Datenschutzrecht schützt Personen – aber nicht jede Person, die Datenschutzrecht beansprucht. Der EuGH hat klargestellt: Wer das Auskunftsrecht nicht zur Kontrolle seiner Daten nutzt, sondern gezielt als Hebel für Schadenersatzansprüche, verliert diesen Schutz.

EUGH-URTEIL (Brillen Rottler) C-526/24 VOM 19. MÄRZ 2026

Sachverhalt

TC meldete sich im März 2023 zum Newsletter eines deutschen Optikerunternehmens (Brillen Rottler) an. Bereits 13 Tage später stellte er ein Auskunftsbegehren nach Art. 15 DSGVO. Das Unternehmen verweigerte die Auskunft gestützt auf öffentlich zugängliche Informationen, die ein systematisches Vorgehen von TC belegen sollten: Anmeldung für Dienste -> Auskunftsbegehren -> Schadenersatzforderung. TC klagte auf Zahlung von mindestens EUR 1’000.00 Genugtuung.

Kernaussagen des Urteils

Bereits ein erstes Auskunftsbegehren kann als «exzessiv» gelten: Art. 12 Abs. 5 DSGVO erlaubt die Ablehnung nicht nur bei wiederholten, sondern auch bei einem erstmaligen Antrag, sofern eine Missbrauchsabsicht nachgewiesen ist. Entscheidend ist nicht die Häufigkeit, sondern die Absicht der antragstellenden Person.

Beweislast beim Verantwortlichen: Will das Unternehmen ein Auskunftsbegehren als missbräuchlich zurückweisen, trägt es dafür die volle Beweislast – und diese ist zweistufig. Zunächst muss es objektiv darlegen, dass das Gesuch trotz formeller Korrektheit nicht dem eigentlichen Zweck des Auskunftsrechts dient, nämlich der Kontrolle und Überprüfung der eigenen Datenverarbeitung. Sodann muss es subjektiv nachweisen, dass die gesuchstellende Person von vornherein beabsichtigte, die Voraussetzungen für einen Schadenersatzanspruch künstlich herbeizuführen.

Öffentliche Quellen als Beweismittel: Das Unternehmen darf öffentlich zugängliche Informationen (z.B. Medienberichte, Blogeinträge über bekannte «Datenschutz-Trolle») zur Beweisführung heranziehen, sofern diese durch weitere Anhaltspunkte bestätigt werden.

Schadenersatz auch ohne rechtswidrige Datenbearbeitung: Art. 82 Abs. 1 DSGVO gewährt einen Schadenersatzanspruch nicht nur bei rechtswidriger Datenverarbeitung, sondern auch bei der blossen Verletzung des Auskunftsrechts gemäss Art. 15 DSGVO. Die Verletzung prozessualer Rechte ist für sich allein haftungsbegründend.

Immaterieller Schaden – kein Automatismus: Der Verlust der Kontrolle über Daten oder die Ungewissheit über deren Verarbeitung können immateriellen Schaden darstellen. Ein Schadenersatz entfällt aber, wenn der Kausalzusammenhang durch das eigene Verhalten der betroffenen Person unterbrochenwird – insbesondere, wenn diese den Verstoss bewusst provoziert hat, um einen Anspruch zu generieren.

UMFANG DES AUSKUNFTSRECHTS (Art. 15 DSGVO) – WAS IST ERFASST, WAS NICHT?

Vom Auskunftsrecht erfasst (Art. 15 DSGVO)

Das Recht zu erfahren, ob überhaupt personenbezogene Daten verarbeitet werden.

Bei bestehender Verarbeitung: Auskunft über die Daten selbst, Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer, Herkunft der Daten sowie allfällige automatisierte Entscheidungen.

Das Recht, dieses Auskunftsrecht unentgeltlich und in der Regel innert Monatsfrist auszuüben.

Schadenersatz für immaterielle Schäden, die aus der Verletzung des Auskunftsrechts resultieren (einschliesslich Kontrollverlust und Ungewissheit über Verarbeitung)

Nicht vom Auskunftsrecht erfasst bzw. nicht schutzwürdig

Auskunftsbegehren, die nicht dem Zweck dienen, die eigene Datenverarbeitung zu kontrollieren, sondern missbräuchlich zur Erzielung von Schadenersatz gestellt werden.

Schadenersatz, wenn die betroffene Person den Schaden (z.B. Kontrollverlust) durch eigenes missbräuchliches Handeln selbst herbeigeführt hat – der Kausalzusammenhang wird unterbrochen.

Schadenersatz ohne Nachweis eines tatsächlich entstandenen Schadens – kein Automatismus aus dem blossen Verstoss.

KONSEQUENZEN FÜR DIE SCHWEIZ UND IHRE RECHTSPRECHUNG

Relevanz für die Schweiz

Obwohl die DSGVO in der Schweiz nicht unmittelbar gilt, orientiert sich das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) eng an den europäischen Vorgaben. Schweizer Gerichte ziehen die DSGVO und die EuGH-Rechtsprechung regelmässig als Auslegungshilfe für die eurokompatible Anwendung des DSG heran.

Stärkung des Rechtsmissbrauchsverbots (Art. 2 ZGB)

Das Urteil bestätigt und stärkt die Anwendung von Art. 2 Abs. 2 ZGB («Der offenbare Missbrauch eines Rechts findet keinen Rechtsschutz») im Datenschutzrecht. Schweizer Gerichte werden die Logik des EuGH voraussichtlich übernehmen: Nicht die Anzahl der Gesuche, sondern die zweckfremde Absicht ist entscheidend.

Art. 26 Abs. 1 lit. c DSG erlaubt die Verweigerung von Auskunft bei «offensichtlich querulatorischen» Gesuchen oder solchen mit datenschutzwidrigem Zweck. Das EuGH-Urteil liefert wertvolle Kriterien zur Konkretisierung dieser Bestimmung.

Wesentlicher Unterschied: Höhere Schwelle für Genugtuung (Art. 32 Abs. 3 DSG)

Während der EuGH den Kontrollverlust als potenziell ersatzfähigen immateriellen Schaden anerkennt, setzt Art. 32 Abs. 3 DSG für einen Genugtuungsanspruch eine schwere Persönlichkeitsverletzung voraus. Die blosse Verweigerung einer Auskunft oder die damit verbundene Ungewissheit dürfte diese Schwelle in der Schweiz regelmässig nicht erreichen.

Dies stellt für «Datenschutz-Trolle» in der Schweiz eine erheblich höhere Hürde dar als im EU-Recht und dürfte das Geschäftsmodell systematischer Auskunftsbegehren zum Zweck der Schadenersatzerzielung in der Schweiz weitgehend unattraktiv machen.

Übereinstimmung beim Kausalzusammenhang

Die Ausführungen des EuGH zur Unterbrechung des Kausalzusammenhangs durch das Verhalten der betroffenen Person decken sich vollständig mit den Grundsätzen des schweizerischen Haftpflichtrechts (Selbstverschulden). Wer einen Verstoss bewusst provoziert, verliert seinen Anspruch.

