogramm «Fotopass» enthielt der ISIS-Bericht zwei Empfehlungen (2 und 12). In Empfehlung 2 hatte die GPDel vom VBS verlangt, alle Drittpersonen, die ausschliesslich aufgrund von «Fotopass» in ISIS Eingang gefunden hatten, zu löschen. Die Löschung dieser Daten nahm der NDB bereits im Dezember 2010 vor156.

Bezüglich der Empfehlung 12 der GPDel, das Fahndungsprogramm einzustellen oder seine Weiterführung in einem Bericht zu begründen, entschied sich der Bundesrat für die Weiterführung von «Fotopass». Den verlangten Bericht erhielt die GPDel am 31. März 2011 vom VBS. Demnach dient das Programm nur noch einem Teil der BWIS-Aufgaben, und die Datenbearbeitung wird restriktiver gehandhabt. Die Informationen über jene Personen, deren Reisepässe an der Grenze kontrolliert wurden, werden fortan in einer eigenen Datenbank namens «P4» abgelegt. Es gilt eine Löschfrist von fünf Jahren (Art. 33 ISV-NDB). Gemäss Artikel 31 ISV-NDB richtet sich das Auskunftsrecht betroffener Personen nach Artikel 8 und 9 des Datenschutzgesetzes (DSG)157.

Am 25. April 2012 liess sich die GPDel die neue Datenbank, die der NDB gleichen Monats eingeführt hatte, vor Ort demonstrieren. Die manuelle Bearbeitung der fotografierten Reisedokumente erschien dabei als relativ aufwändig. Die Überprüfung, ob die Inhaber der an der Grenze erfassten Pässe bereits in ISIS registriert sind, kann jedoch dank eines automatisierten Programms bewerkstelligt werden.

Im Bericht vom 31. März 2011 begründete das VBS den Nutzen einer Neuauflage von «Fotopass» insbesondere damit, dass sich der NDB dank der Reisedokumente eine aktuelle Fotografie der kontrollierten Personen beschaffen könne. Bereits letztes Jahr hatte die GPDel festgestellt, dass seit dem 11. Oktober 2011 die neue Verordnung über das zentrale Visa-Informationssystem (VISV)158 verschiedenen Schweizer Behörden Zugriff auf die Daten aller Personen gibt, die ein Gesuch für ein Schengen-Visa gestellt haben. Dazu gehört auch ihr Passbild159.

Der Zugriff des NDB auf diese Schengen-Daten erfolgt über das Zentrale Migrationssystem (ZEMIS). Der Zugang zu ZEMIS erfolgt wiederum gestützt auf Artikel 9 der dazugehörigen ZEMIS-Verordnung160, welche es dem NDB erlaubt, Daten von Personen abzufragen, gegen die er Fernhaltemassnahmen prüft.

Die GPDel wollte am 25. April 2012 auch die Gelegenheit nutzen, um sich ein eigenes Bild darüber zu machen, wie der NDB über ZEMIS auf Fotos von Gesuchstellern eines Schengen-Visums zugreifen kann. Wie sich zeigte, war den Mitarbeitenden mit einem ZEMIS-Anschluss nicht bekannt, dass sie Zugriff auf solche Personendaten und Passbilder via ZEMIS hatten. Aus Sicht der GPDel stellte sich somit die Frage, ob die Zugriffsberechtigungen im elektronischen System nicht der ZEMIS-Verordnung entsprachen, oder ob die Verordnung selber fehlerhaft war. Die GPDel bat deshalb das VBS mit Schreiben vom 29. Mai 2012, diese Frage zu klären.

Am 11. Juni 2012 informierte der Direktor des NDB die GPDel, dass via ZEMIS effektiv ein Zugriff auf die Daten zu den Visumsgesuchen, inklusive der Passbilder von Antragsstellern, möglich sei. ZEMIS erlaube dem NDB den Zugriff auf die Daten aller Personen, die ein Schengen-Visum bei einer Schweizer Stelle beantragt hätten. Auf die übrigen Visumsinformationen, die von anderen Staaten ins zentrale Visumsinformationssystem C-VIS eingespiesen werden, habe der NDB jedoch «online» keinen Zugriff. Der NDB könne aber auf begründete Anfrage hin die Visumsinformationen von fedpol erhalten (vgl. Art. 17 VISV).

Im Oktober 2012 besprach die GPDel mit dem Direktor des NDB die Berichterstattung über die laufenden Fahndungsprogramme, die gemäss Artikel 24 Absatz 5 V-NDB jährlich an den Vorsteher des VBS ergeht. Im Berichtszeitraum von Mitte 2011 bis Mitte 2012 waren nur 0.5 Prozent der Reisenden, die von «Fotopass» an der Grenze erfasst wurden, auch in ISIS registriert. Dieser Anteil hatte sich seit dem Jahr 2007, als er noch bei 2 Prozent lag, stetig reduziert. Der seit 2011 sinkende Gesamtbestand an Personen, welche in ISIS registriert sind, dürfte, wie der Direktor des NDB bemerkte, ein Grund dafür sein. Da der Anteil der ‚Treffer‘ in ISIS aber bereits am Sinken war, als ab 2008 die Bearbeitung der «Fotopass»-Daten mit zusätzlichem Personal forciert wurde und die Datenmenge in ISIS noch am Wachsen war, dürfte diese Erklärung für sich allein betrachtet nicht ausreichend sein.

