BBL 2015 Band 3 S. 1003

14.402 Parlamentarische Initiative Aufzeichnung und Auswertung der elektronischen Zugriffsprotokolle der Ratsmitglieder Bericht des Büros des Nationalrates vom 7. November 2014

Sehr geehrte Damen und Herren Mit diesem Bericht unterbreiten wir Ihnen den Entwurf einer Änderung der Verordnung der Bundesversammlung zum Parlamentsgesetz und über die Parlamentsverwaltung. Gleichzeitig erhält der Bundesrat Gelegenheit zur Stellungnahme.

Das Büro des Nationalrates beantragt, dem beiliegenden Entwurf zuzustimmen.

7. November 2014

Im Namen des Büros Der Präsident: Ruedi Lustenberger

2014-3121

1003

Bericht 1

Entstehungsgeschichte

Am 1. April 2012 ist eine Änderung des Regierungs- und Verwaltungsorganisationsgesetzes (RVOG; SR 172.010) in Kraft getreten, welche die Bearbeitung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur anfallen, regelt (vgl. Art. 57i ff RVOG). Gestützt darauf hat der Bundesrat die Verordnung über die Bearbeitung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur des Bundes anfallen («Randdatenverordnung»; SR 172.010.442) erlassen. Das Gesetz und die Verordnung regeln, für welche Zwecke Randdaten aufgezeichnet und ausgewertet werden dürfen, und wer für die Anordnung einer Auswertung zuständig ist. Gemäss Artikel 57q Absatz 3 RVOG gilt die Verordnung auch für die Mitglieder der Bundesversammlung, sofern eine Verordnung der Bundesversammlung nichts anderes regelt. Grundsätzlich kann die Randdatenverordnung auf alle Personen die Ratsmitglieder, die Mitarbeitenden der Fraktionssekretariate und die Mitarbeitenden der Parlamentsdienste sinngemäss angewendet werden, welche die elektronische Infrastruktur der Bundesversammlung nutzen. Einzig für die namentlich personenbezogene Auswertung im Falle eines Missbrauchs oder Missbrauchsverdachts bestehen für die zwei ersten Kategorien von Personen, die Ratsmitglieder und die Mitarbeitenden der Fraktionssekretariate, keine analogen Abläufe und Zuständigkeiten. Da die namentliche personenbezogene Auswertung von Randdaten ein intensiver Eingriff in die Persönlichkeitsrechte der Betroffenen ist, hat sich das Büro des Nationalrates entschieden, diese in der ParlVV zu regeln, auch wenn dieses Verfahren in der Praxis selten zur Anwendung kommen wird.

Das Büro des Nationalrates hatte diese Thematik bereits im Rahmen der Diskussionen um die Ausweitung der Zugriffsrechte für die Ratmitglieder im Extranet regeln wollen (vgl. Pa. Iv. 13.403 Extranet. Zugang für Ratsmitglieder (BBl 2013 8921 ff.).

Da sich aber der Bundesrat in seiner Stellungnahme gegen die Ausdehnung der Zugriffsrechte im Extranet stellte, hat das Büro des Nationalrates an der Sitzung vom 14. Februar 2014 die ganze Vorlage, inkl. der Vorschläge zur Auswertung von Randdaten, zurückgezogen. Das Büro des Nationalrates hat aber an der gleichen Sitzung beschlossen, diesen unbestrittenen Teil dem Rat zu unterbreiten und hat die vorliegende Kommissionsinitiative ergriffen, welcher das Büro des Ständerates am 16. Mai 2014 zugestimmt hat.

2

Grundzüge der Vorlage

Der vorliegende Entwurf regelt die Abläufe für die namentliche personenbezogene Auswertung von Randdaten wegen Missbrauch oder Missbrauchsverdachts für die Ratsmitglieder und die Mitarbeiterinnen und Mitarbeiter der Fraktionssekretariate, welche die elektronische Infrastruktur der Bundesversammlung nutzen. Da für die Mitarbeiterinnen und Mitarbeiter der Parlamentsdienste die «Randdatenverordnung» sinngemäss angewendet werden kann, ist für sie keine besondere Regelung in der ParlVV nötig.

