Art. 7

“Die Vorinstanz beschränkt sich in der angefochtenen Verfügung in Bezug auf die Ablage der hier infrage stehenden besonders sensitiven Daten auf die Anordnung, dass die Auskunft darüber, ob sie zum Zeitpunkt des Auskunftsbegehrens des Beschwerdeführers Daten über ihn in den nachrichtendienstlichen Informationssystemen bearbeitet habe, aufgeschoben werde. Zur Begründung macht sie geltend, dass der Auskunftserteilung betreffend das Dokument in der Ablage besonders sensitiver Daten (Operative Datenablage) überwiegende öffentliche Interessen gemäss Art. 9 Abs. 2 Bst. a aDSG entgegenstünden. Zwar trifft zu, dass der Inhalt geheim zu haltender Dokumente nicht auf dem Weg der Verfügungsbegründung bekannt gemacht werden darf. Der blosse Verweis auf die nach Auffassung der Vorinstanz anwendbare datenschutzrechtliche Bestimmung und «überwiegende öffentliche Interessen» erweist sich allerdings als inhaltliche Leerformel und genügt den dargelegten Anforderungen an eine rechtsgenügliche Begründung - auch unter Berücksichtigung der Geheimhaltungsinteressen nach dem NDG - nicht. Der Umstand, dass Personendaten in der für die Speicherung besonders sensitiver Daten im Sinne von Art. 7 VIS-NDB vorgesehenen «Operativen Datenablage» bearbeitet werden, rechtfertigt für sich allein noch keinen Aufschub der Auskunft. In ihrer Beschwerdevernehmlassung räumt denn auch die Vorinstanz selber eine Gehörsverletzung ein, wenn sie unter Hinweis auf die von ihr im Beschwerdeverfahren nachgereichten Angaben eine Heilung der «unterbliebenen Gewährung des rechtlichen Gehörs» wie auch eine angemessene Berücksichtigung der Gehörsverletzung bei den Kostenfolgen beantragt (Vernehmlassung, S. 8 und 10). In ihrer Beschwerdevernehmlassung ergänzt die Vorinstanz ihre Begründung dahingehend, dass eine genehmigungsfreie Beschaffungsmassnahme zur Diskussion stehe und das Dokument Angaben zu mehreren Anlässen im Aufgabengebiet des NDB (frühzeitige Erkennung und Verhinderung von Bedrohungen der inneren oder äusseren Sicherheit) enthalte, wobei in diesem Dokument auch die Personalien des Beschwerdeführers aufgeführt seien. Die am 4. Februar 2025 in den Räumlichkeiten des Bundesverwaltungsgerichts durchgeführte Akteneinsicht hat ergeben, dass der Beschwerdeführer im massgeblichen Dokument lediglich mit seinen Personalien (Vorname, Name und Geburtsdatum) erfasst ist.”

“Steht mithin fest, dass Art. 47 Abs. 1 NDG auch eine gesonderte Abspeicherung von besonders sensitiven Daten ausserhalb der gesetzlich angeführten Informationssysteme ermöglicht, so bleibt zu prüfen, ob Art. 7 Abs. 1 VIS-NDB durch die Delegationsnorm von Art. 47 Abs. 2 NDG rechtsgenüglich abgedeckt ist. Nach Art. 47 Abs. 2 Bst. b und c NDG ist der Bundesrat insbesondere gesetzlich ermächtigt, die Zuständigkeit und die Zugriffsrechte für die Datenspeicherung zu regeln. Diese Kompetenz beinhaltet mithin auch die Einschränkung der Zugriffsrechte für besonders sensitive Daten, die der gesetzlich gebotene Quellenschutz (Art. 35 NDG) erfordert. Die Grundzüge der gesonderten Abspeicherung von besonders sensitiven Daten gemäss Art. 7 Abs. 1 VIS-NDB sind demnach in einem Gesetz im formellen Sinn enthalten. Überdies beschränkt sich Art. 7 VIS-NDB auf den klar begrenzten Sachbereich des Quellenschutzes und die Delegation ist in der Verfassung nicht ausgeschlossen. Die Voraussetzungen für eine Gesetzesdelegation sind demnach gegeben.”

