Ein Datenleck beginnt nicht erst dann, wenn Daten missbraucht werden. Es beginnt dort, wo sie unbefugt zugänglich sind. Genau diese Erkenntnis macht den kürzlich bekannt gewordenen Fall der Parkplatzüberwachungsfirmen Funkwache AG und Unisecur GmbH zu einem Lehrstück für Unternehmen mit digitalen Geschäftsmodellen.

Gemäss Medienberichten waren über längere Zeit Datenbanken mit mehreren hunderttausend Einträgen über das Internet erreichbar. Betroffen gewesen sein sollen unter anderem Namen, Adressen, Fahrzeugdaten, Aufenthaltsorte sowie Informationen zu Strafverfahren und Strafbefehlen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat angekündigt, den Sachverhalt zu prüfen.

Unabhängig davon, wie die Untersuchung im Einzelfall ausgeht, zeigt der Fall exemplarisch, wo heute die grössten Risiken digitaler Geschäftsmodelle liegen: weniger in spektakulären Hackerangriffen als vielmehr in organisatorischen Schwächen, fehlender Governance und unzureichender Informationssicherheit.

Datenschutz beginnt bei der Unternehmensführung – nicht in der IT

Viele Unternehmen verstehen Datenschutz noch immer primär als juristische Pflicht oder als Aufgabe der IT-Abteilung. Das greift zu kurz.

Wer digitale Dienstleistungen anbietet oder Personendaten bearbeitet, trägt Verantwortung für den gesamten Lebenszyklus dieser Daten – von der Erhebung über die Speicherung bis zur Löschung. Datenschutz, Informationssicherheit und Governance bilden dabei keine voneinander getrennten Disziplinen, sondern greifen ineinander.

Gerade Unternehmen, deren Geschäftsmodell auf digitalen Prozessen oder Plattformen basiert, sollten den vorliegenden Fall deshalb weniger als Einzelfall denn als Anlass verstehen, die eigene Organisation kritisch zu hinterfragen.

Sieben Lehren aus dem Data Leak für Unternehmen

1. Informationssicherheit ist eine gesetzliche Pflicht

Der Fall zeigt eindrücklich, dass grundlegende Sicherheitsmassnahmen nicht bloss technische Empfehlungen darstellen.

Nach dem Datenschutzgesetz müssen Personendaten durch angemessene technische und organisatorische Massnahmen geschützt werden. Dazu gehören unter anderem Zugriffskontrollen, Authentifizierung, sichere Systemarchitekturen sowie ein zeitgemässes Schwachstellen- und Patchmanagement. Für Behörden, verpflichtete Organisationen und gewisse Firmen gelten sodann für die Informationssicherheit anwendbare Gesetze wie das ISG oder Standards wie ISO27001 oder BSI IT Grundschutz.

Der vielfach zitierte Grundsatz Security through Obscurity – also die Hoffnung, dass eine technische Schnittstelle schon niemand finden werde – genügt den heutigen Anforderungen nicht.

2. Sensible Daten verlangen besonders hohen Schutz

Besonders ins Gewicht fällt, dass nach den Medienberichten auch Angaben zu Strafverfahren und Strafbefehlen betroffen gewesen sein sollen.

Solche Informationen zählen nach dem Datenschutzgesetz zu den besonders schützenswerten Personendaten. Entsprechend steigen die Anforderungen an Zugriffsschutz, Verschlüsselung, Protokollierung und organisatorische Kontrollen erheblich.

Je sensibler die Daten, desto höher sind die Anforderungen an deren Schutz.

3. Veraltete Systeme werden zum Compliance-Risiko

Ein weiterer Aspekt betrifft die offenbar eingesetzte Softwareplattform, deren Weiterentwicklung und Support bereits vor Jahren eingestellt worden sein sollen.

Veraltete Software bedeutet nicht automatisch einen Datenschutzverstoss. Werden bekannte Sicherheitsrisiken jedoch nicht mehr behoben oder fehlen Sicherheitsupdates dauerhaft, kann dies rechtlich problematisch werden.

Lifecycle-Management und regelmässige Sicherheitsupdates gehören deshalb heute ebenso zur Compliance wie klassische Datenschutzrichtlinien.

4. Daten dürfen nicht unbegrenzt gesammelt werden

Der Umfang der gespeicherten Informationen wirft gleichzeitig Fragen zur Datenminimierung auf.

Nach den Berichten sollen Datensätze teilweise bis ins Jahr 2001 zurückgereicht haben. Ob eine derart lange Speicherung jeweils erforderlich und verhältnismässig war, wird im Einzelfall zu beurteilen sein.

