Ein Datenleck beginnt nicht erst dann, wenn Daten missbraucht werden. Es beginnt dort, wo sie unbefugt zugänglich sind. Genau diese Erkenntnis macht den kürzlich bekannt gewordenen Fall der Parkplatzüberwachungsfirmen Funkwache AG und Unisecur GmbH zu einem Lehrstück für Unternehmen mit digitalen Geschäftsmodellen.

Gemäss Medienberichten waren über längere Zeit Datenbanken mit mehreren hunderttausend Einträgen über das Internet erreichbar. Betroffen gewesen sein sollen unter anderem Namen, Adressen, Fahrzeugdaten, Aufenthaltsorte sowie Informationen zu Strafverfahren und Strafbefehlen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat angekündigt, den Sachverhalt zu prüfen.

Unabhängig davon, wie die Untersuchung im Einzelfall ausgeht, zeigt der Fall exemplarisch, wo heute die grössten Risiken digitaler Geschäftsmodelle liegen: weniger in spektakulären Hackerangriffen als vielmehr in organisatorischen Schwächen, fehlender Governance und unzureichender Informationssicherheit.

Datenschutz beginnt bei der Unternehmensführung – nicht in der IT

Viele Unternehmen verstehen Datenschutz noch immer primär als juristische Pflicht oder als Aufgabe der IT-Abteilung. Das greift zu kurz.

Wer digitale Dienstleistungen anbietet oder Personendaten bearbeitet, trägt Verantwortung für den gesamten Lebenszyklus dieser Daten – von der Erhebung über die Speicherung bis zur Löschung. Datenschutz, Informationssicherheit und Governance bilden dabei keine voneinander getrennten Disziplinen, sondern greifen ineinander.

Gerade Unternehmen, deren Geschäftsmodell auf digitalen Prozessen oder Plattformen basiert, sollten den vorliegenden Fall deshalb weniger als Einzelfall denn als Anlass verstehen, die eigene Organisation kritisch zu hinterfragen.

Exkurs: Was ist eine Datensicherheitsverletzung?

Nach dem Schweizer Datenschutzgesetz liegt eine Datensicherheitsverletzung nicht erst dann vor, wenn Personendaten gestohlen oder veröffentlicht werden. Art. 8 DSG verlangt, dass um Verletzungen der Datensicherheit zu vermeiden angemessene Massnahmen getroffen werden.

Für eine Verletzung bereits ausreichend ist beispielsweise,

dass Personendaten unbefugten Dritten zugänglich werden könnten,
dass Administratorenbereiche ohne ausreichenden Schutz erreichbar sind,
dass Daten versehentlich offengelegt werden oder
dass Verfügbarkeit, Integrität oder Vertraulichkeit von Personendaten beeinträchtigt werden.

Ob tatsächlich ein Missbrauch stattgefunden hat, ist für die rechtliche Beurteilung zunächst nicht entscheidend.

Sieben Lehren aus dem Data Leak für Unternehmen

1. Informationssicherheit ist eine gesetzliche Pflicht

Der Fall zeigt eindrücklich, dass grundlegende Sicherheitsmassnahmen nicht bloss technische Empfehlungen darstellen.

Nach dem Datenschutzgesetz müssen Personendaten durch angemessene technische und organisatorische Massnahmen geschützt werden. Dazu gehören unter anderem Zugriffskontrollen, Authentifizierung, sichere Systemarchitekturen sowie ein zeitgemässes Schwachstellen- und Patchmanagement. Für Behörden, verpflichtete Organisationen und gewisse Firmen gelten sodann für die Informationssicherheit anwendbare Gesetze wie das ISG oder Standards wie ISO27001 oder BSI IT Grundschutz.

Der vielfach zitierte Grundsatz Security through Obscurity – also die Hoffnung, dass eine technische Schnittstelle schon niemand finden werde – genügt den heutigen Anforderungen nicht.

2. Sensible Daten verlangen besonders hohen Schutz

Besonders ins Gewicht fällt, dass nach den Medienberichten auch Angaben zu Strafverfahren und Strafbefehlen betroffen gewesen sein sollen.

Solche Informationen zählen nach dem Datenschutzgesetz zu den besonders schützenswerten Personendaten. Entsprechend steigen die Anforderungen an Zugriffsschutz, Verschlüsselung, Protokollierung und organisatorische Kontrollen erheblich.

Je sensibler die Daten, desto höher sind die Anforderungen an deren Schutz.

3. Veraltete Systeme werden zum Compliance-Risiko

Ein weiterer Aspekt betrifft die offenbar eingesetzte Softwareplattform, deren Weiterentwicklung und Support bereits vor Jahren eingestellt worden sein sollen.

Veraltete Software bedeutet nicht automatisch einen Datenschutzverstoss. Werden bekannte Sicherheitsrisiken jedoch nicht mehr behoben oder fehlen Sicherheitsupdates dauerhaft, kann dies rechtlich problematisch werden.

Lifecycle-Management und regelmässige Sicherheitsupdates gehören deshalb heute ebenso zur Compliance wie klassische Datenschutzrichtlinien.

