Persönlichkeitsschutz umfasst im Schweizer Recht sowohl zivil- als auch strafrechtliche Mechanismen, um die Ehre, den Ruf und die Integrität einer Person vor unzulässigen Angriffen zu bewahren. Der Fall um die SVP Stadt Luzern und das damalige Parteimitglied Yves Holenweger¹ illustriert, wie Medienberichte rechtlich relevant sein können und welche Möglichkeiten Betroffene haben, sich zu schützen.

Zivilrechtlicher Persönlichkeitsschutz

Das Zivilrecht schützt die Persönlichkeit umfassend gemäss Art. 28ff. ZGB. Geschützt werden dabei physische und psychische Aspekte, aber auch Ehre, Privatsphäre und der wirtschaftlicher Ruf.

• Eine Verletzung gilt als widerrechtlich, wenn sie nicht durch Einwilligung, höherwertige Interessen oder Gesetz gerechtfertigt ist.
• Betroffene können verlangen, dass die Verletzung unterlassen, beseitigt oder gerichtlich festgestellt wird.
• Oftmals stehen auch Ansprüche auf Schadenersatz, Genugtuung oder Gegendarstellung zur Verfügung, insbesondere bei Medienpublikationen.

Im Fall der medienwirksamen Kritik wie vorliegend kann der Betroffene z.B. eine Gegendarstellung verlangen oder rechtliche Schritte zur Unterbindung und Beseitigung einer ehrverletzenden Behauptung einleiten.

Strafrechtlicher Persönlichkeitsschutz

Das Strafrecht greift bei besonders gravierenden Persönlichkeitsverletzungen, wie etwa übler Nachrede, Verleumdung oder Beschimpfung.

• Üble Nachrede (Art. 173 StGB): Wer jemanden gegenüber Dritten eines unehrenhaften oder verwerflichen Verhaltens bezichtigt, kann strafrechtlich verfolgt werden, falls die Äusserung nicht erwiesen oder gerechtfertigt ist. Eine Straftat liegt also vor, wenn jemand falsche Tatsachen über eine andere Person verbreitet, die deren Ruf schädigen. Die Staatsanwaltschaft kann in diesen Fällen einen Strafbefehl erlassen, wie es beim genannten Fall geschehen ist.
• Verleumdung (Art. 174 StGB): Wer jemanden wider besseres Wissen bei einem andern eines unehrenhaften Verhaltens beschuldigt oder verdächtigt oder solche Beschuldigung verbreitet, kann strafrechtlich verfolgt werden, wenn diese Beschuldigung rufschädigend ist. Strafbar ist also die absichtliche Verbreitung falscher Tatsachen, die eine Person in ein schlechtes Licht rücken. Diese Straftat ist schwerwiegender und kann zu höheren Strafen führen.
• Die Strafverfolgung schützt das Recht auf Ehre und den Ruf fokussiert und umfasst auch Schutz vor Rufschädigung in der Öffentlichkeit und medialer Berichterstattung.
• Bei fahrlässigen oder absichtlichen Falschaussagen drohen Geldstrafen oder sogar Freiheitsstrafen.

Auch hier kann der oder die Betroffene parallel zivilrechtliche Schritte einleiten, um die Folgen einer strafbaren Verletzung zusätzlich zivilrechtlich abzufedern.

Effektiver Schutz der Persönlichkeit: Rechtliche Schritte und Handlungsempfehlungen bei Rufschädigung und Ehrverletzung und Medien

Exemplarisch am Beispiel von der ehrverletzenden Medienmitteilung, die unterzeichnet wurde von Dieter Haller, der damalige Präsident der Stadtluzerner SVP, und Timo Lichtsteiner, der damalige und heutige Vizepräsident, zeigt sich, wie der Persönlichkeitsschutz funktioniert.

