Datenschutz86. Weblaw Rundmail Datenschutz

Vermitteln der Fähigkeiten zur Ausübung der Funktion der Datenschutzberatenden

04. September 2026 (Dauer: 15 Wochen), Unterricht: Freitag
Winterthur, Zürcher Hochschule für Angewandte Wissenschaften

Am 24. September 2026 findet im Herzen von Zürich unsere fünfte Zürcher Datenschutztagung zum Thema «KI in der öffentlichen Verwaltung. Chancen nutzen, Daten schützen» statt.

Durch die Tagung führen und begleiten Sie Dr. Dominika Blonski (Datenschutzbeauftragte des Kantons Zürich), zusammen mit Dr. Michael Widmer (Leiter Fachstelle für Datenschutz und IT-Recht, ZHAW).

Die Tagung richtet sich insbesondere an Mitarbeitende der öffentlichen Verwaltungen und Gemeinden und beinhaltet praxisnahe Beiträge zu  einem aktuellen Thema.

Der Beitrag untersucht den «Digitalen Omnibus» als legislativen Verdichtungsakt, der die fragmentierte Struktur des europäischen Digitalrechts in eine kohärente Normarchitektur überführen soll und damit die Grundlage für zentrale digitale Infrastrukturen, insbesondere europäische AI Factories, schafft. Aus dogmatischer Perspektive zeigt sich, dass die bislang sektorale Regulierung (DSGVO, DSA, DMA, Data Act, AI Act) nur begrenzte Steuerungswirkung entfalten konnte und strukturelle Abhängigkeiten von nicht-europäischen Technologieanbietern verstärkte. Der Digitale Omnibus markiert demgegenüber den Versuch, Datenzugangspflichten, Interoperabilität, Aufsichtskompetenzen und KI-Regulierung systematisch aufeinander abzustimmen und unionsrechtliche Gestaltungsmacht im digitalen Raum zu konsolidieren. Der Beitrag zeigt, wie der Omnibus die rechtlichen Voraussetzungen für AI Factories als strategische Rechen-, Daten- und Modellierungszentren schaffen könnte und welche unionsrechtlichen Herausforderungen sich daraus ergeben. Normativ wird argumentiert, dass der Omnibus als Baustein einer entstehenden digitalen Verfassungsordnung verstanden werden muss, die Innovationsfreiheit, Grundrechtsschutz und öffentliche Kontrolle in ein tragfähiges Gleichgewicht bringt.

Der Bundesrat hat am 12. Februar 2025 entschieden, wie das Schweizer Recht auf die Herausforderungen reagieren soll, die sich bei der Entwicklung und Verwendung von Künstlicher Intelligenz (KI) ergeben. Dieser strategische Entscheid sieht vor, dass die Konvention des Europarats zu Künstlicher Intelligenz (KI-Konvention) ratifiziert und die dafür notwendigen Anpassungen im Schweizer Recht vorgenommen werden. Dieser Beitrag untersucht den Handlungsbedarf und die Handlungsoptionen für Regelungen gegenüber Privatpersonen in den inhaltlich verschränkten Bereichen Transparenz und Datenschutz.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) warnt vor betrügerischen E-Mails, die unter seinem Namen versendet werden und insbesondere Websitebetreiber adressieren.

Die Nachrichten enthalten häufig unberechtigte Vorwürfe von Datenschutzverstössen, verbunden mit Zahlungsaufforderungen oder schädlichen Links und Anhängen.

Der EDÖB stellt klar, dass es sich dabei um Phishing-Versuche handelt, und empfiehlt, entsprechende E-Mails nicht zu beantworten sowie keine Links oder Anhänge zu öffnen.

