Liebe Mitbewohnende des digitalen Glashauses
Im Junli-Digestif ging es um digitale Souveränität – darum, wer Zugriff auf deine Daten hat und was du dafür tun kannst. Diesen Monat drehen wir das Thema um: Was passiert, wenn nicht ein US-Konzern, sondern der eigene Staat zur Risikoquelle wird? Oder schlimmer noch: wenn es beide gleichzeitig sind?
Die eID und die Zukunft der Anonymität
Die elektronische Identität (eID) kommt – als freiwilliges, staatliches Angebot für den digitalen Behördengang. Soweit, so sinnvoll. Doch die Infrastruktur, die dafür entsteht, weckt Begehrlichkeiten.
Der Nationalrat hat im Juni die Teilrevision des Nachrichtendienstgesetzes gutgeheissen: 111 zu 40 Stimmen bei 21 Enthaltungen; die Nein-Stimmen kamen von Grünen und SP.[1] Neu soll der Nachrichtendienst genehmigungspflichtige Beschaffungsmassnahmen – vom Abhören bis zum Eindringen in Computer – auch bei «gewalttätigem Extremismus» einsetzen dürfen. Bisher war das Terrorismus, Spionage und Angriffen auf kritische Infrastrukturen vorbehalten. Kritiker wie die Digitale Gesellschaft monieren, der Begriff sei unscharf definiert und öffne Interpretationsspielräume bis hinein in die politische Betätigung. [2] Die umstrittene Kabelaufklärung ist ein weiteres, separates Paket: Das Bundesverwaltungsgericht hat im November 2025 verlangt, deren Rechtsgrundlagen innert fünf Jahren verfassungskonform auszugestalten. [3]
Beide Felder offenbaren staatliche Gelüste nach mehr Einsicht und Kontrolle in die digitale Privatsphäre.
Parallel dazu wächst der politische Druck für Identifikationspflichten auf Social-Media-Plattformen – offiziell zum Schutz von Jugendlichen. In der Konsequenz hiesse das: Wer sich online äussern will, muss sich ausweisen (ob jugendlich oder nicht). Das Recht, das Internet anonym oder pseudonym zu nutzen, erfüllt aber eine Schutzfunktion – für Whistleblower, Journalistinnen und marginalisierte Gruppen.
Douglas Rushkoff erinnert daran, dass das Internet als Peer-to-Peer-Medium gebaut wurde – als Raum, in dem Menschen ohne Gatekeeper publizieren und sich organisieren können. [4] Vieles, was wir diesem Raum verdanken, entstand im Schutz der Anonymität: Die Panama Papers gelangten über verschlüsselte Kanäle eines bis heute unbekannten «John Doe» an die Süddeutsche Zeitung. [5] Die Crypto-Leaks über die CIA-gesteuerte Zuger Crypto AG brauchten Quellen, die geschützt bleiben mussten. [6] Der Arabische Frühling und die Hongkonger Demokratiebewegung wären ohne Pseudonymität im Keim erstickt worden – in Hongkong zeigte sich nach dem Sicherheitsgesetz, was Identifizierbarkeit konkret bedeutet. Nicht jeder dieser Fälle hing an anonymen Social-Media-Konten – aber alle hingen daran, dass Kommunikation möglich war, ohne sich vorher auszuweisen.
Die Technikphilosophie kennt hier eine zentrale Unterscheidung (Langdon Winner, «Do Artifacts Have Politics?», 1980 [7]): Manche Technologien verteilen Macht (bspw. der Buchdruck, Open Source, Ende-zu-Ende-Verschlüsselung). Manche konzentrieren sie (z. B. zentrale Datenbanken, Massenüberwachung). Und manche sind ambivalent. Die eID gehört in diese dritte Kategorie: Sie kann ein praktisches Behördenwerkzeug bleiben – oder zur Standardinfrastruktur für Ausweispflichten werden. Eine Ausweispflicht wäre zwar auch ohne eID machbar; die eID senkt die Hürde aber dramatisch. Was daraus wird, entscheidet nicht die Technik, sondern wer sie kontrolliert und wie wir sie einhegen.