KONSEQUENZEN FÜR UNTERNEHMEN

Das Urteil ist kein Freifahrtschein, Auskunftsbegehren pauschal abzulehnen – die Beweislast für Missbrauch liegt vollständig beim Unternehmen. Fehlerhafte oder verspätete Auskünfte sind das Einfallstor für Schadenersatzansprüche – unabhängig davon, ob die Anfrage gutgläubig oder missbräuchlich gestellt wurde.

Für Schweizer Unternehmen kommt hinzu, dass das revidierte DSG seit September 2023 vergleichbare Auskunftspflichten kennt. Die Schwelle für Genugtuungsansprüche liegt zwar höher als im EU-Recht – das entbindet aber nicht von der Pflicht zur fristgerechten und vollständigen Auskunftserteilung.

Konkret empfiehlt sich daher, Auskunftsprozesse zu verschlanken und intern klar zuzuweisen, Antworten verständlich zu formulieren, statt nur Rohdaten zu liefern, Datenhaltung so zu strukturieren, dass Auskünfte rasch und vollständig erteilt werden können.

FAZIT

Der EuGH hat mit seinem Urteil eine wichtige Grenze gegen den Missbrauch des datenschutzrechtlichen Auskunftsrechts gezogen: Wer eine Auskunft nach Art. 15 DSGVO nicht zur Kontrolle der eigenen Datenverarbeitung stellt, sondern gezielt zur Konstruktion von Schadenersatzansprüchen, handelt missbräuchlich – und verliert sowohl den Anspruch auf Auskunft als auch auf Genugtuung. Für die Schweiz bestätigt das Urteil die Anwendung des Rechtsmissbrauchsverbots (Art. 2 ZGB) im Datenschutzrecht. Zugleich setzt das Schweizer DSG mit dem Erfordernis einer schweren Persönlichkeitsverletzung für Genugtuungsansprüche die Hürde noch höher als das EU-Recht, was das Geschäftsmodell der «Datenschutz-Trolle» unattraktiv macht.

Smartphones sind heute oft Dreh- und Angelpunkt in einem Strafverfahren. Jeder hat ein Smartphone. Und damit sind sie der wichtigste Datenträger für Ermittler. Genau deshalb darf ihr Zugriff nicht zum rechtsfreien Raum werden. Es braucht ein taugliches Siegelungsverfahren als wirksamen Schutzschild für Privatsphäre, Persönlichkeitsrechte und Berufsgeheimnisse.

Die Strafverfolgung steht unter Druck, digitale Beweise rasch auszuwerten, während sich betroffene Personen oft erst mit erheblicher Verzögerung gegen eine Durchsuchung wehren können. Gerade diese Spannung macht die Siegelung so zentral.

Warum das Thema jetzt drängt

Die Medien berichten von einem markanten Anstieg der Entsiegelungsverfahren rund um Smartphones; in Zürich sollen diese laut aktueller Berichterstattung zuletzt um 75 Prozent gestiegen sein. Parallel dazu arbeitet der Bund an der effizienteren Sicherstellung elektronischer Beweismittel und betont dabei ausdrücklich Datenschutz und Verfahrensrechte der Betroffenen.

Das zeigt zweierlei: Digitale Beweismittel sind für Strafverfolgungsbehörden unverzichtbar geworden, aber gerade deshalb müssen die rechtsstaatlichen Sicherungen mit derselben Ernsthaftigkeit funktionieren. Wenn Siegelung und Entsiegelung nicht zeitnah und sorgfältig behandelt werden, drohen irreparable Eingriffe in höchstpersönliche Daten.

Die Funktion der Siegelung

Die Siegelung ist kein technisches Detail, sondern ein verfahrensrechtliches Kerninstrument zum Schutz sensibler Informationen. Wer bei der Sicherstellung von Geräten oder Unterlagen Geheimhaltungsinteressen geltend macht, kann verlangen, dass die Inhalte zunächst versiegelt bleiben, bis ein Gericht über die Durchsuchung entscheidet.

Das gilt besonders bei Smartphones, weil sie oft eine extrem breite Datenspur enthalten: Chats, Fotos, Gesundheitsdaten, Standortverläufe, berufliche Unterlagen und private Kommunikation. Eine Durchsuchung greift daher fast zwangsläufig in die Privatsphäre ein und muss besonders sorgfältig begründet werden.

Was das Gericht zur Entsiegelung prüfen muss

Im Entsiegelungsverfahren geht es nicht nur um die Frage, ob die Staatsanwaltschaft die Daten gerne auswerten möchte. Das Zwangsmassnahmengericht muss auch prüfen, ob überhaupt ein hinreichender Tatverdacht besteht und ob die Durchsuchung verhältnismässig ist.

Gerade bei digitalen Daten ist diese Prüfung entscheidend, weil der Eingriff sehr weit reicht. Die Behörden dürfen nicht pauschal auf ganze Geräte zugreifen, wenn sich die relevanten Informationen schon klarer eingrenzen lassen oder wenn schutzwürdige Geheimnisse überwiegen.

Aktuelle Entwicklung und Praxisprobleme

Die aktuelle Diskussion um digitale Beweismittel zeigt ein strukturelles Problem: Die Verfahren dauern oft zu lange, obwohl digitale Daten gerade schnell an Beweiswert verlieren oder in grosser Menge anfallen. Gleichzeitig werden die Mitwirkungspflichten der betroffenen Person in der Praxis teilweise zu streng gehandhabt, obwohl das Bundesgericht in einschlägigen Fällen betont hat, dass substantiierte Angaben genügen können.

Hinzu kommt die neue gesetzliche Dreitagefrist seit der Sicherstellung für das Siegelungsbegehren, die in der Fachliteratur als erhebliche Verschärfung und als mögliche Fallgrube beschrieben wird. Wer diese Frist verpasst oder sein Begehren nicht sauber begründet, riskiert einen irreversiblen Verlust des Schutzes.

Bedeutung für Persönlichkeitsrechte

Das Siegelungsrecht schützt nicht nur Anwältinnen, Journalisten oder andere Berufsgeheimnisträger, sondern letztlich jede betroffene Person, deren intimste Lebensbereiche auf einem Gerät gespeichert sind. Wer ein Smartphone durchsucht, erhält oft einen umfassenden Einblick in das digitale Leben einer Person, weit über das hinaus, was für das Strafverfahren relevant ist.

Darum darf der Rechtsstaat den Schutzmechanismus der Siegelung nicht abbauen, bloss weil manche Gerichte bei digitalen Verfahren noch nicht vollständig auf der Höhe der technischen Entwicklung sind. Der richtige Weg ist nicht weniger Rechtsschutz, sondern präzisere Verfahren, schnellere gerichtliche Behandlung und strengere Begründungsanforderungen für Eingriffe.

Fazit

Die Siegelung ist im digitalen Strafverfahren kein Luxus, sondern eine rechtsstaatliche Notwendigkeit. Gerade bei Smartphones und anderen Datenträgern entscheidet sie darüber, ob die Privatsphäre effektiv geschützt bleibt oder ob sensible Daten vorschnell offengelegt werden.