1. Betroffene von ehrverletzenden Äusserungen oder Medienbeiträgen sollten zeitnah prüfen, ob ein rechtfertigender Grund vorliegt und – falls nicht – anwaltliche Unterstützung für zivilrechtliche und strafrechtliche Schritte erwägen.
2. Gerade bei politischer Kritik oder öffentlicher Berichterstattung ist die sorgfältige Interessenabwägung (Meinungsfreiheit vs. Persönlichkeitsschutz) elementar – Gerichte wägen oft zwischen öffentlichem Interesse und den Rechten des Einzelnen ab.

Die Affäre Holenweger zeigt, wie persönliche Angriffe schnell zu einer juristischen Auseinandersetzung über Ehre und Persönlichkeit werden können. Eine spezialisierte Anwaltskanzlei bietet kompetente Unterstützung im Umgang mit solchen komplexen Fallkonstellationen und sorgt für eine sachliche, effiziente Wahrung der Rechte und Interessen der Betroffenen.

Erfahren Sie hier mehr über Persönlichkeitsschutz im Zivil- und Strafrecht.

1. Bericht in der Luzerner Zeitung vom 23. September 2025: «SVP Stadt Luzern: Strafbefehl gegen Vizepräsidenten und ehemaligen Präsidenten», online abrufbar unter https://www.luzernerzeitung.ch/zentralschweiz/stadt-region-luzern/artikel-ld.4016595 zuletzt besucht am 23. September 2025. ↩︎

Die Schweiz festigt ihren Anspruch, zu den führenden Innovationsstandorten Europas zu zählen. Dabei spielt die ETH Zürich als Impulsgeberin eine zentrale Rolle. Drei jüngste Entwicklungen unterstreichen das technologische Potenzial und die digitale Souveränität des Landes (persönliche Auswahl):

• die Entwicklung eines öffentlich zugänglichen large language models (LLM) für datenschutzkonforme KI-Anwendungen,
• die Beteiligung der ETH am Swiss Chip Fablab zur Stärkung der nationalen Halbleiterkompetenz im Innovationspark Dübendorf,
• sowie die Initiative um das ETH-Erdbeobachtungszentrum im Kanton Luzern, wodurch gezielt Impulse in der Zentralschweiz gesetzt werden.

Alle Projekte stehen sinnbildlich für eine Innovationsstrategie, die auf wissenschaftlicher Exzellenz ebenso gründet wie auf unternehmerischer Skalierbarkeit, nachhaltiger Infrastruktur und regulatorischer Weitsicht.

Digitale Souveränität: Das ETH-Sprachmodell für den öffentlichen Nutzen

Mit dem von der ETH Zürich lancierten LLM entsteht erstmals eine KI-Technologie, die auf Schweizer Rechtsgrundlagen, Mehrsprachigkeit und höchste Datenschutzstandards zugeschnitten ist. Dieses entstand aus einer Zusammenarbeit der EPFL und der ETH Zürich und wurde auf dem «Alps» Supercomputer des Swiss National Supercomputing Centre (CSCS) trainiert. Für Unternehmen, Verwaltungen und insbesondere KMU, welche Wert auf datensichere Prozesse legen, eröffnet dies neue Möglichkeiten im Bereich Automatisierung, Informationserschliessung und moderner Kundeninteraktion – ohne auf global agierende Cloud-Plattformen angewiesen zu sein. Diese Entwicklung verdeutlicht, wie sich technologischer Fortschritt und Standortpolitik verbinden lassen. Die Schweiz positioniert sich damit als Vorreiter für vertrauenswürdige und unabhängige Digitalisierung, sowohl im öffentlichen als auch im privaten Sektor.

Halbleiterkompetenz im Herzen Europas: Das Swiss Chip Fablab

Auch im Bereich Hard- und Halbleiterentwicklung markiert die ETH Zürich einen Meilenstein: Mit der geplanten Beteiligung am Swiss Chip Fablab im Innovationspark Dübendorf entsteht ein Netzwerk, das Forschung, Entwicklung und Produktion an einem geopolitisch sicheren, verlässlichen Standort vereint. Ziel ist es, die Resilienz der Lieferketten zu stärken und unabhängige Halbleiterexpertise zu etablieren – ein zentrales Anliegen in Zeiten globaler Unsicherheit. Es dient nicht als Alternative zu KI-Prozessorchips, die überwiegend in Taiwan hergestellt werden, sondern vielmehr hochspezialiserte Chips für Anwendungen wie Energie, Mobilität, Medizin oder Kokmmunikation zu entwickeln. Das Fablab bietet Start-ups, etablierten Unternehmen und internationalen Partnern Zugang zu modernster Infrastruktur, Begleitung bei regulatorischen Fragestellungen und die Chance auf strategische Vernetzung.