Nicht Gegenstand dieses Entwurfs ist aber die Auswertung der Randdaten im Rahmen eines Straf- oder eines Disziplinarverfahrens (vgl. dazu Ausführungen in den 1004

Ziffern 2.1.2 und 2.1.3), denn gemäss Artikel 57i RVOG finden die Vorschriften des RVOG keine Anwendung, wenn andere Gesetze wie beispielsweise das Strafprozessrecht oder das Disziplinarrecht die Bearbeitung regeln.

2.1

Allgemeines zur Auswertung von Randdaten

2.1.1

Was sind Randdaten?

Randdaten sind Daten, die bei der Nutzung der elektronischen Infrastruktur entstehen und Auskunft geben über den Absender oder die Absenderin und den Empfänger oder die Empfängerin, den Zeitpunkt, die Dauer und den Weg der Kommunikation, nicht aber über deren Inhalt. Die Regelungen zu den Randdaten dienen dem Schutz der Benutzerinnen und Benutzer der elektronischen Infrastruktur vor übermässigen Zugriff auf die Daten, die bei der Nutzung entstehen. Das RVOG regelt deswegen abschliessend, für welche Zwecke Bundesorgane Randdaten aufzeichnen und auswerten dürfen (vgl. Art. 57l57o RVOG) und unterscheidet dabei zwischen der nicht personenbezogenen (Art. 57m, 57n RVOG) und der personenbezogenen Auswertung (Art. 57o RVOG) von Randdaten.

Eine nicht personenbezogene Auswertung darf beispielsweise zur Datensicherung, zur Aufrechterhaltung der Informationssicherheit, zur technischen Wartung und zur Kontrolle der Nutzungsreglemente erfolgen.

Eine personenbezogene Auswertung darf insbesondere erfolgen für die Abklärung eines konkreten Verdachts auf Missbrauch der elektronischen Infrastruktur, für die Ahndung eines erwiesenen Missbrauchs (vgl. Art. 57o Abs. 1 Bst. a RVOG) oder für die Analyse und Behebung von Störungen und Abwehr konkreter Bedrohungen (vgl. Art. 57o Abs. 1 Bst. b RVOG).

2.1.2

Abgrenzung zur Auswertung der Randdaten in einem Strafverfahren

Gemäss Artikel 57i RVOG gelten die Regeln des RVOG für die Bearbeitung von Personendaten bei der Nutzung der elektronischen Infrastruktur und die dazugehörigen Ausführungsbestimmungen nicht, wenn ein anderes Bundesgesetz die Bearbeitung der bei der Nutzung der elektronischen Infrastruktur anfallenden Personendaten regelt.

Die Zulässigkeit der Durchsuchung von Ton-, Bild- und anderen Aufzeichnungen, Datenträgern sowie Anlagen zur Verarbeitung und Speicherung von Informationen im Zusammenhang mit einem Strafverfahren beurteilt sich somit nach den Regeln der Strafprozessordnung (StPO; SR 312.0). Von Bedeutung sind dabei insbesondere die Artikel 246 ff., welche die Durchsuchung von Aufzeichnungen regeln. Besteht aufgrund einer Strafanzeige der Verdacht, jemand habe das Amtsgeheimnis verletzt und dafür die Informatikinstrastruktur der Bundesversammlung (z.B. Extranet) genutzt, so haben die Strafverfolgungsbehörden den Sachverhalt zu ermitteln und dabei auch Beweise zu sichern. Solange sich der Tatverdacht nicht gegen eine bestimmte Person richtet, wird das Bemühen der Strafverfolgungsbehörden in erster Linie darauf gerichtet sein, die Täterschaft zu ermitteln. Zu diesem Zweck können die Strafverfolgungsbehörden auch Zwangsmassnahmen ergreifen, die in die Grund1005

