5. Aufsichts­tätigkeiten

Im Bereich «Strategie und Planung» werden Themen geprüft, welche die kurz-, mittel- und langfristige strategische Planung der nachrichtendienstlichen Behörden der Schweiz sowie deren Zielsetzungen betreffen. Folgende Prüfungen waren im Jahr 2021 für diesen Bereich geplant:

• 21-1 Einsatz von Mitarbeitenden des NDB in schweizerischen Vertretungen im Ausland (NDB)

Diese Prüfung war eine Folgeprüfung von «19-2 Nachrichtendienstliches Informationsmanagement zwischen Sensor ‹Verteidigungsattaché (VA)› und NDB» und diente unter anderem der Umsetzungskontrolle der Empfehlung. Deshalb berichten wir in Ziffer 5.4 «Controlling» über die Prüfung 21-1.

Im Bereich «Organisation» prüft die AB-ND, ob der Aufbau und die Prozesse der Dienste geeignet sind, deren gesetzlichen Auftrag rechtmässig, zweckmässig und wirksam zu erfüllen.

Im Jahr 2021 hat die AB-ND die Prüfung «20-3 Kompetenzen und Zuständigkeiten zwischen NDBA und MND» nachholend durchgeführt und wird in diesem Tätigkeitsbericht darüber berichten. Ausserdem waren gemäss Prüfplan 2021 folgende Prüfungen geplant:

• 21-2 Schutz kritischer Infrastrukturen/Cyberabwehr (NDB/ZEO)
• 21-3 Sicherheit im NDB (NDB)
• 21-4 Gewalttätiger Rechtsextremismus (NDB)

Die Prüfung «21-3 Sicherheit im NDB» wurde nicht durchgeführt.

[20-3] Kompetenzen und Zuständigkeiten zwischen NDBA und MND (NDB/MND)

In der Prüfung ging es hauptsächlich um die Frage, ob die Produkte des NDB und des MND genügend voneinander abgegrenzt sind. Zudem wurde untersucht, ob dort, wo sie sich überschneiden, Synergiepotenziale, etwa der gegenseitige Austausch des fachlichen Know-hows, in ausreichendem Mass genutzt werden. Die Prüfung war bereits für das Jahr 2020 vorgesehen, wurde dann aber aufgrund von Reorganisationen im Bereich der Auswertung NDB verschoben. Im September 2021 wurde die Prüfung neu gestartet. Die AB-ND nahm unter Einbezug der Grundaufträge und der Zusammenarbeitsvereinbarung zwischen NDB und MND umfangreiche Analysen der Produkte und der Zusammenarbeitsformen der geprüften Dienste vor. Es wurde festgestellt, dass es nur wenige Themen gibt, bei denen eine Überlappung von Interessengebieten in den Auswertungstätigkeiten von NDB und MND möglich ist.

Um Doppelspurigkeiten zu vermeiden, findet zwischen den jeweiligen Bereichen des NDB und MND ein regelmässiger, teils formalisierter Austausch statt. U. a. informieren sich die Dienste gegenseitig über ihre geplante Produktion und stellen ihre Produkte dem anderen Dienst zur Verfügung. Der Informationsaustausch spiegelt sich auch in den Produkten selbst wider, die sich bei der Bearbeitung gemeinsamer Interessengebiete eher ergänzen und nicht wiederholen. Oft finden sich Produkte, die, ausgehend von derselben Ausgangssituation, jeweils unterschiedliche Perspektiven vermitteln. Die AB-ND kam daher zum Schluss, dass die Abgrenzung zwischen den Auswertungsbereichen des NDB und des MND zweckmässig und wirksam ist.

[21-2] Schutz kritischer Infrastrukturen/Cyberabwehr (NDB/ZEO)

Im Lagebericht «Sicherheit Schweiz 2021» beschreibt der NDB die Vergrösserung der Angriffsfläche für Cyberangriffe. Ursache sei der von den Schutzmassnahmen gegen die Pandemie verstärkte Digitalisierungsdruck. Die zahlreichen Schweizer Unternehmen, die Zubehör und Dienstleistungen für die Betreiber kritischer Infrastrukturen im In- und Ausland anbieten, seien auch für Akteure mit staatlichem Hintergrund interessante Ziele. Klassische Cyberangriffe sowie Cyberspionage, Cybersabotage und Cyberterrorismus, die direkt auf kritische Infrastrukturen ausgerichtet sind, machen aus Sicht des NDB nur einen kleinen Teil der gesamthaft identifizierten Cyberbedrohungen aus. Kritische Infrastrukturen in der Schweiz waren aus Sicht des NDB bisher keine direkten Ziele für durchgeführte Sabotageakte. Dennoch gilt das Schadenspotenzial hier als am höchsten, da die entsprechenden Infrastrukturdienstleistungen wie Elektrizitätsversorgung oder Telekommunikationsdienste als zentral für das Funktionieren der Gesellschaft angesehen werden.

Aufgrund dieser unbestrittenen Risiken hat die AB-ND überprüft, ob die beiden Dienste NDB und ZEO über genügend qualitative und quantitative Kompetenzen und Kapazitäten verfügen, um die notwendigen Informationen zu beschaffen¹² und allfällige Angriffe auf kritische Infrastrukturen zu stören, zu verhindern oder zu verlangsamen.¹³

Das Ressort Cyber NDB, die Melde- und Analysestelle Informationssicherung (MELANI OIC¹⁴) und Teile der Armee sind die massgeblichen Akteure, die Cyberbedrohungen begegnen. Sie sind in einer interdepartementalen, komplexen Organisationsstruktur zum Schutz kritischer Infrastrukturen und zur Cyberabwehr eingebettet. Hauptaufgabe des NDB unter Einbezug des ZEO ist es, mit nachrichtendienstlichen Mitteln Cyberangriffe zu identifizieren und zuzuordnen. Darüber hinaus unterstützt er die Betreiber kritischer Infrastrukturen mit der Darstellung der aktuellen Cyberlage. Die Mittel des ZEO werden vom NDB zur technischen Analyse von Cyberbedrohungen herangezogen.

