Die Schweizer Regierung plant einen drastischen Ausbau der digitalen Überwachung. Der Bundesrat und das Eidgenössische Justiz- und Polizeidepartement (EJPD) wollen, dass künftig auch Betreiber von Onlinediensten mit mehr als 5000 Nutzern tief in die Pflicht genommen werden. Diese Anbieter sollen Metadaten wie IP-Adressen und Ports ihrer Nutzer für ein halbes Jahr speichern und auf Anforderung an Polizei oder Geheimdienste herausgeben. Damit nicht genug: Sie sollen auch aktiv dabei helfen, Inhalte zu entschlüsseln. Und als wäre das nicht schon bedenklich genug, soll zusätzlich die Pflicht zur Nutzeridentifikation eingeführt werden – samt Ausweis- oder Führerscheinkopie oder wenigstens einer Telefonnummer. Das kennen wir bereits von der SIM-Kartenpflicht, doch jetzt droht diese Regelung, sich wie ein Schleier über das gesamte Netz zu legen.
Ohne Gesetzesabstimmung wird Datenschutz aufgeweicht
Der Trick an der Sache: Das Vorhaben soll nicht über ein normales Gesetz laufen, das das Parlament diskutieren und absegnen müsste. Stattdessen nimmt die Regierung einfach die bestehende „Verordnung über die Überwachung des Post- und Fernmeldeverkehrs“ – kurz VÜPF – und erweitert sie still und leise. Es handelt sich also nicht um ein neues Gesetz, sondern um eine tiefgreifende Verschärfung über die Hintertür der Exekutive. Vergleichbar ist das mit der deutschen TKÜV, die ebenfalls seit Jahren für Diskussionen sorgt.
Bislang trafen solche Auflagen vor allem große Telekom-Anbieter wie Swisscom, Salt oder Sunrise. Auch E-Mail-Dienste waren betroffen. Jetzt aber wird das Netz enger gestrickt. Künftig sollen auch Betreiber kleinerer Apps, Cloud-Dienste oder Kollaborationsplattformen Überwachungstechnik einbauen. Die Grenze liegt bei 5000 Nutzerinnen und Nutzern – und die ist schneller erreicht, als man denkt. Die Regierung richtet sich damit klar gegen anonyme Kommunikation im Netz.
Schweiz bald nicht mehr sicher für Ihre Daten
Kritik kommt von allen Seiten. Die Digitale Gesellschaft und weitere Organisationen schlagen Alarm. Wer künftig eine Schweizer App nutzt, müsse damit rechnen, jederzeit identifizierbar und überwachbar zu sein. Besonders kleine und gemeinnützige Anbieter, die keine eigene Rechtsabteilung haben, könnten unter der neuen Last zusammenbrechen. Schon die Forderung, eine sichere Infrastruktur gegen Angriffe aufzubauen, ist für viele unrealistisch. Noch schlimmer trifft es Berufsgeheimnisträger wie Ärzte, Anwälte oder Journalisten. Und auch Menschen in prekären Situationen – etwa Whistleblower oder Menschen ohne festen Aufenthaltsstatus – wären schutzlos der Überwachung ausgeliefert.
Proton, Threema und Co müssen Daten entschlüsseln
Besonders absurd wird es, wenn man bedenkt, dass genau die Dienste, die für ihre Privatsphäre-Standards bekannt sind, nun gezielt ins Visier genommen werden. Threema und ProtonMail sollen verpflichtet werden, ihre Nutzer zu enttarnen und Daten im Klartext auszuhändigen. Dabei hatten beide Firmen genau das bislang stets abgelehnt – und das sogar mit Erfolg vor Gericht. Doch nun will man sie über die Verordnungsschiene doch noch zwingen. Begründung: Sie seien groß genug und hätten über eine Million Nutzer sowie mehr als 100 Millionen Franken Umsatz im Jahr. Damit gelten sie als „voll verpflichtet“.
Das Vorhaben greift auch direkt die technische Grundlage sicherer Kommunikation an. Im Entwurf zur Reform der VÜPF ist klar geregelt: Anbieter mit sogenannten „vollen oder reduzierten Pflichten“ sollen Verschlüsselungen entfernen. Wo sie das nicht können, sollen sie die Kommunikation an „geeigneten Punkten“ entschlüsseln und im Klartext liefern. Zwar wird versprochen, dass Ende-zu-Ende-Verschlüsselung zwischen zwei Endkunden weiterhin erlaubt bleibt – aber der Teufel steckt im Detail. Denn sobald die Kommunikation auf der Ebene des Providers betrachtet wird, kann diese Ausnahme unterlaufen werden.
Threema verlässt die Schweiz
Threema-Chef Robin Simon denkt laut über eine Volksinitiative nach, um das Vorhaben zu stoppen. Proton-Chef Andy Yen geht noch weiter und zieht sogar einen Rückzug aus der Schweiz in Betracht. Besonders pikant: Der Schweizer Staat selbst nutzt Threema – auch für sensible Behördenkommunikation. Dass derselbe Staat nun die Grundlage dieser Sicherheit angreift, zeigt, wie widersprüchlich und gefährlich dieser Kurswechsel ist.
Was hier passiert, ist nicht einfach eine technische Anpassung. Es ist ein Frontalangriff auf das Recht auf Privatsphäre, auf freie Kommunikation, auf eine offene Gesellschaft. Es ist eine digitale Zeitenwende – und keine gute. Wer das Internet künftig nutzen will, soll sichtbar, durchschaubar und identifizierbar sein. Die Schweiz spielt damit ein gefährliches Spiel: mit dem Vertrauen ihrer Bürger, ihrer Unternehmen – und mit ihrer Rolle als neutrales Land, das bislang für digitale Souveränität stand.