Revi­si­on des NDG: Daten­hal­tung, DSFA und Auskunftsrecht

DE
DE EN FR

von

am

Branchen

Behörde

Gesetze

Themen

,
Take-Aways (AI)
  • Neu defi­nier­te Daten­hal­tung regelt zuläs­si­ge Daten­ka­te­go­rien, Prüf­pflich­ten, Zweck­bin­dung, Zugriffs­rech­te und Anony­mi­sie­rung sowie Löschung nicht mehr benö­tig­ter Daten.
  • Aus­kunfts­recht wird ans DSG ange­gli­chen mit Auf­schub, über­prüf­ba­ren Ent­schei­dun­gen durch EDÖB und anfecht­ba­ren Ver­fü­gun­gen vor dem Bundesverwaltungsgericht.
  • DSFA iden­ti­fi­ziert Haupt‑ und Rest­ri­si­ken; Gegen­mass­nah­men redu­zie­ren Risi­ken, hohes Rest­ri­si­ko bleibt bei Aus­spä­hen, Spio­na­ge und Abhören.

Der Bun­des­rat hat am 28. Janu­ar 2026 die Bot­schaft zur Ände­rung des Nach­rich­ten­dienst­ge­set­zes (NDG) ver­ab­schie­det und ans Par­la­ment überwiesen:

Die Revi­si­on erfolgt in meh­re­ren Pake­ten; ein Zusatz­pa­ket zu Cyber­be­dro­hun­gen ist für die Ver­nehm­las­sung Mit­te 2026 geplant.

Die Vor­la­ge soll auf die durch Ter­ro­ris­mus, Extre­mis­mus, Spio­na­ge und Cyber­an­grif­fe ver­schärf­te Bedro­hungs­la­ge reagie­ren und ent­hält u.a. auch daten­schutz­recht­li­che Neue­run­gen – die Daten­hal­tung des Nach­rich­ten­dien­stes des Bun­des (NDB) wird neu kon­zi­piert, das Aus­kunfts­recht an das DSG ange­gli­chen und eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA) nach Art. 22 DSG durchgeführt.

Daten­hal­tung

Bis­her liste­te das NDG Infor­ma­ti­ons­sy­ste­me des NDB auf, neu wird gere­gelt, wel­che Kate­go­rien von Daten für wel­che Auf­ga­ben bear­bei­tet wer­den dür­fen, wie ein­ge­hen­de Daten zu prü­fen sind, die Zwecke der Bear­bei­tung, die Zugriffs­be­rech­ti­gun­gen und Qua­li­täts­si­che­rungs­mass­nah­men für die Anony­mi­sie­rung oder Löschung nicht mehr benö­tig­ter Daten.

Eine schein­ba­re Abwei­chung vom DSG bleibt erhal­ten: Unrich­ti­ge Daten dür­fen bear­bei­tet wer­den, wenn sie ent­spre­chend gekenn­zeich­net sind, weil auch eine feh­ler­haf­te Infor­ma­ti­on ana­ly­tisch rele­vant sein kann:

Art. 51 Prü­fung auf Richtigkeit

1 Der NDB prüft die Roh­da­ten auf Rich­tig­keit, bevor er sie als Arbeits­da­ten kennzeichnet.

2 Er kann Per­so­nen­da­ten, ein­schliess­lich beson­ders schüt­zens­wer­ter Per­so­nen­da­ten, die sich als inhalt­lich falsch her­aus­ge­stellt haben, bear­bei­ten, soweit dies zur Erfül­lung sei­ner Auf­ga­ben nach Arti­kel 6 not­wen­dig ist.

3 Er kenn­zeich­net die betref­fen­den Daten als inhalt­lich falsch.

Genau bese­hen ist das aller­dings kei­ne Aus­nah­me, son­dern eine dekla­ra­to­ri­sche Aus­sa­ge: Wenn eine Infor­ma­ti­on objek­tiv falsch ist, aber ihre Falsch­heit gera­de der Gegen­stand der Bear­bei­tung ist – was den Irr­tum über die Falsch­heit aus­schliesst –, so ist die so bear­bei­te­te Infor­ma­ti­on funk­tio­nal betrach­tet nicht unrich­tig, genau­so sowie wie bei abstrakt unrich­ti­gen Archiv­da­ten, deren Aus­sa­ge nicht die­ser Infor­ma­ti­ons­ge­halt sein soll, son­dern die Tat­sa­che, dass die­se Infor­ma­ti­on zu einem bestimm­ten Zeit­punkt ver­zeich­net war.

