«Jedes Jahr prüft die AB-ND eine Reihe von Datenbearbeitungen oder Informationssystemen.»
Die Beschaffung von Informationen zu den gesetzlich vorgegebenen Aufgaben ist eine der Kernaufgaben der Schweizer Nachrichtendienste. Diese Informationen müssen den zuständigen Mitarbeitenden zur Erfüllung ihrer dienstlichen Aufgaben zu einem möglichst frühen Zeitpunkt zur Verfügung gestellt werden. Die Informationen werden in Produkte der Nachrichtendienste eingearbeitet, die in- und ausländischen Sicherheitsbehörden, militärischen und politischen Entscheidungsträgern zur Verfügung gestellt werden. Zweck der Informationsbeschaffung ist die Beurteilung der aktuellen Bedrohungslage im Dienst der nationalen und internationalen Prävention und zuhanden der politischen Entscheidungsträger.
Informationen, die für die Aufgabenerfüllung der Nachrichtendienste nicht mehr benötigt werden und deren Aufbewahrungsfrist abgelaufen ist, werden dem Bundesarchiv zur Archivierung angeboten. Erachtet das Bundesarchiv diese als nicht archivwürdig, so müssen sie vernichtet werden.
Die Nachrichtendienste betreiben einen Verbund von Informationssystemen, in denen die Informationen oder Daten in ihrem ganzen Lebenszyklus – von der Beschaffung bis zur Löschung – bearbeitet werden. Die anwendbaren Gesetze enthalten eine Reihe von Vorschriften zur Datenhaltung. Da dieser Bereich für die Nachrichtendienste wichtig ist, hat die AB-ND in ihrem Prüfplan einen eigenen Prüfbereich dafür vorgesehen: die Datenbearbeitung und Archivierung. Jedes Jahr prüft die AB-ND eine Reihe von Datenbearbeitungen oder Informationssystemen. Der vorliegende Tätigkeitsbericht fokussiert angesichts der Wichtigkeit des Themas auf die Thematik der Informationssysteme.
Von der AB-ND bisher geprüfte Informationssysteme
Im NDB hat die AB-ND bereits folgende Informationssysteme geprüft:
[18-1] Übersicht über die Datenlandschaft NDB und Inhalt Restdatenspeicher
Zweck: Das Bundesgesetz über den Nachrichtendienst (Nachrichtendienstgesetz, NDG)1 führt in Art. 47 die Informationssysteme auf, welche der NDB betreibt. Auf Verordnungsebene2 werden die Informationssysteme weiter geregelt. Die AB-ND verschaffte sich mit dieser Prüfung eine Übersicht über alle Informationssysteme des NDB. Die Prüfung diente als Ausgangspunkt für weitere Prüfungen. Der Restdatenspeicher kann nach dem Gesetz Daten enthalten, die keinem anderen Informationssystem zugeordnet werden können. Deshalb untersuchte die AB-ND den Inhalt dieses Systems, um die Art der darin bearbeiteten Daten festzustellen.
Jahr / Quellenangabe: 2018 (TB 2018, Seite 13)
[19-15] Betrieb, Inhalt und Nutzung der Informationssysteme GEVER NDB3, BURAUT-Fileablage4, SiLAN-Fileablage (temporäre Auswertungen)
Zweck: Der NDB führte 2012 ein Geschäftsverwaltungssystem ein. Auf das System haben alle NDB-Mitarbeitenden Zugriff. Darin werden sowohl administrative als auch nachrichtendienstliche Daten bearbeitet. Angesichts der bearbeiteten Daten und der grossen Anzahl Zugriffsberechtigter wählte die AB-ND dieses System für eine erstmalige vertiefte Überprüfung eines Informationssystems aus.
Jahr / Quellenangabe: 2019 (TB 2019, Seite 23 ff.)
[20-16] Betrieb, Inhalt und Nutzung der Infosysteme IASA6
Zweck: IASA enthält die drei nachrichtendienstlichen Kern-Informationssysteme und ist das zentrale Arbeitsinstrument des NDB, deshalb wurde dieses System von der AB-ND geprüft.
Jahr / Quellenangabe: 2020 (TB 2020, Seite 23 ff.)
[21-17] Ausgewähltes Informationssystem des NDB (Quattro P)
Zweck: In diesem Informationssystem wird eine grosse Anzahl Reisebewegungen ausländischer Personen erfasst und bearbeitet. Die hohe Anzahl der mit diesem System bearbeiteten Personendaten und die Tatsache, dass Quattro P Daten für das Gesichtserkennungssystem des NDB genutzt werden, veranlasste die AB-ND dazu, das System zu prüfen.
Jahr / Quellenangabe: 2021 (TB 2021, Seite 22 ff.)
Die AB-ND prüfte beim MND folgende Informationssysteme:
[20-17] Informationssystemlandschaft MND (Berechtigungsmanagement)
Zweck: Die Prüfungsresultate dienten der AB-ND zum Verständnis und zur Planung weiterer Prüfungen.
