Das Konzept der digitalen Integrität setzt sich in der Schweiz immer mehr durch. Zu diesem Schluss kommt ein Artikel von Adrienne Fichter in der Republik. Doch um was geht es dabei eigentlich?

Das in der Westschweiz zuerst auftauchende neue Grundrecht breitet sich zunehmend auf kantonaler Ebene in der Schweiz aus und findet dort Eingang in Verfassungen. Laut Republik haben Genf und Neuenburg das Recht auf digitale Integrität bereits in ihre Kantons­verfassungen aufgenommen, im Kanton Jura habe das Parlament Ja dazu gesagt. In der Waadt, in Basel sowie Luzern hätten Kantons­rätinnen Vorstöße eingereicht.

Am 30. November wird in Zürich über eine Volksinitiative zum Thema abgestimmt. Weltweit sei das neue Grundrecht aber noch einzigartig und nur in der Schweiz anzutreffen, so der Bericht weiter. Getragen würde es von unterschiedlichen politischen Strömungen und Parteien, ein heterogenes Netzwerk stehe hinter dem Grundrecht.

Das Grundrecht auf digitale Integrität setzt sich, wie hier in der Volksinitiative in Zürich beschrieben, aus folgenden Rechten zusammen:

• Ein Recht auf Vergessenwerden
• Ein Recht auf ein Offline-Leben
• Ein Recht auf Informationssicherheit
• Ein Recht darauf, nicht von einer Maschine beurteilt zu werden
• Ein Recht darauf, nicht überwacht, vermessen und analysiert zu werden
• Ein Recht auf Schutz vor Verwendung von Daten ohne Zustimmung, welche das digitale Leben betreffen

Das Grundrecht bildet demnach einen Gegenpol zu einer Welt, in der Daten das neue Öl seien und Datenschutz immer weiter durch entgrenzte Datennutzung unter Druck gerät. Dabei ist das neue Grundrecht auf digitale Unversehrtheit eine Erweiterung und Teil des Grundrechts auf körperliche Unversehrtheit, die durch die immer bedeutendere Rolle des Digitalen als Teil des Persönlichkeitsrechtes nötig werde. Gegner:innen des Konzepts argumentieren, dass die körperliche Unversehrtheit die digitale Integrität schon abdecke.

Ein wichtiger Teil der digitalen Unversehrtheit ist die informationelle Selbstbestimmung, die in Deutschland bereits als eigenes Grundrecht formuliert wurde. Ebenso gibt es in Deutschland das so genannte IT-Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das auch zur Digitalen Integrität gezählt werden kann. Ein längeres Video, welches das neue Grundrecht erklärt, hat die Digitale Gesellschaft Schweiz veröffentlicht.

„Maßstäbe für Behörden setzen“

Bislang wurde das neue Grundrecht in der Schweiz auf regionaler und kantonaler Ebene eingeführt. Gegner:innen des neuen Grundrechtes argumentieren beispielsweise in Zürich, dass solche Dinge auf Bundesebene geregelt werden müssten und dass die Bürger:innen sonst falsche Erwartungen an das Recht hätten. Monica Amgwerd, die sich für die Volksinitiative einsetzt, widerspricht gegenüber Republik diesem Argument. Sie sieht den Staat als Vorbild. „Das Recht auf digitale Integrität soll Maßstäbe für Behörden setzen und indirekt auch auf den privaten Sektor ausstrahlen“, so Amgwerd gegenüber dem Medium. Dennoch gehöre das Thema auch auf die bundesweite Ebene.

Bislang steht die Schweiz mit dem neuen Grundrecht noch recht alleine da. In Deutschland hatte die Piratenpartei im Jahr 2021 das Grundrecht in ihrem Wahlprogramm eingefordert, im französischen Straßburg hat es die digitale Integrität in einen Beschluss des Stadtrates geschafft.

Am Mittwoch will die grün-schwarze Landesregierung in Baden-Württemberg einen heftig umstrittenen Gesetzentwurf verabschieden. Er erlaubt dem Bundesland den Einsatz der Palantir-Software zur Datenanalyse, die das Land für mehr als 25 Millionen Euro bereits eingekauft hat.

Im Windschatten dieses Ansinnens bringt der Gesetzentwurf eine weitere bedeutende Verschlechterung des Datenschutzes im Land mit sich: Laut Paragraf 57a soll die Polizei von Baden-Württemberg künftig personenbezogene Daten zur Entwicklung, zum Training, zum Testen, zur Validierung und zur Beobachtung von informationstechnischen Systemen einsetzen dürfen. Dabei ist unerheblich, ob sich die betroffenen Menschen zuvor verdächtig gemacht haben. Die entsprechende Datenverarbeitung ist nicht an ein Ermittlungsverfahren gebunden, sondern allein zur Verbesserung und Implementierung von Überwachungssoftware gedacht.

Bürger*innen werden demnach künftig Daten liefern, mit denen beispielsweise das privatwirtschaftliche Unternehmen Palantir, gegründet vom rechten Anti-Demokraten Peter Thiel, seine Produkte verbessern kann. Wenn also in Kürze die ersten Tests der Palantir-Software in Baden-Württemberg beginnen, könnten diese direkt mit realen personenbezogenen Daten vorgenommen werden, die millionenfach in Polizeidatenbanken lagern.

