Wie steht es um den Schutz der digitalen Integrität?

Ebenso wenig konnten die Hacker zur Verantwortung gezogen werden, die am 19. September 2022 die Webseite Patientendossier.ch angriffen. Auf dieser Domaine informiert die Koordinationsstelle eHealth Suisse über das elektronische Patientendossier. Rund 250 Namen und E-Mail-Adressen von Personen, die Bestellungen aufgegeben oder Kontaktformulare ausgefüllt hatten, fielen den Hackern in die Hände. Gesundheitsinformationen oder sensible Kundendaten seien zu keinem Zeitpunkt vom Angriff betroffen gewesen, versichert das BAG. Es hätte aber auch anders ausgehen können. Bei einem Cyberangriff auf die US-Plattform «Change Healthcare» im Februar 2024 flossen laut Versicherungskonzern UnitedHealth Group persönliche Angaben und Gesundheitsdaten von einem bedeutenden Teil der US-Bevölkerung ab.

Nur drei Beispiele, die zeigen: Angesichts vielfältiger Bedrohungen ist der Schutz der digitalen Identität zum Dauerthema geworden. Zu einem erhöhten Schutz von persönlichen Daten beitragen soll unter anderem ein Grundrecht auf Schutz der digitalen Unversehrtheit.

Ja in Genf, Nein im Wallis 

Worum aber geht es bei der Diskussion um das Recht auf digitale Unversehrtheit konkret? Es besagt, dass persönliche Daten ein wesentlicher Bestandteil der menschlichen Identität sind – und dass jede Person zumindest über grundlegende, unveräusserliche Rechte an diesen Daten verfügt. «Analog zum Recht auf körperliche und geistige Unversehrtheit», sagt Rechtsanwalt Timur Acemoglu, der öffentliche Gemeinwesen in Fragen des E-Government-Rechts berät. Daraus würden verschiedene konkrete Rechte abgeleitet, unter anderem ein Recht auf Schutz vor Datenmissbrauch, auf Datensicherheit, auf Vergessenwerden, ein Recht, offline zu leben, oder auch ein Recht darauf, nicht von einer Maschine beurteilt zu werden. «Auch wenn sich einige Inhalte als Konkretisierung des Rechts auf digitale Unversehrtheit herauszukristallisieren scheinen, besteht noch kein scharfer Umriss dieses Rechts», sagt Acemoglu. Die genannte Konkretisierung sei vielmehr Gegenstand des aktuellen Diskurses.

Im Juni 2023 nahm der Kanton Genf das Recht auf digitale Unversehrtheit in seine Kantonsverfassung auf. Beim Urnengang stimmten 94,21 Prozent der Bevölkerung für die entsprechende Vorlage. Artikel 21A der Genfer Verfassung lautet nun: «Jede Person hat das Recht auf Wahrung ihrer digitalen Integrität.» Genfer sollen vor Datenmissbrauch geschützt werden und das Recht auf ein Offline-Leben sowie das Recht auf Vergessenwerden garantiert haben. Der Kanton Neuenburg nahm im November 2024 eine ähnliche Verfassungsänderung mit 91,5 Prozent Zustimmung an. Im Gegensatz zu Genf und Neuenburg hatte der Kanton Wallis im März 2023 eine entsprechende Verfassungsänderung abgelehnt.

Befürworter argumentieren, die Verfassung müsse an die Herausforderungen der digitalen Welt angepasst werden, um den Schutz der Bürgerinnen und Bürger vor Datenmissbrauch und Cyberangriffen zu gewährleisten. Individuelle Rechte, wie der Schutz der Privatsphäre und das Recht auf ein Offline-Leben, sollten gestärkt werden. Und: Ein solches Grundrecht könnte die Sensibilisierung der Bevölkerung hinsichtlich digitaler Risiken erhöhen und die Ausbildung im Umgang mit neuen Technologien fördern.

