In den Medien häufen sich Berichte über Influencerinnen und Privatpersonen, die Anzeige erstatten, weil mittels künstlicher Intelligenz (KI) täuschend echte pornografische Fotos und Videos von ihnen erstellt und verbreitet werden. Angesichts der schockierenden Qualität dieser Fälschungen herrscht oft die Meinung vor, das Schweizer Recht hinke dieser Entwicklung hinterher und es existiere ein gefährliches Rechtsvakuum.

Diese Einschätzung ist falsch. Obwohl das Strafgesetzbuch keinen Artikel mit dem Titel «Deepfake-Verbot» kennt, bietet die Schweizer Rechtsordnung ein robustes Arsenal an Instrumenten, um sich wirksam gegen diesen digitalen Missbrauch zur Wehr zu setzen.

Von der Fotomontage zur KI-Fälschung: Eine technologische Eskalation

Die Manipulation von Bildern zur Herabwürdigung von Personen ist kein neues Phänomen. Bereits 2018 wurde die Politikerin Jolanda Spiess-Hegglin Opfer von manipulierten pornografischen Darstellungen. Damals handelte es sich jedoch noch um vergleichsweise simple Fotomontagen.

Der entscheidende Unterschied heute liegt in der Qualität und Zugänglichkeit der Technologie. Moderne KI-Anwendungen ermöglichen es auch Laien, ohne grossen Aufwand hyperrealistische Video- und Bildsequenzen zu generieren, die selbst für nahestehende Personen kaum noch als Fälschung zu erkennen sind. Diese Perfektion der Täuschung potenziert die psychische Belastung und den sozialen Schaden für die Betroffenen massiv.

Strafrechtlicher Schutz vor Deepfake-Pornografie

Entgegen gewisser Meinungen sind die Ersteller und Verbreiter von Deepfake-Pornografie nicht straflos. Es können gleich mehrere Straftatbestände relevant sein.

Identitätsmissbrauch gemäss Art. 179^decides StGB:
Wer eine Identität einer anderen Person ohne deren Einwilligung verwendet, um dieser zu schaden, macht sich strafbar.
Unbefugtes Weiterleiten sexueller Inhalte gemäss Art. 197a StGB:
Wer einen nicht öffentliche sexuellen Inhalt ohne Zustimmung der erkannbaren Person zugänglich macht, macht sich strafbar. Dies gilt auch für generierte Darstellungen die den Anschein einer echten Aufnahme erwecken.
Pornografie gemäss Art. 197 StGB:
Das Bundesgericht legt den Begriff der Herstellung von Pornografie sehr weit aus. Bereits das gezielte Herunterladen oder Abspeichern von Inhalten kann als Herstellungshandlung gelten. Bei Inhalten, die harte Pornografie (z.B. mit Gewaltdarstellungen oder fiktiven Minderjährigen) darstellen, ist bereits die Herstellung und der Besitz für den Eigengebrauch strafbar. Sobald Inhalte anderer zugänglich gemacht werden, ist die Schwelle zur Strafbarkeit ohnehin überschritten.
Ehrverletzungsdelikte gemäss Art. 173 ff. StGB:
Wer dem Opfer wider besseren Wissens ein unehrenhaftes Verhalte – die Teilnahme an pornografischen Handlungen- unterstellt, kann sich der Beschimpfung, üblen Nachrede oder der Verleumdung strafbar machen.

Natürlich sind die jeweiligen Straftatbestände im konkreten Einzelfall zu prüfen.

Zivilrechtlicher Schutz vor Deepfake-Pornografie

Der wirkungsvollste und direkteste Schutz finden die betroffenen im Zivilrecht. Die Erstellung und Verbreitung von Deepfake-Pornografie stellt eine massive widerrechtliche Persönlichkeitsverletzung dar. Insbesondere das Recht am eigenen Bild wird fundamental verletzt. Das Bundesgericht hat klar festgehalten, dass niemand ohne seine Einwilligung abgebildet werden darf – erst recht nicht in einem manipulierten, intimen und herabwürdigenden Kontext.

Betroffenen stehen schlagkräftige Instrumente zur Verfügung:

Beseitigungsklage: Zur gerichtlichen Anordnung der Löschung der Inhalte von Webseiten, Plattformen und aus Suchmaschinen.
Unterlassungsklage: Um die zukünftige Erstellung oder Verbreitung zu verbieten.
Finanzielle Ansprüche: Betroffene haben Anspruch auf Schadenersatz für finanzielle Einbussen und auf Genugtuung für die erlittene seelische Unbill.
allf. weitere Massnahmen nach Persönlichkeitsschutz

Praktische Probleme beim Vorgehen gegen Deepfake-Pornografie

Woran es fehlt sind niederschwellige Anlaufstellen oder private Initiativen wie #NetzPigCock| mitsamt einem Online-Tool gegen ungefragte Dickpics. Ausserdem erlauben viele der Webseiten und Plattformen, auf denen pornografische Inhalte geteilt werden ein anonymes Auftreten der User dahinter, sodass die Täterschaft vorerst unbekannt bleibt.

Umso wichtiger ist es, die strittigen Inhalte und die Accounts der Täterschaft zu dokumentieren. Dies wird sowohl für den zivil- wie den trafrechtlichen Schutz vor Deepfake-Pornografie immanent wichtig bleiben. Gleichwohl sind die Inhalte und Accounts zunächst bei den Webseiten und Plattformen zu melden und löschen lassen. Häufig verstossen diese auch gegen selbstauferlegte Policies. Für strafrechtliche Schritte braucht es keine Kenntnis der Täterschaft. Wenn die Täterschaft bekannt ist oder die Webseite bzw. die Plattform Inhalte nicht zeitnah entfernt, sind zivilrechtliche Schritte empfehlenswert.¹

Nichtsdestotrotz gibt es in der Schweiz Opferhilfe- und Beratungsangebote, die Betroffene bei diversen Schritten unterstützen können. Aufgrund der Neuheit und Komplexität des Phänomens ist jedoch juristische Unterstützung sehr empfehlenswert.

Fazit

Deepfake-Pornografie ist kein Phänomen ohne rechtliche Lösung. Das Schweizer Recht bietet ein dichtes Netz an straf- und zivilrechtlichen Normen, um sich wirksam zur Wehr zu setzen. Der Persönlichkeitsschutz nach dem ZGB erweist sich dabe als zentrale und mächtige Waffe.

Unsere Kanzlei berät zu den Themen rund um Persönlichkeitsschutz. Kontaktieren Sie uns gerne, zu Fragen rund um Persönlichkeitsschutz.

Beitrag auf SRF «Deepfake-Pornos: Wo das Schweizer Recht greift – und wo nicht» https://www.srf.ch/news/schweiz/schweizerinnen-betroffen-deepfake-pornos-wo-das-schweizer-recht-greift-und-wo-nicht
weitere Informationen zu Deepfake-Pornografie im SRF DOK «Deep Fake Porno – Mein Gesicht auf fremdem Körper» https://www.srf.ch/play/tv/-/video/-?urn=urn:srf:video:d38058cf-00b8-4287-94db-73208128792c ↩︎

Ein Datenleck beginnt nicht erst dann, wenn Daten missbraucht werden. Es beginnt dort, wo sie unbefugt zugänglich sind. Genau diese Erkenntnis macht den kürzlich bekannt gewordenen Fall der Parkplatzüberwachungsfirmen Funkwache AG und Unisecur GmbH zu einem Lehrstück für Unternehmen mit digitalen Geschäftsmodellen.

Gemäss Medienberichten waren über längere Zeit Datenbanken mit mehreren hunderttausend Einträgen über das Internet erreichbar. Betroffen gewesen sein sollen unter anderem Namen, Adressen, Fahrzeugdaten, Aufenthaltsorte sowie Informationen zu Strafverfahren und Strafbefehlen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat angekündigt, den Sachverhalt zu prüfen.

Unabhängig davon, wie die Untersuchung im Einzelfall ausgeht, zeigt der Fall exemplarisch, wo heute die grössten Risiken digitaler Geschäftsmodelle liegen: weniger in spektakulären Hackerangriffen als vielmehr in organisatorischen Schwächen, fehlender Governance und unzureichender Informationssicherheit.

Datenschutz beginnt bei der Unternehmensführung – nicht in der IT

Viele Unternehmen verstehen Datenschutz noch immer primär als juristische Pflicht oder als Aufgabe der IT-Abteilung. Das greift zu kurz.

