Datenschutz83. Weblaw Rundmail Datenschutz

In Form eines SAS (Short Advanced Studies) vermittelt die HSLU die Grundlagen der ICT. Teilnehmende erhalten einen Überblick über Begriffe und Konzepte der Informations- und Kommunikationstechnologie. Die Weiterbildung richtet sich an Personen, die einen tieferen Einblick in die technischen Grundlagen des modernen Cyberspace erhalten wollen.

Die EU verschärft mit der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) die Anforderungen an Cybersicherheit und Produktsicherheit. Auch Schweizer Unternehmen sind faktisch betroffen, da sie für den Zugang zum EU-Binnenmarkt hohe Sicherheits- und Meldepflichten erfüllen müssen. Der Beitrag analysiert die Schweizer Umsetzungsentwürfe, deren verfassungsrechtliche Grundlagen sowie die Auswirkungen auf KMU. Er zeigt, dass ein autonomer, verhältnismässiger Nachvollzug der EU-Standards notwendig erscheint, um Wettbewerbsfähigkeit und IT-Sicherheit zu gewährleisten.

Justizforschung benötigt – wie Forschung ganz allgemein – Daten. Dieser Beitrag befasst sich mit der Gewinnung von Datengrundlagen zur Beforschung der Justiz in der Schweiz, sowohl mittels herkömmlicher Methoden wie auch mittels Nutzung der neuen technologischen Möglichkeiten. Dabei werden auch Grenzen und Schranken der Datenbeschaffung und Datenbearbeitung aufgezeigt.

In den letzten Jahren wuchs die Sorge über Gefahren von Social-Media-Plattformen für Kinder und Jugendliche. Dies führte zu Forderungen nach strengeren Regeln. Mehrere Staaten haben Massnahmen ergriffen; Australien will die Nutzung für Unter-16-Jährige sogar ganz verbieten. Auch die Schweiz prüft ein solches Verbot. Dieser Beitrag beleuchtet Social-Media-Verbote für Kinder und Jugendliche aus rechtlicher Sicht und zeigt Wege für besseren Schutz im digitalen Umfeld auf.

Personendaten werden verbreitet dafür eingesetzt, um digitale Leistungsangebote nutzen zu können. Beim Herunterladen von Apps oder bei der Registrierung auf sozialen Plattformen werden die Nutzer dazu aufgefordert, in die weitreichende Weitergabe und Nutzung ihrer Daten einzuwilligen. Aus datenschutzrechtlicher Sicht ist eine solche Einwilligung nur zulässig, wenn sie freiwillig erfolgt. Diskutiert wird dabei, unter welchen Voraussetzungen sog. Pay or Okay-Lösungen die Freiwilligkeit gewährleisten. Der vorliegende Aufsatz befasst sich mit der Frage, wie sich die datenschutzrechtlichen Anforderungen an die Datenbearbeitung auf das Vertragsrecht auswirken.

Gute Nachrichten für den Datenschutz: Mit einer klaren Mehrheit von 101 zu 28 Stimmen (bei 13 Enthaltungen) hat der Grosse Rat am Mittwoch das revidierte kantonale Datenschutzgesetz (KDSG) angenommen.

Die Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Lösungen internationaler Anbieter ist in den meisten Fällen unzulässig, wie privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in der heute publizierten Resolution festhält.

Der Zürcher Kantonsrat hat sich am Montag dafür ausgesprochen, automatische Gesichtserkennung zu ermöglichen. Die Revision des Informations- und Datenschutzgesetzes diskutierte er ausführlich.

Die Nutzung der Cloud-Technologie ist ein kritischer Erfolgsfaktor für die Schweiz und deren Finanzplatz. Ein klares Verständnis der rechtlichen und regulatorischen Anforderungen ist dafür unerlässlich. Der im Jahr 2019 erstmals publizierte Cloud-Leitfaden der Schweizerischen Bankiervereinigung (SBVg) zeigt den Banken und Wertpapierhäusern umsetzbare Lösungsansätze, um diese mittels angemessener technischer und organisatorischer Massnahmen zu konkretisieren und zu operationalisieren und liegt nun in einer aktualisierten Fassung vor.