Kritische Stimmen zur Aufnahme eines neuen Rechts auf digitale Unversehrtheit in den Grundrechtskatalog argumentieren hingegen damit, dass die bestehenden Grundrechte ausreichten, da der Schutz der Privatsphäre bereits gewährleistet sei und es auch bei Beeinträchtigungen im digitalen Umfeld am Ende häufig um eine Beeinträchtigung der psychischen oder physischen Integrität der betroffenen Person gehe. Dies sei bereits verfassungsmässig geschützt, sagt Timur Acemoglu. Ausserdem werde von den Kritikern ins Feld geführt, «dass davon ein geringer Nutzen zu erwarten ist, da die Grundrechte grundsätzlich den Staat in die Pflicht nehmen und nicht beispielsweise die grossen Social-Media-Plattformen oder die ‹Big Tech›-Firmen». Auch werde argumentiert, zur Bekämpfung der Cyberkriminalität würden genügende Schutzbestimmungen bestehen, die angewendet werden könnten.

CEO-Betrug 

Im Oktober 2023 wird in Küsnacht ZH ein 21-jähriger Österreicher verhaftet. Er hatte mithilfe gestohlener Identitäten rund zwei Dutzend Kreditkarten beantragt und damit einen luxuriösen Lebensstil finanziert. Die Deliktsumme beläuft sich auf über 100 000 Franken. Im Kanton Graubünden werden 25 Personen, hauptsächlich Pensionierte, Opfer von betrügerischen Onlinetrading-Plattformen. Sie wurden gedrängt, Investitionen zu tätigen, und mussten Kopien ihrer Ausweisdokumente übermitteln. Diese Daten wurden für weitere betrügerische Aktivitäten genutzt, was zu erheblichen finanziellen Verlusten führte.

Im September 2024 wird bekannt, dass die Familie des ehemaligen Formel-1-Rennfahrers Michael Schumacher erpresst wurde. Drei Männer standen im Dezember 2024 deswegen vor Gericht. Der 53-jährige Hauptangeklagte hatte der Familie Schumacher mit der Veröffentlichung privater Bilder im Darknet gedroht, er verlangte 15 Millionen Euro. Beim Mann fand die Polizei über 900 Bilder und fast 600 Videos der Familie sowie die digitalisierte Krankenakte von Michael Schumacher. Der Hauptangeklagte gab an, die Bilder von einem ehemaligen Sicherheitsmitarbeiter erhalten zu haben. Er wurde wegen versuchter Erpressung zu drei Jahren Gefängnis verurteilt, sein 30-jähriger Sohn wegen Beihilfe zu einem halben Jahr auf Bewährung und der ehemalige Sicherheitsmitarbeiter wegen Beihilfe zu zwei Jahren auf Bewährung.

Bekannt ist auch der sogenannte CEO-Betrug, bei dem sich Kriminelle als Geschäftsführer oder leitende Angestellte eines Unternehmens ausgeben und Mitarbeitende dazu verleiten, grosse Geldsummen zu überweisen. Stimme, Sprachstil, sogar Bewegtbild sind teilweise täuschend echt nach-gemacht. Ein Fall ereignete sich im Wallis, wo ein Unternehmen 300 000 Franken verlor, nachdem Betrüger sich als CEO ausgegeben und eine Überweisung angeordnet hatten.

Warum aber ist das Recht auf digitale Unversehrtheit nicht auf Bundesebene geregelt? Die Bundesverfassung enthalte in Artikel 13 ein Grundrecht auf Schutz der Privatsphäre, einschliesslich des Schutzes vor Datenmissbrauch, erklärt Timur Acemoglu. Daraus werde auch ein Recht auf informationelle Selbstbestimmung abgeleitet. Unter gewissen Voraussetzungen könne auch auf das Grundrecht auf persönliche und geistige Unversehrtheit abgestützt werden. «Es besteht also zweifellos auch auf Bundesebene ein gewisser Grundrechtsschutz», sagt Acemoglu weiter. Dieser gehe aber weniger weit als die Rechte, die im Rahmen des Rechts auf digitale Unversehrtheit eingeführt würden: «Beispielsweise war ein Recht, offline zu leben, aus den bestehenden Grundrechten bisher nicht abgeleitet worden.»

