Digitalpolitischer Blick ins Parlament (1/n)

Die NR-/SR-Wahlen im Herbst 2023 waren aus digitalpolitischer Sicht nicht gerade positiv, wurden doch mit Judith Bellaiche und Jörg Mäder (beide GLP) gleich zwei PolitikerInnen nicht mehr gewählt, welche sich in den letzten Jahren immer wieder für relevante Themen eingesetzt hatten. Es ist (nicht nur angesichts der fehlenden Basiskompetenz in Sachen IT-Sicherheit) zu befürchten, dass das zu vielen Sachgeschäften quer liegende Thema Digitalpolitik in den nächsten Jahren weniger prominent in den Debatten und Gesetzen Widerhall finden wird.

Dies heisst aber nicht, dass digitalpolitische Themen in Bern völlig von der Bildfläche verschwinden. Wir werden daher in lockerer Folge einen Blick auf die thematisch relevanten Vorstösse der letzten 3-6 Monate geben und sie aus zivilgesellschaftlicher Sicht kommentieren.

Eines vorneweg: Die Geschäftsfallsuche im Web-Auftritt von National- und Ständerat kann leider nicht nach “digitalpolitisch relevant“ suchen. Falls wir den einen oder anderen Vorstoss übersehen haben, nehmen wir Hinweise darauf gerne in den Kommentaren entgegen.

Wer mit parlamentarischen Begriffen nicht so vertraut ist, findet Näheres zu Anfrage, Interpellation, Motion und Postulat im Parlamentswörterbuch.

Bundesamt für Cybersicherheit (23.10170)

Das bisherige Nationale Zentrum für Cybersicherheit (NCSC) wurde bekanntlich im Rahmen einer kleinen Reorganisation vom EFD ins VBS verschoben, mit der Begründung, dass im VBS aufgrund der thematischen Ausrichtung erhebliches Synergiepotential bestehe. Dies führte bereits im Vorfeld zu einiger Kritik, insbesondere wurde von verschiedenen Stellen befürchtet, dass durch die Kombination von Cybersicherheit (im Sinne von Abwehr von Cyberrisiken) und Cyberangriffen (durch den NDB wie auch durch die Armee) zu Interessenskonflikten führen wird. Interessenskonflikten, welche schlussendlich dazu führen, dass erkannte Lücken offen bleiben, um dem NDB die Arbeit zu erleichtern, auch wenn dadurch die Sicherheit generell reduziert wird.

Als eine der Aufgaben des aus dem NCSC entstandenen Bundesamt für Cybersicherheit (BACS) wurde der Schutz der Bundesverwaltung definiert. Angesichts der verschiedenen Hackerangriffe in 2023 (wie zum Beispiel Xplain) ist das zweifelsfrei ein zentrales Thema (denn auch wenn streng genommen die Hacks nicht die IT-Systeme des Bundes, sondern diejenigen von Zulieferer angriffen, viele der dabei kopierten Daten stammten vom Bund). Allerdings scheint die Schutz-Aufgabe nicht alleine beim BACS angesiedelt zu sein, auch eine Fachstelle im per 1. Januar 2024 ebenfalls neu gegründeten Staatssekretariat für Sicherheitspolitik (SEPOS) wird sich um Informationssicherheit kümmern und so zur Umsetzung des Informationssicherheitsgesetzes und der sicheren Bearbeitung von Informationen im Zuständigkeitsbereich des Bundes beitragen.

Haben wir es hier anstelle der angekündigten Synergien also bereits mit einem ersten Fall zu tun, bei dem verschiedene Köche die Suppe gemeinsam versalzen?

Vor diesem Hintergrund hat Andrey Gerhard (Grüne) am 22. November 2023 eine Anfrage eingereicht. Mit dieser möchte er vom Bundesrat im Wesentlichen wissen, wie die Aufgabenteilung zwischen BACS und SEPOS generell ausgestaltet ist, welche Stelle zum Informationsschutz verbindliche Vorgaben an die Bundesverwaltung machen kann, und wie vermieden werden soll, dass es zwischen den beiden Bereichen zu Überlappungen oder Verantwortungslücken kommt. Im Weiteren nutzt Gerhard die Gelegenheit, auf den Widerspruch zwischen der vom Bundesrat selbst kommunizierten wachsenden Bedeutung von Cybersecurity und dem in den nächsten Jahren gleichbleibenden Budget am Thema hinzuweisen.

Beantworten dürfte der Bundesrat die Anfrage in der Frühlings-Session, wir sind gespannt (und werden in der nächsten Folge darüber berichten).