4. Daten dürfen nicht unbegrenzt gesammelt werden

Der Umfang der gespeicherten Informationen wirft gleichzeitig Fragen zur Datenminimierung auf.

Nach den Berichten sollen Datensätze teilweise bis ins Jahr 2001 zurückgereicht haben. Ob eine derart lange Speicherung jeweils erforderlich und verhältnismässig war, wird im Einzelfall zu beurteilen sein.

Das Datenschutzgesetz verlangt jedoch einen einfachen Grundsatz: Es dürfen nur diejenigen Personendaten bearbeitet und nur solange aufbewahrt werden, wie dies für den konkreten Zweck notwendig ist.

5. Datenschutz endet nicht beim Outsourcing

Besonders interessant ist der Fall auch deshalb, weil offenbar dieselbe Softwareplattform beziehungsweise technische Infrastruktur von mehreren Unternehmen genutzt wurde.

Gerade bei Cloud-Lösungen, SaaS-Angeboten oder ausgelagerten IT-Dienstleistungen zeigt sich häufig ein Missverständnis: Wer die Informatik auslagert, lagert die datenschutzrechtliche Verantwortung nicht mit aus.

Unternehmen bleiben auch beim Einsatz externer Anbieter verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben. Dazu gehören insbesondere die sorgfältige Auswahl des Dienstleisters, klare vertragliche Regelungen, angemessene technische und organisatorische Massnahmen sowie eine laufende Kontrolle der ausgelagerten Leistungen.

Mehr dazu erfahren Sie auf unserer Themenseite zum ICT Outsourcing sowie in unserem Fachbeitrag zum Thema ICT Outsourcing.

6. Incident Response gehört zur Corporate Governance

Ebenso bemerkenswert ist die Aussage des EDÖB, wonach ihm zum Zeitpunkt der Medienberichterstattung offenbar keine Meldung der Datensicherheitsverletzung vorgelegen habe.

Besteht ein hohes Risiko für die Persönlichkeit oder Grundrechte betroffener Personen, verpflichtet das Datenschutzgesetz Unternehmen grundsätzlich dazu, den EDÖB so rasch als möglich über die Datensicherheitsverletzung zu informieren.

Ob diese Voraussetzungen im konkreten Fall erfüllt waren, wird Gegenstand der weiteren Abklärungen sein.

Unabhängig davon zeigt der Fall, wie wichtig funktionierende Incident-Response-Prozesse heute sind. Unternehmen sollten nicht erst im Krisenfall klären, wer entscheidet, ob eine Meldepflicht besteht und wie rasch entsprechende Abläufe ausgelöst werden müssen.

7. Datenschutz schützt auch Reputation und Vertrauen

Der vielleicht wichtigste Lehrsatz liegt jedoch ausserhalb des Gesetzestextes.

Selbst wenn sich ein technischer Vorfall rasch beheben lässt, bleibt der Vertrauensverlust häufig wesentlich länger bestehen. Kunden, Geschäftspartner und Investoren beurteilen heute nicht nur Produkte oder Dienstleistungen, sondern zunehmend auch den professionellen Umgang mit Daten.

Datenschutz und Informationssicherheit sind deshalb längst Bestandteil einer verantwortungsvollen Unternehmensführung und eines wirksamen Risikomanagements geworden.

Die wichtigsten Erkenntnisse für das Management

Der Fall Funkwache AG und Unisecur GmbH zeigt exemplarisch, dass Datenschutzverletzungen heute häufig nicht durch hochkomplexe Cyberangriffe entstehen, sondern durch vermeidbare organisatorische und technische Schwächen. Für Unternehmen mit digitalen Geschäftsmodellen ergeben sich daraus klare Handlungsfelder:

Informationssicherheit ist Führungsaufgabe und nicht ausschliesslich Sache der IT.
Besonders schützenswerte Personendaten erfordern erhöhte technische und organisatorische Schutzmassnahmen.
Eine Datensicherheitsverletzung liegt bereits dann vor, wenn eine unbefugte Kenntnisnahme möglich ist – nicht erst beim nachgewiesenen Datenmissbrauch.
Veraltete Software und fehlendes Lifecycle-Management können zu Compliance-Risiken werden.
Datenminimierung und begrenzte Aufbewahrungsfristen sind zentrale Grundsätze eines rechtskonformen Datenmanagements.
ICT-Outsourcing entbindet Unternehmen nicht von ihrer Verantwortung für Datenschutz und Informationssicherheit.
Klare Melde- und Incident-Response-Prozesse gehören heute zu einer funktionierenden Corporate Governance.

Unternehmen, die Datenschutz, Informationssicherheit und digitale Governance frühzeitig zusammendenken, erfüllen nicht nur gesetzliche Anforderungen. Sie schaffen Vertrauen bei Kunden, Mitarbeitenden und Geschäftspartnern – und stärken damit nachhaltig die Resilienz ihres digitalen Geschäftsmodells.

Kontaktieren Sie uns gerne unverbindlich bei Fragen rund um Ihr digitales Geschäftsmodell.