Operative und technische Analyse sind im NDB im Ressort Cyber zusammengefasst. Parallel dazu verfügt auch das ZEO im Bereich Cyber Network Operations (CNO) über eine Einheit Cyber Threat Intelligence (CTI), die sich mit der Cyberbedrohungsanalyse beschäftigt. Das Ressort Cyber im NDB sieht sich im Handlungsfeld Cyber dann gefordert, wenn es um sicherheitspolitisch relevante Vorfälle geht, die einem anderen Staat zuordenbar sind. Reine Aktivitäten von Cyberkriminellen zählen nicht zu seinem Aufgabenbereich.

Bei Genehmigung eines Antrags des NDB, gemäss Art. 37 Abs. 1 NDG gegen einen Angreifer vorzugehen, würde der NDB das ZEO mit der Durchführung des Gegenangriffs beauftragen, da der NDB selbst über keine Kräfte zur Durchführung einer Cyberattacke verfügt. Diese sind gemäss Strategie Cyber des VBS Aufgabe der Armee. Eine über das reine Auftraggeber-Auftragnehmer-Verhältnis hinausgehende Zusammenarbeitsform stellt das Joint Cyber Technical Analysis Center (JCTAC) dar. Hierbei handelt es sich nicht um eine neue Organisationseinheit, sondern um die Zusammenführung von Mitarbeitenden des NDB und des ZEO zur gemeinsamen technischen Analyse von Cyberbedrohungen.

Die Prüfung hat aufgezeigt, dass die Kompetenzen im NDB und im ZEO vorhanden sind und das Zusammenspiel zwischen den beiden Diensten funktioniert.

Einzelabklärung Cyber NDB

Die AB-ND hat seit Mai 2021 Kenntnis von Unregelmässigkeiten im Bereich Cyber NDB und verfolgte die daraus folgenden internen Abklärungen des NDB eng und stellte, wo nötig, Nachfragen. Im Grundsatz sind wir mit dem Vorgehen des NDB und des VBS einverstanden. Für uns ist die Klärung der strafrechtlichen Relevanz von hoher Wichtigkeit. Wir werden die weiteren Entwicklungen auch in Zukunft eng verfolgen und wo nötig Einfluss nehmen. In weitergehenden eigenen Abklärungen (z. B. einer Prüfung) sahen wir bis anhin keinen Mehrwert.

[21-4] Gewalttätiger Rechtsextremismus (NDB)

Der NDB ist für die Informationsbeschaffung und -bearbeitung zur frühzeitigen Erkennung und Verhinderung von Bedrohungen der inneren und äusseren Sicherheit der Schweiz zuständig. Dies gilt auch dann, wenn die Bedrohungen von gewalttätigem Extremismus (GEX) ausgehen.¹⁵

«Die Gratwanderung zwischen erlaubten, gewünschten und verbotenen Datenbearbeitungen sind für die Mitarbeitenden des NDB sehr schwierig.»

Der NDB und seine Tätigkeit im Bereich des gewalttätigen Rechtsextremismus (REX) – als Teil des Themenbereichs GEX – wurden wiederholt von diversen Seiten hinterfragt und kritisiert. Einerseits besteht der Vorwurf, dass der NDB «auf dem rechten Auge blind» sei und der Thematik nicht hinreichend ernsthaft Aufmerksamkeit schenke.¹⁶ Andererseits sieht sich der NDB auch immer wieder mit dem Vorwurf konfrontiert, er beschaffe unrechtmässigerweise Informationen über politische Tätigkeiten.¹⁷

Gemäss dem Bericht des NDB «Sicherheit Schweiz 2020» setzten Mitglieder der rechtsextremen Szene Gewalt zurückhaltend ein. Das grösste Risiko für einen rechtsextrem motivierten Anschlag in der Schweiz gehe daher von allein handelnden Personen mit rechtsextremer Gesinnung, aber ohne feste Zugehörigkeit zu etablierten gewaltextremistischen Gruppierungen aus. Im Bericht 2021 führte der NDB aus, dass die rechtsextreme Szene ein markantes Bedrohungspotenzial habe. Bestehende Gruppierungen seien aufgelöst und neue gebildet worden. Es sei im Berichtsjahr jedoch «lediglich» ein mit Gewalt verbundenes Ereignis festgestellt worden.

Die AB-ND wollte sich mit der Prüfung 21-4 u. a. ein Bild machen, ob im NDB zweckmässige Konzepte und Prozesse für das Themengebiet REX bestehen, ob diese wirksam umgesetzt werden und die Informationsbewirtschaftung rechtmässig ist. Sie stellte bei ihren Überprüfungen fest, dass der NDB zahlreiche Konzepte und Prozesse für die nachrichtendienstliche Bearbeitung des Themengebietes REX hat.

Der NDB darf keine Daten über die politische Betätigung und die Ausübung der Meinungs-, Versammlungs- oder Vereinigungsfreiheit in der Schweiz beschaffen und bearbeiten. Dieses Verbot wird als Datenbearbeitungsschranke bezeichnet.¹⁸

Gleichzeitig soll der NDB jedoch Gefahren, die von gewalttätigem Rechtsextremismus ausgehen und die innere und äussere Sicherheit der Schweiz bedrohen, frühzeitig erkennen. Die Gratwanderung zwischen der erlaubten und gewünschten sowie der verbotenen Datenbearbeitung in diesem Themenbereich ist für die Mitarbeitenden des NDB sehr schwierig. Sie müssen sich im Rahmen ihrer täglichen Arbeit mit diversen Abgrenzungsfragen befassen:

• Wie unterscheidet sich Extremismus von gewalttätigem Extremismus und von Terrorismus?
• Wie wird gewalttätiger Extremismus¹⁹ genau definiert bzw. wann liegt der Tatbestand der Verübung, Förderung oder Befürwortung von Gewalttaten²⁰ vor?
• Wann ist etwas GEX (und darf somit vom NDB bearbeitet werden), und wann ist etwas eine politische Betätigung und Ausübung der Meinungs-, Versammlungs- oder Vereinigungsfreiheit in der Schweiz (und darf vom NDB nicht bearbeitet werden)?²¹
• Wann kann der NDB dennoch Informationen über die politische Betätigung und über die Ausübung der Meinungs-, Versammlungs- oder Vereinigungsfreiheit in der Schweiz bearbeiten, weil eben konkrete Anhaltspunkte dafür vorliegen, dass diese Personen ihre Rechte ausüben, um gewalttätig-extremistische Tätigkeiten vorzubereiten oder durchzuführen?²²

Der NDB hat, basierend auf diesen Fragestellungen und Überlegungen, diverse Hilfsmittel zur Unterstützung der täglichen Arbeit der Mitarbeitenden erstellt. Beispielsweise sollen eine Fallsammlung (Kasuistik) und die darauf gestützten Entscheide den Mitarbeitenden künftige Entscheidfindungen in ähnlichen Fällen erleichtern.