Wer digitale Dienstleistungen anbietet oder Personendaten bearbeitet, trägt Verantwortung für den gesamten Lebenszyklus dieser Daten – von der Erhebung über die Speicherung bis zur Löschung. Datenschutz, Informationssicherheit und Governance bilden dabei keine voneinander getrennten Disziplinen, sondern greifen ineinander.

Gerade Unternehmen, deren Geschäftsmodell auf digitalen Prozessen oder Plattformen basiert, sollten den vorliegenden Fall deshalb weniger als Einzelfall denn als Anlass verstehen, die eigene Organisation kritisch zu hinterfragen.

Exkurs: Was ist eine Datensicherheitsverletzung?

Nach dem Schweizer Datenschutzgesetz liegt eine Datensicherheitsverletzung nicht erst dann vor, wenn Personendaten gestohlen oder veröffentlicht werden. Art. 8 DSG verlangt, dass um Verletzungen der Datensicherheit zu vermeiden angemessene Massnahmen getroffen werden.

Für eine Verletzung bereits ausreichend ist beispielsweise,

dass Personendaten unbefugten Dritten zugänglich werden könnten,
dass Administratorenbereiche ohne ausreichenden Schutz erreichbar sind,
dass Daten versehentlich offengelegt werden oder
dass Verfügbarkeit, Integrität oder Vertraulichkeit von Personendaten beeinträchtigt werden.

Ob tatsächlich ein Missbrauch stattgefunden hat, ist für die rechtliche Beurteilung zunächst nicht entscheidend.

Sieben Lehren aus dem Data Leak für Unternehmen

1. Informationssicherheit ist eine gesetzliche Pflicht

Der Fall zeigt eindrücklich, dass grundlegende Sicherheitsmassnahmen nicht bloss technische Empfehlungen darstellen.

Nach dem Datenschutzgesetz müssen Personendaten durch angemessene technische und organisatorische Massnahmen geschützt werden. Dazu gehören unter anderem Zugriffskontrollen, Authentifizierung, sichere Systemarchitekturen sowie ein zeitgemässes Schwachstellen- und Patchmanagement. Für Behörden, verpflichtete Organisationen und gewisse Firmen gelten sodann für die Informationssicherheit anwendbare Gesetze wie das ISG oder Standards wie ISO27001 oder BSI IT Grundschutz.

Der vielfach zitierte Grundsatz Security through Obscurity – also die Hoffnung, dass eine technische Schnittstelle schon niemand finden werde – genügt den heutigen Anforderungen nicht.

2. Sensible Daten verlangen besonders hohen Schutz

Besonders ins Gewicht fällt, dass nach den Medienberichten auch Angaben zu Strafverfahren und Strafbefehlen betroffen gewesen sein sollen.

Solche Informationen zählen nach dem Datenschutzgesetz zu den besonders schützenswerten Personendaten. Entsprechend steigen die Anforderungen an Zugriffsschutz, Verschlüsselung, Protokollierung und organisatorische Kontrollen erheblich.

Je sensibler die Daten, desto höher sind die Anforderungen an deren Schutz.

3. Veraltete Systeme werden zum Compliance-Risiko

Ein weiterer Aspekt betrifft die offenbar eingesetzte Softwareplattform, deren Weiterentwicklung und Support bereits vor Jahren eingestellt worden sein sollen.

Veraltete Software bedeutet nicht automatisch einen Datenschutzverstoss. Werden bekannte Sicherheitsrisiken jedoch nicht mehr behoben oder fehlen Sicherheitsupdates dauerhaft, kann dies rechtlich problematisch werden.

Lifecycle-Management und regelmässige Sicherheitsupdates gehören deshalb heute ebenso zur Compliance wie klassische Datenschutzrichtlinien.

4. Daten dürfen nicht unbegrenzt gesammelt werden

Der Umfang der gespeicherten Informationen wirft gleichzeitig Fragen zur Datenminimierung auf.

Nach den Berichten sollen Datensätze teilweise bis ins Jahr 2001 zurückgereicht haben. Ob eine derart lange Speicherung jeweils erforderlich und verhältnismässig war, wird im Einzelfall zu beurteilen sein.

Das Datenschutzgesetz verlangt jedoch einen einfachen Grundsatz: Es dürfen nur diejenigen Personendaten bearbeitet und nur solange aufbewahrt werden, wie dies für den konkreten Zweck notwendig ist.

5. Datenschutz endet nicht beim Outsourcing

Besonders interessant ist der Fall auch deshalb, weil offenbar dieselbe Softwareplattform beziehungsweise technische Infrastruktur von mehreren Unternehmen genutzt wurde.

Gerade bei Cloud-Lösungen, SaaS-Angeboten oder ausgelagerten IT-Dienstleistungen zeigt sich häufig ein Missverständnis: Wer die Informatik auslagert, lagert die datenschutzrechtliche Verantwortung nicht mit aus.

Unternehmen bleiben auch beim Einsatz externer Anbieter verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben. Dazu gehören insbesondere die sorgfältige Auswahl des Dienstleisters, klare vertragliche Regelungen, angemessene technische und organisatorische Massnahmen sowie eine laufende Kontrolle der ausgelagerten Leistungen.

Mehr dazu erfahren Sie auf unserer Themenseite zum ICT Outsourcing sowie in unserem Fachbeitrag zum Thema ICT Outsourcing.

6. Incident Response gehört zur Corporate Governance

Ebenso bemerkenswert ist die Aussage des EDÖB, wonach ihm zum Zeitpunkt der Medienberichterstattung offenbar keine Meldung der Datensicherheitsverletzung vorgelegen habe.

Besteht ein hohes Risiko für die Persönlichkeit oder Grundrechte betroffener Personen, verpflichtet das Datenschutzgesetz Unternehmen grundsätzlich dazu, den EDÖB so rasch als möglich über die Datensicherheitsverletzung zu informieren.

Ob diese Voraussetzungen im konkreten Fall erfüllt waren, wird Gegenstand der weiteren Abklärungen sein.

Unabhängig davon zeigt der Fall, wie wichtig funktionierende Incident-Response-Prozesse heute sind. Unternehmen sollten nicht erst im Krisenfall klären, wer entscheidet, ob eine Meldepflicht besteht und wie rasch entsprechende Abläufe ausgelöst werden müssen.

7. Datenschutz schützt auch Reputation und Vertrauen

Der vielleicht wichtigste Lehrsatz liegt jedoch ausserhalb des Gesetzestextes.

Selbst wenn sich ein technischer Vorfall rasch beheben lässt, bleibt der Vertrauensverlust häufig wesentlich länger bestehen. Kunden, Geschäftspartner und Investoren beurteilen heute nicht nur Produkte oder Dienstleistungen, sondern zunehmend auch den professionellen Umgang mit Daten.

Datenschutz und Informationssicherheit sind deshalb längst Bestandteil einer verantwortungsvollen Unternehmensführung und eines wirksamen Risikomanagements geworden.

Die wichtigsten Erkenntnisse für das Management

Der Fall Funkwache AG und Unisecur GmbH zeigt exemplarisch, dass Datenschutzverletzungen heute häufig nicht durch hochkomplexe Cyberangriffe entstehen, sondern durch vermeidbare organisatorische und technische Schwächen. Für Unternehmen mit digitalen Geschäftsmodellen ergeben sich daraus klare Handlungsfelder:

Informationssicherheit ist Führungsaufgabe und nicht ausschliesslich Sache der IT.
Besonders schützenswerte Personendaten erfordern erhöhte technische und organisatorische Schutzmassnahmen.
Eine Datensicherheitsverletzung liegt bereits dann vor, wenn eine unbefugte Kenntnisnahme möglich ist – nicht erst beim nachgewiesenen Datenmissbrauch.
Veraltete Software und fehlendes Lifecycle-Management können zu Compliance-Risiken werden.
Datenminimierung und begrenzte Aufbewahrungsfristen sind zentrale Grundsätze eines rechtskonformen Datenmanagements.
ICT-Outsourcing entbindet Unternehmen nicht von ihrer Verantwortung für Datenschutz und Informationssicherheit.
Klare Melde- und Incident-Response-Prozesse gehören heute zu einer funktionierenden Corporate Governance.

Unternehmen, die Datenschutz, Informationssicherheit und digitale Governance frühzeitig zusammendenken, erfüllen nicht nur gesetzliche Anforderungen. Sie schaffen Vertrauen bei Kunden, Mitarbeitenden und Geschäftspartnern – und stärken damit nachhaltig die Resilienz ihres digitalen Geschäftsmodells.

Kontaktieren Sie uns gerne unverbindlich bei Fragen rund um Ihr digitales Geschäftsmodell.

