Alles klar – ich starte mit einer ausführlichen, sachlich fundierten Seite zum Thema Datenschutz im Kontext von Schweizer Behörden und Unternehmen, inklusive konkreter Quellenverweise, aktueller Gesetzesgrundlagen und Problemstellungen. Ich melde mich, sobald der Textentwurf bereit ist.

Datenschutz im schweizerischen IT-Recht – öffentlicher Sektor und Partnerunternehmen

Einordnung des Datenschutzrechts in der Schweiz

Das schweizerische Datenschutzrecht basiert auf dem Bundesgesetz über den Datenschutz (DSG) von 1992, das zum Schutz der Persönlichkeitsrechte bei der Datenbearbeitung geschaffen wurde. Angesichts der digitalen Transformation und der europäischen DSGVO hat die Schweiz ihr Datenschutzrecht umfassend revidiert: Am 25. September 2020 verabschiedete das Parlament ein neues DSG, das das alte Gesetz ersetzt und im September 2023 in Kraft getreten ist (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot) (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot). Diese Revision zielte explizit darauf ab, das Schutzniveau an die EU-Datenschutz-Grundverordnung (DSGVO) anzugleichen, um den freien Datenfluss zwischen der Schweiz und Europa zu gewährleisten (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot). Obwohl die DSGVO für die Schweiz nicht direkt bindend ist, sollen die Regelungen weitgehend äquivalent sein (Bratschi AG | Die neuen Kompetenzen des EDÖB – ein Überblick) – mit dem Ergebnis, dass das neue Schweizer DSG von seinem EU-Pendant kaum zu unterscheiden ist (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot). Durch diese Angleichung bleibt die Schweiz ein von der EU anerkanntes Datenschutz-“Drittland“, was grenzüberschreitende Datenübermittlungen vereinfacht.

Das DSG gilt in der Schweiz sowohl für Private als auch für öffentliche Stellen (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot). Wichtig ist jedoch die föderale Struktur: Für Bundesbehörden gilt direkt das Bundesgesetz, während Kantone, Gemeinden und andere kantonale öffentliche Stellen eigene Datenschutzgesetze haben. Die meisten Kantone orientieren sich zwar inhaltlich am Bundesrecht, sind aber autonom in der Ausgestaltung. Zum Zeitpunkt des Inkrafttretens des neuen DSG 2023 waren viele kantonale Datenschutzgesetze noch in Revision oder Anpassung begriffen (DSG-Revision – Kantone uneinheitlich unterwegs | Netzwoche). Diese Diskrepanz ist rechtlich unproblematisch, da Bund und Kantone getrennte Zuständigkeiten haben – das Bundesgesetz und die kantonalen Gesetze decken jeweils ihren Bereich ab (DSG-Revision – Kantone uneinheitlich unterwegs | Netzwoche). Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist nicht Aufsichtsbehörde der Kantone (DSG-Revision – Kantone uneinheitlich unterwegs | Netzwoche); Kantone haben in der Regel eigene Datenschutzbeauftragte für die Überwachung ihrer Behörden.

Gerade für öffentliche Organe gilt das Legalitätsprinzip: Bundesbehörden dürfen Personendaten nur bearbeiten, wenn eine gesetzliche Grundlage dafür besteht (Art. 17 DSG) oder im Einzelfall bestimmte Voraussetzungen erfüllt sind (Das Bundesgericht setzt sich mit der Amtshilfe unter Behörden auseinander | Datenschutz.law). Dies soll eine unkontrollierte Weitergabe von Informationen im Staatsapparat verhindern – Stichwort «informationelle Gewaltenteilung» (Das Bundesgericht setzt sich mit der Amtshilfe unter Behörden auseinander | Datenschutz.law). Insgesamt ist das Schweizer Datenschutzrecht heute sowohl für Behörden als auch für Unternehmen ein komplexes Regelwerk, das DSGVO-kompatibel ausgestaltet ist und hohe Anforderungen an den Schutz der Persönlichkeitsrechte stellt.

Aktuelle Entwicklungen und Neuerungen (2023 ff.)