«Der NDB muss den rechtskonformen Vollzug des NDG sowohl im NDB also auch in den KND durch geeignete Qualitätssicherungs- und Kontrollmassnahmen sicherstellen.»

Eine Methode zur Einhaltung der Datenbearbeitungsschranke ist die Anonymisierung: Laut Gesetz müssen nicht erlaubte, aber dennoch beschaffte Informationen, welche die politische Betätigung und die Ausübung der Meinungs-, Versammlungsoder Vereinigungsfreiheit in der Schweiz betreffen, anonymisiert werden. Die AB-ND hat in der Prüfung 21-4 festgestellt, dass interne Unstimmigkeiten bezüglich Anonymisierung der Produkte/Meldungen im Zusammenhang mit der Datenbearbeitungsschranke bestehen.

Eine weitere wichtige Referenz für die tägliche Arbeit der Mitarbeitenden des NDB ist die Beobachtungsliste. Diese ist ein politisches Steuerungsinstrument des Bundesrats, der die Liste jährlich genehmigt. Sie führt Organisationen und Gruppierungen auf, bei denen die begründete Annahme besteht, dass sie die innere oder äussere Sicherheit der Schweiz bedrohen²³, und erlaubt für diese die Datenbearbeitungsschranke zu überwinden.²⁴

Die AB-ND kontrollierte in der Prüfung 21-4, ob das Prüfverfahren des NDB für die Aufnahme von REX-Organisationen in die Beobachtungsliste²⁵ zweckmässig ist. Anhand von Stichproben analysierte sie die Vorgehensweise des NDB und beurteilte sie als zweckmässig.

Auch in Bezug auf die Rechtmässigkeit der Informationsbewirtschaftung stellte die AB-ND in ihren Stichproben keine Unrechtmässigkeiten fest. Sie befragte zudem Dritte zur Überprüfung der Wirksamkeit der Berichterstattung und Weiterleitung von Informationen zum Phänomen REX. Diese äusserten sich dahingehend, dass sie die vom NDB erhaltenen Informationen als grundsätzlich wirksam einschätzen.

¹² Art. 6 Abs. 1 lit. a Ziff. 4 NDG
¹³ Art. 37 Abs. 1 NDG
¹⁴ Operation Information Center, Bereich von MELANI
¹⁵ Art. 6 Abs. 1 lit. a Ziff. 5 NDG
¹⁶ Z. B. Postulat 02.3059; Postulat 17.3831; Fragestunde/Frage 9.5677;
Fragestunde/Frage 21.7312; Die braune Gefahr – Die Schweiz ist keine Insel, SRF, 12. Mai 2019; Wie neutral ist unsere Polizei?, «Walliser Bote», 23. Juli 2020; Geheimdienst soll Rechtsextreme ins Visier nehmen, «Zeitung für die Region Basel», 25. Mai 2021.
¹⁷ Z. B. Interpellation 19.3868; Geheimdienst überwacht Menschenrechtsorganisation seit 15 Jahren, Netzpolitik.org, 10. August 2021
¹⁸ Art. 5 Abs. 5 NDG
¹⁹ Art. 6 Abs. 1 lit. a Ziff. 5 NDG
²⁰ Art. 19 Abs. 2 lit. e NDG
²¹ Art. 5 Abs. 5 NDG
²² Art. 5 Abs. 6 NDG
²³ Art. 70 Abs. 1 lit. b und Art. 72 NDG
²⁴ Art. 5 Abs. 8 NDG
²⁵ Art. 72 NDG

In diesen Prüfbereich fallen Themen, welche die nationale und internationale Zusammenarbeit der Dienste anbelangen. Hierbei sind die KND ein jährliches Schwergewicht bei der Prüftätigkeit der AB-ND. Sie wird in diesem Jahr über die Prüfungen in zusammenfassender Form berichten.

Im Jahr 2021 hat die AB-ND folgende Prüfungen in diesem Bereich durchgeführt:

• 21-5 Qualitätssicherung des NDB bei den kantonalen Nachrichtendiensten (KND) (NDB)
• 21-6 Prüfung KND Basel-Stadt (NDB/KND)
• 21-7 Prüfung KND Basel-Landschaft (NDB/KND)
• 21-8 Prüfung KND Appenzell Ausserrhoden (NDB/KND)
• 21-9 Prüfung KND Appenzell Innerrhoden (NDB/KND)
• 21-10 Prüfung KND Aargau (NDB/KND)
• 21-11 Prüfung KND Waadt (NDB/KND)
• 21-12 Prüfung KND Neuenburg (NDB/KND)

[21-5] Qualitätssicherung des NDB bei den kantonalen Nachrichtendiensten (KND) (NDB)

Die Qualitätssicherung ist eine risikomindernde Massnahme. In Ergänzung zu den regelmässigen Prüfungen in den KND überprüfte die AB-ND, ob diese Massnahme bei den KND Wirkung erzielt. Damit kann sichergestellt werden, dass in Koordination mit der AB-ND eine funktionierende Aufsicht über die KND gewährleistet wird. Eine verlässliche und handhabbare Qualitätssicherung ist für die Güte der Daten und Informationen des NDB und der KND wichtig. Der NDB muss deshalb den rechtskonformen Vollzug des NDG sowohl im NDB als auch in den KND durch geeignete Qualitätssicherungs- und Kontrollmassnahmen sicherstellen. Die im Bereich Informationsmanagement/Cyber angegliederte Qualitätssicherungsstelle des NDB (QS NDB) ist dafür zuständig.

