Datenschutz85. Weblaw Rundmail Datenschutz

Vermitteln der Fähigkeiten zur Ausübung der Funktion der Datenschutzberatenden

04. September 2026 (Dauer: 15 Wochen), Unterricht: Freitag
Winterthur, Zürcher Hochschule für Angewandte Wissenschaften

Zwei neuere Gerichtsentscheide verdeutlichen die Wichtigkeit, dem Datenschutz im Vertrieb von Beginn weg Beachtung zu schenken. Der EuGH verbietet SNCF, als Pflichtfeld die geschlechterspezifische Anrede abzufragen und das OLG Frankfurt verbietet der DB, den Verkauf von Spartickets von der Angabe der E-Mail-Adresse oder Telefonnummer abhängig zu machen. In diesem Beitrag wird nebst der Besprechung dieser beiden Entscheide auch die Rechtslage in der Schweiz erörtert.

Die zunehmende Digitalisierung und der Einsatz von KI-Systemen im Arbeitsumfeld verschieben die Grenzen zwischen Effizienz und Schutz der Arbeitnehmenden. Ob bei der Personalauswahl, Leistungsbewertung oder Überwachung – algorithmische Entscheidungen bergen Risiken: von Diskriminierung durch verzerrte Trainingsdaten bis hin zur Aushöhlung der Privatsphäre. Doch die bestehenden rechtlichen Rahmen, etwa das schweizerische DSG oder die DSGVO, bieten oft nur unzureichende Antworten. Der vorliegende Beitrag untersucht die aktuellen Herausforderungen, zeigt die Lücken im arbeitsrechtlichen Datenschutz auf und diskutiert, wie Gesetzgeber, Arbeitgebende und Sozialpartner faire, transparente und praxistaugliche Lösungen schaffen können.

Dieser Beitrag skizziert die Kriterien, anhand derer beurteilt werden kann, ob ein Zugriff auf im Ausland gespeicherte Daten einen Territorialitätseingriff darstellt. Insbesondere wird aufgezeigt, dass auch das Auslösen eines protokollkonformen Datenverarbeitungsvorganges im Ausland einen Territorialitätseingriff konstituieren kann. Darüber hinaus legt der Autor dar, dass die SkyECC-Überwachungsmassnahmen das Territorialitätsprinzip verletzt haben.

The EU’s Digital Services Act has become a central force in redefining global platform governance. By extending stringent transparency, accountability, and risk-management duties to major online platforms, the DSA is generating both de facto and de jure diffusion through the Brussels Effect. While democracies increasingly mirror its core principles, constitutional and ideological divergences elsewhere limit uniform convergence. The result is an emerging paradigm of selective alignment amid persistent global fragmentation.

Der Bundesrat hat an seiner Sitzung vom 28. Januar 2026 die Botschaft zum Grundpaket der Revision des Nachrichtendienstgesetzes (NDG) verabschiedet und ans Parlament überwiesen. Damit verbessert der Bundesrat insbesondere die Früherkennung und Abwehr von Bedrohungen durch Terrorismus, gewalttätigen Extremismus, Spionage und Cyberangriffe. Gleichzeitig stärkt die Revision die unabhängige Aufsicht über den Nachrichtendienst des Bundes (NDB).

On 16 December 2025, the European Commission issued a Proposal for a European Biotech Act establishing a framework of measures for strengthening the European Union’s biotechnology and biomanufacturing sectors and amending a large parts of the European Union legislation in the area of health.

The EDPB and the EDPS support the Proposal’s general objective to foster the EU’s competitiveness in the biotechnology and biomanufacturing sectors and to address certain challenges related to the consistent application of the Clinical Trials Regulation ((EU) 536/2014 (‘CTR’)), with a view to the effective application of the relevant rules. These goals are aligned with the EDPB’s Helsinki Statement, where the EDPB committed to take up initiatives facilitating compliance with GDPR and strengthening consistency. The EDPB and the EDPS underline the importance that the proposed simplifications clarify obligations and bring legal certainty while maintaining the high standard of protection provided by the GDPR and EUDPR for the processing of personal data relating to health.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat zusammen mit 60 weiteren nationalen Datenschutzbehörden eine gemeinsame Erklärung zu KI-generierten Bildern und zum Schutz der Privatsphäre veröffentlicht.

The EDPB has developed a new work programme for 2026-2027, the second to implement the EDPB Strategy for 2024-2027. The Work Programme is based on the priorities set out in the EDPB Strategy, and the needs identified by the members as most important for stakeholders.
The current work programme also takes into account the commitments made by the EDPB in its Helsinki Statement on enhanced clarity, support and engagement, including on the intention to strengthen dialogue with stakeholders and facilitate compliance.

On 19 November 2025, the European Commission issued a Digital Omnibus proposal amending a large corpus of the EU digital legislation, including the GDPR, the Single Digital Gateway Regulation, the EUDPR, the Data Act, the ePrivacy Directive, the Cybersecurity Directive, NIS 2, and the Data Governance Act.
The EDPB and the EDPS support the Proposal’s aim to simplify compliance with the digital rulebook, strengthen the effective exercise of individual rights, and boost EU competitiveness. These goals echo the Helsinki Statement, where the EDPB committed to take up initiatives facilitating GDPR compliance and strengthening consistency. The EDPB and the EDPS underline the importance that the proposed simplifications clarify obligations and bring legal certainty while maintaining trust and a high level of protection of individual rights and freedoms.