Das Merkblatt erläutert die Funktionsweise und rechtliche Einordnung von Cookies sowie deren Einsatz sowohl zur technischen Bereitstellung von Websites als auch zu Tracking- und Profilingzwecken.
Es richtet sich an Internetnutzer und zeigt auf, wie diese ihre Datenspuren reduzieren und informierte Entscheidungen treffen können, insbesondere im Umgang mit Cookie-Bannern.
Zugleich ergänzt es bestehende Leitlinien für Verantwortliche, indem es die Thematik aus Nutzersicht praxisnah aufbereitet.

Der Halbjahresbericht des Bundesamts für Cybersicherheit (BACS) zeigt, dass die Cyberbedrohungslage in der Schweiz weiterhin hoch ist, wobei Angriffe zunehmend gezielter und komplexer werden.

Erstmals werden auch meldepflichtige Cyberangriffe auf kritische Infrastrukturen ausgewiesen, nachdem seit April 2025 eine entsprechende Meldepflicht besteht.

Die Angreifer nutzen verstärkt individualisierte Angriffsmethoden, teilweise unter Einsatz von künstlicher Intelligenz, insbesondere bei Phishing-Kampagnen (Voice- und Real-Time-Phishing) sowie über gefälschte Suchmaschinenanzeigen.

Weiterhin stellen Ransomware-Angriffe eine zentrale Bedrohung dar; zudem nehmen Angriffe auf Software-Lieferketten sowie die Nutzung kompromittierter IoT-Infrastrukturen (z.B. ORB-Netzwerke) zu.

Am Körper getragene Smartgeräte wie Smartwatches oder Fitnesstracker erfassen mittels integrierter Sensoren umfangreiche personenbezogene Daten, etwa zu Gesundheit, Aktivität oder Standort.
Durch ihre Vernetzung mit anderen Geräten und dem Internet sowie zusätzliche Funktionen wie Kamera oder Mikrofon ergeben sich vielfältige Nutzungsmöglichkeiten, etwa auch im Bereich Augmented Reality.
Die datenschutzrechtlichen Risiken variieren je nach Einsatz und können sowohl die Nutzer selbst als auch unbeteiligte Dritte betreffen.

Der erläuternde Bericht des Bundesamt für Gesundheit konkretisiert die Umsetzung der KVG-Revision zur Einführung von Kosten- und Qualitätszielen in der obligatorischen Krankenpflegeversicherung (OKP).
Kern der Vorlage ist die periodische Festlegung solcher Ziele durch den Bundesrat sowie ergänzend durch die Kantone, um das Kostenwachstum zu steuern und die Transparenz zu erhöhen. Zudem wird ein Monitoring-System mit entsprechender Kommission geschaffen, das die Kostenentwicklung überwacht und Massnahmen empfiehlt.

Die Leitlinien konkretisieren die Anwendung der DSGVO auf die Verarbeitung personenbezogener Daten zu Forschungszwecken und sollen Rechtssicherheit sowie einheitliche Standards schaffen.
Der Begriff der wissenschaftlichen Forschung ist weit auszulegen, setzt jedoch voraus, dass die Tätigkeit methodisch, ethisch und auf Erkenntnisgewinn ausgerichtet ist. Gleichzeitig bleibt die Verarbeitung nur zulässig, wenn eine tragfähige Rechtsgrundlage (insb. Einwilligung, öffentliches Interesse oder berechtigtes Interesse) vorliegt.
Die Leitlinien betonen zudem die Bedeutung von geeigneten Garantien nach Art. 89 DSGVO, insbesondere Datenminimierung sowie Anonymisierung oder Pseudonymisierung, und sehen Einschränkungen von Betroffenenrechten als zulässig an, sofern dies für Forschungszwecke erforderlich ist.