Die QS NDB überprüft mindestens einmal jährlich stichprobenweise die Rechtmässigkeit, Zweckmässigkeit, Wirksamkeit und Richtigkeit der Datenbearbeitung in allen Informationssystemen des NDB. Zu diesem Zweck erstellt sie einen Kontrollplan und überprüft u. a. periodisch erfasste Berichte der KND auf deren Erheblichkeit und Richtigkeit. Zudem löscht sie Daten, die aus Vorabklärungen der KND stammen und deren Erfassung mehr als fünf Jahre zurückliegt, und führt von den KND beantragte Datenlöschungen durch. Zusätzlich sorgt die QS NDB auch für interne Schulungen zu Fragen des Datenschutzes.

Für die Durchführung von Stichproben bei den KND wählt die QS NDB stets den gleichen Ablauf. Die einzelnen Schritte dieses Ablaufs werden mit Fristen terminiert und Mitarbeitenden der QS NDB klar zugeteilt. Zu diesen einzelnen Schritten gehören u. a. die Auftragserteilung, die Erhebung von statistischen Angaben nach identischen Vorgaben, ein auf den erhobenen Statistiken basierender Fragebogen, die Stellungnahme der KND zum Fragebogen sowie der abschliessende Bericht. Dieser geht in der Geschäftsleitung des NDB in Vernehmlassung und wird schliesslich von der Direktion des NDB genehmigt. Im letzten Schritt erhalten die KND diesen definitiven Bericht, und die QS NDB verfolgt die Umsetzung ihrer allfälligen Empfehlungen. Mit der Einbindung der Geschäftsleitung und der definitiven Verabschiedung der Berichte durch die oberste NDB-Leitung erhalten die Berichte auch das notwendige Gewicht gegenüber den KND.

Die QS NDB setzt ihren Kontrollauftrag im Rahmen der KND zweckmässig und wirksam um. Dies zeigt sich beispielsweise darin, dass sie einen Prozess für die Stichprobenentnahme entwickelt hat, der garantiert, dass diese Entnahme immer gleich und auf der Basis identischer Handlungen vorgenommen wird. Hiervon konnte sich die AB-ND bei zwei durchgeführten Stichproben überzeugen. Klare interne Aufträge und ein durchgehendes Vier-Augen-Prinzip gewährleisten, dass die Kontrollen effizient durchgeführt und entsprechende Risiken entdeckt werden können.

Mit der NDB-internen Koordination und der Abstimmung auf die AB-ND-Prüfpläne sowie unter Berücksichtigung früherer Prüfungsresultate koordiniert die QS NDB ihre KND-Kontrolltätigkeiten zweckmässig und wirksam. So ist gewährleistet, dass der gleiche KND nicht zweimal im Jahr kontrolliert wird, obwohl auch dies – falls nötig – möglich wäre. Zudem werden die NDB-internen Kontrollen auf verschiedene Schultern verteilt. Dies stellt sicher, dass bei den geprüften Datenbearbeitungen auch operativen und sicherheitstechnischen Aspekten Rechnung getragen wird.

[21-6 bis 21-12] Prüfungen der KND Basel-Stadt, Basel-Landschaft, Appenzell Ausserrhoden, Appenzell Innerrhoden, Aargau, Waadt und Neuenburg (NDB/KND)

Die AB-ND überprüfte im Jahr 2021 die nachrichtendienstlichen Tätigkeiten der KND in den Kantonen Aargau, beider Appenzell, beider Basel, Neuenburg und Waadt. Ebenfalls geprüft wurde deren Zusammenarbeit mit dem NDB. Damit hat die AB-ND seit ihrer Aufnahme der Aufsichtstätigkeit insgesamt 17 KND²⁶ geprüft. Die Überprüfung der restlichen neun KND wird in den nächsten zwei Jahren folgen.

Aus allen KND-Prüfungen 2021 ergab sich, dass der NDB und die KND in sämtlichen nachrichtendienstlichen Themengebieten grundsätzlich gut zusammenarbeiten. Bezüglich der Durchführung von gemeinsamen operativen Handlungen besteht auf beiden Seiten allerdings der Wunsch nach einer besseren Koordination. Unterschiedliche Ansichten von NDB und einzelnen KND über die jährliche Leistungsbeurteilung konnten in klärenden Gesprächen bereinigt werden.

Die KND verfügen über gute bis sehr gute nachrichtendienstliche Kenntnisse und erledigen die Aufträge des NDB rechtmässig, termingerecht und in einer für den NDB zufriedenstellenden Qualität. Der NDB stellt den KND auf dem dezentralen Arbeitsplatz (DezAP)²⁷ mehrere nachrichtendienstliche Anwendungen und Ablagen zur Verfügung, u. a. eine Auftragsverwaltung (AV KND) sowie eine Fachapplikation (FA KND). Die FA KND ermöglicht den Kantonen eine strukturierte Erfassung von Objekten.²⁸ Die AB-ND stellte bei den KND weder eigene Datensammlungen noch Personendaten fest, für deren Bearbeitung keine gesetzliche Grundlage vorhanden ist. Hingegen befanden sich in den FA KND teilweise Daten, welche nicht zeitnah zu den betreffenden Ereignissen/Feststellungen erfasst wurden. Dadurch blieben diese Daten unter Umständen länger als die gesetzlich vorgeschriebenen fünf Jahre in den FA KND gespeichert. Die Ursache für diese inkorrekten Erfassungsdaten wird in einer früheren Datenmigration (2017/2018) vermutet und dürfte in den nächsten zwei Jahren durch die funktionierende Löschautomatik wegfallen. Die AB-ND wird die entsprechende Entwicklung in Koordination mit der QS NDB weiterverfolgen.

²⁶ 2020 überprüfte die AB-ND die KND St. Gallen, Zürich, Tessin, Solothurn und Freiburg, 2019 die KND Bern, Graubünden, Genf, Jura und Schaffhausen.
²⁷ Der DezAP ist ein Segment innerhalb des sicheren Netzwerks SiLAN des NDB, das es ermöglicht, von einem dezentralen Standort aus auf die Systeme des NDB zuzugreifen. Der Begriff DezAP wird auch für den Laptop verwendet, der das dezentrale Arbeiten ermöglicht. Der Arbeitsplatz KND (AP KND) ist die Variante des DezAP, die den KND zur Verfügung gestellt wird.
²⁸ Die meistbenutzen Objekte der FA KND sind Personen, Ereignisse und Kommunikationsmittel.