Datenschutzrecht schützt Personen – aber nicht jede Person, die Datenschutzrecht beansprucht. Der EuGH hat klargestellt: Wer das Auskunftsrecht nicht zur Kontrolle seiner Daten nutzt, sondern gezielt als Hebel für Schadenersatzansprüche, verliert diesen Schutz.

EUGH-URTEIL (Brillen Rottler) C-526/24 VOM 19. MÄRZ 2026

Sachverhalt

TC meldete sich im März 2023 zum Newsletter eines deutschen Optikerunternehmens (Brillen Rottler) an. Bereits 13 Tage später stellte er ein Auskunftsbegehren nach Art. 15 DSGVO. Das Unternehmen verweigerte die Auskunft gestützt auf öffentlich zugängliche Informationen, die ein systematisches Vorgehen von TC belegen sollten: Anmeldung für Dienste -> Auskunftsbegehren -> Schadenersatzforderung. TC klagte auf Zahlung von mindestens EUR 1’000.00 Genugtuung.

Kernaussagen des Urteils

Bereits ein erstes Auskunftsbegehren kann als «exzessiv» gelten: Art. 12 Abs. 5 DSGVO erlaubt die Ablehnung nicht nur bei wiederholten, sondern auch bei einem erstmaligen Antrag, sofern eine Missbrauchsabsicht nachgewiesen ist. Entscheidend ist nicht die Häufigkeit, sondern die Absicht der antragstellenden Person.

Beweislast beim Verantwortlichen: Will das Unternehmen ein Auskunftsbegehren als missbräuchlich zurückweisen, trägt es dafür die volle Beweislast – und diese ist zweistufig. Zunächst muss es objektiv darlegen, dass das Gesuch trotz formeller Korrektheit nicht dem eigentlichen Zweck des Auskunftsrechts dient, nämlich der Kontrolle und Überprüfung der eigenen Datenverarbeitung. Sodann muss es subjektiv nachweisen, dass die gesuchstellende Person von vornherein beabsichtigte, die Voraussetzungen für einen Schadenersatzanspruch künstlich herbeizuführen.

Öffentliche Quellen als Beweismittel: Das Unternehmen darf öffentlich zugängliche Informationen (z.B. Medienberichte, Blogeinträge über bekannte «Datenschutz-Trolle») zur Beweisführung heranziehen, sofern diese durch weitere Anhaltspunkte bestätigt werden.

Schadenersatz auch ohne rechtswidrige Datenbearbeitung: Art. 82 Abs. 1 DSGVO gewährt einen Schadenersatzanspruch nicht nur bei rechtswidriger Datenverarbeitung, sondern auch bei der blossen Verletzung des Auskunftsrechts gemäss Art. 15 DSGVO. Die Verletzung prozessualer Rechte ist für sich allein haftungsbegründend.

Immaterieller Schaden – kein Automatismus: Der Verlust der Kontrolle über Daten oder die Ungewissheit über deren Verarbeitung können immateriellen Schaden darstellen. Ein Schadenersatz entfällt aber, wenn der Kausalzusammenhang durch das eigene Verhalten der betroffenen Person unterbrochenwird – insbesondere, wenn diese den Verstoss bewusst provoziert hat, um einen Anspruch zu generieren.

UMFANG DES AUSKUNFTSRECHTS (Art. 15 DSGVO) – WAS IST ERFASST, WAS NICHT?

Vom Auskunftsrecht erfasst (Art. 15 DSGVO)

Das Recht zu erfahren, ob überhaupt personenbezogene Daten verarbeitet werden.

Bei bestehender Verarbeitung: Auskunft über die Daten selbst, Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer, Herkunft der Daten sowie allfällige automatisierte Entscheidungen.

Das Recht, dieses Auskunftsrecht unentgeltlich und in der Regel innert Monatsfrist auszuüben.

Schadenersatz für immaterielle Schäden, die aus der Verletzung des Auskunftsrechts resultieren (einschliesslich Kontrollverlust und Ungewissheit über Verarbeitung)

Nicht vom Auskunftsrecht erfasst bzw. nicht schutzwürdig

Auskunftsbegehren, die nicht dem Zweck dienen, die eigene Datenverarbeitung zu kontrollieren, sondern missbräuchlich zur Erzielung von Schadenersatz gestellt werden.

Schadenersatz, wenn die betroffene Person den Schaden (z.B. Kontrollverlust) durch eigenes missbräuchliches Handeln selbst herbeigeführt hat – der Kausalzusammenhang wird unterbrochen.

Schadenersatz ohne Nachweis eines tatsächlich entstandenen Schadens – kein Automatismus aus dem blossen Verstoss.

KONSEQUENZEN FÜR DIE SCHWEIZ UND IHRE RECHTSPRECHUNG

Relevanz für die Schweiz

Obwohl die DSGVO in der Schweiz nicht unmittelbar gilt, orientiert sich das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) eng an den europäischen Vorgaben. Schweizer Gerichte ziehen die DSGVO und die EuGH-Rechtsprechung regelmässig als Auslegungshilfe für die eurokompatible Anwendung des DSG heran.

Stärkung des Rechtsmissbrauchsverbots (Art. 2 ZGB)

Das Urteil bestätigt und stärkt die Anwendung von Art. 2 Abs. 2 ZGB («Der offenbare Missbrauch eines Rechts findet keinen Rechtsschutz») im Datenschutzrecht. Schweizer Gerichte werden die Logik des EuGH voraussichtlich übernehmen: Nicht die Anzahl der Gesuche, sondern die zweckfremde Absicht ist entscheidend.

Art. 26 Abs. 1 lit. c DSG erlaubt die Verweigerung von Auskunft bei «offensichtlich querulatorischen» Gesuchen oder solchen mit datenschutzwidrigem Zweck. Das EuGH-Urteil liefert wertvolle Kriterien zur Konkretisierung dieser Bestimmung.

Wesentlicher Unterschied: Höhere Schwelle für Genugtuung (Art. 32 Abs. 3 DSG)

Während der EuGH den Kontrollverlust als potenziell ersatzfähigen immateriellen Schaden anerkennt, setzt Art. 32 Abs. 3 DSG für einen Genugtuungsanspruch eine schwere Persönlichkeitsverletzung voraus. Die blosse Verweigerung einer Auskunft oder die damit verbundene Ungewissheit dürfte diese Schwelle in der Schweiz regelmässig nicht erreichen.

Dies stellt für «Datenschutz-Trolle» in der Schweiz eine erheblich höhere Hürde dar als im EU-Recht und dürfte das Geschäftsmodell systematischer Auskunftsbegehren zum Zweck der Schadenersatzerzielung in der Schweiz weitgehend unattraktiv machen.

Übereinstimmung beim Kausalzusammenhang

Die Ausführungen des EuGH zur Unterbrechung des Kausalzusammenhangs durch das Verhalten der betroffenen Person decken sich vollständig mit den Grundsätzen des schweizerischen Haftpflichtrechts (Selbstverschulden). Wer einen Verstoss bewusst provoziert, verliert seinen Anspruch.

KONSEQUENZEN FÜR UNTERNEHMEN

Das Urteil ist kein Freifahrtschein, Auskunftsbegehren pauschal abzulehnen – die Beweislast für Missbrauch liegt vollständig beim Unternehmen. Fehlerhafte oder verspätete Auskünfte sind das Einfallstor für Schadenersatzansprüche – unabhängig davon, ob die Anfrage gutgläubig oder missbräuchlich gestellt wurde.

Für Schweizer Unternehmen kommt hinzu, dass das revidierte DSG seit September 2023 vergleichbare Auskunftspflichten kennt. Die Schwelle für Genugtuungsansprüche liegt zwar höher als im EU-Recht – das entbindet aber nicht von der Pflicht zur fristgerechten und vollständigen Auskunftserteilung.

Konkret empfiehlt sich daher, Auskunftsprozesse zu verschlanken und intern klar zuzuweisen, Antworten verständlich zu formulieren, statt nur Rohdaten zu liefern, Datenhaltung so zu strukturieren, dass Auskünfte rasch und vollständig erteilt werden können.