Neues DSG 2023: Am 1. September 2023 trat das revidierte DSG – ohne Übergangsfrist – vollständig in Kraft (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot). Seitdem müssen alle privaten und öffentlichen Stellen in der Schweiz die neuen Vorgaben erfüllen. Wichtige Neuerungen sind u.a. erweiterte Informationspflichten, strengere Sorgfaltsanforderungen und neue Betroffenenrechte (siehe unten). Auch der Bußgeldrahmen wurde angepasst: Neu können Verantwortliche bzw. betroffene Mitarbeitende bei vorsätzlichen Verstößen mit Geldstrafen bis zu 250’000 CHF sanktioniert werden (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot). Anders als in der EU haften in der Schweiz primär natürliche Personen (z.B. verantwortliche Kader) strafrechtlich, was die Sanktionen für die Betroffenen durchaus einschneidend macht (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”). Gleichzeitig gibt es keine Bagatellgrenze oder Schonfristen – selbst kleinere Unternehmen und Behörden müssen seit dem Stichtag vollständig konform sein (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot).

Gestärkte Rolle des EDÖB: Das neue Gesetz hat die Kompetenzen des EDÖB deutlich ausgebaut. Unter dem alten Recht konnte der EDÖB bei Feststellungen von Datenschutzverstößen lediglich Empfehlungen abgeben und – falls diese ignoriert wurden – den Fall an ein Gericht weiterleiten. Nun jedoch ist der EDÖB befugt, verbindliche Anordnungen zu erlassen und Verwaltungsverfahren zu führen (Bratschi AG | Die neuen Kompetenzen des EDÖB – ein Überblick). Er kann also selbständig Verfügungen treffen, etwa die Einstellung einer widerrechtlichen Datenbearbeitung anordnen, und diese notfalls zwangsweise durchsetzen. Diese Stärkung der Aufsichtskompetenz geht auf europäische Vorgaben (insb. die Schengen-Datenschutzrichtlinie (EU) 2016/680) und das Bestreben zurück, ein der DSGVO gleichwertiges Datenschutzniveau zu etablieren (Bratschi AG | Die neuen Kompetenzen des EDÖB – ein Überblick). In der Praxis bedeutet das eine intensivere aufsichtsrechtliche Tätigkeit des EDÖB: Er muss nun von Amtes wegen bei Verstößen einschreiten und kann sich nicht mehr nur auf besonders gravierende Fälle beschränken (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”). Bereits im Vorfeld hat der EDÖB personell aufgestockt (2023 wurden acht zusätzliche Stellen bewilligt) (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”), um das erwartete Mehr an Arbeit zu bewältigen. Erste Anwendungsfälle des neuen Rechts zeigen, dass der EDÖB seine neuen Befugnisse aktiv nutzt – z.B. leitete er 2023 mehrere Untersuchungen ein, etwa gegen Bundesbehörden und Firmen wegen möglicher Datenschutzverletzungen (2023).

Behördliche Leitlinien und Empfehlungen: Parallel zur Gesetzesrevision wurden diverse Verordnungen und Merkblätter erlassen. Der EDÖB publizierte z.B. kurz vor Inkrafttreten ein ausführliches Merkblatt zur Datenschutz-Folgenabschätzung, da neu sowohl *Bundesorgane als auch Private verpflichtet sind, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn eine geplante Datenbearbeitung ein hohes Risiko für die Rechte der Betroffenen mit sich bringt (Merkblatt zur Datenschutz-Folgenabschätzung). Dieses Merkblatt bietet praktische Hinweise, wie eine DSFA zu erstellen ist. Zudem weist der EDÖB ausdrücklich darauf hin, dass das seit 2023 geltende Datenschutzgesetz auch für neue Technologien wie Künstliche Intelligenz (KI) direkt anwendbar ist (Geltendes Datenschutzgesetz ist auf KI direkt anwendbar) – d.h. auch KI-basierte Datenbearbeitungen müssen die Datenschutzgrundsätze einhalten. Im November 2023 veröffentlichte der EDÖB zusammen mit europäischen Aufsichtsbehörden eine Gemeinsame Erklärung zu «Data Scraping», um auf die datenschutzrechtlichen Risiken automatisierter Massendatensammlungen (Scraping) hinzuweisen. Auch Fachgremien wie die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) erarbeiten laufend Empfehlungen, z.B. zu Cloud-Nutzung oder Meldung von Datenschutzvorfällen.