Der Jahresbericht 2025 des European Data Protection Board zeigt eine zunehmend komplexe Datenschutzlandschaft infolge neuer EU-Digitalregulierungen (u. a. DMA, DSA, AI Act). Der EDPB reagiert darauf mit verstärkten Bemühungen zur Vereinheitlichung der Rechtsanwendung und praktischen Umsetzbarkeit der DSGVO.
Im Fokus stehen insbesondere die Verbesserung der Zusammenarbeit zwischen Aufsichtsbehörden, die Entwicklung gemeinsamer Leitlinien (insb. zum Zusammenspiel von DSGVO und Digitalrecht) sowie eine intensivierte Einbindung von Stakeholdern zur Erhöhung der Rechtssicherheit.
Zudem unterstreicht der Bericht die Bedeutung koordinierter Durchsetzung (u. a. im Rahmen des One-Stop-Shop-Mechanismus und koordinierter Massnahmen) sowie die Rolle des EDPB bei der Sicherstellung einer einheitlichen DSGVO-Anwendung und Streitbeilegung zwischen Behörden.

Die gemeinsame Stellungnahme von EDPB und EDPS bewertet die Vorschläge zur Neufassung des Cybersecurity Act (CSA2) und zur Anpassung der NIS-2-Richtlinie im Hinblick auf ihre datenschutzrechtlichen Implikationen.
Grundsätzlich wird das Ziel begrüsst, die Cybersicherheitsarchitektur der EU zu stärken, insbesondere durch eine Ausweitung der Rolle von ENISA und die Weiterentwicklung von Zertifizierungsmechanismen. Gleichzeitig betonen die Behörden die enge Verzahnung von Cybersicherheit und Datenschutz und fordern, dass Sicherheitsmassnahmen grundrechtskonform ausgestaltet werden.
Konkret verlangen EDPB und EDPS klarere Regelungen zur Verarbeitung personenbezogener Daten, insbesondere hinsichtlich Umfang, Kategorien und Schutzmassnahmen bei Tätigkeiten von ENISA. Zudem sprechen sie sich für mehr Harmonisierung und Vereinfachung, etwa durch zentrale Meldestellen für Datenschutzverletzungen, aus.

Die britische Datenschutzbehörde (ICO) weist darauf hin, dass automatisierte Entscheidungsfindung (ADM) im Recruiting zunehmend eingesetzt wird, etwa zur Vorauswahl von Bewerbungen oder Bewertung von Tests.

Für Bewerbende bestehen dabei datenschutzrechtliche Risiken, insbesondere hinsichtlich Intransparenz, Bias und fehlender menschlicher Kontrolle.

Unternehmen müssen daher sicherstellen, dass der Einsatz solcher Systeme transparent, fair und nachvollziehbar erfolgt und geeignete Schutzmechanismen bestehen. Dazu gehören insbesondere Information über den Einsatz von ADM, Möglichkeiten zur Anfechtung automatisierter Entscheidungen sowie ausreichende menschliche Überprüfung.

Der Bundesrat nimmt Stellung zu einem EU-Verordnungsvorschlag zur Änderung der DSGVO und weiterer Digitalrechtsakte mit dem Ziel, die Anwendung zu vereinfachen und an neue regulatorische Entwicklungen anzupassen.
Er begrüsst grundsätzlich die angestrebte Entlastung bei Dokumentations- und Transparenzpflichten, fordert jedoch weitergehende Massnahmen zur Reduktion administrativer Belastungen, insbesondere für kleinere Akteure.
Zugleich betont der Bundesrat die Notwendigkeit, Datenschutzstandards beizubehalten, und spricht sich für eine klarere und kohärente Abstimmung mit anderen EU-Rechtsakten aus.

Das Verwaltungsgericht Düsseldorf stellt klar, dass Schadensersatzansprüche nach Art. 82 DSGVO – auch gegen Behörden – dem ordentlichen Rechtsweg unterfallen. Der Verwaltungsrechtsweg ist insoweit unzulässig; entsprechende Klagen sind vor den Zivilgerichten zu erheben.
Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DSGVO regelt lediglich die internationale Zuständigkeit, nicht jedoch die innerstaatliche Rechtswegzuweisung. Die konkrete sachliche Zuständigkeit verbleibt daher beim nationalen Prozessrecht.
Eine Aufspaltung des Rechtsschutzes ist unionsrechtlich zulässig: Während primärer Rechtsschutz (z. B. gegen Datenschutzverstösse) vor Verwaltungsgerichten geltend gemacht werden kann, ist sekundärer Rechtsschutz (Schadensersatz) den Zivilgerichten zugewiesen.