FAZIT

Der EuGH hat mit seinem Urteil eine wichtige Grenze gegen den Missbrauch des datenschutzrechtlichen Auskunftsrechts gezogen: Wer eine Auskunft nach Art. 15 DSGVO nicht zur Kontrolle der eigenen Datenverarbeitung stellt, sondern gezielt zur Konstruktion von Schadenersatzansprüchen, handelt missbräuchlich – und verliert sowohl den Anspruch auf Auskunft als auch auf Genugtuung. Für die Schweiz bestätigt das Urteil die Anwendung des Rechtsmissbrauchsverbots (Art. 2 ZGB) im Datenschutzrecht. Zugleich setzt das Schweizer DSG mit dem Erfordernis einer schweren Persönlichkeitsverletzung für Genugtuungsansprüche die Hürde noch höher als das EU-Recht, was das Geschäftsmodell der «Datenschutz-Trolle» unattraktiv macht.

Smartphones sind heute oft Dreh- und Angelpunkt in einem Strafverfahren. Jeder hat ein Smartphone. Und damit sind sie der wichtigste Datenträger für Ermittler. Genau deshalb darf ihr Zugriff nicht zum rechtsfreien Raum werden. Es braucht ein taugliches Siegelungsverfahren als wirksamen Schutzschild für Privatsphäre, Persönlichkeitsrechte und Berufsgeheimnisse.

Die Strafverfolgung steht unter Druck, digitale Beweise rasch auszuwerten, während sich betroffene Personen oft erst mit erheblicher Verzögerung gegen eine Durchsuchung wehren können. Gerade diese Spannung macht die Siegelung so zentral.

Warum das Thema jetzt drängt

Die Medien berichten von einem markanten Anstieg der Entsiegelungsverfahren rund um Smartphones; in Zürich sollen diese laut aktueller Berichterstattung zuletzt um 75 Prozent gestiegen sein. Parallel dazu arbeitet der Bund an der effizienteren Sicherstellung elektronischer Beweismittel und betont dabei ausdrücklich Datenschutz und Verfahrensrechte der Betroffenen.

Das zeigt zweierlei: Digitale Beweismittel sind für Strafverfolgungsbehörden unverzichtbar geworden, aber gerade deshalb müssen die rechtsstaatlichen Sicherungen mit derselben Ernsthaftigkeit funktionieren. Wenn Siegelung und Entsiegelung nicht zeitnah und sorgfältig behandelt werden, drohen irreparable Eingriffe in höchstpersönliche Daten.

Die Funktion der Siegelung

Die Siegelung ist kein technisches Detail, sondern ein verfahrensrechtliches Kerninstrument zum Schutz sensibler Informationen. Wer bei der Sicherstellung von Geräten oder Unterlagen Geheimhaltungsinteressen geltend macht, kann verlangen, dass die Inhalte zunächst versiegelt bleiben, bis ein Gericht über die Durchsuchung entscheidet.

Das gilt besonders bei Smartphones, weil sie oft eine extrem breite Datenspur enthalten: Chats, Fotos, Gesundheitsdaten, Standortverläufe, berufliche Unterlagen und private Kommunikation. Eine Durchsuchung greift daher fast zwangsläufig in die Privatsphäre ein und muss besonders sorgfältig begründet werden.

Was das Gericht zur Entsiegelung prüfen muss

Im Entsiegelungsverfahren geht es nicht nur um die Frage, ob die Staatsanwaltschaft die Daten gerne auswerten möchte. Das Zwangsmassnahmengericht muss auch prüfen, ob überhaupt ein hinreichender Tatverdacht besteht und ob die Durchsuchung verhältnismässig ist.

Gerade bei digitalen Daten ist diese Prüfung entscheidend, weil der Eingriff sehr weit reicht. Die Behörden dürfen nicht pauschal auf ganze Geräte zugreifen, wenn sich die relevanten Informationen schon klarer eingrenzen lassen oder wenn schutzwürdige Geheimnisse überwiegen.

Aktuelle Entwicklung und Praxisprobleme

Die aktuelle Diskussion um digitale Beweismittel zeigt ein strukturelles Problem: Die Verfahren dauern oft zu lange, obwohl digitale Daten gerade schnell an Beweiswert verlieren oder in grosser Menge anfallen. Gleichzeitig werden die Mitwirkungspflichten der betroffenen Person in der Praxis teilweise zu streng gehandhabt, obwohl das Bundesgericht in einschlägigen Fällen betont hat, dass substantiierte Angaben genügen können.

Hinzu kommt die neue gesetzliche Dreitagefrist seit der Sicherstellung für das Siegelungsbegehren, die in der Fachliteratur als erhebliche Verschärfung und als mögliche Fallgrube beschrieben wird. Wer diese Frist verpasst oder sein Begehren nicht sauber begründet, riskiert einen irreversiblen Verlust des Schutzes.

Bedeutung für Persönlichkeitsrechte

Das Siegelungsrecht schützt nicht nur Anwältinnen, Journalisten oder andere Berufsgeheimnisträger, sondern letztlich jede betroffene Person, deren intimste Lebensbereiche auf einem Gerät gespeichert sind. Wer ein Smartphone durchsucht, erhält oft einen umfassenden Einblick in das digitale Leben einer Person, weit über das hinaus, was für das Strafverfahren relevant ist.

Darum darf der Rechtsstaat den Schutzmechanismus der Siegelung nicht abbauen, bloss weil manche Gerichte bei digitalen Verfahren noch nicht vollständig auf der Höhe der technischen Entwicklung sind. Der richtige Weg ist nicht weniger Rechtsschutz, sondern präzisere Verfahren, schnellere gerichtliche Behandlung und strengere Begründungsanforderungen für Eingriffe.

Fazit

Die Siegelung ist im digitalen Strafverfahren kein Luxus, sondern eine rechtsstaatliche Notwendigkeit. Gerade bei Smartphones und anderen Datenträgern entscheidet sie darüber, ob die Privatsphäre effektiv geschützt bleibt oder ob sensible Daten vorschnell offengelegt werden.

Wer die Durchsuchung digitaler Geräte erleichtern will, darf den Rechtsschutz der Betroffenen nicht schleichend abbauen. Ein taugliches Siegelungsverfahren ist die Voraussetzung dafür, dass Strafverfolgung, Persönlichkeitsrechte und Privatsphäre in einem fairen Gleichgewicht bleiben.

Künstliche Intelligenz (KI) ist längst Teil unseres Alltags. In Schulen, Universitäten und Unternehmen ist KI nicht mehr wegzudenken. Angesichts der rasanten Entwicklung künstlicher Intelligenz und ihrer zunehmenden Präsenz im Alltag gewinnt die Auseinandersetzung mit ihren Chancen und Risiken immer mehr an Bedeutung.

Am 23. Februar 2026 haben der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sowie rund 60 weitere nationale Datenschutzbehörden weltweit eine gemeinsame Erklärung zu KI-generierten Bildern veröffentlicht. Diese Erklärung markiert einen wichtigen Schritt in der internationalen Diskussion um den Schutz der Privatsphäre und dem Datenschutz im digitalen Zeitalter.

Deepfakes und KI: Warum Datenschutzbehörden weltweit warnen

Die Datenschutzbehörden äussern erhebliche Bedenken gegenüber Systemen, die mit künstlicher Intelligenz realistische Bilder oder Videos von identifizierbaren Personen ohne deren Einwilligung erzeugen können. Solche Technologien bergen ein hohes Missbrauchsrisiko – etwa durch die Erstellung nicht einvernehmlicher, intimer Darstellungen (sogenannte Deepfakes). Besonders gefährdet sind Kinder und andere vulnerable Gruppen, die Ziel von Cyber-Mobbing, sexueller Ausbeutung oder Identitätsmissbrauch werden können.

Rechtslage in der Schweiz: Sind KI-generierte Bilder erlaubt?

In vielen Rechtsordnungen – einschliesslich in der Schweiz – kann die Erstellung oder Verbreitung von nicht einvernehmlich erstellten Bildern strafrechtliche Konsequenzen nach sich ziehen. Aus datenschutzrechtlicher Sicht wirft die Nutzung von KI-Systemen zur Erstellung realitätsnaher Bilder erhebliche Fragen hinsichtlich der Rechtsmässigkeit der Datenbearbeitung und des Schutzes der Privatsphäre auf. Personenbezogene Daten dürfen nur dann verwendet werden, wenn hierfür eine gesetzliche Grundlage besteht oder die betroffene Person ausdrücklich eingewilligt hat. Unternehmen, welche solche Systeme anbieten, müssen sicherstellen, dass geeignete technische und organisatorische Massnahmen getroffen werden, um Missbrauch und unbefugte Bearbeitungen zu verhindern.