Mit dem neuen Gesetz über E-Government (EGovG) will der Kanton Luzern die Digitalisierung der Verwaltung strukturell vorantreiben. Der Kantonsrat hat sich in der Mai-Session 2026 klar hinter den Gegenvorschlag des Regierungsrats zur Volksinitiative «Digitalisierung jetzt!» gestellt und zugleich betont: Digitalisierung darf nicht zu einem «Digital Only» führen. Behörden sollen auch künftig analog erreichbar bleiben. Dieser politische Grundkonsens ist richtig und wichtig.

Der geplante gesetzliche Rahmen – insbesondere das neue Gesetz über E-Government (EGovG) – bildet dabei das Fundament für eine moderne, digital vernetzte Verwaltung. Die Diskussion zeigt aber zugleich, dass die eigentlichen juristischen und strategischen Herausforderungen erst beginnen. Denn die entscheidende Frage lautet nicht mehr, ob digitalisiert werden soll, sondern wie. Die Vorlage wirft mit Ansätzen wie «Digital First» und «Once Only» gewichtige datenschutz- und grundrechtliche Fragen auf, die im weiteren Gesetzgebungsprozess zwingend geschärft werden müssen.

Digitalisierung ist kein Selbstzweck

Die Luzerner Vorlage verfolgt nachvollziehbare Ziele: effizientere Verwaltungsabläufe, einheitliche Basisdienste, digitale Prozesse und weniger Mehrfacherfassungen von Daten. Gerade Letzteres – das sogenannte «Once-Only»-Prinzip – erscheint auf den ersten Blick bürgerfreundlich und wirtschaftlich sinnvoll.

Rechtlich ist dieses Prinzip jedoch hochsensibel. Wenn Bürgerinnen, Bürger und Unternehmen Daten nur einmal eingeben sollen, bedeutet dies zwangsläufig, dass verschiedene Verwaltungseinheiten auf bereits vorhandene Daten zugreifen können. Genau hier stellt sich die zentrale grundrechtliche Frage: Welche Behörde darf auf welche Daten zugreifen – zu welchem Zweck und gestützt auf welche gesetzliche Grundlage?

Die Vorlage bleibt in diesem Punkt bislang zu offen. Gerade im öffentlichen Recht gilt weiterhin der Grundsatz der Zweckbindung: Daten dürfen nur für jene Zwecke bearbeitet werden, für die sie erhoben wurden oder für die eine klare gesetzliche Grundlage besteht. Wer digitale Verwaltung ernst nimmt, muss deshalb auch ernsthaft definieren, welche Verwaltungseinheiten welche Daten tatsächlich benötigen. Transparenz gegenüber Betroffenen ist dabei zentral. Bürgerinnen und Bürger müssen nachvollziehen können, welche Stellen auf ihre Daten zugreifen und weshalb. Eine generelle Datenvernetzung ohne konkret ausgewiesenen Bedarf birgt das Risiko, dass Daten über ihren ursprünglichen Zweck hinaus verwendet werden. Das wäre mit dem verfassungsmässigen Schutz der informationellen Selbstbestimmung (Art. 13 Abs. 2 BV) nur schwer vereinbar. Datenschutzrechtlich genügt es nicht, dass Daten technisch verfügbar sind. Entscheidend ist, ob ihre Nutzung verhältnismässig, transparent und gesetzlich hinreichend bestimmt ist.

Digitale Souveränität: Die Schweiz darf Cloud-Fehler nicht wiederholen

Die Diskussion um das EGovG berührt zudem eine strategische Frage, die weit über Luzern hinausgeht: digitale Souveränität.

Die Schweiz hat die Tragweite von Abhängigkeiten im Cloud-Bereich lange unterschätzt. Viele staatliche und private Akteure stehen heute vor der Realität, dass zentrale digitale Infrastrukturen von wenigen internationalen Technologieanbietern abhängig geworden sind. Diese Entwicklung lässt sich kaum kurzfristig korrigieren.

Aus Sicht der Kantonsregierung gibt es dazu jedoch keinen Regulierungsbedarf. Entwicklungen um die künstliche Intelligenz zeigen jedoch, dass sich das Muster zu wiederholen droht. Gerade weil die technologische Entwicklung komplex und dynamisch ist, besteht die Gefahr, dass regulatorische und strategische Weichenstellungen erneut zu spät erfolgen. Umso wichtiger wäre es, bereits heute technologieneutrale und langfristig tragfähige Grundsätze zu definieren.

Dazu gehören etwa – je nachdem wie kritisch die eingesetzte Lösung für das Funktionieren der Verwaltung ist:

klare Anforderungen an Interoperabilität,
die Vermeidung unnötiger Vendor-Lock-ins,
transparente Governance-Strukturen,
sowie Überlegungen zu einem «Second Source»-Prinzip, um kritische Abhängigkeiten von einzelnen IT-Dienstleistern zu reduzieren.

Digitale Souveränität bedeutet nicht technologische Abschottung. Sie bedeutet vielmehr, die tatsächliche Kontrolle über Daten, Systeme und strategische Handlungsfähigkeit nicht aus der Hand zu geben. Echte digitale Souveränität erfordert mehr als organisatorische Koordination.