In October 2020, the European Data Protection Board (‘EDPB’) decided to set up a Coordinated Enforcement Framework (‘CEF’) with a view to streamlining enforcement and cooperation among supervisory authorities at EDPB level. Since then, three CEF actions have been completed on the use of cloud services by public bodies, the designation and position of
data protection officers and the right of access. For the fourth edition, the EDPB chose to take a look at the implementation by controllers of another data protection right, namely: the right to erasure. The right to erasure is one of the most frequently exercised data subject rights and has given rise to many complaints across the EEA and to a growing number of decisions from SAs.
Throughout 2025, 32 supervisory authorities (‘SAs’) across the EEA launched coordinated investigations into the compliance of controllers with the right to erasure under the GDPR, to examine how this right is implemented in practice by a broad range of controllers, in organisations of various sizes and across different sectors.

The revised Personal Information Protection Act was promulgated on Monday, according to the Personal Information Protection Commission (PIPC).

 
Companies that fail to prevent data leaks will be fined up to 10 percent of total revenue, up from the original 3 percent, starting on Sept. 11. 
 
The penalty will be applied when companies repeatedly fail to protect private data, either intentionally or through negligence, over the course of three years; cause damage that affects more than 10 million people; or experience a data leak after failing to comply with previous corrective orders.

Meike Kamp begrüsst grundsätzlich das Vorhaben, die Gesetze zum Datenschutz und zur Informationsfreiheit zu überarbeiten. Dazu hat sie selbst in den letzten Jahren wiederholt Änderungsvorschläge gegenüber dem Senat vorgebracht und zum Beispiel auf die Einführung eines Transparenzgesetzes gedrängt. Ihre Anregungen sind in dem nun vorgelegten Gesetzesentwurf grösstenteils nicht aufgegriffen worden. Kamp stellt ihre Stellungnahme heute im Ausschuss für Digitalisierung und Datenschutz vor.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) fordert vor den beginnenden Verhandlungen in der EU über mögliche Chatkontrollen, auf derartige Massnahmen vollständig und endgültig zu verzichten. Die DSK appelliert an die Beteiligten, von der Massenüberwachung privater Chats („Aufdeckungsanordnungen“) sowie dem flächendeckenden Scannen privater Nachrichten und einem Durchbrechen der Ende-zu-Ende-Verschlüsselung ohne Ausnahme abzusehen. Hintertüren in der Verschlüsselung gefährden die Sicherheit der Kommunikation aller Bürgerinnen und Bürgern und könnten auch von Kriminellen ausgenutzt werden.

Reddit has been fined £14.47m for having failed to use children’s personal information under UK data protection law.

The investigation found that Reddit failed to apply any robust age assurance mechanism (therefore not having a lawful basis for processing the personal information of children under the age of 13) and failed to carry out a data protection impact assessment (DPIA) to assess and mitigate risks to children before January 2025.

Ein Beschluss des Europäischen Datenschutzausschusses, der verbindliche Geldbussen gegenüber WhatsApp Ireland vorsieht, ist vor den Unionsgerichten anfechtbar; die Qualifikation als blosse "Zwischenmassnahme" überzeugt den EuGH nicht.
Der EuGH bejaht die Anfechtbarkeit eines EDSA-Beschlusses mit verbindlichen Sanktionen gegen WhatsApp Ireland und verwirft dessen Einordnung als lediglich vorbereitende Massnahme.
Ein EDSA-Beschluss mit bindenden Geldbussen stellt eine anfechtbare Handlung dar; die Einstufung als "Zwischenmassnahme" wurde vom EuGH abgelehnt.

Das OLG Stuttgart erachtet die Berufung gegen die Datenverarbeitung und das Bonitätsscoring als offensichtlich unbegründet. Die Erstellung eines Scorewerts stellt keine automatisierte Entscheidung i.S.v. Art. 22 DSGVO, sondern lediglich Profiling dar; die eigentliche Entscheidung trifft ein Dritter.

Ein weitergehender Auskunftsanspruch (insb. zur Gewichtung der Kriterien) besteht nicht, da die Offenlegung der Berechnungslogik nicht verlangt werden kann. Auch Unterlassungs- und Schadensersatzansprüche wurden mangels Rechtsverletzung abgelehnt.

Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung tritt frühestens ein, nachdem dem Auskunftsantragsteller die begehrten Informationen vollständig und innerhalb der massgeblichen Frist zur Verfügung gestellt wurden.

Das Gericht verpflichtet eine sehr grosse Online-Plattform im Wege der einstweiligen Verfügung, einer gemeinnützigen Organisation unbeschränkten Zugang zu öffentlich zugänglichen Plattformdaten zu Forschungszwecken zu gewähren (Art. 40 Abs. 12 DSA).

Es bejaht sowohl die internationale Zuständigkeit (Gerichtsstand der unerlaubten Handlung) als auch einen unmittelbaren Datenzugangsanspruch von Forschern, einschliesslich zivilgesellschaftlicher Organisationen. Die Voraussetzungen (Gemeinnützigkeit, Unabhängigkeit, Forschungszweck, Verhältnismässigkeit) sowie die Eilbedürftigkeit wurden bejaht.

Das LG Berlin II untersagt Facebook (Meta), über die "Freunde-Finder"-Funktion personenbezogene Daten von Nicht-Nutzern ohne Einwilligung zu verarbeiten. Zudem ist die Erstellung personalisierter Werbeprofile ohne wirksame Einwilligung der Nutzer unzulässig.