Letztlich haben der NDB und die Kantone einen substanziellen Aufwand, um jährlich über 100,000 Grenzübertritte zu erfassen, obwohl über 99 Prozent der bearbeiteten Informationen erwartungsgemäss keine Relevanz für die Sicherheit der Schweiz haben werden. Im Übrigen ist der NDB in vielen Fällen dank seinem Zugriffsrecht auf Daten des Schengen-Visumsinformationssystems nicht auf «Fotopass» angewiesen, um an die Passinformationen von Personen zu gelangen, die in die Schweiz einreisen wollen. Eine Visumspflicht besteht nämlich für nahezu alle Angehörigen der Staaten, die vom neuen Fotopassprogramm betroffen sind161.

Während der Bundesrat mit der Neuauflage des präventiven Fahndungsprogramms der Kritik des ISIS-Berichts der GPDel in rechtlicher Hinsicht Rechnung getragen hat, bleibt die Frage nach der Zweckmässigkeit und Wirksamkeit von «Fotopass» weiterhin aktuell. Im Frühjahr 2013 wird die GPDel voraussichtlich diesen Teil ihrer Nachkontrolle zum ISIS-Bericht mit einer entsprechenden Beurteilung abschliessen.

4.3.5 Einbezug der Auswertung und der Kantone in die Qualitätssicherung

In ihrem ISIS-Bericht hatte die GPDel festgestellt, dass die Datenerfassung und Qualitätskontrollen in ISIS durch Mitarbeitende gemacht werden, die mit der nachfolgenden Auswertung dieser Daten zu Staatsschutzzwecken nichts zu tun haben. Im vormaligen SND hingegen wurden die Auswerter direkt in den Prozess der Datenerfassung einbezogen, was die GPDel als zweckmässig erachtet hatte162. Die GPDel zeigte sich davon überzeugt, dass ein Einbezug der Spezialisten aus der Auswertung bei der Datenerfassung zu einer massgeblichen Verbesserung der Datenqualität in ISIS führen würde.

Ebenso hielt es die GPDel für notwendig, dass die kantonalen Staatsschutzorgane die Qualität ihrer Meldungen zuhanden des NDB verbesserten. Damit sollte erreicht werden, dass Meldungen ohne ausreichende Staatsschutzrelevanz gar nicht erst an den NDB gelangen würden. Die GPDel verlangte deshalb mit ihren Empfehlungen 4 und 5 vom NDB einen schriftlichen Bericht zu den Fragen, wie das Personal der Auswertung im NDB und wie die kantonalen Staatsschutzorgane zur Verbesserung der ISIS-Datenqualität beitragen könnten.

Am 24. Februar 2012 hörte die GPDel verschiedene Vertreter des NDB zu den beiden Berichten an, die der NDB zu den Empfehlungen 4 und 5 verfasst hatte.

Der Bericht zum Einbezug des Fachwissens der Auswerter bei der Erfassung und Pflege von Informationen in ISIS umfasste zwei Seiten. Im Wesentlichen sah er als Zusatzmassnahme vor, dass die Mitarbeitenden, welche die eingegangenen Daten in ISIS erfassen und sie zu diesem Zweck vorgängig auf ihre Staatsschutzrelevanz kontrollieren müssen, an den NDB-internen Rapporten teilnehmen können, an welchen die Auswerter ihr Fachwissen einbringen. Ferner sollten die Auswerter eine Beurteilung zur Staatsschutzrelevanz abgeben können, wenn dies seitens des Informationsmanagements für die Datenerfassung und die periodische Überprüfung als notwendig erachtet wurde. Halbjährlich sollten die Auswerter zudem stichprobenweise überprüfen, ob die Daten, die von der Qualitätssicherung anlässlich der Gesamtbeurteilungen bestätigt wurden, effektiv noch von Nutzen sind.

Der zweiseitige Bericht sah ausserdem eine Prüfung vor, welche der Detailangaben, wie beispielsweise des Heimatorts, von der Auswertung effektiv benötigt werden. Wie die Anhörung der GPDel ergab, erfolgt eine solche Überprüfung nur einzelfallweise und auf Initiative der Sektion Voranalyse hin. Eine systematische Überprüfung der von ISIS vorgegebenen Datenfelder findet hingegen nicht statt. Die Anhörungen ergaben auch, dass die Bezeichnung «Voranalyse» für den Prozess der Dateneingabe in ISIS eigentlich nicht sachgemäss ist. Die Bezeichnung «Integration» würde die effektive Tätigkeit der Erfassung von Daten ins System besser umschreiben. Der NDB prüfte eine solche Umbenennung; seit April 2012 wird die Einheit „Datenerfassung / Triage“ bezeichnet.

Aus dem Bericht des NDB zu Empfehlung 5 ging hervor, dass die Auftragserteilung an die kantonalen Staatsschutzorgane vereinheitlicht und systematisiert wurde. Dies vereinfacht die Geschäftskontrolle im NDB und in den Kantonen. Die Liste der Aufträge an das Staatsschutzorgan eines Kantons steht auch dem zuständigen Kontrollorgan des jeweiligen Kantons zur Verfügung. Anhand dieser Liste kann das kantonale Kontrollorgan beispielsweise Einsicht in ISIS-Akten verlangen, die der kantonale Staatsschutz in Erfüllung eines Auftrags des NDB erstellt hat (vgl. Art. 35a V-NDB).