Wenn Bundesorgane besonders sensitive Personendaten automatisiert bearbeiten, müssen sie dies in jedem Fall protokollieren. Bei der Bearbeitung von weniger sensitiven Personendaten entscheidet künftig eine Risikoanalyse darüber, ob und wie detailliert die Bearbeitung protokolliert werden muss. Der Bundesrat hat an seiner Sitzung vom 29. Oktober 2025 entschieden, die entsprechenden Änderungen der Datenschutzverordnung auf den 1. Dezember 2025 in Kraft zu setzen.

On e-commerce websites, users are frequently required to create an online account before being able to access offers or purchase goods and services. Controllers generally justify the imposition of account creation for several reasons, such as to perform a sale, enable the subscription to services, grant access to exclusive offers to their users or facilitate the operational management of orders.
While controllers in the e-commerce sector may have a commercial interest to require users to set up an account, the EDPB notes that such account creation may also expose data subjects to additional risks to their rights and freedoms.
In this document, the EDPB provides recommendations to the controllers operating in the e-commerce sector on the conditions under which they may lawfully require their users to create an account under Articles 5(1)(a) and 6 GDPR.

The development, procurement and deployment of AI systems involving the processing of personal data by European Union Institutions, Bodies, Offices and Agencies (EUIs) raises significant risks to data subjects’ fundamental rights and freedoms, including but not limited to privacy and data protection. As the cornerstone of Regulation 2018/1725 (EUDPR),1 the principle of accountability enshrined in Article 4(2) (for administrative personal data) and Article 71(4) (for operational personal data) requires EUIs to identify and mitigate these risks, as well as to demonstrate how they did so. This is all the more important for AI systems that are the product of intricate supply chains often involving multiple actors processing personal data in different capacities.
This Guidance aims to guide EUIs acting as data controllers in identifying and mitigating some of these risks. More specifically, they focus on the risk of non-compliance with certain data protection principles elicited in the EUDPR for which the mitigation strategies that controllers must implement can be technical in nature – namely fairness, accuracy, data minimisation, security and data subjects’ rights.

On 5 September 2025, the European Commission started the process towards the adoption of its draft implementing decision (‘Draft Decision’) on the adequate protection of personal data by the Federative Republic of Brazil (‘Brazil’)...

The European Commission welcomes the political agreement reached today between the European Parliament and EU Member States on the Omnibus I simplification package, a significant step forward in relieving companies from administrative burden.

Der Beitrag zeigt praxisrelevante Auslegungsfragen des EU Data Act, u.a. zu verschachtelten Produkten, der faktischen Eingrenzung des Dateninhaberbegriffs auf Vertragspartner des Endnutzers, Datenveredelung als Abgrenzungsstrategie, fehlendem Geschäftsgeheimnisschutz beim „Access-by-Design“, komplexen Zustimmungsketten, Pflichten entlang der gesamten Lieferkette, dem Anspruch auf historische Daten sowie dem überraschend weiten Anwendungsbereich vernetzter Produkte.

Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt eine umfassende Modernisierung des Cybersicherheitsrechts in Kraft. Das Gesetz erhöht die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen.

Das Vorabentscheidungsersuchen betrifft die Auslegung der Art. 12 bis 15 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) (ABl. 2000, L 178, S. 1) sowie von Art. 2 Abs. 4, von Art. 4 Nrn. 7 und 11, von Art. 5 Abs. 1 Buchst. b und f, von Art. 6 Abs. 1 Buchst. a sowie der Art. 7, 24 und 25 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

LG Lübeck, Urteil vom 27.11.2025 - 15 O 15/24

Die Kammer gibt ihre bisherige differenzierende Betrachtung zwischen „technischen Standarddaten“ und sonstigen personenbezogenen Daten bei der Nutzung von Meta Business Tools auf und unterwirft sämtliche streitgegenständlichen Daten einer einheitlichen datenschutz- und zivilrechtlichen Bewertung.

1. Der betroffenen Nutzerin steht gegen die Betreiberin der Plattform ein Unterlassungsanspruch aus nationalem Recht (§§ 1004 Abs. 1 S. 2 analog, 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1 GG) zu, gerichtet auf das Unterlassen der Erhebung, Übermittlung, Speicherung und Weiterverwendung personenbezogener Daten anlässlich von Besuchen auf Drittwebseiten und Dritt-Apps mittels Meta Business Tools.

2. Für die Annahme einer individuellen Betroffenheit der Klägerseite von der Datenerhebungspraxis genügt angesichts der massenhaften und intransparenten Datenverarbeitung ein abstrakter Wahrscheinlichkeitsvortrag; einer Darlegung konkret besuchter Webseiten bedarf es nicht. Die Verteidigungsrechte der Beklagten werden hierdurch nicht unzumutbar beschränkt.