Empfehlungen für den Umgang mit KI

Die gemeinsame Erklärung der Datenschutzbehörden formuliert mehrere zentrale Prinzipien, die alle Organisationen befolgen sollten:

Implementierung von robusten Schutzmassnahmen, um den Missbrauch personenbezogener Daten sowie die Erstellung nicht einvernehmlicher intimer Darstellungen und anderer schädlicher Inhalte – insbesondere mit Abbildung von Kindern – zu verhindern.
Gewährleistung einer sinnvollen Transparenz hinsichtlich der Fähigkeiten von KI-Systemen, der implementierten Schutzmechanismen, der zulässigen Nutzung sowei der möglichen Folgen eines Missbrauchs.
Bereitstellung wirksamer und leicht zugänglichen Verfahren, über die betroffene Personen die Entfernung schädlicher Inhalte mit Personenbezug beantragen können.
Besonderer Schutz von Kindern und anderen gefährdeten Gruppen.

Fazit: Technologischer Fortschritt braucht Verantwortung

Die Risiken von KI-generierten Bildern sind global und erfordern dringendes regulatorisches Handeln. Während KI enorme Chancen bietet, darf der technische Fortschritt nicht auf Kosten von Privatsphäre, Datenschutz und anderer fundamentalen Rechten fortschreiten.

Unsere Kanzlei berät Unternehmen zur rechtskonformen Nutzung von KI und zu Datenschutzfragen. Kontaktieren Sie uns gerne, zu Fragen rund um genAI, Datenschutz und Ihrem Digitalisierungvorhaben.

Mit Urteil vom 6. Oktober 2025 bestätigt das Bundesverwaltungsgericht die Verfügung des EDÖB zur Datenbank «Pfarrer-Check» und konkretisiert die Anwendung des revidierten Datenschutzgesetzes (DSG) auf öffentlich zugängliche Personendaten.

Der Entscheid schafft wichtige Klarheit für Betreiber von Online-Plattformen, Verzeichnissen und Kampagnen-Websites im Umgang mit Personendaten aus dem Internet.

Ein Überblick über das Urteil BVGer A-2941/2024

Das Bundesverwaltungsgericht hat mit Urteil vom 6. Oktober 2025 (A-2941/2024) die Verfügung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im sogenannten «Pfarrer-Check» bestätigt. Die öffentliche Erfassung von über 6’000 Kirchenpersonen in einer Online-Datenbank ohne Einwilligung verstösst nach Auffassung des Gerichts gegen das revidierte Bundesgesetz über den Datenschutz (DSG).

Sachverhalt zum «Pfarrer-Check»-Urteil

Der Verein «Bürgerforum Schweiz» betrieb auf seiner Website eine öffentlich einsehbare Datenbank mit Personendaten von über 6’000 Personen aus dem kirchlichen Umfeld. Erfasst wurden Name, Wohnort und Postleitzahl, Arbeitgeber bzw. Konfession, Tätigkeitsgebiet, Funktion sowie ein Status («erfasst», «angefragt», «beantwortet») im Zusammenhang mit einem Fragebogen zu religiösen Ansichten.

Zweck der Datenbank war es gemäss Betreiberin, eine Unterscheidung zwischen «echten» und «verwässerten» Kirchen zu ermöglichen. Der EDÖB ordnete mit Verfügung vom 9. April 2025 die Löschung der ohne Einwilligung der Betroffenen veröffentlichten Einträge an. Dagegen erhob der Verein Beschwerde, auf welche das Bundesverwaltungsgericht nicht eintrat.

Anwendbares Recht & Verfahren

Das Gericht bestätigt zunächst, dass das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) anwendbar ist. Entscheidend ist der Zeitpunkt der Eröffnung der formellen Untersuchung; blosse informelle Vorabklärungen und die Beantwortung von Anfragen begründen noch keine hängige Untersuchung im Sinne des Übergangsrechts.

Die Beschwerdeführerin rügte, die Vorinstanz habe das Akteneinsichtsrecht verletzt, in dem sie ihr die Anzeigen nur anonymisiert zugänglich gemacht hat. Das Gericht erachtete das Vorgehen des EDÖB jedoch als rechtmässig: Das öffentliche Interesse an einer funktionierenden Datenschutzaufsicht überwiegt das Interesse der Betreiberin an der Identität der Hinweisgebenden.

Materielle Kernpunkte (Datenschutzgrundsätze und Rechtfertigung)

Verhältnismässigkeit

Die Veröffentlichung des Status «erfasst» oder «angefragt» war nach Auffassung des Gerichts weder geeignet noch erforderlich, um den vom Verein erklärten Zweck (die Unterscheidung «echter» vs. «gefälschter» Kirchen) zu erreichen. Die Information, dass jemand einen Fragebogen erhalten, aber nicht beantwortet hat, öffnet Raum für Interpretationen, ohne einen sachlichen Mehrwert für den Zweck der Datenbearbeitung zu bieten.

Zweckbindung

Die erfassten Personen hatten ihre Kontaktdaten auf den Websites ihrer Institutionen veröffentlicht, um im Rahmen ihrer beruflichen Tätigkeit kontaktiert werden zu können. Die blosse Tatsache, dass die Daten allgemein zugänglich sind, bedeutet nicht, dass sie für jeden beliebigen Zweck, insbesondere für eine wertende Kampagnen-Datenbank, verwendet werden dürfen. Das Gericht qualifiziert die Nutzung für den «Pfarrer-Check» als Zweckänderung, die für die Betroffenen nicht erkennbar war.

Transparenz

Die betroffenen Personen müssen aktiv und klar über die tatsächliche Datenbearbeitung informiert werden. Dies ist nicht passiert. Insbesondere wurden die Betroffenen nicht ausreichend informiert, dass ihre Daten auch dann veröffentlicht würden, wenn sie den Fragebogen nicht ausfüllen. Ein blosser Verweis auf die Website des Betreibers genügt den Transparenzanforderungen des DSG nicht. Erforderlich ist eine aktive, verständliche Information über Art, Zweck und Umfang der Datenbearbeitung.

Rechtfertigungsgründe / öffentliches Interesse

Das Gericht verneint das Vorliegen eines Rechtfertigungsgrundes im Sinne von Art. 31 DSG. Weder lag eine wirksame Einwilligung vor, noch konnte sich der Verein auf eine gesetzliche Grundlage oder ein überwiegendes öffentliches Interesse berufen. Ein selbst definiertes «öffentliches Interesse» ohne Verankerung im Gesetz oder in der Verfassung reicht nicht aus, um schwerwiegende Persönlichkeitsverletzungen zu rechtfertigen.

Auch die Berufung auf Art. 31 Abs. 2 DSG (Personen des öffentlichen Lebens) bleibt erfolglos. In der Interessenabwägung misst das Gericht dem Status «angefragt» ein hohes Verletzungspotenzial bei, weil er negative Spekulationen über Haltung und Integrität der betroffenen Person zulässt, während der Status «erfasst» lediglich eine mittlere Intensität aufweist.

Demnach kommt das Gericht zum Schluss, dass die Beschwerdeführerin die Persönlichkeit der betroffenen Personen widerrechtlich verletzt.

Bedeutung des Urteils für die Praxis

Seit Inkrafttreten des neuen DSG hat der EDÖB bereits zahlreiche niederschwellige Interventionen vorgenommen und über 14 formelle Untersuchungen in Verfügungen münden lassen. Nur vier dieser Verfügungen wurden bisher vor Bundesverwaltungsgericht angefochten. Der Entscheid zeigt damit, dass die Gerichte die Linie des EDÖB grundsätzlich stützen und die datenschutzrechtlichen Grundprinzipien auch bei öffentlich zugänglichen Online-Daten konsequent durchsetzen.

Der Entscheid setzt ein klares Signal für Betreiber von Online-Datenbanken, Verzeichnissen, Kampagnen- und Bewertungsplattformen: Auch wenn Daten öffentlich zugänglich sind, bleiben Verhältnismässigkeit, Zweckbindung, Transparenz und eine tragfähige Rechtfertigungspflicht zentral.

Unsere Experten im Bereich Datenschutz- und ICT-Recht begleitet Organisationen bei der rechtssicheren Konzeption von Online-Plattformen, Websites und Projketen unter dem revidierten DSG.
Kontaktieren Sie uns unverbindlich zu Fragen in Datenschutz.

Patientendaten stehen im Spannungsfeld zwischen ärztlichem Behandlungsauftrag und Datenschutzrecht. Ärztinnen, Therapeuten und weitere Gesundheitsfachpersonen müssen sensible Gesundheitsdaten bearbeiten, um ihre Aufgaben zu erfüllen – zugleich sind sie verpflichtet, die Privatsphäre und den Persönlichkeitsschutz der Patientinnen und Patienten zu wahren.