Die Informationsbeschaffung ist eine Kernaufgabe der Nachrichtendienste. Hierzu können sie sich diverser Mittel bedienen. Jenen Mitteln, die am tiefsten in die Privatsphäre der Betroffenen eingreifen, gilt die besondere Aufmerksamkeit der AB-ND. 2021 führte die AB-ND zudem eine ausserordentliche Prüfung im Bereich HUMINT durch, die dem NDB vorgängig angekündigt wurde.

Die AB-ND führte 2021 im Bereich «Beschaffung» folgende Prüfungen durch:

• 21-13 Risikomanagement für Auslandeinsätze (NDB)
• 21-14 Operationen (NDB)
• 21-15 HUMINT (NDB)
• 21-19 Ausserordentliche Prüfung HUMINT (NDB)

[21-13] Risikomanagement für Auslandeinsätze (NDB)

Der NDB setzt Mitarbeitende für operative Tätigkeiten im Ausland ein. Ziele sind u. a. auch Länder, in denen die Grundsätze der Rechtsstaatlichkeit nur teilweise oder gar nicht eingehalten werden, oder Gebiete, in denen die Sicherheit beeinträchtigt sein kann. Der NDB wird dabei vereinzelt auch von Dritten unterstützt. Beschaffungen im Ausland sind für die eingesetzten Mitarbeitenden entsprechend risikobehaftet. Der NDB muss demnach dafür sorgen, dass diese Risiken in keinem Missverhältnis zum erwarteten Informationsgewinn stehen²⁹ und dass seine im Ausland eingesetzten Mitarbeitenden geschützt sind.³⁰ Es braucht eine interne Steuerung und interne Prozesse, damit diese Vorgaben eingehalten werden können. Entsprechend wichtig ist ein zweckmässiges und wirksames Risikomanagement.

Die AB-ND hat sich bei dieser Prüfung insbesondere auf operationelle Einsätze aus drei Bereichen des NDB fokussiert. Neben Interviews und Dokumentenstudium wurden auch die Vorgehensweise des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) und vom Bundesamt für Polizei (fedpol) bei Auslandeinsätzen als Vergleich analysiert.

Die AB-ND ist der Ansicht, dass das Risikomanagement bei Auslandeinsätzen durch den NDB auf der strategischen Ebene vorhanden ist. Es ist jedoch wichtig, die Zweckmässigkeit des Risikomanagements für Auslandeinsätze zu erhöhen. Das Hauptziel besteht darin, die physische Sicherheit der Mitarbeitenden zu gewährleisten. Zudem sollte die Steuerung der Auslandeinsätze im NDB zentralisiert werden, und die Prozesse sollten standardisiert werden. Die AB-ND kann bestätigen, dass der Einbezug von Dritten in risikobehaftete Auslandeinsätze rechtmässig und klar dokumentiert ist.

[21-14] Operationen (NDB)

Der NDB führt nachrichtendienstliche Operationen teilweise unter Einsatz von genehmigungspflichtigen Beschaffungsmassnahmen durch. Weniger zeitkritische und sicherheitsrelevante Vorhaben, in denen ausschliesslich genehmigungsfreie Beschaffungsmassnahmen zum Zuge kommen, werden als operative Abklärungsbedürfnisse durchgeführt. Über Operationen rapportiert der NDB jährlich an den Bundesrat, bei operativen Abklärungsbedürfnissen wird die Chefin des VBS lediglich punktuell und bei Bedarf über deren Inhalt informiert.

In einer jährlich wiederkehrenden Prüfung analysierte die ABND fünf ausgewählte nachrichtendienstliche Operationen und fünfzehn operative Abklärungsbedürfnisse auf Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit. Zudem wurde bei drei genehmigten und freigegebenen Beschaffungsmassnahmen überprüft, ob ihre Umsetzung den Entscheiden des Bundesverwaltungsgerichts entsprach. In den Vorjahren wurden diese drei Themengebiete jeweils separat geprüft. Aufgrund der vielen Schnittstellen und Abhängigkeiten hat sich die AB-ND jedoch entschieden, diese in einer einzigen Prüfung zusammenzufassen.

Die Prüfhandlungen umfassten Dokumentenstudium und Interviews mit den zuständigen Fachpersonen im NDB. Die AB-ND kann aufgrund ihrer Erkenntnisse aus den Prüfhandlungen die Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit grundsätzlich bestätigen.

[21-15] HUMINT (NDB)

Der Einsatz von menschlichen Quellen bleibt trotz stark ausgebauter technischer Überwachungsmöglichkeiten und Zugriff auf schier unendliche öffentlich zugängliche Informationen eines der wichtigsten Aufklärungsmittel der Nachrichtendienste. Menschen mit besonderen Zugängen zu spezifischen Informationen sind daher für jeden Nachrichtendienst interessant und wichtig.

Wie der NDB menschliche Quellen einsetzt, konnte die Öffentlichkeit in der «Inspektion als Folge der Verhaftung einer ehemaligen Quelle des NDB in Deutschland», dem Bericht der GPDel nachlesen. 2017 wurde eine ehemalige Quelle des NDB in Deutschland wegen Verdachts auf Spionage verhaftet. Daraufhin beschloss die GPDel, die Hintergründe des Falls und die Rolle des NDB, des Bundesrats sowie der Bundesanwaltschaft im Rahmen einer Inspektion zu untersuchen. Die Umsetzung der Empfehlungen des Berichts prägen noch heute die Arbeit des NDB mit menschlichen Quellen.

«Die AB-ND überprüft HUMINT im NDB jährlich mit Stichproben. Sie deckt bei diesen Überprüfungen das gesamte Spektrum der Quellenführung ab.»