E-ID und Open Source

Am 22. November 2023 hat der Bundesrat die Botschaft zum neuen E-ID-Gesetz verabschiedet. Das Gesetz sieht in Artikel 11 vor, dass das BIT den Quellcode der zentralen Elemente der für die E-ID notwendigen Vertrauensinfrastruktur veröffentlichen muss.

Mit der Offenlegung des Quellcodes trägt der Bund zur Transparenz bei der E-ID bei und ermöglicht insbesondere, dass Dritte nachvollziehen und prüfen können, ob die Software der Vertrauensinfrastruktur vertrauenswürdig ist. Man kann es aber durchaus bedauern, dass der Bund hier nicht gleich weit geht wie die Post bei der eVoting-Software (bei welcher interessierte Dritte die gesamte Software auf dem eigenen Rechner installieren und testen können). Dass letzteres gar nicht die Absicht ist, wird auch in der Botschaft zum Gesetz deutlich.

Das Ziel der Quellcode-Publikation ist es also explizit, der interessierten Öffentlichkeit das Testen des offengelegten Codes zu ermöglichen. Von einer vollständigen Offenlegung (oder sogar von der Publikation unter einer Open-Source-Lizenz, welche die Verwendung des Codes durch Dritte erlauben würde) ist nicht die Rede.

Auf diese Thematik geht die Anfrage ein, welche der neu in den Nationalrat gewählte Mitte-Politiker Dominik Blunschy kurz vor Weihnachten gestellt hat. Konkret möchte er vom Bundesrat folgendes wissen:

1. Sieht der Bundesrat die zahlreichen positiven Effekte bei der Freigabe des Quellcodes?
2. Unter welcher Open-Source-Lizenz wird der Quellcode veröffentlicht?
3. Plant die zuständige Bundesstelle den Aufbau einer Open Source Community und wenn ja, wie ist das Vorgehen und wer ist dafür zuständig?

Da das E-ID-Gesetz in der vorgestellten Fassung wie oben erwähnt gar keine Open-Source-Lizenz vorsieht (und sich so weder die Frage der Lizenz noch der Community stellt), darf man auf die Antwort gespannt sein. Auch darf man hoffen, dass der Bundesrat trotz der engen Formulierung die Fragen 1 und 3 nicht lapidar mit “Ja” bzw. “Nein” beantwortet …

Sicherheit bei IT-Lieferanten des Bundes

Xplain und andere Hacks/Datenabflüsse bei IT-Lieferanten waren 2023 wiederholt ein Thema (auch bei uns). Und auch wenn die im Fall Xplain eingeleiteten Administrativ- und Strafuntersuchungen noch laufen: Es ist im Sinne des behördlichen Datenschutzes zu begrüssen, dass auch das Parlament am Thema aktiv wird.

Der oben schon erwähnte Mitte-Nationalrat Dominik Blunschy hat hierzu eine Interpellation eingereicht, mit der eine Debatte angestossen werden kann. Und auch wenn davon auszugehen ist, dass der Bundesrat teilweise unter Verweis auf die noch laufenden Untersuchungen keine konkreten Aussagen machen wird: die Fragen nach Auditrecht und -pflicht könnten mithelfen, früher oder später eine Debatte darüberzuführen (zumindest, sofern das Parlament seine Aufsichtspflicht ernst nimmt).

• Mittels welcher Vorgaben stellt der Bundesrat künftig sicher, dass die IKT-beziehenden Organisationseinheiten von ihrem Auditrecht Gebrauch machen?
• Wie beurteilt der Bundesrat die Einführung einer Auditpflicht für die Organisationseinheiten der Bundesverwaltung, welche externe IKT-Dienstleistungen in Anspruch nehmen und wie würde er diese umsetzen?

Es ist ja von aussen effektiv schwer zu verstehen, wieso Ämter ihre Zulieferer nicht stärker kontrollieren. Es ist natürlich auch denkbar, dass eine Kontrolle zwar erfolgt, aber derart oberflächlich bleibt, dass Risiken und Probleme schlicht nicht erkannt werden. Das würde für eine allfällige Auditpflicht entsprechende Vorgaben und fachliche Kompetenzen bedingen (und man darf sich durchaus fragen, wo diese dann herkommen sollen).

Da es sich um eine Interpellation handelt, wird sich durch diese alleine konkret noch nichts ändern. Aber die Antworten des Bundesrats können dazu beitragen, zukünftige Vorstösse konkreter zu formulieren.

