Fichenskandal 3.0: Public Eye unter geheimdienst­lichem Extremismus­verdacht

Die Aktivitäten von Public Eye und der daran teilnehmenden Personen fallen unter die Bearbeitungsschranke von Art. 5 Abs. 5 NDG. Diese verbietet dem NDB die Beschaffung und Bearbeitung von Informationen über die politische Betätigung und über die Ausübung der Meinungs-, Versammlungs- oder Vereinigungsfreiheit. Ausnahmen sind gemäss Art. 5 Abs. 6 und Abs. 8 NDG nur möglich, falls es um die Vorbereitung von terroristischen, verbotenen nachrichtendienstlichen oder gewalttätig-extremistischen Tätigkeiten geht – was bei Public Eye offensichtlich nicht der Fall ist. Die Tatsache, dass der NDB dennoch Daten beschafft hat, verstösst daher gegen das NDG und verletzt die Grundrechte von Public Eye und den in den Akten erwähnten Personen (Schutz des Privatlebens, informationelle Selbstbestimmung, Meinungsfreiheit, Versammlungsfreiheit). 

Die Erfassung von Daten zu den Aktivitäten von Public Eye und den darin involvierten Personen kann generell nicht mit dem Zweck gemäss Art. 2 NDG und dem Aufgabengebiet gemäss Art. 6 NDG begründet werden. Falls es in Ausnahmefällen doch einen Anlass zur Erfassung einzelner Daten geben sollte, hätten die Namen der Organisation Public Eye und der erwähnten Personen vor Ablage geschwärzt werden müssen, damit sie bei der Freitextsuche nicht als «personenbezogene Daten» auffindbar sind. Der NDB legt zudem die Daten in unterschiedliche Systeme mit unterschiedlichem Zweck ab. Das Datensystem «IASA-Gex» ist die Ablage mit Bezug zu gewalttätigem Extremismus. In der Auskunft an Public Eye hat der NDB die Einträge der Systeme «IASA NDB» und in «IASA-GEX» zusammengenommen, es ist demnach nicht ersichtlich, welche Einträge wo abgelegt sind. Die Tatsache, dass es überhaupt Einträge von Public Eye in der Datenbank «IASA-GEX» zu gewalttätigem Extremismus geben soll, ist weder nachvollziehbar noch gesetzeskonform. 

Eine Vielzahl der Einträge zu Public Eye betreffen die WEF-Gegenveranstaltung «Public Eye on Davos». Kurzfristige Einträge können zwecks sicherheitspolizeilicher Vorbereitungen erfasst werden – müssen dann aber gemäss der Geschäftsprüfungskommission GPDel spätestens nach einem Jahr gelöscht werden, was bei Public Eye nicht der Fall ist. Auch wurden bewilligte Anlässe wie Protestaktionen gegen Ausbeutung von Textilarbeiter*innen oder die Unterschriftensammlung für eine Petition gegen hochgefährliche Pestizide erfasst und länger als ein Jahr aufbewahrt, was sich sicherheitspolizeilich nicht begründen lässt.  

Public Eye hat vom NDB nur Auskunft in Form einer tabellarischen Übersicht erhalten, nicht aber alle Kopien der Originaleinträge. Die Auskunft war demnach nicht vollständig und der NDB hat nicht – wie er es von Gesetzes wegen müsste - den Beleg erbracht, dass die Auskunft vollständig war, denn dazu hätte es Kopien der Originaleinträge gebraucht. Wieso das zentral ist, zeigen diese zwei Beispiele:  

In den Public-Eye-Akten des NDB steht in der tabellarischen Übersicht lediglich «Bericht DAP (Vorgängerorganisation NDB, European Social Forum Florenz 6.-10. November 2002)». Erst in der mitgelieferten (geschwärzten) Kopie des Originaleintrags wird der Detaileintrag der Datenerfassung ersichtlich: die EvB-Delegation reiste mit einer 18-köpfigen Reisegruppe nach Italien ans Sozialforum, wurde an der Grenze kontrolliert und hatte in Florenz einen Workshop veranstaltet. Der Dateneintrag ist erstaunlich detailliert für eine Organisation, die den NDB angeblich nicht interessiert und zeugt zudem von der Zusammenarbeit des DAP mit ausländischen Geheimdiensten. In einem weiteren Eintrag vom März 2019 wird die Teilnahme von Public Eye an einer zivilgesellschaftlichen Gegenveranstaltung zum Gipfel der Rohstoffhändler in Lausanne erwähnt. Die mitgelieferte Kopie zeigt: Der Eintrag läuft unter «Internetmonitoring Linksextremismus» – ohne weitere Begründung.  