Das Datenschutzgesetz verlangt jedoch einen einfachen Grundsatz: Es dürfen nur diejenigen Personendaten bearbeitet und nur solange aufbewahrt werden, wie dies für den konkreten Zweck notwendig ist.

5. Datenschutz endet nicht beim Outsourcing

Besonders interessant ist der Fall auch deshalb, weil offenbar dieselbe Softwareplattform beziehungsweise technische Infrastruktur von mehreren Unternehmen genutzt wurde.

Gerade bei Cloud-Lösungen, SaaS-Angeboten oder ausgelagerten IT-Dienstleistungen zeigt sich häufig ein Missverständnis: Wer die Informatik auslagert, lagert die datenschutzrechtliche Verantwortung nicht mit aus.

Unternehmen bleiben auch beim Einsatz externer Anbieter verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben. Dazu gehören insbesondere die sorgfältige Auswahl des Dienstleisters, klare vertragliche Regelungen, angemessene technische und organisatorische Massnahmen sowie eine laufende Kontrolle der ausgelagerten Leistungen.

Mehr dazu erfahren Sie auf unserer Themenseite zum ICT Outsourcing sowie in unserem Fachbeitrag zum Thema ICT Outsourcing.

6. Incident Response gehört zur Corporate Governance

Ebenso bemerkenswert ist die Aussage des EDÖB, wonach ihm zum Zeitpunkt der Medienberichterstattung offenbar keine Meldung der Datensicherheitsverletzung vorgelegen habe.

Besteht ein hohes Risiko für die Persönlichkeit oder Grundrechte betroffener Personen, verpflichtet das Datenschutzgesetz Unternehmen grundsätzlich dazu, den EDÖB so rasch als möglich über die Datensicherheitsverletzung zu informieren.

Ob diese Voraussetzungen im konkreten Fall erfüllt waren, wird Gegenstand der weiteren Abklärungen sein.

Unabhängig davon zeigt der Fall, wie wichtig funktionierende Incident-Response-Prozesse heute sind. Unternehmen sollten nicht erst im Krisenfall klären, wer entscheidet, ob eine Meldepflicht besteht und wie rasch entsprechende Abläufe ausgelöst werden müssen.

7. Datenschutz schützt auch Reputation und Vertrauen

Der vielleicht wichtigste Lehrsatz liegt jedoch ausserhalb des Gesetzestextes.

Selbst wenn sich ein technischer Vorfall rasch beheben lässt, bleibt der Vertrauensverlust häufig wesentlich länger bestehen. Kunden, Geschäftspartner und Investoren beurteilen heute nicht nur Produkte oder Dienstleistungen, sondern zunehmend auch den professionellen Umgang mit Daten.

Datenschutz und Informationssicherheit sind deshalb längst Bestandteil einer verantwortungsvollen Unternehmensführung und eines wirksamen Risikomanagements geworden.

Die wichtigsten Erkenntnisse für das Management

Der Fall Funkwache AG und Unisecur GmbH zeigt exemplarisch, dass Datenschutzverletzungen heute häufig nicht durch hochkomplexe Cyberangriffe entstehen, sondern durch vermeidbare organisatorische und technische Schwächen. Für Unternehmen mit digitalen Geschäftsmodellen ergeben sich daraus klare Handlungsfelder:

• Informationssicherheit ist Führungsaufgabe und nicht ausschliesslich Sache der IT.
• Besonders schützenswerte Personendaten erfordern erhöhte technische und organisatorische Schutzmassnahmen.
• Eine Datensicherheitsverletzung liegt bereits dann vor, wenn eine unbefugte Kenntnisnahme möglich ist – nicht erst beim nachgewiesenen Datenmissbrauch.
• Veraltete Software und fehlendes Lifecycle-Management können zu Compliance-Risiken werden.
• Datenminimierung und begrenzte Aufbewahrungsfristen sind zentrale Grundsätze eines rechtskonformen Datenmanagements.
• ICT-Outsourcing entbindet Unternehmen nicht von ihrer Verantwortung für Datenschutz und Informationssicherheit.
• Klare Melde- und Incident-Response-Prozesse gehören heute zu einer funktionierenden Corporate Governance.

Unternehmen, die Datenschutz, Informationssicherheit und digitale Governance frühzeitig zusammendenken, erfüllen nicht nur gesetzliche Anforderungen. Sie schaffen Vertrauen bei Kunden, Mitarbeitenden und Geschäftspartnern – und stärken damit nachhaltig die Resilienz ihres digitalen Geschäftsmodells.

Kontaktieren Sie uns gerne unverbindlich bei Fragen rund um Ihr digitales Geschäftsmodell.