rechte der Betroffenen eingreifen (vgl. Art. 196 StPO: Begriff der Zwangsmassnahme). Sie können Auskünfte verlangen zur Klärung der Frage, wer in einem bestimmten Zeitraum auf das Dokument X zugegriffen hat, sie können die Herausgabe von Zugriffsprotokollen verlangen oder Beweismittel beschlagnahmen. Nicht zulässig wäre, dass die Strafverfolgungsbehörden aufgrund einer vagen Vermutung oder von blossen Gerüchten Auskunft darüber verlangten, wer auf welche Dokumente zugegriffen hat. Gegen eine entsprechende Aufforderung der Strafverfolgungsbehörden um Auskunftserteilung oder gar Herausgabe von Dokumenten und Protokollen könnte sich die aufgeforderte Behörde mit Beschwerde zur Wehr setzen. Sodann haben die Strafverfolgungsbehörden zur Ermittlung der Täterschaft das jeweils mildeste taugliche Mittel zu ergreifen. Sobald sich aufgrund der Ermittlungen der Tatverdacht gegen ein bestimmtes Ratsmitglied richtet, braucht es für die erste Abklärung des Sachverhalts oder zur Beweissicherung die Ermächtigung der Ratspräsidien gemäss Artikel 18 des Parlamentsgesetzes (ParlG; SR 171.10).

Ein Strafverfahren gegen ein Ratsmitglied wegen einer strafbaren Handlung, die in unmittelbarem Zusammenhang mit seiner amtlichen Stellung oder Tätigkeit steht, kann nach Artikel 17 ParlG nur mit der Ermächtigung der zuständigen Kommissionen eingeleitet werden. Gegen Mitarbeitende der der Fraktionssekretariate und der Parlamentsdienste kann direkt Strafanzeige eingereicht werden.

2.1.3

Abgrenzung zur Auswertung der Randdaten in einem Disziplinarverfahren

Das Büro des jeweiligen Rates ist befugt, gegen ein Ratsmitglied, welches gegen Ordnungs- und Verfahrensvorschriften verstösst, Disziplinarmassnahmen zu ergreifen (vgl. Art. 13 ParlG). Das Büro könnte bei Vorliegen eines konkreten Verdachts eines Missbrauchs gegen ein bestimmtes Ratsmitglied tätig werden und verlangen, dass die Randdaten dieses Ratsmitgliedes ausgewertet werden. Artikel 13 ParlG ist aber keine Grundlage für die Einleitung einer Disziplinaruntersuchung gegen Unbekannt. Das Büro hat in einem solchen Fall keine Kompetenz, Auskunftspersonen zu befragen, Zeugen einzuvernehmen oder eine flächendeckende personenbezogene Auswertung anzuordnen.

Für die Mitarbeitenden der Parlamentsdienste finden die disziplinarrechtlichen Regelungen gemäss Bundespersonalgesetz (BPG; SR 172.220.1) und der entsprechenden Ausführungsbestimmungen Anwendung. Wie allfällige Massnahmen für Mitarbeitende der Fraktionssekretariate auszusehen haben, liegt in der Kompetenz der Fraktionssekretariate.

2.2

Personengruppen, welche die elektronische Infrastruktur der Bundesversammlung nutzen

Die elektronische Infrastruktur der Bundesversammlung wird von den Ratsmitgliedern, den Mitarbeitenden der Fraktionssekretariate und den Mitarbeitenden der Parlamentsdienste genutzt.

Für die Mitarbeiter und Mitarbeiterinnen der Parlamentsdienste kann die «Randdatenverordnung» des Bundesrates sinngemäss angewendet werden. Es bedarf keiner Anpassung der Rechtsgrundlagen. Die Anordnung einer personenbezogenen 1006

Auswertung erfolgt in der Regel durch die vorgesetzte Person. Die Auswertung darf gemäss Artikel 57o Absatz 2 Buchstabe b RVOG nur nach schriftlicher Information der betroffenen Person erfolgen. Stimmt die betroffene Person nicht zu, muss die Auswertung durch den Generalsekretär oder die Generalsekretärin bewilligt werden.