Aus­kunfts­recht

Der Ent­wurf passt die Rege­lung des Aus­kunfts­rechts an. Für admi­ni­stra­ti­ve Daten gilt allei­ne das DSG. Für nach­rich­ten­dienst­li­che Daten gilt es grund­sätz­lich eben­falls, aber mit zwei Besonderheiten:

  • Auf­schub der Aus­kunft: Der NDB kann die Aus­kunft wei­ter­hin auf­schie­ben, auch wenn die gesuch­stel­len­de Per­son nicht ver­zeich­net ist (Art. 63a Abs. 3 Bst. b E‑NDG). Er muss den Auf­schub aller­dings nicht mehr in jedem Fall ver­fü­gen. Die betrof­fe­ne Per­son kann beim EDÖB die Über­prü­fung der Recht­mä­ssig­keit der Daten­be­ar­bei­tung und des Auf­schubs ver­lan­gen (Art. 63b E‑NDG) und anschlie­ssend beim Bun­des­ver­wal­tungs­ge­richt eine wei­te­re Prü­fung bean­tra­gen (Art. 65 E‑NDG).
  • Ver­wei­ge­rung oder Ein­schrän­kung der Aus­kunft: Ver­wei­gert oder beschränkt der NDB die Aus­kunft, so muss er eine begrün­de­te Ver­fü­gung erlas­sen (Art. 63a Abs. 2 E‑NDG), die auf dem ordent­li­chen Rechts­weg anfecht­bar ist.

DSFA

Zum Ent­wurf wur­de eine DSFA erstellt, die fol­gen­de daten­schutz­recht­li­che Haupt­ri­si­ken auswies:

  • die „unheim­li­che Erfah­rung“: Betrof­fe­ne wis­sen oder ver­mu­ten, dass der NDB Daten über sie sam­melt, ohne zu wis­sen warum;
  • die Ver­let­zung gesetz­li­cher Vor­ga­ben, wodurch die Qua­li­täts­si­che­rung und Bear­bei­tungs­schran­ken unter­lau­fen werden;
  • Arbeits­pro­duk­te auf Basis ver­al­te­ter nach­rich­ten­dienst­li­cher Daten, die ihrer­seits fol­gen­rei­che Mass­nah­men nach sich zie­hen können;
  • Wei­ter­ga­be von Archiv­do­ku­men­ten an das Bun­des­ar­chiv, die noch schutz­wür­di­ge Quel­len offen nennen.

Unter Beach­tung der Gegen­mass­nah­men wies die DSFA kei­ne hohen Daten­schutz­ri­si­ken mehr. Im Bereich der Daten­si­cher­heit ver­bleibt als hohes Rest­ri­si­ko das Aus­spä­hen von Infor­ma­tio­nen, Spio­na­ge und Abhö­ren. Der EDÖB hat die DSFA in sei­ner Stel­lung­nah­me vom 28. Janu­ar 2025 grund­sätz­lich posi­tiv bewertet.