Gemäss Art. 25 Datenschutzgesetz (DSG) kann vom zuständigen Bundesorgan verlangt werden, dass widerrechtlich bearbeitete Personendaten unterlassen respektive gelöscht werden. Die Arbeit von Public Eye fällt unter die Bearbeitungsschranke gemäss Art. 5 NDG, ein Bezug zum Aufgabengebiet des NDB gemäss Art. 6 lässt sich nicht herstellen. Sicherheitspolizeiliche Einträge müssten nach einem Jahr gelöscht werden. Somit müssten die über 400 Einträge von Public Eye grossmehrheitlich gelöscht werden. Mit der Weigerung des NDB, dem Löschbegehren nachzukommen, verweigert der NDB ein weiteres Mal den korrekten Umgang mit Daten. 

Der NDB beschafft Informationen, analysiert diese, wertet sie aus und leitet sie weiter mit dem Ziel, Entscheidungsträger*innen aller Stufen mit Informationen zu versorgen, die diese benötigen, um ihre Führungsaufgabe situations- und zeitgerecht wahrnehmen zu können. Die nachrichtendienstliche Informationsbeschaffung tangiert die Grundrechte der Personen und Organisationen, deren Daten erfasst und bearbeitet werden. Der NDB ist deshalb nicht frei in der Beschaffung von Daten, sondern muss die Grundrechte der davon betroffenen Personen und die Schranken, welche ihm das Gesetz auferlegt, beachten.  

Der grundrechtliche Schutz betrifft jedes staatliche Erheben, Sammeln, Verarbeiten, Aufbewahren und Weitergeben von Angaben, die einen Bezug zur Privatsphäre einer Person haben. Zu den Grundrechten gehören das Recht, selbst darüber zu bestimmen, wem und wann persönliche Lebenssachverhalte, Gedanken, Empfindungen oder Emotionen offenbart werden, sowie das Recht auf freie Meinungsäusserungen, und soweit es Meinungsäusserungen anlässlich von Kundgebungen betrifft, das Recht auf Versammlungs- und Vereinigungsfreiheit. Je nachdem, was der Inhalt der Daten ist und um wessen Daten es sich handelt, können auch weitere Grundrechte tangiert sein, etwa der journalistische Quellenschutz oder das Berufsgeheimnis von Anwältinnen und Anwälten, Ärztinnen und Ärzten.  

Art. 5 Abs. 5 NDG verbietet dem NDB die Beschaffung und Bearbeitung von Informationen über die politische Betätigung und über die Ausübung der Meinungs-, Versammlungs- oder Vereinigungsfreiheit in der Schweiz. Diese Schranken gelten nach Art. 5 Abs. 6 NDG nur dann nicht, wenn konkrete Anhaltspunkte vorliegen, dass diese ihre Rechte ausübt, um terroristische, verbotene nachrichtendienstliche oder gewalttätig-extremistische Tätigkeiten vorzubereiten oder durchzuführen. In so einem Fall darf der NDB Informationen über eine Organisation oder Person ausnahmsweise beschaffen und personenbezogen erschliessen.  

Für die Beschaffung und Bearbeitung von Daten gilt der im NDG vorgesehenen Zweck (Art. 2 und Art. 3) und der gesetzlich vorgesehene Aufgabenbereich für den NDB (Art. 6) und regelt diese abschliessend:  

• Der Zweck nach Art. 2 NDG umfasst den Schutz wichtiger Landesinteressen. Dazu gehören die Sicherung der demokratischen und rechtsstaatlichen Grundlagen der Schweiz und der Schutz der Freiheitsrechte ihrer Bevölkerung, die Sicherheit der Bevölkerung der Schweiz sowie die Erhöhung des Schutzes der Schweizer*innen im Ausland, die Unterstützung der Handlungsfähigkeit der Schweiz und der Beitrag zur Wahrung internationaler Sicherheitsinteressen 

• Art. 3 NDG sieht vor, dass der Bundesrat im Falle einer schweren und unmittelbaren Bedrohung den NDB über die in Artikel 2 genannten Landesinteressen hinaus einsetzen kann zum Schutz der verfassungsrechtlichen Grundordnung der Schweiz, zur Unterstützung der schweizerischen Aussenpolitik sowie zum Schutz des Werk-, Wirtschafts- und Finanzplatzes Schweiz. 

• Die Informationsbeschaffung und -bearbeitung des NDB muss einem der in Art. 6 Abs. 1 NDG aufgezählten Zwecke dienen:  

  1. dem frühzeitigen Erkennen und Verhindern von Bedrohungen der inneren oder äusseren Sicherheit, die ausgehen von  

     • Terrorismus 

     • verbotenem Nachrichtendienst 

     • NBC-Proliferation, illegaler Handel mit radioaktiven Substanzen, Kriegsmaterial und anderen Rüstungsgütern 

     • Angriffen auf kritische Infrastruktur  

     • gewalttätiger Extremismus 

  2. zur Feststellung, Beobachtung und Beurteilung von sicherheitspolitisch bedeutsamen Vorgängen im Ausland 

  3. zur Wahrung der Handlungsfähigkeit der Schweiz 

  4. zur Wahrung weiterer wichtiger Landesinteressen nach Artikel 3, wenn dafür ein konkreter Auftrag des Bundesrates vorliegt.  

