Datenschutzrecht schützt Personen – aber nicht jede Person, die Datenschutzrecht beansprucht. Der EuGH hat klargestellt: Wer das Auskunftsrecht nicht zur Kontrolle seiner Daten nutzt, sondern gezielt als Hebel für Schadenersatzansprüche, verliert diesen Schutz.

EUGH-URTEIL (Brillen Rottler) C-526/24 VOM 19. MÄRZ 2026

Sachverhalt

TC meldete sich im März 2023 zum Newsletter eines deutschen Optikerunternehmens (Brillen Rottler) an. Bereits 13 Tage später stellte er ein Auskunftsbegehren nach Art. 15 DSGVO. Das Unternehmen verweigerte die Auskunft gestützt auf öffentlich zugängliche Informationen, die ein systematisches Vorgehen von TC belegen sollten: Anmeldung für Dienste -> Auskunftsbegehren -> Schadenersatzforderung. TC klagte auf Zahlung von mindestens EUR 1’000.00 Genugtuung.

Kernaussagen des Urteils

Bereits ein erstes Auskunftsbegehren kann als «exzessiv» gelten: Art. 12 Abs. 5 DSGVO erlaubt die Ablehnung nicht nur bei wiederholten, sondern auch bei einem erstmaligen Antrag, sofern eine Missbrauchsabsicht nachgewiesen ist. Entscheidend ist nicht die Häufigkeit, sondern die Absicht der antragstellenden Person.

Beweislast beim Verantwortlichen: Will das Unternehmen ein Auskunftsbegehren als missbräuchlich zurückweisen, trägt es dafür die volle Beweislast – und diese ist zweistufig. Zunächst muss es objektiv darlegen, dass das Gesuch trotz formeller Korrektheit nicht dem eigentlichen Zweck des Auskunftsrechts dient, nämlich der Kontrolle und Überprüfung der eigenen Datenverarbeitung. Sodann muss es subjektiv nachweisen, dass die gesuchstellende Person von vornherein beabsichtigte, die Voraussetzungen für einen Schadenersatzanspruch künstlich herbeizuführen.

Öffentliche Quellen als Beweismittel: Das Unternehmen darf öffentlich zugängliche Informationen (z.B. Medienberichte, Blogeinträge über bekannte «Datenschutz-Trolle») zur Beweisführung heranziehen, sofern diese durch weitere Anhaltspunkte bestätigt werden.

Schadenersatz auch ohne rechtswidrige Datenbearbeitung: Art. 82 Abs. 1 DSGVO gewährt einen Schadenersatzanspruch nicht nur bei rechtswidriger Datenverarbeitung, sondern auch bei der blossen Verletzung des Auskunftsrechts gemäss Art. 15 DSGVO. Die Verletzung prozessualer Rechte ist für sich allein haftungsbegründend.

Immaterieller Schaden – kein Automatismus: Der Verlust der Kontrolle über Daten oder die Ungewissheit über deren Verarbeitung können immateriellen Schaden darstellen. Ein Schadenersatz entfällt aber, wenn der Kausalzusammenhang durch das eigene Verhalten der betroffenen Person unterbrochenwird – insbesondere, wenn diese den Verstoss bewusst provoziert hat, um einen Anspruch zu generieren.

UMFANG DES AUSKUNFTSRECHTS (Art. 15 DSGVO) – WAS IST ERFASST, WAS NICHT?

Vom Auskunftsrecht erfasst (Art. 15 DSGVO)

Das Recht zu erfahren, ob überhaupt personenbezogene Daten verarbeitet werden.

Bei bestehender Verarbeitung: Auskunft über die Daten selbst, Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer, Herkunft der Daten sowie allfällige automatisierte Entscheidungen.

Das Recht, dieses Auskunftsrecht unentgeltlich und in der Regel innert Monatsfrist auszuüben.

Schadenersatz für immaterielle Schäden, die aus der Verletzung des Auskunftsrechts resultieren (einschliesslich Kontrollverlust und Ungewissheit über Verarbeitung)

Nicht vom Auskunftsrecht erfasst bzw. nicht schutzwürdig

Auskunftsbegehren, die nicht dem Zweck dienen, die eigene Datenverarbeitung zu kontrollieren, sondern missbräuchlich zur Erzielung von Schadenersatz gestellt werden.

Schadenersatz, wenn die betroffene Person den Schaden (z.B. Kontrollverlust) durch eigenes missbräuchliches Handeln selbst herbeigeführt hat – der Kausalzusammenhang wird unterbrochen.

Schadenersatz ohne Nachweis eines tatsächlich entstandenen Schadens – kein Automatismus aus dem blossen Verstoss.

KONSEQUENZEN FÜR DIE SCHWEIZ UND IHRE RECHTSPRECHUNG

Relevanz für die Schweiz

Obwohl die DSGVO in der Schweiz nicht unmittelbar gilt, orientiert sich das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) eng an den europäischen Vorgaben. Schweizer Gerichte ziehen die DSGVO und die EuGH-Rechtsprechung regelmässig als Auslegungshilfe für die eurokompatible Anwendung des DSG heran.

Stärkung des Rechtsmissbrauchsverbots (Art. 2 ZGB)

Das Urteil bestätigt und stärkt die Anwendung von Art. 2 Abs. 2 ZGB («Der offenbare Missbrauch eines Rechts findet keinen Rechtsschutz») im Datenschutzrecht. Schweizer Gerichte werden die Logik des EuGH voraussichtlich übernehmen: Nicht die Anzahl der Gesuche, sondern die zweckfremde Absicht ist entscheidend.

Art. 26 Abs. 1 lit. c DSG erlaubt die Verweigerung von Auskunft bei «offensichtlich querulatorischen» Gesuchen oder solchen mit datenschutzwidrigem Zweck. Das EuGH-Urteil liefert wertvolle Kriterien zur Konkretisierung dieser Bestimmung.

