Das Urteil A-5373/2020 des Bundesverwaltungsgerichts vom 13. Oktober 2021 zieht eine Linie, die fünf Jahre hält: ProtonMail ist nach Art. 2 lit. c BÜPF (SR 780.1) Anbieterin abgeleiteter Kommunikationsdienste, nicht Fernmeldedienstanbieterin nach Art. 2 lit. b BÜPF. Die Verhältnismässigkeitsprüfung bestimmt, welche Überwachungspflichten Anbieter dieses Typs tragen. Die Revision der VÜPF (SR 780.11) durch das EJPD ist am 6. Mai 2025 in der Vernehmlassung gescheitert und wird seither unter diesem Verhältnismässigkeitsargument umgeschrieben. Vertragsklauseln, die anlasslose Vorratspflichten für AAKD-Anbieter voraussetzen, stehen unter dem Verhältnismässigkeitsvorbehalt, der in Art. 5 Abs. 2 BV (SR 101) verankert ist.

Das Bundesgericht hatte die Linie bereits im April 2021 gezogen, im Threema-Urteil 2C_544/2020: Ein Anbieter, der weder direkten noch indirekten Internetzugang gewährt und keine Verantwortung für die Übermittlung von Information übernimmt, ist keine FDA nach Art. 2 lit. b BÜPF. Das BVGer bestätigte diese Linie in A-5373/2020 für ProtonMail, ordnete es als AAKD nach Art. 2 lit. c BÜPF ein und wies die Sache zur Neubeurteilung zurück — der Status von ProtonVPN und der konkrete Pflichtenumfang für AAKD blieben dabei offen. Für AAKD greift Art. 27 BÜPF (SR 780.1) statt Art. 26 BÜPF: Anlasslose Echtzeit-Inhaltsüberwachung und flächendeckende Vorratsdatenspeicherung entfallen, gezielte Auskunfts- und Überwachungspflichten bleiben. Wer die Grenze zwischen FDA und AAKD verschieben will, muss die Verhältnismässigkeitsprüfung durchlaufen.

Der EJPD-Entwurf vom Januar 2025 wollte genau diese Linie umpflügen. Er hätte AAKD ab 5’000 Nutzenden einer Identifikationspflicht unterstellt und Anbieter mit über einer Million Nutzenden oder 100 Millionen Franken Jahresumsatz zu sechsmonatiger Randdatenspeicherung verpflichtet. Das Argument der Verwaltung war operativ: Behörden brauchten verlässliche Identifikatoren, weil verschlüsselte Dienste ihre Ermittlungspraxis abnutzten. Die Vernehmlassung antwortete geschlossen — alle Parteien, die Stellung nahmen, der Branchenverband Swico, die Digitale Gesellschaft, über 15’000 Petitionsunterschriften und neunzehn internationale Grundrechtsorganisationen, koordiniert von EDRi und unterzeichnet von Statewatch und Amnesty International Schweiz, hielten den Entwurf für unverhältnismässig. Proton-CEO Andy Yen kündigte die infrastrukturelle Verlagerung aus der Schweiz an, seither laufen Teile der Server-Infrastruktur in Deutschland und Norwegen; Threema drohte nicht mit einem Wegzug ins Ausland, sondern mit einer Volksinitiative.

Die rechtliche Grundlage der Ablehnung ist nicht neu: Art. 5 Abs. 2 BV (SR 101) verlangt Verhältnismässigkeit für jede staatliche Tätigkeit, Art. 13 BV schützt das Fernmeldegeheimnis. Art. 8 EMRK und die Rechtsprechung des EGMR (Big Brother Watch v. UK und Centrum för Rättvisa v. Schweden, beide vom 25. Mai 2021) verlangen für jede generelle Datenspeicherung eine konkrete Eingrenzung, eine richterliche Kontrolle und prozedurale Schutzgarantien. Der EuGH erklärte die anlasslose Vorratsdatenspeicherung in Tele2 Sverige (2016) und La Quadrature du Net (2020) für unionsrechtswidrig und verlangt seither eine gezielte, einzelfallbezogene Speicherung. Die Schweiz ist nicht Mitglied der Union, aber an die EMRK gebunden — ihre Aufsichtspraxis lehnt sich seit Jahren an die Luxemburger Doktrin an.

Die Digitale Gesellschaft reagierte im Mai 2026 auf einen von der Republik veröffentlichten neuen VÜPF-Entwurf des EJPD. Er hebt die Schwellenwerte für Identifikations- und Vorratspflichten und beschränkt die schwersten Pflichten auf Anbieter mit grossem Marktanteil. Datenarme Geschäftsmodelle bleiben dennoch im Visier, weil die strukturelle Ausrichtung auf Massenidentifikation unverändert ist. Wer den Entwurf gegen die Vernehmlassung vom Mai 2025 liest, sieht das Eingeständnis: Die proportionale Schwelle hat sich verschoben, das Überwachungsbedürfnis ist unverändert.

Drei Konsequenzen sind in dieser Woche operativ. Erstens: Wer Anbieter aus dem AAKD-Segment einsetzt (E-Mail, Messenger, VPN), sollte die Kategorisierung nach Art. 2 lit. c BÜPF im Auftragsverarbeitungsvertrag mit Verweis auf A-5373/2020 belegen, statt sie als offenen Risikoposten zu führen. Zweitens: Die Annahme, eine künftige VÜPF-Revision werde Vorratspflichten ohne Verhältnismässigkeitsprüfung durchsetzen, ist nicht mehr tragfähig; diese Prüfung gehört in die Vertragsklauseln zu Compliance-Kosten und Datenstandort-Garantien. Drittens: Konzernrichtlinien zur Verschlüsselung können auf der geltenden Praxis aufgebaut werden, ohne den Vorbehalt eines bevorstehenden Vorratsregimes. Wer die nächste Lieferantenrevision sauber dokumentiert, hält das Argument auch dann, wenn der zweite VÜPF-Entwurf in die Vernehmlassung geht.

Art. 27 BÜPF (SR 780.1), wie ihn das BVGer in A-5373/2020 ausgelegt hat, verlangt, dass die Behörde die FDA-Qualifikation nach Art. 2 lit. b BÜPF positiv belegt, bevor sie volle Überwachungspflichten einfordern kann. Wer Vorratspflichten will, muss sie verhältnismässig begründen, statt sie behauptungshalber zu fordern. Proton hat in diesem Verfahren keine Sondererlaubnis erstritten. Das Urteil bestätigt eine schlichtere Tatsache: Der Schweizer Überwachungsstaat ist denselben Verhältnismässigkeitstest schuldig wie jede andere Staatstätigkeit. Wer im Mai 2026 noch politisch ausficht, was die Verfassung längst zieht, kämpft den falschen Kampf — und dürfte ihn am Ende auch verlieren.