4.3.6 Überprüfung der Ressourcenaufteilung bei der Bearbeitung von ISIS-Daten

Die Empfehlung 3 des ISIS-Berichts verlangte vom NDB, seine personellen Ressourcen so auf die verschiedenen Aufgaben der ISIS-Datenbearbeitung zu verteilen, dass nur so viele Informationen Eingang in ISIS finden, wie auch bei der Erfassung tatsächlich auf ihre Staatsschutzrelevanz geprüft und gemäss den gesetzlichen Vor-gaben auch regelmässig beurteilt werden können. Um den Einsatz der Personalressourcen im NDB neu zu bestimmen, sollte der Dienst eine eigene Projektorganisation ins Leben rufen.

Im Frühjahr 2012 hat das VBS dem NDB ab 2013 drei zusätzliche Stellen in der Qualitätssicherung bewilligt (vgl. Ziff. 4.3.3). Sie ersetzen die Stellen, die seit dem Jahr 2010 auf temporärer Basis für den Abbau der Pendenzen in der Qualitätskontrolle zur Verfügung standen. Der NDB änderte auch das Organigramm und die Zuständigkeiten in den Bereichen, die für die Datenbearbeitung in ISIS zuständig sind. Seit dem Frühjahr 2012 sind die Personen, deren Aufgabe die Datenerfassung in ISIS ist, und die Personen, welche die Qualität dieser Daten prüfen, nicht mehr einem direkten, gemeinsamen Vorgesetzten unterstellt. Neu erfolgte auch eine Spezialisierung im Bereich der Datenerfassung, indem die Aufgaben der Datentriage und der nachträglichen Eingabe in ISIS unterschiedlichen Personen übertragen wurden.

Bei seiner Überprüfung der Zuteilung der Personalressourcen beschränkte sich der NDB auf die Abteilung Informationsmanagement. Eine übergeordnete Sicht des Ressourcenbedarfs, beispielsweise unter Einbezug der Abteilung Auswertung, die letztlich die ISIS-Daten für ihre Lageanalysen verwenden, erfolgte jedoch nicht.

Hingegen hat der NDB bereits im Sommer 2010 eine externe Beratungsfirma damit beauftragt, die Arbeitsprozesse der Abteilung Informationsmanagement zu analysieren. Die Abklärungen wurden im Februar 2011 mit einem 60-seitigen Bericht abgeschlossen.

Die Studie rechnete dem NDB vor, welche personellen Kapazitäten notwendig wären, um die Pendenzen in der Qualitätssicherung bis Ende 2012 zu erledigen. Der Bericht analysierte auch die grundlegenden Zusammenhänge innerhalb der Arbeitsprozesse rund um die Daten von ISIS und entwickelte daraus verschiedene Verbesserungsansätze. Die Vorschläge stellten jedoch das Geschäftsmodell, das der NDB vom früheren Inlandnachrichtendienst für den Betrieb von ISIS übernommen hatte, nicht grundsätzlich in Frage.

Hingegen unterzog die externe Firma im Auftrag des NDB den Inspektionsbericht der GPDel zu ISIS einer kritischen Würdigung und gab Empfehlungen ab, die der Stellungnahme des Bundesrates zum GPDel-Bericht widersprachen.

Greifbare Folgen für die Datenbearbeitung im NDB hatte die Studie letztlich nur für die organisatorische Unterstellung der Qualitätssicherung und die personnelle Verteilung der Aufgaben unter dem Personal der Datenerfassung, die wie bereits erwähnt im Frühjahr 2012 geändert wurden.

4.3.7 Trennung von Staatsschutz- und Verwaltungsdaten

In der Empfehlung 6 des ISIS-Berichts empfahl die GPDel dem Bundesrat, sicherzustellen, dass nur staatsschutzrelevante Informationen und keine Verwaltungsdaten im System Staatsschutz (ISIS01) abgelegt werden. Damit wollte die GPDel in Zukunft verhindern, dass Personen, mit denen sich der NDB wie jede andere Bundesstelle aus administrativen Gründen befassen musste, in ISIS01 verzeichnet wurden. Auf diese Problematik war die GPDel gestossen, als sie selber Abfragen in ISIS vorgenommen hatte163.

Laut dem Bericht der GPDel gehörten die Daten solcher Personen in das System «ISIS02 Verwaltung». In ihrem Bericht ging die GPDel ausserdem davon aus, dass nur die ISIS01-Datenbank staatschutzrelevante Daten enthalten darf163.

Wie von der Empfehlung 6 verlangt, legt der NDB nun die zur Verwaltungstätigkeit gehörenden Daten nur noch in ISIS02 ab. Vollständig umgesetzt wird die Empfehlung aber erst sein, wenn auch alle Daten in ISIS01, die rein administrative Belange betreffen, nach ISIS02 migriert werden. Zurzeit führt der NDB ein eigentliches Geschäftsverwaltungssystem ein, das ISIS02 ersetzen und dessen Daten übernehmen wird.

Die Datenbearbeitung in ISIS02 wird seit dem 1. Juni 2011 durch eine Weisung des Direktors NDB geregelt. Diese Weisung sieht unter anderem vor, dass „Berichte, welche einen in der Datenbank Staatsschutz dokumentierten Verdacht entkräften, zusammen mit dem verdachtsbegründenden Bericht in der [Datenbank] Verwaltung erfasst“165 werden, wenn der NDB sie aus der Staatsschutzdatenbank löscht. Dies ist der Fall, wenn die Qualitätskontrolle ergibt, dass über die betreffende Person ein entlastender Bericht vorliegt.

Wenn aber eine Information nicht mehr staatsschutzrelevant ist, dann muss sie gemäss Artikel 15 Absatz 1 BWIS gelöscht werden. Somit stellt sich die Frage, ob Informationen, die in ISIS01 gelöscht werden müssen, zuvor als Kopien in ISIS02 abgelegt werden dürfen. Im Jahr 2013 wird sich die GPDel mit dieser Problematik weiter befassen.