Wesentlicher Unterschied: Höhere Schwelle für Genugtuung (Art. 32 Abs. 3 DSG)

Während der EuGH den Kontrollverlust als potenziell ersatzfähigen immateriellen Schaden anerkennt, setzt Art. 32 Abs. 3 DSG für einen Genugtuungsanspruch eine schwere Persönlichkeitsverletzung voraus. Die blosse Verweigerung einer Auskunft oder die damit verbundene Ungewissheit dürfte diese Schwelle in der Schweiz regelmässig nicht erreichen.

Dies stellt für «Datenschutz-Trolle» in der Schweiz eine erheblich höhere Hürde dar als im EU-Recht und dürfte das Geschäftsmodell systematischer Auskunftsbegehren zum Zweck der Schadenersatzerzielung in der Schweiz weitgehend unattraktiv machen.

Übereinstimmung beim Kausalzusammenhang

Die Ausführungen des EuGH zur Unterbrechung des Kausalzusammenhangs durch das Verhalten der betroffenen Person decken sich vollständig mit den Grundsätzen des schweizerischen Haftpflichtrechts (Selbstverschulden). Wer einen Verstoss bewusst provoziert, verliert seinen Anspruch.

KONSEQUENZEN FÜR UNTERNEHMEN

Das Urteil ist kein Freifahrtschein, Auskunftsbegehren pauschal abzulehnen – die Beweislast für Missbrauch liegt vollständig beim Unternehmen. Fehlerhafte oder verspätete Auskünfte sind das Einfallstor für Schadenersatzansprüche – unabhängig davon, ob die Anfrage gutgläubig oder missbräuchlich gestellt wurde.

Für Schweizer Unternehmen kommt hinzu, dass das revidierte DSG seit September 2023 vergleichbare Auskunftspflichten kennt. Die Schwelle für Genugtuungsansprüche liegt zwar höher als im EU-Recht – das entbindet aber nicht von der Pflicht zur fristgerechten und vollständigen Auskunftserteilung.

Konkret empfiehlt sich daher, Auskunftsprozesse zu verschlanken und intern klar zuzuweisen, Antworten verständlich zu formulieren, statt nur Rohdaten zu liefern, Datenhaltung so zu strukturieren, dass Auskünfte rasch und vollständig erteilt werden können.

FAZIT

Der EuGH hat mit seinem Urteil eine wichtige Grenze gegen den Missbrauch des datenschutzrechtlichen Auskunftsrechts gezogen: Wer eine Auskunft nach Art. 15 DSGVO nicht zur Kontrolle der eigenen Datenverarbeitung stellt, sondern gezielt zur Konstruktion von Schadenersatzansprüchen, handelt missbräuchlich – und verliert sowohl den Anspruch auf Auskunft als auch auf Genugtuung. Für die Schweiz bestätigt das Urteil die Anwendung des Rechtsmissbrauchsverbots (Art. 2 ZGB) im Datenschutzrecht. Zugleich setzt das Schweizer DSG mit dem Erfordernis einer schweren Persönlichkeitsverletzung für Genugtuungsansprüche die Hürde noch höher als das EU-Recht, was das Geschäftsmodell der «Datenschutz-Trolle» unattraktiv macht.

Smartphones sind heute oft Dreh- und Angelpunkt in einem Strafverfahren. Jeder hat ein Smartphone. Und damit sind sie der wichtigste Datenträger für Ermittler. Genau deshalb darf ihr Zugriff nicht zum rechtsfreien Raum werden. Es braucht ein taugliches Siegelungsverfahren als wirksamen Schutzschild für Privatsphäre, Persönlichkeitsrechte und Berufsgeheimnisse.

Die Strafverfolgung steht unter Druck, digitale Beweise rasch auszuwerten, während sich betroffene Personen oft erst mit erheblicher Verzögerung gegen eine Durchsuchung wehren können. Gerade diese Spannung macht die Siegelung so zentral.

Warum das Thema jetzt drängt

Die Medien berichten von einem markanten Anstieg der Entsiegelungsverfahren rund um Smartphones; in Zürich sollen diese laut aktueller Berichterstattung zuletzt um 75 Prozent gestiegen sein. Parallel dazu arbeitet der Bund an der effizienteren Sicherstellung elektronischer Beweismittel und betont dabei ausdrücklich Datenschutz und Verfahrensrechte der Betroffenen.

Das zeigt zweierlei: Digitale Beweismittel sind für Strafverfolgungsbehörden unverzichtbar geworden, aber gerade deshalb müssen die rechtsstaatlichen Sicherungen mit derselben Ernsthaftigkeit funktionieren. Wenn Siegelung und Entsiegelung nicht zeitnah und sorgfältig behandelt werden, drohen irreparable Eingriffe in höchstpersönliche Daten.

Die Funktion der Siegelung

Die Siegelung ist kein technisches Detail, sondern ein verfahrensrechtliches Kerninstrument zum Schutz sensibler Informationen. Wer bei der Sicherstellung von Geräten oder Unterlagen Geheimhaltungsinteressen geltend macht, kann verlangen, dass die Inhalte zunächst versiegelt bleiben, bis ein Gericht über die Durchsuchung entscheidet.

Das gilt besonders bei Smartphones, weil sie oft eine extrem breite Datenspur enthalten: Chats, Fotos, Gesundheitsdaten, Standortverläufe, berufliche Unterlagen und private Kommunikation. Eine Durchsuchung greift daher fast zwangsläufig in die Privatsphäre ein und muss besonders sorgfältig begründet werden.

Was das Gericht zur Entsiegelung prüfen muss

Im Entsiegelungsverfahren geht es nicht nur um die Frage, ob die Staatsanwaltschaft die Daten gerne auswerten möchte. Das Zwangsmassnahmengericht muss auch prüfen, ob überhaupt ein hinreichender Tatverdacht besteht und ob die Durchsuchung verhältnismässig ist.