Dafür gibt es einen Fachbegriff: Function Creep. Eine Technologie wird für Zweck A eingeführt und dehnt sich schrittweise auf B und C aus – jeder Schritt für sich vernünftig begründet. Zu Beginn an wäre aber die Einführung con C undenkbar gewesen.
Dänemark liefert das Lehrbuchbeispiel dazu: Automatische Kennzeichenerfassung, eingeführt für eng umrissene Zwecke wie Parkraumbewirtschaftung, Umweltzonen und polizeiliche Fahndung – heute betreibt die dänische Polizei eine flächendeckende Datensammlung, deren Ausweitung weitgehend ohne öffentliche Debatte geschah. [8] Function Creep ist kein Naturgesetz, aber ein Muster, das sich überall dort einstellt, wo die Einhegung fehlt. Genau darum lohnt es sich, bei der eID jetzt hinzuschauen.
Datensouveränität?
Betrachtung 1 – Aussage unter Eid (Juni 2025): Vor dem französischen Senat wurde Microsofts Rechtsverantwortlicher für Frankreich, Anton Carniaux, unter Eid gefragt, ob er garantieren könne, dass Daten französischer Bürger aus öffentlichen Verträgen nicht ohne Zustimmung Frankreichs an die USA gelangen. Seine Antwort: «Nein. Ich kann das nicht garantieren. Aber es ist bisher noch nie vorgekommen.» [9]
Betrachtung 2 – Der Fall Khan (Mai 2025): Der Chefankläger des Internationalen Strafgerichtshofs, Karim Khan, verlor den Zugang zu seinem Microsoft-Konto – nachdem ihn die US-Regierung per Executive Order sanktioniert hatte. Was genau geschah, ist umstritten: Microsoft betont, seine Dienste für den IStGH nie eingestellt zu haben; nach niederländischen Berichten stellte Microsoft das Gericht vor die Wahl, dem Sanktionierten selbst den Zugang zu entziehen oder den Verlust der Dienste für die ganze Organisation zu riskieren. [10] So oder so: Ein Federstrich des US-Präsidenten genügte, um den obersten Ankläger eines internationalen Gerichts von seiner digitalen Infrastruktur zu trennen – ohne Gerichtsverfahren, ohne Anhörung. Der IStGH zieht die Konsequenz und migriert auf openDesk, eine europäische Open-Source-Lösung. [11]
Betrachtung 3 – Namen nach Washington (Mai 2026): Das niederländische Magazin Vrij Nederland deckte auf, dass Microsoft – wie auch andere Techkonzerne – interne Dokumente an einen Ausschuss des US-Repräsentantenhauses übergeben hatte: E-Mails, Sitzungsprotokolle und Einladungen, in denen Mitarbeitende der niederländischen Wettbewerbsbehörde ACM und der Datenschutzbehörde AP namentlich und ungeschwärzt auftauchen. [12] Präzision ist hier wichtig: Das war kein Cloud-Act-Zugriff auf Kundendaten. Der Kongress forderte per einfacher Vorladung (Subpoena) Microsofts eigene Geschäftskorrespondenz an. Carniaux' Szenario ist damit nicht eingetreten – eingetreten ist etwas anderes: Jede Kommunikation, die durch einen US-Konzern läuft, kann mit einer noch tieferen rechtlichen Schwelle in Washington landen. Samt Klarnamen europäischer Beamter, die dort politisch als Gegner gelten.