Jahr / Quellenangabe: 2020 (Wurde im TB nicht speziell behandelt, Zusammenfassung auf der Website der AB-ND ersichtlich.)
[21-18] Datenschutz im MND
Zweck: Der MND bearbeitet Personendaten, wenn dies auch nicht der Hauptfokus seiner Tätigkeiten ist. Die AB-ND prüfte deshalb datenschutzrechtliche Aspekte seiner Tätigkeit in bestimmten Informationssystemen.
Jahr / Quellenangabe: 2021 (TB 2021, Seite 25 ff.)
Die AB-ND überprüfte beim ZEO folgende Informationssysteme:
[19-18] Informationssystemlandschaft ZEO
Zweck: Diese Prüfung verschaffte der AB-ND einen Überblick und diente als Ausgangspunkt für weitere Prüfungen. Es gibt keine eigene spezifische rechtliche Grundlage, welche die Informationssysteme des ZEO regelt. Die Grundlagen sind vielmehr in verschiedenen Gesetzen und Verordnungen zu finden.
Jahr / Quellenangabe: 2019 (TB 2019, Seite 27)
«Die für den NDB massgeblichen Rechtsgrundlagen für den Betrieb der Informationssysteme sind detaillierter und transparenter ausgestaltet als diejenigen für den MND oder das ZEO.»
Abgesehen von spezifisch auf Informationssysteme zugeschnittenen Prüfungen führte die AB-ND weitere Prüfungen im Bereich Datenbearbeitung/Archivierung durch. Seit Aufnahme ihrer Aufsichtstätigkeit waren dies neun zusätzliche Prüfungen. Die AB-ND befasste sich also seit Beginn ihrer Prüftätigkeit in sechzehn Prüfungen hauptsächlich mit Informationssystemen der Nachrichtendienste und der Datenbearbeitung in diesen Systemen. Im Folgenden werden die durch diese Prüftätigkeiten gewonnenen Erkenntnisse präsentiert.
1 SR 121
2 Verordnung über die Informations- und Speichersysteme des Nachrichtendienstes des Bundes (VIS-NDB; SR 121.2)
3 Geschäftsverwaltungssystem des NDB
4 Datenablage des NDB
5 Sicheres Netzwerk des NDB
6 Integrales Analysesystem des NDB
Welche Herausforderungen und Chancen sieht die AB-ND im Zusammenhang mit den geprüften Informationssystemen?
Rechtliche Grundlagen für nachrichtendienstliche Informationssysteme
Die rechtlichen Grundlagen für die Informationssysteme des NDB, des MND und des ZEO sind unterschiedlich ausgearbeitet. Die für den NDB massgeblichen Rechtsgrundlagen für den Betrieb der Informationssysteme sind detaillierter und transparenter ausgestaltet als diejenigen für den MND oder das ZEO. Diese klareren gesetzlichen Vorgaben erleichtern der AB-ND die Prüfung der Rechtmässigkeit der durch den NDB betriebenen Informationssysteme. Die AB-ND setzt sich denn auch dafür ein, dass die rechtlichen Grundlagen in Zukunft auch für den MND oder das ZEO deutlicher und differenzierter ausgestaltet werden.
Zugriff der AB-ND auf die nachrichtendienstlichen Informationssysteme
Die Prüfungsleitenden der AB-ND erhalten nur vom NDB direkten und zeitlich begrenzten Zugriff auf zu prüfende Informationssysteme. Zudem haben sie permanenten Zugriff auf das Geschäftsverwaltungssystem des NDB. Dies erleichtert die Prüfungshandlungen, da die benötigte Dokumentation von der AB-ND eigenständig beschafft werden kann. Schwieriger gestaltet sich dies beim MND und beim ZEO. Hier muss sich die AB-ND die Systeme vorführen lassen oder einen Zugriff vor Ort organisieren, was z. B. die selbstständige Bearbeitung von Stichproben in diesen Informationssystemen erschwert.
Empfehlungsadressaten und Umsetzbarkeit der Empfehlungen
Das ZEO und der MND sind relativ kleine Organisationseinheiten in der Armee. Ihr Spielraum für die spezifische Gestaltung von Informationssystemen nach ihren eigenen Bedürfnissen ist daher beschränkt. Für die AB-ND birgt dies Herausforderungen bei der Formulierung von umsetzbaren Empfehlungen, da diese nur die Nachrichtendienste selbst betreffen dürfen und nicht andere Teile der Armee. Allfällige Empfehlungen können aber in diesem Bereich praktisch nie nur den MND oder das ZEO betreffen, sondern haben häufig Schnittmengen zur ganzen Armee.