Gerade bei digitalen Daten ist diese Prüfung entscheidend, weil der Eingriff sehr weit reicht. Die Behörden dürfen nicht pauschal auf ganze Geräte zugreifen, wenn sich die relevanten Informationen schon klarer eingrenzen lassen oder wenn schutzwürdige Geheimnisse überwiegen.

Aktuelle Entwicklung und Praxisprobleme

Die aktuelle Diskussion um digitale Beweismittel zeigt ein strukturelles Problem: Die Verfahren dauern oft zu lange, obwohl digitale Daten gerade schnell an Beweiswert verlieren oder in grosser Menge anfallen. Gleichzeitig werden die Mitwirkungspflichten der betroffenen Person in der Praxis teilweise zu streng gehandhabt, obwohl das Bundesgericht in einschlägigen Fällen betont hat, dass substantiierte Angaben genügen können.

Hinzu kommt die neue gesetzliche Dreitagefrist seit der Sicherstellung für das Siegelungsbegehren, die in der Fachliteratur als erhebliche Verschärfung und als mögliche Fallgrube beschrieben wird. Wer diese Frist verpasst oder sein Begehren nicht sauber begründet, riskiert einen irreversiblen Verlust des Schutzes.

Bedeutung für Persönlichkeitsrechte

Das Siegelungsrecht schützt nicht nur Anwältinnen, Journalisten oder andere Berufsgeheimnisträger, sondern letztlich jede betroffene Person, deren intimste Lebensbereiche auf einem Gerät gespeichert sind. Wer ein Smartphone durchsucht, erhält oft einen umfassenden Einblick in das digitale Leben einer Person, weit über das hinaus, was für das Strafverfahren relevant ist.

Darum darf der Rechtsstaat den Schutzmechanismus der Siegelung nicht abbauen, bloss weil manche Gerichte bei digitalen Verfahren noch nicht vollständig auf der Höhe der technischen Entwicklung sind. Der richtige Weg ist nicht weniger Rechtsschutz, sondern präzisere Verfahren, schnellere gerichtliche Behandlung und strengere Begründungsanforderungen für Eingriffe.

Fazit

Die Siegelung ist im digitalen Strafverfahren kein Luxus, sondern eine rechtsstaatliche Notwendigkeit. Gerade bei Smartphones und anderen Datenträgern entscheidet sie darüber, ob die Privatsphäre effektiv geschützt bleibt oder ob sensible Daten vorschnell offengelegt werden.

Wer die Durchsuchung digitaler Geräte erleichtern will, darf den Rechtsschutz der Betroffenen nicht schleichend abbauen. Ein taugliches Siegelungsverfahren ist die Voraussetzung dafür, dass Strafverfolgung, Persönlichkeitsrechte und Privatsphäre in einem fairen Gleichgewicht bleiben.

Künstliche Intelligenz (KI) ist längst Teil unseres Alltags. In Schulen, Universitäten und Unternehmen ist KI nicht mehr wegzudenken. Angesichts der rasanten Entwicklung künstlicher Intelligenz und ihrer zunehmenden Präsenz im Alltag gewinnt die Auseinandersetzung mit ihren Chancen und Risiken immer mehr an Bedeutung.

Am 23. Februar 2026 haben der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sowie rund 60 weitere nationale Datenschutzbehörden weltweit eine gemeinsame Erklärung zu KI-generierten Bildern veröffentlicht. Diese Erklärung markiert einen wichtigen Schritt in der internationalen Diskussion um den Schutz der Privatsphäre und dem Datenschutz im digitalen Zeitalter.

Deepfakes und KI: Warum Datenschutzbehörden weltweit warnen

Die Datenschutzbehörden äussern erhebliche Bedenken gegenüber Systemen, die mit künstlicher Intelligenz realistische Bilder oder Videos von identifizierbaren Personen ohne deren Einwilligung erzeugen können. Solche Technologien bergen ein hohes Missbrauchsrisiko – etwa durch die Erstellung nicht einvernehmlicher, intimer Darstellungen (sogenannte Deepfakes). Besonders gefährdet sind Kinder und andere vulnerable Gruppen, die Ziel von Cyber-Mobbing, sexueller Ausbeutung oder Identitätsmissbrauch werden können.

Rechtslage in der Schweiz: Sind KI-generierte Bilder erlaubt?

In vielen Rechtsordnungen – einschliesslich in der Schweiz – kann die Erstellung oder Verbreitung von nicht einvernehmlich erstellten Bildern strafrechtliche Konsequenzen nach sich ziehen. Aus datenschutzrechtlicher Sicht wirft die Nutzung von KI-Systemen zur Erstellung realitätsnaher Bilder erhebliche Fragen hinsichtlich der Rechtsmässigkeit der Datenbearbeitung und des Schutzes der Privatsphäre auf. Personenbezogene Daten dürfen nur dann verwendet werden, wenn hierfür eine gesetzliche Grundlage besteht oder die betroffene Person ausdrücklich eingewilligt hat. Unternehmen, welche solche Systeme anbieten, müssen sicherstellen, dass geeignete technische und organisatorische Massnahmen getroffen werden, um Missbrauch und unbefugte Bearbeitungen zu verhindern.

Empfehlungen für den Umgang mit KI

Die gemeinsame Erklärung der Datenschutzbehörden formuliert mehrere zentrale Prinzipien, die alle Organisationen befolgen sollten:

Implementierung von robusten Schutzmassnahmen, um den Missbrauch personenbezogener Daten sowie die Erstellung nicht einvernehmlicher intimer Darstellungen und anderer schädlicher Inhalte – insbesondere mit Abbildung von Kindern – zu verhindern.
Gewährleistung einer sinnvollen Transparenz hinsichtlich der Fähigkeiten von KI-Systemen, der implementierten Schutzmechanismen, der zulässigen Nutzung sowei der möglichen Folgen eines Missbrauchs.
Bereitstellung wirksamer und leicht zugänglichen Verfahren, über die betroffene Personen die Entfernung schädlicher Inhalte mit Personenbezug beantragen können.
Besonderer Schutz von Kindern und anderen gefährdeten Gruppen.