Dieses Spannungsverhältnis zeigt sich besonders bei der Erhebung, Weitergabe und Speicherung von Daten im Praxisalltag – etwa in Patientenformularen zur Anmeldung, Einwilligung oder zur Dokumentation der Behandlung. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat hierzu ein neues Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen¹ veröffentlicht. Es konkretisiert, wie Informationspflichten, Einwilligungen und Datensicherheit im Behandlungsumfeld rechtskonform umgesetzt werden können.

Mit der Veröffentlichung will der EDÖB Leistungserbringer wie Ärztinnen und Ärzte, Therapeutinnen und Therapeut, Praxen und Gesundheitszentren für die Anforderungen des revidierten DSG sensibilisieren und bestehende Formularvorlagen in Einklang mit dem Datenschutz zu bringen.

Informationspflicht und Einwilligung – zwei getrennte Pflichten

Das Merkblatt stellt klar: Wer Gesundheitsdaten bearbeitet, hat eine umfassende Informationspflicht – unabhängig davon, ob eine Einwilligung eingeholt wird. Gesundheitsfachpersonen müssen Patientinnen und Patienten transparent über die Datenbearbeitung informieren: Zweck, Rechtsgrundlage, Empfänger und Aufbewahrungsdauer müssen verständlich offengelegt werden (Art. 19 DSG).

Die Einwilligung kommt ergänzend ins Spiel, wenn keine andere Rechtsgrundlage vorliegt oder besonders heikle Bearbeitungen erfolgen, etwa bei Datenweitergaben an Dritte oder für Forschungszwecke. Dabei gilt: Eine gültige Einwilligung muss freiwillig, informiert, spezifisch und jederzeit widerrufbar sein. Pauschale oder vorausgefüllte Zustimmungserklärungen – etwa eine vorgängige Bekanntgabe des Patientendossiers oder bestimmter Elemente davon an Dritte – sind unzulässig.

Das Merkblatt mahnt Leistungserbringer, ihre Formulare kritisch zu prüfen: Informations- und Einwilligungsteile müssen klar getrennt und verständlich formuliert sein. Wer dies beachtet, reduziert das Risiko von Datenschutzverstössen und schafft zugleich Vertrauen im Patientenkontakt.

Elektronischer Datenaustausch – Sicherheit geht vor Bequemlichkeit

Ein weiterer Schwerpunkt liegt auf dem sicheren Umgang mit Patientendaten in der digitalen Kommunikation. Das Merkblatt warnt ausdrücklich vor der ungesicherten Übermittlung sensibler Daten – insbesondere per E-Mail oder Online-Formular ohne Verschlüsselung.

Eine elektronische Datenübertragung darf nur erfolgen, wenn sie angemessen gesichert ist. Nur in Ausnahmefällen – und nach ausdrücklicher, informierter Einwilligung der betroffenen Person – kann eine weniger sichere Übermittlung gerechtfertigt sein. In solchen Fällen muss die Patientin oder der Patient die Risiken kennen und eine echte Wahl haben (z. B. zwischen sicherem Portal und herkömmlicher E-Mail).

Gerade in zunehmend digitalisierten Praxen ist die Umsetzung technischer und organisatorischer Sicherheitsmassnahmen entscheidend. Wer Patientendaten über unsichere Kanäle übermittelt, riskiert nicht nur datenschutzrechtliche Beanstandungen, sondern auch Haftungsfolgen.

Datensparsamkeit und Zweckbindung – weniger ist mehr

Der EDÖB erinnert daran, dass im Gesundheitsbereich nur jene Daten erhoben werden dürfen, die für die Behandlung oder Verwaltung zwingend notwendig sind. Das Prinzip der Verhältnismässigkeit verlangt, dass Patientendaten zweckgebunden, korrekt und so sparsam wie möglich erhoben werden.

Formulare, die übermässige Angaben abfragen – etwa Beruf, Nationalität oder Zivilstand ohne medizinischen Zusammenhang – sind unzulässig. Jede erhobene Information muss einem klaren Zweck dienen und medizinisch oder administrativ erforderlich sein.

Ärztinnen und Therapeuten dürfte dieser Hinweis auf den Grundsatz der Verhältnismässigkeit etwas aufstossen. In der Praxis ist dies schwierig umzusetzen ohne enormen Zusatzaufwand. Diese Anforderungen zielen jedoch nicht auf Bürokratie ab, sondern auf Vertrauen: Eine schlanke, zweckmässige Datenerfassung schützt sowohl die Patient:innen als auch die Praxen vor unnötigen Datenschutzrisiken.

Bedeutung & praktische Empfehlungen für Gesundheitsdienstleister

Das neue Merkblatt ist ein Weckruf für alle Gesundheitsakteure – von Einzelpraxen bis zu Therapiezentren. Wer Patientendaten verarbeitet, sollte jetzt prüfen:

- Sind meine Patientenformulare verständlich, aktuell und datenschutzkonform?

- Sind Informationspflicht und Einwilligung klar getrennt und dokumentiert?

- Ist die elektronische Kommunikation technisch ausreichend gesichert?

- Werden nur jene Daten erhoben, die tatsächlich notwendig sind?

Eine datenschutzkonforme Praxis stärkt nicht nur die rechtliche Sicherheit, sondern auch das Vertrauen der Patientinnen und Patienten – das Fundament jeder medizinischen Tätigkeit.

Häufige Fragen zum Datenschutz In Patientenformularen

Mitteilung vom 30. September 2025 - Der EDÖB veröffentlicht ein Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen https://www.edoeb.admin.ch/de/merkblatt-zu-patientenformularen ↩︎

1. Müssen Patientinnen und Patienten für jede Datenbearbeitung ihre Einwilligung geben?

Nein. Für die meisten Bearbeitungen im Rahmen der medizinischen Behandlung besteht eine gesetzliche Grundlage (Art. 31 Abs. 1 DSG, Gesundheitsgesetze der Kantone). Eine ausdrückliche Einwilligung ist nur nötig, wenn Daten ausserhalb des Behandlungsauftrags bearbeitet oder an Dritte weitergegeben werden – etwa für Forschungszwecke, Marketing oder Versicherungsabklärungen. Entscheidend ist, dass jede Patientin oder jeder Patient über die Datenbearbeitung informiert wird, auch wenn keine Einwilligung verlangt wird.

2. Dürfen Einwilligung und Information auf einem einzigen Formular kombiniert werden?

Ja, aber nur mit klarer Trennung der Funktionen. Der EDÖB betont, dass Informationspflicht und Einwilligung inhaltlich und visuell unterscheidbar sein müssen. Patientinnen und Patienten müssen verstehen, welche Bearbeitungen zwingend (gesetzlich) erfolgen und wofür sie freiwillig zustimmen. Empfehlenswert ist, separate Abschnitte oder Checkboxen zu verwenden, um die Freiwilligkeit der Einwilligung sicherzustellen.

3. Welche Sicherheitsanforderungen gelten bei digitaler Kommunikation mit Patientinnen und Patienten?

Gesundheitsdaten gehören zu den besonders schützenswerten Personendaten (Art. 5 lit. c DSG). Sie dürfen elektronisch nur übermittelt werden, wenn die Vertraulichkeit und Integrität der Daten gewährleistet ist – etwa durch verschlüsselte E-Mails, sichere Patientenportale oder spezialisierte Kommunikationslösungen. Eine unverschlüsselte Übermittlung ist nur zulässig, wenn die Patientin oder der Patient nach umfassender Information ausdrücklich zustimmt.

4. Darf eine Ärztin oder ein Therapeut mehr Daten erheben, als für die Behandlung nötig sind?

Nein. Das Datenschutzgesetz verpflichtet Leistungserbringer zur Datenminimierung: Es dürfen nur jene Angaben erhoben werden, die für Diagnose, Therapie oder administrative Zwecke erforderlich sind. Fragen zu Beruf, Religion oder Familienstand sind nur dann zulässig, wenn sie einen erkennbaren medizinischen Bezug haben.

5. Kann eine Patientin die Einwilligung zur Datenbearbeitung später widerrufen?

Ja. Eine Einwilligung muss jederzeit widerruflich sein. Der Widerruf gilt ab dem Zeitpunkt seiner Erklärung und entfaltet Wirkung für die Zukunft. Bereits rechtmässig bearbeitete Daten (z. B. für durchgeführte Behandlungen oder abgerechnete Leistungen) dürfen jedoch weiterhin aufbewahrt werden, soweit gesetzliche Pflichten bestehen – etwa zur Dokumentation oder Abrechnung.

