BÜPF und VÜPF – und dazu das Datenschutzgesetz: drei Themen, die in der Region Tösstal selten am Stammtisch fallen und doch jede E-Mail, jeden Chat und jede Cloud-Ablage betreffen, die Sie nutzen. Als lokaler IT-Partner in Turbenthal erleben wir, dass Kundinnen und Kunden zwischen Wila, Zell und Wildberg zunehmend fragen: Wie sicher sind meine Daten eigentlich vor staatlichem Zugriff? Wir nehmen das ernst – und ordnen die Rechtslage nüchtern ein. Stand Juni 2026.
BÜPF und Datenschutzgesetz: zwei Seiten derselben Medaille
Das Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) schützt Sie vor unbefugter Bearbeitung Ihrer Daten. Es verpflichtet auch KMU zu Bearbeitungsgrundsätzen wie Verhältnismässigkeit und Zweckbindung, zu angemessener Datensicherheit und zur Meldung von Datenschutzverletzungen an den Datenschutzbeauftragten.
Das BÜPF (Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs) verfolgt das Gegenteil: Es verpflichtet Anbieter, bei behördlich angeordneter Überwachung mitzuwirken. Das totalrevidierte Gesetz trat am 1. März 2018 in Kraft. Beides verträgt sich, weil eine rechtmässige Überwachung als gesetzlich geregelter Rechtfertigungsgrund gilt – sie ist keine «unbefugte» Bearbeitung im Sinne des Datenschutzes.
Wichtig ist die Rollenverteilung: Das BÜPF regelt nicht, wann überwacht werden darf. Die Anordnung trifft die Staatsanwaltschaft, und sie muss innert 24 Stunden die Genehmigung des Zwangsmassnahmengerichts einholen. Erst diese richterliche Kontrolle macht die heutigen Pflichten verhältnismässig.
Wer muss heute was liefern?
Die volle Last tragen klassische Fernmeldedienstanbieter (FDA) – die grossen Mobilfunk- und Internetprovider. Sie müssen Randdaten sechs Monate auf Vorrat speichern und im Anordnungsfall auch Echtzeitüberwachung samt Inhalten ermöglichen.
Entscheidend ist die Unterscheidung zwischen Inhalten und Randdaten. Inhalte sind das Gesagte oder Geschriebene. Randdaten (Metadaten) verraten, wer mit wem wann, wie lange und von wo kommuniziert hat – nicht aber den Inhalt. Gespeichert werden nur die Randdaten. Das Bundesgericht hat diese sechsmonatige Vorratsdatenspeicherung 2018 für verfassungs- und EMRK-konform erklärt. Allerdings ist hierzu eine Beschwerde am Europäischen Gerichtshof für Menschenrechte hängig; ein Urteil steht Stand Juni 2026 noch aus.
Anbieter abgeleiteter Kommunikationsdienste – Messenger, E-Mail, VPN, Hosting – haben heute nur reduzierte Pflichten: Sie dulden Überwachung und geben vorhandene Daten heraus, müssen aber nichts auf Vorrat speichern und niemanden identifizieren. Diese Asymmetrie ist der Kern des heutigen Schweizer Datenschutzvorsprungs. Gerichte haben sie bestätigt: Der Messenger Threema gilt letztinstanzlich als solcher Dienst mit reduzierten Pflichten, nicht als vollwertiger Fernmeldedienstanbieter.
Die VÜPF-Revision: warum wir sie kritisch sehen
Die VÜPF ist die Verordnung, die das BÜPF technisch konkretisiert. Genau hier liegt der Streit. Der Bundesrat schickte Anfang 2025 eine Teilrevision in die Vernehmlassung (29. Januar bis 6. Mai 2025), die datenschutzorientierte Dienste erstmals deutlich stärker in die Pflicht nähme: erweiterte Identifizierungspflichten (etwa via Pass oder Telefonnummer), Speicherung von IP-Adressen sowie eine gestaffelte Vorratsdatenspeicherung ab bestimmten Nutzerzahlen.
Unsere Haltung ist klar und differenziert. Das Interesse der Strafverfolgung, schwere Straftaten aufzuklären, ist legitim und unbestritten. Problematisch ist der Weg: Weitreichende Grundrechtseingriffe sollen auf blosser Verordnungsstufe geregelt werden – ohne die parlamentarische Debatte und ohne Referendumsmöglichkeit, die ein Gesetz mit sich brächte. Genau das kritisieren Fachleute als Frage der Gesetzmässigkeit und Verhältnismässigkeit. Es schwächt zudem das Vertrauen in den Standort Schweiz und in den Grundsatz, möglichst wenige Daten zu erheben.