Fazit: Technologischer Fortschritt braucht Verantwortung

Die Risiken von KI-generierten Bildern sind global und erfordern dringendes regulatorisches Handeln. Während KI enorme Chancen bietet, darf der technische Fortschritt nicht auf Kosten von Privatsphäre, Datenschutz und anderer fundamentalen Rechten fortschreiten.

Unsere Kanzlei berät Unternehmen zur rechtskonformen Nutzung von KI und zu Datenschutzfragen. Kontaktieren Sie uns gerne, zu Fragen rund um genAI, Datenschutz und Ihrem Digitalisierungvorhaben.

Mit Urteil vom 6. Oktober 2025 bestätigt das Bundesverwaltungsgericht die Verfügung des EDÖB zur Datenbank «Pfarrer-Check» und konkretisiert die Anwendung des revidierten Datenschutzgesetzes (DSG) auf öffentlich zugängliche Personendaten.

Der Entscheid schafft wichtige Klarheit für Betreiber von Online-Plattformen, Verzeichnissen und Kampagnen-Websites im Umgang mit Personendaten aus dem Internet.

Ein Überblick über das Urteil BVGer A-2941/2024

Das Bundesverwaltungsgericht hat mit Urteil vom 6. Oktober 2025 (A-2941/2024) die Verfügung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im sogenannten «Pfarrer-Check» bestätigt. Die öffentliche Erfassung von über 6’000 Kirchenpersonen in einer Online-Datenbank ohne Einwilligung verstösst nach Auffassung des Gerichts gegen das revidierte Bundesgesetz über den Datenschutz (DSG).

Sachverhalt zum «Pfarrer-Check»-Urteil

Der Verein «Bürgerforum Schweiz» betrieb auf seiner Website eine öffentlich einsehbare Datenbank mit Personendaten von über 6’000 Personen aus dem kirchlichen Umfeld. Erfasst wurden Name, Wohnort und Postleitzahl, Arbeitgeber bzw. Konfession, Tätigkeitsgebiet, Funktion sowie ein Status («erfasst», «angefragt», «beantwortet») im Zusammenhang mit einem Fragebogen zu religiösen Ansichten.

Zweck der Datenbank war es gemäss Betreiberin, eine Unterscheidung zwischen «echten» und «verwässerten» Kirchen zu ermöglichen. Der EDÖB ordnete mit Verfügung vom 9. April 2025 die Löschung der ohne Einwilligung der Betroffenen veröffentlichten Einträge an. Dagegen erhob der Verein Beschwerde, auf welche das Bundesverwaltungsgericht nicht eintrat.

Anwendbares Recht & Verfahren

Das Gericht bestätigt zunächst, dass das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) anwendbar ist. Entscheidend ist der Zeitpunkt der Eröffnung der formellen Untersuchung; blosse informelle Vorabklärungen und die Beantwortung von Anfragen begründen noch keine hängige Untersuchung im Sinne des Übergangsrechts.

Die Beschwerdeführerin rügte, die Vorinstanz habe das Akteneinsichtsrecht verletzt, in dem sie ihr die Anzeigen nur anonymisiert zugänglich gemacht hat. Das Gericht erachtete das Vorgehen des EDÖB jedoch als rechtmässig: Das öffentliche Interesse an einer funktionierenden Datenschutzaufsicht überwiegt das Interesse der Betreiberin an der Identität der Hinweisgebenden.

Materielle Kernpunkte (Datenschutzgrundsätze und Rechtfertigung)

Verhältnismässigkeit

Die Veröffentlichung des Status «erfasst» oder «angefragt» war nach Auffassung des Gerichts weder geeignet noch erforderlich, um den vom Verein erklärten Zweck (die Unterscheidung «echter» vs. «gefälschter» Kirchen) zu erreichen. Die Information, dass jemand einen Fragebogen erhalten, aber nicht beantwortet hat, öffnet Raum für Interpretationen, ohne einen sachlichen Mehrwert für den Zweck der Datenbearbeitung zu bieten.

Zweckbindung

Die erfassten Personen hatten ihre Kontaktdaten auf den Websites ihrer Institutionen veröffentlicht, um im Rahmen ihrer beruflichen Tätigkeit kontaktiert werden zu können. Die blosse Tatsache, dass die Daten allgemein zugänglich sind, bedeutet nicht, dass sie für jeden beliebigen Zweck, insbesondere für eine wertende Kampagnen-Datenbank, verwendet werden dürfen. Das Gericht qualifiziert die Nutzung für den «Pfarrer-Check» als Zweckänderung, die für die Betroffenen nicht erkennbar war.

Transparenz

Die betroffenen Personen müssen aktiv und klar über die tatsächliche Datenbearbeitung informiert werden. Dies ist nicht passiert. Insbesondere wurden die Betroffenen nicht ausreichend informiert, dass ihre Daten auch dann veröffentlicht würden, wenn sie den Fragebogen nicht ausfüllen. Ein blosser Verweis auf die Website des Betreibers genügt den Transparenzanforderungen des DSG nicht. Erforderlich ist eine aktive, verständliche Information über Art, Zweck und Umfang der Datenbearbeitung.

Rechtfertigungsgründe / öffentliches Interesse

Das Gericht verneint das Vorliegen eines Rechtfertigungsgrundes im Sinne von Art. 31 DSG. Weder lag eine wirksame Einwilligung vor, noch konnte sich der Verein auf eine gesetzliche Grundlage oder ein überwiegendes öffentliches Interesse berufen. Ein selbst definiertes «öffentliches Interesse» ohne Verankerung im Gesetz oder in der Verfassung reicht nicht aus, um schwerwiegende Persönlichkeitsverletzungen zu rechtfertigen.

Auch die Berufung auf Art. 31 Abs. 2 DSG (Personen des öffentlichen Lebens) bleibt erfolglos. In der Interessenabwägung misst das Gericht dem Status «angefragt» ein hohes Verletzungspotenzial bei, weil er negative Spekulationen über Haltung und Integrität der betroffenen Person zulässt, während der Status «erfasst» lediglich eine mittlere Intensität aufweist.

