Datenschutz in der digitalen Kommunikation ist gerade vor dem Hintergrund des immer weiter gefassten Kampfes gegen „Hass und Hetze“ im Internet nicht nur dann relevant, wenn man sich mehr oder weniger öffentlich in sozialen Netzwerken bewegt. Er wird vor allem dort entscheidend, wo Kommunikation als privat wahrgenommen wird – in E-Mails, Messengern oder Cloud-Diensten. Viele Nutzerinnen und Nutzer sind genau aus diesem Grund zu Diensten wie Proton gewechselt.

Proton wirbt mit einem umfassenden Datenschutzverständnis und bietet eine ganze Palette an Diensten an, darunter E-Mail, Messenger, VPN und Cloud-Speicher. Ein zentrales Argument war dabei lange der Standort: Die Server wurden außerhalb des EU-Rechtsraums in der Schweiz betrieben. Genau diese rechtliche Distanz galt vielen als entscheidendes Kriterium – und als ein Alleinstellungsmerkmal, das über reine Technik hinausging.


Der Hintergrund: Schweizer Überwachungsgesetz (VÜPF)

Auslöser der aktuellen Entwicklung sind geplante Änderungen am Schweizer Überwachungsgesetz (VÜPF). Diese sehen unter anderem eine Ausweitung von Überwachungspflichten, etwa bei Metadaten und Identifikationsanforderungen für Kommunikationsdienste, vor. Proton sieht darin ein Risiko für die Wahrung der Privatsphäre seiner Nutzer und hat begonnen, sich auf alternative Standorte mit aus seiner Sicht klareren oder stabileren datenschutzrechtlichen Rahmenbedingungen vorzubereiten.

Die Schweiz stand lange für Distanz zu überstaatlichen Sicherheitslogiken, für hohe rechtliche Hürden bei staatlichen Zugriffen und für eine gewisse institutionelle Langsamkeit, die in Fragen der Überwachung eher Schutz als Schwäche bedeutete. Seit dem Sommer 2025 beginnt Proton, Teile seiner Serverinfrastruktur schrittweise nach Deutschland und Norwegen zu verlagern – also in Staaten, die in den europäischen Rechtsraum eingebunden sind.

Dass Proton Teile seiner Infrastruktur ins EU-Ausland verlagert, ist mehr als eine technische Randnotiz. Der formale Firmensitz bleibt in der Schweiz, die Verschlüsselung bleibt stark, die Architektur im Kern unverändert. Und doch verschiebt sich etwas Grundsätzliches: der rechtliche Raum, in dem Daten verarbeitet werden.


Der Server-Umzug von Proton aus der Schweiz ins EU-Ausland ist keine ganz neue Entwicklung. Er wurde bereits im Sommer 2025 öffentlich bekannt, als das Unternehmen auf die geplanten Änderungen am Schweizer Überwachungsrecht reagierte. In diesem Zeitraum begann Proton, Teile seiner physischen Infrastruktur aus der Schweiz heraus zu verlagern, um der entstehenden rechtlichen Unsicherheit zu begegnen. Besonders sichtbar wurde dieser Schritt im Zusammenhang mit dem KI-Chatbot Lumo, dessen Server bereits im Juli und August 2025 nach Deutschland und an weitere europäische Standorte verlegt wurden.

Proton selbst wies bereits im Juli 2025 darauf hin, dass man aufgrund dieser legislativen Entwicklungen plane, die Infrastruktur stärker zu diversifizieren. Die öffentliche Diskussion darüber setzte sich über die folgenden Monate fort. Spätestens seit Mitte bis Ende 2025 ist klar: Der Umzug ist real und bewusst angestoßen – keine theoretische Option, sondern ein laufender Prozess.


Die juristische Zuständigkeit verschiebt sich

Solange Server physisch in der Schweiz stehen, gilt primär:

  • Schweizer Recht
  • Schweizer Gerichte
  • Schweizer Behörden
  • Schweizer Schwellen für Überwachung und Herausgabe

Mit Serverstandorten in der EU gilt zusätzlich bzw. vorrangig:

  • nationales Recht des Serverlandes (z. B. Deutschland, Norwegen1)
  • EU-Recht (DSGVO, ePrivacy, nationale Sicherheitsgesetze)
  • EU-weite Rechtshilfeverfahren

Entscheidend ist: Selbst wenn Proton eine Schweizer Firma bleibt, unterliegen die Daten auf EU-Servern der EU-Rechtsordnung.


Metadaten werden rechtlich verwundbarer (Inhalte oft nicht)

Wichtig: Proton schützt Inhalte weiterhin durch Ende-zu-Ende-Verschlüsselung.