Mit dem neuen Gesetz über E-Government (EGovG) will der Kanton Luzern die Digitalisierung der Verwaltung strukturell vorantreiben. Der Kantonsrat hat sich in der Mai-Session 2026 klar hinter den Gegenvorschlag des Regierungsrats zur Volksinitiative «Digitalisierung jetzt!» gestellt und zugleich betont: Digitalisierung darf nicht zu einem «Digital Only» führen. Behörden sollen auch künftig analog erreichbar bleiben. Dieser politische Grundkonsens ist richtig und wichtig.

Der geplante gesetzliche Rahmen – insbesondere das neue Gesetz über E-Government (EGovG) – bildet dabei das Fundament für eine moderne, digital vernetzte Verwaltung. Die Diskussion zeigt aber zugleich, dass die eigentlichen juristischen und strategischen Herausforderungen erst beginnen. Denn die entscheidende Frage lautet nicht mehr, ob digitalisiert werden soll, sondern wie. Die Vorlage wirft mit Ansätzen wie «Digital First» und «Once Only» gewichtige datenschutz- und grundrechtliche Fragen auf, die im weiteren Gesetzgebungsprozess zwingend geschärft werden müssen.

Digitalisierung ist kein Selbstzweck

Die Luzerner Vorlage verfolgt nachvollziehbare Ziele: effizientere Verwaltungsabläufe, einheitliche Basisdienste, digitale Prozesse und weniger Mehrfacherfassungen von Daten. Gerade Letzteres – das sogenannte «Once-Only»-Prinzip – erscheint auf den ersten Blick bürgerfreundlich und wirtschaftlich sinnvoll.

Rechtlich ist dieses Prinzip jedoch hochsensibel. Wenn Bürgerinnen, Bürger und Unternehmen Daten nur einmal eingeben sollen, bedeutet dies zwangsläufig, dass verschiedene Verwaltungseinheiten auf bereits vorhandene Daten zugreifen können. Genau hier stellt sich die zentrale grundrechtliche Frage: Welche Behörde darf auf welche Daten zugreifen – zu welchem Zweck und gestützt auf welche gesetzliche Grundlage?

Die Vorlage bleibt in diesem Punkt bislang zu offen. Gerade im öffentlichen Recht gilt weiterhin der Grundsatz der Zweckbindung: Daten dürfen nur für jene Zwecke bearbeitet werden, für die sie erhoben wurden oder für die eine klare gesetzliche Grundlage besteht. Wer digitale Verwaltung ernst nimmt, muss deshalb auch ernsthaft definieren, welche Verwaltungseinheiten welche Daten tatsächlich benötigen. Transparenz gegenüber Betroffenen ist dabei zentral. Bürgerinnen und Bürger müssen nachvollziehen können, welche Stellen auf ihre Daten zugreifen und weshalb. Eine generelle Datenvernetzung ohne konkret ausgewiesenen Bedarf birgt das Risiko, dass Daten über ihren ursprünglichen Zweck hinaus verwendet werden. Das wäre mit dem verfassungsmässigen Schutz der informationellen Selbstbestimmung (Art. 13 Abs. 2 BV) nur schwer vereinbar. Datenschutzrechtlich genügt es nicht, dass Daten technisch verfügbar sind. Entscheidend ist, ob ihre Nutzung verhältnismässig, transparent und gesetzlich hinreichend bestimmt ist.

Digitale Souveränität: Die Schweiz darf Cloud-Fehler nicht wiederholen

Die Diskussion um das EGovG berührt zudem eine strategische Frage, die weit über Luzern hinausgeht: digitale Souveränität.

Die Schweiz hat die Tragweite von Abhängigkeiten im Cloud-Bereich lange unterschätzt. Viele staatliche und private Akteure stehen heute vor der Realität, dass zentrale digitale Infrastrukturen von wenigen internationalen Technologieanbietern abhängig geworden sind. Diese Entwicklung lässt sich kaum kurzfristig korrigieren.

Aus Sicht der Kantonsregierung gibt es dazu jedoch keinen Regulierungsbedarf. Entwicklungen um die künstliche Intelligenz zeigen jedoch, dass sich das Muster zu wiederholen droht. Gerade weil die technologische Entwicklung komplex und dynamisch ist, besteht die Gefahr, dass regulatorische und strategische Weichenstellungen erneut zu spät erfolgen. Umso wichtiger wäre es, bereits heute technologieneutrale und langfristig tragfähige Grundsätze zu definieren.

Dazu gehören etwa – je nachdem wie kritisch die eingesetzte Lösung für das Funktionieren der Verwaltung ist:

klare Anforderungen an Interoperabilität,
die Vermeidung unnötiger Vendor-Lock-ins,
transparente Governance-Strukturen,
sowie Überlegungen zu einem «Second Source»-Prinzip, um kritische Abhängigkeiten von einzelnen IT-Dienstleistern zu reduzieren.

