Datenschutz82. Weblaw Rundmail Datenschutz

Wie lässt sich Künstliche Intelligenz (KI) in die juristische Arbeit integrieren? Ein HSLU-Fachkurs zeigt, wie KI und Chatbots das Recht transformieren und wie wir mit den rechtlichen Herausforderungen umgehen.

In Form eines SAS (Short Advanced Studies) vermittelt die HSLU die Grundlagen der ICT. Teilnehmende erhalten einen Überblick über Begriffe und Konzepte der Informations- und Kommunikationstechnologie. Die Weiterbildung richtet sich an Personen, die einen tieferen Einblick in die technischen Grundlagen des modernen Cyberspace erhalten wollen.

Wir bilden Expert:innen aus: Weiterbildung für Fachkräfte mit nachgewiesener Datenschutzgrundbildung, die ihre Expertise vertiefen möchten  Start: 27. Februar 2026 (Dauer: ca. 5 Monate, 14 Kurstage , + 1 Tag Präsentationen) Winterthur, Zürcher Hochschule für Angewandte Wissenschaften

Soeben wurde die rezensierte Dissertation der Rechtsfakultät der Uni Zürich veröffentlicht. Sie befasst sich mit einer höchst wichtigen Frage, nämlich jener der Überprüfung der Kreditwürdigkeit vor Abschluss eines Vertrags. Dabei geht es insbesondere um die Positionierung des Kreditscorings, welches sich Algorithmen und automatisierten Abläufen bedient. Fraglich ist, inwiefern das Kreditscoring zu einem Profiling mit hohem Risiko oder zu einer automatisierten Entscheidung führt. Trotz verschiedener Lehrmeinungen und auch gewissen Rechtsprechungen, die in eine Richtung gehen, gelangt der Verfasser zu einem sehr nuancierten und lesenswerten Ergebnis.

Die im Dezember 2024 verabschiedete UN-Konvention gegen Cyberkriminalität markiert den ersten universellen Vertrag zur Bekämpfung digitaler Straftaten. Der Beitrag untersucht ihr Verhältnis zur Budapester Konvention, die Vereinbarkeit extraterritorialer Ermittlungsbefugnisse mit dem Recht auf Privatsphäre sowie die Reichweite erweiterter Jurisdiktionsregeln. Er kommt zu dem Ergebnis, dass das Abkommen zwar einen politischen Meilenstein darstellt, menschenrechtlich jedoch nur minimale Sicherungen vorsieht und zentrale Fragen den nationalen Rechtsordnungen überlässt.

Der Bundesrat will die Rechte der Nutzerinnen und Nutzer im digitalen Raum stärken und sehr grosse Kommunikationsplattformen sowie Suchmaschinen zu mehr Fairness und Transparenz verpflichten. Mit einem neuen Gesetz sollen zentrale Regeln für Dienste wie Facebook, X, TikTok oder Google gesetzlich verankert werden. Dies hat der Bundesrat an seiner Sitzung vom 29. Oktober 2025 entschieden. Interessierte Kreise können bis am 16. Februar 2026 zur Vorlage Stellung nehmen.

Wenn Bundesorgane besonders sensitive Personendaten automatisiert bearbeiten, müssen sie dies in jedem Fall protokollieren. Bei der Bearbeitung von weniger sensitiven Personendaten entscheidet künftig eine Risikoanalyse darüber, ob und wie detailliert die Bearbeitung protokolliert werden muss. Der Bundesrat hat an seiner Sitzung vom 29. Oktober 2025 entschieden, die entsprechenden Änderungen der Datenschutzverordnung auf den 1. Dezember 2025 in Kraft zu setzen.

Der EDÖB publiziert eine aktualisierte Fassung seines Cookie-Leitfadens vom 22. Januar 2025, die punktuelle Präzisierungen und Ergänzungen enthält, welche zur besseren Verständlichkeit des Texts und Klärung von Fragestellungen der Praxis beitragen sollen.

Der aktualisierte Leitfaden stimmt inhaltlich mit der ersten Fassung vom 22. Januar 2025 überein, welche durch die neue Version punktuell präzisiert und ergänzt wird. Die Aktualisierung soll zur besseren Verständlichkeit des Texts und Klärung von Fragestellungen beitragen, die seitens der Praxis an den Beauftragten herangetragen worden sind.