Demnach kommt das Gericht zum Schluss, dass die Beschwerdeführerin die Persönlichkeit der betroffenen Personen widerrechtlich verletzt.

Bedeutung des Urteils für die Praxis

Seit Inkrafttreten des neuen DSG hat der EDÖB bereits zahlreiche niederschwellige Interventionen vorgenommen und über 14 formelle Untersuchungen in Verfügungen münden lassen. Nur vier dieser Verfügungen wurden bisher vor Bundesverwaltungsgericht angefochten. Der Entscheid zeigt damit, dass die Gerichte die Linie des EDÖB grundsätzlich stützen und die datenschutzrechtlichen Grundprinzipien auch bei öffentlich zugänglichen Online-Daten konsequent durchsetzen.

Der Entscheid setzt ein klares Signal für Betreiber von Online-Datenbanken, Verzeichnissen, Kampagnen- und Bewertungsplattformen: Auch wenn Daten öffentlich zugänglich sind, bleiben Verhältnismässigkeit, Zweckbindung, Transparenz und eine tragfähige Rechtfertigungspflicht zentral.

Unsere Experten im Bereich Datenschutz- und ICT-Recht begleitet Organisationen bei der rechtssicheren Konzeption von Online-Plattformen, Websites und Projketen unter dem revidierten DSG.
Kontaktieren Sie uns unverbindlich zu Fragen in Datenschutz.

Patientendaten stehen im Spannungsfeld zwischen ärztlichem Behandlungsauftrag und Datenschutzrecht. Ärztinnen, Therapeuten und weitere Gesundheitsfachpersonen müssen sensible Gesundheitsdaten bearbeiten, um ihre Aufgaben zu erfüllen – zugleich sind sie verpflichtet, die Privatsphäre und den Persönlichkeitsschutz der Patientinnen und Patienten zu wahren.

Dieses Spannungsverhältnis zeigt sich besonders bei der Erhebung, Weitergabe und Speicherung von Daten im Praxisalltag – etwa in Patientenformularen zur Anmeldung, Einwilligung oder zur Dokumentation der Behandlung. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat hierzu ein neues Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen¹ veröffentlicht. Es konkretisiert, wie Informationspflichten, Einwilligungen und Datensicherheit im Behandlungsumfeld rechtskonform umgesetzt werden können.

Mit der Veröffentlichung will der EDÖB Leistungserbringer wie Ärztinnen und Ärzte, Therapeutinnen und Therapeut, Praxen und Gesundheitszentren für die Anforderungen des revidierten DSG sensibilisieren und bestehende Formularvorlagen in Einklang mit dem Datenschutz zu bringen.

Informationspflicht und Einwilligung – zwei getrennte Pflichten

Das Merkblatt stellt klar: Wer Gesundheitsdaten bearbeitet, hat eine umfassende Informationspflicht – unabhängig davon, ob eine Einwilligung eingeholt wird. Gesundheitsfachpersonen müssen Patientinnen und Patienten transparent über die Datenbearbeitung informieren: Zweck, Rechtsgrundlage, Empfänger und Aufbewahrungsdauer müssen verständlich offengelegt werden (Art. 19 DSG).

Die Einwilligung kommt ergänzend ins Spiel, wenn keine andere Rechtsgrundlage vorliegt oder besonders heikle Bearbeitungen erfolgen, etwa bei Datenweitergaben an Dritte oder für Forschungszwecke. Dabei gilt: Eine gültige Einwilligung muss freiwillig, informiert, spezifisch und jederzeit widerrufbar sein. Pauschale oder vorausgefüllte Zustimmungserklärungen – etwa eine vorgängige Bekanntgabe des Patientendossiers oder bestimmter Elemente davon an Dritte – sind unzulässig.

Das Merkblatt mahnt Leistungserbringer, ihre Formulare kritisch zu prüfen: Informations- und Einwilligungsteile müssen klar getrennt und verständlich formuliert sein. Wer dies beachtet, reduziert das Risiko von Datenschutzverstössen und schafft zugleich Vertrauen im Patientenkontakt.

Elektronischer Datenaustausch – Sicherheit geht vor Bequemlichkeit

Ein weiterer Schwerpunkt liegt auf dem sicheren Umgang mit Patientendaten in der digitalen Kommunikation. Das Merkblatt warnt ausdrücklich vor der ungesicherten Übermittlung sensibler Daten – insbesondere per E-Mail oder Online-Formular ohne Verschlüsselung.

Eine elektronische Datenübertragung darf nur erfolgen, wenn sie angemessen gesichert ist. Nur in Ausnahmefällen – und nach ausdrücklicher, informierter Einwilligung der betroffenen Person – kann eine weniger sichere Übermittlung gerechtfertigt sein. In solchen Fällen muss die Patientin oder der Patient die Risiken kennen und eine echte Wahl haben (z. B. zwischen sicherem Portal und herkömmlicher E-Mail).

Gerade in zunehmend digitalisierten Praxen ist die Umsetzung technischer und organisatorischer Sicherheitsmassnahmen entscheidend. Wer Patientendaten über unsichere Kanäle übermittelt, riskiert nicht nur datenschutzrechtliche Beanstandungen, sondern auch Haftungsfolgen.

Datensparsamkeit und Zweckbindung – weniger ist mehr

Der EDÖB erinnert daran, dass im Gesundheitsbereich nur jene Daten erhoben werden dürfen, die für die Behandlung oder Verwaltung zwingend notwendig sind. Das Prinzip der Verhältnismässigkeit verlangt, dass Patientendaten zweckgebunden, korrekt und so sparsam wie möglich erhoben werden.

Formulare, die übermässige Angaben abfragen – etwa Beruf, Nationalität oder Zivilstand ohne medizinischen Zusammenhang – sind unzulässig. Jede erhobene Information muss einem klaren Zweck dienen und medizinisch oder administrativ erforderlich sein.