Persönlichkeitsschutz umfasst im Schweizer Recht sowohl zivil- als auch strafrechtliche Mechanismen, um die Ehre, den Ruf und die Integrität einer Person vor unzulässigen Angriffen zu bewahren. Der Fall um die SVP Stadt Luzern und das damalige Parteimitglied Yves Holenweger¹ illustriert, wie Medienberichte rechtlich relevant sein können und welche Möglichkeiten Betroffene haben, sich zu schützen.

Zivilrechtlicher Persönlichkeitsschutz

Das Zivilrecht schützt die Persönlichkeit umfassend gemäss Art. 28ff. ZGB. Geschützt werden dabei physische und psychische Aspekte, aber auch Ehre, Privatsphäre und der wirtschaftlicher Ruf.

Eine Verletzung gilt als widerrechtlich, wenn sie nicht durch Einwilligung, höherwertige Interessen oder Gesetz gerechtfertigt ist.
Betroffene können verlangen, dass die Verletzung unterlassen, beseitigt oder gerichtlich festgestellt wird.
Oftmals stehen auch Ansprüche auf Schadenersatz, Genugtuung oder Gegendarstellung zur Verfügung, insbesondere bei Medienpublikationen.

Im Fall der medienwirksamen Kritik wie vorliegend kann der Betroffene z.B. eine Gegendarstellung verlangen oder rechtliche Schritte zur Unterbindung und Beseitigung einer ehrverletzenden Behauptung einleiten.

Strafrechtlicher Persönlichkeitsschutz

Das Strafrecht greift bei besonders gravierenden Persönlichkeitsverletzungen, wie etwa übler Nachrede, Verleumdung oder Beschimpfung.

Üble Nachrede (Art. 173 StGB): Wer jemanden gegenüber Dritten eines unehrenhaften oder verwerflichen Verhaltens bezichtigt, kann strafrechtlich verfolgt werden, falls die Äusserung nicht erwiesen oder gerechtfertigt ist. Eine Straftat liegt also vor, wenn jemand falsche Tatsachen über eine andere Person verbreitet, die deren Ruf schädigen. Die Staatsanwaltschaft kann in diesen Fällen einen Strafbefehl erlassen, wie es beim genannten Fall geschehen ist.
Verleumdung (Art. 174 StGB): Wer jemanden wider besseres Wissen bei einem andern eines unehrenhaften Verhaltens beschuldigt oder verdächtigt oder solche Beschuldigung verbreitet, kann strafrechtlich verfolgt werden, wenn diese Beschuldigung rufschädigend ist. Strafbar ist also die absichtliche Verbreitung falscher Tatsachen, die eine Person in ein schlechtes Licht rücken. Diese Straftat ist schwerwiegender und kann zu höheren Strafen führen.
Die Strafverfolgung schützt das Recht auf Ehre und den Ruf fokussiert und umfasst auch Schutz vor Rufschädigung in der Öffentlichkeit und medialer Berichterstattung.
Bei fahrlässigen oder absichtlichen Falschaussagen drohen Geldstrafen oder sogar Freiheitsstrafen.

Auch hier kann der oder die Betroffene parallel zivilrechtliche Schritte einleiten, um die Folgen einer strafbaren Verletzung zusätzlich zivilrechtlich abzufedern.

Effektiver Schutz der Persönlichkeit: Rechtliche Schritte und Handlungsempfehlungen bei Rufschädigung und Ehrverletzung und Medien

Exemplarisch am Beispiel von der ehrverletzenden Medienmitteilung, die unterzeichnet wurde von Dieter Haller, der damalige Präsident der Stadtluzerner SVP, und Timo Lichtsteiner, der damalige und heutige Vizepräsident, zeigt sich, wie der Persönlichkeitsschutz funktioniert.

Betroffene von ehrverletzenden Äusserungen oder Medienbeiträgen sollten zeitnah prüfen, ob ein rechtfertigender Grund vorliegt und – falls nicht – anwaltliche Unterstützung für zivilrechtliche und strafrechtliche Schritte erwägen.
Gerade bei politischer Kritik oder öffentlicher Berichterstattung ist die sorgfältige Interessenabwägung (Meinungsfreiheit vs. Persönlichkeitsschutz) elementar – Gerichte wägen oft zwischen öffentlichem Interesse und den Rechten des Einzelnen ab.

Die Affäre Holenweger zeigt, wie persönliche Angriffe schnell zu einer juristischen Auseinandersetzung über Ehre und Persönlichkeit werden können. Eine spezialisierte Anwaltskanzlei bietet kompetente Unterstützung im Umgang mit solchen komplexen Fallkonstellationen und sorgt für eine sachliche, effiziente Wahrung der Rechte und Interessen der Betroffenen.

Erfahren Sie hier mehr über Persönlichkeitsschutz im Zivil- und Strafrecht.

Bericht in der Luzerner Zeitung vom 23. September 2025: «SVP Stadt Luzern: Strafbefehl gegen Vizepräsidenten und ehemaligen Präsidenten», online abrufbar unter https://www.luzernerzeitung.ch/zentralschweiz/stadt-region-luzern/artikel-ld.4016595 zuletzt besucht am 23. September 2025. ↩︎

Die Schweiz festigt ihren Anspruch, zu den führenden Innovationsstandorten Europas zu zählen. Dabei spielt die ETH Zürich als Impulsgeberin eine zentrale Rolle. Drei jüngste Entwicklungen unterstreichen das technologische Potenzial und die digitale Souveränität des Landes (persönliche Auswahl):

die Entwicklung eines öffentlich zugänglichen large language models (LLM) für datenschutzkonforme KI-Anwendungen,
die Beteiligung der ETH am Swiss Chip Fablab zur Stärkung der nationalen Halbleiterkompetenz im Innovationspark Dübendorf,
sowie die Initiative um das ETH-Erdbeobachtungszentrum im Kanton Luzern, wodurch gezielt Impulse in der Zentralschweiz gesetzt werden.

Alle Projekte stehen sinnbildlich für eine Innovationsstrategie, die auf wissenschaftlicher Exzellenz ebenso gründet wie auf unternehmerischer Skalierbarkeit, nachhaltiger Infrastruktur und regulatorischer Weitsicht.

Digitale Souveränität: Das ETH-Sprachmodell für den öffentlichen Nutzen

Mit dem von der ETH Zürich lancierten LLM entsteht erstmals eine KI-Technologie, die auf Schweizer Rechtsgrundlagen, Mehrsprachigkeit und höchste Datenschutzstandards zugeschnitten ist. Dieses entstand aus einer Zusammenarbeit der EPFL und der ETH Zürich und wurde auf dem «Alps» Supercomputer des Swiss National Supercomputing Centre (CSCS) trainiert. Für Unternehmen, Verwaltungen und insbesondere KMU, welche Wert auf datensichere Prozesse legen, eröffnet dies neue Möglichkeiten im Bereich Automatisierung, Informationserschliessung und moderner Kundeninteraktion – ohne auf global agierende Cloud-Plattformen angewiesen zu sein. Diese Entwicklung verdeutlicht, wie sich technologischer Fortschritt und Standortpolitik verbinden lassen. Die Schweiz positioniert sich damit als Vorreiter für vertrauenswürdige und unabhängige Digitalisierung, sowohl im öffentlichen als auch im privaten Sektor.

Halbleiterkompetenz im Herzen Europas: Das Swiss Chip Fablab

Auch im Bereich Hard- und Halbleiterentwicklung markiert die ETH Zürich einen Meilenstein: Mit der geplanten Beteiligung am Swiss Chip Fablab im Innovationspark Dübendorf entsteht ein Netzwerk, das Forschung, Entwicklung und Produktion an einem geopolitisch sicheren, verlässlichen Standort vereint. Ziel ist es, die Resilienz der Lieferketten zu stärken und unabhängige Halbleiterexpertise zu etablieren – ein zentrales Anliegen in Zeiten globaler Unsicherheit. Es dient nicht als Alternative zu KI-Prozessorchips, die überwiegend in Taiwan hergestellt werden, sondern vielmehr hochspezialiserte Chips für Anwendungen wie Energie, Mobilität, Medizin oder Kokmmunikation zu entwickeln. Das Fablab bietet Start-ups, etablierten Unternehmen und internationalen Partnern Zugang zu modernster Infrastruktur, Begleitung bei regulatorischen Fragestellungen und die Chance auf strategische Vernetzung.

