Datenschutz per Verordnung: Wie der Bundesrat das Parlament umgeht

Das Wichtigste auf einen Blick

• Proton, eine der weltweit bekanntesten Datenschutz-Firmen mit über 100 Millionen Nutzern, zieht ihre Infrastruktur aus der Schweiz ab — nach Deutschland und Norwegen
• Auslöser ist die geplante Revision der VÜPF (Verordnung über die Überwachung des Post- und Fernmeldeverkehrs)
• Der Bundesrat plant eine Identifikationspflicht und Vorratsdatenspeicherung von Randdaten für sechs Monate
• Ende-zu-Ende-Verschlüsselung bleibt laut Bundesrat erhalten — Kritiker sagen: Das ist das falsche Versprechen
• Der Europäische Gerichtshof hat anlasslose Vorratsdatenspeicherung zweimal verboten — in der Schweiz wäre sie mit dieser Verordnung erlaubt
• Im Mai 2026 wurde ein geheimer zweiter Entwurf von der «Republik» geleakt — mit minimalen Änderungen gegenüber der ursprünglichen, stark kritisierten Version
• Der Bundesrat umging eine vom Parlament explizit geforderte zweite öffentliche Vernehmlassung

Keine Lust auf's Lesen? Hier geht's zum Video:

Die Schweiz galt lange als Datenschutzparadies. Nicht als Marketingversprechen, sondern als faktischer Standortvorteil: Strenge Gesetze, unabhängige Gerichte, eine Tradition der Privatsphäre, die international ihresgleichen suchte. Genau darum hat sich Proton — gegründet aus dem Umfeld des CERN, mit Sitz in Genf — hier niedergelassen. Und genau darum verlässt Proton die Schweiz jetzt wieder.

Was ist die VÜPF, und warum wird sie zum Problem?

Die staatliche Überwachung von Kommunikation ist in der Schweiz auf zwei Ebenen geregelt. Das BÜPF — das Bundesgesetz über die Überwachung des Post- und Fernmeldeverkehrs — legt den gesetzlichen Rahmen fest. Das Parlament hat darüber abgestimmt, das Volk hätte dagegen ein Referendum ergreifen können. Die VÜPF, die dazugehörige Verordnung, regelt die Umsetzungsdetails. Sie kann der Bundesrat weitgehend alleine beschliessen — ohne Volksabstimmung, ohne parlamentarische Genehmigung.

Bisher betraf die VÜPF vor allem die grossen Telekom-Anbieter: Swisscom, Sunrise, Salt. Wenn die Polizei mit einer richterlichen Bewilligung Kommunikation überwachen wollte, mussten diese Firmen mitmachen. Das war und ist so vorgesehen.

Was der Bundesrat nun plant, geht deutlich weiter. Im Januar 2025 legte er einen ersten Entwurf für eine verschärfte VÜPF in die Vernehmlassung. Fünf neue Punkte standen darin:

Erstens eine Identifikationspflicht: Anbieter ab 5'000 Nutzern müssten die Identität ihrer Kunden mit Ausweis oder Telefonnummer überprüfen. Anonyme Mailkonten und anonyme Messenger-Accounts wären damit Geschichte.

Zweitens eine Vorratsdatenspeicherung: Sogenannte Randdaten — wer hat wann mit wem wo kommuniziert — müssten von grossen Anbietern sechs Monate lang gespeichert werden.

Drittens neue Auskunftsmöglichkeiten für Behörden: rückwirkende IP-Abfragen, Echtzeit-Überwachung von Randdaten, schnellere Lokalisierung.

Viertens ein 24-Stunden-Pikettdienst.

Und fünftens die Pflicht, gewisse Verschlüsselungen — konkret die sogenannte Transportverschlüsselung — aufheben zu können.

Der Widerstand: Von links bis rechts

Selten hat eine Verordnung in der Schweiz eine so breite Ablehnung ausgelöst. In der Vernehmlassung stellten sich Grüne, SP, Grünliberale, FDP und SVP dagegen. Fast alle Parteien sprachen von einem unverhältnismässigen Eingriff, von einer Gefährdung des Werkplatzes Schweiz.

Am schärfsten kritisiert wurde der zweite Punkt, die Vorratsdatenspeicherung der Randdaten. Wer mit wem wann von wo kommuniziert — diese Metadaten erlauben es, ein präzises Bild eines Menschen zu zeichnen: Bewegungsprofil, Beziehungsgeflecht, Tagesablauf. Die Digitale Gesellschaft, eine Schweizer Organisation für Digitalrechte, bezeichnete die Revision als «schwerwiegenden Frontalangriff auf Grundrechte, KMU und den Rechtsstaat».

Die betroffenen Firmen wehrten sich ebenfalls. Threema, der Schweizer Messenger-Dienst mit über 12 Millionen Nutzern, hat eine eigene Geschichte mit den Schweizer Überwachungsbehörden: Im Jahr 2018 versuchte der Dienst ÜPF — die ausführende Bundesstelle für Kommunikationsüberwachung — Threema als Fernmeldedienstanbieter einzustufen, was dieselben weitgehenden Pflichten wie für Swisscom bedeutet hätte. Threema klagte, und am 29. April 2021 entschied das Bundesgericht definitiv: Threema gehört in eine eigene Kategorie mit weniger weitgehenden Pflichten. Die Behörden hatten verloren.