Internationaler Kontext: Auf internationaler Ebene ist die Schweiz ebenfalls aktiv, um mit der dynamischen Entwicklung Schritt zu halten. Im September 2023 hat die Schweiz als einer der ersten Staaten die Übereinkommen 108+ des Europarats ratifiziert (2023), welche die Datenschutzkonvention von 1981 modernisiert – ein Zeichen dafür, dass man globale Datenschutzstandards mitprägen will. Ein weiteres wichtiges Ereignis war die Einführung des neuen Swiss-U.S. Data Privacy Framework (DPF) im Jahr 2024. Nachdem der EuGH 2020 den EU-US Privacy Shield gekippt hatte (woraufhin auch der EDÖB das entsprechende Schweizer-USA-Abkommen für ungenügend erklärte (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot)), herrschte Unsicherheit bei Datenübermittlungen in die USA. Der Bundesrat hat am 14. August 2024 entschieden, die USA unter dem neuen DPF wieder als Staat mit angemessenem Datenschutzniveau anzuerkennen (Swiss-U.S. Data Privacy Framework: Zertifizierte US-Unternehmen bieten einen angemessenen Schutz für Personendaten) (Swiss-U.S. Data Privacy Framework: Zertifizierte US-Unternehmen bieten einen angemessenen Schutz für Personendaten). Ab dem 15. September 2024 dürfen Personendaten somit wieder an zertifizierte US-Unternehmen ohne zusätzliche Garantien übermittelt werden (Swiss-U.S. Data Privacy Framework: Zertifizierte US-Unternehmen bieten einen angemessenen Schutz für Personendaten). Diese Neuerung erleichtert insbesondere Cloud-Dienste und Datenaustausch mit US-Anbietern für Schweizer Behörden und Unternehmen, stellt aber gleichzeitig hohe Anforderungen an die Unternehmen, nur mit zertifizierten US-Partnern zu arbeiten und die vorgeschriebenen Garantien einzuhalten (Swiss-U.S. Data Privacy Framework: Zertifizierte US-Unternehmen bieten einen angemessenen Schutz für Personendaten). Laufend im Blick behalten werden müssen zudem künftige EU-Regulierungsvorhaben (z.B. der AI Act, ePrivacy-Verordnung), da diese indirekt auch Schweizer Akteure betreffen können.

Praxisfragen: Typische Herausforderungen für Behörden und IT-Projekte

Auch nach der Gesetzesrevision bleiben viele Fragen der konkreten Umsetzung offen. Öffentliche Stellen und deren private Dienstleister sehen sich im Alltag mit diversen datenschutzrechtlichen Problemfeldern konfrontiert:

• Umgang mit Betroffenenrechten: Bürgerinnen und Bürger (sowie Kunden oder Mitarbeitende) haben umfangreiche Rechte gegenüber datenbearbeitenden Stellen. Unter dem neuen DSG wurden diese Betroffenenrechte nochmals erweitert – neben dem bereits bestehenden Auskunfts- und Berichtigungsrecht sind nun ausdrücklich ein Recht auf Datenherausgabe/-übertragung (Datenportabilität) und ein Recht auf Löschungverankert (Das neue Schweizer Datenschutzgesetz (DSG)). In der Praxis müssen Behörden und Unternehmen Verfahren etablieren, um z.B. Auskunftsanfragen innert 30 Tagen zu beantworten und die gewünschten Informationen verständlich bereitzustellen (Neues Schweizer Datenschutzgesetz: Neue Informationspflichten für Händler) (Neues Schweizer Datenschutzgesetz: Neue Informationspflichten für Händler). Besonders heikel ist das Löschungsrecht: Anders als die DSGVO sieht das Schweizer Recht die Löschung primär als zivilrechtlichen Anspruch im Rahmen einer Persönlichkeitsverletzungsklage (Art. 32 Abs. 2 lit. c DSG) (Neues Schweizer Datenschutzgesetz: Neue Informationspflichten für Händler). Eine sofortige Löschung auf bloße Anfrage ist also nicht immer geschuldet – dennoch erwarten viele Betroffene eine solche. Behörden stehen hier vor dem Spannungsfeld zwischen Datenschutz und anderen Pflichten: So sind sie oft gesetzlich verpflichtet, Unterlagen für eine gewisse Dauer aufzubewahren (Archivierungspflicht) und können Daten nicht jederzeit löschen. Die Herausforderung besteht darin, jedem Gesuch individuell gerecht zu werden, ohne andere rechtliche Vorgaben zu verletzen. Die aktuelle Rechtsprechung setzt dem Auskunftsrecht ebenfalls Grenzen, wenn es missbräuchlichgenutzt wird – etwa allein zum Zweck der Beweissammlung für ein Gerichtsverfahren ( Das Bundesgericht setzt dem Auskunftsrecht weiterhin Grenzen – CDBF  ). Solche Fälle erfordern eine juristische Prüfung, um einen zulässigen Informationsanspruch von einem unzulässigen “Fishing Expedition”-Begehren abzugrenzen.
• Datenbekanntgabe an Dritte: Behörden kooperieren untereinander und mit privaten Auftragnehmern, was oft den Austausch personenbezogener Daten erfordert. Datenschutzrechtlich gilt es dabei strikte Voraussetzungen einzuhalten. Bundesorgane benötigen grundsätzlich eine gesetzliche Grundlage für jede Datenübermittlung (Das Bundesgericht setzt sich mit der Amtshilfe unter Behörden auseinander | Datenschutz.law). Zudem bestimmt Art. 19 DSG, dass eine Behörde Personendaten nur weitergeben darf, wenn die Daten “für den Empfänger im Einzelfall zur Erfüllung seiner gesetzlichen Aufgabe unentbehrlich” sind (Das Bundesgericht setzt sich mit der Amtshilfe unter Behörden auseinander | Datenschutz.law). Diese Notwendigkeitsprüfung im Einzelfall begrenzt den Informationsfluss auf das absolut Erforderliche. So hat das Bundesgericht in BGE 147 II 227 entschieden, dass selbst im Rahmen der Amtshilfe eine anfragende Behörde nur jene Personendaten erhalten darf, die sie zwingend zur Erfüllung ihrer gesetzlichen Aufgabe braucht (Das Bundesgericht setzt sich mit der Amtshilfe unter Behörden auseinander | Datenschutz.law). In der Praxis müssen Amtsstellen also sorgfältig abwägen, welche Informationen an andere Behörden oder externe Dienstleister herausgegeben werden dürfen. Empfehlenswert ist der Abschluss schriftlicher Vereinbarungen (Vertraulichkeits- und Auftragsbearbeitungsverträge), welche die Zweckbindung, Datensicherheit und Weitergabebeschränkungen klar regeln. Gerade bei Outsourcing-Projekten (z.B. wenn eine Gemeinde die Lohnverwaltung an einen IT-Dienstleister auslagert) bleibt die Behörde verantwortlich dafür, dass der Auftragnehmer die Datenschutzvorgaben einhält.
• Cloud-Nutzung und IT-Outsourcing: Die Auslagerung von Daten und IT-Services in die Cloud ist ein zentrales Thema, gerade für Kantone und Gemeinden, die auf moderne Lösungen angewiesen sind. Doch die Nutzung von Cloud-Diensten – insbesondere von globalen Anbietern aus den USA – birgt erhebliche Datenschutzrisiken. Hauptproblem ist der Datenexport ins Ausland: Personendaten dürfen nur in Länder übertragen werden, die ein angemessenes Datenschutzniveau garantieren, oder es müssen andere Garantien (z.B. Standardvertragsklauseln) vorhanden sein. Nach dem Wegfall des Privacy Shield stuften sowohl die EU als auch der EDÖB die USA zunächst als unsicheres Drittland ein (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”). Viele Behörden wollten dennoch Dienste wie Microsoft 365 einsetzen und ließen dazu Gutachten von Anwaltskanzleien erstellen, die Wege aufzeigen sollten, wie US-Clouds dennoch datenschutzkonform genutzt werden könnten (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”) (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”). Dies führte zu einer kontroversen Diskussion: Der damalige EDÖB Adrian Lobsiger kritisierte offen, dass man sich nicht blind auf beschwichtigende Privatgutachten verlassen dürfe – sonst bestehe die Gefahr, sich “eine blutige Nase zu holen” (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”). Konkret hatte der EDÖB in seiner Stellungnahme zur Einführung von Microsoft 365 bei einer Bundesinstitution erhebliche Bedenken (v.a. wegen möglicher Zugriffe aus den USA) geäußert, die jedoch von der Behörde ignoriert wurden (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”). Lobsiger betonte im selben Interview, Bundesstellen müssten nach Alternativen suchen und besondere Vorsicht walten lassen: Staatliche Stellen tragen eine besondere Verantwortung gegenüber den Bürgern, die sich nicht aussuchen können, wohin ihre Daten durch die Verwaltung gelangen (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”). Für kleinere Unternehmen (KMU) mag der Rückgriff auf große Cloud-Anbieter mangels Alternativen legitim sein – Behörden jedoch haben meist die Ressourcen, sichere Schweizer oder europäische Lösungen in Betracht zu ziehen (Edöb: “Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen”). Inzwischen bietet das Swiss-US DPF zwar eine rechtlich verbesserte Basis für Datentransfers in die USA, dennoch empfiehlt der EDÖB weiterhin, bei Cloud-Outsourcing datenschutzfreundliche Voreinstellungen zu wählen, den Grundsatz der Datenminimierung zu beachten und wo möglich auf Inland- oder EU-Clouds auszuweichen. Praktisch unerlässlich ist zudem ein Auftragsdatenbearbeitungsvertrag mit dem Cloud-Anbieter, der u.a. regelt, dass die Daten nur nach Weisung der Behörde bearbeitet werden und entsprechende technische und organisatorische Sicherheitsmaßnahmen bestehen (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot). Behörden und deren IT-Partner müssen hier eine sorgfältige Risikoabwägung treffen: Welche Daten dürfen in eine Cloud (und ggf. in welches Land) gegeben werden? Sind Verschlüsselung oder Pseudonymisierung nötig? Wie wird der Zugriff kontrolliert? Diese Fragen sollten idealerweise in einer Datenschutz-Folgenabschätzung vorab geprüft werden.
• Datenschutzkonformer Einsatz von KI: Künstliche Intelligenz und automatisierte Datenanalysen eröffnen neue Möglichkeiten, werfen aber auch Fragen hinsichtlich Transparenz, Fairness und rechtlicher Zulässigkeit auf. Aus Sicht des EDÖB ist wichtig klarzustellen, dass bereits das geltende Datenschutzrecht für KI-Systeme giltund keine rechtsfreie Zone besteht (Geltendes Datenschutzgesetz ist auf KI direkt anwendbar). Insbesondere sind die Grundsätze wie Zweckbindung, Verhältnismäßigkeit und Datensicherheit auch bei Big-Data-Analysen und Machine-Learning-Modellen einzuhalten. Für Behörden, die KI einsetzen (etwa bei Entscheidungsfindungen, Prognosen oder der Videoüberwachung), gelten teils noch strengere Auflagen: Das neue DSG definiert Profiling mit hohem Risiko als besonders heikle Datenbearbeitung und verlangt hier erhöhte Garantien. Bei Profiling durch eine Bundesbehörde – wozu viele KI-Anwendungen zählen – schreibt das Gesetz sogar ausdrücklich eine Einwilligung der betroffenen Person vor (Datenschutzgesetz der Schweiz | DSGVO und Schweizer DSG | Cookiebot), sofern nicht eine spezielle gesetzliche Grundlage die Datenbearbeitung erlaubt. Mit anderen Worten: Ein automatisiertes Auswerten personenbezogener Daten durch Behörden ist nur in engen Grenzen zulässig. Die Praxis zeigt, dass Gerichte bereit sind, allzu weitgehende automatisierte Überwachungs- und Profilingmaßnahmen zu stoppen. Ein aktuelles Beispiel ist ein Entscheid des Bundesgerichts von Oktober 2024, der eine geplante automatische Fahrzeugfahndung im Kanton Luzern für unzulässig erklärte. Die kantonale Regelung hätte Bewegungsprofile von sämtlichen Fahrzeugen über 100 Tage gespeichert – das Bundesgericht monierte, eine solche anlasslose Vorratsdatenspeicherung selbst von “Nicht-Treffern” sei unverhältnismäßig und nicht notwendig (Leiturteil zur automatischen Fahrzeugfahndung und Verkehrsüberwachung im Fall des neuen Luzerner Polizeigesetzes – Strafrechtonline). Auch die generelle Zulassung umfassender Bewegungsprofile (Profiling) ohne ausreichende Verfahrensgarantien wurde kritisiert (Leiturteil zur automatischen Fahrzeugfahndung und Verkehrsüberwachung im Fall des neuen Luzerner Polizeigesetzes – Strafrechtonline). Dieses Beispiel verdeutlicht, dass beim Einsatz von KI durch staatliche Stellen Datenschutz und Grundrechte von Anfang an mitzudenken sind. Vor Einführung neuer KI-Systeme ist in der Regel eine DSFA durchzuführen, um Risiken für die Persönlichkeitsrechte frühzeitig zu erkennen (Merkblatt zur Datenschutz-Folgenabschätzung). Zudem sollten Betroffene zumindest über den Einsatz automatisierter Entscheidungsverfahren informiert werden und im Zweifel eine Möglichkeit zum Einspruch oder zur menschlichen Überprüfung haben. Applikationen wie Gesichtserkennung, Predictive Policing oder auch der Einsatz von Chatbots in der Verwaltung müssen an den geltenden rechtlichen Rahmen (DSG, öffentliche Registerrechte, etc.) angepasst und laufend überwacht werden.