Der oder die Sicherheitsbeauftragte der Bundesversammlung (vgl. in Ziff. 4 Ausführungen zu Art. 27 Abs. 1bis) prüft, ob der konkrete Missbrauchsverdacht hinreichend schriftlich begründet ist und die betroffene Person darüber schriftlich informiert wurde. Die konkreten Abläufe und Zuständigkeiten sind Gegenstand der Weisungen über die Nutzung von Informatik- und Kommunikationsmittel und den Informationsschutz in den Parlamentsdiensten vom 11. August 2008. Für Drittpersonen, welche als Folge eines Vertragsverhältnisses die elektronische Infrastruktur der Bundesversammlung nutzen, gelten gemäss diesen Weisungen die gleichen Regeln wie für die Mitarbeitenden der Parlamentsdienste.

Ratsmitglieder sind nicht in eine Hierarchie eingebunden und haben keine vorgesetzte Behörde. Aus diesem Grund ist es wichtig zu regeln, wer bei Ratsmitgliedern die Voraussetzungen für die Durchführung einer personenbezogenen Auswertung überprüft. Weiter muss eine Stelle definiert werden, welche im Falle einer Verweigerung des Einverständnisses der betroffenen Person die Auswertung bewilligt.

Auch für die Mitarbeitenden der Fraktionssekretariate müssen diese Fragen geregelt werden, denn diese sind weder Teil der Bundesversammlung noch der Parlamentsdienste.

3

Vorgehen bei einer personenbezogenen Auswertung der Randdaten wegen Missbrauchs oder Missbrauchsverdachts

Das Büro schlägt bei einer personenbezogenen Auswertung der Randdaten wegen Missbrauchs oder Missbrauchverdachts der Ratsmitglieder oder der Mitarbeitenden der Fraktionssekretariate in sinngemässer Anwendung von Artikel 10ff. der «Randdatenverordnung» folgendes Vorgehen vor: 1.

Wer einen Missbrauchsverdacht hegt, wendet sich an die Sicherheitsbeauftragte oder den Sicherheitsbeauftragten der Bundesversammlung. Diese(r) verfasst, gestützt auf die zum Verdacht gemachten Angaben, einen schriftlichen Bericht. Sie oder er holt die Einwilligung der betroffenen Person ein und beantragt bei der Betreiberin (IT), eine Auswertung der Randdaten der betroffenen Person vorzunehmen.

2.

Bevor die Betreiberin die Auswertung vornehmen kann, prüft der oder die Delegierte der Verwaltungsdelegation, ob der konkrete Missbrauchsverdacht hinreichend schriftlich begründet oder der Missbrauch belegt ist, und ob die betroffene Person darüber schriftlich informiert worden ist.

3.

Stimmt die betroffene Person einer solchen Auswertung nicht zu, so müssen für Ratsmitglieder die Verwaltungsdelegation, und für Mitarbeitende der Fraktionssekretariate der Fraktionspräsident oder die Fraktionspräsidentin die Auswertung bewilligen.

4.

Nach der technischen Auswertung übergibt die Betreiberin (IT) das Ergebnis der Auswertung der oder dem Sicherheitsbeauftragten der Bundesversammlung. Diese(r) informiert die betroffene Person und entweder die Verwal1007

tungsdelegation oder die Fraktionspräsidentin oder den Fraktionspräsidenten. Je nach Ergebnis der Auswertung wird anschliessend ein Strafverfahren beantragt oder ein Disziplinarverfahren eingeleitet.

4

Erläuterungen zu den einzelnen Bestimmungen

Gliederungstitel vor Art. 16c

8. Abschnitt: Bearbeitung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur anfallen Das Büro stellt fest, dass die «Randdatenverordnung» grundsätzlich anwendbar ist, dass aber für die Ratsmitglieder und die Mitarbeitenden in den Fraktionssekretariaten Zuständigkeitsfragen geklärt werden müssen. Aus diesem Grund beantragt das Büro, die ParlVV mit einem neuen 8. Abschnitt zur Bearbeitung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur anfallen, zu ergänzen.