Einem im September 2022 im Nationalrat eingereichten Vorstoss, ein entsprechendes Recht in die Bundesverfassung aufzunehmen, hat dieser mit recht deutlicher Mehrheit keine Folge gegeben. Es sind aber in der Zwischenzeit in verschiedenen weiteren Kantonen entsprechende Initiativen angestossen worden. «Ich gehe deshalb davon aus, dass das Thema in Zukunft auch auf Bundesebene wieder aufs politische Parkett kommen wird», prognostiziert Acemoglu.

Teilschutz in der Schweiz 

Derzeit gibt es keine spezifische Strafnorm, welche die Verletzung des Rechts auf digitale Integrität ausdrücklich unter Strafe stellen würde. Allerdings schützen Datenschutzgesetze auf Bundes- und Kantonsebene bestimmte Aspekte dieses Rechts, insbesondere den Schutz vor Datenmissbrauch und die Gewährleistung der Datensicherheit. In diesem Zusammenhang gibt es verschiedene Strafbestimmungen, erklärt Timur Acemoglu. «Mir sind jedoch keine entsprechenden Gerichtsurteile bekannt, und solche Fälle dürften sehr selten sein.»

Auch das Strafgesetzbuch enthält zwei Artikel, die den Schutz vor Datenmissbrauch und den Datenschutz stärken sollen. So Artikel 179novies StGB (Unbefugtes Beschaffen von Personendaten): Wer ohne Erlaubnis besonders schützenswerte Personendaten erlangt, die nicht öffentlich zugänglich sind, kann auf Antrag mit einer Freiheitsstrafe von bis zu drei Jahren oder einer Geldstrafe bestraft werden. Und Artikel 179decies StGB (Identitätsmissbrauch), der am 1. September 2023 in Kraft getreten ist: Hier droht dem Täter auf Antrag eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe.

International gibt es unterschiedliche Ansätze zum Schutz der digitalen Identität. In der Europäischen Union beispielsweise besteht mit der Datenschutz-Grundverordnung (DSGVO) ein umfassender Rechtsrahmen, der den Schutz personenbezogener Daten regelt und den Bürgerinnen und Bürgern weitreichende Rechte einräumt. In den USA hingegen variieren die Datenschutzgesetze je nach Bundesstaat. Es gibt keine einheitliche nationale Regelung.

Kantone als Pioniere

«Es ist mir nicht bekannt, dass im Ausland ein eigentliches verfassungsmässiges Recht auf digitale Unversehrtheit besteht», sagt Timur Acemoglu. «Die Kantone, die diese Rechte in ihre Verfassung schrieben, werden deshalb zu Recht als Pioniere bezeichnet.» Verschiedene aus bestehenden Grundrechten abgeleitete Grundrechte für den digitalen Raum gibt es aber teilweise bereits seit längerer Zeit. So hat das deutsche Bundesverfassungsgericht aus dem Schutz der persönlichen Freiheit unter anderem ein sogenanntes IT-Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und ein Recht auf informationelle Selbstbestimmung abgeleitet. Das letztgenannte Recht lässt sich auch aus der Europäischen Menschenrechtskonvention (EMRK) ableiten. Und schliesslich sieht die Europäische DSGVO beispielsweise ein Recht auf Vergessenwerden vor.

Das Recht auf digitale Unversehrtheit hat als verfassungsmässiges Grundrecht verschiedene Funktionen: Es kann von betroffenen Personen direkt angerufen und die Anwendung gegenüber Behörden und Gerichten in einem konkreten Einzelfall gefordert werden. Darüber hinaus könne darin allenfalls auch ein Gesetzgebungsauftrag enthalten sein. Das wäre bei künftiger Gesetzgebung und bei der Auslegung bestehenden Rechts zu berücksichtigen. Auf diesen Ebenen wird sich das Recht in Zukunft weiterentwickeln und seine Umrisse konkretisieren. «Dabei wird es sich auch gegen widerstrebende Interessen des Staates durchsetzen müssen», sagt Timur Acemoglu: «Beispielsweise bei der Strafverfolgung oder der Digitalisierung von Behördenleistungen.» Es wird spannend sein festzustellen, welche konkreten Auswirkungen sich in den entsprechenden Kantonen auf Basis des neuen Grundrechts ergeben.