HUMINT ist sowohl für die Mitarbeitenden des NDB als auch für die Quellen oft mit hohen persönlichen Risiken verbunden. Daraus erwächst eine besondere Verantwortung und Verpflichtung des NDB, die er sehr ernst nehmen muss und die in der Aufsicht durch die AB-ND entsprechendes Gewicht erhält. Die Quellenführenden brauchen nicht nur Fachkenntnisse in ihrem jeweiligen Themengebiet, eine umfassende nachrichtendienstliche Schulung und Kenntnis unterschiedlicher Sprachen. Sie müssen auch überdurchschnittliche soziale Fähigkeiten mitbringen, allen voran interkulturelle Kompetenz und psychologisches Feingefühl, um aussergewöhnliche Herausforderungen zu meistern.

Als Quellenführende müssen sie verstehen, was Menschen motiviert und antreibt, unabhängig davon, woher diese kommen oder was sie tun. Die operativen Mitarbeitenden werden daher speziell geschult, sei es in Fremdsprachen, beim Einsatz von Technologie oder bei der Führung von Personen. Erwähnenswert ist auch, dass das Leben als Quellenführende viele Einschränkungen im Privatleben mit sich bringt.

Die AB-ND überprüft HUMINT im NDB jährlich mit Stichproben. Sie deckt bei diesen Überprüfungen das gesamte Spektrum der Quellenführung ab, einschliesslich Sicherheitsrisiken, finanzieller Aufwendungen und der konkreten Wirkung, welche die Auswertung der aus menschlichen Quellen erlangten Informationen erzielt. Die AB-ND wählt die zu überprüfenden Quellenführungen risikobasiert aus und führt u. a. Interviews mit den Quellenführenden, der Leitung HUMINT sowie mit Mitarbeitenden der Abteilung Auswertung. Letztere integrieren die gewonnenen Informationen schliesslich in nachrichtendienstliche Produkte.

Diese Prüfungen stellen erhöhte Anforderungen an die Geheimhaltung. So bleiben beispielsweise die Namen der Quellen und der Quellenführenden auch gegenüber der AB-ND geheim, sofern sie keine Prüfungsrelevanz haben. Dies entspricht dem sogenannten Need-to-know-Prinzip. Konkret bedeutet dies hier die Beschränkung des Zugriffs auf personenbezogene Daten auf diejenigen Personen, die diesen Zugriff zur Wahrnehmung ihrer Aufgaben zwingend benötigen.

Der Quellenschutz ist ein hohes Gut, das auch gesetzlich geschützt ist.³¹ Die AB-ND muss innerhalb ihrer Prüfungen deshalb die gleichen Voraussetzungen für den Quellenschutz erfüllen. Aus Staatsschutzgründen kann die AB-ND über ihre Prüfungsergebnisse im Bereich HUMINT nicht in gleichem Mass informieren, wie sie das in anderen Prüfbereichen tut.

²⁹ Art. 36 Abs. 3 NDG
³⁰ Art. 36 Abs. 7 NDG
³¹ Art. 35 NDG

Zur Gewährleistung einer wirksamen nachrichtendienstlichen Tätigkeit ist ein zweckmässiger Umgang mit den Ressourcen unabdingbar.

Die AB-ND hat 2021 in diesem Bereich keine Prüfung geplant und durchgeführt.

Die Sensibilität der von den Diensten bearbeiteten Informationen ist hoch. Zudem sind die rechtlichen Vorgaben umfassend und komplex. Deshalb muss die Aufsichtsbehörde ein besonderes Augenmerk auf die Rechtmässigkeit der Informationsbearbeitung legen.

Die AB-ND plante in diesem Bereich 2021 folgende Prüfungen:

• 21-16 Telekomdienstleistungen (NDB)
• 21-17 Ausgewähltes Informationssystem des NDB (Quattro P)
• 21-18 Datenschutz im MND

Die Prüfung «21-16 Telekomdienstleistungen» wurde erst im vierten Quartal 2021 gestartet. Bis zum Redaktionsschluss dieses Tätigkeitsberichtes lagen noch keine berichtsrelevanten Ergebnisse vor.

[21-17] Ausgewähltes Informationssystem des NDB (Quattro P)

Die AB-ND entschied sich 2020 dafür, das Informationssystem Quattro P in den Prüfplan 2021 aufzunehmen. Grund dafür ist, dass mit diesem Informationssystem eine grosse Anzahl Reisebewegungen von Personen mit gewissen Staatsangehörigkeiten erfasst und bearbeitet wird. Die Personendaten in Quattro P dienen zudem als Grundlage für das Gesichtserkennungssystem, das der NDB seit 2020 und bisher ausschliesslich zur Durchsuchung eigener Daten einsetzt. Letztendlich umfasst der Kreis der Zugriffsberechtigten für Quattro P die Hälfte der NDB-Mitarbeitenden und ist damit gross. Die AB-ND untersuchte in dieser Prüfung den Betrieb, die Nutzung und die Inhalte des Informationssystems auf Recht- und Zweckmässigkeit. Zudem betraf eine der Prüffragen die Rechtmässigkeit des vom NDB eingesetzten Gesichtserkennungssystems.

Die Prüfungsleitenden erhielten im Rahmen der Prüfung Zugriff auf die Informationssysteme Quattro P, IASA NDB, SiLANFileablage und das Gesichtserkennungssystem. Damit wurde sichergestellt, dass die AB-ND ihre Stichproben unabhängig planen und durchführen konnte.

Rechtmässigkeit der Datenerfassung und -bearbeitung in Quattro P

Der Bundesrat legt in einer nicht öffentlichen Liste fest, von welchen Reisenden Daten dem NDB unaufgefordert zu melden sind.³² Er muss sich dabei an der aktuellen Bedrohungslage orientieren. Daten von Reisenden innerhalb des SchengenRaums werden aufgrund der fehlenden Grenzkontrollen nicht in Quattro P aufgezeichnet.

Inhaltlich werden folgende Personendaten in Quattro P erfasst:³³

• Name, Vorname, Geburtsdatum, Staatsangehörigkeit;
• Ausweisnummer, Visumnummer, Gültigkeitsdatum;
• Ausweisfoto;
• Ort, Datum und Beschreibung der Grenzkontrolle;
• Geschlecht;
• Daten aus dem Ausweis-Chip;
• Daten aus dem Visum.

Diese Daten werden von den betroffenen Amtsstellen (Grenzwachkorps, Polizeidienststellen) geliefert. Die Triage der zu liefernden Daten erfolgt bei diesen Stellen selbst, damit der NDB nur diejenigen Daten erhält, die er gemäss den gesetzlichen Vorschriften erhalten darf. Daten von Kindern unter sechzehn Jahren werden nicht erfasst.