Ärztinnen und Therapeuten dürfte dieser Hinweis auf den Grundsatz der Verhältnismässigkeit etwas aufstossen. In der Praxis ist dies schwierig umzusetzen ohne enormen Zusatzaufwand. Diese Anforderungen zielen jedoch nicht auf Bürokratie ab, sondern auf Vertrauen: Eine schlanke, zweckmässige Datenerfassung schützt sowohl die Patient:innen als auch die Praxen vor unnötigen Datenschutzrisiken.

Bedeutung & praktische Empfehlungen für Gesundheitsdienstleister

Das neue Merkblatt ist ein Weckruf für alle Gesundheitsakteure – von Einzelpraxen bis zu Therapiezentren. Wer Patientendaten verarbeitet, sollte jetzt prüfen:

- Sind meine Patientenformulare verständlich, aktuell und datenschutzkonform?

- Sind Informationspflicht und Einwilligung klar getrennt und dokumentiert?

- Ist die elektronische Kommunikation technisch ausreichend gesichert?

- Werden nur jene Daten erhoben, die tatsächlich notwendig sind?

Eine datenschutzkonforme Praxis stärkt nicht nur die rechtliche Sicherheit, sondern auch das Vertrauen der Patientinnen und Patienten – das Fundament jeder medizinischen Tätigkeit.

Häufige Fragen zum Datenschutz In Patientenformularen

Mitteilung vom 30. September 2025 - Der EDÖB veröffentlicht ein Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen https://www.edoeb.admin.ch/de/merkblatt-zu-patientenformularen ↩︎

1. Müssen Patientinnen und Patienten für jede Datenbearbeitung ihre Einwilligung geben?

Nein. Für die meisten Bearbeitungen im Rahmen der medizinischen Behandlung besteht eine gesetzliche Grundlage (Art. 31 Abs. 1 DSG, Gesundheitsgesetze der Kantone). Eine ausdrückliche Einwilligung ist nur nötig, wenn Daten ausserhalb des Behandlungsauftrags bearbeitet oder an Dritte weitergegeben werden – etwa für Forschungszwecke, Marketing oder Versicherungsabklärungen. Entscheidend ist, dass jede Patientin oder jeder Patient über die Datenbearbeitung informiert wird, auch wenn keine Einwilligung verlangt wird.

2. Dürfen Einwilligung und Information auf einem einzigen Formular kombiniert werden?

Ja, aber nur mit klarer Trennung der Funktionen. Der EDÖB betont, dass Informationspflicht und Einwilligung inhaltlich und visuell unterscheidbar sein müssen. Patientinnen und Patienten müssen verstehen, welche Bearbeitungen zwingend (gesetzlich) erfolgen und wofür sie freiwillig zustimmen. Empfehlenswert ist, separate Abschnitte oder Checkboxen zu verwenden, um die Freiwilligkeit der Einwilligung sicherzustellen.

3. Welche Sicherheitsanforderungen gelten bei digitaler Kommunikation mit Patientinnen und Patienten?

Gesundheitsdaten gehören zu den besonders schützenswerten Personendaten (Art. 5 lit. c DSG). Sie dürfen elektronisch nur übermittelt werden, wenn die Vertraulichkeit und Integrität der Daten gewährleistet ist – etwa durch verschlüsselte E-Mails, sichere Patientenportale oder spezialisierte Kommunikationslösungen. Eine unverschlüsselte Übermittlung ist nur zulässig, wenn die Patientin oder der Patient nach umfassender Information ausdrücklich zustimmt.

4. Darf eine Ärztin oder ein Therapeut mehr Daten erheben, als für die Behandlung nötig sind?

Nein. Das Datenschutzgesetz verpflichtet Leistungserbringer zur Datenminimierung: Es dürfen nur jene Angaben erhoben werden, die für Diagnose, Therapie oder administrative Zwecke erforderlich sind. Fragen zu Beruf, Religion oder Familienstand sind nur dann zulässig, wenn sie einen erkennbaren medizinischen Bezug haben.

5. Kann eine Patientin die Einwilligung zur Datenbearbeitung später widerrufen?

Ja. Eine Einwilligung muss jederzeit widerruflich sein. Der Widerruf gilt ab dem Zeitpunkt seiner Erklärung und entfaltet Wirkung für die Zukunft. Bereits rechtmässig bearbeitete Daten (z. B. für durchgeführte Behandlungen oder abgerechnete Leistungen) dürfen jedoch weiterhin aufbewahrt werden, soweit gesetzliche Pflichten bestehen – etwa zur Dokumentation oder Abrechnung.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat seinen Tätigkeitsbericht 2024/2025 veröffentlicht. In seiner Medienmitteilung titelt er „Verstärktes Einschreiten gegen Rechtsverstösse im Datenschutz und neue Höchststände bei den Zugangsgesuchen nach dem Öffentlichkeitsgesetz“ und zieht ein viel beachtetes Resümee zu Digitalisierung und Grundrechten, sowohl in öffentlichen Bereich wie Justiz, Polizei, Sicherheit und Gesundheit, aber auch bei Wirtschaft und Gesellschaft. Im Privatbereich fallen besonders folgende Themen auf:

Cyberangriff auf OneLog: Risiken bei Login-Lösungen

Der EDÖB dokumentiert einen gezielten Cyberangriff auf die Login-Plattform OneLog. Der Vorfall zeigt deutlich, dass cloudbasierte Authentifizierungsdienste zu attraktiven Zielen für Hacker werden – mit potenziell weitreichenden Folgen für tausende Privatpersonen. Der Bericht mahnt zu strikten Sicherheits- und Incident-Response-Prozessen bei Identity‑Anbietern. Verantwortliche treffen nicht nur die Meldepflicht von Datensicherheitsverletzungen (Art. 24 Abs. 1 DSG), sie müssen den EDÖB kontinuierlich über die getroffenen Massnahmen und das weitere Vorgehen informieren.