Wer die Durchsuchung digitaler Geräte erleichtern will, darf den Rechtsschutz der Betroffenen nicht schleichend abbauen. Ein taugliches Siegelungsverfahren ist die Voraussetzung dafür, dass Strafverfolgung, Persönlichkeitsrechte und Privatsphäre in einem fairen Gleichgewicht bleiben.

Künstliche Intelligenz (KI) ist längst Teil unseres Alltags. In Schulen, Universitäten und Unternehmen ist KI nicht mehr wegzudenken. Angesichts der rasanten Entwicklung künstlicher Intelligenz und ihrer zunehmenden Präsenz im Alltag gewinnt die Auseinandersetzung mit ihren Chancen und Risiken immer mehr an Bedeutung.

Am 23. Februar 2026 haben der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sowie rund 60 weitere nationale Datenschutzbehörden weltweit eine gemeinsame Erklärung zu KI-generierten Bildern veröffentlicht. Diese Erklärung markiert einen wichtigen Schritt in der internationalen Diskussion um den Schutz der Privatsphäre und dem Datenschutz im digitalen Zeitalter.

Deepfakes und KI: Warum Datenschutzbehörden weltweit warnen

Die Datenschutzbehörden äussern erhebliche Bedenken gegenüber Systemen, die mit künstlicher Intelligenz realistische Bilder oder Videos von identifizierbaren Personen ohne deren Einwilligung erzeugen können. Solche Technologien bergen ein hohes Missbrauchsrisiko – etwa durch die Erstellung nicht einvernehmlicher, intimer Darstellungen (sogenannte Deepfakes). Besonders gefährdet sind Kinder und andere vulnerable Gruppen, die Ziel von Cyber-Mobbing, sexueller Ausbeutung oder Identitätsmissbrauch werden können.

Rechtslage in der Schweiz: Sind KI-generierte Bilder erlaubt?

In vielen Rechtsordnungen – einschliesslich in der Schweiz – kann die Erstellung oder Verbreitung von nicht einvernehmlich erstellten Bildern strafrechtliche Konsequenzen nach sich ziehen. Aus datenschutzrechtlicher Sicht wirft die Nutzung von KI-Systemen zur Erstellung realitätsnaher Bilder erhebliche Fragen hinsichtlich der Rechtsmässigkeit der Datenbearbeitung und des Schutzes der Privatsphäre auf. Personenbezogene Daten dürfen nur dann verwendet werden, wenn hierfür eine gesetzliche Grundlage besteht oder die betroffene Person ausdrücklich eingewilligt hat. Unternehmen, welche solche Systeme anbieten, müssen sicherstellen, dass geeignete technische und organisatorische Massnahmen getroffen werden, um Missbrauch und unbefugte Bearbeitungen zu verhindern.

Empfehlungen für den Umgang mit KI

Die gemeinsame Erklärung der Datenschutzbehörden formuliert mehrere zentrale Prinzipien, die alle Organisationen befolgen sollten:

Implementierung von robusten Schutzmassnahmen, um den Missbrauch personenbezogener Daten sowie die Erstellung nicht einvernehmlicher intimer Darstellungen und anderer schädlicher Inhalte – insbesondere mit Abbildung von Kindern – zu verhindern.
Gewährleistung einer sinnvollen Transparenz hinsichtlich der Fähigkeiten von KI-Systemen, der implementierten Schutzmechanismen, der zulässigen Nutzung sowei der möglichen Folgen eines Missbrauchs.
Bereitstellung wirksamer und leicht zugänglichen Verfahren, über die betroffene Personen die Entfernung schädlicher Inhalte mit Personenbezug beantragen können.
Besonderer Schutz von Kindern und anderen gefährdeten Gruppen.

Fazit: Technologischer Fortschritt braucht Verantwortung

Die Risiken von KI-generierten Bildern sind global und erfordern dringendes regulatorisches Handeln. Während KI enorme Chancen bietet, darf der technische Fortschritt nicht auf Kosten von Privatsphäre, Datenschutz und anderer fundamentalen Rechten fortschreiten.

Unsere Kanzlei berät Unternehmen zur rechtskonformen Nutzung von KI und zu Datenschutzfragen. Kontaktieren Sie uns gerne, zu Fragen rund um genAI, Datenschutz und Ihrem Digitalisierungvorhaben.

Mit Urteil vom 6. Oktober 2025 bestätigt das Bundesverwaltungsgericht die Verfügung des EDÖB zur Datenbank «Pfarrer-Check» und konkretisiert die Anwendung des revidierten Datenschutzgesetzes (DSG) auf öffentlich zugängliche Personendaten.

Der Entscheid schafft wichtige Klarheit für Betreiber von Online-Plattformen, Verzeichnissen und Kampagnen-Websites im Umgang mit Personendaten aus dem Internet.

Ein Überblick über das Urteil BVGer A-2941/2024

Das Bundesverwaltungsgericht hat mit Urteil vom 6. Oktober 2025 (A-2941/2024) die Verfügung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im sogenannten «Pfarrer-Check» bestätigt. Die öffentliche Erfassung von über 6’000 Kirchenpersonen in einer Online-Datenbank ohne Einwilligung verstösst nach Auffassung des Gerichts gegen das revidierte Bundesgesetz über den Datenschutz (DSG).

Sachverhalt zum «Pfarrer-Check»-Urteil

Der Verein «Bürgerforum Schweiz» betrieb auf seiner Website eine öffentlich einsehbare Datenbank mit Personendaten von über 6’000 Personen aus dem kirchlichen Umfeld. Erfasst wurden Name, Wohnort und Postleitzahl, Arbeitgeber bzw. Konfession, Tätigkeitsgebiet, Funktion sowie ein Status («erfasst», «angefragt», «beantwortet») im Zusammenhang mit einem Fragebogen zu religiösen Ansichten.

Zweck der Datenbank war es gemäss Betreiberin, eine Unterscheidung zwischen «echten» und «verwässerten» Kirchen zu ermöglichen. Der EDÖB ordnete mit Verfügung vom 9. April 2025 die Löschung der ohne Einwilligung der Betroffenen veröffentlichten Einträge an. Dagegen erhob der Verein Beschwerde, auf welche das Bundesverwaltungsgericht nicht eintrat.

Anwendbares Recht & Verfahren

Das Gericht bestätigt zunächst, dass das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) anwendbar ist. Entscheidend ist der Zeitpunkt der Eröffnung der formellen Untersuchung; blosse informelle Vorabklärungen und die Beantwortung von Anfragen begründen noch keine hängige Untersuchung im Sinne des Übergangsrechts.

Die Beschwerdeführerin rügte, die Vorinstanz habe das Akteneinsichtsrecht verletzt, in dem sie ihr die Anzeigen nur anonymisiert zugänglich gemacht hat. Das Gericht erachtete das Vorgehen des EDÖB jedoch als rechtmässig: Das öffentliche Interesse an einer funktionierenden Datenschutzaufsicht überwiegt das Interesse der Betreiberin an der Identität der Hinweisgebenden.