Neuer ETH-Hub für den Kanton Luzern: Stärkung der Region und Förderung von Innovationen

Durch die 100-Millionen-Franken-Spende der Jörg-G.-Bucherer-Stiftung an die ETH, soll ein Erdbeobachtungszentrum im Kanton Luzern realisiert werden. Diskutiert werden zum Beispiel Emmen/Viscosistadt, Horw um die Hochschule für Technik oder Hochdorf. Dies zeigt auf, wie Innovationskraft gezielt gestärkt und dezentral gefördert werden kann. Ein solcher ETH-Hub schafft neue Möglichkeiten für Unternehmen und Start-ups in der Zentralschweiz, in direktem Austausch mit Forschung und Lehre zu treten – und setzt dabei ein starkes Zeichen für die Attraktivität des Standorts Emmen als Technologie- und Innovationsstandort. Die regionale Verankerung technologischer Exzellenz trägt dazu bei, Innovationspotenziale breit zu erschließen und Synergien zwischen Wissenschaft und Wirtschaft zu nutzen.

Was bedeutet das für Unternehmen, Investoren und Unternehmerinnen?

Für technologieorientierte Unternehmen, Investorinnen und innovative Unternehmer entstehen neue Kooperationsmöglichkeiten, aber auch komplexe regulatorische Fragestellungen:

• Wie lassen sich KI-Lösungen rechtssicher und datenschutzkonform integrieren?
• Welche gesetzlichen Anforderungen sind bei Forschung, Entwicklung und Export sensibler Technologien zu beachten?
• Wie können Innovation und Compliance im internationalen Wettbewerb optimal ausbalanciert werden?

Als auf Datenschutzrecht, digitale Geschäftsmodelle und wirtschaftsrechtliche Fragestellungen spezialisierte Boutique-Anwaltskanzlei aus Luzern begleiten wir Unternehmen, Behörden und Institutionen bei allen Herausforderungen der digitalen Transformation. Unser Team unterstützt Sie in allen Belangen des Datenschutzes, IT-Projekten, aber auch bei wirtschaftsrechtlichen Themen wie Corporate Governance, Restrukturierungen und M&A. Wir legen Wert auf rechtssichere Innovation, regulatorische Compliance und pragmatische Umsetzung. Von der Datenschutz-Folgeabschätzung über Lizenzverträge bis zur unternehmensübergreifenden Transformation profitieren Sie von unserer Expertise im digitalen und wirtschaftlichen Umfeld.

Kontaktieren Sie uns unverbindlich zu Fragen zu digitalen Geschäftsmodellen.

Ab dem 1. Juni 2025 gilt im Kanton Luzern das Öffentlichkeitsprinzip. Damit öffnet sich die kantonale Verwaltung für mehr Transparenz und demokratische Kontrolle: Bürgerinnen und Bürger, Medienschaffende sowie Unternehmen erhalten grundsätzlich Zugang zu amtlichen Informationen und Dokumenten der Verwaltung – ohne Nachweis eines besonderen Interesses. Luzern ist damit der letzte Schweizer Kanton, der diesen wichtigen Schritt vollzieht.

Was bedeutet das Öffentlichkeitsprinzip?

Das Öffentlichkeitsprinzip verpflichtet die Behörden, amtliche Dokumente und Informationen auf Anfrage zugänglich zu machen. Die Verwaltung kann den Zugang nur verweigern, wenn gewichtige Gründe dagegen sprechen – etwa der Schutz von Personendaten oder anderer gesetzlich geschützter Interessen. Die Begründungspflicht liegt bei der Behörde. Dieses neue Recht stärkt die Transparenz, die demokratische Kontrolle und die Meinungsbildung im Kanton Luzern.

