{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='DE')/Transcripts"}},"ID":20153046,"Language":"DE","BusinessShortNumber":"15.3046","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Diebstahl und Verlust von Kunden- oder Mitarbeiterdaten wie AHV-Nummern oder Bankdaten. Ist das Gesetz hinreichend?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>1. Sind Unternehmen sowie staatliche und halbstaatliche Einrichtungen, die Personendaten bearbeiten, dazu verpflichtet, Personen, deren Daten sie bearbeiten, \u00fcber einen allf\u00e4lligen Diebstahl oder Verlust der Daten (insbesondere der besonders sch\u00fctzenswerten Daten) zu informieren? Falls nicht, beabsichtigt der Bundesrat, eine solche Verpflichtung im Bundesgesetz \u00fcber den Datenschutz oder einem anderen Erlass zu verankern?</p><p>2. Welche Verpflichtungen haben Unternehmen und K\u00f6rperschaften gegen\u00fcber den Personen, deren Daten gestohlen wurden oder verlorengingen? M\u00fcssen sie beispielsweise alles daran setzen, einen Identit\u00e4tsmissbrauch zu vermeiden? M\u00fcssen sie alle Kosten \u00fcbernehmen, die sich aus einem Diebstahl oder Verlust ergeben (insbesondere den administrativen Aufwand, um neue Daten zu erhalten)?</p><p>3. Reicht insbesondere das (private und \u00f6ffentliche) Arbeitsrecht aus, um die Arbeitnehmerinnen und Arbeitnehmer zu sch\u00fctzen, wenn der Arbeitgeberin oder dem Arbeitgeber die Daten, die sie oder er aufgrund des Gesetzes bearbeiten darf, gestohlen werden oder verlorengehen?</p><p>4. Welche Massnahmen gibt es im Falle des Diebstahls einer AHV-Nummer insbesondere zum Verhindern eines Identit\u00e4ts- oder Leistungsmissbrauchs?</p><p>5. Ist die AHV verpflichtet, im Falle eines Datendiebstahls (insbesondere wenn das Risiko eines Identit\u00e4tsmissbrauchs besteht) eine neue AHV-Nummer zu vergeben? Falls nicht, warum? Wird der Bundesrat diese L\u00fccke schliessen?</p><p>6. Ist die geltende Gesetzgebung bez\u00fcglich Diebstahl oder Verlust von Bankdaten hinreichend, insbesondere hinsichtlich der Verhinderung eines Identit\u00e4tsmissbrauchs?</p><p>7. Ist die Sicherheit der Informatiksysteme der Banken, sei dies auf Ebene der Websites, des E-Bankings oder des Kernsystems, garantiert? Von wem werden diese gepr\u00fcft und \u00fcberwacht? Kann es im Falle von Sicherheitsm\u00e4ngeln im Informatiksystem einer Bank Sanktionen geben?</p><p>8. Ist der Bundesrat bereit, diese Probleme im Rahmen seiner Antwort auf die Motion 14.3288 im Detail zu behandeln?</p>","ReasonText":"<p>Die j\u00fcngsten Cyberangriffe auf die BCGE, Sony, Linkedin, J. P. Morgan Chase oder Home Depot haben gezeigt, dass Hacker eine grosse Anzahl von Kunden- und Mitarbeiterdaten stehlen konnten. Darunter befanden sich ausgesprochen sch\u00fctzenswerte Daten wie Sozialversicherungs- oder Bankkontonummern. Leider ist zu bef\u00fcrchten, dass solche Angriffe massiv zunehmen und vehementer werden. Zu den Unannehmlichkeiten f\u00fcr die Opfer geh\u00f6rt insbesondere das erh\u00f6hte Risiko eines Identit\u00e4tsmissbrauchs.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. Das Bundesgesetz \u00fcber den Datenschutz (DSG; SR 235.1) verpflichtet die Inhaber von Datensammlungen nicht, die betroffene Person im Falle eines Missbrauchs ihrer Personendaten zu informieren. Gem\u00e4ss einem Teil der Lehre leitet sich diese Pflicht jedoch aus den allgemeinen Grunds\u00e4tzen der Datensicherheit (Art. 7 DSG) und von Treu und Glauben (Art. 4 Abs. 2 DSG) ab.