Auch der Test und das Training von beispielsweise automatisierter Verhaltens- oder Gesichtserkennung ist damit möglich. Ausgenommen sind nur Daten, die im Rahmen einer Wohnraumüberwachung erhoben wurden.

Daten dürfen auch an Dritte weitergegeben werden

Sobald „unveränderte Daten benötigt werden oder eine Anonymisierung oder Pseudonymisierung der Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist“, dürfen beispielsweise auch Klarnamen und andere eindeutig identifizierende Informationen wie Gesichtsfotos dabei genutzt werden. Die Daten dürfen auch an Dritte weitergegeben werden.

Tobias Keber, der Landesdatenschutzbeauftragte, fordert in einer Stellungnahme, zumindest in jedem Fall zu prüfen, ob eine Anonymisierung oder Pseudonymisierung tatsächlich unverhältnismäßig ist. Nach dem Entwurf, der Mittwoch zur Abstimmung gestellt wird, ist dies nicht zwingend vorausgesetzt, sobald „unveränderte Daten benötigt werden“. Außerdem solle, so Keber, seine Behörde jeweils frühzeitig eingebunden werden.

Es ist gut möglich, dass diese Rechtsgrundlage zum Testen und Trainieren mit personenbezogenen Daten eine Reaktion auf den bayerischen Umgang mit Palantir-Software ist. Dort hatten die Behörden die Datenanalyse mit Echtdaten tatsächlicher Menschen ohne Rechtsgrundlage getestet, woraufhin der bayerische Landesdatenschutzbeauftragte forderte, den Test zu beenden. Laut der Wissenschaftlichen Dienste des Bundestages muss ein derartiger Testbetrieb den gleichen – hohen – Anforderungen genügen wie der tatsächliche Einsatz.

Wer zusehen möchte, wie die grün-schwarze Landesregierung diesen massiven Grundrechtseingriff durchs Parlament bringt, kann dies Mittwoch ab 13.30 Uhr auf der Website des Landtags tun.

Insgesamt elf Sicherheitsmitteilungen hat Qnap am Wochenende veröffentlicht, die teils kritische Schwachstellen in den NAS-Systemen und zugehöriger Software behandeln. Die Aktualisierungen zu den Mitteilungen stehen bereits zum Herunterladen und Installieren bereit – wer Qnap-Systeme einsetzt, sollte prüfen, ob die Geräte bereits auf dem aktuellen Stand sind.

Details zu den Schwachstellen sind jedoch Mangelware – selbst die CVE-Einträge sind noch nicht veröffentlicht. In QTS und QuTS hero hat Qnap jedoch drei Sicherheitslücken gestopft, die als Zero-Day-Lücke auf der Pwn2Own 2025 in Irland für Angriffe auf die NAS-Speichergeräte attackiert wurden (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849). Ein Angriffsvektor mit CVSS-Wertung fehlt bislang, Qnap stuft das Risiko jedoch als „kritisch“ ein. Die Fehlerkorrekturen bringen QTS 5.2.7.3297 Build 20251024, QuTS hero h5.2.7.3297 Build 20251024 sowie QuTS hero h5.3.1.3292 Build 20251024 und neuere Fassungen mit.

Weitere kritische Lücken finden sich in Hyper Data Protector (CVE-2025-59389), was Version 2.2.4.1 und neuer ausbessern, oder HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842), bei denen Stand 26.2.0.938 oder neuer das Problem beseitigen.

Auch „nicht-Pwn2Own-Lücken“ geschlossen

Qnap bessert jedoch auch andere Schwachstellen aus, die nicht auf der Pwn2Own gefunden wurden. Etwa in QuMagie vor 2.7.0 steckte eine als kritisches Risiko eingestufte SQL-Injection-Lücke, die Angreifern aus dem Netz das Ausführen von Schadcode ermöglichte (CVE-2025-52425).

Weitere Sicherheitsmitteilungen vom Wochenende stopfen Sicherheitslecks, die die Qnap-Entwickler teils als nicht ganz so gravierend einordnen:

• Vulnerability in QuMagie vor 2.7.3 (CVE-2025-58464), Risikoeinstufung „wichtig“
• Multiple Vulnerabilities in Download Station vor 5.10.0.305 (QTS) /.304 (QuTS hero) (CVE-2025-58463, CVE-2025-58465), Einstufung „wichtig“
• Vulnerability in Qsync Central vor 5.0.0.3 (CVE-2025-57712), Einstufung „wichtig“
• Multiple Vulnerabilities in File Station 5 vor 5.5.6.5018 (CVE-2025-47207, CVE-2025-53408, CVE-2025-53409, CVE-2025-53410, CVE-2025-53411, CVE-2025-53412, CVE-2025-53413, CVE-2025-52865, CVE-2025-57706), Einstufung „moderat“
• Vulnerability in Notification Center vor 3.0.0.3466, 2.1.0.3443 und 1.9.2.3163 (CVE-2025-54167), Einstufung „moderat“
• Multiple Vulnerabilities in QuLog Center vor 1.8.2.923 (CVE-2025-54168, CVE-2025-58469), Einordnung „moderat“

Zuletzt hatte Qnap im September hochriskante Sicherheitslücken in QTS und QuTS hero gemeldet. Die Aktualisierungen, die die Probleme beseitigten, waren zu dem Zeitpunkt bereits länger verfügbar.

(dmk)