Digitale Souveränität bedeutet nicht technologische Abschottung. Sie bedeutet vielmehr, die tatsächliche Kontrolle über Daten, Systeme und strategische Handlungsfähigkeit nicht aus der Hand zu geben. Echte digitale Souveränität erfordert mehr als organisatorische Koordination.

Digitale Verwaltung („digital first“) – ein Paradigmenwechsel

Das EGovG verfolgt einen klaren Ansatz: Behördenleistungen sollen künftig primär digital erbracht werden („digital first“), gestützt auf eine zentrale E-Government-Infrastruktur. Nutzerkonten, Authentifizierungssysteme und standardisierte Schnittstellen sollen einen durchgängigen Austausch zwischen Verwaltungseinheiten ermöglichen. Dass dabei nicht auf „digital only“ gesetzt werden soll, beweist die Regierung Augenmass.

Nichtsdestotrotz: Das verfassungsmässige Recht auf Schutz der Privatsphäre und der personenbezogenen Daten (Art. 13 Abs. 2 BV) verlangt, dass staatliche Datenbearbeitungen klar bestimmt, verhältnismässig und zweckgebunden erfolgen. Die Luzerner Vorlage bleibt in diesem Bereich teilweise zu offen. Insbesondere stellt sich die Frage, ob die geplante Datenvernetzung ausreichend präzise gesetzlich begrenzt ist, gepaart mit der pilotweisen Weiterentwicklung ohne gesetzliche Grundlage kratzt dies am Vertrauen der Bevölkerung. Ohne klare Zweckdefinition droht eine schleichende Ausweitung staatlicher Datenverwendung – mit entsprechendem Risiko für die informationelle Selbstbestimmung.

Hinzu kommt ein strukturelles Transparenzproblem: Je stärker Daten zwischen Behörden fliessen, desto schwieriger wird für Betroffene nachvollziehbar, wer wann welche Informationen bearbeitet. Damit gerät ein zentrales Element des Datenschutzrechts unter Druck: die Kontrollfähigkeit der betroffenen Person.

Kritik der Datenschutzaufsicht: zu Recht präzise

Die kantonale Datenschutzbeauftragte hat denn auch zentrale Schwachstellen benannt:
Unklare Zweckbindungen, ungenügende gesetzliche Bestimmtheit, fehlende Transparenz und nicht ausreichend konkretisierte Sicherheitsanforderungen.

Diese Kritik ist aus rechtsstaatlicher Sicht konsequent. Sie verweist auf grundlegende Prinzipien des Datenschutzrechts: Legalitätsprinzip, Zweckbindung, Verhältnismässigkeit und Datensicherheit. Gerade bei einem System, das auf umfassende Datenvernetzung abzielt, müssen diese Prinzipien nicht nur erwähnt, sondern präzise normiert und technisch umgesetzt werden.

Digitalisierung braucht demokratische Diskussion – nicht nur technische Umsetzung

Positiv ist, dass der politische Diskurs im Luzerner Kantonsrat die Risiken einer rein technokratischen Digitalisierung erkannt hat. Mehrfach wurde betont, dass Digitalisierung nicht zum Ausschluss analoger Zugänge führen darf. Dieser Gedanke ist zentral: Digitalisierung muss den Menschen dienen – nicht umgekehrt.

Das EGovG bietet deshalb eine wichtige Grundlage. Nicht, weil es bereits alle Antworten liefert, sondern weil es die notwendige Diskussion eröffnet: Wo schafft Digitalisierung echten Mehrwert? Wo entstehen neue Risiken? Und welche rechtsstaatlichen Leitplanken braucht eine moderne Verwaltung?

Gerade bei datengetriebenen Verwaltungsprozessen genügt Effizienz allein nicht. Entscheidend ist, dass Digitalisierung transparent, verhältnismässig und grundrechtskonform ausgestaltet wird. Nur so entsteht langfristig Vertrauen – sowohl bei Bürgerinnen und Bürgern als auch bei Unternehmen.

Wo der Gesetzgeber nachschärfen muss

Der Kantonsrat steht nun vor einer zentralen Weichenstellung. Soll die Digitalisierung der Verwaltung nachhaltig und rechtskonform gelingen, braucht es insbesondere:

1. Klare gesetzliche Grenzen der Datennutzung, statt offener Generalklauseln
2. Verbindliche Regeln für das Once-Only-Prinzip, gekoppelt mit Transparenzpflichten
3. Nachvollziehbare Datenflüsse und Kontrollrechte für Bürgerinnen und Bürger
4. Konkrete Vorgaben zur digitalen Souveränität, insbesondere bei Cloud- und IT-Outsourcing
5. Verpflichtende Datenschutz- und Sicherheitsstandards (Privacy by Design)

Fazit: Effizienz braucht Rechtsstaatlichkeit

Die Luzerner Vorlage ist ein wichtiger Schritt in Richtung einer modernen, digitalen Verwaltung. Sie ist politisch realistischer und ausgewogener als ein starres «Digital First» auf Verfassungsstufe. Sie zeigt aber auch exemplarisch, wie eng Digitalisierung, Datenschutz und Grundrechte miteinander verknüpft sind.