4.3.8 Keine Erfassung von Daten ohne Beurteilung ihrer Relevanz

Laut Empfehlung 8 des ISIS-Berichts sollte der Bundesrat das Ausführungsrecht so präzisieren, dass vor der Erfassung von neuen Informationen in ISIS zwingend eine Beurteilung verlangt wird, ob diese Informationen die Staatsschutzrelevanz der sie betreffenden Personen bestätigt oder verneint. Am 9. Dezember 2011 erfüllte der Bundesrat diese Forderungen, indem er Artikel 29 Absatz 2 ISV-NDB fast wortgetreu mit dieser Vorschrift ergänzte.

Die Anhäufung vieler irrelevanter Informationen in ISIS war nicht zuletzt die Folge von unzweckmässigen Richtlinien für die Datenerfassung. So wurde eine Drittperson automatisch staatsschutzrelevant, wenn über sie drei oder mehr Meldungen in ISIS Eingang gefunden hatten166. Ein ähnlicher Automatismus lag auch den Richtlinien zur «Abgestuften Erfassung von gewaltorientierten Aktivisten» zugrunde167.

Die GPDel beurteilte diese Mechanismen als einen letztlich untauglichen Versuch, die Erheblichkeit einer Information zu bestimmen, ohne dass sich die Mitarbeitenden des Nachrichtendienstes bei der Dateneingabe mit der eigentlichen Bedeutung der bearbeiteten Information auseinandersetzen mussten. Folglich verlangte die GPDel in Empfehlung 9, alle derartigen Regeln aufzuheben und die Richtlinien für die Datenerfassung in ISIS zu überarbeiten.

Die unzweckmässigen Erfassungsregeln wurden aufgrund der vorgängigen Kritik168 der ND-Aufsicht bereits im Frühjahr 2010 aufgehoben. Bis im Sommer 2011 hat der NDB verschiedene neue Weisungen und eine Liste von erläuternden Fallbeispielen (Kasuistik) für die Datenerfassung in ISIS produziert. Die ISIS-Erfassungsrichtlinien, die noch 225 Seiten umfassen, wurden im April 2012 teilweise überarbeitet. Laut der ND-Aufsicht, welche die Handhabung der neuen Vorschriften vor Ort überprüft, bedingt die neue Erfassungspraxis ein umfangreiches Fachwissen und muss noch in der Praxis gefestigt werden.

4.3.9 Auskunftsrecht

In ihrer Empfehlung 11 hatte die GPDel dem Bundesrat vorgeschlagen, das indirekte Einsichtsrecht im bisherigen Artikel 18 BWIS durch ein aufgeschobenes Auskunftsrecht nach den Modalitäten von Artikel 8 des Bundesgesetzes über die polizeilichen Informationssysteme (BPI)169 zu ersetzen. In der BWIS-II-Zusatzbotschaft170 vom 27. Oktober 2010 schlug der Bundesrat eine für die Gesuchsteller noch weitergehende Regelung vor, nämlich das Auskunftsrecht nach Artikel 8 und 9 DSG.

Nachdem der Ständerat in der Sommersession 2011 dem Bundesrat gefolgt war, wollte der Nationalrat in der Herbstsession an der bisherigen Form des Auskunftsrechts festhalten. Als der Ständerat als Kompromiss ein Auskunftsrecht nach Artikel 8 BPI vorschlug, entschied sich in der Wintersession auch der Nationalrat auf Antrag seiner Rechtskommission für diese Lösung. Damit wurde die Empfehlung 11 der GPDel vollumfänglich umgesetzt.

Im ISIS-Bericht erwähnte die GPDel einen unpublizierten Entscheid des BVGer vom 18. März 2009, der die Unterstellung der Geschäftsverwaltungsdatenbank ISIS02 unter das direkte Auskunftsrecht von Artikel 8 und 9 DSG verlangte171. Ausgehend von diesem Gerichtsurteil, dessen Anwendung weiterhin ausstand, schlug die Delegation in Empfehlung 10 dem Bundesrat vor, mit Ausnahme der Staatsschutzdatenbank ISIS01 auf alle anderen ISIS-Datenbanken das direkte Auskunftsrecht anzuwenden.

Der Bundesrat erklärte sich bereit, Empfehlung 10 zu prüfen172. Allerdings würde dies erst bei der Redaktion der Bestimmungen über die zukünftigen Informationssysteme des NDB für das zukünftige Nachrichtendienstgesetz erfolgen.

Im April 2012 erfuhr die GPDel von der ND-Aufsicht, dass der NDB aufgrund des BVGer-Urteils vom 18. März 2009 begonnen hatte, das direkte Auskunftsrecht auf ISIS02 anzuwenden. Diese Aussage wurde anlässlich der Aussprache der Delegation mit dem EDÖB vom 26. Juni 2012 bestätigt.

Am 16. Juli 2012 sind die revidierten Bestimmungen von Artikel 18 BWIS in Kraft getreten. Aus diesen Bestimmungen lässt sich nun ein direktes Einsichtsrecht für ISIS02 herleiten. Für Verwaltungsdaten kann nämlich kein Geheimhaltungsinteresse, das beispielsweise für die Daten in ISIS01 in Betracht kommt, gelten. Somit muss der NDB über Daten in ISIS02 nach dem allgemeinen Datenschutzrecht Auskunft erteilen. Die Auskunft kann auch für den Fall nicht aufgeschoben werden, dass über die gesuchstellende Person in ISIS02 keine Daten verzeichnet sind. Mit der BWIS-II-Revision wurde somit bereits das wichtigste Anliegen der Empfehlung 10 umgesetzt.