Rechtsprechung und behördliche Leitentscheide

Die Schweizer Gerichte und Aufsichtsbehörden haben in den letzten Jahren durch wichtige Entscheide und Stellungnahmen zur Konkretisierung des Datenschutzrechts beigetragen. Einige Beispiele verdeutlichen die aktuellen Tendenzen:

• Google Street View (BGE 138 II 346, 2012): In diesem vielbeachteten Entscheid zum Kartendienst Google Street View präzisierte das Bundesgericht die Anforderungen an den Persönlichkeitsschutz bei öffentlich zugänglichen Bildern. Es verpflichtete Google unter anderem, Personen und Autokennzeichen auf den Panoramabildern wirksam zu anonymisieren. Konkret musste Google sicherstellen, dass nur maximal ca. 1% der Bilder ungewollt erkennbare Personen zeigen und diese Fälle umgehend auf Meldung hin manuell unkenntlich gemacht werden (BGE 138 II 346 (Google Street View) – datenrecht.ch – das Datenrechts-Team von Walder Wyss). Zudem auferlegte das Gericht Google die Pflicht zu einer effizienten, unbürokratischen und kostenlosen Möglichkeit der nachträglichen Anonymisierung für Betroffene (BGE 138 II 346 (Google Street View) – datenrecht.ch – das Datenrechts-Team von Walder Wyss). Die automatische Unkenntlichmachung müsse fortlaufend dem Stand der Technik angepasst werden (BGE 138 II 346 (Google Street View) – datenrecht.ch – das Datenrechts-Team von Walder Wyss). Dieses Urteil gilt als wegweisend für den Ausgleich zwischen den Interessen der Öffentlichkeit an neuen Online-Diensten und dem Privatsphärenschutz des Einzelnen. Es zeigt, dass Unternehmen moderne Technologien zwar einsetzen dürfen, dabei aber technische Maßnahmen zum Schutz personenbezogener Daten kontinuierlich verbessern müssen.
• Datenaustausch zwischen Behörden (BGE 147 II 227, 2021): Hier hat das Bundesgericht die Hürden für die Bekanntgabe von Personendaten unter Behörden nochmals betont. Im konkreten Fall verlangte ein Kanton Daten von der Wettbewerbskommission (eine Bundesbehörde) zur Verfolgung einer Kartelluntersuchung. Das Gericht hielt fest, dass Art. 19 DSG strikt auszulegen ist: Eine Behörde darf einer anderen nicht pauschal Zugriff auf ihre Datenbanken geben, sondern nur im Einzelfall genau diejenigen Daten übermitteln, die die empfangende Behörde unentbehrlich zur Erfüllung ihrer Aufgabe benötigt (Das Bundesgericht setzt sich mit der Amtshilfe unter Behörden auseinander | Datenschutz.law). Es bekräftigte damit das Prinzip der Zweckbindung und Verhältnismäßigkeit beim behördlichen Informationsaustausch. Dieser Entscheid schuf Klarheit, dass auch staatliche Stellen untereinander den Datenschutz respektieren müssen und ein ungefilterter Datenfluss im Staat nicht zulässig ist. Behörden sind seither angehalten, Amtshilfegesuche genau zu prüfen und ggf. nur Teilinformationen oder anonymisierte Daten weiterzugeben, wenn eine volle Auskunft zu umfangreich wäre.
• Automatisierte Verkehrskontrolle in Luzern (1C_63/2023, Urteil vom 17. Oktober 2024): In einem aktuellen Urteil, das zur Publikation vorgesehen ist, hat das Bundesgericht die Grenzen automatisierter Überwachungaufgezeigt. Es kippte Bestimmungen im Luzerner Polizeigesetz, die eine flächendeckende automatische Fahrzeugfahndung und Verkehrsüberwachung ermöglicht hätten. Insbesondere wurde kritisiert, dass die kantonale Regelung die Erstellung von Bewegungsprofilen aller Fahrzeuge ausdrücklich zuließ – eine Form des hochriskanten Profilings, die datenschutzrechtlich besonders heikel ist (Leiturteil zur automatischen Fahrzeugfahndung und Verkehrsüberwachung im Fall des neuen Luzerner Polizeigesetzes – Strafrechtonline). Außerdem sah das Gesetz vor, dass sämtliche erfassten Fahrzeugdaten – selbst solche ohne Treffer – bis zu 100 Tage gespeichert und auswertbar bleiben (Leiturteil zur automatischen Fahrzeugfahndung und Verkehrsüberwachung im Fall des neuen Luzerner Polizeigesetzes – Strafrechtonline). Das Bundesgericht befand, eine derart lange Vorratsdatenspeicherung ohne konkreten Anlass sei für den Zweck (Fahndung nach bestimmten gesuchten Personen) weder notwendig noch verhältnismäßig (Leiturteil zur automatischen Fahrzeugfahndung und Verkehrsüberwachung im Fall des neuen Luzerner Polizeigesetzes – Strafrechtonline). Dieser Entscheid ist richtungsweisend für den Einsatz von Überwachungstechnologie durch Sicherheitsbehörden: Zulässig ist eine automatisierte Kontrolle nur mit strikter Zweckbindung (sofortige Löschung aller Nicht-Treffer) und unter Wahrung der Verhältnismäßigkeit. Die Luzerner Regelung ging zu weit und verletzte die Grundrechte Unbeteiligter. Künftig werden kantonale Gesetzgeber solche Systeme engmaschiger reglementieren müssen (z.B. kürzere Speicherdauern, Beschränkung auf bestimmte Fahndungszwecke, unabhängige Kontrolle), um einer gerichtlichen Aufhebung zu entgehen.
• Einschränkung des Auskunftsrechts (BGE 147 III 139, 2021): Auch im Zivilbereich entwickeln die Gerichte die Datenschutzprinzipien fort. So bestätigte das Bundesgericht in diesem Entscheid, dass das Auskunftsrecht nicht missbraucht werden darf, um z.B. im Vorfeld eines Prozesses an Beweisdaten zu gelangen, die man auf regulärem Weg nicht erhielte ( Das Bundesgericht setzt dem Auskunftsrecht weiterhin Grenzen – CDBF  ). Im konkreten Fall hatte ein entlassener Manager seine ehemalige Bank per Datenschutz-Auskunftsersuchen zur Herausgabe von Informationen zwingen wollen, um einen Verdacht zu erhärten. Das Gericht verweigerte dies und hielt fest: Das datenschutzrechtliche Auskunftsrecht dient der Transparenz der eigenen Datenbearbeitung, aber nicht dazu, zivilprozessuale Beweisregeln zu umgehen ( Das Bundesgericht setzt dem Auskunftsrecht weiterhin Grenzen – CDBF  ). Dieser Entscheid schafft ein wichtiges Abgrenzungskriterium: Unternehmen können Auskunftsersuchen zurückweisen, wenn offensichtlich ist, dass die betroffene Person nur fremde Interessen (z.B. Prozesszwecke)verfolgt und nicht den Datenschutz an sich. Trotzdem bleibt Vorsicht geboten – jedes Gesuch ist sorgfältig zu prüfen, und legitime Auskunftsansprüche sind selbstverständlich zu erfüllen.