Effizienzgewinne dürfen nicht zulasten der informationellen Selbstbestimmung gehen. Eine nachhaltige digitale Transformation gelingt nur dann, wenn sie auf einem klaren rechtlichen Fundament steht – transparent, kontrollierbar und technisch souverän und darf nicht dazu führen, dass zentrale Fragen des Datenschutzes und der digitalen Souveränität offenbleiben.

Die kommenden Beratungen bieten die Chance, aus einem reinen Digitalisierungsprojekt ein rechtsstaatlich robustes Modell moderner Verwaltung zu machen. Dafür braucht es klare Grenzen der Datennutzung, transparente Datenflüsse und strategische Leitplanken gegen neue technologische Abhängigkeiten. Digitalisierung sollte nicht dort stattfinden, wo sie möglich ist – sondern dort, wo sie sinnvoll, verhältnismässig und gesellschaftlich legitimiert ist.

Künstliche Intelligenz (KI) ist längst Teil unseres Alltags. In Schulen, Universitäten und Unternehmen ist KI nicht mehr wegzudenken. Angesichts der rasanten Entwicklung künstlicher Intelligenz und ihrer zunehmenden Präsenz im Alltag gewinnt die Auseinandersetzung mit ihren Chancen und Risiken immer mehr an Bedeutung.

Am 23. Februar 2026 haben der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sowie rund 60 weitere nationale Datenschutzbehörden weltweit eine gemeinsame Erklärung zu KI-generierten Bildern veröffentlicht. Diese Erklärung markiert einen wichtigen Schritt in der internationalen Diskussion um den Schutz der Privatsphäre und dem Datenschutz im digitalen Zeitalter.

Deepfakes und KI: Warum Datenschutzbehörden weltweit warnen

Die Datenschutzbehörden äussern erhebliche Bedenken gegenüber Systemen, die mit künstlicher Intelligenz realistische Bilder oder Videos von identifizierbaren Personen ohne deren Einwilligung erzeugen können. Solche Technologien bergen ein hohes Missbrauchsrisiko – etwa durch die Erstellung nicht einvernehmlicher, intimer Darstellungen (sogenannte Deepfakes). Besonders gefährdet sind Kinder und andere vulnerable Gruppen, die Ziel von Cyber-Mobbing, sexueller Ausbeutung oder Identitätsmissbrauch werden können.

Rechtslage in der Schweiz: Sind KI-generierte Bilder erlaubt?

In vielen Rechtsordnungen – einschliesslich in der Schweiz – kann die Erstellung oder Verbreitung von nicht einvernehmlich erstellten Bildern strafrechtliche Konsequenzen nach sich ziehen. Aus datenschutzrechtlicher Sicht wirft die Nutzung von KI-Systemen zur Erstellung realitätsnaher Bilder erhebliche Fragen hinsichtlich der Rechtsmässigkeit der Datenbearbeitung und des Schutzes der Privatsphäre auf. Personenbezogene Daten dürfen nur dann verwendet werden, wenn hierfür eine gesetzliche Grundlage besteht oder die betroffene Person ausdrücklich eingewilligt hat. Unternehmen, welche solche Systeme anbieten, müssen sicherstellen, dass geeignete technische und organisatorische Massnahmen getroffen werden, um Missbrauch und unbefugte Bearbeitungen zu verhindern.

Empfehlungen für den Umgang mit KI

Die gemeinsame Erklärung der Datenschutzbehörden formuliert mehrere zentrale Prinzipien, die alle Organisationen befolgen sollten:

• Implementierung von robusten Schutzmassnahmen, um den Missbrauch personenbezogener Daten sowie die Erstellung nicht einvernehmlicher intimer Darstellungen und anderer schädlicher Inhalte – insbesondere mit Abbildung von Kindern – zu verhindern.
• Gewährleistung einer sinnvollen Transparenz hinsichtlich der Fähigkeiten von KI-Systemen, der implementierten Schutzmechanismen, der zulässigen Nutzung sowei der möglichen Folgen eines Missbrauchs.
• Bereitstellung wirksamer und leicht zugänglichen Verfahren, über die betroffene Personen die Entfernung schädlicher Inhalte mit Personenbezug beantragen können.
• Besonderer Schutz von Kindern und anderen gefährdeten Gruppen.