Pflicht zur Vertretung (Art. 14 DSG): Klare Verantwortung im Privatbereich

Neu fordert das DSG eindeutig eine Vertretung nach Art. 14 DSG für Private mit Sitz oder Wohnsitz im Ausland, die Personendaten bearbeiten. Das heisst: Wer umfangreich und regelmässig Daten verarbeitet – z.B. im Rahmen privater Online-Plattformen oder Community-Diensten –, muss eine gewählte oder eingesetzte Person benennen, die für die Einhaltung des DSG verantwortlich ist. Dies stärkt die Nachvollziehbarkeit datenschutzrelevanter Prozesse. Dazu können Unternehmen und andere Private eine Vertretung benennen, als Anlaufstelle sowohl für die betroffenen Personen als auch für den EDÖB.

BPS Legal bietet Vertretungen nach Art. 14 DSG an, ggf. in Kombination mit der Rolle des Schweizer Datenschutzberaters nach Art. 10 DSG. Nehmen Sie gerne mit uns Kontakt auf.

Plattformübergreifendes Tracking: Auf dem Radar des Aufsehers

Besonders interessant für Online-Marketing: Der EDÖB legt einen Schwerpunkt bei plattformübergreifenden Trackings, z.B. mittels Cookies oder Fingerprinting. Der EDÖB stellt fest, dass solche Methoden im Privatbereich oft im rechtsfreien Raum erfolgen – und fordert klare Regeln für Transparenz, Einwilligung und Dokumentation. Ohne geeignete technische und organisatorische Massnahmen drohen Bussen und Reputationsverlust. Bei der Verwendung von Drittdiensten und Third-Party-Cookies durch Webseiten- und Appbetreiber sind Informationspflichten, Gestaltungsrechte der betroffenen Personen und Verantwortlichkeiten zu beachten.

Datenschutz zieht in die Unternehmenskultur ein

Der EDÖB zeigt im Tätigkeitsbericht 2024/2025, dass Datenschutz im Privatbereich zunehmend ernst genommen wird. Von Cloud-Sicherheit bis Tracking-Regulierung – die Zahlen sprechen eine klare Sprache. Für Plattformbetreiber, KMU und Privatpersonen gilt: Proaktive Rechtsberatung ist wichtiger denn je, um Rechtssicherheit und Vertrauen zu schaffen. Den vollständigen Bericht finden Sie beim EDÖB unter: https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2025/07/01/de77df3c-8cdb-4a72-9109-6783d8218fbc.pdf

Kontaktieren Sie uns unverbindlich zu Fragen Datenschutzrecht und Digitalisierung.

FAQ: Fragen und Antworten zum Datenschutz für KMU und Plattformbetreiber

Der Vorfall zeigt, dass zentrale Login-Dienste ein hohes Sicherheitsrisiko darstellen. Plattformbetreiber müssen sicherstellen, dass Authentifizierungsprozesse besonders geschützt sind – durch starke Passwörter, Zwei-Faktor-Authentifizierung und ein funktionierendes Sicherheits- und Notfallmanagement. Datensicherheitsverletzungen müssen zudem schnell gemeldet werden.

Unternehmen mit Sitz im Ausland, die systematisch Personendaten von Personen in der Schweiz bearbeiten, müssen zwingend eine Datenschutz-Vertretung in der Schweiz benennen. Auch kleinere Betreiber von Websites oder Plattformen können betroffen sein – etwa wenn sie regelmässig Daten von Schweizer Nutzern verarbeiten. Die Vertretung muss im Datenschutzhinweis transparent ausgewiesen werden.

Wer Nutzerverhalten über verschiedene Websites und Geräte hinweg verfolgt, benötigt eine explizite Einwilligung der betroffenen Personen. Die Verwendung von Cookies, Pixeln oder Fingerprinting-Tools ohne klare Zustimmung ist datenschutzwidrig. KMU müssen ihre Cookie-Banner und Tracking-Prozesse technisch und rechtlich prüfen und anpassen.

Wenn ein Unternehmen besonders risikobehaftete Datenbearbeitungen durchführt – etwa systematisches Tracking, Profiling oder die Verarbeitung von Gesundheitsdaten – ist häufig eine Datenschutz-Folgenabschätzung erforderlich. Der EDÖB weist im aktuellen Bericht eine Zunahme solcher Prüfungen bei Verantwortlichen aus. KMU sollten frühzeitig klären, ob eine DSFA notwendig ist, um späteren Rechtsfolgen vorzubeugen.

Das neue Datenschutzgesetz verlangt, dass Verletzungen der Datensicherheit unverzüglich dem EDÖB gemeldet werden – wenn ein hohes Risiko für die betroffenen Personen besteht. Eine spätere oder unvollständige Meldung kann als Pflichtverletzung gewertet werden. KMU sollten klare interne Meldeprozesse etablieren.

Es lohnt sich im Unternehmen zu erkennen, welche Aufgaben selbst erledigt werden sollen und wo sich das Unternehmen besser auf das Kerngeschäft konzentriert, um Effizienz zu steigern und die Kosten zu reduzieren. Gerade in der IT liegt es nahe zu prüfen, einen externen Dienstleister beizuziehen, nicht zuletzt auch aus Überlegungen der Informationssicherheit. Und während sich Unternehmen und Dienstleister gerne und richtig auf die Performance konzentrieren, tun beide gut daran, die grundlegenden Fragen des Datenschutzes beantworten zu können.

Outsourcing aus Sicht Datenschutz

Cloud-Anbieter, Webhoster, Agenturen und Call-Center oder IT-Supportunternehmen übernehmen Aufgaben in Unternehmen, welche auch Einblick in oder das Bearbeiten von Personendaten zur Folge hat, welche das Unternehmen führt. Die Bearbeitung von Personendaten kann nach Datenschutzgesetz (DSG) einem sog. Auftragsbearbeiter (auch „Processor“ genannt) übertragen werden. Dabei bleibt das Unternehmen als sog. Verantwortlicher (auch „Controller“ genannt) in der Pflicht, dass der Datenschutz eingehalten wird. Das Unternehmen hat für eine sorgfältige Auswahl, angemessene Instruktion und notwendige Überwachung zu sorgen. Wechselseitig ist der Dienstleister interessiert, die übertragenen Pflichten abzugrenzen und zu klären, welche Services wie vergütet werden sollen.