Insbesondere fand es der EDÖB nützlich zu verdeutlichen, warum der Einsatz von Cookies zum Zwecke der Zustellung von personalisierter Werbung unter Umständen die Einwilligung der betroffenen Personen erfordert. So, wenn der Webseitenbetreiber mittels Einbindung von Third-Party-Cookies oder ähnlicher Technologien Dritten Zugang zu personenbezogenen Informationen der Besuchenden gegen Entgelt verschafft und diese Dritten in mehrere Webseiten eingebettet sind. Da Letztere somit in die Lage versetzt werden, ein Profiling mit hohem Risiko durchzuführen, stellt dies einen besonders intensiven Eingriff in die Persönlichkeit der betroffenen Personen dar.

Auch brachte der EDÖB Ergänzungen zum Thema der Erhebung von Standortdaten vor – einer Datenbearbeitung, die sehr verbreitet ist und besondere Risiken mit sich bringt: Sie begünstigt einerseits die Bestimmbarkeit der realen Identität eines Onlinenutzers (zum Beispiel indem rekonstruiert werden kann, wo sich ein Gerät während der Nacht bzw. Schlafenszeit befindet, oder an welchen Adressen es sich an Werktagen regelmässig befindet). Andererseits eröffnen Standortdaten die Möglichkeit, Rückschlüsse über wesentliche Aspekte der Persönlichkeit der Nutzer zu ziehen. Ein Profiling, das sich auf Standortdaten stützt, stellt somit oft ein Profiling mit hohem Risiko dar.

Weiter thematisiert die aktualisierte Fassung des Leitfadens den Einsatz von sog. Cookie-Paywalls. Sie legt dar, ob und unter welchen Umständen eine Einwilligung rechtsgültig erteilt werden kann, wenn die betroffene Person vor die Wahl gestellt wird, ihre Einwilligung zu erteilen oder ein bezahltes Abonnement abzuschliessen.

Der Cookie-Leitfaden beruht auf dem Datenschutzgesetz des Bundes (DSG SR 235.1), der Datenschutzverordnung (DSV SR 235.11), spezialgesetzlichen Datenschutzbestimmungen des Bundesrechts sowie der bundesgerichtlichen Rechtsprechung, einschlägigen Lehrmeinungen und der bisherigen Aufsichtspraxis des EDÖB. Das Dokument richtet sich an ein Fachpublikum.

In einem nächsten Schritt wird der EDÖB eine auch an ein breiteres Publikum gerichtete Sensibilisierungskampagne durchführen und sodann die nötigen aufsichtsrechtlichen Schritte nach Massgabe des Leitfadens in die Wege leiten.

Der EDÖB schliesst seine Vorabklärung zu den Überwachungskameras mit künstlicher Intelligenz der Coop-Genossenschaft ab und verzichtet auf eine formelle Untersuchung. Die Abklärung hat ergeben, dass die Datenbearbeitung dem Datenschutzgesetz entspricht.

Die Medien meldeten dem EDÖB im Februar 2025, die Coop-Genossenschaft setze in einigen Verkaufsstellen, insbesondere in Lausanne, an den Selbstbedienungskassen womöglich Überwachungskameras mit künstlicher Intelligenz ein. Ein Piktogramm weise die Kundinnen und Kunden darauf hin, dass die Kameras erkennen würden, wenn nicht alle Produkte gescannt werden.

Zur Klärung des Sachverhalts eröffnete der EDÖB umgehend eine Vorabklärung und verlangte vom Unternehmen weitere Informationen, insbesondere in Bezug auf den konkreten Einsatz der Kameras, die bearbeiteten Daten, die Unterschiede zu einer herkömmlichen Videoüberwachung, den Zweck, die Art, wie die Transparenz gegenüber den betroffenen Personen gewährleistet wird, und die Gesetzeskonformität.

