Motion Eichenberger-Walther (16.3186): Austausch technischer Informationen
Im Rat noch nicht behandelt. Der Bundesrat beantragt die Ablehnung der Motion.
Eingereichter Text
Der Bundesrat wird eingeladen, im Zusammenhang mit der nach fünf Jahren (im Sommer 2017) vorzulegenden Überprüfung der “Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS)” aufzuzeigen, wie Datenschutz, Datensicherheit und die Bekämpfung von Cyberattacken (Kriminalität, Spionage, Diebstahl geistigen Eigentums) rechtlich voneinander klar abgegrenzt werden, so dass Daten geschützt werden, der Austausch technischer Informationen aber ermöglicht wird. Für den Austausch technischer Informationen ist eine Rechtsgrundlage zu schaffen.
Begründung
Angesichts der Sensitivität der Daten der Opfer von Cyberattacken und der technischen Komplexität scheinen eine klare Abgrenzung der Themen Datenschutz, Datensicherheit und Bewältigung von Cyberattacken dringend, ebenso wie die darauf aufbauende Rechtsgrundlage, die den Austausch technischer Informationen unter klaren Bedingungen erlaubt.
Stellungnahme des Bundesrats
Die rechtlichen Rahmenbedingungen sind die folgenden:
Im Rahmen einer laufenden Strafuntersuchung setzt die Strafprozessordnung den Rahmen der Geheimhaltung bzw. der Öffentlichkeit des Verfahrens.
Soweit Informationen aus nachrichtendienstlichen Quellen anfallen, wird dies im neuen Nachrichtendienstgesetz geregelt werden (dagegen ist allerdings das Referendum zustande gekommen).
Technische Informationen, die im Zusammenhang mit Cyberattacken bearbeitet werden, stellen in der Regel keine Personendaten dar; es fehlt in diesen Fällen am Personenbezug. Ausgenommen davon sind Informationen, die Rückschlüsse auf betroffene Personen oder Firmen erlauben. Damit fallen technische Informationen grundsätzlich nicht in den Anwendungsbereich des Datenschutzgesetzes (Bundesgesetz vom 19. Juni 1992 über den Datenschutz, DSG; SR 235.1). Folglich gibt es hier keinen Abgrenzungs- oder (zusätzlichen) Schutzbedarf; das Risiko einer Persönlichkeitsverletzung ist in diesen Fällen äusserst gering.
(Personen-)Daten von Opfern von Cyberattacken gelten bereits unter dem Regime des heutigen DSG als besonders schützenswerte Personendaten (sofern sie sich auf administrative oder [nicht hängige] strafrechtliche Sanktionen/Verfolgungen beziehen); sie werden einem erhöhten technischen und organisatorischen Schutz unterzogen, der ausreichend ist.
Der Bundesrat interpretiert die Motion nun dahingehend, dass es möglich sein solle, technische Informationen im Sinne der Prävention zwischen dem Staat und der Privatwirtschaft auszutauschen.
Im Bereich der kritischen Infrastrukturen existiert seit 2004 eine öffentlich-private Partnerschaft zwischen dem Staat und der Privatwirtschaft, die Melde- und Analysestelle Informationssicherung MELANI. In MELANI arbeiten Partner zusammen, welche im Umfeld der Sicherheit von Computersystemen und des Internets sowie des Schutzes der schweizerischen kritischen Infrastrukturen tätig sind. Eine solche Zusammenarbeit bedingt ein hohes Mass an Vertrauen, damit Informationen zwischen den Partnern ausgetauscht werden.
Ein wichtiges Kriterium hierbei ist, dass der Informationslieferant seine Informationen heute nach einem vereinbarten System klassifiziert. Sind diese Informationen vertraulich oder sogar geheim klassifiziert, so vertraut er dem Staat, dass diese nicht weitergegeben werden. Dies betrifft auch technische Informationen, da es oft möglich ist, anhand dieser Informationen Rückschlüsse zum Informationslieferanten, sprich zum Geschädigten, zu erhalten. Der Informationsaustausch mit weiteren Kreisen kann nur innerhalb dieses Rahmens erfolgen. Aus heutiger Sicht ist nicht geplant, an dieser Praxis etwas zu ändern, da es die sehr gute Zusammenarbeit zwischen MELANI und den Betreibern Kritischer Infrastrukturen gefährden könnte.
Der Austausch von Informationen zwischen MELANI und den Betreibern von kritischen Infrastrukturen ist auch Gegenstand des geplanten Informationssicherheitsgesetzes ISG. Die Verabschiedung der Botschaft ISG ist nach erfolgter Vernehmlassung zuhanden des Parlaments bis Sommer 2016 vorgesehen.
Da mehrere Rechtsbereiche mit vielfältigen Schnittstellen betroffen sind, achtet die Koordinationsstelle NCS mit den bereichsverantwortlichen Bundesstellen darauf, dass in der Rechtsetzung und im Vollzug die koordinierende Zusammenarbeit konsequent sichergestellt wird und auf neue Herausforderungen rasch und kohärent reagiert werden kann.
Die hier aufgeführten Massnahmen werden bereits ohne Annahme der Motion umgesetzt. Eine zusätzliche Regelung drängt sich aus Sicht des Bundesrates nicht auf.