Die Einschätzung, die daraufhin in mehreren Medien erschien, ist aufschlussreich: Weil der Weg über Gesetz und Gericht gescheitert war, gehen die Behörden nun den Weg über die Verordnung. Eine Verordnung, gegen die kein Referendum möglich ist.

Im Herbst 2025 reichten FDP-Ständerätin Johanna Gapany und FDP-Nationalrat Olivier Feller gleichlautende Motionen ein. Das Parlament stimmte zu: Der Bundesrat solle den Entwurf grundlegend überarbeiten und nochmals in eine öffentliche Vernehmlassung schicken.

Der geheime zweite Entwurf

Im Februar 2026 schickte das Departement von Bundesrat Beat Jans einen überarbeiteten Entwurf an eine Handvoll ausgewählter IT-Firmen — nicht aber an die Öffentlichkeit. Die vom Parlament explizit geforderte zweite Vernehmlassung fand nicht statt. Am 7. Mai 2026 veröffentlichte die «Republik» diesen geheimen Entwurf.

Was enthielt er? Auf den ersten Blick eine Nachbesserung: Die Identifikationspflicht soll neu erst ab 100'000 Nutzern gelten statt ab 5'000. Faktor zwanzig — das klingt nach einem grossen Schritt. Kleine Schweizer Mail-Anbieter und Hosting-Services wären damit raus.

Aber Proton, mit über 100 Millionen Nutzern, bleibt voll betroffen. Genauso Threema mit 12 Millionen Nutzern und Tresorit, ein Schweizer Filehosting-Dienst. Genau jene Firmen also, deren Geschäftsmodell auf dem Spiel steht.

Der Bundesrat betont, dass die Ende-zu-Ende-Verschlüsselung unangetastet bleibe. Kritiker — darunter die «Republik» und die Digitale Gesellschaft — halten dagegen: Der eigentliche Privacy-Verlust liege gar nicht beim Inhalt der Kommunikation. Die relevanten Daten für die Behörden seien die Randdaten: wer kommuniziert wann, mit wem, von wo. Die Digitale Gesellschaft bringt es auf den Punkt: Der Bundesrat versuche, mit «gewissen Anpassungen und geheimen Konsultationen den Widerstand der Wirtschaft abzufedern» — aber auch das misslingt.

Strenger als die EU

Was kaum in der öffentlichen Debatte vorkommt, ist dieser Vergleich: Die anlasslose Speicherung von Kommunikations-Randdaten auf Vorrat hat der Europäische Gerichtshof zweimal verboten — 2014 und erneut im September 2022 (Urteil C-793/19). Begründung: Eine solche allgemeine Speicherung greife unverhältnismässig in die Grundrechte ein, in das Privatleben und den Schutz personenbezogener Daten. Erlaubt ist laut EuGH nur eine gezielte Speicherung bei konkreter Bedrohung der nationalen Sicherheit oder bei einem begründeten Anfangsverdacht.

Was der Bundesrat plant — die anlasslose Speicherung der Randdaten von Millionen Schweizer Nutzern — fällt genau in jene Kategorie, die in der EU nicht zulässig wäre. Die Schweiz, das Datenschutzparadies, würde sich mit dieser Verordnung überwachungsfreundlicher positionieren als ihre EU-Nachbarn.

Aktuell hat der Bundesrat angekündigt, den Bericht Ende des zweiten Quartals 2026 zu veröffentlichen, woraufhin — wie politisch gefordert — eine zweite Vernehmlassung folgen soll. Ob diese Versprechen eingehalten werden, bleibt abzuwarten.

Was das für Proton und den Werkplatz Schweiz bedeutet

Proton-CEO Andy Yen hat bereits im Juli 2025 angekündigt, die Investitionen in der Schweiz einzufrieren. Im August 2025 wurde es konkret: Der neue KI-Dienst Lumo läuft auf Servern in Deutschland. Geplante Rechenzentren für rund 100 Millionen Franken gehen nach Deutschland und Norwegen. Über die nächsten zehn Jahre plant Proton, insgesamt eine Milliarde Franken in anderen europäischen Ländern zu investieren — und dort Tausende von Arbeitsplätzen zu schaffen.

Proton ist nicht allein. Die Privacy-Firma Nym aus Neuenburg hat angekündigt, sich bei Inkrafttreten des Entwurfs definitiv von der Schweiz abzuwenden. Proton-Kommunikationschef Edward Shone bezeichnete den zweiten Entwurf als «inakzeptabel».

Mein Fazit

Was sich hier abzeichnet, ist mehr als ein Streit über Verordnungsdetails. Es ist die Frage, ob die Schweiz ihren Ruf als Datenschutzstandort noch verteidigen will — oder ob dieser Ruf leise aufgegeben wird. Nicht durch ein Parlamentsgesetz, das das Volk anfechten könnte. Sondern durch eine Verordnung, die der Bundesrat weitgehend alleine beschliesst — und für die er sich nicht einmal an den expliziten Auftrag des Parlaments gebunden fühlt.

Proton, Threema, Nym: Diese Firmen sind nicht aus wirtschaftlichen Gründen in der Schweiz gross geworden. Sie sind hier gross geworden, weil die Schweiz einmal ein anderes Versprechen gemacht hat. Dieses Versprechen steht gerade zur Disposition — still, technisch, und weitgehend unbemerkt.