Grenzen: Datenschutz und Persönlichkeitsschutz

Das Öffentlichkeitsprinzip findet dort seine Grenzen, wo der Schutz personenbezogener Daten betroffen ist. Personendaten unterliegen dem verfassungsrechtlichen Persönlichkeitsschutz und dem kantonalen Datenschutzgesetz (KDSG). Beinhaltet ein amtliches Dokument Personendaten Dritter, muss die Verwaltung sorgfältig abwägen: Überwiegt das öffentliche Interesse an Transparenz oder das private Interesse an Geheimhaltung? In der Regel sind Personendaten zu anonymisieren. Ist dies nicht möglich, braucht es eine Einwilligung oder eine Interessenabwägung.

Praktische Herausforderungen und Anonymisierung

Die Anonymisierung von Personendaten in amtlichen Dokumenten ist anspruchsvoll. Durch moderne Recherchetools und die Vielzahl öffentlich zugänglicher Daten besteht die Gefahr, dass scheinbar anonymisierte Informationen dennoch einer Person zugeordnet werden können. Auch die Verwendung identifizierender Merkmale wie AHV-Nummern erschwert die effektive Anonymisierung. Verwaltungsstellen müssen daher besonders sorgfältig vorgehen, um Datenschutz und Transparenz in Einklang zu bringen.

Dezentrale Umsetzung im Kanton Luzern

Die gesetzlichen Regelungen zum Öffentlichkeitsprinzip und zum Datenschutz sind im Kanton Luzern auf verschiedene Erlasse verteilt. Die Bearbeitung von Zugangsgesuchen erfolgt dezentral durch die jeweiligen Verwaltungsstellen. Ein interdepartementales Gremium soll eine einheitliche Praxis sicherstellen. Dennoch bleibt abzuwarten, ob Gleichbehandlung und Datenschutz in jedem Einzelfall gewährleistet werden können.

Unsere Kanzlei verfügt über ausgewiesene Expertise im Verwaltungsrecht, Datenschutz und im Umgang mit dem Öffentlichkeitsprinzip. Wir unterstützen Bürgerinnen und Bürger, Unternehmen, Medienschaffende und Behörden bei Gesuchen um Zugang zu amtlichen Dokumenten – von der Antragstellung über die Interessenabwägung bis zur Vertretung im Rechtsmittelverfahren.

Kontaktieren Sie uns unverbindlich zu Fragen zum Öffentlichkeitsprinzip

Am Montag, 12. Mai 2025, wurde Matthias R. Schönbächler, ehemaliger Datenschutzbeauftragter des Kantons Luzern, offiziell durch den Luzerner Kantonsrat verabschiedet. Schönbächler hatte das Amt von 2018 bis 2024 inne und und unterstützte im Jahr 2025 die Übergabe an seine Nachfolgerin Natascha Ofner-Venetz.

In seiner Würdigung betonte Kantonsratspräsident Ferdinand Zehnder die Pionierarbeit Schönbächlers beim Aufbau der kantonalen Datenschutzaufsicht. Diese Aufgabe sei mit juristischer Präzision und technischem Verständnis erfolgreich gemeistert worden.

«Als Jurist, mit beindruckend breitem Fachwissen, und, wie er es selbst nannte, technischer Mitsprachekompetenz, vereinte Matthias Schönbächler rechtliche Präzision mit technischem Verständnis.»

– Ferdinand Zehnder, Kantonsratspräsident

Die Videoaufzeichnung der Kantonsratssession vom 12. Mai 2025 ist auf der Webseite des Kantonsrats verfügbar: https://www.lu.ch/kr/Sessionen/videoaufnahmen?keyword=Session&sessionoverview=true

Nach diesen lobenden Worten dankte der Kantonsratspräsident Matthias R. Schönbächler im Namen des Kantonsrates für seinen langjährigen Einsatz zum Wohle des Standes Luzern.