Digitale Verwaltung („digital first“) – ein Paradigmenwechsel

Das EGovG verfolgt einen klaren Ansatz: Behördenleistungen sollen künftig primär digital erbracht werden („digital first“), gestützt auf eine zentrale E-Government-Infrastruktur. Nutzerkonten, Authentifizierungssysteme und standardisierte Schnittstellen sollen einen durchgängigen Austausch zwischen Verwaltungseinheiten ermöglichen. Dass dabei nicht auf „digital only“ gesetzt werden soll, beweist die Regierung Augenmass.

Nichtsdestotrotz: Das verfassungsmässige Recht auf Schutz der Privatsphäre und der personenbezogenen Daten (Art. 13 Abs. 2 BV) verlangt, dass staatliche Datenbearbeitungen klar bestimmt, verhältnismässig und zweckgebunden erfolgen. Die Luzerner Vorlage bleibt in diesem Bereich teilweise zu offen. Insbesondere stellt sich die Frage, ob die geplante Datenvernetzung ausreichend präzise gesetzlich begrenzt ist, gepaart mit der pilotweisen Weiterentwicklung ohne gesetzliche Grundlage kratzt dies am Vertrauen der Bevölkerung. Ohne klare Zweckdefinition droht eine schleichende Ausweitung staatlicher Datenverwendung – mit entsprechendem Risiko für die informationelle Selbstbestimmung.

Hinzu kommt ein strukturelles Transparenzproblem: Je stärker Daten zwischen Behörden fliessen, desto schwieriger wird für Betroffene nachvollziehbar, wer wann welche Informationen bearbeitet. Damit gerät ein zentrales Element des Datenschutzrechts unter Druck: die Kontrollfähigkeit der betroffenen Person.

Kritik der Datenschutzaufsicht: zu Recht präzise

Die kantonale Datenschutzbeauftragte hat denn auch zentrale Schwachstellen benannt:
Unklare Zweckbindungen, ungenügende gesetzliche Bestimmtheit, fehlende Transparenz und nicht ausreichend konkretisierte Sicherheitsanforderungen.

Diese Kritik ist aus rechtsstaatlicher Sicht konsequent. Sie verweist auf grundlegende Prinzipien des Datenschutzrechts: Legalitätsprinzip, Zweckbindung, Verhältnismässigkeit und Datensicherheit. Gerade bei einem System, das auf umfassende Datenvernetzung abzielt, müssen diese Prinzipien nicht nur erwähnt, sondern präzise normiert und technisch umgesetzt werden.

Digitalisierung braucht demokratische Diskussion – nicht nur technische Umsetzung

Positiv ist, dass der politische Diskurs im Luzerner Kantonsrat die Risiken einer rein technokratischen Digitalisierung erkannt hat. Mehrfach wurde betont, dass Digitalisierung nicht zum Ausschluss analoger Zugänge führen darf. Dieser Gedanke ist zentral: Digitalisierung muss den Menschen dienen – nicht umgekehrt.

Das EGovG bietet deshalb eine wichtige Grundlage. Nicht, weil es bereits alle Antworten liefert, sondern weil es die notwendige Diskussion eröffnet: Wo schafft Digitalisierung echten Mehrwert? Wo entstehen neue Risiken? Und welche rechtsstaatlichen Leitplanken braucht eine moderne Verwaltung?

Gerade bei datengetriebenen Verwaltungsprozessen genügt Effizienz allein nicht. Entscheidend ist, dass Digitalisierung transparent, verhältnismässig und grundrechtskonform ausgestaltet wird. Nur so entsteht langfristig Vertrauen – sowohl bei Bürgerinnen und Bürgern als auch bei Unternehmen.

Wo der Gesetzgeber nachschärfen muss

Der Kantonsrat steht nun vor einer zentralen Weichenstellung. Soll die Digitalisierung der Verwaltung nachhaltig und rechtskonform gelingen, braucht es insbesondere:

Klare gesetzliche Grenzen der Datennutzung, statt offener Generalklauseln
Verbindliche Regeln für das Once-Only-Prinzip, gekoppelt mit Transparenzpflichten
Nachvollziehbare Datenflüsse und Kontrollrechte für Bürgerinnen und Bürger
Konkrete Vorgaben zur digitalen Souveränität, insbesondere bei Cloud- und IT-Outsourcing
Verpflichtende Datenschutz- und Sicherheitsstandards (Privacy by Design)

Fazit: Effizienz braucht Rechtsstaatlichkeit

Die Luzerner Vorlage ist ein wichtiger Schritt in Richtung einer modernen, digitalen Verwaltung. Sie ist politisch realistischer und ausgewogener als ein starres «Digital First» auf Verfassungsstufe. Sie zeigt aber auch exemplarisch, wie eng Digitalisierung, Datenschutz und Grundrechte miteinander verknüpft sind.

Effizienzgewinne dürfen nicht zulasten der informationellen Selbstbestimmung gehen. Eine nachhaltige digitale Transformation gelingt nur dann, wenn sie auf einem klaren rechtlichen Fundament steht – transparent, kontrollierbar und technisch souverän und darf nicht dazu führen, dass zentrale Fragen des Datenschutzes und der digitalen Souveränität offenbleiben.

