Graf Maya · Ständerat · 2022-03-02
Graf Maya · Ständerat · Basel-Landschaft · Grüne Fraktion · 2022-03-02
Wortprotokoll
Gerne informiere ich Sie kurz über eine Auswahl von Geschäften, welche die GPDel im Jahr 2021 behandelt hat. Den gesamten Jahresbericht der GPDel finden Sie in Kapitel 5 des vorliegenden Jahresberichtes 2021 der GPK und der GPDel der eidgenössischen Räte.
Das erste Thema, über das ich Ihnen berichten darf, betrifft die Nachkontrolle der Inspektion im Fall Crypto AG. Wie Sie sich erinnern, verabschiedete die GPDel am 2. November 2020 ihren Inspektionsbericht zum Fall Crypto AG. Anlass für die Untersuchung waren Hinweise, wonach das Unternehmen im Auftrag der amerikanischen Nachrichtendienste Verschlüsselungsgeräte exportiert habe, die so konstruiert waren, dass die involvierten Dienste aufgrund ihres Vorwissens die Verschlüsselung der Geräte mit einem realistischen Aufwand brechen konnten.
Der Bundesrat nahm am 26. Mai 2021 fristgerecht Stellung zum Inspektionsbericht der GPDel. Der Bundesrat hat sich bereit erklärt, von den insgesamt zwölf Empfehlungen sechs vollständig und drei teilweise oder so weit als möglich umzusetzen. Inhaltlich diskutierte die GPDel die Stellungnahme des Bundesrates am 1. Juli 2021. Die GPDel hielt in ihrem Brief vom 25. August 2021 an den Bundesrat an ihrem Verständnis der Aufsichtspflicht der Exekutive über den NDB fest. Es ist zwar richtig, dass das VBS und der Bundesrat über die Involvierung des NDB in die amerikanischen Operationen vor 2019 nicht informiert waren. Aus Sicht der GPDel lassen sich jedoch die wenig wirksame Führung und Aufsicht des VBS und des Bundesrates bei der darauf folgenden Bewältigung des Falls Crypto AG nicht allein auf die ursprüngliche Informationszurückhaltung von Einzelpersonen im Nachrichtendienst zurückführen.
Der Bundesrat hat die verfassungsrechtliche Aufgabe, die Verwaltung zu leiten und zu beaufsichtigen. Als Mittel der Dienstaufsicht verfügen die Vorsteherinnen und Vorsteher der Departemente ihrerseits über uneingeschränkte Weisungs-, Kontroll- und Selbsteintrittsrechte. Daraus folgt aus Sicht der GPDel, dass der NDB nicht nur eine Bringschuld gegenüber der Vorsteherin des VBS hat, sondern die wirksame Aufsicht des Departements ebenfalls eine Holschuld gegenüber dem NDB beinhaltet.
Das zweite Geschäft, das ich Ihnen gerne näherbringen möchte, ist ein Dienststellenbesuch zum Thema Hacking und Kryptologie. Analog zum ersten Geschäft standen im Mittelpunkt des Dienststellenbesuchs vom 8. April 2021 das Zentrum Elektronische Operationen (ZEO) und die Kommunikationsaufklärung. Am Vormittag des 12. Mai 2021 liess sich die GPDel in den Örtlichkeiten von NDB und ZEO die Werkzeuge und Methoden für das Eindringen in fremde Computersysteme präsentieren.
Der Standort des Zielgerätes ist ausschlaggebend für die Frage, welcher Genehmigungsprozess zur Anwendung kommt. Befindet sich das Computersystem im Ausland, kann die Vorsteherin des VBS nach vorheriger Konsultation der Vorsteherin des EJPD und des Vorstehers des EDA über die Durchführung der Massnahmen entscheiden. Sobald sich das Gerät in der Schweiz befindet, bedarf es zusätzlich der vorgängigen Genehmigung durch das Bundesverwaltungsgericht. Je nach Beschaffungsziel kann diese Form der Informationsbeschaffung mit grossem Aufwand verbunden sein. Insbesondere das Eindringen in ausländische Computersysteme verlangt eine minutiöse und zeitintensive Vorbereitung.
Am Nachmittag des 12. Mai 2021 besuchte die GPDel dann den Geschäftsbereich Kryptologie des ZEO. Im Rahmen ihrer Inspektion zum Fall Crypto AG hatte die GPDel die Wichtigkeit der kryptografischen Sicherheit erkannt und dazu ja auch zwei Empfehlungen ausgesprochen. Anlässlich des Dienststellenbesuchs konnte sich die GPDel ein umfassendes Bild von den kryptografischen und kryptoanalytischen Fähigkeiten innerhalb des VBS machen. Anlässlich dieses Besuchs informierte der Leiter des ZEO die GPDel über die interne Organisation des ZEO und den ungedeckten Ressourcenbedarf sowie über die geplante Unterstellung unter das Kommando Cyber der Armee.
Nun möchte ich Ihnen noch Bericht zum Thema "Benachrichtigung nach dem Aufschub der Auskunft" erstatten. Hier geht es darum, dass Privatpersonen Auskünfte beim Nachrichtendienst verlangen. Artikel 63 Absatz 2 des Nachrichtendienstgesetzes erlaubt es dem NDB, die Auskunftserteilung so lange aufzuschieben, wie ein überwiegendes Geheimhaltungsinteresse es rechtfertigt. Der Aufschub kann jedoch nur so lange aufrechterhalten werden, wie der NDB die Daten zu einer Person überhaupt aufbewahren darf. Nach diesem Zeitpunkt muss der NDB der gesuchstellenden Person entweder Auskunft gemäss Artikel 8 des Datenschutzgesetzes erteilen oder die Auskunft nach Artikel 9 des Datenschutzgesetzes einschränken oder vollständig verweigern. Spätestens dann müssen die betreffenden Personen aber erfahren, ob sie überhaupt beim NDB verzeichnet waren.