Fazit: Technologischer Fortschritt braucht Verantwortung

Die Risiken von KI-generierten Bildern sind global und erfordern dringendes regulatorisches Handeln. Während KI enorme Chancen bietet, darf der technische Fortschritt nicht auf Kosten von Privatsphäre, Datenschutz und anderer fundamentalen Rechten fortschreiten.

Unsere Kanzlei berät Unternehmen zur rechtskonformen Nutzung von KI und zu Datenschutzfragen. Kontaktieren Sie uns gerne, zu Fragen rund um genAI, Datenschutz und Ihrem Digitalisierungvorhaben.

Ein starkes Stück Schweizer Filmkunst: «The Narrative» erzählt eine Geschichte, die berührt, überrascht und nachhallt.

Wir sind stolz, als rechtliche Berater einen kleinen Beitrag zu diesem grossen Projekt geleistet zu haben – und danken dem gesamten Produktionsteam für das Vertrauen und die wertschätzende Nennung im Film und an der Vorpremiere.

Ein Film, den man nicht nur sieht, sondern erlebt. Wir gratulieren dem ganzen Team zu diesem gelungenen Werk – und wünschen viel Erfolg zum Kinostart am 12. März 2026!

Mit Urteil vom 6. Oktober 2025 bestätigt das Bundesverwaltungsgericht die Verfügung des EDÖB zur Datenbank «Pfarrer-Check» und konkretisiert die Anwendung des revidierten Datenschutzgesetzes (DSG) auf öffentlich zugängliche Personendaten.

Der Entscheid schafft wichtige Klarheit für Betreiber von Online-Plattformen, Verzeichnissen und Kampagnen-Websites im Umgang mit Personendaten aus dem Internet.

Ein Überblick über das Urteil BVGer A-2941/2024

Das Bundesverwaltungsgericht hat mit Urteil vom 6. Oktober 2025 (A-2941/2024) die Verfügung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im sogenannten «Pfarrer-Check» bestätigt. Die öffentliche Erfassung von über 6’000 Kirchenpersonen in einer Online-Datenbank ohne Einwilligung verstösst nach Auffassung des Gerichts gegen das revidierte Bundesgesetz über den Datenschutz (DSG).

Sachverhalt zum «Pfarrer-Check»-Urteil

Der Verein «Bürgerforum Schweiz» betrieb auf seiner Website eine öffentlich einsehbare Datenbank mit Personendaten von über 6’000 Personen aus dem kirchlichen Umfeld. Erfasst wurden Name, Wohnort und Postleitzahl, Arbeitgeber bzw. Konfession, Tätigkeitsgebiet, Funktion sowie ein Status («erfasst», «angefragt», «beantwortet») im Zusammenhang mit einem Fragebogen zu religiösen Ansichten.

Zweck der Datenbank war es gemäss Betreiberin, eine Unterscheidung zwischen «echten» und «verwässerten» Kirchen zu ermöglichen. Der EDÖB ordnete mit Verfügung vom 9. April 2025 die Löschung der ohne Einwilligung der Betroffenen veröffentlichten Einträge an. Dagegen erhob der Verein Beschwerde, auf welche das Bundesverwaltungsgericht nicht eintrat.

Anwendbares Recht & Verfahren

Das Gericht bestätigt zunächst, dass das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023) anwendbar ist. Entscheidend ist der Zeitpunkt der Eröffnung der formellen Untersuchung; blosse informelle Vorabklärungen und die Beantwortung von Anfragen begründen noch keine hängige Untersuchung im Sinne des Übergangsrechts.

Die Beschwerdeführerin rügte, die Vorinstanz habe das Akteneinsichtsrecht verletzt, in dem sie ihr die Anzeigen nur anonymisiert zugänglich gemacht hat. Das Gericht erachtete das Vorgehen des EDÖB jedoch als rechtmässig: Das öffentliche Interesse an einer funktionierenden Datenschutzaufsicht überwiegt das Interesse der Betreiberin an der Identität der Hinweisgebenden.

Materielle Kernpunkte (Datenschutzgrundsätze und Rechtfertigung)

Verhältnismässigkeit

Die Veröffentlichung des Status «erfasst» oder «angefragt» war nach Auffassung des Gerichts weder geeignet noch erforderlich, um den vom Verein erklärten Zweck (die Unterscheidung «echter» vs. «gefälschter» Kirchen) zu erreichen. Die Information, dass jemand einen Fragebogen erhalten, aber nicht beantwortet hat, öffnet Raum für Interpretationen, ohne einen sachlichen Mehrwert für den Zweck der Datenbearbeitung zu bieten.