Die kommenden Beratungen bieten die Chance, aus einem reinen Digitalisierungsprojekt ein rechtsstaatlich robustes Modell moderner Verwaltung zu machen. Dafür braucht es klare Grenzen der Datennutzung, transparente Datenflüsse und strategische Leitplanken gegen neue technologische Abhängigkeiten. Digitalisierung sollte nicht dort stattfinden, wo sie möglich ist – sondern dort, wo sie sinnvoll, verhältnismässig und gesellschaftlich legitimiert ist.

Künstliche Intelligenz (KI) ist längst Teil unseres Alltags. In Schulen, Universitäten und Unternehmen ist KI nicht mehr wegzudenken. Angesichts der rasanten Entwicklung künstlicher Intelligenz und ihrer zunehmenden Präsenz im Alltag gewinnt die Auseinandersetzung mit ihren Chancen und Risiken immer mehr an Bedeutung.

Am 23. Februar 2026 haben der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sowie rund 60 weitere nationale Datenschutzbehörden weltweit eine gemeinsame Erklärung zu KI-generierten Bildern veröffentlicht. Diese Erklärung markiert einen wichtigen Schritt in der internationalen Diskussion um den Schutz der Privatsphäre und dem Datenschutz im digitalen Zeitalter.

Deepfakes und KI: Warum Datenschutzbehörden weltweit warnen

Die Datenschutzbehörden äussern erhebliche Bedenken gegenüber Systemen, die mit künstlicher Intelligenz realistische Bilder oder Videos von identifizierbaren Personen ohne deren Einwilligung erzeugen können. Solche Technologien bergen ein hohes Missbrauchsrisiko – etwa durch die Erstellung nicht einvernehmlicher, intimer Darstellungen (sogenannte Deepfakes). Besonders gefährdet sind Kinder und andere vulnerable Gruppen, die Ziel von Cyber-Mobbing, sexueller Ausbeutung oder Identitätsmissbrauch werden können.

Rechtslage in der Schweiz: Sind KI-generierte Bilder erlaubt?

In vielen Rechtsordnungen – einschliesslich in der Schweiz – kann die Erstellung oder Verbreitung von nicht einvernehmlich erstellten Bildern strafrechtliche Konsequenzen nach sich ziehen. Aus datenschutzrechtlicher Sicht wirft die Nutzung von KI-Systemen zur Erstellung realitätsnaher Bilder erhebliche Fragen hinsichtlich der Rechtsmässigkeit der Datenbearbeitung und des Schutzes der Privatsphäre auf. Personenbezogene Daten dürfen nur dann verwendet werden, wenn hierfür eine gesetzliche Grundlage besteht oder die betroffene Person ausdrücklich eingewilligt hat. Unternehmen, welche solche Systeme anbieten, müssen sicherstellen, dass geeignete technische und organisatorische Massnahmen getroffen werden, um Missbrauch und unbefugte Bearbeitungen zu verhindern.

Empfehlungen für den Umgang mit KI

Die gemeinsame Erklärung der Datenschutzbehörden formuliert mehrere zentrale Prinzipien, die alle Organisationen befolgen sollten:

Implementierung von robusten Schutzmassnahmen, um den Missbrauch personenbezogener Daten sowie die Erstellung nicht einvernehmlicher intimer Darstellungen und anderer schädlicher Inhalte – insbesondere mit Abbildung von Kindern – zu verhindern.
Gewährleistung einer sinnvollen Transparenz hinsichtlich der Fähigkeiten von KI-Systemen, der implementierten Schutzmechanismen, der zulässigen Nutzung sowei der möglichen Folgen eines Missbrauchs.
Bereitstellung wirksamer und leicht zugänglichen Verfahren, über die betroffene Personen die Entfernung schädlicher Inhalte mit Personenbezug beantragen können.
Besonderer Schutz von Kindern und anderen gefährdeten Gruppen.

Fazit: Technologischer Fortschritt braucht Verantwortung

Die Risiken von KI-generierten Bildern sind global und erfordern dringendes regulatorisches Handeln. Während KI enorme Chancen bietet, darf der technische Fortschritt nicht auf Kosten von Privatsphäre, Datenschutz und anderer fundamentalen Rechten fortschreiten.

Unsere Kanzlei berät Unternehmen zur rechtskonformen Nutzung von KI und zu Datenschutzfragen. Kontaktieren Sie uns gerne, zu Fragen rund um genAI, Datenschutz und Ihrem Digitalisierungvorhaben.

Mit Urteil vom 6. Oktober 2025 bestätigt das Bundesverwaltungsgericht die Verfügung des EDÖB zur Datenbank «Pfarrer-Check» und konkretisiert die Anwendung des revidierten Datenschutzgesetzes (DSG) auf öffentlich zugängliche Personendaten.

Der Entscheid schafft wichtige Klarheit für Betreiber von Online-Plattformen, Verzeichnissen und Kampagnen-Websites im Umgang mit Personendaten aus dem Internet.