Auch wir danken Matthias R. Schönbächler herzlich für seine Verdienste um den Datenschutz und die Verwaltungsentwicklung im Kanton Luzern. Unser besonderer Dank gilt ebenso dem Kantonsrat Luzern sowie Staatsschreiber Vinc Blaser für die würdige Verabschiedung.

Derzeit gibt es in der Schweiz keine speziellen Rechtsvorschriften für künstliche Intelligenz (KI). Angesichts der zunehmenden Einführung und Nutzung von KI-Tools in verschiedenen Sektoren – insbesondere im Finanzbereich – müssen die mit solchen Systemen verbundenen Risiken jedoch zwangsläufig gründlich geprüft werden.

Zu diesem Zweck hat die Eidgenössische Finanzmarktaufsicht (FINMA) vor kurzem eine Reihe von Erkenntnissen und Beobachtungen veröffentlicht[i], die einen risikobasierten Ansatz verfolgen, der sich auf operative, datenbezogene, IT- und Cyber-Risiken sowie rechtliche und reputationsbezogene Aspekte bezieht. Die beaufsichtigten Unternehmen müssten daher die mit ihren KI-Anwendungen verbundenen Risiken identifizieren, bewerten, überwachen, verwalten und kontrollieren, sei es als Eigenentwicklung oder ausgelagert, und sicherstellen, dass diese Risiken in ihren jeweiligen Governance-Modellen abgestimmt und berücksichtigt werden.

Die FINMA hebt vor allem operationelle Risiken wie mangelnde Robustheit, Korrektheit, Voreingenommenheit und Erklärbarkeit, Risiken im Zusammenhang mit Drittanbietern sowie Herausforderungen bei der Zuweisung von Verantwortlichkeiten als die dringlichsten Probleme hervor.

Sobald die Risiken identifiziert sind, muss die ‘Wesentlichkeit’ der betreffenden Risiken bestimmt werden. Mit anderen Worten, es ist zu definieren, ob eine bestimmte KI-Anwendung in Fällen, in denen sie „…zur Einhaltung von Aufsichtsrecht oder zur Ausübung kritischer Funktionen eingesetzt wird oder wenn Kunden oder Mitarbeiter von ihren Ergebnissen stark betroffen sind“, einen höheren Schwellenwert aufweisen darf.

Unter dem Gesichtspunkt der datenbezogenen Risiken ist es offensichtlich, dass falsche, inkonsistente, unvollständige, nicht repräsentative oder veraltete Daten die Glaubwürdigkeit und Wirksamkeit einer KI-Anwendung untergraben würden. Daher müssten bestimmte Massnahmen ergriffen werden, um die Integrität der Eingabedaten zu gewährleisten und die Verfügbarkeit von und den Zugang zu Daten sicherzustellen. Andererseits verweist die FINMA auf regelmässige Kontrollen, um Datenabweichungen zu erkennen, und auf Validierungsmethoden, um die kontinuierliche Qualität der Ausgangsdaten zu gewährleisten.

Schliesslich wird darauf hingewiesen, dass die Erklärbarkeit der Ergebnisse für eine wirksame Bewertung einer KI-Anwendung von entscheidender Bedeutung ist, wobei die Triebkräfte einer bestimmten Anwendung und ihr Verhalten unter verschiedenen Umständen und Bedingungen auch für Nichtfachleute wie Kunden, Anleger, Aufsichtsbehörden usw. verständlich sein müssen. Bei Anwendungen mit höherer „Wesentlichkeit“ müssten die Ergebnisse einer unabhängigen Prüfung, die sich eine fundierte und unvoreingenommene Meinung über die Zuverlässigkeit der betreffenden Anwendung bildet, ebenfalls in der Entwicklungsphase dieser Anwendung berücksichtigt werden.

---

[i] Siehe hier https://www.finma.ch/de/news/2024/12/20241218-mm-finma-am-08-24/.

Das neue FINMA-Rundschreiben 2025/2 zu den Verhaltenspflichten nach dem Finanzdienstleistungsgesetz (FIDLEG) und der Finanzdienstleistungsverordnung (FIDLEV), das am 1. Januar 2025[i] in Kraft treten soll, hat zum Ziel, einheitliche Standards für die Information und Betreuung von Kunden im Finanzdienstleistungsbereich zu schaffen.