Zusätzlich zur Rechtsprechung prägen Stellungnahmen der Aufsichtsbehörden die Praxis. Der EDÖB veröffentlicht jährlich einen Tätigkeitsbericht, in dem er exemplarische Fälle schildert und seine Auslegung des Rechts darlegt. So hat der EDÖB in jüngster Zeit u.a. zu Themen wie Google Analytics, Messenger-Diensten in der Bundesverwaltung oder dem Umgang mit Genetic Data Stellung genommen. Diese Publikationen – ebenso wie kantonale Empfehlungen – sollten von Behörden und Unternehmen verfolgt werden, da sie wertvolle Hinweise zur behördlichen Durchsetzung des Datenschutzes geben. Laufend im Auge zu behalten sind ferner die kantonalen Gesetzesrevisionen: Viele Kantone werden in 2024/25 ihre Datenschutzgesetze modernisieren, was für interkantonale Projekte und kantonsübergreifende Unternehmen relevante Änderungen mit sich bringen kann.

Beratung und Unterstützung durch Apollon Care AG

Angesichts der dargelegten Komplexität des Datenschutzes im IT-Recht ist professionelle Unterstützung unerlässlich. Apollon Care AG – als spezialisierte Kanzlei für digitales Recht und Datenschutz – steht öffentlichen Stellen sowie privaten Unternehmen, die mit der öffentlichen Hand zusammenarbeiten, mit umfassender Expertise zur Seite. Unser Team kennt die besonderen Herausforderungen auf Behördenseite ebenso wie die Anforderungen an Unternehmen im Umgang mit sensiblen Personendaten.