Ein Überblick über das Urteil BVGer A-2941/2024

Das Bundesverwaltungsgericht hat mit Urteil vom 6. Oktober 2025 (A-2941/2024) die Verfügung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im sogenannten «Pfarrer-Check» bestätigt. Die öffentliche Erfassung von über 6’000 Kirchenpersonen in einer Online-Datenbank ohne Einwilligung verstösst nach Auffassung des Gerichts gegen das revidierte Bundesgesetz über den Datenschutz (DSG).

Sachverhalt zum «Pfarrer-Check»-Urteil

Der Verein «Bürgerforum Schweiz» betrieb auf seiner Website eine öffentlich einsehbare Datenbank mit Personendaten von über 6’000 Personen aus dem kirchlichen Umfeld. Erfasst wurden Name, Wohnort und Postleitzahl, Arbeitgeber bzw. Konfession, Tätigkeitsgebiet, Funktion sowie ein Status («erfasst», «angefragt», «beantwortet») im Zusammenhang mit einem Fragebogen zu religiösen Ansichten.

Zweck der Datenbank war es gemäss Betreiberin, eine Unterscheidung zwischen «echten» und «verwässerten» Kirchen zu ermöglichen. Der EDÖB ordnete mit Verfügung vom 9. April 2025 die Löschung der ohne Einwilligung der Betroffenen veröffentlichten Einträge an. Dagegen erhob der Verein Beschwerde, auf welche das Bundesverwaltungsgericht nicht eintrat.

Anwendbares Recht & Verfahren

Das Gericht bestätigt zunächst, dass das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) anwendbar ist. Entscheidend ist der Zeitpunkt der Eröffnung der formellen Untersuchung; blosse informelle Vorabklärungen und die Beantwortung von Anfragen begründen noch keine hängige Untersuchung im Sinne des Übergangsrechts.

Die Beschwerdeführerin rügte, die Vorinstanz habe das Akteneinsichtsrecht verletzt, in dem sie ihr die Anzeigen nur anonymisiert zugänglich gemacht hat. Das Gericht erachtete das Vorgehen des EDÖB jedoch als rechtmässig: Das öffentliche Interesse an einer funktionierenden Datenschutzaufsicht überwiegt das Interesse der Betreiberin an der Identität der Hinweisgebenden.

Materielle Kernpunkte (Datenschutzgrundsätze und Rechtfertigung)

Verhältnismässigkeit

Die Veröffentlichung des Status «erfasst» oder «angefragt» war nach Auffassung des Gerichts weder geeignet noch erforderlich, um den vom Verein erklärten Zweck (die Unterscheidung «echter» vs. «gefälschter» Kirchen) zu erreichen. Die Information, dass jemand einen Fragebogen erhalten, aber nicht beantwortet hat, öffnet Raum für Interpretationen, ohne einen sachlichen Mehrwert für den Zweck der Datenbearbeitung zu bieten.

Zweckbindung

Die erfassten Personen hatten ihre Kontaktdaten auf den Websites ihrer Institutionen veröffentlicht, um im Rahmen ihrer beruflichen Tätigkeit kontaktiert werden zu können. Die blosse Tatsache, dass die Daten allgemein zugänglich sind, bedeutet nicht, dass sie für jeden beliebigen Zweck, insbesondere für eine wertende Kampagnen-Datenbank, verwendet werden dürfen. Das Gericht qualifiziert die Nutzung für den «Pfarrer-Check» als Zweckänderung, die für die Betroffenen nicht erkennbar war.

Transparenz

Die betroffenen Personen müssen aktiv und klar über die tatsächliche Datenbearbeitung informiert werden. Dies ist nicht passiert. Insbesondere wurden die Betroffenen nicht ausreichend informiert, dass ihre Daten auch dann veröffentlicht würden, wenn sie den Fragebogen nicht ausfüllen. Ein blosser Verweis auf die Website des Betreibers genügt den Transparenzanforderungen des DSG nicht. Erforderlich ist eine aktive, verständliche Information über Art, Zweck und Umfang der Datenbearbeitung.

Rechtfertigungsgründe / öffentliches Interesse

Das Gericht verneint das Vorliegen eines Rechtfertigungsgrundes im Sinne von Art. 31 DSG. Weder lag eine wirksame Einwilligung vor, noch konnte sich der Verein auf eine gesetzliche Grundlage oder ein überwiegendes öffentliches Interesse berufen. Ein selbst definiertes «öffentliches Interesse» ohne Verankerung im Gesetz oder in der Verfassung reicht nicht aus, um schwerwiegende Persönlichkeitsverletzungen zu rechtfertigen.

Auch die Berufung auf Art. 31 Abs. 2 DSG (Personen des öffentlichen Lebens) bleibt erfolglos. In der Interessenabwägung misst das Gericht dem Status «angefragt» ein hohes Verletzungspotenzial bei, weil er negative Spekulationen über Haltung und Integrität der betroffenen Person zulässt, während der Status «erfasst» lediglich eine mittlere Intensität aufweist.

Demnach kommt das Gericht zum Schluss, dass die Beschwerdeführerin die Persönlichkeit der betroffenen Personen widerrechtlich verletzt.