Auf­ga­ben und Mass­nah­men des NDB

Das Revi­si­ons­pa­ket sieht fer­ner vor,

  • den Auf­ga­ben­be­reich des NDB auf den gesam­ten Cyber­raum aus­zu­deh­nen und eine Kom­pe­tenz zur Kon­takt­pfle­ge mit Betrei­be­rin­nen kri­ti­scher Infra­struk­tu­ren zu verankern;
  • eine neue geneh­mi­gungs­pflich­ti­ge Beschaf­fungs­mass­nah­me für Aus­künf­te bei Finanz­in­ter­me­diä­ren ein­zu­füh­ren, mit Blick auf die Auf­klä­rung von Ter­ro­ris­mus­fi­nan­zie­rung und Spionagenetzwerken;
  • den Anwen­dungs­be­reich der geneh­mi­gungs­pflich­ti­gen Beschaf­fungs­mass­nah­men auf den gewalt­tä­ti­gen Extre­mis­mus auszuweiten;
  • eine expli­zi­te Rechts­grund­la­ge für Pro­filings, ein­schliess­lich Pro­filings mit hohem Risi­ko, zu schaffen;
  • die inter­ne Qua­li­täts­si­che­rungs­stel­le zu stär­ken, die unter ande­rem den Ein­satz lern­fä­hi­ger Pro­gram­me (Algo­rith­men) zur Bear­bei­tung von Per­so­nen­da­ten wäh­rend der gesam­ten Ein­satz­zeit kontrolliert.

Die geneh­mi­gungs­pflich­ti­gen Mass­nah­men blei­ben befri­stet und erfor­dern die Geneh­mi­gung durch das Bun­des­ver­wal­tungs­ge­richt und eine poli­ti­sche Frei­ga­be durch die Vor­ste­he­rin oder den Vor­ste­her des VBS.

Die­se Mass­nah­men waren in der Ver­nehm­las­sung auf Kri­tik gestossen:

  • Zur Mass­nah­me gegen­über Finanz­in­ter­me­diä­ren ver­lang­ten die Ban­kier­ver­ei­ni­gung und Eco­no­mie­su­i­s­se in der Ver­nehm­las­sung eine prä­zi­se­re gesetz­li­che Grund­la­ge, Art. 26 Abs. 1 Bst. f E‑NDG ent­bin­de die Ban­ken nicht vom Bank­kun­den­ge­heim­nis. Das BVGer kri­ti­sier­te die offe­ne For­mu­lie­rung der Bestim­mun­gen und ver­miss­te Aus­füh­rungs­be­stim­mun­gen ver­gleich­bar mit Art. 285 StPO.
  • Kon­tro­vers war auch die Aus­deh­nung der geneh­mi­gungs­pflich­ti­gen Mass­nah­men auf gewalt­tä­ti­gen Extre­mis­mus. Eini­ge Kan­to­ne und Pri­va­tim warn­ten vor einem «chil­ling effect» auf die Ver­samm­lungs- und Mei­nungs­frei­heit und lehn­ten die Erwei­te­rung ab.
  • Hin­sicht­lich des Berufs­ge­heim­nis­ses hat der Bun­des­rat auf die im Vor­ent­wurf vor­ge­se­he­ne Strei­chung von Art. 28 Abs. 2 NDG ver­zich­tet; die­se Bestim­mung, wonach gegen Per­so­nen mit einem Berufs­ge­heim­nis (auch die Anwalt­schaft) als Dritt­per­so­nen kei­ne geneh­mi­gungs­pflich­ti­gen Beschaf­fungs­mass­nah­men ange­ord­net wer­den dür­fen, bleibt bestehen.

Auf­sicht

Die Auf­ga­ben der Unab­hän­gi­gen Kon­troll­in­stanz für die Funk- und Kabel­auf­klä­rung (UKI) wer­den auf die Unab­hän­gi­ge Auf­sichts­be­hör­de über die nach­rich­ten­dienst­li­chen Tätig­kei­ten (AB-ND) über­tra­gen, die UKI wird auf­ge­ho­ben. In der Ver­nehm­las­sung wur­de dies begrüsst; strit­tig blieb aber die insti­tu­tio­nel­le Anbin­dung. Eini­ge Kan­to­ne und pri­va­tim hat­ten die Anglie­de­rung der AB-ND an ein ande­res Depar­te­ment als das VBS – z.B. das EJPD – oder eine voll­stän­di­ge admi­ni­stra­ti­ve Ver­selb­stän­di­gung gefor­dert, pri­va­tim zudem eine Wahl der Behör­den­lei­tung durch die Ver­ei­nig­te Bun­des­ver­samm­lung; der Bun­des­rat ist dem nicht gefolgt.