</p><p>Gegenw\u00e4rtig wird das Datenschutzrecht sowohl im Europarat als auch in der EU \u00fcberarbeitet. In diesen Reformen ist vorgesehen, eine Pflicht zur Information der Kontrollbeh\u00f6rde und/oder der betroffenen Person einzuf\u00fchren. Am 1. April 2015 hat der Bundesrat das Eidgen\u00f6ssische Justiz- und Polizeidepartement (Bundesamt f\u00fcr Justiz) beauftragt, ihm unter Ber\u00fccksichtigung der derzeit laufenden europ\u00e4ischen Datenschutzreformen einen Vorentwurf f\u00fcr eine Revision des DSG zu unterbreiten. Die Einf\u00fchrung der Pflicht, den Missbrauch von Personendaten zu melden, wird im Rahmen dieser Arbeiten gepr\u00fcft.</p><p>2. Wurden die Daten aufgrund einer Verletzung von Artikel\u00a07 DSG verloren oder gestohlen, so kann gegen die Verletzung und deren Folgen mit den Mitteln zum Schutz der Pers\u00f6nlichkeit vorgegangen werden (Art. 15 DSG in Verbindung mit Art. 28a ZGB f\u00fcr Privatpersonen, Art. 25 DSG f\u00fcr die Organe des Bundes). Aufgrund der Pflichten nach den Artikeln 7 DSG und 8 Absatz\u00a01 Buchstaben d und e VDSG (SR 235.11) m\u00fcssen auch Massnahmen zur Vermeidung einer missbr\u00e4uchlichen Verwendung der Daten ergriffen werden. Die betroffenen Unternehmen und Gemeinwesen haben zudem alles Interesse daran, den etwaigen Schaden f\u00fcr die Opfer in Grenzen zu halten, da sie eventuell daf\u00fcr aufkommen m\u00fcssen. F\u00fcr die aus dem Datenverlust oder -diebstahl resultierenden Kosten m\u00fcssen sie allenfalls Schadenersatz leisten.</p><p>3. In Artikel\u00a0328b OR ist die Pflicht verankert, die Pers\u00f6nlichkeit des Arbeitnehmers im Datenschutzbereich zu sch\u00fctzen. Somit gelten f\u00fcr die Arbeitgeber auch die Pflichten betreffend die Datensicherheit nach DSG. Bei Verlust oder Diebstahl seiner Daten kann der Arbeitnehmer die Beseitigung der Verletzung und Schadenersatz verlangen.</p><p>Beim Bund bietet der von Artikel\u00a0328 OR abgeleitete Artikel\u00a04 Absatz\u00a02 Buchstabe\u00a0g des Bundespersonalgesetzes (BPG; SR 172.220.1) Gew\u00e4hr f\u00fcr den Schutz der Pers\u00f6nlichkeit der Angestellten. Die Verantwortlichkeit des Arbeitgebers bei einer Sch\u00e4digung des Arbeitnehmers wird im Verantwortlichkeitsgesetz (VG; SR 170.32) geregelt.</p><p>Der Bundesrat ist der Ansicht, dass diese Regelungen gen\u00fcgen. Die unter Ziffer 1 erw\u00e4hnten Entwicklungen des Datenschutzrechts werden sich dar\u00fcber hinaus vollumf\u00e4nglich auf die Arbeitsverh\u00e4ltnisse im privaten und im \u00f6ffentlichen Sektor auswirken.</p><p>4. Die AHVN13 (13-stellige AHV-Nummer) ist wie der Familienname, der Vorname und das Geburtsdatum ein \u00f6ffentliches Identifikationsattribut. Seit 2008 k\u00f6nnen aus der AHV-Nummer das Alter, die Nationalit\u00e4t und das Geschlecht einer Person nicht mehr abgeleitet werden. Die AHVN13 ist nicht ein amtliches Identit\u00e4tsdokument und gilt nicht als zul\u00e4ssiger und formeller Identit\u00e4tsnachweis. Denn die AHVN13 ist ein ausschliesslich administratives Identifikationsattribut, das den Gemeinwesen neben den \u00fcblichen demografischen Identifikationsattributen (Name, Vorname usw.) zu rein administrativen Zwecken zur Verf\u00fcgung gestellt wird. Die Benutzer, die dieses Attribut systematisch verwenden, werden dadurch keinesfalls von der gesetzlichen Pflicht zur \u00dcberpr\u00fcfung der Identit\u00e4t einer Person mittels eines amtlichen Identit\u00e4tsausweises befreit. Im \u00dcbrigen werden keine Leistungen der Sozialversicherungen auf einfaches Vorweisen der AHVN13 gew\u00e4hrt. Folglich sind keine administrativen Massnahmen f\u00fcr den Fall eines Diebstahls der AHV-Nummer vorgesehen.