Bemerkenswert ist die Breite des Widerstands: In der Vernehmlassung fiel die Vorlage praktisch geschlossen durch – die Parteien von der SP bis zur SVP lehnten ab, ebenso Verbände und die Tech-Branche. Einzelne datenschutzorientierte Anbieter haben Investitionen ins Ausland verlagert oder einen Wegzug erwogen. Das Parlament zwang den Bundesrat mit zwei Motionen zur grundlegenden Überarbeitung. Am 11. Februar 2026 nahm der Bundesrat das Ergebnis zur Kenntnis, gab eine Regulierungsfolgenabschätzung in Auftrag und kündigte eine zweite Vernehmlassung an.
Stand Juni 2026 gilt deshalb: Die Revision ist weder beschlossen noch in Kraft. Sie ist in Überarbeitung. Ein im Frühjahr 2026 bekannt gewordener Entwurf hob zwar einen zentralen Schwellenwert an, behielt die umstrittenen Kernpflichten aber bei. Niemand sollte heute so tun, als wäre die Verschärfung schon geltendes Recht – aber ebenso wenig sollte man die Richtung ignorieren.
Was das für Sie als KMU oder Privatperson heisst
Wichtig zur Einordnung: «Daten in der Schweiz» schützt vor ausländischem Zugriff, nicht aber vor einem rechtmässigen Schweizer Behördenzugriff. Echte Datenhoheit entsteht erst, wenn der Anbieter den Schlüssel gar nicht besitzt. Und auch starke Verschlüsselung hat Grenzen: Sie schützt Inhalte, nicht aber Randdaten, nicht ein kompromittiertes Endgerät und nicht ein schlecht gesichertes Backup.
Konkret hilfreiche Hebel, unabhängig von der Revision:
- Datenminimierung: Was Sie nicht erheben, kann niemand herausverlangen.
- Verschlüsselung dort, wo der Anbieter den Schlüssel nicht kontrolliert.
- Schweizer Hosting – mit ehrlicher Kenntnis seiner Grenzen.
- Lokale oder verschlüsselte Backups statt schwach geschützter Cloud-Sicherungen.
- Sensibilisierung der Mitarbeitenden, denn Verschlüsselung verhindert kein Phishing.
Häufige Fragen
Was ist der Unterschied zwischen BÜPF und VÜPF?
Das BÜPF ist das Gesetz, die VÜPF die ausführende Verordnung dazu. Das Gesetz legt die Grundpflichten fest, die Verordnung regelt die technischen Details – weshalb die geplante Verschärfung auf Verordnungsstufe so umstritten ist.
Ist die VÜPF-Revision bereits in Kraft?
Nein. Stand Juni 2026 ist sie weder beschlossen noch in Kraft, sondern nach breiter Kritik in Überarbeitung; eine zweite Vernehmlassung ist angekündigt.
Was sind Randdaten und werden Inhalte gespeichert?
Randdaten sind Metadaten: wer mit wem, wann, wie lange und von wo kommuniziert hat. Gespeichert werden bei den grossen Anbietern nur diese Randdaten für sechs Monate, nicht die Gesprächs- oder Nachrichteninhalte.
Sind meine Daten in der Schweiz vor jedem Zugriff sicher?
Schweizer Hosting schützt vor ausländischem Zugriff, nicht vor einem rechtmässigen, richterlich genehmigten Schweizer Behördenzugriff. Echte Souveränität erreichen Sie nur mit eigener Schlüsselhoheit.
Hilft ein Server im Ausland für mehr Datenschutz?
Nicht automatisch. Entscheidend ist weniger, in welchem Land der Server steht, als wer den Schlüssel besitzt und welche Firma rechtlich zur Herausgabe gezwungen werden kann. Ein Schweizer Anbieter bleibt an Schweizer Recht gebunden, auch wenn die Daten im Ausland liegen – ein ausländischer Standort fügt dann eher eine zweite Rechtsordnung hinzu, als zusätzlichen Schutz zu schaffen. Den grössten Unterschied macht eine Verschlüsselung, bei welcher der Anbieter den Schlüssel gar nicht besitzt.
Muss mein KMU wegen des Datenschutzgesetzes aktiv werden?
Ja. Seit dem 1. September 2023 gelten angemessene technische und organisatorische Schutzmassnahmen. Ein Bearbeitungsverzeichnis ist für kleinere Betriebe bei geringem Risiko jedoch nicht zwingend.
Ein verlässlicher Ansprechpartner in der Region
Diese Themen wirken trocken, betreffen aber Ihren Alltag und Ihr Geschäft direkt. Wir begleiten Betriebe und Privatpersonen aus Turbenthal und dem ganzen Tösstal dabei, ihre Daten bewusst, sicher und nachvollziehbar zu organisieren – mit Beratung, durchdachter Verschlüsselung, verlässlichen Backups und der nötigen Sensibilisierung. Sprechen Sie uns an, wenn Sie Ihre Situation in Ruhe und ohne Fachjargon einordnen möchten.