Wenn Schutz zu Kontrolle wird
Überwachung ist die eine Seite; die andere ist die Inhaltskontrolle – und auch sie kommt als Fürsorge daher. Die EU hat mit dem Digital Services Act (DSA) ein Regelwerk geschaffen, das «systemische Risiken» auf Plattformen eindämmen soll. Wie weit die Durchsetzung dabei geht, ist Gegenstand eines eskalierenden transatlantischen Streits: Die republikanische Mehrheit des Justizausschusses im US-Repräsentantenhaus wirft der EU-Kommission in zwei Berichten (Juli 2025 und Februar 2026, gestützt auf Dokumente von zehn per Subpoena verpflichteten Techkonzernen) vor, über den DSA Druck auf Plattformen auszuüben, um auch legale Inhalte zu unterdrücken – vor der Drohkulisse von Bussen bis zu sechs Prozent des globalen Jahresumsatzes. [13] Die EU und zahlreiche Rechtswissenschaftler halten dagegen: Der DSA sei für legale Inhalte inhaltsneutral angelegt und unterliege gerichtlicher Kontrolle; die Berichte seien politisch motivierte Zuspitzung – vorgetragen von einer US-Regierung, die ihrerseits mit Visasperren gegen europäische Regulierer und Zivilgesellschaft vorgeht. [14]
Wer hat recht? Vermutlich verdient keine Seite einen Vertrauensvorschuss. Die EU reguliert im Namen der "Sicherheit" (Faktenchecker), die USA intervenieren im Namen der "Freiheit". Die Bevölkerung sollte in beiden Fällen genau hinschauen. Berechtigt ist jedenfalls die strukturelle Kritik: Instrumente wie die «Trusted Flaggers» (Organisationen, deren Meldungen Plattformen prioritär behandeln müssen [15]) verlagern die Beurteilung von Inhalten vor die gerichtliche Kontrolle. Nicht ein Richter entscheidet zuerst, sondern ein Melde- und Compliance-Apparat. Solche Instrumente sind genau das, was eine künftige Regierung, welcher Couleur auch immer, zur Meinungskontrolle umnutzen könnte – Orwell lässt grüssen. Quasi Function Creep auf politischer Ebene.
Synchronizität
In Europa laufen drei Entwicklungen parallel:
- der Ausbau der Kommunikationsüberwachung,
- die Inhaltskontrolle auf Plattformen und
- der Druck auf die Anonymität.
Die EU-Kommission bündelt das unter dem Etikett «ProtectEU», Kernbegriff «lawful access by design». Für 2026 steht eine entsprechend Strategie auf der Agenda. [16]
ABER die Chatkontrolle wurde immerhin entschärft: Die verpflichtende Durchsuchung privater Nachrichten wurde aus der Ratsposition gestrichen; geblieben sind Freiwilligkeit plus eine Review-Klausel, die die Pflicht später zurückbringen kann. Neuer Schauplatz ist eine verpflichtende Altersverifikation – womit sich der Kreis zur Ausweispflicht schliesst. [17]
Und die Schweiz? Die geplante VÜPF-Revision will Überwachungspflichten auf Messaging- und weitere Dienste ausweiten und eine Identifizierungspflicht einführen – per Verordnung, ohne Referendum. Doch nach massiver Kritik in der Vernehmlassung musste der Bundesrat zurückbuchstabieren: Eine externe Regulierungsfolgenabschätzung beziffert die möglichen Kosten im mittleren Szenario auf rund zehn Milliarden Franken Umsatzverlust pro Jahr und knapp sieben Milliarden kumulierte Steuerausfälle bis 2035. Nun folgt eine zweite Vernehmlassung. [18] Proton verlagert derweil vorsorglich Infrastruktur in die EU,[19] wo der Europäische Gerichtshof der anlasslosen Vorratsdatenspeicherung enge Grenzen gesetzt hat. [20] Wer Sicherheit mit Überwachung verwechselt, zahlt offenbar einen hohen Preis – ökonomisch und gesellschaftlich.
Alternative Sichtweisen
Man könnte nach dieser Lektüre resignieren. Zu Unrecht. Dass die Chatkontrolle entschärft wurde, dass das Bundesverwaltungsgericht die Kabelaufklärung zur verfassungskonformen Nachbesserung zurückwies, dass der Bundesrat die VÜPF neu aufgleisen muss – nichts davon war Zufall. Es war das Ergebnis funktionierender demokratischer Institutionen und einer wachen Zivilgesellschaft. Function Creep ist ein Muster, kein Schicksal.
Im nächsten Digestif zeige ich, wie sich Technologie zu Macht verhält, wo Gesellschaften diese zwingende Kette bewusst durchbrochen haben und alternative Ansätze, die stattdessen funktionieren können.
Bis dahin orientieren wir uns am besten an der Inschrift auf Schaffhausens Stadttor: "Lappi tuen d'Augen uf".