Bedeutung des Urteils für die Praxis

Seit Inkrafttreten des neuen DSG hat der EDÖB bereits zahlreiche niederschwellige Interventionen vorgenommen und über 14 formelle Untersuchungen in Verfügungen münden lassen. Nur vier dieser Verfügungen wurden bisher vor Bundesverwaltungsgericht angefochten. Der Entscheid zeigt damit, dass die Gerichte die Linie des EDÖB grundsätzlich stützen und die datenschutzrechtlichen Grundprinzipien auch bei öffentlich zugänglichen Online-Daten konsequent durchsetzen.

Der Entscheid setzt ein klares Signal für Betreiber von Online-Datenbanken, Verzeichnissen, Kampagnen- und Bewertungsplattformen: Auch wenn Daten öffentlich zugänglich sind, bleiben Verhältnismässigkeit, Zweckbindung, Transparenz und eine tragfähige Rechtfertigungspflicht zentral.

Unsere Experten im Bereich Datenschutz- und ICT-Recht begleitet Organisationen bei der rechtssicheren Konzeption von Online-Plattformen, Websites und Projketen unter dem revidierten DSG.
Kontaktieren Sie uns unverbindlich zu Fragen in Datenschutz.

Patientendaten stehen im Spannungsfeld zwischen ärztlichem Behandlungsauftrag und Datenschutzrecht. Ärztinnen, Therapeuten und weitere Gesundheitsfachpersonen müssen sensible Gesundheitsdaten bearbeiten, um ihre Aufgaben zu erfüllen – zugleich sind sie verpflichtet, die Privatsphäre und den Persönlichkeitsschutz der Patientinnen und Patienten zu wahren.

Dieses Spannungsverhältnis zeigt sich besonders bei der Erhebung, Weitergabe und Speicherung von Daten im Praxisalltag – etwa in Patientenformularen zur Anmeldung, Einwilligung oder zur Dokumentation der Behandlung. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat hierzu ein neues Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen¹ veröffentlicht. Es konkretisiert, wie Informationspflichten, Einwilligungen und Datensicherheit im Behandlungsumfeld rechtskonform umgesetzt werden können.

Mit der Veröffentlichung will der EDÖB Leistungserbringer wie Ärztinnen und Ärzte, Therapeutinnen und Therapeut, Praxen und Gesundheitszentren für die Anforderungen des revidierten DSG sensibilisieren und bestehende Formularvorlagen in Einklang mit dem Datenschutz zu bringen.

Informationspflicht und Einwilligung – zwei getrennte Pflichten

Das Merkblatt stellt klar: Wer Gesundheitsdaten bearbeitet, hat eine umfassende Informationspflicht – unabhängig davon, ob eine Einwilligung eingeholt wird. Gesundheitsfachpersonen müssen Patientinnen und Patienten transparent über die Datenbearbeitung informieren: Zweck, Rechtsgrundlage, Empfänger und Aufbewahrungsdauer müssen verständlich offengelegt werden (Art. 19 DSG).

Die Einwilligung kommt ergänzend ins Spiel, wenn keine andere Rechtsgrundlage vorliegt oder besonders heikle Bearbeitungen erfolgen, etwa bei Datenweitergaben an Dritte oder für Forschungszwecke. Dabei gilt: Eine gültige Einwilligung muss freiwillig, informiert, spezifisch und jederzeit widerrufbar sein. Pauschale oder vorausgefüllte Zustimmungserklärungen – etwa eine vorgängige Bekanntgabe des Patientendossiers oder bestimmter Elemente davon an Dritte – sind unzulässig.

Das Merkblatt mahnt Leistungserbringer, ihre Formulare kritisch zu prüfen: Informations- und Einwilligungsteile müssen klar getrennt und verständlich formuliert sein. Wer dies beachtet, reduziert das Risiko von Datenschutzverstössen und schafft zugleich Vertrauen im Patientenkontakt.

Elektronischer Datenaustausch – Sicherheit geht vor Bequemlichkeit

Ein weiterer Schwerpunkt liegt auf dem sicheren Umgang mit Patientendaten in der digitalen Kommunikation. Das Merkblatt warnt ausdrücklich vor der ungesicherten Übermittlung sensibler Daten – insbesondere per E-Mail oder Online-Formular ohne Verschlüsselung.

Eine elektronische Datenübertragung darf nur erfolgen, wenn sie angemessen gesichert ist. Nur in Ausnahmefällen – und nach ausdrücklicher, informierter Einwilligung der betroffenen Person – kann eine weniger sichere Übermittlung gerechtfertigt sein. In solchen Fällen muss die Patientin oder der Patient die Risiken kennen und eine echte Wahl haben (z. B. zwischen sicherem Portal und herkömmlicher E-Mail).

Gerade in zunehmend digitalisierten Praxen ist die Umsetzung technischer und organisatorischer Sicherheitsmassnahmen entscheidend. Wer Patientendaten über unsichere Kanäle übermittelt, riskiert nicht nur datenschutzrechtliche Beanstandungen, sondern auch Haftungsfolgen.