Materielle Kernpunkte (Datenschutzgrundsätze und Rechtfertigung)

Verhältnismässigkeit

Die Veröffentlichung des Status «erfasst» oder «angefragt» war nach Auffassung des Gerichts weder geeignet noch erforderlich, um den vom Verein erklärten Zweck (die Unterscheidung «echter» vs. «gefälschter» Kirchen) zu erreichen. Die Information, dass jemand einen Fragebogen erhalten, aber nicht beantwortet hat, öffnet Raum für Interpretationen, ohne einen sachlichen Mehrwert für den Zweck der Datenbearbeitung zu bieten.

Zweckbindung

Die erfassten Personen hatten ihre Kontaktdaten auf den Websites ihrer Institutionen veröffentlicht, um im Rahmen ihrer beruflichen Tätigkeit kontaktiert werden zu können. Die blosse Tatsache, dass die Daten allgemein zugänglich sind, bedeutet nicht, dass sie für jeden beliebigen Zweck, insbesondere für eine wertende Kampagnen-Datenbank, verwendet werden dürfen. Das Gericht qualifiziert die Nutzung für den «Pfarrer-Check» als Zweckänderung, die für die Betroffenen nicht erkennbar war.

Transparenz

Die betroffenen Personen müssen aktiv und klar über die tatsächliche Datenbearbeitung informiert werden. Dies ist nicht passiert. Insbesondere wurden die Betroffenen nicht ausreichend informiert, dass ihre Daten auch dann veröffentlicht würden, wenn sie den Fragebogen nicht ausfüllen. Ein blosser Verweis auf die Website des Betreibers genügt den Transparenzanforderungen des DSG nicht. Erforderlich ist eine aktive, verständliche Information über Art, Zweck und Umfang der Datenbearbeitung.

Rechtfertigungsgründe / öffentliches Interesse

Das Gericht verneint das Vorliegen eines Rechtfertigungsgrundes im Sinne von Art. 31 DSG. Weder lag eine wirksame Einwilligung vor, noch konnte sich der Verein auf eine gesetzliche Grundlage oder ein überwiegendes öffentliches Interesse berufen. Ein selbst definiertes «öffentliches Interesse» ohne Verankerung im Gesetz oder in der Verfassung reicht nicht aus, um schwerwiegende Persönlichkeitsverletzungen zu rechtfertigen.

Auch die Berufung auf Art. 31 Abs. 2 DSG (Personen des öffentlichen Lebens) bleibt erfolglos. In der Interessenabwägung misst das Gericht dem Status «angefragt» ein hohes Verletzungspotenzial bei, weil er negative Spekulationen über Haltung und Integrität der betroffenen Person zulässt, während der Status «erfasst» lediglich eine mittlere Intensität aufweist.

Demnach kommt das Gericht zum Schluss, dass die Beschwerdeführerin die Persönlichkeit der betroffenen Personen widerrechtlich verletzt.

Bedeutung des Urteils für die Praxis

Seit Inkrafttreten des neuen DSG hat der EDÖB bereits zahlreiche niederschwellige Interventionen vorgenommen und über 14 formelle Untersuchungen in Verfügungen münden lassen. Nur vier dieser Verfügungen wurden bisher vor Bundesverwaltungsgericht angefochten. Der Entscheid zeigt damit, dass die Gerichte die Linie des EDÖB grundsätzlich stützen und die datenschutzrechtlichen Grundprinzipien auch bei öffentlich zugänglichen Online-Daten konsequent durchsetzen.

Der Entscheid setzt ein klares Signal für Betreiber von Online-Datenbanken, Verzeichnissen, Kampagnen- und Bewertungsplattformen: Auch wenn Daten öffentlich zugänglich sind, bleiben Verhältnismässigkeit, Zweckbindung, Transparenz und eine tragfähige Rechtfertigungspflicht zentral.

Unsere Experten im Bereich Datenschutz- und ICT-Recht begleitet Organisationen bei der rechtssicheren Konzeption von Online-Plattformen, Websites und Projketen unter dem revidierten DSG.
Kontaktieren Sie uns unverbindlich zu Fragen in Datenschutz.

Patientendaten stehen im Spannungsfeld zwischen ärztlichem Behandlungsauftrag und Datenschutzrecht. Ärztinnen, Therapeuten und weitere Gesundheitsfachpersonen müssen sensible Gesundheitsdaten bearbeiten, um ihre Aufgaben zu erfüllen – zugleich sind sie verpflichtet, die Privatsphäre und den Persönlichkeitsschutz der Patientinnen und Patienten zu wahren.

Dieses Spannungsverhältnis zeigt sich besonders bei der Erhebung, Weitergabe und Speicherung von Daten im Praxisalltag – etwa in Patientenformularen zur Anmeldung, Einwilligung oder zur Dokumentation der Behandlung. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat hierzu ein neues Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen¹ veröffentlicht. Es konkretisiert, wie Informationspflichten, Einwilligungen und Datensicherheit im Behandlungsumfeld rechtskonform umgesetzt werden können.

Mit der Veröffentlichung will der EDÖB Leistungserbringer wie Ärztinnen und Ärzte, Therapeutinnen und Therapeut, Praxen und Gesundheitszentren für die Anforderungen des revidierten DSG sensibilisieren und bestehende Formularvorlagen in Einklang mit dem Datenschutz zu bringen.

Informationspflicht und Einwilligung – zwei getrennte Pflichten

Das Merkblatt stellt klar: Wer Gesundheitsdaten bearbeitet, hat eine umfassende Informationspflicht – unabhängig davon, ob eine Einwilligung eingeholt wird. Gesundheitsfachpersonen müssen Patientinnen und Patienten transparent über die Datenbearbeitung informieren: Zweck, Rechtsgrundlage, Empfänger und Aufbewahrungsdauer müssen verständlich offengelegt werden (Art. 19 DSG).

Die Einwilligung kommt ergänzend ins Spiel, wenn keine andere Rechtsgrundlage vorliegt oder besonders heikle Bearbeitungen erfolgen, etwa bei Datenweitergaben an Dritte oder für Forschungszwecke. Dabei gilt: Eine gültige Einwilligung muss freiwillig, informiert, spezifisch und jederzeit widerrufbar sein. Pauschale oder vorausgefüllte Zustimmungserklärungen – etwa eine vorgängige Bekanntgabe des Patientendossiers oder bestimmter Elemente davon an Dritte – sind unzulässig.

Das Merkblatt mahnt Leistungserbringer, ihre Formulare kritisch zu prüfen: Informations- und Einwilligungsteile müssen klar getrennt und verständlich formuliert sein. Wer dies beachtet, reduziert das Risiko von Datenschutzverstössen und schafft zugleich Vertrauen im Patientenkontakt.

Elektronischer Datenaustausch – Sicherheit geht vor Bequemlichkeit

Ein weiterer Schwerpunkt liegt auf dem sicheren Umgang mit Patientendaten in der digitalen Kommunikation. Das Merkblatt warnt ausdrücklich vor der ungesicherten Übermittlung sensibler Daten – insbesondere per E-Mail oder Online-Formular ohne Verschlüsselung.