4.3.10 Aufstockung der ND-Aufsicht

Die eidgenössischen Räte stimmten am 3. Oktober 2008 dem neuen Bundesgesetz über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes (ZNDG) zu, das von der GPDel aufgrund der Pa. Iv. Hofmann (07.404) erarbeitet worden war. Am 10. Oktober 2008 machte die GPDel den Bundesrat schriftlich darauf aufmerksam, dass Artikel 8 ZNDG vom ihm verlange, neben der Tätigkeit des Inlandnachrichtendienstes neu auch die des Auslandnachrichtendienstes einer Verwaltungskontrolle zu unterstellen. Noch im Jahr 2008 hatte der Bundesrat die Schaffung einer solchen Kontrolle über den Auslandnachrichtendienst abgelehnt, welche die GPDel in ihrem zweiten ONYX-Bericht vom 9. November 2007 gefordert hatte173.

In ihrem Schreiben vom 10. Oktober 2008 bat die GPDel den Bundesrat, ihr noch vor Ende des Jahres 2008 darzulegen, mit welchen personellen Ressourcen er diese Aufsichtsaufgabe nach der Überführung des Inlandnachrichtendienstes vom EJPD ins VBS auf Anfang 2009 wahrnehmen wolle. Mit Schreiben vom 12. Dezember 2008 teilte der Bundesrat der GPDel mit, dass ab Anfang 2009 zwei Mitarbeiter aus dem Inspektorat EJPD ins VBS wechseln und dort die Kontrolle über den Inlandnachrichtendienst weiterführen würden. Wenn nach Inkrafttreten des ZNDG die Verwaltungskontrolle auch auf den Auslandnachrichtendienst ausgedehnt werden würde, wollte der Bundesrat dafür zwei weitere Stellen zur Verfügung stellen.

Der Bundesrat setzte das ZNDG auf den 1. Januar 2010 in Kraft. Anlässlich der Anhörung der ND-Aufsicht im März 2010 eruierte die GPDel einen Bestand von drei Personen; der Entscheid für die Besetzung einer vierten Stelle war noch ausstehend. Da ihre ISIS-Inspektion die Notwendigkeit einer funktionsfähigen Verwaltungskontrolle erneut bestätigt hatte, wollte die GPDel mit Empfehlung 15 das VBS dazu bewegen, den Bestand der ND-Aufsicht auf die vom Bundesrat zugesagte Zahl aufzustocken. Die ND-Aufsicht konnte ihre vierte Stelle im April 2011 besetzen. Damit war Empfehlung 15 der GPDel erfüllt.

Im Januar 2012 erhielt die GPDel von zwei Mitarbeitern der ND-Aufsicht eine Aufsichtseingabe. Dieser gab die Delegation jedoch keine Folge, weil das BVGer die Angelegenheit bereits im Rahmen eines gerichtlichen Verfahrens zu Ungunsten der beiden Aufsichtseingeber beurteilt hatte.

Die GPDel wurde im Februar 2012 darüber informiert, dass das VBS die beiden Mitarbeiter von ihren Aufgaben in der ND-Aufsicht freigestellt hatte. Als die GPDel im April 2012 ihre jährliche Aussprache mit dem Leiter der ND-Aufsicht führte, erfuhr sie, dass der Chef VBS bereits einen zusätzlichen Mitarbeiter auf zeitlich befristeter Basis der ND-Aufsicht zur Verfügung gestellt hatte. Ein weiterer Mitarbeiter konnte im darauf folgenden Monat angestellt werden.

4.3.11 Pendenzen für das Nachfolgesystem von ISIS-NT

Zu jeder registrierten Person existiert in ISIS ein Datenfeld, das den Zeitpunkt festhält, an welchem die letzte Gesamtbeurteilung der Daten dieser Person erfolgte. Im Verlauf ihrer ISIS-Untersuchung stiess die GPDel jedoch auf eingetragene Kontrollen, die gar nie stattgefunden haben konnten. Es stellte sich heraus, dass das Datum dieser fingierten Kontrolle nachträglich in ISIS eingefügt worden war. Aufgrund solcher fiktiven Daten wurde die Zeitspanne bis zur nächsten Überprüfung vorschriftswidrig verlängert. Mit der rechtswidrigen Verlängerung der Fristen sollte verhindert werden, dass die Arbeitserledigung der Qualitätssicherung noch mehr in den Rückstand geriet.

Um in Zukunft solche Manipulationen zu verhindern, verlangte die GPDel in Empfehlung 14, dass das Datum jeder Gesamtbeurteilung, die zu einer registrierten Person vorgenommen wurde, im System korrekt nachgewiesen werden kann. Der Bundesrat zeigte sich bereit, diese Empfehlung bei der Entwicklung des nächsten ISIS-Systems zu berücksichtigen.

Der Bundesrat sicherte auch zu, dass in Erfüllung der Empfehlung 16 des ISIS-Berichts nur Daten in ein zukünftiges ISIS-System migriert werden sollten, die allen gesetzlichen Qualitätsanforderungen genügten. Die Entwicklung eines solchen Informationssystems hatte der NDB im Februar 2010 beschlossen. Ursprünglich plante der NDB nicht nur, das System vor Ende 2012 zu realisieren, sondern wollte bis zu diesem Zeitpunkt darin auch alle Daten aus dem heutigen ISIS übernehmen. Diese Planung hat sich inzwischen als unrealistisch erwiesen.