Zweckbindung

Die erfassten Personen hatten ihre Kontaktdaten auf den Websites ihrer Institutionen veröffentlicht, um im Rahmen ihrer beruflichen Tätigkeit kontaktiert werden zu können. Die blosse Tatsache, dass die Daten allgemein zugänglich sind, bedeutet nicht, dass sie für jeden beliebigen Zweck, insbesondere für eine wertende Kampagnen-Datenbank, verwendet werden dürfen. Das Gericht qualifiziert die Nutzung für den «Pfarrer-Check» als Zweckänderung, die für die Betroffenen nicht erkennbar war.

Transparenz

Die betroffenen Personen müssen aktiv und klar über die tatsächliche Datenbearbeitung informiert werden. Dies ist nicht passiert. Insbesondere wurden die Betroffenen nicht ausreichend informiert, dass ihre Daten auch dann veröffentlicht würden, wenn sie den Fragebogen nicht ausfüllen. Ein blosser Verweis auf die Website des Betreibers genügt den Transparenzanforderungen des DSG nicht. Erforderlich ist eine aktive, verständliche Information über Art, Zweck und Umfang der Datenbearbeitung.

Rechtfertigungsgründe / öffentliches Interesse

Das Gericht verneint das Vorliegen eines Rechtfertigungsgrundes im Sinne von Art. 31 DSG. Weder lag eine wirksame Einwilligung vor, noch konnte sich der Verein auf eine gesetzliche Grundlage oder ein überwiegendes öffentliches Interesse berufen. Ein selbst definiertes «öffentliches Interesse» ohne Verankerung im Gesetz oder in der Verfassung reicht nicht aus, um schwerwiegende Persönlichkeitsverletzungen zu rechtfertigen.

Auch die Berufung auf Art. 31 Abs. 2 DSG (Personen des öffentlichen Lebens) bleibt erfolglos. In der Interessenabwägung misst das Gericht dem Status «angefragt» ein hohes Verletzungspotenzial bei, weil er negative Spekulationen über Haltung und Integrität der betroffenen Person zulässt, während der Status «erfasst» lediglich eine mittlere Intensität aufweist.

Demnach kommt das Gericht zum Schluss, dass die Beschwerdeführerin die Persönlichkeit der betroffenen Personen widerrechtlich verletzt.

Bedeutung des Urteils für die Praxis

Seit Inkrafttreten des neuen DSG hat der EDÖB bereits zahlreiche niederschwellige Interventionen vorgenommen und über 14 formelle Untersuchungen in Verfügungen münden lassen. Nur vier dieser Verfügungen wurden bisher vor Bundesverwaltungsgericht angefochten. Der Entscheid zeigt damit, dass die Gerichte die Linie des EDÖB grundsätzlich stützen und die datenschutzrechtlichen Grundprinzipien auch bei öffentlich zugänglichen Online-Daten konsequent durchsetzen.

Der Entscheid setzt ein klares Signal für Betreiber von Online-Datenbanken, Verzeichnissen, Kampagnen- und Bewertungsplattformen: Auch wenn Daten öffentlich zugänglich sind, bleiben Verhältnismässigkeit, Zweckbindung, Transparenz und eine tragfähige Rechtfertigungspflicht zentral.

Unsere Experten im Bereich Datenschutz- und ICT-Recht begleitet Organisationen bei der rechtssicheren Konzeption von Online-Plattformen, Websites und Projketen unter dem revidierten DSG.
Kontaktieren Sie uns unverbindlich zu Fragen in Datenschutz.

Die Schweiz festigt ihren Anspruch, zu den führenden Innovationsstandorten Europas zu zählen. Dabei spielt die ETH Zürich als Impulsgeberin eine zentrale Rolle. Drei jüngste Entwicklungen unterstreichen das technologische Potenzial und die digitale Souveränität des Landes (persönliche Auswahl):

• die Entwicklung eines öffentlich zugänglichen large language models (LLM) für datenschutzkonforme KI-Anwendungen,
• die Beteiligung der ETH am Swiss Chip Fablab zur Stärkung der nationalen Halbleiterkompetenz im Innovationspark Dübendorf,
• sowie die Initiative um das ETH-Erdbeobachtungszentrum im Kanton Luzern, wodurch gezielt Impulse in der Zentralschweiz gesetzt werden.

Alle Projekte stehen sinnbildlich für eine Innovationsstrategie, die auf wissenschaftlicher Exzellenz ebenso gründet wie auf unternehmerischer Skalierbarkeit, nachhaltiger Infrastruktur und regulatorischer Weitsicht.

