Jahresrückblick 2025: Was hat sich im Datenschutz alles getan?
Das Jahr neigt sich langsam dem Ende zu. Auch 2025 hat sich viel getan im Datenschutzrecht. Dieser Artikel gibt eine kurze und prägnante Übersicht über eine Auswahl von wichtigen Veröffentlichungen des Eidgenössischen Datenschutzbeauftragten EDÖB, welche einen Einfluss auf die Praxis haben.
Cookie-Leitfaden
Im Januar 2025 veröffentlichte der EDÖB den Leitfaden betreffend Datenbearbeitung durch Cookies und ähnlichen Technologien. Darin schafft der EDÖB Klarheit über seine Aufsichtspraxis, unter anderem zu den viel diskutierten und allgemein bekannten Cookie-Bannern. Es ist zu beachten, dass der Leitfaden nicht nur für Cookies gilt, sondern auch für andere Tracking-Methoden. Empfehlenswert ist die Lektüre dieses Leifadens insbesondere für Verantwortliche von Websites.
Leitfaden DataBreach
Ebenfalls Anfang Jahr, im Februar 2025, veröffentlichte der EDÖB den Leitfaden betreffend die Meldung von Datensicherheitsverletzungen und Information der Betroffenen nach Art. 24 DSG. Darin erläutert der EDÖB, unter welchen Voraussetzungen ein Vorfall eine Datensicherheitsverletzung darstellt, da dies eine Meldepflicht an den EDBÖ auslöst. Wie die Meldung an den EDÖB, aber auch an die betroffenen Personen zu erfolgen hat, wird im Leitfaden ebenfalls erläutert. Der Leitfaden ist eine Pflichtlektüre für jede Person, welche für den Datenschutz im Unternehmen verantwortlich ist.
Anwendbarkeit des Datenschutzgesetzes auf KI
Im März 2025 hat die Schweiz die Konvention des Europarats über Künstliche Intelligenz (KI) und Menschenrechte, Demokratie und Rechtsstaatlichkeit unterzeichnet. In diesem Zusammenhang hat der EDÖB explizit darauf hingewiesen, dass die geltende Datenschutzgesetzgebung technologieneutral ist und daher ebenfalls auf KI-gestützte Datenbearbeitung anwendbar ist.
Keine Publikation von Schuldnerinnen und Schuldnern auf Websites
Die Inkasso Team GmbH hat auf einer Website Personendaten von mutmasslichen Schuldnerinnen und Schuldern veröffentlich. Zur Rechtfertigung führt das Unternehmen aus, dass es sich bei den publizierten Personen um Schuldnerinnen und Schuldnern mit Rechtsöffnungstitel handle oder ein solcher ohne weiteres einbringlich sei und daher ein überwiegendes privates und auch öffentliches Interesse an der Publikation bestehe. Der EDÖB hingegen kommt zum eindeutigen Schluss, dass publizierten Personendaten von mutmasslichen Schuldnerinnen und Schuldnern auf einer Website datenschutzwidrig seien und hat in der Folge das Unternehmen aufgefordert, die Publikation zu entfernen. Das Unternehmen hat gegen diese Verfügung Beschwerde beim Bundesverwaltungsgericht erhoben – das Urteil steht noch aus.
Keine Standardantworten bei Auskunftsbegehren
Die Cembra Money Bank hat in einem gewissen Zeitraum bei Auskunftsbegehren standardisierte Schreiben versendet. Zudem hat sie Auskunftsbegehren nicht in der vorgesehenen Frist von 30 Tagen beantwortet. Aufgrund von Anzeigen von betroffenen Personen beim EDÖB hat dieser eine Untersuchung eingeleitet und gegen die Bank eine Verfügung erlassen. Zusammenfassend und generalisiert kann dieser Verfügung entnommen werden, dass bei Auskunftsersuchen von betroffenen Personen keine Standardantworten versendet werden dürfen, sondern auf die konkreten Auskunftsbegehren eingegangen und mitgeteilt werden muss, welche Personendaten über die betroffene Person bearbeitet werden. Zudem muss die Auskunft innert der gesetzlich vorgesehenen 30-tägigen Frist erfolgen.
Strafanzeige wegen fehlender Mitwirkung
Beim EDÖB gingen mehrere Anzeigen von betroffenen Personen gegen die Add Conti GmbH ein, woraufhin der EDÖB eine Untersuchung eröffnete. Das Unternehmen reagierte jedoch nicht auf die Schreiben des EDÖB (trotz Verweis auf die strafrechtlichen Konsequenzen), weshalb der EDÖB im August 2025 Strafanzeige wegen Verletzung der Mitwirkungspflicht gegen das Unternehmen einreichte. Wie das Verfahren ausgehen wird, ist derzeit noch offen. Das Gesetz sieht eine Maximalbusse von CHF 250'000 vor.
Fazit
Die Leitfäden des EDÖB, welche in Fachkreisen zwar kontrovers diskutiert werden, helfen den datenschutzverantwortlichen Personen in Unternehmen, die Aufsichtspraxis zu verstehen und entsprechende Massnahmen zu treffen. Daher ist eine Lektüre dieser Leitfäden empfehlenswert. Es ergehen auch vermehrt Verfügungen gegen Unternehmen, welche ebenfalls wertvolle Hinweise für die Praxis liefern.
Dr. iur. Eleonor Gyr berät insbesondere Unternehmen und Organisationen (z.B. Vereine und Stiftungen) in sämtlichen rechtlichen Fragen rund um Datenschutz, Datenrecht, IT-Verträge, KI-Anwendungen und allgemein Unternehmensstrukturen. Seit 2025 ist sie Teil des Legal Teams der Wirtschaftskammer Baselland.
Jetzt anmelden und mehr zum Thema erfahren!
Ratgeber Recht online: Neuerungen / Änderungen im Datenschutz - Jahresrückblick 2025
Datum: 13. Oktober 2025
Uhrzeit: 12:00 – 13:00 (online)
Weitere Informationen und Anmeldung hier.