Dank dem Abbau der Pendenzen in der Qualitätssicherung darf der aktuelle ISIS-Datenbestand als rechtskonform gelten. Gleichzeitig machen die Verzögerungen in der Informatikplanung des NDB die Empfehlung 16 gegenstandslos. Um die Umsetzung der Empfehlung 14 zu kontrollieren, wird sich die GPDel im kommenden Jahr noch mit den Detailspezifikationen des zukünftigen Systems befassen.

In Empfehlung 17 verlangte die GPDel vom VBS einen Bericht, der die aktuellen und zu erwartenden technischen Möglichkeiten darlegen sollte, wie elektronische Daten personenbezogen erschlossen werden können. Aus dem Bericht sollte letztlich erkennbar sein, welche rechtlichen Grenzen das BWIS den technischen Möglichkeiten für die personenbezogene Erschliessung von Informationen setzen würde. Der Bericht sollte verwaltungsextern und gestützt auf den aktuellen akademischen Wissensstand erstellt werden.

Für die Studie beauftragte der NDB am 18. August 2011 die gleiche Firma, die bereits im Februar 2011 den Bericht über die Prozesse im Informationsmanagement geliefert hatte (vgl. Ziff. 4.3.6). Nachdem Ende 2011 der vertraglich festgelegte Abschlusstermin verstrichen war, bat die GPDel um eine Kopie der Studie. Dem entgegnete der Direktor des NDB im Februar 2012, dass sich der vorliegende Entwurf zu sehr auf die technischen Möglichkeiten der heutigen Informationssysteme des NDB beschränkt habe. Der NDB habe deshalb eine Überarbeitung in Auftrag gegeben, um auch die neuesten technischen Entwicklungen berücksichtigen zu können.

Diese Vorgehensweise war nicht weiter erstaunlich, hatte doch der Auftrag des NDB in erster Linie eine Analyse der ‚heutigen Systeme‘ verlangt und war bezüglich der Analyse von neuen technischen Möglichkeiten sehr vage geblieben. Als die GPDel im Juni 2012 die endgültige Version der Studie zur Kenntnis nahm, war der Nutzen, den der NDB aus diesem 30-seitigen Bericht ziehen konnte, nicht konkret ersichtlich. In der Studie fehlt zudem eine fundierte rechtliche Analyse, wie der Begriff ‚personenbezogene Erschliessung‘ interpretiert werden kann und welche Konsequenzen diese Auslegung für die technischen Möglichkeiten, Personendaten zu speichern und abzurufen, haben könnte. Damit verpasste der NDB eine Chance, Erkenntnisse für die Ausgestaltung des neuen Nachrichtendienstgesetzes zu gewinnen.

4.4 Pilotversuch mit dem Informationssystem äussere Sicherheit ISAS

Bei der Erarbeitung des ZNDG im Rahmen der Pa. Iv. Hofmann (07.404) hatte die GPDel die Bestimmungen von Artikel 99 MG über die Datenbearbeitung unverändert in Artikel 5 ZNDG übernommen. Mit der Annahme dieses Artikels stellte das Parlament die Kontinuität der gesetzlichen Grundlagen für die Bearbeitung der Informationen aus der Auslandbeschaffung auch unter dem reorganisierten zivilen Nachrichtendienst sicher.

Vor der Schaffung des NDB betrieb der Auslandnachrichtendienst bereits zwei Datensammlungen zu den Bereichen Terrorismus und Proliferation. Aufgrund der damit gemachten Erfahrungen wurde ab 2007 ein Nachfolgesystem entwickelt, das im zweiten Semester 2009 erstmals als lauffähige Version vorlag174. Dieses System nahm der NDB unter der Bezeichnung ISAS (Informationssystem äussere Sicherheit) im Juni 2010 in Betrieb. Zugleich übernahm ISAS die Daten über Proliferation und Terrorismus aus den bisherigen Datensammlungen.

ISAS ist ein unerlässliches Arbeitsinstrument für die tägliche Arbeit des NDB. Im Verlauf des Jahres 2012 erreichte die Zahl der in ISAS bearbeiteten Personen den gleichen Stand wie die vergleichbare Zahl von Personen und Drittpersonen in ISIS. In ISAS registriert der NDB ausserdem auch Informationen, die gestützt auf das BWIS beschafft wurden. Nach Interpretation des BJ und der GPDel verlangt jedoch Artikel 6 ZNDG, dass solche Informationen ausschliesslich in ISIS abgelegt werden175. Diese Meinung teilt auch die ND-Aufsicht, die der Vorsteher des VBS auf Antrag der GPDel (Brief vom 25.1.2011) damit beauftragt hatte, die Datenerfassung in ISAS zu überprüfen. Der NDB will jedoch an seiner nicht rechtmässigen Praxis «im Sinne einer Übergangslösung»176 festhalten, bis ein neues Informatiksystem (IASA NDB, Informations- und Analyse System All Source NDB und Auswertungstool) die heutigen Systeme ISAS und ISIS auf eine einheitliche technologische Basis stellen wird. Die Realisierung dieses Systems, das der NDB ursprünglich auf Ende 2012 in Betrieb nehmen wollte, hat sich jedoch laufend verzögert.