Quellen
[1]: SRF, «Nationalrat will Nachrichtendienst mehr Überwachung erlauben», 3. Juni 2026, https://www.srf.ch/news/schweiz/nachrichtendienstgesetz-haben-gewalttaetige-demonstranten-bald-den-geheimdienst-im-nacken; Der Bund, «Mehr Befugnisse bei Extremismus: Nachrichtendienstgesetz schafft erste Hürde», 4. Juni 2026, https://www.derbund.ch/nachrichtendienstgesetz-schafft-erste-huerde-120977646953
[2]: Tages-Anzeiger, «Bundesrat stärkt Nachrichtendienst: Mehr Befugnisse bei Extremismus», 28. Januar 2026, https://www.tagesanzeiger.ch/bundesrat-staerkt-nachrichtendienst-mehr-befugnisse-bei-extremismus-949475599295; vertiefend: humanrights.ch, «NDG-Revision: Kritik und Forderungen zum Grundpaket», https://www.humanrights.ch/de/ipf/initiativen-parlament/nachrichtendienstgesetz/ndg-revision-kritik-forderungen-grundpaket
[3]: VBS, «Revision des Nachrichtendienstgesetzes: Bundesrat stärkt Früherkennung und Abwehr von Bedrohungen», Medienmitteilung vom 28. Januar 2026, https://www.vbs.admin.ch/de/newnsb/6Qc7d-frS7DJPPDiYpAYi; Übersicht: https://www.vbs.admin.ch/de/nachrichtendienstgesetz
[4]: Douglas Rushkoff, «Program or Be Programmed: Ten Commands for a Digital Age», OR Books, 2010.
[5]: Süddeutsche Zeitung, «Panama Papers», Rechercheprojekt, April 2016 (Quelle «John Doe», 11,5 Millionen Dokumente).
[6]: SRF/ZDF/Washington Post, Recherche «Cryptoleaks» zur Operation Rubikon (Crypto AG), Februar 2020.
[7]: Langdon Winner, «Do Artifacts Have Politics?», in: Daedalus, Vol. 109, No. 1, 1980, S. 121–136.
[8]: Gabriel Pereira / Christoph Raetzsch, «From Banal Surveillance to Function Creep: Automated License Plate Recognition (ALPR) in Denmark», in: Surveillance & Society 20(3), 2022, https://ojs.library.queensu.ca/index.php/surveillance-and-society/article/view/15000
[9]: Anhörung der Untersuchungskommission des französischen Senats vom 10. Juni 2025 (Transkript beim Senat verfügbar); Berichterstattung: heise online, «Keine Garantien: Microsoft muss EU-Daten an USA übermitteln», 21. Juli 2025, https://www.heise.de/news/Nicht-souveraen-Microsoft-kann-Sicherheit-von-EU-Daten-nicht-garantieren-10494684.html
[10]: heise online, «Criminal Court: Microsoft's email block a wake-up call for digital sovereignty», 19. Mai 2025, https://www.heise.de/en/news/Criminal-Court-Microsoft-s-email-block-a-wake-up-call-for-digital-sovereignty-10387383.html (AP-Darstellung); Techzine, «Microsoft denies having suspended any services to ICC», 4. Juni 2025, https://www.techzine.eu/news/privacy-compliance/131996/microsoft-denies-having-suspended-any-services-to-icc/ (Dementi Brad Smith); The Register, 18. Februar 2026, https://www.theregister.com/2026/02/18/microsoft_asks_uk_parliament_to_correct_record/ (niederländische Darstellung, Bert Hubert)
[11]: The Register, «International Criminal Court dumps Microsoft Office», 31. Oktober 2025, https://www.theregister.com/software/2025/10/31/international-criminal-court-dumps-microsoft-office/680564
[12]: NOS, «Techbedrijven deelden namen Nederlandse ambtenaren met VS», 22. Mai 2026, https://nos.nl/artikel/2615391-techbedrijven-deelden-namen-nederlandse-ambtenaren-met-vs-ontzettend-zorgelijk (nach Recherche von Vrij Nederland); iBestuur, «Microsoft deelde namen Nederlandse ambtenaren met Amerikaanse overheid», 22. Mai 2026, https://ibestuur.nl/digitale-weerbaarheid/digitale-veiligheid/microsoft-deelde-namen-ambtenaren-met-amerikaanse-overheid