Der Gerichtshof der Europäischen Union stellt klar, dass Auskunftsersuchen nach Art. 15 DSGVO auch bereits beim ersten Antrag als „exzessiv“ bzw. rechtsmissbräuchlich qualifiziert werden können, sofern sie nicht der Wahrnehmung von Datenschutzrechten, sondern sachfremden Zwecken (z. B. Vorbereitung von Schadensersatzforderungen) dienen.
Die Beurteilung erfolgt anhand sämtlicher Umstände des Einzelfalls. Liegt Missbrauch vor, darf der Verantwortliche die Auskunft verweigern.
Zugleich bestätigt der EuGH, dass blosse Befürchtungen eines Kontrollverlusts über personenbezogene Daten keinen Schadensersatzanspruch nach Art. 82 DSGVO begründen.

Die Datenschutzkonferenz (DSK) nimmt den Digital Fitness Check der EU zum Anlass, punktuelle Änderungen der DSGVO vorzuschlagen, ohne deren grundlegende Prinzipien (insb. Art. 5 und 6 DSGVO) in Frage zu stellen.
Im Fokus stehen die Stärkung der Betroffenenrechte, eine klarere Regelung sensibler Datenkategorien sowie ein Ausgleich zwischen Auskunftsansprüchen und den Rechten Dritter. Gleichzeitig sollen Hersteller stärker in die datenschutzrechtliche Verantwortung einbezogen und Unternehmen – insbesondere KMU – durch Bürokratieabbau entlastet werden.

Der Oberste Gerichtshof stellt klar, dass der Auskunftsanspruch nach Art. 15 DSGVO grundsätzlich auf die Mitteilung der verarbeiteten personenbezogenen Daten gerichtet ist und nicht zwingend die Übermittlung ganzer Dokumente umfasst.

Der Begriff der „Kopie“ bezieht sich auf die Daten selbst, nicht auf die sie enthaltenden Unterlagen. Eine Übermittlung von Dokumenten ist nur erforderlich, wenn dies zur Verständlichkeit der Daten oder zur effektiven Wahrnehmung der Betroffenenrechte notwendig ist.

Im konkreten Fall wurde die Auskunft als ausreichend erachtet; die Revision wurde mangels erheblicher Rechtsfrage zurückgewiesen.

Die Veröffentlichung von Videos von Reiseteilnehmern auf Social-Media-Plattformen zu Werbezwecken ohne wirksame datenschutzrechtliche Grundlage stellt einen Verstoss gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSG-VO dar; insbesondere kann sich der Verantwortliche weder auf ein berechtigtes Interesse noch auf Ausnah-men nach Art. 23 KUG stützen, wenn die Nutzung primär werblichen Charakter hat.

Die Orientierungshilfe des Bayerischen Landesamts für Datenschutzaufsicht konkretisiert die datenschutzrechtlichen Anforderungen an Entwicklung und Einsatz von KI-Systemen im Rahmen der DSGVO.

Im Mittelpunkt stehen die Grundsätze der Rechtmässigkeit, Transparenz, Datenminimierung und Zweckbindung, die auch bei KI-gestützten Verarbeitungen uneingeschränkt gelten. Besondere Bedeutung kommt der Nachvollziehbarkeit von Entscheidungen sowie der Vermeidung von Diskriminierung zu.

Zudem werden Verantwortliche verpflichtet, bereits bei der Entwicklung geeignete technische und organisatorische Massnahmen (Privacy by Design und by Default) umzusetzen sowie Risiken durch geeignete Prüf- und Kontrollmechanismen zu begrenzen.