Die oben aufgeführten Grundsätze gelten für alle «personenbezogenen Daten», welche der NDB beschafft. «Personenbezogene Daten» liegen immer dann vor, wenn Daten mit einer Person verknüpft sind oder mit dieser Person verknüpft werden können. Die Erfassung von Namen und weiterer Daten von Personen und Organisationen stellt für sich allein einen Eingriff in die genannten Grundrechte dar. Bei einer solchen Erfassung müssen die Schranken von Art. 5 NDG durchwegs eingehalten werden, da der NDB die in seinen Informationssystemen vorhandenen Datenbestände mittels Freitextsuche durchsuchen kann. Soweit eine erfasste Person oder Organisation durch die Freitextsuche auffindbar ist, liegt eine «personenbezogene Erschliessung» vor (Jahresbericht GPDel 2019, Kapitel 4.9.1, S. 3045 -3046)1. Es ist dabei nicht ausschlaggebend, ob der NDB gezielt Daten einer Person oder Organisation erfasst oder ob eine Person oder Organisation von der Informationsbeschaffung betroffen ist, ohne dass der NDB dabei bewusst auf diese Person oder Organisation abzielt. Auch in Bezug auf Daten, welche vom NDB als Beifang der Beschaffung von Informationen über eine andere Person oder Organisation anfallen, müssen die gesetzlichen Voraussetzungen und Schranken beachtet werden. Dasselbe gilt für die breite Erfassung von Daten aus öffentlich zugänglichen Quellen, wenn etwa Medienartikel erfasst werden. 

Nicht alle Daten dürfen gemäss den im Gesetz beschriebenen sehr langen Fristen aufbewahrt werden. Die Geschäftsprüfungsdelegation (GPDel) hält als Aufsichtsgremium fest, dass die «Nachrichtendienstliche Risikobeurteilungen für die Planung von sicherheitspolizeilichen Massnahmen» teilweise auf Informationen basierten, die unter «die Schranken von Artikel 5 NDG fallen» und dass «eine temporäre Speicherung von personenbezogenen Daten gestützt auf Artikel 5 Absatz 7 NDG» zulässig erscheine, «wenn sie weniger als ein Jahr dauert» (Jahresbericht GPEDel 2019, Kapitel 4.9.7., S. 3054)2. Dies betrifft insbesondere Veranstaltungen und Anlässe.  

Gemäss Art. 8 DSG besteht ein Anspruch auf Auskunft über Datensammlung und Datenbearbeitung. Eine Person oder Organisation, welche Auskunft in die Daten erhalten möchte, welche der NDB über sie gespeichert hat, kann also ein Datenauskunftsgesuch an den NDB stellen. Die Auskunft erfolgt in der Regel schriftlich, in Form eines Ausdrucks oder Fotokopie und kostenlos (Art. 8, Abs. 5 DSG). Zudem besteht der Anspruch auf Information bezüglich Herkunft der Daten und Zweck der Bearbeitung. Wenn der Inhaber der Datensammlung die Auskunft einschränken will, muss dieser den Grund dafür angeben (Art. 9 Abs. 5 DSG) und die Begründung muss für die betroffene Person nachvollziehbar sein, d.h. es braucht einen Kontext zum Inhalt.  

Art. 9 Abs. 1 lit a DSG lässt Ausnahmeregelungen zu; eine solche Ausnahmeregelung findet sich in Art. 63 Abs 2-5 NDG. Für die NDB-Informationssysteme IASA NDB, IASA-GEX NDB, INDEX NDB, ISCO und Restdatenspeicher sowie in den nachrichtendienstlichen Daten von GEVER NDB kann der NDB die Auskunft in bestimmten Fällen aufschieben (begründete Interessen an einer Geheimhaltung, zur Erfüllung der Aufgaben nach Art. 6 NDG, bei einer Strafverfolgung oder Untersuchungsverfahren, wenn überwiegende Interessen Dritter bestehen, oder wenn über die gesuchstellende Person keine Daten bearbeitet werden). Sobald kein Geheimhaltungsinteresse mehr besteht, spätestens aber nach Ablauf der Aufbewahrungsdauer, muss der NDB der gesuchstellenden Person nach dem DSG Auskunft. Personen, über die keine Daten bearbeitet wurden, muss der NDB spätestens drei Jahre nach Eingang ihres Gesuches darüber informieren. 

Art. 9 DSG lässt eine Einschränkung des Auskunftsrechts zu, muss jedoch verhältnismässig und begründet sein. Zur Wahrung des Grundsatzes der Verhältnismässigkeit kann es geboten sein, die Auskunft nicht gesamthaft zu verweigern, sondern nur teilweise (etwa durch Schwärzungen von Passagen). Die Auskunft darf nur so weit beschränkt werden, als dies unerlässlich ist für die Sicherstellung der im Art. 9 DSG genannten Interessen (überwiegende Interessen Dritter, überwiegende öffentliche Interessen, v.a. bez. innerer oder äusserer Sicherheit, wenn die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens in Fragestellt oder für die Wahrung der Interessen des Inhabers der Datensammlung).