3. Die Klägerseite ist nicht darauf zu verweisen, Auskunfts- oder Kontrollrechte über von der Beklagten bereitgestellte „Selbstauskunfts-Tools“ wahrzunehmen, sofern diese nach eigener Darstellung der Beklagten keine vollständige und lückenlose Auskunft über die erhobenen Daten ermöglichen.

4. Die Beklagte ist für die mittels der von ihr entwickelten Business Tools erfolgende Datenerhebung und -verarbeitung jedenfalls mitverantwortlich im Sinne von Art. 4 Nr. 7 DSGVO; eine vertragliche Verlagerung der Verantwortung auf Drittanbieter ist unerheblich.

5. Für die Speicherung der streitgegenständlichen personenbezogenen Daten bei der Beklagten fehlt es an einem Rechtfertigungsgrund nach Art. 6 DSGVO; insbesondere liegt weder eine wirksame Einwilligung der betroffenen Nutzerin noch ein sonstiger Erlaubnistatbestand vor.

6. Der betroffenen Nutzerin steht wegen des durch die rechtswidrige Datenverarbeitung verursachten Kontrollverlusts über ihre personenbezogenen Daten ein immaterieller Schadensersatzanspruch aus Art. 82 DSGVO in Höhe von 5.000 EUR zu.

Kinder unterliegen einer besonderen strukturell bedingten Gefährdungslage: Sie verstehen je nach Reifegrad die meist langfristigen Nachteile der Verarbeitung ihrer personenbezogenen Daten noch unzureichend, sind aber für die meist kurzfristigen positiven Effekte der Nutzung von datenverarbeitenden Systemen und Diensten sehr offen und für Verführungen zu ihrer Nutzung leicht zugänglich.

Aus diesen Gründen haben Kinder einen besonderen Bedarf an Schutz und Fürsorge im digitalen Raum und insgesamt bezüglich der Verarbeitung ihrer Daten. 

Diese besondere Schutz- und Fürsorgepflicht des Gesetzgebers berücksichtigt auch die Datenschutz-Grundverordnung in vielen Zusammenhängen – allerdings nicht in allen notwendigen Aspekten.

Daher sollte die Datenschutz-Grundverordnung um weitere spezifische Regelungen zum Schutz von Kindern dort ergänzt werden, wo besondere Gefahren bestehen, dass die für die Verarbeitung im Einzelfall Verantwortlichen diese besondere Schutzbedürftigkeit mit den gebotenen Folgen ausser Acht lassen könnten.

Unternehmen in der EU sollen weniger Zeit mit Verwaltungsarbeit verbringen und dafür mehr Zeit für Innovation und Skalierung haben. Das ist der Kern des Digitalpakets, das die Europäische Kommission vorgelegt hat. Es umfasst a) einen sogenannten „Omnibus“, mit dem die Vorschriften für künstliche Intelligenz (KI), Cybersicherheit und Daten gestrafft werden, b) eine Strategie für eine Datenunion zur Erschließung hochwertiger Daten für KI und 3) die Einführung von European Business Wallets, dank derer Unternehmen mithilfe einer einzigen digitalen Identität weniger Verwaltungsaufwand haben werden und leichter grenzüberschreitend tätig sein können.

The Commission has published non-binding Model Contractual Terms for data access and use and Standard Contractual Clauses for cloud computing contracts.

They have been developed to help parties, especially SMEs, implement the provisions of the Data Act. Their use is voluntary and open to users’ possible amendments. Although they were mainly drafted for business-to-business contracts, they can also be used in relations between businesses and consumers, if relevant consumer protection rules are added.

Die Software Microsoft 365 (M365) kann in Hessen datenschutzkonform genutzt werden. Der HBDI (Hessischen Beauftragten für Datenschutz und Informationsfreiheit) Prof. Dr. Alexander Roßnagel erläutert diese Feststellung: „Seit Januar 2025 haben wir mit Microsoft in vielen Diskussionsrunden über den Datenschutz bei Microsoft 365 verhandelt. Wir haben im Interesse der Nutzer konstruktiv untersucht, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 möglich ist. Das positive Ergebnis bietet nun den Unternehmen und Behörden in Hessen grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten.“