Die AB-ND führte nach der Analyse der gesetzlichen Vorschriften und der Dokumentation des Informationssystems folgende Stichproben zur Prüfung der Rechtmässigkeit durch:

• Erfassung der Reisebewegungen ausschliesslich von Staatsangehörigen der auf der vom Bundesrat festgelegten Staatenliste;
• Datenerfassung von Kindern;
• Einhaltung der Aufbewahrungsdauer von fünf Jahren;³⁴
• Überprüfung von Einträgen in Quattro P und deren Erfassung in IASA NDB.

Bei der Stichprobenprüfung stellte die AB-ND Fälle von Mehrfacherfassungen von Reisedokumenten zu einzelnen Reisebewegungen fest. Sie empfahl dem NDB daher, Massnahmen zur Reduktion dieser Fälle zu prüfen und einzuleiten. Ansonsten erachtete die AB-ND, gestützt auf die vorgenommenen Prüfungshandlungen, die Datenbearbeitungen in Quattro P als rechtmässig.

«Die Gesichtserkennung ist eine neue, aus datenschutzrechtlicher Sicht kontrovers diskutierte Suchmaschine. Da sie im NDB eingesetzt wird, entschloss sich die AB-ND, die Rechtmässigkeit dieses Einsatzes zu untersuchen.»

Zweckmässigkeit der Datenerfassung und -bearbeitung in Quattro P

Der Begriff der Zweckmässigkeit umfasst die Eignung, Erforderlichkeit und Angemessenheit einer Vorgehensweise, hier der Datenbearbeitung in Quattro P. Eine komplizierte und umständliche Datenbearbeitung ist fehleranfällig und kann dazu führen, dass dem NDB für dessen Aufgabenerfüllung relevante Informationen zu spät zur Verfügung stehen.

Die automatisierte Übermittlung der Daten von den liefernden Aussenstellen scheint sich angesichts der grossen Menge der gelieferten Daten zu bewähren. Nur ein kleiner Prozentsatz der gelieferten Daten wird manuell nachbearbeitet. Erhöht sich der Prozentsatz der inkorrekt gelieferten Daten, nimmt der NDB bei den datenliefernden Behörden Rücksprache, und es werden entsprechende Massnahmen zur Erhöhung der Datenqualität eingeleitet.

Hinsichtlich der zur Überprüfung der Rechtmässigkeit der Datenerfassung vorgenommenen Stichproben stellte die ABND fest, dass bei ca. 25 % der geprüften Daten die Reiserichtung als «undefiniert»³⁵ angegeben wurde. Die AB-ND empfahl deshalb, dass der NDB in Zusammenarbeit mit den Kontrollstellen prüft, mit welchen Massnahmen dieser Anteil reduziert werden könnte.

Recht- und Zweckmässigkeit des Zugriffsmanagements auf Quattro P

Der Zugriff auf Quattro P darf aus Gründen der Informationssicherheit und des Datenschutzes nur solchen Mitarbeitenden des NDB erteilt werden, die ihn für die Erfüllung ihrer Aufgaben benötigen. Sind Berechtigungen nicht mehr aktuell, entsprechen sie nicht dem Need-to-know-Prinzip. Unzweckmässige Prozesse im Zugriffsmanagement führen zu verzögerten An35 Folgende Möglichkeiten stehen zur Verfügung: «Einreise», «Ausreise» und «undefiniert». passungen der Zugriffsrechte. Die Zugriffsrechte müssen bei Stellenwechseln oder Personalaustritten rechtzeitig angepasst werden, um unrechtmässige Datenzugriffe und dadurch eventuell entstehende Sicherheitslücken zu vermeiden.

Gestützt auf die durchgeführten Stichproben und die Analyse der relevanten Unterlagen empfahl die AB-ND, Zugriffsberechtigungen regelmässig zu überprüfen und nicht benötigte Zugriffe zu löschen.³⁶

Rechtmässigkeit des Gesichtserkennungssystems

Mit Gesichtserkennungssystemen können Personen auf Fotos, Videos oder in Echtzeit bestimmt werden. Die in Datenbeständen vorhandenen Bilder werden auf die Geometrie der erfassten Gesichter analysiert. Die charakteristischen analogen Schlüsselmerkmale werden in einen Satz digitaler Daten – einen Gesichtsabdruck – verwandelt. Dieser ist so einzigartig wie der Fingerabdruck. Solche Daten werden als biometrische Daten bezeichnet.³⁷

Die Gesichtserkennung ist eine neue, aus datenschutzrechtlicher Sicht kontrovers diskutierte Suchmaschine. Da sie im NDB eingesetzt wird, entschloss sich die AB-ND, die Rechtmässigkeit dieses Einsatzes zu untersuchen.

Die AB-ND stellte fest, dass der NDB zu Beginn des Projekts verschiedene Abklärungen zur Rechtmässigkeit veranlasste. Diese Abklärungen wurden zur Erstellung des Bearbeitungsreglements und einer Rechtsgrundlagenanalyse verwendet. Das Projekt entwickelte sich in der Folge weiter, ohne dass der Rechtsdienst oder die Qualitätssicherungsstelle des NDB die Rechtmässigkeit der weiteren Entwicklung noch einmal geprüft hätten.

Mit dem Gesichtserkennungssystem werden nach Ansicht der AB-ND biometrische Daten bearbeitet. Solche Daten werden gemäss dem revidierten (noch nicht in Kraft gesetzten) Bundesgesetz über den Datenschutz (DSG)³⁸ als besonders schützenswerte Personendaten eingeordnet. Gemäss Art. 47 Abs. 2 NDG legt der Bundesrat für jedes Informationssystem den Katalog der bearbeiteten Personendaten fest. Er hat dies in der VIS-NDB getan, aber in keinem der dort erwähnten Informationssystemen ist die Bearbeitung biometrischer Daten vorgesehen.