Digitale Souveränität: Das ETH-Sprachmodell für den öffentlichen Nutzen

Mit dem von der ETH Zürich lancierten LLM entsteht erstmals eine KI-Technologie, die auf Schweizer Rechtsgrundlagen, Mehrsprachigkeit und höchste Datenschutzstandards zugeschnitten ist. Dieses entstand aus einer Zusammenarbeit der EPFL und der ETH Zürich und wurde auf dem «Alps» Supercomputer des Swiss National Supercomputing Centre (CSCS) trainiert. Für Unternehmen, Verwaltungen und insbesondere KMU, welche Wert auf datensichere Prozesse legen, eröffnet dies neue Möglichkeiten im Bereich Automatisierung, Informationserschliessung und moderner Kundeninteraktion – ohne auf global agierende Cloud-Plattformen angewiesen zu sein. Diese Entwicklung verdeutlicht, wie sich technologischer Fortschritt und Standortpolitik verbinden lassen. Die Schweiz positioniert sich damit als Vorreiter für vertrauenswürdige und unabhängige Digitalisierung, sowohl im öffentlichen als auch im privaten Sektor.

Halbleiterkompetenz im Herzen Europas: Das Swiss Chip Fablab

Auch im Bereich Hard- und Halbleiterentwicklung markiert die ETH Zürich einen Meilenstein: Mit der geplanten Beteiligung am Swiss Chip Fablab im Innovationspark Dübendorf entsteht ein Netzwerk, das Forschung, Entwicklung und Produktion an einem geopolitisch sicheren, verlässlichen Standort vereint. Ziel ist es, die Resilienz der Lieferketten zu stärken und unabhängige Halbleiterexpertise zu etablieren – ein zentrales Anliegen in Zeiten globaler Unsicherheit. Es dient nicht als Alternative zu KI-Prozessorchips, die überwiegend in Taiwan hergestellt werden, sondern vielmehr hochspezialiserte Chips für Anwendungen wie Energie, Mobilität, Medizin oder Kokmmunikation zu entwickeln. Das Fablab bietet Start-ups, etablierten Unternehmen und internationalen Partnern Zugang zu modernster Infrastruktur, Begleitung bei regulatorischen Fragestellungen und die Chance auf strategische Vernetzung.

Neuer ETH-Hub für den Kanton Luzern: Stärkung der Region und Förderung von Innovationen

Durch die 100-Millionen-Franken-Spende der Jörg-G.-Bucherer-Stiftung an die ETH, soll ein Erdbeobachtungszentrum im Kanton Luzern realisiert werden. Diskutiert werden zum Beispiel Emmen/Viscosistadt, Horw um die Hochschule für Technik oder Hochdorf. Dies zeigt auf, wie Innovationskraft gezielt gestärkt und dezentral gefördert werden kann. Ein solcher ETH-Hub schafft neue Möglichkeiten für Unternehmen und Start-ups in der Zentralschweiz, in direktem Austausch mit Forschung und Lehre zu treten – und setzt dabei ein starkes Zeichen für die Attraktivität des Standorts Emmen als Technologie- und Innovationsstandort. Die regionale Verankerung technologischer Exzellenz trägt dazu bei, Innovationspotenziale breit zu erschließen und Synergien zwischen Wissenschaft und Wirtschaft zu nutzen.

Was bedeutet das für Unternehmen, Investoren und Unternehmerinnen?

Für technologieorientierte Unternehmen, Investorinnen und innovative Unternehmer entstehen neue Kooperationsmöglichkeiten, aber auch komplexe regulatorische Fragestellungen:

• Wie lassen sich KI-Lösungen rechtssicher und datenschutzkonform integrieren?
• Welche gesetzlichen Anforderungen sind bei Forschung, Entwicklung und Export sensibler Technologien zu beachten?
• Wie können Innovation und Compliance im internationalen Wettbewerb optimal ausbalanciert werden?

Als auf Datenschutzrecht, digitale Geschäftsmodelle und wirtschaftsrechtliche Fragestellungen spezialisierte Boutique-Anwaltskanzlei aus Luzern begleiten wir Unternehmen, Behörden und Institutionen bei allen Herausforderungen der digitalen Transformation. Unser Team unterstützt Sie in allen Belangen des Datenschutzes, IT-Projekten, aber auch bei wirtschaftsrechtlichen Themen wie Corporate Governance, Restrukturierungen und M&A. Wir legen Wert auf rechtssichere Innovation, regulatorische Compliance und pragmatische Umsetzung. Von der Datenschutz-Folgeabschätzung über Lizenzverträge bis zur unternehmensübergreifenden Transformation profitieren Sie von unserer Expertise im digitalen und wirtschaftlichen Umfeld.

Kontaktieren Sie uns unverbindlich zu Fragen zu digitalen Geschäftsmodellen.