AVV – Auftragsverarbeitungsvertrag

In der Praxis hat sich die Vereinbarung zur Auftragsbearbeitung (bzw. nach DSGVO Auftragsverarbeitung) etabliert, häufig als AVV abgekürzt. Anstelle eines separaten AVV kann der Datenschutz auch als Vertragsanhang geregelt werden, wie im Anglo-Amerikanischen Raum üblich mit sog. Data Privacy Addendum, kurz. DPA. Wichtiger als wo, ist dass die Verantwortlichkeiten und Pflichten im Sinne des DSG bzw. der DSGVO geregelt werden. Dabei präsentieren sich immer wieder ähnliche Fallstricke.

Wichtig zu regeln

Die Grundhaltung sowohl des DSG als auch der DSGVO ist sicherzustellen, dass der Auftragsbearbeiter die übertragenen Daten nur gemäss den Weisungen des Auftraggebers bearbeitet und mit geeigneten technischen und organisatorischen Massnahmen den Schutz der Rechte der betroffenen Person zu gewährleisten. Dementsprechend ist neben dem grundsätzlichen Umfang des Auftrags, und damit der Datenbearbeitung, insbesondere die Datensicherheit festzuhalten. Einerseits soll sich diese dem Risiko angemessen und wirksam ausprägen, andererseits hat sie dem Stand der Technik zu entsprechen. Je nach Branche dienen dazu auch beispielsweise Audits, Pen-Tests und Zertifizierungen.

Grundsätzlich bearbeitet der Auftragsbearbeiter Personendaten für Zwecke des Verantwortlichen, also des Unternehmens. Als Dienstleister, darf er diese Personendaten also nicht für eigene Zwecke bearbeiten – ansonsten würde dieser selbst zum Verantwortlichen (teilweise auch „joint controller“ genannt). Für eine solche Zweckänderung muss er einen eigenen Rechtfertigungsgrund geltend machen können; vordergründig die ausdrückliche Einwilligung der betroffenen Person.

Fallstricke in AVV und DPA

Häufig vergessen oder übersehen wird das Thema Unterbeauftragung, also der Beizug sog. Subunternehmer. Diese sind vor Vertragsschluss offenzulegen und nach Vertragsschluss grundsätzlich nur mit vorgängiger Genehmigung des Unternehmens, also des Verantwortlichen einzusetzen. Hinzu kommt, dass bei Auslandbezug Überlegungen zur Bekanntgabe von Personendaten ins Ausland und zur Datensicherheit allgemein hinzukommen (siehe allgemein auch unten zu Outsourcing mit US-Bezug).

Wie vorerwähnt bleibt das Unternehmen als Verantwortlicher in der Pflicht. Hierzu kann es sinnvoll sein, Unterstützungspflichten mit vertraglichen Vereinbarungen (z.B. Mitwirkungspflichten) zu regeln und/oder spezifische organisatorische Massnahmen zu treffen. Vordergründig geht es dabei um die Betroffenenrechte (Auskunft, Berichtigung, Löschung), aber auch um Instrumente und Pflichten aus dem Gesetz (Datenschutzverletzungen, Datenschutzfolgeabschätzungen, etc.).

Nicht selten fehlen Regelungen zur Verantwortlichkeit und Haftung sowie daraus resultierender Kosten – oder sie werden einseitig verlegt. Sinnvoll scheint, die Haftung an die Dynamik des Dienstleistungsverhältnisses anzupassen, insbesondere wie selbständig der Dienstleister für das Unternehmen agiert. Die Kosten sind insbesondere transparent zu machen und orientieren sich wohl am besten am Verursacherprinzip.

Outsourcing mit US-Bezug

Findet beim Outsourcing eine Datenbekanntgabe ins Ausland statt, muss ausserdem geprüft werden, ob die Länder, in denen die Daten bearbeitet werden, ein angemessenes Datenschutzniveau aufweisen. Primär orientiert sich dies am Entscheid des Bundesrates, also an der Liste von Staaten mit einem angemessenen Datenschutz nach Datenschutzverordnung (DSV). Wenn sich der Dienstleister in einem Land befindet, welches kein mit dem Schweizer vergleichbares Datenschutzniveau bietet, oder die Daten in Ländern bearbeitet werden, die kein angemessenes Schutzniveau im Vergleich zur Schweiz bieten, müssen zusätzliche Massnahmen getroffen werden. Vordergründig ist dabei an Standarddatenschutzklauseln (auch „Standard Contractual Clauses“ SCC genannt) zu denken.

Ein Spezialfall stellt mithin die USA dar. Mit dem Wegfall des EU-US-Privacy-Shields – und in der Folge des Swiss-US-Privacy-Shields – durch das Schrems-II Urteil des Europäischen Gerichtshofs im Juli 2020 ist die datenschutzkonforme Bearbeitung von vertraulichen Daten durch einen US-amerikanischen Anbieter komplexer geworden. Zwischenzeitlich verhalf man sich mit SCC – ohne Rechtssicherheit, ob dies genügen würde. Nun bietet das neue Swiss-U.S. Data Privacy Framework für zertifizierte US-Unternehmen einen angemessenen Schutz für Personendaten. In diesem Umfang setzte nun der Bundesrat die USA wieder auf die Liste der Länder mit einem angemessenen Datenschutzniveau und erlauben künftig die Übermittlung von Personendaten aus der Schweiz an zertifizierte Unternehmen in die USA ohne zusätzliche Garantien. Der Bundesrat hat die entsprechende Änderung der DSV auf den 15. September 2024 in Kraft gesetzt.