Für die Umsetzung bestimmter Anforderungen ist eine Übergangsfrist bis zum 30. Juni 2025 vorgesehen.

Das Rundschreiben wird im Wesentlichen für Banken und Wertpapierfirmen, Verwalter von Kollektivvermögen und Unternehmen mit Fondsmanagement- sowie Portfolio-Management-Dienstleistungen gelten. Finanzdienstleister, die nicht der Aufsicht der FINMA unterstellt sind, fallen somit grundsätzlich nicht in den Anwendungsbereich des Rundschreibens.

 Zusammenfassend sind folgende Punkte zu nennen.

– In Bezug auf die vom FIDLEV angewandten Ausnahmen im Bereich der Unternehmensfinanzierung stellt das Rundschreiben klar, dass Dienstleistungen der „Kaufseite“ in Abgrenzung zu Dienstleistungen der „Verkaufsseite“, d.h. das Anbieten von Finanzinstrumenten an Anleger bzw. deren Verkauf an Kunden, in den Anwendungsbereich des FIDLEG fallen.

– Pflicht der Dienstleistungserbringer, die Kunden über a) die Art der Anlageberatung (transaktionsbasiert oder portfoliobasiert), b) die Risiken von Differenzkontrakten (CFD) und c) die Risikokonzentrationen bei der Erbringung von Portfoliomanagement- und portfoliobasierten Anlageberatungsdienstleistungen zu informieren.

– Im Rahmen der Angemessenheits- und Eignungsanforderungen müssen die Dienstleister Informationen über die Kenntnisse und Erfahrungen der Privatkunden in Bezug auf jede angebotene Anlagekategorie sammeln.

– Pflicht der Dienstleistungserbringer, die Kunden über die Verwendung eigener Finanzinstrumente, alternativ die eines Dritten oder eine Kombination aus beidem im Rahmen der Erbringung ihrer Dienstleistungen zu informieren und geeignete organisatorische Massnahmen zu ergreifen, um potenzielle Interessenkonflikte so weit wie möglich zu vermeiden. In Ausnahmefällen, in denen der Interessenkonflikt unvermeidbar ist, sind die Dienstleister zur Offenlegung verpflichtet.

– Pflicht der Dienstleistungserbringer zur ordnungsgemässen Offenlegung der Entschädigung durch Dritte (Retrozession) gegenüber den Kunden und zur Sicherstellung, dass die Einzelheiten in standardisierten Verträgen hervorgehoben werden.

– In Fällen, in denen Dienstleister als Gegenpartei Finanzinstrumente aus den Portfolios ihrer Kunden ausleihen bzw. als Vermittler für diese Geschäfte auftreten, muss in Übereinstimmung mit dem FIDLEG die vorherige und ausdrückliche Zustimmung der Kunden eingeholt werden. Das Rundschreiben nennt nun ein Minimum an Informationen, die den Kunden zur Verfügung gestellt werden müssen, damit ihre Zustimmung in diesem Zusammenhang als gültig betrachtet werden kann.

---

[i] Siehe hier https://www.finma.ch/de/news/2024/11/20241121-mm-rs-verhaltenspflichten-fidleg/.

Am 17. Oktober 2024[i] verabschiedete die Europäische Kommission die ersten Durchführungsbestimmungen für die Cybersicherheit kritischer Einrichtungen und Netze in Übereinstimmung mit der NIS2-Richtlinie in Form einer Durchführungsverordnung[ii]. Die Verordnung soll Ende November in Kraft treten, genauer gesagt 20 Tage nach ihrer Veröffentlichung im Amtsblatt, die am 7. November 2024 erfolgte.

Die Annahme der Verordnung fällt auch mit dem letzten Tag der Frist zusammen, die den EU-Mitgliedstaaten für die Umsetzung der NIS2-Richtlinie in nationales Recht gesetzt wurde.