Eine elektronische Datenübertragung darf nur erfolgen, wenn sie angemessen gesichert ist. Nur in Ausnahmefällen – und nach ausdrücklicher, informierter Einwilligung der betroffenen Person – kann eine weniger sichere Übermittlung gerechtfertigt sein. In solchen Fällen muss die Patientin oder der Patient die Risiken kennen und eine echte Wahl haben (z. B. zwischen sicherem Portal und herkömmlicher E-Mail).

Gerade in zunehmend digitalisierten Praxen ist die Umsetzung technischer und organisatorischer Sicherheitsmassnahmen entscheidend. Wer Patientendaten über unsichere Kanäle übermittelt, riskiert nicht nur datenschutzrechtliche Beanstandungen, sondern auch Haftungsfolgen.

Datensparsamkeit und Zweckbindung – weniger ist mehr

Der EDÖB erinnert daran, dass im Gesundheitsbereich nur jene Daten erhoben werden dürfen, die für die Behandlung oder Verwaltung zwingend notwendig sind. Das Prinzip der Verhältnismässigkeit verlangt, dass Patientendaten zweckgebunden, korrekt und so sparsam wie möglich erhoben werden.

Formulare, die übermässige Angaben abfragen – etwa Beruf, Nationalität oder Zivilstand ohne medizinischen Zusammenhang – sind unzulässig. Jede erhobene Information muss einem klaren Zweck dienen und medizinisch oder administrativ erforderlich sein.

Ärztinnen und Therapeuten dürfte dieser Hinweis auf den Grundsatz der Verhältnismässigkeit etwas aufstossen. In der Praxis ist dies schwierig umzusetzen ohne enormen Zusatzaufwand. Diese Anforderungen zielen jedoch nicht auf Bürokratie ab, sondern auf Vertrauen: Eine schlanke, zweckmässige Datenerfassung schützt sowohl die Patient:innen als auch die Praxen vor unnötigen Datenschutzrisiken.

Bedeutung & praktische Empfehlungen für Gesundheitsdienstleister

Das neue Merkblatt ist ein Weckruf für alle Gesundheitsakteure – von Einzelpraxen bis zu Therapiezentren. Wer Patientendaten verarbeitet, sollte jetzt prüfen:

- Sind meine Patientenformulare verständlich, aktuell und datenschutzkonform?

- Sind Informationspflicht und Einwilligung klar getrennt und dokumentiert?

- Ist die elektronische Kommunikation technisch ausreichend gesichert?

- Werden nur jene Daten erhoben, die tatsächlich notwendig sind?

Eine datenschutzkonforme Praxis stärkt nicht nur die rechtliche Sicherheit, sondern auch das Vertrauen der Patientinnen und Patienten – das Fundament jeder medizinischen Tätigkeit.

Häufige Fragen zum Datenschutz In Patientenformularen

Mitteilung vom 30. September 2025 - Der EDÖB veröffentlicht ein Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen https://www.edoeb.admin.ch/de/merkblatt-zu-patientenformularen ↩︎

1. Müssen Patientinnen und Patienten für jede Datenbearbeitung ihre Einwilligung geben?

Nein. Für die meisten Bearbeitungen im Rahmen der medizinischen Behandlung besteht eine gesetzliche Grundlage (Art. 31 Abs. 1 DSG, Gesundheitsgesetze der Kantone). Eine ausdrückliche Einwilligung ist nur nötig, wenn Daten ausserhalb des Behandlungsauftrags bearbeitet oder an Dritte weitergegeben werden – etwa für Forschungszwecke, Marketing oder Versicherungsabklärungen. Entscheidend ist, dass jede Patientin oder jeder Patient über die Datenbearbeitung informiert wird, auch wenn keine Einwilligung verlangt wird.

2. Dürfen Einwilligung und Information auf einem einzigen Formular kombiniert werden?

Ja, aber nur mit klarer Trennung der Funktionen. Der EDÖB betont, dass Informationspflicht und Einwilligung inhaltlich und visuell unterscheidbar sein müssen. Patientinnen und Patienten müssen verstehen, welche Bearbeitungen zwingend (gesetzlich) erfolgen und wofür sie freiwillig zustimmen. Empfehlenswert ist, separate Abschnitte oder Checkboxen zu verwenden, um die Freiwilligkeit der Einwilligung sicherzustellen.

3. Welche Sicherheitsanforderungen gelten bei digitaler Kommunikation mit Patientinnen und Patienten?

Gesundheitsdaten gehören zu den besonders schützenswerten Personendaten (Art. 5 lit. c DSG). Sie dürfen elektronisch nur übermittelt werden, wenn die Vertraulichkeit und Integrität der Daten gewährleistet ist – etwa durch verschlüsselte E-Mails, sichere Patientenportale oder spezialisierte Kommunikationslösungen. Eine unverschlüsselte Übermittlung ist nur zulässig, wenn die Patientin oder der Patient nach umfassender Information ausdrücklich zustimmt.

4. Darf eine Ärztin oder ein Therapeut mehr Daten erheben, als für die Behandlung nötig sind?

Nein. Das Datenschutzgesetz verpflichtet Leistungserbringer zur Datenminimierung: Es dürfen nur jene Angaben erhoben werden, die für Diagnose, Therapie oder administrative Zwecke erforderlich sind. Fragen zu Beruf, Religion oder Familienstand sind nur dann zulässig, wenn sie einen erkennbaren medizinischen Bezug haben.

5. Kann eine Patientin die Einwilligung zur Datenbearbeitung später widerrufen?

Ja. Eine Einwilligung muss jederzeit widerruflich sein. Der Widerruf gilt ab dem Zeitpunkt seiner Erklärung und entfaltet Wirkung für die Zukunft. Bereits rechtmässig bearbeitete Daten (z. B. für durchgeführte Behandlungen oder abgerechnete Leistungen) dürfen jedoch weiterhin aufbewahrt werden, soweit gesetzliche Pflichten bestehen – etwa zur Dokumentation oder Abrechnung.

Persönlichkeitsschutz umfasst im Schweizer Recht sowohl zivil- als auch strafrechtliche Mechanismen, um die Ehre, den Ruf und die Integrität einer Person vor unzulässigen Angriffen zu bewahren. Der Fall um die SVP Stadt Luzern und das damalige Parteimitglied Yves Holenweger¹ illustriert, wie Medienberichte rechtlich relevant sein können und welche Möglichkeiten Betroffene haben, sich zu schützen.

Zivilrechtlicher Persönlichkeitsschutz

Das Zivilrecht schützt die Persönlichkeit umfassend gemäss Art. 28ff. ZGB. Geschützt werden dabei physische und psychische Aspekte, aber auch Ehre, Privatsphäre und der wirtschaftlicher Ruf.

Eine Verletzung gilt als widerrechtlich, wenn sie nicht durch Einwilligung, höherwertige Interessen oder Gesetz gerechtfertigt ist.
Betroffene können verlangen, dass die Verletzung unterlassen, beseitigt oder gerichtlich festgestellt wird.
Oftmals stehen auch Ansprüche auf Schadenersatz, Genugtuung oder Gegendarstellung zur Verfügung, insbesondere bei Medienpublikationen.

