Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat seinen Tätigkeitsbericht 2024/2025 veröffentlicht. In seiner Medienmitteilung titelt er „Verstärktes Einschreiten gegen Rechtsverstösse im Datenschutz und neue Höchststände bei den Zugangsgesuchen nach dem Öffentlichkeitsgesetz“ und zieht ein viel beachtetes Resümee zu Digitalisierung und Grundrechten, sowohl in öffentlichen Bereich wie Justiz, Polizei, Sicherheit und Gesundheit, aber auch bei Wirtschaft und Gesellschaft. Im Privatbereich fallen besonders folgende Themen auf:
Cyberangriff auf OneLog: Risiken bei Login-Lösungen
Der EDÖB dokumentiert einen gezielten Cyberangriff auf die Login-Plattform OneLog. Der Vorfall zeigt deutlich, dass cloudbasierte Authentifizierungsdienste zu attraktiven Zielen für Hacker werden – mit potenziell weitreichenden Folgen für tausende Privatpersonen. Der Bericht mahnt zu strikten Sicherheits- und Incident-Response-Prozessen bei Identity‑Anbietern. Verantwortliche treffen nicht nur die Meldepflicht von Datensicherheitsverletzungen (Art. 24 Abs. 1 DSG), sie müssen den EDÖB kontinuierlich über die getroffenen Massnahmen und das weitere Vorgehen informieren.
Pflicht zur Vertretung (Art. 14 DSG): Klare Verantwortung im Privatbereich
Neu fordert das DSG eindeutig eine Vertretung nach Art. 14 DSG für Private mit Sitz oder Wohnsitz im Ausland, die Personendaten bearbeiten. Das heisst: Wer umfangreich und regelmässig Daten verarbeitet – z.B. im Rahmen privater Online-Plattformen oder Community-Diensten –, muss eine gewählte oder eingesetzte Person benennen, die für die Einhaltung des DSG verantwortlich ist. Dies stärkt die Nachvollziehbarkeit datenschutzrelevanter Prozesse. Dazu können Unternehmen und andere Private eine Vertretung benennen, als Anlaufstelle sowohl für die betroffenen Personen als auch für den EDÖB.
BPS Legal bietet Vertretungen nach Art. 14 DSG an, ggf. in Kombination mit der Rolle des Schweizer Datenschutzberaters nach Art. 10 DSG. Nehmen Sie gerne mit uns Kontakt auf.
Plattformübergreifendes Tracking: Auf dem Radar des Aufsehers
Besonders interessant für Online-Marketing: Der EDÖB legt einen Schwerpunkt bei plattformübergreifenden Trackings, z.B. mittels Cookies oder Fingerprinting. Der EDÖB stellt fest, dass solche Methoden im Privatbereich oft im rechtsfreien Raum erfolgen – und fordert klare Regeln für Transparenz, Einwilligung und Dokumentation. Ohne geeignete technische und organisatorische Massnahmen drohen Bussen und Reputationsverlust. Bei der Verwendung von Drittdiensten und Third-Party-Cookies durch Webseiten- und Appbetreiber sind Informationspflichten, Gestaltungsrechte der betroffenen Personen und Verantwortlichkeiten zu beachten.
Datenschutz zieht in die Unternehmenskultur ein
Der EDÖB zeigt im Tätigkeitsbericht 2024/2025, dass Datenschutz im Privatbereich zunehmend ernst genommen wird. Von Cloud-Sicherheit bis Tracking-Regulierung – die Zahlen sprechen eine klare Sprache. Für Plattformbetreiber, KMU und Privatpersonen gilt: Proaktive Rechtsberatung ist wichtiger denn je, um Rechtssicherheit und Vertrauen zu schaffen. Den vollständigen Bericht finden Sie beim EDÖB unter: https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2025/07/01/de77df3c-8cdb-4a72-9109-6783d8218fbc.pdf
Kontaktieren Sie uns unverbindlich zu Fragen Datenschutzrecht und Digitalisierung.
FAQ: Fragen und Antworten zum Datenschutz für KMU und Plattformbetreiber
Der Vorfall zeigt, dass zentrale Login-Dienste ein hohes Sicherheitsrisiko darstellen. Plattformbetreiber müssen sicherstellen, dass Authentifizierungsprozesse besonders geschützt sind – durch starke Passwörter, Zwei-Faktor-Authentifizierung und ein funktionierendes Sicherheits- und Notfallmanagement. Datensicherheitsverletzungen müssen zudem schnell gemeldet werden.
Unternehmen mit Sitz im Ausland, die systematisch Personendaten von Personen in der Schweiz bearbeiten, müssen zwingend eine Datenschutz-Vertretung in der Schweiz benennen. Auch kleinere Betreiber von Websites oder Plattformen können betroffen sein – etwa wenn sie regelmässig Daten von Schweizer Nutzern verarbeiten. Die Vertretung muss im Datenschutzhinweis transparent ausgewiesen werden.
Wer Nutzerverhalten über verschiedene Websites und Geräte hinweg verfolgt, benötigt eine explizite Einwilligung der betroffenen Personen. Die Verwendung von Cookies, Pixeln oder Fingerprinting-Tools ohne klare Zustimmung ist datenschutzwidrig. KMU müssen ihre Cookie-Banner und Tracking-Prozesse technisch und rechtlich prüfen und anpassen.
Wenn ein Unternehmen besonders risikobehaftete Datenbearbeitungen durchführt – etwa systematisches Tracking, Profiling oder die Verarbeitung von Gesundheitsdaten – ist häufig eine Datenschutz-Folgenabschätzung erforderlich. Der EDÖB weist im aktuellen Bericht eine Zunahme solcher Prüfungen bei Verantwortlichen aus. KMU sollten frühzeitig klären, ob eine DSFA notwendig ist, um späteren Rechtsfolgen vorzubeugen.
Das neue Datenschutzgesetz verlangt, dass Verletzungen der Datensicherheit unverzüglich dem EDÖB gemeldet werden – wenn ein hohes Risiko für die betroffenen Personen besteht. Eine spätere oder unvollständige Meldung kann als Pflichtverletzung gewertet werden. KMU sollten klare interne Meldeprozesse etablieren.