Deshalb stellte die GPDel im Juni 2012 gegenüber dem Vorsteher des VBS fest, dass «der NDB seit der Inbetriebnahme von ISAS im Juni 2010 wissentlich die Bestimmungen von Art. 6 ZNDG [missachtet]»177. Auch wenn es sich nach Ansicht des NDB nur um eine Übergangslösung handeln sollte, betrachte die GPDel diesen nicht rechtskonformen Zustand als problematisch. Zudem dauere dieser Zustand nun seit zwei Jahren an, ohne dass angesichts der Verzögerungen im Terminplan des Projekts IASA ein Ende absehbar sei. In seinem Antwortschreiben vom 3. Juli 2012 erhielt die GPDel vom Vorsteher des VBS die Zusicherung, dass er die Frage der Ablage von BWIS-Daten in ISAS einer abschliessenden Regelung zuführen werde, nachdem die ND-Aufsicht ihre Nachfolgeprüfung gemäss Inspektionsprogramm 2012 abgeschlossen habe.

Der NDB betreibt die ISAS-Datenbank nicht gestützt auf den Artikel 5 ZNDG, den die GPDel bei der Erarbeitung des ZNDG als Rechtsgrundlage für die Bearbeitung von Daten aus der Informationsbeschaffung über das Ausland vorgesehen hatte, sondern als befristeten Pilotversuch nach Artikel 17a DSG. Diese Wahl hatte das VBS im Herbst 2009 bei der Ausarbeitung der Verordnungen zum ZNDG getroffen. Mit der Annahme von Artikel 17 Abs. 1 ISV-NDB billigte der Bundesrat dieses Vorgehen.

Pilotversuche nach Artikel 17a DSG sind eigentlich dafür gedacht, praktische Erfahrungen zu gewinnen, um die notwendigen gesetzlichen Grundlagen für ein zukünftiges Informationssystem erarbeiten zu können. Erst nach dem Erlass dieser gesetzlichen Grundlagen sollte dann der produktive Einsatz des neuen Systems folgen.

Weil die gesetzlichen Grundlagen für ein Informationssystem fehlen, unterliegt ein solcher Versuch verschiedenen Auflagen, um die damit verbundenen Persönlichkeitsverletzungen auf das notwendige Minimum zu beschränken. Als Erschwernis stellte sich der Umstand heraus, dass der NDB alle Daten aus den bisherigen Datenbanken für den Pilotversuch in ISAS übernommen hatte, um sie allen Mitarbeitenden der Abteilung Auswertung zugänglich zu machen178.

Spätestens zwei Jahre nach Beginn des Pilotversuchs, muss der Bundesrat aufgrund eines Evaluationsberichts über dessen Fortführung entscheiden. Der Pilotversuch selber darf höchstens fünf Jahre andauern. Falls bis dahin keine formelle gesetzliche Grundlage geschaffen würde, müsste der Betrieb von ISAS als Pilotversuch eingestellt werden.

Als Pilotversuch nach Artikel 17 a DSG ist der Betrieb von ISAS somit zeitlich limitiert und unterliegt strengen Auflagen bezüglich der Daten, die damit bearbeitet werden dürfen. Bereits vor Beginn des Versuchs war es fraglich, ob der NDB diese Vorgaben einhalten könnte. Deshalb empfahl die GPDel am 24. April 2010 dem Vorsteher des VBS, abzuklären, ob ISAS anstatt auf der Grundlage von Artikel 17a DSG gestützt auf Artikel 5 ZNDG betrieben werden könnte179, hatte doch der Gesetzgeber diesen Artikel für die Bearbeitung von Informationen vorgesehen, die der NDB über das Ausland beschafft. Wie aus dem Antwortschreiben vom 12. Mai 2012 hervorging, liess der Vorsteher des VBS diese Frage jedoch nicht näher überprüfen.

Nachdem der NDB im Februar 2011 dem EDÖB einen ersten Zwischenbericht zum Pilotversuch ISAS abgeliefert hatte, legte das VBS am 8. Juni 2012 dem Bundesrat den nach Artikel 17a Absatz 4 DSG vorgeschriebenen Evaluationsbericht zur Genehmigung vor. Der Bundesrat nahm den Bericht und die Empfehlung, den Pilotversuch weiterzuführen, an.

Der Evaluationsbericht beurteilte die Systemarchitektur von ISAS als technisch fortschrittlich und stellte fest, dass das System den Mitarbeitern des NDB eine flexible und integrierte Analysetätigkeit auf den erfassten Daten erlauben würde. Mängel würden bei den Schnittstellen zu anderen Systemen und bei der Generierung von Statistiken für die Aufsichtsorgane verzeichnet. Ausserdem müsste die Systemstabilität durch den Einbezug weiterer Benutzerbereiche getestet werden. Erkenntnisse für die Ausgestaltung der zukünftigen Gesetzesbestimmungen, die das Informationssystem in seiner endgültigen Konfiguration regeln sollten, enthielt der Bericht keine.

Am 26. Juni 2012 besprach die GPDel den Evaluationsbericht mit dem EDÖB. Dieser war grundsätzlich mit der Weiterführung des Pilotbetriebs einverstanden, sofern der NDB darauf verzichten würde, die Anzahl der Zugangsberechtigten zu erhöhen. Aus Sicht des EDÖB würde ein solcher Schritt letztlich ISAS vom Pilotbetrieb in den Normalbetrieb überführen.

Der NDB hatte geltend gemacht, dass es in Zukunft notwendig sein könnte, Mitarbeiter der kantonalen Staatsschutzorgane in den Versuch einzubeziehen. Laut dem EDÖB müsste der NDB eine Beteiligung weiterer Personen am Versuch begründen. Gestützt darauf würde der EDÖB dem Bundesrat eine Empfehlung abgeben, ob er den Antrag des NDB unterstützt oder nicht.