Aber: Metadaten sind der neuralgische Punkt.

Metadaten sind z. B.:

  • IP-Adressen
  • Zeitpunkte
  • Verbindungsdauer
  • Server-Zugriffe
  • Account-Beziehungen

In der EU:

  • gelten Metadaten rechtlich nicht als Inhaltsdaten
  • sind daher leichter anordnungsfähig
  • werden oft als „nicht so schutzwürdig“ behandelt

Konsequenz: Auch wenn niemand deine Mails oder deine Nachrichten lesen kann, lassen sich Kommunikationsmuster rekonstruieren.


Wer die Server kontrolliert, setzt den Rahmen

Datenschutz wird oft auf Technik reduziert – auf Verschlüsselung, Zero-Knowledge-Architekturen oder Open Source. Das alles ist wichtig, aber unvollständig. Daten existieren nicht abstrakt. Sie liegen auf Servern. Und Server stehen immer unter einem konkreten Recht.

Solange diese Server in der Schweiz betrieben werden, greifen Schweizer Gesetze und Schweizer Zuständigkeiten. Sobald Infrastruktur physisch in einem EU-Staat steht, gilt dessen Rechtsordnung – ergänzt durch europäische Regelwerke und institutionalisierte Zusammenarbeit. Das ist kein Sonderfall und keine politische Wertung, sondern schlicht geltendes Recht.

Der entscheidende Punkt ist dabei nicht Willkür, sondern Struktur: Es gibt mehr Akteure, mehr Ebenen und mehr Zugriffspfade als zuvor.


Wenn europäische Sicherheitspolitik den Datenschutz relativiert

Hinzu kommt eine politische Dynamik, die sich kaum technisch absichern lässt. EU-Recht entsteht häufig reaktiv – unter dem Eindruck von Krisen, Bedrohungslagen oder öffentlichem Druck. Sicherheitsgesetze werden selten in ruhigen Zeiten beschlossen.

Die Schweiz war hier traditionell langsamer, konsensorientierter und schwerfälliger. Diese Trägheit wirkte für viele als Filter. Mit Serverstandorten im EU-Raum wird ein Anbieter Teil eines politisch beweglicheren Systems, selbst wenn er selbst keine andere Agenda verfolgt.

Auch die enge internationale Zusammenarbeit spielt eine Rolle. Europäische Staaten sind stark vernetzt, Ermittlungsverfahren standardisiert, Rechtshilfe institutionalisiert. Das führt nicht automatisch zu mehr Überwachung, wohl aber zu besser koordinierbaren Zugriffen. Die Schweiz fungierte lange als juristischer Zwischenraum – dieser Puffer wird kleiner, wenn Infrastruktur außerhalb liegt.

All das bedeutet nicht, dass Proton seine Prinzipien aufgibt oder dass der Dienst plötzlich unsicher wäre. Die technische Integrität bleibt, die Verschlüsselung ebenso. Was sich ändert, ist die Klarheit des Arguments. „Schweizer Firma, Schweizer Server, Schweizer Recht“ war eine einfache Formel. Heute ist sie komplexer und erklärungsbedürftiger.

Der entscheidende Punkt liegt daher nicht in der Frage, ob man Proton nutzen sollte oder nicht. Er liegt in der Einsicht, dass Verschlüsselung Inhalte schützt – Standorte aber den rechtlichen Spielraum bestimmen. Wer fragen darf, wann gefragt wird und auf welcher Grundlage, ist keine technische, sondern eine politische Frage.

Diese Spannung lässt sich nicht auflösen. Man kann sie nur bewusst machen, aushalten und gestalten. Vielleicht ist genau das die anspruchsvollste Form digitaler Freiheit, die uns heute bleibt.


Kurzes Fazit

Ja: Die Serververlagerung ins EU-Ausland hat konkrete rechtliche Folgen.

Nein: Proton wird dadurch nicht unsicher oder unbrauchbar.

Aber: Das frühere, starke Argument „Schweiz = maximaler juristischer Schutzraum“ ist eindeutig abgeschwächt.

Sicher ist am Ende niemand vollständig. Doch es macht einen Unterschied, welchen rechtlichen Raum ein Anbieter wählt – und welche unternehmerischen Entscheidungen er trifft. Denn sie bestimmen, wie belastbar der Schutz der eigenen Daten im Ernstfall wirklich ist.

  1. Norwegen ist zwar nicht EU-Mitglied, aber EWR-Staat und weitgehend EU-rechtlich eingebunden. ↩︎