Im Fall der medienwirksamen Kritik wie vorliegend kann der Betroffene z.B. eine Gegendarstellung verlangen oder rechtliche Schritte zur Unterbindung und Beseitigung einer ehrverletzenden Behauptung einleiten.

Strafrechtlicher Persönlichkeitsschutz

Das Strafrecht greift bei besonders gravierenden Persönlichkeitsverletzungen, wie etwa übler Nachrede, Verleumdung oder Beschimpfung.

Üble Nachrede (Art. 173 StGB): Wer jemanden gegenüber Dritten eines unehrenhaften oder verwerflichen Verhaltens bezichtigt, kann strafrechtlich verfolgt werden, falls die Äusserung nicht erwiesen oder gerechtfertigt ist. Eine Straftat liegt also vor, wenn jemand falsche Tatsachen über eine andere Person verbreitet, die deren Ruf schädigen. Die Staatsanwaltschaft kann in diesen Fällen einen Strafbefehl erlassen, wie es beim genannten Fall geschehen ist.
Verleumdung (Art. 174 StGB): Wer jemanden wider besseres Wissen bei einem andern eines unehrenhaften Verhaltens beschuldigt oder verdächtigt oder solche Beschuldigung verbreitet, kann strafrechtlich verfolgt werden, wenn diese Beschuldigung rufschädigend ist. Strafbar ist also die absichtliche Verbreitung falscher Tatsachen, die eine Person in ein schlechtes Licht rücken. Diese Straftat ist schwerwiegender und kann zu höheren Strafen führen.
Die Strafverfolgung schützt das Recht auf Ehre und den Ruf fokussiert und umfasst auch Schutz vor Rufschädigung in der Öffentlichkeit und medialer Berichterstattung.
Bei fahrlässigen oder absichtlichen Falschaussagen drohen Geldstrafen oder sogar Freiheitsstrafen.

Auch hier kann der oder die Betroffene parallel zivilrechtliche Schritte einleiten, um die Folgen einer strafbaren Verletzung zusätzlich zivilrechtlich abzufedern.

Effektiver Schutz der Persönlichkeit: Rechtliche Schritte und Handlungsempfehlungen bei Rufschädigung und Ehrverletzung und Medien

Exemplarisch am Beispiel von der ehrverletzenden Medienmitteilung, die unterzeichnet wurde von Dieter Haller, der damalige Präsident der Stadtluzerner SVP, und Timo Lichtsteiner, der damalige und heutige Vizepräsident, zeigt sich, wie der Persönlichkeitsschutz funktioniert.

Betroffene von ehrverletzenden Äusserungen oder Medienbeiträgen sollten zeitnah prüfen, ob ein rechtfertigender Grund vorliegt und – falls nicht – anwaltliche Unterstützung für zivilrechtliche und strafrechtliche Schritte erwägen.
Gerade bei politischer Kritik oder öffentlicher Berichterstattung ist die sorgfältige Interessenabwägung (Meinungsfreiheit vs. Persönlichkeitsschutz) elementar – Gerichte wägen oft zwischen öffentlichem Interesse und den Rechten des Einzelnen ab.

Die Affäre Holenweger zeigt, wie persönliche Angriffe schnell zu einer juristischen Auseinandersetzung über Ehre und Persönlichkeit werden können. Eine spezialisierte Anwaltskanzlei bietet kompetente Unterstützung im Umgang mit solchen komplexen Fallkonstellationen und sorgt für eine sachliche, effiziente Wahrung der Rechte und Interessen der Betroffenen.

Erfahren Sie hier mehr über Persönlichkeitsschutz im Zivil- und Strafrecht.

Bericht in der Luzerner Zeitung vom 23. September 2025: «SVP Stadt Luzern: Strafbefehl gegen Vizepräsidenten und ehemaligen Präsidenten», online abrufbar unter https://www.luzernerzeitung.ch/zentralschweiz/stadt-region-luzern/artikel-ld.4016595 zuletzt besucht am 23. September 2025. ↩︎

Die Schweiz festigt ihren Anspruch, zu den führenden Innovationsstandorten Europas zu zählen. Dabei spielt die ETH Zürich als Impulsgeberin eine zentrale Rolle. Drei jüngste Entwicklungen unterstreichen das technologische Potenzial und die digitale Souveränität des Landes (persönliche Auswahl):

die Entwicklung eines öffentlich zugänglichen large language models (LLM) für datenschutzkonforme KI-Anwendungen,
die Beteiligung der ETH am Swiss Chip Fablab zur Stärkung der nationalen Halbleiterkompetenz im Innovationspark Dübendorf,
sowie die Initiative um das ETH-Erdbeobachtungszentrum im Kanton Luzern, wodurch gezielt Impulse in der Zentralschweiz gesetzt werden.

Alle Projekte stehen sinnbildlich für eine Innovationsstrategie, die auf wissenschaftlicher Exzellenz ebenso gründet wie auf unternehmerischer Skalierbarkeit, nachhaltiger Infrastruktur und regulatorischer Weitsicht.

Digitale Souveränität: Das ETH-Sprachmodell für den öffentlichen Nutzen

Mit dem von der ETH Zürich lancierten LLM entsteht erstmals eine KI-Technologie, die auf Schweizer Rechtsgrundlagen, Mehrsprachigkeit und höchste Datenschutzstandards zugeschnitten ist. Dieses entstand aus einer Zusammenarbeit der EPFL und der ETH Zürich und wurde auf dem «Alps» Supercomputer des Swiss National Supercomputing Centre (CSCS) trainiert. Für Unternehmen, Verwaltungen und insbesondere KMU, welche Wert auf datensichere Prozesse legen, eröffnet dies neue Möglichkeiten im Bereich Automatisierung, Informationserschliessung und moderner Kundeninteraktion – ohne auf global agierende Cloud-Plattformen angewiesen zu sein. Diese Entwicklung verdeutlicht, wie sich technologischer Fortschritt und Standortpolitik verbinden lassen. Die Schweiz positioniert sich damit als Vorreiter für vertrauenswürdige und unabhängige Digitalisierung, sowohl im öffentlichen als auch im privaten Sektor.

Halbleiterkompetenz im Herzen Europas: Das Swiss Chip Fablab

Auch im Bereich Hard- und Halbleiterentwicklung markiert die ETH Zürich einen Meilenstein: Mit der geplanten Beteiligung am Swiss Chip Fablab im Innovationspark Dübendorf entsteht ein Netzwerk, das Forschung, Entwicklung und Produktion an einem geopolitisch sicheren, verlässlichen Standort vereint. Ziel ist es, die Resilienz der Lieferketten zu stärken und unabhängige Halbleiterexpertise zu etablieren – ein zentrales Anliegen in Zeiten globaler Unsicherheit. Es dient nicht als Alternative zu KI-Prozessorchips, die überwiegend in Taiwan hergestellt werden, sondern vielmehr hochspezialiserte Chips für Anwendungen wie Energie, Mobilität, Medizin oder Kokmmunikation zu entwickeln. Das Fablab bietet Start-ups, etablierten Unternehmen und internationalen Partnern Zugang zu modernster Infrastruktur, Begleitung bei regulatorischen Fragestellungen und die Chance auf strategische Vernetzung.