“Gestützt auf die Delegationsnormen von Art. 47 Abs. 2 und 58 Abs. 6 NDG hat der Bundesrat die VIS-NDB erlassen. Die Bearbeitung besonders sensitiver Daten ist in Art. 7 VIS-NDB wie folgt geregelt: Ist es für besonders sensitive Daten aus Gründen des Quellenschutzes nach Artikel 35 NDG erforderlich, so bearbeitet der NDB diese Daten ausserhalb seiner Informationssysteme (Abs. 1). Die Daten sind in besonders geschützten Behältnissen oder Räumlichkeiten aufzubewahren. Sie können nur direkt abgefragt werden und stehen nicht für besondere Auswertungen zur Verfügung (Abs. 2). Zugriff auf die Daten haben nur diejenige Mitarbeiterin oder derjenige Mitarbeiter des NDB oder deren oder dessen Stellvertreterin oder Stellvertreter, die oder der für die Führung der betreffenden Operation oder für die Führung einer Quelle zuständig ist, sowie die Chefin oder der Chef der Beschaffung oder deren oder dessen Stellvertreterin oder Stellvertreter (Abs. 3). Der NDB erfasst die aus einer Operation oder der Führung einer Quelle resultierenden nachrichtendienstlichen Informationen nach den Vorgaben von Artikel 4 Absatz 1 zur Auswertung in IASA NDB oder IASA-GEX NDB (Abs. 4). Nach Abschluss der Operation oder der Führung der Quelle löscht er alle ausserhalb der Informationssysteme gespeicherten Personendaten, mit Ausnahme der Daten zur Quelle (Abs.”

“1 des Entwurfs) einen Überblick über die im NDG explizit geregelten Informationssysteme. Ein Hinweis darauf, dass es sich dabei nach der Konzeption des Gesetzgebers um alle dem NDB zur Verfügung stehenden Informationssysteme handeln soll, lässt sich hieraus indes nicht entnehmen. Wie bereits ausgeführt (E. 7.1 hiervor), betont der Gesetzgeber in der Botschaft die herausragende Bedeutung des Quellenschutzes für das Vertrauen in die Diskretion wie auch für die Beschaffung der notwendigen Informationen für den Nachrichtendienst (Botschaft NDG, S. 2713). Aus den Erläuterungen des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) zur VIS-NDB (< https://www.newsd.admin.ch/ newsd/message/attachments/46906.pdf >, abgerufen am 05.02.2025) geht schliesslich hervor, dass die vom Bundesrat vorgesehene Führung von Daten ausserhalb der gesetzlich vorgesehenen Informationssysteme des NDB sicherstellen soll, dass nur ein ganz enger Kreis von Personen auf diese heiklen Daten zugreifen könne (Erläuterungen, S. 12). Dabei handelt es sich ausschliesslich um die in Art. 7 Abs. 3 VIS-NDB aufgeführten Personen. Weiter wird in den Erläuterungen präzisiert, dass die von den Quellen gelieferten Erkenntnisse anonymisiert in die ND-relevanten Daten (IASA NDB oder IASA-GEX NDB) einfliessen. Dabei könne das Auskunftsrecht betroffener Personen über diese Systeme und die Speichersysteme der operationsbezogenen Daten ausgeübt werden. In den Erläuterungen zu Art. 7 VIS-NDB hat das zuständige Departement überdies ausgeführt, dass es bei besonders sensitiven Daten (bspw. operativ notwendige Informationen zu menschlichen Quellen des NDB, zu deren Identität, Auswahl, Risikobeurteilung, Quellenführung, etc.) regelmässig aus Gründen des Quellenschutzes notwendig sei, diese ausserhalb der Informationssysteme des NDB zu führen. Dadurch könne sichergestellt werden, dass nur ein ganz enger Kreis von Personen auf diese heiklen Daten zugreifen könnten, nämlich diejenigen Personen, die mit der Führung der Operation beauftragt seien oder die Chefin oder der Chef der Beschaffung. Ferner wird angemerkt, dass die Geschäftsprüfungsdelegation und das EJPD die fehlende formell-gesetzliche Grundlage dieser besonderen Bearbeitung kritisiert hätten.”

