Im Tätigkeitsbericht findet jeweils auch eine Aussensicht im Zusammenhang mit dem Tätigkeitsfeld der AB-ND Platz. Passend zum diesjährigen Tätigkeitsberichtsschwerpunkt «Informationssysteme» legt Adrian Lobsiger seine persönliche Sicht der Dinge dar.
Chancen und Risiken des «digitalen Umdenkens»
Im Zuge des «Fichenskandals» kam es 1989 in der Schweizer Bevölkerung zu einem abrupten Vertrauensverlust gegenüber dem Staatsschutz. Nach Aufarbeitung der als «Fichierung» bezeichneten Datenbearbeitung durch die damals unter dem Kürzel «BUPO» bekannte Bundespolizei verlangte die Politik eine Entflechtung der vielfältigen Aufgaben dieser Sicherheitsbehörde. Bundesrat und Parlament setzten im Widerstreit mit den Verfechtern einer Initiative zur gänzlichen Abschaffung des bis dahin nur rudimentär geregelten Staatsschutzes einen Prozess zu dessen Kodifizierung in Gang. Eine erste Volksabstimmung im Jahr 1998 erlaubte zunächst die Weiterführung der fortan formell-gesetzlich geregelten Staatschutztätigkeit. Mit einem zweiten Plebiszit wurde dann 2016 das heutige Nachrichtendienstgesetz des Bundes (NDG) angenommen und der Nachrichtendienst des Bundes (NDB) ermächtigt, die in aller Regel verdeckt erfolgende Beschaffung von Personendaten neu auch unter Einsatz von Zwangsmitteln durchzuführen. Diese Abkehr vom ursprünglichen Zwangsanwendungsverbot bewog den Gesetzgeber u. a. dazu, eine unabhängige Fachaufsichtsbehörde zu schaffen, die sich ausschliesslich dem NDB widmet.
Auch wenn sich an der nachrichtendienstlichen Überwachung bis heute die Geister scheiden, müssen auch Kritiker einräumen, dass sich die Datenbearbeitung durch den Staatsschutz seit Inkraftsetzung des NDG auf eine rechtssystematisch übersichtliche und hinreichend bestimmte Gesetzesgrundlage stützt. Demgegenüber liegt die bürgerverständliche Kodifizierung der ebenfalls hochsensiblen Bearbeitung von Personendaten, die von anderen Sicherheitsbehörden des Bundes ausgeht, noch in weiter Ferne. So leitet sich die Datenbearbeitung durch das fedpol und das Grenzwachtkorps aus einer rechtssystematisch mangelhaft abgestimmten Vielzahl von Spezialbestimmungen ab, die weiter anwächst. Zusätzlich erschwert wird die bürgerverständliche Abbildung der Personendatenbearbeitung im Gesetz durch umfassende Projekte zur digitalen Transformation, die in den Sicherheitsbehörden des Bundes inzwischen an die Hand genommen wurden. Weil diese Projekte weitreichende Veränderungen der Bearbeitungsprozesse von Personendaten nach sich ziehen können, wirkt die Datenschutzaufsicht des Bundes darauf hin, dass diese Prozesse bereits im Stadium der Planung mittels sog. Datenschutz Folgenabschätzungen vollständig erfasst und hinsichtlich ihrer Auswirkungen auf die Privatsphäre der Bevölkerung analysiert werden.
In seiner Strategie zur digitalen Transformation der Verwaltung fordert der Bundesrat ein «Umdenken», das traditionelle Formen des Zusammenlebens und Wirtschaftens in Frage stellt und digitale Kompetenzen aufbaut, welche die Vernetzung sowie das Teilen von Daten zwischen allen Akteuren ermöglichen. Worte erzeugen Bilder, und so sehen manche Promotoren des digitalen Wandels vor ihrem inneren Auge eine Cloud, aus der sich Polizeien, Grenzwachtbehörden und Nachrichtendienste zum Wohle aller Rechtsgetreuen, die nichts zu verbergen haben, bedienen.
Die Antipode zu dieser Vision erkennen deren Anhänger in der verpönten Haltung von Daten in sog. «Silos», in denen sie die Relikte eines überholten Denkens sehen, das manche von ihnen gerne dem Stereotyp eines Datenschutzes zuschreiben, der Täter begünstigt, statt Bürger zu schützen. Dass die Kantone Polizeikorps unterhalten, welche die dort anfallenden Personendaten eigenverantwortlich bearbeiten und mit anderen Sicherheitsbehörden in der Regel erst auf Anfrage hin teilen, führt bei diesen Visionären ebenso zu Kopfschütteln, wie die Tatsache, dass der Bund seine Polizeimacht auf drei Ämter aufteilt. Als eingeschworene Gegner von Datensilos sehen sie in dieser Realität einen Missstand, zu dessen längst überfälligen Beseitigung sie die Vernetzung aller Sicherheitsbehörden nach Massgabe des technisch Machbaren vorantreiben.
Wer geschichtliche Ereignisse ausblendet, welche Verfassungsgeber dazu bewogen haben, Gemeinwesen föderal zu organisieren und zentralstaatliche Macht aufzuteilen, mag in der Tat Mühe bekunden, die Komplexität sicherbehördlicher Datenflüsse rational zu deuten. Historische Reflexion hingegen macht nachvollziehbar, dass das System der Inneren Sicherheit der Schweiz aus einer Abfolge von Entscheidungen ihrer politischen Institutionen hervorgegangen ist, die das Volk durch Plebiszite unmittelbar mitzuprägen pflegt. So geschehen z.Bsp. im Jahre 1978 mit dem erfolgreichen Referendum gegen die Schaffung einer Bundessicherheitspolizei, das bis heute als nie widerrufenes Veto gegen eine zentrale Sicherheitsbehörde auf Stufe des Bundes verstanden werden kann.