Gestützt auf die Prüfung und die Erläuterungen von Coop konnte der EDÖB die genaue Funktionsweise der Kameras nachvollziehen und sich vergewissern, dass sie keine Gesichtserkennung durchführen und das Kaufverhalten der Kundinnen und Kunden nicht analysieren können. Ohne näher auf die Funktionsweise der Kameras einzugehen, kommt der EDÖB zum Schluss, dass die Datenbearbeitung in diesem Fall dem Datenschutzgesetz entspricht und für die betroffenen Personen kein erhöhtes Risiko mit sich bringt. Das Dossier wurde geschlossen und es wird keine formelle Untersuchung eingeleitet.

Formulare, die den Patientinnen und Patienten bei ärztlichen und therapeutischen Konsultationen ausgehändigt werden, werfen regelmässig Fragen zu Zweck und Inhalt auf. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlicht nun ein Merkblatt, um die datenschutzrechtlichen Rahmenbedingungen in Erinnerung zu rufen und zu präzisieren.

Im Zuge der anhaltenden Reaktionen auf die Formulare, die den Patientinnen und Patienten bei ärztlichen und therapeutischen Konsultationen ausgehändigt werden, hat der EDÖB ein Merkblatt verfasst. Es berücksichtigt die verschiedenen Meinungen zum Thema und beleuchtet unterschiedliche Aspekte der Patientenformulare:

• Unterscheidung zwischen der Informationspflicht über die Datenbeschaffung und der Einwilligung der Patientinnen und Patienten in die Datenbearbeitung;
• sichere Datenbekanntgabe;
• Grundsatz der Verhältnismässigkeit, sprich welche Daten berechtigterweise beschafft werden dürfen.

Mit dem Merkblatt will der EDÖB den Patientinnen und Patienten hilfreiche Informationen bereitstellen, vor allem aber auch die Leistungserbringer und ihre Dachverbände für die Anforderungen des Datenschutzgesetzes sensibilisieren. Er erwartet von ihnen, dass sie die Formulare und ihre Praxis gegebenenfalls anpassen.

Das Merkblatt wurde aus Sicht der Arzt-Patienten-Beziehung verfasst. Die Grundsätze gelten jedoch grösstenteils auch für andere, privat ausgeübte therapeutische Berufe.

On 5 September 2025, the European Commission started the process towards the adoption of its draft implementing decision (‘Draft Decision’) on the adequate protection of personal data by the Federative Republic of Brazil (‘Brazil’)....

Draft! 
The Digital Markets Act (DMA) and the General Data Protection Regulation (GDPR) pursue different purposes and objectives and have different scopes. While the GDPR aims to protect natural persons with regard to the processing of personal data and ensure the free flow of personal data in the Union covering all data controllers and processors, the DMA aims to tackle unfair practices, and their potential harmful effects for business users, by laying down harmonised rules applicable to gatekeepers ensuring, for all businesses, contestable and fair markets in the digital sector across the Union, to the benefit of both business users and end users.
The DMA and GDPR are complementary in terms of goals and in terms of the protections provided to individuals. Compliance with obligations under the GDPR goes together with the objective of addressing gatekeepers’ data-driven advantages that the DMA, among other objectives, aims to tackle. ...

Today, the European Commission preliminarily found both TikTok and Meta in breach of their obligation to grant researchers adequate access to public data under the Digital Services Act (DSA).
The Commission also preliminarily found Meta, for both Instagram and Facebook, in breach of its obligations to provide users simple mechanisms to notify illegal content, as well as to allow them to effectively challenge content moderation decisions. ...

Verwaltungsgerichte, Berechtigtes Interesse, Nutzungsverträge, DS-GVO, Unerweislichkeit, Ausübung des Hausrechts, Bodycam, Restschuldbefreiung, Abhilfebefugnis, Datenschutzgrundverordnung, Aufsichtsbehörde, Streitwertfestsetzung, Allgemeinverfügung, Aussage gegen Aussage, Schriftsatznachlass, mündlich Verhandlung, Verantwortlichkeit, Verwaltungsgerichtsurteile, Aufsichtsmaßnahmen, Kostenentscheidung.