Art. 16c

Rechtsgrundlagen und Zuständigkeiten

Absatz 1 wiederholt den Grundsatz von Artikel 57q Absatz 3 RVOG, wonach die «Randdatenverordnung» auch für die Mitglieder der Bundesversammlung gilt und und stellt klar, dass diese Bestimmungen auch für die Fraktionssekretariate gelten, soweit sie die elektronische Infrastruktur der Bundesversammlung nutzen. Das Ressort Informatik und neue Technologien (IT) der Parlamentsdienste ist die Betreiberin der Informatiklösungen der Bundesversammlung, der Parlamentsdienste und (teilweise) der Fraktionssekretariate.

Die «Randdatenverordnung» überträgt verschiedene Aufgaben «der nach dem Datenschutzkonzept des Bundesorgans vorgesehenen Stelle». Das Büro schlägt vor, diese Aufgaben der oder dem Sicherheitsbeauftragten der Bundesversammlung zu übertragen und diese Funktion gleichzeitig in der ParlVV zu verankern (vgl. Art. 27 Abs. 1bis des Entwurfs).

Art. 16d

Namentliche personenbezogene Auswertung wegen Missbrauchs oder Missbrauchsverdachts

Artikel 16d enthält die rechtlichen Grundlagen für das Vorgehen bei einer personenbezogenen Auswertung der Randdaten wegen Missbrauchs oder Missbrauchsverdachts, wie vorne in Kapitel 3 Schritt für Schritt dargestellt. Ein Missbrauch der elektronischen Infrastruktur liegt vor, wenn die Art oder das Ausmass der Nutzung die Vorgaben des Bundesorgans oder Rechtsvorschriften verletzt. Gestützt auf diese Bestimmungen kann eine personenbezogene Auswertung erfolgen, wenn ein konkreter Verdacht gegen eine bestimmte Person besteht. Es ist aber nicht möglich, ohne konkrete Anhaltspunkte eine personenbezogene Auswertung durchzuführen. Eine flächendeckende systematische Kontrolle der Randdaten ist ausgeschlossen.

1008

Art. 27 Abs. 1bis Die Kompetenz der Verwaltungsdelegation, die oder den Sicherheitsbeauftragten der Bundesversammlung zu ernennen, wird neu in der ParlVV ausdrücklich erwähnt.

Die oder der Sicherheitsbeauftragte ist in allen Bereichen der Sicherheit zuständig für die Planung und die Organisation von Schutzmassnahmen für Ratsmitglieder und Mitarbeitende der Parlamentsdienste, was auch die von ihnen bearbeiteten Daten umfasst. Sie oder er erarbeitet zuhanden der Verwaltungsdelegation die Sicherheitsstrategie der Bundesversammlung und der Parlamentsdienste, überwacht deren operativen Vollzug, unterbreitet der Verwaltungsdelegation Vorschläge und erstattet ihr Bericht.

5

Finanzielle und personelle Auswirkungen

Für den Fall einer Auswertung der Randdaten müssen Vorkehrungen in technischer Hinsicht getroffen werden. Es gilt den Prozess und die Hilfsmittel zu definieren sowie das Know-How sicherzustellen, damit die im konkreten Fall angeordneten Auswertungen innert nützlicher Frist vollzogen werden können.

Diese Arbeiten sind mit geringem personellem Aufwand und geringen finanziellen Folgen verbunden.

Der Betriebsaufwand wird im konkreten Fall einer Auswertung anfallen. Dieser hängt von der Häufigkeit und von der Komplexität der angeordneten Auswertung ab. Der Aufwand für eine Auswertung wird auf ungefähr zwei Tage geschätzt, die Zeitdauer auf eine Woche.

6

Rechtliche Grundlagen

Das RVOG und die «Randdatenverordnung» des Bundesrates sind die rechtlichen Grundlagen für diese Anpassungen der ParlVV.

1009

1010