In den Durchführungsbestimmungen werden im Wesentlichen Massnahmen für das Risikomanagement im Bereich der Cybersicherheit sowie Meldepflichten für Unternehmen, die digitale Infrastrukturen und Dienste bereitstellen, für den Fall, dass „erhebliche“ Vorfälle auftreten, festgelegt. Insbesondere Unternehmen, die digitale Dienste anbieten, wie z. B. Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerke, würden in den Anwendungsbereich fallen.

In der NIS2-Richtlinie[iii] wird der bisherige Anwendungsbereich, der ursprünglich zwei Kategorien von i) Betreibern wesentlicher Dienste (OES) und ii) Anbietern relevanter digitaler Dienste (RDSP) umfasste, neu kategorisiert und deutlich erweitert, indem die erfassten Einrichtungen entweder als wesentliche Einrichtungen (EE) oder als wichtige Einrichtungen (IE) eingestuft werden.

EE umfasst die Sektoren Energie, Verkehr, Finanzen, öffentliche Verwaltung, Gesundheit, Raumfahrt, Wasserversorgung und digitale Infrastrukturen wie Cloud-Computing-Dienstleister und IKT-Verwaltung.

IE umfasst Sektoren wie Postdienste, Abfallwirtschaft, Chemikalien, Forschungseinrichtungen, Lebensmittelverarbeitung, Fertigung und digitale Anbieter wie soziale Netzwerke, Suchmaschinen und Online-Marktplätze.

Da Kleinst- und Kleinunternehmen grundsätzlich vom Anwendungsbereich ausgenommen sind, sieht die Richtlinie eine Grössenschwelle vor. Mit anderen Worten, ein Schwellenwert von 250 Beschäftigten, ein Jahresumsatz von €50 Mio. oder eine Bilanzsumme von €43 Mio. für die EE-Unternehmen bzw. ein Schwellenwert von 50 Beschäftigten, ein Jahresumsatz von €10 Mio. oder eine Bilanzsumme von €10 Mio. für die Unternehmen auf der IE-Liste.

Dennoch kann eine Einrichtung unabhängig von ihrer Grösse als ‘wesentlich’ oder ‘wichtig’ eingestuft werden, wenn sie der einzige Erbringer eines kritischen Dienstes für gesellschaftliche oder wirtschaftliche Aktivitäten in einem bestimmten Mitgliedstaat bzw. ein Anbieter von Vertrauensdiensten oder eine zentrale oder regionale Regierungseinrichtung ist.

Ähnlich wie bei der Datenschutz-Grundverordnung verpflichtet die Richtlinie die Mitgliedstaaten, bei Nichteinhaltung Sanktionen zu verhängen, die je nach Klassifizierung unterschiedlich hoch sind. €10 Mio. oder mindestens 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist, für EE-Unternehmen bzw. €7 Mio. oder mindestens 1,4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist, für IE-Unternehmen.

Insbesondere die Leitungsorgane der betroffenen Unternehmen, wie z. B. der Verwaltungsrat, würden bei Nichteinhaltung ebenfalls haftbar gemacht werden.

Das Schweizer Informationssicherheitsgesetz (ISG) hingegen gilt in erster Linie für die Bundesverwaltung, die kantonalen Behörden und ihre Partnerunternehmen im Inland, und soll in seiner überarbeiteten Fassung am 1. Januar 2025 in Kraft treten. In diesem Zusammenhang könnten Partnerunternehmen in ähnlichen Sektoren tätig sein wie diejenigen, die in der EU in den Anwendungsbereich der Richtlinie fallen, z.B. im Finanz- und Informations- und Kommunikationssektor sowie bei Dienstleistern und Herstellern von Hard- und Softwareprodukten, die in kritischen Infrastrukturen eingesetzt werden.

Daher würden Zulieferunternehmen indirekt in den Anwendungsbereich des ISG fallen, ähnlich wie bei der Richtlinie in der EU. Die Schweizer Unternehmen, die Teil einer Lieferkette sind, die letztlich auf die von der Richtlinie erfassten Unternehmen mit Sitz in der EU abzielt, wären folglich von den Anforderungen und Verpflichtungen im Rahmen beider Instrumente betroffen.