Eine solche nachträgliche Auskunftserteilung war auch Gegenstand einer Aufsichtseingabe an die GPDel. Im April 2021 wandte sich ein Gesuchsteller an die GPDel, nachdem der NDB, gestützt auf Artikel 63 Absatz 2 NDG, die Auskunft auf sein Gesuch hin auf unbefristete Zeit aufgeschoben hatte. Gleichzeitig verlangte der Gesuchsteller vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) eine Überprüfung dieses Aufschubs. Die Prüfung durch den Edöb erfolgte im Mai 2021 in den Räumlichkeiten des NDB und führte zu keinen Beanstandungen. Konform mit Artikel 63 Absatz 3 informierte der Edöb Anfang Juni den Gesuchsteller über die Durchführung der Kontrolle, aber natürlich nicht über deren Ergebnis.
Im Juni 2021 edierte die GPDel alle Daten, die der NDB über den Gesuchsteller bearbeitete, als dieser im Februar 2020 sein Auskunftsgesuch stellte, und holte weitere Auskünfte ein. Ende August 2021 kam die GPDel zum Schluss, dass die Aufbewahrungsdauer der Daten über den Gesuchsteller bereits abgelaufen war, als der NDB im April 2021 den Aufschub der Auskunft bekannt gegeben hatte. Entweder wurde die maximal erlaubte Dauer für die Speicherung dieser Daten im System bereits überschritten, oder der NDB hätte diese Informationen löschen müssen, nachdem die Qualitätskontrolle bereits im April 2020 entschieden hatte, dass die Daten über den Gesuchsteller für die Erfüllung des Auftrags des NDB nicht mehr benötigt wurden. Nach der Beurteilung der GPDel war der NDB somit verpflichtet, den Aufschub zu beenden [PAGE 43] und Auskünfte nach den Modalitäten des Datenschutzgesetzes zu erteilen.
Wir baten die Vorsteherin des VBS mit Schreiben vom 7.[NB]September 2021, dafür zu sorgen, dass der NDB dem Gesuchsteller vollständig Auskunft erteilt oder - beim Vorliegen überwiegender Geheimhaltungsinteressen - eine anfechtbare Verfügung nach Artikel 9 des Datenschutzgesetzes erlässt. Am 12. Oktober schrieb dann die Vorsteherin des VBS der GPDel, der NDB werde dem Anliegen der GPDel nachkommen. Es ging nicht nur um dieses einzelne Gesuch. Wir haben in den letzten Jahren bei verschiedenen Gesuchen genauer angeschaut, wie sie vom NDB behandelt wurden.
Zum Schluss möchte ich Sie gerne noch über ein aktuelles Geschäft informieren, das zurzeit in der GPDel behandelt wird. Es geht um die Vorkommnisse im Ressort Cyber des NDB. Die GPDel befasst sich seit August letzten Jahres mit dem rechtlich problematischen Geschäftsmodell des Ressorts Cyber im NDB. Dazu führte die GPDel im Oktober 2021 eine Aussprache mit der Chefin VBS durch, bevor sie im Dezember 2021 ein Rechtsgutachten, das eine Anwaltskanzlei für den NDB erstellt hatte, sowie den Schlussbericht einer internen Untersuchung durch den Dienst selbst behandelte.
Aus Sicht der GPDel lieferte die interne Untersuchung dem VBS genügend Erkenntnisse, um entscheiden zu können, wie die Cyberaufgaben innerhalb des NDB zukünftig organisiert und geführt werden sollen. Die Informationen erlaubten auch eine Beurteilung darüber, wie sich das Ressort Cyber zu einem - so kann man es bezeichnen - "Nachrichtendienst im Nachrichtendienst" entwickeln konnte und wer dafür die Verantwortung trug. Bis Mitte Januar 2022 wollte die GPDel deshalb von der Chefin VBS wissen, was sie nach Abschluss der internen Untersuchung unternehmen wolle, um ihre politische Verantwortung wahrzunehmen.
Am 20. Januar informierte das VBS die GPDel, dass das VBS inzwischen eine externe Administrativuntersuchung beschlossen habe und weiterhin eine Strafanzeige prüfe. Gleichzeitig wollte das VBS von der GPDel bis spätestens Ende Januar wissen, ob die Delegation selbst eine Inspektion in dieser Sache eröffnen werde. Bevor die GPDel das Ansinnen des VBS an ihrer Sitzung vom 26. Januar 2022 besprechen konnte, entschied das VBS jedoch nach Information des Bundesrates, mit seiner Beurteilung der Vorkommnisse im Ressort Cyber des NDB an die Öffentlichkeit zu gelangen. Sie kennen diese Medienmitteilung. Angesichts des Interesses der Medien folgte die GPDel dann am Tag darauf mit einer eigenen Medienmitteilung, in welcher sie ihre eigenen Erkenntnisse und Beschlüsse bekannt gab. Im Rahmen ihrer begleitenden Oberaufsicht - wir werden selbst keine Inspektion einleiten - hörte die GPDel dann am 26. Januar und am 23. Februar 2022 weitere Personen an. Die GPDel fand dabei auch zunehmend Hinweise auf ungelöste Führungs- und Organisationsprobleme im NDB. Die Vorkommnisse im Bereich Cyber sind lediglich ein Symptom.
Das waren ein paar kurze Ausschnitte aus dem Bericht über unsere Arbeit. Ich danke für Ihre Aufmerksamkeit.