Vorlagefrage an EuGH zum Personenbezug dynamischer IP-Adressen und zu datenschutzrechtlichen Schadensersatzansprüchen

Aus dem Tenor: 

I. Das Verfahren wird ausgesetzt.

II. Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

Normenketten: ZPO § 253 Abs. 2 Nr. 2, § 256 Abs. 1, DSGVO Art. 46, Art. 82, BGB § 242

Leitsätze:

1. Ein Unterlassungsantrag, der sich gegen vermeintlich unzulässige Datenübermittlungen richtet, ist unzulässig, wenn er nicht eindeutig erkennen lässt, welche konkreten Handlungen untersagt werden sollen. Das Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO verlangt, dass Art und Umfang der beanstandeten Datenverarbeitung präzise bezeichnet werden. Die bloße pauschale Bezugnahme auf „personenbezogene Daten“ genügt ebenso wenig wie ein generelles Verbot der Datenübermittlung an „Dritte“, das auch berechtigte amtliche Anfragen erfassen könnte. (Rn. 29 – 30) (redaktioneller Leitsatz)

2. Ein Auskunftsantrag ist mangels Rechtsschutzbedürfnis unzulässig, wenn der Kläger die begehrten Informationen durch einen einfacheren oder billigeren Weg erreichen kann, etwa durch die Nutzung eines von dem Verantwortlichen zur Verfügung gestellten Selbstbedienungstools, worauf er auch hingewiesen wurde. (Rn. 31 – 32) (redaktioneller Leitsatz)

3. Ein Schadensersatzanspruch nach Art. 82 DSGVO wegen einer Datenübertragung in ein Drittland, etwa die USA, scheidet aus, wenn der zugrundeliegende Datentransfer auf ausreichenden Garantien nach Art. 46 DSGVO beruht und der Kläger zudem in Kenntnis der Datenverarbeitungsmodalitäten die Dienste des Anbieters freiwillig nutzt. Wer bewusst einen globalen Kommunikationsdienst verwendet, dessen technische Funktionsweise notwendigerweise internationale Datenflüsse voraussetzt, kann sich später nicht auf eine unzulässige Datenübermittlung berufen. Das widerspricht dem Grundsatz von Treu und Glauben. (Rn. 38 – 42 und 48) (redaktioneller Leitsatz)

4. Ein immaterieller Schadensersatzanspruch nach Art. 82 DSGVO setzt eine nachvollziehbare, individualisierte Darlegung konkreter Beeinträchtigungen voraus, die kausal auf eine rechtswidrige Datenverarbeitung zurückzuführen sind. Abstrakte Ängste vor einem möglichen Zugriff ausländischer Behörden auf personenbezogene Daten genügen ebenso wenig wie pauschale, textbausteinartige Schilderungen seelischer Belastungen. Selbst wenn psychische oder körperliche Beschwerden behauptet werden, fehlt es an der haftungsrechtlichen Zurechnung, wenn die geltend gemachten Beeinträchtigungen auf allgemeine politische Entwicklungen oder das generelle Risiko staatlicher Dateneinsicht zurückgehen, nicht aber auf die konkret angegriffene Datenübermittlung. Der bloße Speicherort der Daten begründet für sich genommen keinen ersatzfähigen Schaden. (Rn. 42 – 47) (redaktioneller Leitsatz)

Normenkette: DSGVO Art. 6 Abs. 1 lit. b, lit. f, Art. 7 Abs. 2, Abs. 4, Art. 82 Abs. 1

Leitsätze:

1. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt den vollständigen Nachweis eines konkret-individuellen Schadens voraus. Bloße Verunsicherung oder abstrakte Kontrollverlustgefühle genügen nicht. (Rn. 21 – 24) (redaktioneller Leitsatz)

2. Eine Einwilligung nach Art. 7 DSGVO ist wirksam, wenn sie in einfacher Sprache, transparent und zweckgebunden erteilt wird. Eine datenschutzrechtliche Einwilligung kann auch dann freiwillig sein, wenn sie an einen Vertragsschluss gekoppelt ist, sofern keine unangemessene Drucksituation besteht.  (Rn. 30 – 38) (redaktioneller Leitsatz)

3. Die Übermittlung von Positivdaten an Wirtschaftsauskunfteien durch Telekommunikationsunternehmen ist zur Wahrung berechtigter Interessen i.S.v. Art. 6 Abs. 1 lit. f DSGVO, namentlich der Betrugsprävention, erforderlich, ohne dass die Persönlichkeitsrechte des Betroffenen überwiegen.  (Rn. 39 – 50) (redaktioneller Leitsatz)

DSGVO, Datenübertragung, USA, US Foreign Intelligence Surveillance Act

Normen: BDSG § 29 Abs. 1 S. 2, DSGVO Art. 15 Abs. 4, Art, 45 Abs. 1, Art. 49 Abs. 1

Leitsätze:

Die Übertragung der Daten eines Nutzers eines internationalen sozialen Netzwerks ins Ausland ist für die Erfüllung des Vertrags gemäß Art.49 Abs. 1 S. 1 lit. b DSGVO notwendig.