Insbesondere die Tochtergesellschaften und Zweigniederlassungen von in der EU registrierten Schweizer Unternehmen, die entweder unter die EE- oder die IE-Klassifizierung fallen, müssen die Richtlinie in der EU einhalten und die Anforderung erfüllen, sich bei der nationalen Behörde eines angeschlossenen Mitgliedstaats zu registrieren. In diesem Szenario kann die Muttergesellschaft oder das verbundene Unternehmen in der Schweiz durch die Verbindung zur Lieferkette ebenfalls indirekt von der Richtlinie erfasst werden.

---

[i] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_24_5342.

[ii] Siehe hier https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj.

[iii] Siehe hier https://eur-lex.europa.eu/eli/dir/2022/2555#.

Nach dem Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 4. Oktober 2024[1] in der Rechtssache C 446/21 zwischen Maximilian Schrems und Meta Platforms Ireland Ltd („Meta“) wurden der Umfang der Erhebung personenbezogener Daten auf Social-Media-Plattformen und die dafür geltenden Beschränkungen, insbesondere im Zusammenhang mit gezielter Werbung, einer strengeren Prüfung unterzogen.

Dabei wurden die Grundsätze der Datenschutz-Grundverordnung (DSGVO) der Datenminimierung und der Zweckbindung besonders eingehend geprüft.

Meta verwaltet im Allgemeinen die Bereitstellung von Diensten des sozialen Online-Netzwerks Facebook in der EU und gilt als für die Verarbeitung Verantwortlicher im Sinne der Datenschutz-Grundverordnung. Im vorliegenden Fall geht es um Daten, die Meta aus den Aktivitäten von Facebook-Nutzern nicht nur auf Facebook, sondern auch ausserhalb von Facebook erhebt, einschliesslich der Daten im Zusammenhang mit Besuchen von Online-Plattformen und Navigationsmustern sowie Websites und Anwendungen Dritter. Dazu verwendet Meta Cookies, Social Plug-ins und Pixel, die auf den betreffenden Websites eingebettet sind, um gezielte Werbung zu schalten.

Die Entscheidung des EuGH bringt weitere Klarheit in folgenden Punkten:

. der Anwendungsbereich des Grundsatzes der Datenminimierung gemäss Art. 5 Absatz 1 Buchstabe c DSGVO umfasst alle personenbezogenen Daten, die ein für die Verarbeitung Verantwortlicher bei betroffenen Personen oder Dritten auf oder ausserhalb der Plattform zum Zwecke der Aggregation, Analyse und Verarbeitung im Zusammenhang mit gezielter Werbung erhebt, wobei die Aufbewahrungsfrist in jedem Fall begrenzt und die Art der personenbezogenen Daten unterschieden werden muss. Darüber hinaus gilt der Grundsatz unabhängig von der Rechtsgrundlage für die Verarbeitung, und selbst wenn eine betroffene Person gezielter Werbung zugestimmt hat, dürfen ihre personenbezogenen Daten nicht unbegrenzt verwendet werden.

. Artikel 9 Absatz 2 Buchstabe e der Datenschutz-Grundverordnung über die Verarbeitung besonderer Kategorien personenbezogener Daten müsste restriktiv ausgelegt werden, wobei die blosse Erwähnung einer Tatsache durch eine betroffene Person in einem öffentlichen Umfeld nicht ohne Weiteres dazu führen sollte, dass andere Informationen im Zusammenhang mit dieser besonderen Tatsache als „offenkundig öffentlich gemacht“ eingestuft werden und somit rechtmässig verarbeitet werden dürfen.

Als Folge des EuGH-Urteils müsste jeder Betreiber einer Social-Media-Plattform oder eines Online-Werbeunternehmens seinen Datenbestand einschränken und eine wirksame Richtlinie zur Datenlöschung einführen. 

---

[1] Siehe hier https://curia.europa.eu/juris/document/document.jsf;jsessionid=5CE53D5E3FCC1ABA77F2ACD5AAC2F038?text=&docid=290674&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1306139.