Neuer ETH-Hub für den Kanton Luzern: Stärkung der Region und Förderung von Innovationen

Durch die 100-Millionen-Franken-Spende der Jörg-G.-Bucherer-Stiftung an die ETH, soll ein Erdbeobachtungszentrum im Kanton Luzern realisiert werden. Diskutiert werden zum Beispiel Emmen/Viscosistadt, Horw um die Hochschule für Technik oder Hochdorf. Dies zeigt auf, wie Innovationskraft gezielt gestärkt und dezentral gefördert werden kann. Ein solcher ETH-Hub schafft neue Möglichkeiten für Unternehmen und Start-ups in der Zentralschweiz, in direktem Austausch mit Forschung und Lehre zu treten – und setzt dabei ein starkes Zeichen für die Attraktivität des Standorts Emmen als Technologie- und Innovationsstandort. Die regionale Verankerung technologischer Exzellenz trägt dazu bei, Innovationspotenziale breit zu erschließen und Synergien zwischen Wissenschaft und Wirtschaft zu nutzen.

Was bedeutet das für Unternehmen, Investoren und Unternehmerinnen?

Für technologieorientierte Unternehmen, Investorinnen und innovative Unternehmer entstehen neue Kooperationsmöglichkeiten, aber auch komplexe regulatorische Fragestellungen:

Wie lassen sich KI-Lösungen rechtssicher und datenschutzkonform integrieren?
Welche gesetzlichen Anforderungen sind bei Forschung, Entwicklung und Export sensibler Technologien zu beachten?
Wie können Innovation und Compliance im internationalen Wettbewerb optimal ausbalanciert werden?

Als auf Datenschutzrecht, digitale Geschäftsmodelle und wirtschaftsrechtliche Fragestellungen spezialisierte Boutique-Anwaltskanzlei aus Luzern begleiten wir Unternehmen, Behörden und Institutionen bei allen Herausforderungen der digitalen Transformation. Unser Team unterstützt Sie in allen Belangen des Datenschutzes, IT-Projekten, aber auch bei wirtschaftsrechtlichen Themen wie Corporate Governance, Restrukturierungen und M&A. Wir legen Wert auf rechtssichere Innovation, regulatorische Compliance und pragmatische Umsetzung. Von der Datenschutz-Folgeabschätzung über Lizenzverträge bis zur unternehmensübergreifenden Transformation profitieren Sie von unserer Expertise im digitalen und wirtschaftlichen Umfeld.

Kontaktieren Sie uns unverbindlich zu Fragen zu digitalen Geschäftsmodellen.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat seinen Tätigkeitsbericht 2024/2025 veröffentlicht. In seiner Medienmitteilung titelt er „Verstärktes Einschreiten gegen Rechtsverstösse im Datenschutz und neue Höchststände bei den Zugangsgesuchen nach dem Öffentlichkeitsgesetz“ und zieht ein viel beachtetes Resümee zu Digitalisierung und Grundrechten, sowohl in öffentlichen Bereich wie Justiz, Polizei, Sicherheit und Gesundheit, aber auch bei Wirtschaft und Gesellschaft. Im Privatbereich fallen besonders folgende Themen auf:

Cyberangriff auf OneLog: Risiken bei Login-Lösungen

Der EDÖB dokumentiert einen gezielten Cyberangriff auf die Login-Plattform OneLog. Der Vorfall zeigt deutlich, dass cloudbasierte Authentifizierungsdienste zu attraktiven Zielen für Hacker werden – mit potenziell weitreichenden Folgen für tausende Privatpersonen. Der Bericht mahnt zu strikten Sicherheits- und Incident-Response-Prozessen bei Identity‑Anbietern. Verantwortliche treffen nicht nur die Meldepflicht von Datensicherheitsverletzungen (Art. 24 Abs. 1 DSG), sie müssen den EDÖB kontinuierlich über die getroffenen Massnahmen und das weitere Vorgehen informieren.

Pflicht zur Vertretung (Art. 14 DSG): Klare Verantwortung im Privatbereich

Neu fordert das DSG eindeutig eine Vertretung nach Art. 14 DSG für Private mit Sitz oder Wohnsitz im Ausland, die Personendaten bearbeiten. Das heisst: Wer umfangreich und regelmässig Daten verarbeitet – z.B. im Rahmen privater Online-Plattformen oder Community-Diensten –, muss eine gewählte oder eingesetzte Person benennen, die für die Einhaltung des DSG verantwortlich ist. Dies stärkt die Nachvollziehbarkeit datenschutzrelevanter Prozesse. Dazu können Unternehmen und andere Private eine Vertretung benennen, als Anlaufstelle sowohl für die betroffenen Personen als auch für den EDÖB.

BPS Legal bietet Vertretungen nach Art. 14 DSG an, ggf. in Kombination mit der Rolle des Schweizer Datenschutzberaters nach Art. 10 DSG. Nehmen Sie gerne mit uns Kontakt auf.

Plattformübergreifendes Tracking: Auf dem Radar des Aufsehers

Besonders interessant für Online-Marketing: Der EDÖB legt einen Schwerpunkt bei plattformübergreifenden Trackings, z.B. mittels Cookies oder Fingerprinting. Der EDÖB stellt fest, dass solche Methoden im Privatbereich oft im rechtsfreien Raum erfolgen – und fordert klare Regeln für Transparenz, Einwilligung und Dokumentation. Ohne geeignete technische und organisatorische Massnahmen drohen Bussen und Reputationsverlust. Bei der Verwendung von Drittdiensten und Third-Party-Cookies durch Webseiten- und Appbetreiber sind Informationspflichten, Gestaltungsrechte der betroffenen Personen und Verantwortlichkeiten zu beachten.

Datenschutz zieht in die Unternehmenskultur ein

Der EDÖB zeigt im Tätigkeitsbericht 2024/2025, dass Datenschutz im Privatbereich zunehmend ernst genommen wird. Von Cloud-Sicherheit bis Tracking-Regulierung – die Zahlen sprechen eine klare Sprache. Für Plattformbetreiber, KMU und Privatpersonen gilt: Proaktive Rechtsberatung ist wichtiger denn je, um Rechtssicherheit und Vertrauen zu schaffen. Den vollständigen Bericht finden Sie beim EDÖB unter: https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2025/07/01/de77df3c-8cdb-4a72-9109-6783d8218fbc.pdf

Kontaktieren Sie uns unverbindlich zu Fragen Datenschutzrecht und Digitalisierung.

FAQ: Fragen und Antworten zum Datenschutz für KMU und Plattformbetreiber

Der Vorfall zeigt, dass zentrale Login-Dienste ein hohes Sicherheitsrisiko darstellen. Plattformbetreiber müssen sicherstellen, dass Authentifizierungsprozesse besonders geschützt sind – durch starke Passwörter, Zwei-Faktor-Authentifizierung und ein funktionierendes Sicherheits- und Notfallmanagement. Datensicherheitsverletzungen müssen zudem schnell gemeldet werden.

Unternehmen mit Sitz im Ausland, die systematisch Personendaten von Personen in der Schweiz bearbeiten, müssen zwingend eine Datenschutz-Vertretung in der Schweiz benennen. Auch kleinere Betreiber von Websites oder Plattformen können betroffen sein – etwa wenn sie regelmässig Daten von Schweizer Nutzern verarbeiten. Die Vertretung muss im Datenschutzhinweis transparent ausgewiesen werden.

Wer Nutzerverhalten über verschiedene Websites und Geräte hinweg verfolgt, benötigt eine explizite Einwilligung der betroffenen Personen. Die Verwendung von Cookies, Pixeln oder Fingerprinting-Tools ohne klare Zustimmung ist datenschutzwidrig. KMU müssen ihre Cookie-Banner und Tracking-Prozesse technisch und rechtlich prüfen und anpassen.

Wenn ein Unternehmen besonders risikobehaftete Datenbearbeitungen durchführt – etwa systematisches Tracking, Profiling oder die Verarbeitung von Gesundheitsdaten – ist häufig eine Datenschutz-Folgenabschätzung erforderlich. Der EDÖB weist im aktuellen Bericht eine Zunahme solcher Prüfungen bei Verantwortlichen aus. KMU sollten frühzeitig klären, ob eine DSFA notwendig ist, um späteren Rechtsfolgen vorzubeugen.

Das neue Datenschutzgesetz verlangt, dass Verletzungen der Datensicherheit unverzüglich dem EDÖB gemeldet werden – wenn ein hohes Risiko für die betroffenen Personen besteht. Eine spätere oder unvollständige Meldung kann als Pflichtverletzung gewertet werden. KMU sollten klare interne Meldeprozesse etablieren.