Der US-amerikanische Betreiber eines sozialen Netzwerks bzw. dessen europäisches Tochterunternehmen, dem nach US-amerikanischen Recht (Section 702 des US Foreign Intelligence Surveillance Act von 1978) die Auskunft über Datenzugriffe US-amerikanischer Geheimdienste auf Daten von Nutzern des sozialen Netzwerks verboten ist, ist im Einzelfall - vorliegend bejaht - aufgrund unauflösbarer Pflichtenkollision berechtigt, den nach der DSGVO bestehenden Auskunftsanspruch des Nutzers nicht zu erfüllen.

Eine solche Rechtfertigung ergibt sich nicht aus § 29 Abs. 1 S. 2 BDSG oder Art. 15 Abs. 4 DSGVO (direkt).

Scraping bei Facebook - Pseudonym als Benutzername

Leitsatz

1. Verwendet ein Nutzer bei Facebook einen aus Teilen seines Vor- und Nachnamens gebildeten Benutzernamen, stellt dieser trotz der Verfremdung ein personenbezogenes Datum im Sinne der Datenschutzgrundverordnung dar.

2. Ist der Benutzername neben (u.a.) der Mobilfunknummer von dem Datenschutzvorfall bei der Beklagten betroffen, führt jedenfalls die konkrete Pseudonymisierung nicht zu einem geringeren Schadensersatzanspruch.

noyb hat am 28.10.2025 eine Strafanzeige gegen Clearview AI und die relevaten Manager:innen eingereicht. Das Gesichtserkennungsunternehmen ist dafür bekannt, im Internet Milliarden Fotos von Europäer:innen und Menschen weltweit zu sammeln – und daraus eine Biometrie-Datenbank geschaffen zu haben, die es an Strafverfolgungsbehörden und andere staatliche Akteure verkaufte. Mehrere EU-Datenschutzbehörden haben Strafen gegen Clearview AI verhängt. Das US-Unternehmen ignoriert diese europäischen Strafen, da sie nicht durchgesetzt werden.

In diesem Papier wird die Umsetzbarkeit der Grundsätze der DSGVO in KI-Systemen mit Retrieval Augmented Generation (RAG), sog. RAG-Systemen, untersucht. Aufbauend auf einem typischen Anwendungsszenario werden die technischen Komponenten eines RAG-Systems dargestellt. Dabei zeigt sich, dass die RAG-Methode beispielsweise hinsichtlich der Sicherstellung kontextbezogener und überprüfbarer Inhalte positive Effekte auf die Richtigkeit und Nachvollziehbarkeit der Ausgaben eines KI-Systems entfalten kann und in einem RAG-System die Vertraulichkeit und Integrität von zusätzlich eingebundenen personenbezogenen Daten verbessert werden können. Gleichzeitig entstehen auch neue datenschutzrechtliche Herausforderungen. Ferner ermöglicht die Methode in vielen Fällen, ein LLM ggf. on-premise einzusetzen, das weniger umfangreiche Trainingsdaten benötigt, wodurch ggf. weniger personenbezogene Daten aus dem KI-Modell extrahierbar sind. Zwar bleibt insbesondere die datenschutzrechtliche Beurteilung des Trainings des verwendeten LLM als solches unberührt, doch kann die Implementierung der RAG-Methode in einem KI-System im Ergebnis zu einer differenzierten datenschutzrechtlichen Bewertung führen.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat mit dem Datenbarometer ein neues Instrument ins Leben gerufen, das künftig regelmäßig die Einstellungen und Erwartungen der Bevölkerung zum Thema Datenschutz erfasst. Ziel ist es, die gesellschaftlichen Perspektiven auf Datenschutz sichtbar zu machen, um die politische und fachliche Diskussion stärker evidenzbasiert zu gestalten.