“Besonders schützens-werte Personendaten sowie Persönlichkeitsprofile dürfen sie gemäss Art. 17 Abs. 2 aDSG nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht oder wenn ausnahmsweise es für eine in einem Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich ist (Bst. a), der Bundesrat es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind (Bst. b), oder die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Bst. c). Das Erfordernis der Bearbeitung einer in einem Gesetz im formellen Sinn klar umschriebenen Aufgabe (im Sinne von Art. 17 Abs. 2 Bst. a aDSG) setzt voraus, dass die Erfüllung dieser Aufgabe ansonsten nicht möglich ist (Sarah Ballenegger, in: Maurer-Lambrou/ Brechta [Hrsg.], Basler Kommentar zum Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014, Art. 17 N. 26 f.). Der Begriff der besonders sensitiven Daten im Sinne von Art. 7 VIS-NDB unterscheidet sich von jenem der «besonders schützenswerten Personendaten», wie er in Art. 3 Bst. c Ziff. 1-4 aDSG konkret umschrieben wird, wesentlich. Während ersterer ausschliesslich die Sicherstellung des Quellenschutzes nach Art. 35 NDG bezweckt, bezieht sich letzterer auf Personendaten, welche die Persönlichkeit der betroffenen Person in erhöhtem Mass berühren (Gabor P. Blechta, Basler Kommentar zum Datenschutzgesetz, Öffentlichkeitsgesetz, Art. 3 N. 27 f.). Von daher darf Art. 17 Abs. 2 aDSG nicht unbesehen für die Beurteilung der Gesetzmässigkeit des Informationssystems für besonders sensitive Daten übernommen werden. Die Regelung von Art. 17 Abs. 2 aDSG zeigt allerdings auf, dass ein Verzicht auf eine explizite gesetzliche Grundlage möglich ist, soweit dies zur Erfüllung einer gesetzlich klar umschriebenen Aufgabe zwingend notwendig ist. Wie vorstehend ausgeführt, kommt dem Quellenschutz nach der Konzeption des Gesetzgebers eine herausragende Bedeutung zu. Die Wahrung dieses Gesetzeszweckes erfordert eine besondere Behandlung der besonders sensitiven Daten (vgl.”

“1 hiervor), betont der Gesetzgeber in der Botschaft die herausragende Bedeutung des Quellenschutzes für das Vertrauen in die Diskretion wie auch für die Beschaffung der notwendigen Informationen für den Nachrichtendienst (Botschaft NDG, S. 2713). Aus den Erläuterungen des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) zur VIS-NDB (< https://www.newsd.admin.ch/ newsd/message/attachments/46906.pdf >, abgerufen am 05.02.2025) geht schliesslich hervor, dass die vom Bundesrat vorgesehene Führung von Daten ausserhalb der gesetzlich vorgesehenen Informationssysteme des NDB sicherstellen soll, dass nur ein ganz enger Kreis von Personen auf diese heiklen Daten zugreifen könne (Erläuterungen, S. 12). Dabei handelt es sich ausschliesslich um die in Art. 7 Abs. 3 VIS-NDB aufgeführten Personen. Weiter wird in den Erläuterungen präzisiert, dass die von den Quellen gelieferten Erkenntnisse anonymisiert in die ND-relevanten Daten (IASA NDB oder IASA-GEX NDB) einfliessen. Dabei könne das Auskunftsrecht betroffener Personen über diese Systeme und die Speichersysteme der operationsbezogenen Daten ausgeübt werden. In den Erläuterungen zu Art. 7 VIS-NDB hat das zuständige Departement überdies ausgeführt, dass es bei besonders sensitiven Daten (bspw. operativ notwendige Informationen zu menschlichen Quellen des NDB, zu deren Identität, Auswahl, Risikobeurteilung, Quellenführung, etc.) regelmässig aus Gründen des Quellenschutzes notwendig sei, diese ausserhalb der Informationssysteme des NDB zu führen. Dadurch könne sichergestellt werden, dass nur ein ganz enger Kreis von Personen auf diese heiklen Daten zugreifen könnten, nämlich diejenigen Personen, die mit der Führung der Operation beauftragt seien oder die Chefin oder der Chef der Beschaffung. Ferner wird angemerkt, dass die Geschäftsprüfungsdelegation und das EJPD die fehlende formell-gesetzliche Grundlage dieser besonderen Bearbeitung kritisiert hätten. Obwohl ein vom NDB in Auftrag gegebenes Gutachten zum Schluss gekommen sei, dass eine materiell-gesetzliche Grundlage ausreiche und die Datenbearbeitung korrekt erfolge, werde bei der nächsten Revision des NDG eine formell-gesetzliche Grundlage geschaffen werden (S.”