Der Evaluationsbericht skizzierte auch das Vorgehen, nach welchem das VBS die gesetzlichen Grundlagen für ISAS schaffen wollte. Das ZNDG sollte revidiert werden, um den bisherigen Artikel 5 zu ersetzen. Es war geplant, dass der Bundesrat die Botschaft noch vor Ende 2012 verabschieden würde.

144 Pa.Iv. GPK-S «Präzisierung der Informationsrechte der Aufsichtskommissionen» vom 26. Febr. 2011 (10.404)

145 Präzisierung der Informationsrechte der Aufsichtskommissionen, Bericht der GPK-S vom 3. Dez. 2010 (BBl 2011 1817)

146 Vorkommnisse im EMD, Bericht der PUK EMD vom 17. Nov. 1990 (BBl 1990 1293, 1578)

147 Datenbearbeitung im Staatsschutzinformationssystem ISIS, Bericht der GPDel vom 21. Juni 2010 (BBl 2010 7665)

148 Vor dem Jahr 2010 stand ISIS für „informatisiertes Staatschutzinformationssystem“, danach bedeutete die Abkürzung „Informationssystem Innere Sicherheit“.

149 Jahresbericht 2011 der GPK und GPDel der eidg. Räte vom 27. Jan. 2011 (BBl 2012 6783, 6845)

150Ibid. (BBl 2012 6783, 6844)

151 Datenbearbeitung im Staatsschutzinformationssystem ISIS, Bericht der GPDel vom 21. Juni 2010 (BBl 2010 7665, 7713)

152Ibid. (BBl 2010 7665, 7730)

153 Jahresbericht 2011 der GPK und GPDel der eidg. Räte vom 27. Jan. 2011, Ziff. 4.3.3. (BBl 2012 6783, 6845)

154 Verordnung vom 4. Dez. 2009 über die Informationssysteme des Nachrichtendienstes des Bundes (ISV-NDB; SR 121.2)

155 Vgl. auch Berichterstattung der GPDel zum Geschäftsbericht des Bundesrates in der Sommersession 2012, AB S 2012 625

156 Jahresbericht 2011 der GPK und GPDel der eidg. Räte vom 27. Jan. 2011, Ziff. 4.3.2 (BBl 2012 6783, 6844)

157 Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)

158 Verordnung vom 6. Juni 2011 über das zentrale Visa-Informationssystem (VISV; SR 142.512)

159 Jahresbericht 2011 der GPK und GPDel der eidg. Räte vom 27. Jan. 2011, Ziff. 4.3.4 (BBl 2012 6783, 6848)

160 Verordnung vom 12. April 2006 über das Zentrale Migrationsinformationssystem (ZEMIS-Verordnung; SR 142.513)

161 Jahresbericht 2011 der GPK und GPDel der eidg. Räte vom 27. Jan. 2011, Ziff. 4.3.4 (BBl 2012 6783, 6847)

162 Datenbearbeitung im Staatsschutzinformationssystem ISIS, Bericht der GPDel vom 21. Juni 2010 (BBl 2010 7665, 7729)

163 Datenbearbeitung im Staatsschutzinformationssystem ISIS, Bericht der GPDel vom 21. Juni 2010 (BBl 2010 7665, 7679)

164Ibid. (BBl 2010 7665, 7713)

165 Weisung des Direktors NDB vom 1. Juni 2011, S.2

166 Datenbearbeitung im Staatsschutzinformationssystem ISIS, Bericht der GPDel vom 21. Juni 2010 (BBl 2010 7665, 7685)

167Ibid. (BBl 2010 7665, 7694)

168Ibid., Ziff 2.10 (BBl 2010 7665, 7698)

169 Bundesgesetz vom 13. Juni 2008 über die polizeilichen Informationssysteme des Bundes (BPI; SR 361)

170 Zusatzbotschaft zur Änderung des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (BWIS II reduziert) vom 27. Okt. 2010 (BBl 2010 7841)

171 Datenbearbeitung im Staatsschutzinformationssystem ISIS, Bericht der GPDel vom 21. Juni 2010 (BBl 2010 7665, 7713)

172 Datenbearbeitung im Staatsschutzinformationssystem ISIS, Stellungnahme des Bundesrates vom 20. Okt. 2010 zum Bericht der GPDel vom 21. Juni 2010 (BBl 2010 7739, 7754)

173 Rechtmässigkeit und Wirksamkeit des Funkaufklärungssystems «Onyx», Stellungnahme des Bundesrates vom 14. März 2008 zum Bericht der GPDel vom 9. Nov. 2007 (BBl 2008 2571, 2574)

174 Projekte ISDACO und IASA NDB, Prüfbericht der EFK vom 10. Aug. 2012 zuhanden der FinDel und GPDel, S. 10

175 Jahresbericht 2010 der GPK und GPDel der eidg. Räte vom 27. Jan. 2011, Ziff. 3.8.7 (BBl 2011 4045, 4123)

176 Inspektionsberichts Nr. 2 der ND-Aufsicht vom 12. März 2012, S. 36

177 Brief der GPDel an den Vorsteher VBS vom 11. Juni 2012

178 Jahresbericht 2010 der GPK und GPDel der eidg. Räte vom 27. Jan. 2011 (BBl 2011 4045, 4129)

179 Jahresbericht 2010 der GPK und GPDel der eidg. Räte vom 27. Jan. 2011 (BBl 2011 4045, 4130)

 

Webauftritt gestaltet mit YAML (CSS Framework), Contao 3.5.27 (Content Management System) und PHPList (Newsletter Engine)

Copyright © 2006-2024 by grundrechte.ch