Weiter können mit dem Gesichtserkennungssystem Bilderprofile erstellt werden, die zudem mit Metadaten angereichert werden können. Dies führt nach Ansicht der AB-ND zur Erstellung von Persönlichkeitsprofilen. Gestützt auf diese Überlegungen erliess die AB-ND mehrere Empfehlungen, welche u. a. auch den Einbezug des EDÖB in die weiteren rechtlichen Abklärungen des NDB betrafen.

[21-18] Datenschutz im MND

In ihrer Prüfung 20-17 hatte die AB-ND die nachrichtendienstlich relevanten Informatiksysteme des MND untersucht. Im Berichtsjahr überprüfte sie im Rahmen der Prüfung 21-18 die Rechtmässigkeit der Bearbeitung von Personendaten in zwei Systemen, und zwar anhand von Befragungen, Einsichtnahme in Dokumente und Stichproben. Unter den diversen Informationssystemen, Untersystemen und zulässigen Sonderapplikationen hat die AB-ND ihren Schwerpunkt auf die Informatiksysteme gelegt, die vom MND betrieben und verantwortet werden. Dies ist einerseits sein Hauptarbeitsinstrument, das Informatiksystem Militärischer Nachrichtendienst (IK MND), und andererseits das System zum sicheren Informationsaustausch mit ausländischen Staaten BICES³⁹. Gemäss Einschätzung der AB-ND stellen diese Systeme in Sachen Datenschutz das potenziell grösste Risiko dar. Dies aufgrund der Menge, der Art und der Empfänger der Daten sowie der möglichen Auswirkungen von Persönlichkeitsrechtsverletzungen für betroffene Personen.

Die AB-ND stellte fest, dass der MND im Rahmen seiner gesetzlichen Aufgaben Personendaten bearbeitet und dass auch die Bearbeitung von besonders schützenswerten Personendaten oder die Erstellung von Persönlichkeitsprofilen erforderlich sein kann. Allerdings ist die AB-ND bei der Prüfung der Stichproben auf keine derartigen Fälle gestossen. Die AB-ND hat festgestellt, dass in bestimmten Produkten des MND zwar Personendaten vorhanden sind, diese jedoch nicht im Zentrum des Interesses des MND stehen. Dieser konzentriert sich auf seine Aufgaben, nämlich die Beschaffung und Auswertung von für die Armee bedeutsamen Informationen über das Ausland (insbesondere im Hinblick auf die Verteidigung des Landes), den Friedensförderungsdienst und den Assistenzdienst im Ausland. Die Informationsbeschaffung ist vor allem auf das Ausland ausgerichtet. Sie zielt nicht auf Personen in der Schweiz ab, und diese sind in den Systemen des MND nicht strukturiert erfasst. Personendaten von Schweizer Staatsangehörigen, die im Rahmen eines Assistenzdiensts in der Schweiz (z. B. für das World Economic Forum) erhoben werden, werden den zuständigen inländischen Behörden weitergeleitet und dürfen nicht im Zusammenhang mit militärischen nachrichtendienstlichen Tätigkeiten verwendet werden.

Werden Personendaten bearbeitet, handelt es sich um Namen von Persönlichkeiten aus der Politik, von ausländischen Führungspersonen, von Exponenten bewaffneter Netzwerke oder Gruppierungen. Dies ermöglicht dem MND die Beobachtung und Bewertung von militärstrategischen Entwicklungen sowie der Streitkräfte. Der Fokus liegt hierbei auf bestimmten Ländern oder militärischen Bedrohungen und bewaffneten Konflikten sowie auf den Einsatzgebieten der Schweizer Armee im Ausland.

Bei jedem im Rahmen der Stichprobenprüfung untersuchten Fall konnte eine Verbindung zu den Tätigkeiten des MND festgestellt werden. Des Weiteren liess sich die AB-ND die Zugangsrechte der Nutzerinnen und Nutzer sowie die Prozesse für die Archivierung und Löschung von Dokumenten erklären. Sie stellte fest, dass der Zugang auf solche Mitarbeitende beschränkt ist, die ihn zur Ausführung ihrer Aufgaben benötigen. Die Produkte in den untersuchten Systemen werden dem Bundesarchiv angeboten und nicht über die gesetzliche Frist hinaus aufbewahrt. Die vom MND genutzten Systeme sind gut dokumentiert. Zudem sind sie nicht über gemeinsame Schnittstellen, die einen automatischen Datenaustausch ermöglichen würden, miteinander verbunden. Dies schränkt das Missbrauchsrisiko ein.

Bei ihrer Prüfung hat die AB-ND keine Punkte festgestellt, die sie an der Rechtmässigkeit der Bearbeitung von Personendaten durch den MND in irgendeiner Phase zweifeln lassen. Zudem wurde auch keine gemäss Gesetzgebung oder Datenschutzrecht missbräuchliche oder unverhältnismässige Verwendung der gesammelten Personendaten entdeckt.

Die AB-ND hat weiter festgestellt, dass sich der MND auf spezifische Bestimmungen für die Weitergabe von Personendaten ins Ausland stützen kann. Im Allgemeinen betreffen die Produkte, die ins Ausland übermittelt werden, Situationsanalysen (militärischer, politischer oder militärpolitischer Natur). Es kann zwar nicht ausgeschlossen werden, dass Personendaten gelegentlich in den Produkten des MND erscheinen, doch es erfolgt kein Datenaustausch über eine bestimmte Person. Zudem werden die Produkte des MND nur an die Dienste solcher Länder übermittelt, die westliche Werte teilen und über eine Datenschutzgesetzgebung verfügen.

³² Art. 55 Abs. 4 NDG; Die Länderliste ist Teil der Liste gemäss Art. 20 Abs. 4 NDG (unaufgefordert zu meldende Ereignisse und Daten).
³³ Anhang 8 VIS-NDB
³⁴ Art. 55 VIS-NDB
³⁵ Folgende Möglichkeiten stehen zur Verfügung: «Einreise», «Ausreise» und «undefiniert».
³⁶ Art. 5 Abs. 4 VIS-NDB
³⁷ Quelle: www.kaspersky.de/resource-center/definitions/what-is-facial-recognition, zuletzt eingesehen am 22.11.2021
³⁸ SR 235.1
³⁹ Battlefield Information Collection and Exploitation System, Internationales Kommunikationsnetzwerk der North Atlantic Treaty Organisation (NATO)