</p><p>5. F\u00fcr die Zuteilung der AHVN13 ist ausschliesslich die Zentrale Ausgleichsstelle zust\u00e4ndig. Da die Gefahr eines Identit\u00e4tsmissbrauchs mittels missbr\u00e4uchlicher Verwendung der AHVN13 durch Dritte nicht steigt, wenn dieses Identifikationsattribut gestohlen wird, ist die Ausgleichsstelle nicht verpflichtet, die Nummer einer versicherten Person bei einem Datendiebstahl zu \u00e4ndern, auch wenn eine rechtswidrige Verwendung der AHV-Nummer ein Vergehen im Sinne von Artikel\u00a087 AHVG (SR 831.10) darstellt. Im \u00dcbrigen ist bis heute kein problematischer Fall eines Diebstahls der AHVN13 bekannt. Es besteht keine Gesetzesl\u00fccke.</p><p>6. Die Banken sind ebenfalls gehalten, die allgemeinen Grunds\u00e4tze der Datensicherheit gem\u00e4ss DSG (siehe Ziff. 1 und 2 oben) zu beachten. Bei der Teilrevision des Rundschreibens 2008/21 \"Operationelle Risiken Banken\" der Finma sind die Anforderungen in Bezug auf die operationellen Risiken und die Bearbeitung elektronischer Daten von Kundinnen und Kunden erh\u00f6ht worden. Namentlich gem\u00e4ss den Vorgaben betreffend die Kundenidentifikationsdaten sind die Banken verpflichtet, Massnahmen zur Vermeidung des Diebstahls oder Verlusts von Kundendaten zu ergreifen (Anhang 3 des Rundschreibens). Der Bundesrat ist der Ansicht, dass diese Regelung gen\u00fcgt.</p><p>7. Gem\u00e4ss dem Rundschreiben 2008/21 der Finma hat die Gesch\u00e4ftsf\u00fchrung der Bank f\u00fcr eine angemessene Technologieinfrastruktur zu sorgen, die insbesondere die operationellen Risiken mindern kann. \u00dcberdies hat sie die Sicherheit und Integrit\u00e4t der Kundenidentifikationsdaten zu gew\u00e4hrleisten (Anhang 3). In der Regel ist eine Pr\u00fcfgesellschaft f\u00fcr die Kontrolle der Umsetzung des Rundschreibens zust\u00e4ndig. Die Finma kann auch eine Kontrolle vor Ort vornehmen. Bei schwerwiegenden Verletzungen wie dem Verlust von Kundendaten kann die Finma gegen\u00fcber der Bank Massnahmen gem\u00e4ss dem Finanzmarktaufsichtsgesetz (SR 956.1) anordnen. Die Verletzung des Bankgeheimnisses ist schliesslich nach Artikel\u00a047 Absatz\u00a02 des Bankengesetzes (SR 952.0) strafbar.</p><p>8. Da die Motion Comte 14.3288 vom Parlament angenommen worden ist, hat der Bundesrat den Auftrag, einen Entwurf zur \u00c4nderung des Strafrechts auszuarbeiten, damit der Identit\u00e4tsmissbrauch zum eigenst\u00e4ndigen Straftatbestand wird. Bei der Ausarbeitung der beantragten Gesetzes\u00e4nderung wird der Bundesrat die Problematik des Identit\u00e4tsmissbrauchs aus strafrechtlicher Sicht analysieren. Er schliesst nicht aus, zus\u00e4tzliche Massnahmen vorzuschlagen, falls sich dabei herausstellen sollte, dass weitere L\u00fccken bestehen.</p>  Antwort des Bundesrates.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1430265600000)\/","SubmittedBy":"Schwaab Jean Christophe","BusinessStatus":229,"BusinessStatusText":"Erledigt","BusinessStatusDate":"\/Date(1434672000000)\/","ResponsibleDepartment":5,"ResponsibleDepartmentName":"Justiz- und Polizeidepartement","ResponsibleDepartmentAbbreviation":"EJPD","IsLeadingDepartment":true,"Tags":"15|34|44|1236","Category":null,"Modified":"\/Date(1690524072253)\/","SubmissionDate":"\/Date(1425427200000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Nationalrat","SubmissionCouncilAbbreviation":"NR","SubmissionSession":4917,"SubmissionLegislativePeriod":49,"FirstCouncil1":1,"FirstCouncil1Name":"Nationalrat","FirstCouncil1Abbreviation":"NR","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Wirtschaft|Medien und Kommunikation|Besch\u00e4ftigung und Arbeit|Menschenrechte"}}