Ein «neues Denken», das die digitale Verfügbarmachung von Personendaten als Mass aller Dinge betrachtet und politische Konzepte zur Begrenzung staatlicher Macht ausblendet, ist nicht fortschrittlich, sondern rückständig. Es führt zurück in den Polizeistaat, der mit Überwindung der absolutistischen Aristokratien durch die bürgerlichen Revolutionen des 18. und 19. Jahrhunderts abgeschafft wurde. Die Aufspaltung der generalzuständigen Herrschaftsapparate des Ancien Régime in fachlich spezialisierte Ämter trug wesentlich dazu bei, dass aus dem Polizeistaat ein Service Public und aus Untertanen selbstbewusste Bürgerinnen und Bürger wurden, die von Fachämtern für die geleisteten Abgaben professionelle und diskrete Leistungen einfordern.
Zu der von der Leistungsverwaltung eingeforderten Professionalität gehört seither, dass deren Fachämter die bei ihnen anfallenden Bürgerdaten nur nach Massgabe gesetzlicher Verfahren mit anderen Stellen teilen. Als Ausdruck von Professionalität kann auch gewertet werden, dass die Bundesverwaltung heute Sachdaten maschinenlesbar aufbereitet und bereichsübergreifend nutzbar macht. Das gleiche gilt, wenn sie Stammdaten und Personenattribute nach dem sog. Once-Only-Prinzip erfasst und unter Verwendung einheitlicher Identifikatoren wie der AHV-Nummer verwaltet. Solchen Digitalisierungsschritten zur Effizienzsteigerungen des Service Public steht der Datenschutz nicht entgegen, zumal sie auch zur Anhebung der Datenqualität beitragen können.
Auf Kollisionskurs mit dem Datenschutz segeln würde hingegen, wer über den Weg intransparenter Vernetzungen eine Art Cloud zu schaffen suchte, aus der die Sicherheitsbehörden, die Steuerfahndung und weitere Stellen der Eingriffsverwaltung alle Daten abfischen könnten, die beim Verkehr der Bevölkerung mit der Leistungsverwaltung anfallen. Ein solcher Datenfang würde bald zum Himmel stinken und das Vertrauen der Bürgerinnen und Bürger in die dienende Rolle des Staates als Service Public und Garant von Rechtsstaatlichkeit vergiften. Um dem vorzubeugen, verlangt die Datenschutzaufsicht des Bundes von den Verantwortlichen digitaler Transformationsprojekte, dass sie in den Datenschutz Folgenabschätzungen den Umfang und die Intensität einer zukünftigen Datenbearbeitung sowie den Kreis zugangsberechtigter Stellen deklarieren und mit dem Status quo vergleichen. Werden Erweiterungen und Intensivierungen der bisherigen Personendatenbearbeitung angestrebt, sind diese zu begründen.
Die Bundesämter halten dem Beauftragten zuweilen entgegen, digitale Transformationsprojekte seien aufgrund des rasant voranschreitenden technischen Fortschritts «agil» zu planen. Zukünftige Bearbeitungen liessen sich demzufolge weder abschliessend eingrenzen noch mit einem Status quo vergleichen. Solche Argumentationen sind unhaltbar. Sie laufen auf eine Generalermächtigung der Verwaltung heraus, da weder die politischen Organe, welche behördliche Eingriffe in die Privatsphäre der Bevölkerung politisch zu verantworten haben, noch die breite Öffentlichkeit «agile» Risiken einschätzen können. Der Beauftragte sieht sich in seiner Praxis denn auch immer wieder veranlasst darauf hinzuwirken, dass Datenschutz Folgenabschätzungen präzisiert und ergänzt werden, ehe deren Ergebnisse in die Botschaften einfliessen, mit denen der Bundesrat dem Gesetzgeber die Anpassung von sicherheitsrechtlichen Erlassen beantragt.
Angesichts der geschilderten Herausforderungen schätzt sich der Beauftragte glücklich, dass seine Arbeit im nachrichtendienstlichen Bereich durch die unabhängige Aufsichtsbehörde über den NDB in zielführender Weise ergänzt wird.
Adrian Lobsiger(*1959)
Adrian Lobsiger, geb. am 27.12.1959, hat nach seinem Studium an den Universitäten in Bern und Basel ein Masterstudium in Europarecht in Exeter (GB) absolviert. 1992 trat der promovierte Jurist in den Bereich Internationales Privatrecht des Bundesamtes für Justiz (BJ) ein, bevor er 1995 ins Bundesamt für Polizei (fedpol) wechselte, wo er zuletzt als stellvertretender Direktor amtierte.
Adrian Lobsiger wurde im November 2015 vom Bundesrat zum EDÖB gewählt und im März 2016 vom Parlament bestätigt. Er ist seit Juni 2016 im Amt. An seiner Sitzung vom 10. April 2019 hat der Bundesrat die Wiederwahl von Adrian Lobsiger für eine zweite Amtsperiode bis Ende 2023 als Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bestätigt.