Beratungsleistungen der Apollon Care AG im Datenschutz: Wir begleiten Kantone, Gemeinden und staatsnahe Betriebe bei der Implementierung der neuen Datenschutzvorgaben. Dazu zählt zunächst eine Bestandsaufnahme: Welche Daten bearbeitet die Organisation? Wo bestehen Lücken gegenüber dem neuen DSG? Darauf aufbauend helfen wir bei der Erarbeitung maßgeschneiderter Maßnahmenpläne, um Rechtssicherheit herzustellen. Konkret unterstützen wir Sie etwa bei der Erstellung oder Aktualisierung von Datenschutzerklärungen und Verzeichnissen der Bearbeitungstätigkeiten, der Einführung von Prozessen zur Bearbeitung von Auskunfts- und Löschbegehren, sowie der vertraglichen Absicherung von Datenübermittlungen (z.B. Prüfung und Ausarbeitung von Auftragsdatenbearbeitungsverträgen oder Standardklauseln bei Auslandstransfers).

Ein besonderer Fokus liegt auf der Durchführung von Datenschutz-Folgenabschätzungen (DSFA). Sobald neue Projekte oder Technologien – etwa Cloud-Lösungen oder KI-Anwendungen – ins Spiel kommen, evaluieren wir gemeinsam mit Ihnen die möglichen Risiken für die betroffenen Personen. Wir erstellen sorgfältige DSFA-Berichte, identifizieren notwendige Schutzmaßnahmen und übernehmen auf Wunsch auch die Kommunikation mit dem EDÖB, falls eine vorgängige Konsultation erforderlich sein sollte. Durch unsere Erfahrung wissen wir, worauf Aufsichtsbehörden bei solchen Assessments Wert legen, und sorgen dafür, dass Ihre Projekte „privacy by design“ aufgesetzt sind.

Des Weiteren bietet Apollon Care AG Unterstützung bei der Erarbeitung von internen Reglementen und Richtlinien. Ein solides Datenschutz-Reglement – angepasst an die spezifischen Bedürfnisse einer Behörde oder eines Unternehmens – schafft Klarheit für alle Beteiligten. Wir formulieren für Sie verständliche und praxisnahe Richtlinien, etwa zur Nutzung von Cloud-Diensten, zum E-Mail-Verschlüsselungsstandard, zum Umgang mit Datenschutzvorfällen (Data Breaches) oder zur Aufbewahrung und Löschung von Akten. Diese internen Vorgaben helfen Ihren Mitarbeitenden, im Tagesgeschäft die Compliance einzuhalten, und dienen im Ernstfall auch als Nachweis dafür, dass Ihr Haus organisatorische Vorkehrungen getroffen hat (ein wichtiger Aspekt bei der Rechenschaftspflicht nach DSG).

Nicht zuletzt übernehmen wir die Schulung Ihrer Mitarbeitenden. Datenschutz beginnt bei den Menschen, die täglich mit den Daten arbeiten. Ob Grundlagenschulung für das gesamte Personal, Workshops für Führungskräfte oder spezielle Trainings für Datenschutz-Koordinatoren – wir vermitteln das nötige Wissen verständlich und praxisorientiert. Typische Inhalte sind z.B. die korrekte Abwicklung von Auskunftsersuchen, do’s & don’ts bei der Datenweitergabe, sichere Nutzung von Cloud und mobilen Arbeitsmitteln, sowie Sensibilisierung für Social Engineering und Datensicherheit. Durch solche Weiterbildungen fördern wir eine gelebte Datenschutzkultur in Ihrer Organisation, die das Risiko von Verstößen minimiert.

Apollon Care AG legt Wert auf eine praxisnahe und lösungsorientierte Beratung. In diesem komplexen Themenbereich kombinieren wir juristisches Fachwissen mit Verständnis für technische und organisatorische Gegebenheiten. So können wir Behörden und Unternehmen dabei helfen, den Spagat zwischen digitaler Innovation und Datenschutz erfolgreich zu meistern. Vom ersten Audit bis zur erfolgreichen Zertifizierung – wir stehen als vertrauensvoller Partner an Ihrer Seite und sorgen dafür, dass Datenschutz nicht als Bürde, sondern als Qualitätsmerkmal Ihrer digitalen Dienstleistungen wahrgenommen wird. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Sie bei Ihren Datenschutz-Projekten unterstützen können.

Quellen: BGE-Entscheide, EDÖB-Veröffentlichungen und Gesetzestexte (siehe Fußnoten im Text). Unsere langjährige Erfahrung aus Beratungsmandaten im öffentlichen Sektor bildet die Grundlage für die obigen Ausführungen. Apollon Care AG – Ihr Experte für Datenschutz und IT-Recht in der Schweiz.