“Art. 47 Abs. 1 NDG zählt die vom NDB zur Erfüllung seiner Aufgaben betriebenen Informationssysteme (IASA NDB, IASA-GEX NDB, INDEX NDB, GEVER NDB, ELD, OSINT-Portal, Quattro P, ISCO und Restdatenspeicher; Bst. a-i) auf. Art. 47 Abs. 2 NDB ermächtigt den Bundesrat sodann, für jedes Informationssystem die Einzelheiten der Datenbearbeitung, das heisst den Katalog der Personendaten, die Zuständigkeit bei der Datenbearbeitung, die Zugriffsrechte, die Häufigkeit der Qualitätssicherung, die Aufbewahrungsdauer und Löschung der Daten sowie die Datensicherheit, zu regeln. Es stellt sich daher die Frage, ob die Aufzählung der Informationssysteme nach Art. 47 Abs. 1 NDG abschliessenden oder nur exemplarischen Charakter hat respektive ob die Regelung von Art. 7 VIS-NDB auf eine hinreichende Delegationsnorm abgestützt ist und damit im Einklang mit dem Legalitätsprinzip steht.”

“Steht mithin fest, dass Art. 47 Abs. 1 NDG auch eine gesonderte Abspeicherung von besonders sensitiven Daten ausserhalb der gesetzlich angeführten Informationssysteme ermöglicht, so bleibt zu prüfen, ob Art. 7 Abs. 1 VIS-NDB durch die Delegationsnorm von Art. 47 Abs. 2 NDG rechtsgenüglich abgedeckt ist. Nach Art. 47 Abs. 2 Bst. b und c NDG ist der Bundesrat insbesondere gesetzlich ermächtigt, die Zuständigkeit und die Zugriffsrechte für die Datenspeicherung zu regeln. Diese Kompetenz beinhaltet mithin auch die Einschränkung der Zugriffsrechte für besonders sensitive Daten, die der gesetzlich gebotene Quellenschutz (Art. 35 NDG) erfordert. Die Grundzüge der gesonderten Abspeicherung von besonders sensitiven Daten gemäss Art. 7 Abs. 1 VIS-NDB sind demnach in einem Gesetz im formellen Sinn enthalten. Überdies beschränkt sich Art. 7 VIS-NDB auf den klar begrenzten Sachbereich des Quellenschutzes und die Delegation ist in der Verfassung nicht ausgeschlossen. Die Voraussetzungen für eine Gesetzesdelegation sind demnach gegeben.”