Neuer ETH-Hub für den Kanton Luzern: Stärkung der Region und Förderung von Innovationen

Durch die 100-Millionen-Franken-Spende der Jörg-G.-Bucherer-Stiftung an die ETH, soll ein Erdbeobachtungszentrum im Kanton Luzern realisiert werden. Diskutiert werden zum Beispiel Emmen/Viscosistadt, Horw um die Hochschule für Technik oder Hochdorf. Dies zeigt auf, wie Innovationskraft gezielt gestärkt und dezentral gefördert werden kann. Ein solcher ETH-Hub schafft neue Möglichkeiten für Unternehmen und Start-ups in der Zentralschweiz, in direktem Austausch mit Forschung und Lehre zu treten – und setzt dabei ein starkes Zeichen für die Attraktivität des Standorts Emmen als Technologie- und Innovationsstandort. Die regionale Verankerung technologischer Exzellenz trägt dazu bei, Innovationspotenziale breit zu erschließen und Synergien zwischen Wissenschaft und Wirtschaft zu nutzen.

Was bedeutet das für Unternehmen, Investoren und Unternehmerinnen?

Für technologieorientierte Unternehmen, Investorinnen und innovative Unternehmer entstehen neue Kooperationsmöglichkeiten, aber auch komplexe regulatorische Fragestellungen:

Wie lassen sich KI-Lösungen rechtssicher und datenschutzkonform integrieren?
Welche gesetzlichen Anforderungen sind bei Forschung, Entwicklung und Export sensibler Technologien zu beachten?
Wie können Innovation und Compliance im internationalen Wettbewerb optimal ausbalanciert werden?

Als auf Datenschutzrecht, digitale Geschäftsmodelle und wirtschaftsrechtliche Fragestellungen spezialisierte Boutique-Anwaltskanzlei aus Luzern begleiten wir Unternehmen, Behörden und Institutionen bei allen Herausforderungen der digitalen Transformation. Unser Team unterstützt Sie in allen Belangen des Datenschutzes, IT-Projekten, aber auch bei wirtschaftsrechtlichen Themen wie Corporate Governance, Restrukturierungen und M&A. Wir legen Wert auf rechtssichere Innovation, regulatorische Compliance und pragmatische Umsetzung. Von der Datenschutz-Folgeabschätzung über Lizenzverträge bis zur unternehmensübergreifenden Transformation profitieren Sie von unserer Expertise im digitalen und wirtschaftlichen Umfeld.

Kontaktieren Sie uns unverbindlich zu Fragen zu digitalen Geschäftsmodellen.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat seinen Tätigkeitsbericht 2024/2025 veröffentlicht. In seiner Medienmitteilung titelt er „Verstärktes Einschreiten gegen Rechtsverstösse im Datenschutz und neue Höchststände bei den Zugangsgesuchen nach dem Öffentlichkeitsgesetz“ und zieht ein viel beachtetes Resümee zu Digitalisierung und Grundrechten, sowohl in öffentlichen Bereich wie Justiz, Polizei, Sicherheit und Gesundheit, aber auch bei Wirtschaft und Gesellschaft. Im Privatbereich fallen besonders folgende Themen auf:

Cyberangriff auf OneLog: Risiken bei Login-Lösungen

Der EDÖB dokumentiert einen gezielten Cyberangriff auf die Login-Plattform OneLog. Der Vorfall zeigt deutlich, dass cloudbasierte Authentifizierungsdienste zu attraktiven Zielen für Hacker werden – mit potenziell weitreichenden Folgen für tausende Privatpersonen. Der Bericht mahnt zu strikten Sicherheits- und Incident-Response-Prozessen bei Identity‑Anbietern. Verantwortliche treffen nicht nur die Meldepflicht von Datensicherheitsverletzungen (Art. 24 Abs. 1 DSG), sie müssen den EDÖB kontinuierlich über die getroffenen Massnahmen und das weitere Vorgehen informieren.

Pflicht zur Vertretung (Art. 14 DSG): Klare Verantwortung im Privatbereich

Neu fordert das DSG eindeutig eine Vertretung nach Art. 14 DSG für Private mit Sitz oder Wohnsitz im Ausland, die Personendaten bearbeiten. Das heisst: Wer umfangreich und regelmässig Daten verarbeitet – z.B. im Rahmen privater Online-Plattformen oder Community-Diensten –, muss eine gewählte oder eingesetzte Person benennen, die für die Einhaltung des DSG verantwortlich ist. Dies stärkt die Nachvollziehbarkeit datenschutzrelevanter Prozesse. Dazu können Unternehmen und andere Private eine Vertretung benennen, als Anlaufstelle sowohl für die betroffenen Personen als auch für den EDÖB.

BPS Legal bietet Vertretungen nach Art. 14 DSG an, ggf. in Kombination mit der Rolle des Schweizer Datenschutzberaters nach Art. 10 DSG. Nehmen Sie gerne mit uns Kontakt auf.

Plattformübergreifendes Tracking: Auf dem Radar des Aufsehers

Besonders interessant für Online-Marketing: Der EDÖB legt einen Schwerpunkt bei plattformübergreifenden Trackings, z.B. mittels Cookies oder Fingerprinting. Der EDÖB stellt fest, dass solche Methoden im Privatbereich oft im rechtsfreien Raum erfolgen – und fordert klare Regeln für Transparenz, Einwilligung und Dokumentation. Ohne geeignete technische und organisatorische Massnahmen drohen Bussen und Reputationsverlust. Bei der Verwendung von Drittdiensten und Third-Party-Cookies durch Webseiten- und Appbetreiber sind Informationspflichten, Gestaltungsrechte der betroffenen Personen und Verantwortlichkeiten zu beachten.

Datenschutz zieht in die Unternehmenskultur ein

Der EDÖB zeigt im Tätigkeitsbericht 2024/2025, dass Datenschutz im Privatbereich zunehmend ernst genommen wird. Von Cloud-Sicherheit bis Tracking-Regulierung – die Zahlen sprechen eine klare Sprache. Für Plattformbetreiber, KMU und Privatpersonen gilt: Proaktive Rechtsberatung ist wichtiger denn je, um Rechtssicherheit und Vertrauen zu schaffen. Den vollständigen Bericht finden Sie beim EDÖB unter: https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2025/07/01/de77df3c-8cdb-4a72-9109-6783d8218fbc.pdf

Kontaktieren Sie uns unverbindlich zu Fragen Datenschutzrecht und Digitalisierung.

FAQ: Fragen und Antworten zum Datenschutz für KMU und Plattformbetreiber

Der Vorfall zeigt, dass zentrale Login-Dienste ein hohes Sicherheitsrisiko darstellen. Plattformbetreiber müssen sicherstellen, dass Authentifizierungsprozesse besonders geschützt sind – durch starke Passwörter, Zwei-Faktor-Authentifizierung und ein funktionierendes Sicherheits- und Notfallmanagement. Datensicherheitsverletzungen müssen zudem schnell gemeldet werden.