Datensparsamkeit und Zweckbindung – weniger ist mehr

Der EDÖB erinnert daran, dass im Gesundheitsbereich nur jene Daten erhoben werden dürfen, die für die Behandlung oder Verwaltung zwingend notwendig sind. Das Prinzip der Verhältnismässigkeit verlangt, dass Patientendaten zweckgebunden, korrekt und so sparsam wie möglich erhoben werden.

Formulare, die übermässige Angaben abfragen – etwa Beruf, Nationalität oder Zivilstand ohne medizinischen Zusammenhang – sind unzulässig. Jede erhobene Information muss einem klaren Zweck dienen und medizinisch oder administrativ erforderlich sein.

Ärztinnen und Therapeuten dürfte dieser Hinweis auf den Grundsatz der Verhältnismässigkeit etwas aufstossen. In der Praxis ist dies schwierig umzusetzen ohne enormen Zusatzaufwand. Diese Anforderungen zielen jedoch nicht auf Bürokratie ab, sondern auf Vertrauen: Eine schlanke, zweckmässige Datenerfassung schützt sowohl die Patient:innen als auch die Praxen vor unnötigen Datenschutzrisiken.

Bedeutung & praktische Empfehlungen für Gesundheitsdienstleister

Das neue Merkblatt ist ein Weckruf für alle Gesundheitsakteure – von Einzelpraxen bis zu Therapiezentren. Wer Patientendaten verarbeitet, sollte jetzt prüfen:

- Sind meine Patientenformulare verständlich, aktuell und datenschutzkonform?

- Sind Informationspflicht und Einwilligung klar getrennt und dokumentiert?

- Ist die elektronische Kommunikation technisch ausreichend gesichert?

- Werden nur jene Daten erhoben, die tatsächlich notwendig sind?

Eine datenschutzkonforme Praxis stärkt nicht nur die rechtliche Sicherheit, sondern auch das Vertrauen der Patientinnen und Patienten – das Fundament jeder medizinischen Tätigkeit.

Häufige Fragen zum Datenschutz In Patientenformularen

Mitteilung vom 30. September 2025 - Der EDÖB veröffentlicht ein Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen https://www.edoeb.admin.ch/de/merkblatt-zu-patientenformularen ↩︎

1. Müssen Patientinnen und Patienten für jede Datenbearbeitung ihre Einwilligung geben?

Nein. Für die meisten Bearbeitungen im Rahmen der medizinischen Behandlung besteht eine gesetzliche Grundlage (Art. 31 Abs. 1 DSG, Gesundheitsgesetze der Kantone). Eine ausdrückliche Einwilligung ist nur nötig, wenn Daten ausserhalb des Behandlungsauftrags bearbeitet oder an Dritte weitergegeben werden – etwa für Forschungszwecke, Marketing oder Versicherungsabklärungen. Entscheidend ist, dass jede Patientin oder jeder Patient über die Datenbearbeitung informiert wird, auch wenn keine Einwilligung verlangt wird.

2. Dürfen Einwilligung und Information auf einem einzigen Formular kombiniert werden?

Ja, aber nur mit klarer Trennung der Funktionen. Der EDÖB betont, dass Informationspflicht und Einwilligung inhaltlich und visuell unterscheidbar sein müssen. Patientinnen und Patienten müssen verstehen, welche Bearbeitungen zwingend (gesetzlich) erfolgen und wofür sie freiwillig zustimmen. Empfehlenswert ist, separate Abschnitte oder Checkboxen zu verwenden, um die Freiwilligkeit der Einwilligung sicherzustellen.

3. Welche Sicherheitsanforderungen gelten bei digitaler Kommunikation mit Patientinnen und Patienten?

Gesundheitsdaten gehören zu den besonders schützenswerten Personendaten (Art. 5 lit. c DSG). Sie dürfen elektronisch nur übermittelt werden, wenn die Vertraulichkeit und Integrität der Daten gewährleistet ist – etwa durch verschlüsselte E-Mails, sichere Patientenportale oder spezialisierte Kommunikationslösungen. Eine unverschlüsselte Übermittlung ist nur zulässig, wenn die Patientin oder der Patient nach umfassender Information ausdrücklich zustimmt.

4. Darf eine Ärztin oder ein Therapeut mehr Daten erheben, als für die Behandlung nötig sind?

Nein. Das Datenschutzgesetz verpflichtet Leistungserbringer zur Datenminimierung: Es dürfen nur jene Angaben erhoben werden, die für Diagnose, Therapie oder administrative Zwecke erforderlich sind. Fragen zu Beruf, Religion oder Familienstand sind nur dann zulässig, wenn sie einen erkennbaren medizinischen Bezug haben.

5. Kann eine Patientin die Einwilligung zur Datenbearbeitung später widerrufen?

Ja. Eine Einwilligung muss jederzeit widerruflich sein. Der Widerruf gilt ab dem Zeitpunkt seiner Erklärung und entfaltet Wirkung für die Zukunft. Bereits rechtmässig bearbeitete Daten (z. B. für durchgeführte Behandlungen oder abgerechnete Leistungen) dürfen jedoch weiterhin aufbewahrt werden, soweit gesetzliche Pflichten bestehen – etwa zur Dokumentation oder Abrechnung.