“1 hiervor), betont der Gesetzgeber in der Botschaft die herausragende Bedeutung des Quellenschutzes für das Vertrauen in die Diskretion wie auch für die Beschaffung der notwendigen Informationen für den Nachrichtendienst (Botschaft NDG, S. 2713). Aus den Erläuterungen des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) zur VIS-NDB (< https://www.newsd.admin.ch/ newsd/message/attachments/46906.pdf >, abgerufen am 05.02.2025) geht schliesslich hervor, dass die vom Bundesrat vorgesehene Führung von Daten ausserhalb der gesetzlich vorgesehenen Informationssysteme des NDB sicherstellen soll, dass nur ein ganz enger Kreis von Personen auf diese heiklen Daten zugreifen könne (Erläuterungen, S. 12). Dabei handelt es sich ausschliesslich um die in Art. 7 Abs. 3 VIS-NDB aufgeführten Personen. Weiter wird in den Erläuterungen präzisiert, dass die von den Quellen gelieferten Erkenntnisse anonymisiert in die ND-relevanten Daten (IASA NDB oder IASA-GEX NDB) einfliessen. Dabei könne das Auskunftsrecht betroffener Personen über diese Systeme und die Speichersysteme der operationsbezogenen Daten ausgeübt werden. In den Erläuterungen zu Art. 7 VIS-NDB hat das zuständige Departement überdies ausgeführt, dass es bei besonders sensitiven Daten (bspw. operativ notwendige Informationen zu menschlichen Quellen des NDB, zu deren Identität, Auswahl, Risikobeurteilung, Quellenführung, etc.) regelmässig aus Gründen des Quellenschutzes notwendig sei, diese ausserhalb der Informationssysteme des NDB zu führen. Dadurch könne sichergestellt werden, dass nur ein ganz enger Kreis von Personen auf diese heiklen Daten zugreifen könnten, nämlich diejenigen Personen, die mit der Führung der Operation beauftragt seien oder die Chefin oder der Chef der Beschaffung. Ferner wird angemerkt, dass die Geschäftsprüfungsdelegation und das EJPD die fehlende formell-gesetzliche Grundlage dieser besonderen Bearbeitung kritisiert hätten. Obwohl ein vom NDB in Auftrag gegebenes Gutachten zum Schluss gekommen sei, dass eine materiell-gesetzliche Grundlage ausreiche und die Datenbearbeitung korrekt erfolge, werde bei der nächsten Revision des NDG eine formell-gesetzliche Grundlage geschaffen werden (S.”

“Aus dem Gesagten folgt, dass der Wortlaut keine verlässliche Auskunft auf die Frage des abschliessenden Charakters der in Art. 47 Abs. 1 NDG aufgelisteten Informationssysteme gibt. Die systematische und historisch-teleologische Auslegung legt allerdings den Schluss nahe, dass die gesonderte Abspeicherung und Bearbeitung von besonders sensitiven Daten ausserhalb der formell-gesetzlich aufgeführten Systeme mit Ziel des historischen Gesetzgebers und dem von diesem verfolgten Zweck im Einklang steht. Auch in systematischer Hinsicht vermag die bestehende gesetzliche Regelung dem Legalitätsprinzip zu genügen. Daraus folgt, dass sich die materiell-rechtliche Grundlage von Art. 7 VIS-NDB als gesetzmässig erweist. Die gesetzliche Regelung in Art. 47 Abs. 1 und Abs. 2 NDG stützt sich schliesslich auch auf eine hinreichende verfassungsmässige Grundlage (vgl. dazu Art. 54 Abs. 1 und Art. 173 Abs. 2 BV), so dass die bestehende Regelung auch aus verfassungsrechtlicher Sicht nicht zu beanstanden ist.”

“Zusammenfassend ist festzuhalten, dass die Vorinstanz ihren Entscheid, die Auskunft aufzuschieben, in der angefochtenen Verfügung unzureichend begründet hat, indem sie sich darin (nur) auf die Anwendung von Art. 9 Abs. 2 Bst. a aDSG respektive auf «öffentliche Interessen» berufen hat. Nach Einsichtnahme in das streitbetroffene Dokument kommt das Bundesverwaltungsgericht zum Schluss, dass die Verfügung unter Einbezug der im Beschwerdeverfahren nachgeschobenen Begründung den Anforderungen an eine rechtsgenügliche Begründung zu genügen vermag. Einer weitergehenden Begründung stehen überwiegende Geheimhaltungsinteressen entgegen. Die mit der ungenügenden Begründung einhergehende Gehörsverletzung kann im Beschwerdeverfahren geheilt werden. Immerhin ist dieser Verletzung im vorliegenden Beschwerdeverfahren bei der Regelung der Kosten- und Entschädigungsfolgen angemessen Rechnung zu tragen (vgl. nachfolgende E. 10). Das hochrangige Interesse an der Wahrung des Quellenschutzes überwiegt im konkreten Fall das private Interesse an der Auskunftserteilung ohne Weiteres. Die gestützt auf Art. 7 Abs. 1 VIS-NDB vorgenommene Bearbeitung besonders sensitiver Daten stützt sich mit Art. 47 Abs. 2 NDG auf eine hinreichende Delegationsnorm. Eine Verletzung des Legalitätsprinzips kann deshalb verneint werden. Die Beschwerde ist demnach abzuweisen und die angefochtene Verfügung ist zu bestätigen.”