Daten aus dem Darknet

Nicht nur der Bund war 2023 das Ziel von Hacker-Angriffen, auch kleine und grosse Unternehmen waren des Öfteren Ziel von Angriffen. Prominent betroffen war der Aargauer Medienkonzern CHmedia (zusammen mit der NZZ), aus welchem über mehrere Tage hinweg insgesamt rund 500 GB Daten abflossen, darunter auch Arbeitsverträge und Lohnabrechnungen. Besondere Aufmerksamkeit erhielt der Fall, weil der Medienkonzern andere Medien bereits im Voraus mittels superprovisorischen Verfügungen davon abhalten wollte, mehr als nur oberflächlich über den Angriff und die dabei abgeflossenen Daten zu berichten.

Ob es an der guten Lobby-Arbeit von CHmedia liegt, oder ob Mitglieder der Kommission für Wirtschaft und Abgaben des Ständerats von selbst tätig geworden ist, ist durch das Kommissionsgeheimnis geschützt. Jedenfalls hat die Kommission im Oktober ein Postulat in den Rat gebracht, welches die Verwendung von illegal an die Öffentlichkeit gelangten Daten durch soziale und private Medien stark einschränken will. Konkret wurde folgendes gefordert:

• Der Bundesrat wird aufgefordert, in einem Bericht aufzeigen, wie der gesetzliche Schutz sensibler persönlicher Daten vor Veröffentlichungen dieser Daten durch soziale und private Medien verbessert werden kann und gleichzeitig einem legitimen öffentlichen Interesse der Aufklärung von systematischen Gesetzesverletzungen Rechnung getragen werden kann.
• Zu prüfen ist dabei insbesondere, ob die Strafbarkeit der Veröffentlichung von einst rechtswidrig erhaltener oder erworbener Personen- oder anderer sensibler Daten eingeführt werden soll und welches die Vor- und Nachteile einer solchen Regelung wären. Eine solche Regelung soll die Arbeit der Strafverfolgungsbehörden weiterhin ermöglichen, sie soll aber auch die zu schützenden Personen vor Vorverurteilungen der Öffentlichkeit und generell in ihren Persönlichkeitsrechten schützen.
• Es soll auch geprüft werden, in welchen Fällen überhaupt illegal erlangte Informationen aller Art veröffentlicht werden dürfen, respektive in welchen Sachverhalten das öffentliche Interesse gegenüber dem privaten Interesse, dass die illegal erlangten Daten nicht veröffentlicht werden dürfen, überwiegt und in welchen Fällen auf eine Strafbarkeit verzichtet werden könnte.

Der Bundesrat kommt in seiner Stellungnahme zum Schluss, dass das Datenschutzgesetz und weitere rechtliche Grundlagen bereits heute ausreichen, um die Privatsphäre Einzelner zu schützen, unabhängig davon ob die persönlichen Daten legal oder illegal erworben wurden. Er weist auch darauf hin, dass das Abwägen von privatem vs. öffentlichen Interesse nicht pauschal geregelt werden kann, sondern vom Einzelfall abhängt, und dass hierzu eine ganze Reihe von bestehenden Gesetzen zu berücksichtigen sind.

Konkret könnte das zum Beispiel heissen, dass der Lohnausweis einer einzelnen Zeitungsausträgerin kaum von öffentlichem Interesse ist, derjenige des Präsidenten eines grossen nationalen Hilfswerks aber unter Umständen schon. Relativ naheliegend ist, dass ein pauscheles Verbot (oder schon nur eine Einschränkung) der Nutzung von Daten aus dem Darknet für journalistische Recherchen dazu führen würde, dass manche sachlich angezeigten Artikel schlicht nicht mehr geschrieben werden, weil Journalistin wie Verleger kein Interesse an/kein Geld für rechtliche Auseinandersetzungen haben.

Trotz der ablehnenden Haltung des Bundesrats und trotz der potentiellen Einschränkung der Pressefreiheit hat der Ständerat das Postulat am 20. Dezember angenommen. Der Bundesrat (bzw. das EJPD) muss nun konkret prüfen, welche zusätzlichen gesetzlichen Massnahmen möglich/notwendig sind, um die Ziele des Postulats zu erreichen, und einen entsprechenden Entwurf vorlegen.

Hasskommentare im Internet

Ebenfalls ums Internet, konkreter gesagt um die Kommentarspalten, geht es in einer kurz vor Weihnachten eingereichten Motion von Mauro Poggia. Da sie im Original französisch geschrieben ist und noch keine Übersetzung vorliegt, stützen wir ins hier ohne 100%ige Genauigkeit auf den von Deepl übersetzten Text.