Richtlinie 2002/58/EG (ePrivacy-Richtlinie) Art. 13 Abs. 1 und 2; Verordnung (EU) 2016/679 (DSGVO) Art. 6 Abs. 1

Die E-Mail-Adresse eines Nutzers gilt auch dann als „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“ erlangt, wenn sie bei der Einrichtung eines kostenlosen Nutzerkontos für ein Onlinemedium erhoben wird, das neben unentgeltlichen Leistungen auch kostenpflichtige Inhalte anbietet. Ein redaktioneller Newsletter mit Verlinkungen zu eigenen Inhalten stellt Direktwerbung für ähnliche Dienstleistungen i.S.v. Art. 13 Abs. 2 der Richtlinie 2002/58/EG dar.

Der Verantwortliche hat auch im Zusammenhang mit der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Er hat sicherzustellen, dass - vorbehaltlich etwaiger gesetzlicher Speicherpflichten - keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt.

The CNIL commissioned a survey on French people's perceptions of the use of their personal data and consent to online advertising. This first article in a series of three publications looks at their willingness to pay for access to services without targeted advertising.

Der Auskunftsanspruch aus Art. 15 DSGVO entfällt, wenn dessen Erfüllung Informationen offenbaren würde, die anwaltlicher Verschwiegenheit nach § 43a Abs. 2 BRAO unterliegen. § 29 Abs. 1 S. 2 BDSG i.V.m. Art. 23 Abs. 1 DSGVO begrenzt das Auskunftsrecht auch hinsichtlich solcher Daten, die der Rechtsanwalt im Rahmen des Mandatsverhältnisses durch eigene Recherchen erlangt hat. Eine Abwägung der Interessen der betroffenen Person findet im Rahmen des § 29 Abs. 1 S. 2 BDSG nicht statt. Schadensersatz nach Art. 82 DSGVO kommt mangels Verstosses gegen die Verordnung nicht in Betracht.

Ein Anspruch auf Entfernung eines Suchtreffers besteht nicht, wenn der verlinkte Inhalt wahrheitsgemäss über strafrechtliche Verurteilungen berichtet und das fortbestehende Informationsinteresse der Öffentlichkeit das individuelle Recht auf Schutz der Persönlichkeit überwiegt.

Das Bezirksgericht in Den Haag hat in erster Instanz entschieden, dass Google nicht verpflichtet ist, einen bestimmten Suchergebnisverweis zu löschen. Gegenstand des Verfahrens war ein öffentlich zugänglicher Medienbericht, der strafrechtliche Verurteilungen der klagenden Person thematisierte. Das Gericht stellte im Rahmen der vorzunehmenden Interessenabwägung fest, dass dem öffentlichen Interesse an der Auffindbarkeit der Information Vorrang zukommt. Massgeblich war dabei, dass die beanstandeten Angaben sachlich zutreffend, nicht veraltet und weiterhin von öffentlicher Relevanz waren. Eine Verletzung der Persönlichkeitsrechte der betroffenen Person wurde unter diesen Umständen verneint.

Nach heftiger Kritik aus Zivilgesellschaft und großen Teilen des EU-Parlaments hat die EU-Kommission nun ihren Vorschlag für den "Digital Omnibus" veröffentlicht. Entgegen der offiziellen Pressemitteilung der Kommission kann bei diesen Änderungen nicht von der "Beibehaltung des höchsten Schutzniveaus für personenbezogene Daten" gesprochen werden. Während die vorgeschlagenen Änderungen für durchschnittliche europäische Klein- und Mittelbetriebe im Grunde keinen wirklichen Nutzen haben, sind sie ein Geschenk an Big Tech, da die Änderungen viele neue Schlupflöcher eröffnen, die sie ausnutzen können. Schrems: "Dies ist der größte Angriff auf die digitalen Rechte der Europäer seit Jahren. Wenn die Kommission erklärt, dass sie 'die höchsten Standards aufrechterhält', ist das schichtweg falsch. Die Vorschläge der Kommission würden diese Standards untergraben."

Rechtsgutachten zur Rechtslage in den Vereinigten Staaten von Amerika hinsichtlich des weltweiten Zugriffs auf Daten durch US-Behörden, insbesondere bei der Nutzung von Cloud-Diensten. Hintergrund ist der Bedarf der Bundesverwaltung, Informationen in Clouds verarbeiten zu können, und die Frage, ob Verschlusssachen in Cloud amerikanischer Hyperscaler ausreichend geschützt sind.