[13]: House Judiciary Committee (republikanische Mehrheit), «The Foreign Censorship Threat: How the European Union's Digital Services Act Compels Global Censorship and Infringes on American Free Speech», Interim Staff Report, 25. Juli 2025, https://judiciary.house.gov/media/press-releases/foreign-censorship-threat-how-european-unions-digital-services-act-compels; dies., «The Foreign Censorship Threat, Part II», Interim Staff Report, 3. Februar 2026, https://judiciary.house.gov/sites/evo-subsites/republicans-judiciary.house.gov/files/2026-02/THE-FOREIGN-CENSORSHIP-THREAT-PART-II-2-3-26.pdf; Einordnung: EUobserver, 6. Februar 2026, https://euobserver.com/201378/us-republicans-accuse-the-eu-of-decade-long-censorship-campaign/
[14]: Public Knowledge, «The Censorship Alarm Is Ringing in the Wrong Direction», November 2025, https://publicknowledge.org/the-censorship-alarm-is-ringing-in-the-wrong-direction/ (u.a. Brief von über 30 Digital-Rights-Forschern); EDRi/Bits of Freedom, «US pressure on the Digital Services Act in the Netherlands», 18. Februar 2026, https://edri.org/our-work/us-pressure-on-the-digital-services-act-in-the-netherlands/ (Visasperren gegen fünf Europäer, darunter Ex-Kommissar Thierry Breton)
[15]: Art. 22 der Verordnung (EU) 2022/2065 (Digital Services Act).
[16]: Europäische Kommission, «ProtectEU: A European Internal Security Strategy», April 2025.
[17]: netzpolitik.org, «Interne Dokumente: Trilog zur Chatkontrolle geht in entscheidende Phase», Juni 2026, https://netzpolitik.org/2026/interne-dokumente-trilog-zur-chatkontrolle-geht-in-entscheidende-phase/; dies., «Interne Dokumente: EU-Staaten wollen Chatkontrolle-Zombie zurückbringen», Juli 2026, https://netzpolitik.org/2026/interne-dokumente-eu-staaten-wollen-chatkontrolle-zombie-zurueckbringen/; laufende Übersicht: https://www.patrick-breyer.de/beitraege/chatkontrolle/
[18]: Digitale Gesellschaft, «Massenüberwachung gefährdet den Wirtschaftsstandort Schweiz – neue Regulierungsfolgenabschätzung zur VÜPF-Revision», 26. Mai 2026 (RFA von Swiss Economics), https://www.digitale-gesellschaft.ch/2026/05/26/massenueberwachung-gefaehrdet-den-wirtschaftsstandort-schweiz-neue-regulierungsfolgenabschaetzung-zur-vuepf-revision/; zur zweiten Vernehmlassung: Watson, «VÜPF: Neue Vernehmlassung für geplante Verschärfung der Überwachung», Februar 2026, https://www.watson.ch/wirtschaft/digital/999868136-vuepf-neue-vernehmlassung-fuer-geplante-verschaerfung-der-ueberwachung
[19]: heise online, «Überwachung: Proton verlagert Teile seiner Infrastruktur aus der Schweiz», 16. August 2025, https://www.heise.de/news/Ueberwachung-Proton-verlagert-Teile-seiner-Infrastruktur-aus-der-Schweiz-10538647.html; 20 Minuten, «Proton: Investitionen wegen Überwachung im Ausland», 23. Juli 2025, https://www.20min.ch/story/proton-ueberwachung-zu-streng-schweizer-techfirma-verlagert-ins-ausland-103387083
[20]: EuGH, Urteil vom 6. Oktober 2020, verb. Rs. C-511/18, C-512/18 und C-520/18 (La Quadrature du Net u.a.); zur IP-Adressen-Speicherung relativierend: EuGH, Urteil vom 30. April 2024, Rs. C-470/21 (Hadopi).