Konkret fordert die Motion folgendes:

Der Bundesrat wird beauftragt, Maßnahmen zu ergreifen, damit Sender und Verleger, die direkte oder indirekte Subventionen von öffentlichen Körperschaften auf Bundes-, Kantons- oder Gemeindeebene erhalten und Diskussionsforen betreiben oder ihre Publikationen für öffentliche Kommentare öffnen, verpflichtet werden, die Verfasser dieser Kommentare für die Öffentlichkeit durch ihre Identität identifizierbar zu machen.

Motion 23.4530 (aus dem französischen Original übersetzt mit Deepl)

Begründet wird der Vorstoss damit, dass Online-Kommentare in zunehmendem Ausmass verurteilungswürde Äusserungen enthalten, diese in der Praxis aber selten zu Urteilen führen. Aus diesem Grund regt die Motion an, das Auszahlen von direkten oder indirekten Subventionen an Medienhäuser und andere Publikationen mit Online-Kommentarspalten in Zukunft davon abhängig zu machen, dass Online-Kommentar nur noch unter eigenem Namen möglich sind und dem Betreiber der Online-Kommentarspalten die Identität jedes User bekannt sein muss. Oder, um es plakativ zu sagen: Die Motion fordert, zumindest für Online-Plattformen welche von Subventionen profitieren, die Identitäts- und Realnamen-Pflicht für Online-Kommentare.

Nun sind die Online-Kommentare bei einigen Medienhäusern inhaltlich manchmal durchaus grenzwertig bis schlicht inakzeptabel, und eine Moderation ist oft nicht feststellbar. Der Motionär argumentiert allerdings mit oft nicht wiedergutzumachenden Schadens für die Opfer solcher Kommentare und damit, dass öffentliche Amtsträger die Flut von beleidigenden und hasserfüllten Äusserungen, die derzeit zu beobachten sei, nicht länger ertragen können. Inwieweit er in der Lage wäre, diese Aussage mit konkreten Beispielen zu unterlegen, muss momentan offen bleiben (wir greifen das gegebenenfalls wieder auf, falls die Motion von SR und NR angenommen werden sollte). Auch kann man sich zu Recht fragen, ob Amtsträger einen erhöhten Anspruch auf Schutz vor beleidigenden und hasserfüllten Äusserungen haben. In meiner Wahrnehmung finden sich solche Äusserungen vor allem auf Twitter & Co (welches wie andere ausländische Plattformen von der Motion nicht erfasst wird), zielen meist auf Minderheiten und Andersdenkende und stammen ironischerweise häufig von SVP-Politikern. Der die Motion mit-unterzeichnende SVP-Poliker könnte also eher mal in den eigenen Reihen das Bewusstsein dafür schärfen, das auch Online-Kommentare beleidigend sein können.

Unabhängig von der Subventionsproblematik (die hier ja primär als Aufhänger für staatliches Handeln dient) ist die Realnamen-Pflicht für Online-Kommentare ein zweischneidiges Schwert. Es gibt gute Gründe gegen einen Klarnamen-Zwang und Hinweise, dass Realnamen die Diskussionskultur nicht verbessern. Selbst das Wall Street Journal kommt zum Schluss, dass die Vorteile von Online-Anonymität überwiegen (auch wenn man die Argumentation wegen der leicht anderen Rechtslage nicht 1:1 auf Europa und die Schweiz übertragen kann). Konkret ist zu befürchten, dass mit einer Realnamen-Pflicht insbesondere VertreterInnen marginalisierter Gruppen online weniger sichtbar sein werden, und dass Online-Diskussionen generell eher verstummen bzw. in geschlossenen Räumen (Telegram-Chats etc.) stattfinden (in denen rechtliche Kontrolle noch viel schwieriger ist). Eine Realnamen-Pflicht läuft daher Gefahr, die Meinungsvielfalt zu reduzieren ohne das eigentliche Problem der Hasskommentare zu lösen. Eine verstärkte Pflicht für eine aktivere Moderation wäre vermutlich zielführender.

Zum Schluss

Die neue Legislaturperiode hat also mit einigen digitalpolitisch spannenden und teilweise aus Sicht der Zivilgesellschaft auch heiklen Vorstössen gestartet. Erste Erkenntnisse (zumindest bei den Anfragen) wird die Frühlingssession bringen, die konkreteren Vorstösse werden je nach Arbeitslast des Parlaments länger brauchen. Wir werden im Frühsommer auf das Thema zurückkommen.