Schwerpunkte der AB‑ND bei der Prüfung von Informationssystemen
Zugriffsmanagement und Löschung der Daten – Informationssysteme des NDB
Bei den Prüfungen der Informationssysteme des NDB legt die AB-ND insbesondere Wert auf die Einhaltung der Datenaufbewahrungsfristen und ein recht- und zweckmässiges Zugriffsmanagement. Der NDB kennt für die Daten seiner Informationssysteme mehr als zehn verschiedene Aufbewahrungsfristen – von einem halben Jahr bis hin zu 45 Jahren. Die rechtmässige Einhaltung dieser Fristen wird meist durch automatische Löschprogramme sichergestellt. Die AB-ND überprüft die Löschung anhand von Stichproben in den Informationssystemen.
Das Zugriffsmanagement birgt grosse Herausforderungen für den NDB. Aus Informations- und Datenschutzgründen dürfen die Mitarbeitenden nur auf diejenigen Daten Zugriff haben, die sie für ihre Arbeit benötigen. Nach internen Wechseln, aber auch bei Ein- oder Austritten von Mitarbeitenden müssen die Berechtigungen jeweils zeitnah angepasst werden. Der NDB hat dafür Prozesse installiert, und die AB-ND überprüft die Zugriffsberechtigungen anhand von Stichproben aus den Informationssystemen. Zudem kann sie sich an den Arbeitsplätzen von Mitarbeitenden die Möglichkeiten für den Zugriff auf Informationssysteme zeigen lassen.
«Neue Technologien bergen jedoch nicht nur Risiken für die Sicherheit der Schweiz, sondern sie können die Arbeit der Nachrichtendienste auch positiv beeinflussen.»
Zeitliche Verzögerung bei der Bearbeitung von Informationen
Für die Nachrichtendienste ist es wichtig, dass beschaffte oder empfangene Informationen möglichst schnell in die dafür vorgesehenen Informationssysteme eingespeist werden. Aus Informationsschutzgründen werden die beschafften Daten manchmal zuerst in besonders geschützten temporären Ablagen gespeichert. Erst anschliessend werden sie in die Informationssysteme überführt, auf welche die Mitarbeitenden Zugriff zur Auswertung der Informationen und zur Weiterverwertung in Produkten haben. Zudem müssen die Informationen vor der Aufnahme in ein Informationssystem manchmal anonymisiert werden. Die AB-ND richtet deshalb genaues Augenmerk auf die Prüfung dieser Prozesse.
Zukünftige Entwicklungen
Die Nachrichtendienste müssen gesellschaftliche und technologische Veränderungen, die sich als negativ für die Sicherheit der Schweiz herausstellen, vorwegnehmen können. Neue Technologien bergen jedoch nicht nur Risiken für die Sicherheit der Schweiz, sondern sie können die Arbeit der Nachrichtendienste auch positiv beeinflussen. So hat eine systemübergreifende Suchmaschine des NDB die Arbeit der Mitarbeitenden seit ihrer Einführung vor sechs Jahren sehr erleichtert.
Alle drei Dienste beobachten technologische Entwicklungen und setzen diese für ihre nachrichtendienstlichen Tätigkeiten ein. Neu soll ein Gesichtserkennungssystem dem NDB ermöglichen, in seinen Systemen gespeicherte Bilder zusammenfassend zu Personen anzuzeigen (wir berichten darüber auf Seite 24 ff.). Der MND seinerseits fördert zunehmend die Analyse von Satellitenbildern. Und das ZEO setzt sich mit der Frage auseinander, wie die Überwachung des abnehmenden Funkverkehrs aufgrund neuer verwendeter Kommunikationsmittel durch andere technische Sensoren kompensiert werden kann.
Neue Datenhaltung: Auswirkungen auf das NDG
In Gesetzen, die sich mit Datenhaltung beschäftigen, wird meistens der Begriff «Informationssystem» verwendet. Das ist im NDG nicht anders. In Art. 47 NDG werden die verschiedenen Informationssysteme aufgeführt, die der NDB betreibt. Die Botschaft zum Gesetz führt aus, dass der NDB die von ihm beschafften oder bei ihm eingetroffenen Meldungen je nach Thematik, Quelle oder Sensibilität der Daten in einem Verbund von Informationssystemen ablegen soll.7
Die Verknüpfung des Begriffs «Informationssystem» mit den dafür vorgesehenen Bearbeitungszwecken der Daten auf gesetzlicher Ebene entspricht möglicherweise nicht mehr modernen Datenhaltungskonzepten. So verzichtet das neue Datenschutzgesetz denn auch auf den Begriff der «Datensammlung». Begründet wird dies damit, dass dank neuer Technologien Daten wie eine Datensammlung genutzt würden, auch wenn sie nicht zentral gespeichert seien.8
Die Revisionsvorlage zum NDG sieht vor, die Gesetzesbestimmungen zu den Informationssystemen des NDB anzupassen. Der Begriff «Information» soll durch den Begriff «Daten» ersetzt werden. Die Daten sollen gemäss den gesetzlichen Vorgaben kategorisiert werden können. Der Inhalt dieser Kategorien soll in etwa denjenigen der bisherigen Informationssysteme entsprechen, die das NDG beschreibt.
7 BBl.2014.2106
8 BBl.2017.7023