Unternehmen mit Sitz im Ausland, die systematisch Personendaten von Personen in der Schweiz bearbeiten, müssen zwingend eine Datenschutz-Vertretung in der Schweiz benennen. Auch kleinere Betreiber von Websites oder Plattformen können betroffen sein – etwa wenn sie regelmässig Daten von Schweizer Nutzern verarbeiten. Die Vertretung muss im Datenschutzhinweis transparent ausgewiesen werden.

Wer Nutzerverhalten über verschiedene Websites und Geräte hinweg verfolgt, benötigt eine explizite Einwilligung der betroffenen Personen. Die Verwendung von Cookies, Pixeln oder Fingerprinting-Tools ohne klare Zustimmung ist datenschutzwidrig. KMU müssen ihre Cookie-Banner und Tracking-Prozesse technisch und rechtlich prüfen und anpassen.

Wenn ein Unternehmen besonders risikobehaftete Datenbearbeitungen durchführt – etwa systematisches Tracking, Profiling oder die Verarbeitung von Gesundheitsdaten – ist häufig eine Datenschutz-Folgenabschätzung erforderlich. Der EDÖB weist im aktuellen Bericht eine Zunahme solcher Prüfungen bei Verantwortlichen aus. KMU sollten frühzeitig klären, ob eine DSFA notwendig ist, um späteren Rechtsfolgen vorzubeugen.

Das neue Datenschutzgesetz verlangt, dass Verletzungen der Datensicherheit unverzüglich dem EDÖB gemeldet werden – wenn ein hohes Risiko für die betroffenen Personen besteht. Eine spätere oder unvollständige Meldung kann als Pflichtverletzung gewertet werden. KMU sollten klare interne Meldeprozesse etablieren.

Ab dem 1. Juni 2025 gilt im Kanton Luzern das Öffentlichkeitsprinzip. Damit öffnet sich die kantonale Verwaltung für mehr Transparenz und demokratische Kontrolle: Bürgerinnen und Bürger, Medienschaffende sowie Unternehmen erhalten grundsätzlich Zugang zu amtlichen Informationen und Dokumenten der Verwaltung – ohne Nachweis eines besonderen Interesses. Luzern ist damit der letzte Schweizer Kanton, der diesen wichtigen Schritt vollzieht.

Was bedeutet das Öffentlichkeitsprinzip?

Das Öffentlichkeitsprinzip verpflichtet die Behörden, amtliche Dokumente und Informationen auf Anfrage zugänglich zu machen. Die Verwaltung kann den Zugang nur verweigern, wenn gewichtige Gründe dagegen sprechen – etwa der Schutz von Personendaten oder anderer gesetzlich geschützter Interessen. Die Begründungspflicht liegt bei der Behörde. Dieses neue Recht stärkt die Transparenz, die demokratische Kontrolle und die Meinungsbildung im Kanton Luzern.

Grenzen: Datenschutz und Persönlichkeitsschutz

Das Öffentlichkeitsprinzip findet dort seine Grenzen, wo der Schutz personenbezogener Daten betroffen ist. Personendaten unterliegen dem verfassungsrechtlichen Persönlichkeitsschutz und dem kantonalen Datenschutzgesetz (KDSG). Beinhaltet ein amtliches Dokument Personendaten Dritter, muss die Verwaltung sorgfältig abwägen: Überwiegt das öffentliche Interesse an Transparenz oder das private Interesse an Geheimhaltung? In der Regel sind Personendaten zu anonymisieren. Ist dies nicht möglich, braucht es eine Einwilligung oder eine Interessenabwägung.

Praktische Herausforderungen und Anonymisierung

Die Anonymisierung von Personendaten in amtlichen Dokumenten ist anspruchsvoll. Durch moderne Recherchetools und die Vielzahl öffentlich zugänglicher Daten besteht die Gefahr, dass scheinbar anonymisierte Informationen dennoch einer Person zugeordnet werden können. Auch die Verwendung identifizierender Merkmale wie AHV-Nummern erschwert die effektive Anonymisierung. Verwaltungsstellen müssen daher besonders sorgfältig vorgehen, um Datenschutz und Transparenz in Einklang zu bringen.

Dezentrale Umsetzung im Kanton Luzern

Die gesetzlichen Regelungen zum Öffentlichkeitsprinzip und zum Datenschutz sind im Kanton Luzern auf verschiedene Erlasse verteilt. Die Bearbeitung von Zugangsgesuchen erfolgt dezentral durch die jeweiligen Verwaltungsstellen. Ein interdepartementales Gremium soll eine einheitliche Praxis sicherstellen. Dennoch bleibt abzuwarten, ob Gleichbehandlung und Datenschutz in jedem Einzelfall gewährleistet werden können.

Unsere Kanzlei verfügt über ausgewiesene Expertise im Verwaltungsrecht, Datenschutz und im Umgang mit dem Öffentlichkeitsprinzip. Wir unterstützen Bürgerinnen und Bürger, Unternehmen, Medienschaffende und Behörden bei Gesuchen um Zugang zu amtlichen Dokumenten – von der Antragstellung über die Interessenabwägung bis zur Vertretung im Rechtsmittelverfahren.

Kontaktieren Sie uns unverbindlich zu Fragen zum Öffentlichkeitsprinzip

Am Montag, 12. Mai 2025, wurde Matthias R. Schönbächler, ehemaliger Datenschutzbeauftragter des Kantons Luzern, offiziell durch den Luzerner Kantonsrat verabschiedet. Schönbächler hatte das Amt von 2018 bis 2024 inne und und unterstützte im Jahr 2025 die Übergabe an seine Nachfolgerin Natascha Ofner-Venetz.

In seiner Würdigung betonte Kantonsratspräsident Ferdinand Zehnder die Pionierarbeit Schönbächlers beim Aufbau der kantonalen Datenschutzaufsicht. Diese Aufgabe sei mit juristischer Präzision und technischem Verständnis erfolgreich gemeistert worden.

«Als Jurist, mit beindruckend breitem Fachwissen, und, wie er es selbst nannte, technischer Mitsprachekompetenz, vereinte Matthias Schönbächler rechtliche Präzision mit technischem Verständnis.»
– Ferdinand Zehnder, Kantonsratspräsident

Die Videoaufzeichnung der Kantonsratssession vom 12. Mai 2025 ist auf der Webseite des Kantonsrats verfügbar: https://www.lu.ch/kr/Sessionen/videoaufnahmen?keyword=Session&sessionoverview=true

Nach diesen lobenden Worten dankte der Kantonsratspräsident Matthias R. Schönbächler im Namen des Kantonsrates für seinen langjährigen Einsatz zum Wohle des Standes Luzern.

Auch wir danken Matthias R. Schönbächler herzlich für seine Verdienste um den Datenschutz und die Verwaltungsentwicklung im Kanton Luzern. Unser besonderer Dank gilt ebenso dem Kantonsrat Luzern sowie Staatsschreiber Vinc Blaser für die würdige Verabschiedung.