Das OLG Stuttgart stellt klar, dass ein gerichtlicher Sachverständiger bei der Verarbeitung personenbezogener Daten im Rahmen seiner Gutachtentätigkeit selbst Verantwortlicher im Sinne der DSGVO ist.
Daraus folgt, dass betroffene Personen Auskunftsansprüche nach Art. 15 DSGVO direkt gegenüber dem Sachverständigen geltend machen können.

Diese Ansprüche können jedoch durch verfahrensrechtliche Geheimhaltungspflichten sowie durch schutzwürdige Interessen Dritter eingeschränkt sein.

Im Urteil VI ZR 430/24 befasst sich der BGH mit der Aktivlegitimation eines Legal-Tech-/Inkassodienstleisters, der Datenschutzansprüche gebündelt geltend macht.
Der Senat stellt klar, dass eine Klage nur zulässig ist, wenn eine wirksame Abtretung bzw. Prozessermächtigung vorliegt; deren Inhalt und Umfang sind konkret darzulegen und im Streitfall vom Gericht zu prüfen.
Zugleich betont der BGH, dass bei der Durchsetzung abgetretener Ansprüche keine Umgehung prozessualer Anforderungen erfolgen darf und die Gerichte die Erklärungen der Betroffenen eigenständig würdigen müssen.

Der Bundesgerichtshof stellt klar, dass personenbezogene Daten, die nicht gesetzlich für das Handelsregister vorgeschrieben sind („überobligatorische Daten“), nicht dauerhaft gespeichert und öffentlich zugänglich gemacht werden müssen.

Die Veröffentlichung solcher Daten – etwa privater Wohnanschriften oder Unterschriften – stellt eine Verarbeitung personenbezogener Daten dar und bedarf einer rechtlichen Grundlage bzw. Einwilligung. Wird diese Einwilligung widerrufen, kann grundsätzlich ein Anspruch auf Löschung nach Art. 17 DSGVO bestehen.

Zugleich betont der BGH, dass der Zweck des Handelsregisters auf die Offenlegung rechtsverkehrsrelevanter Informationen beschränkt ist. Angaben, die hierfür nicht erforderlich sind, unterliegen keiner dauerhaften Publizitätspflicht.

Beim Urteil 12 SLa 709/25 stellt das Gericht klar, dass ein Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO nach einem Cyberangriff nicht allein wegen der Betroffenheit personenbezogener Daten entsteht. Erforderlich sind vielmehr konkrete Hinweise auf einen tatsächlich eingetretenen oder zumindest plausibel drohenden Schaden.

Zudem lässt sich aus dem blossen Umstand eines erfolgreichen Hackerangriffs nicht automatisch auf unzureichende technische oder organisatorische Schutzmassnahmen schliessen.

Auch für die Geltendmachung zukünftiger Schäden genügt eine rein theoretische Möglichkeit nicht; es bedarf vielmehr einer gewissen Eintrittswahrscheinlichkeit.

Der BGH bestätigt, dass vor dem Bundesgerichtshof ausschliesslich durch dort zugelassene Rechtsanwälte prozessiert werden kann (Art. 78 Abs. 1 ZPO). Dies gilt uneingeschränkt auch für Streitigkeiten mit Bezug zur DSGVO.

Die DSGVO enthält keine Vorschriften, die nationale Verfahrensregeln wie den Anwaltszwang verdrängen. Insbesondere steht Art. 79 DSGVO dem nicht entgegen, da er lediglich einen effektiven Rechtsschutz garantiert, ohne die konkrete Ausgestaltung des Verfahrens vorzugeben.

LG Krefeld: Ein Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO wegen eines Datenabflusses infolge eines Hackerangriffs (Zero-Day-Exploit) besteht nicht, wenn dem Verantwortlichen kein Verstoss gegen Art. 5 Abs. 1 lit. f, Art. 24 oder Art. 32 DSGVO nachgewiesen werden kann und der Betroffene weder konkrete Schäden noch einen substantiierten Kontrollverlust darlegt.