• Das BVGer konkretisiert erstmals die Melde- und Informationspflichten bei Datensicherheitsverletzungen nach Art. 24 DSG.

• Eine Datensicherheitsverletzung liegt bereits vor, wenn Personendaten für Unbefugte zugänglich sind. Ein tatsächlicher Zugriff, Missbrauch oder Schaden muss nicht nachgewiesen werden.

• Das Datenschutzrecht hat einen präventiven Charakter: Die Informationspflicht dient nicht primär der Transparenz, sondern soll Betroffenen ermöglichen, rechtzeitig Schutzmassnahmen zu ergreifen (z.B. Konten überwachen, Passwörter ändern), um potenzielle Schäden zu verhindern.

• Nachträgliche technische Massnahmen (z.B. Schliessen der Sicherheitslücke oder Entfernen aus Suchmaschinen) sowie erheblicher Zeitablauf seit der Datenschutzverletzung beseitigen die bereits erfolgte Offenlegung der Personendaten nicht und lassen die Informationspflicht grundsätzlich nicht entfallen.

• Die Ausnahmeregelung der Informationspflicht (Art. 24 Abs. 5 DSG) ist restriktiv anzuwenden. Bei hohem Risiko für Betroffene sind mildere Mittel einem vollständigen Verzicht auf Information vorzuziehen.

• Ist eine individuelle Benachrichtigung unmöglich oder unverhältnismässig, kann eine öffentliche Bekanntmachung als Ersatz der individuellen Information in Betracht kommen. Eine öffentliche Bekanntmachung bleibt auch dann verhältnismässig, wenn dadurch viele nicht betroffene Personen erreicht werden. Entscheidend ist, dass die tatsächlich Betroffenen noch erreicht werden können. Das DSG verpflichtet aber in solchen Fällen nicht zur öffentlichen Bekanntgabe. Da der EDÖB im Rahmen verwaltungsrechtlicher Massnahmen grundsätzlich nur gesetzlich bereits bestehende Pflichten durchsetzen kann, fehlt ihm die Kompetenz eine öffentliche Bekanntmachung anzuordnen. Offen bleibt daher die Frage, auf welcher rechtlichen Grundlage eine Pflicht zur öffentlichen Bekanntmachung bestehen soll, wenn eine individuelle Information unmöglich oder unverhältnismässig ist.

Cyberangriffe gehören mittlerweile unabhängig von Branche oder Unternehmensgrösse zum Unternehmensalltag. Organisationen müssen daher nicht nur technische und organisatorische Massnahmen (TOM) gewährleisten (Art. 8 DSG), sondern auch im Ernstfall schnell und rechtskonform reagieren. Der folgende Beitrag zeigt die zentralen datenschutzrechtlichen Pflichten bei Cyberangriffen und skizziert wirksame Präventionsansätze.

Messen sind für Unternehmen eine der wichtigsten Plattformen, um neue Kunden zu gewinnen, bestehende Geschäftsbeziehungen zu pflegen und das eigene Netzwerk auszubauen. Gerade die Sammlung von Kontaktdaten ist dabei zentral, sei es durch Visitenkarten, digitale Leads, Wettbewerbe oder Newsletter Anmeldungen. Doch es gelten klare rechtliche Rahmenbedingungen, wie Personendaten erhoben, gespeichert und genutzt werden dürfen.

Die vorliegende Wegleitung richtet sich grundsätzlich nach dem Leitfaden des EDÖB.

Am 26. September 2025 hat das Parlament das Bundesgesetz über die Transparenz juristischer Personen und die Identifikation der wirtschaftlich Berechtigten (TJPG) verabschiedet. Mit dem TJPG führt die Schweiz erstmals ein zentrales, staatlich geführtes Transparenzregister ein und schliesst damit eine bislang bestehende Lücke im Gesellschafts- und Geldwäschereirecht. Ziel ist es, die Nachvollziehbarkeit von Eigentums- und Kontrollstrukturen zu verbessern und Missbrauchsrisiken wie Geldwäscherei oder Terrorismusfinanzierung wirksamer zu bekämpfen.

Das Inkrafttreten wird voraussichtlich im Jahr 2026 erwartet, nach Erlass der Ausführungsbestimmungen und dem Aufbau des Registers.

Der Europäische Rechtsakt zur Barrierefreiheit (European Accessibility Act, EAA) zielt darauf ab, den Zugang zu zentralen Produkten und Dienstleistungen für Menschen mit Behinderungen und ältere Personen zu verbessern- und gleichzeitig den europäischen Markt durch einheitliche Barrierefreiheitsstandards zu stärken.

Damit Patientenformulare für ärztliche und therapeutische Konsultationen datenschutzkonform ausgearbeitet werden, müssen die Anforderungen nach Datenschutzgesetz (DSG) eingehalten werden. Im Beitrag werden die rechtlichen Mindestanforderungen nach EDÖB-Merkblatt vom 30. September 2025 präzisiert.

An seiner Sitzung vom 22. Oktober 2025 hat der Bundesrat die Vernehmlassung zur Änderung des Finanzinstitutsgesetzes (FINIG) eröffnet. Ziel der Revision ist es, die Attraktivität des Finanzstandorts Schweiz zu stärken und die Integration innovativer Finanztechnologien zu fördern. Gleichzeitig sollen internationale Standards umgesetzt werden.

Mit dem EU Data Act werden neue Standards für den Datenzugang und die Vertragsgestaltung gesetzt. Schweizer Unternehmen mit EU-Bezug sind faktisch verpflichtet, ihre Strukturen anzupassen.

Für Geschäftsleitungsmitglieder und Verwaltungsräte ist der richtige Umgang mit den Datenschut- zerklärungen zentral zur Risikominimierung und zur Erfüllung ihrer Aufsichts- und Sorgfaltspflicht gemäss Datenschutzgesetz (DSG). Eine wirksame Datenschutzerklärung stellt ein zentrales Ele- ment eines umfassenden Datenschutzkonzepts dar. Sobald Personendaten beschafft werden, z. B. via Website, E-Mail, Formular, Bewerbungen, braucht die Unternehmung eine Datenschutzerklärung.

Nutzt ein Unternehmen KI-Tools Dritter (z. B. Textgenerierung, Datenanalyse), liegt bei Zugriff auf Per- sonendaten durch den Anbieter eine Auftragsbearbeitung gemäss Art.9 DSG vor. Ein Auftragsbearbei-

tungsvertrag (ABV) ist zwingend notwendig, um sicherzustellen, dass der Verantwortliche die Kon-

trolle behält und der Anbieter die Datenschutzpflichten einhält. Wenn ein Unternehmen KI-Systeme von externen Anbietern nutzt, muss der ABV spezifische Risiken und Anforderungen berücksichtigen.

Execution-Only gewinnt im Vertrieb von Finanzinstrumenten zunehmend an Bedeutung. Die Digitalisierung des Anlagegeschäfts, das Bedürfnis nach Flexibilität und Effizienz sowie der Wunsch vieler Kund*innen nach Selbstbestimmung begünstigen eine Entwicklung hin zur reinen Ausführung von Anlageaufträgen ohne vorgängige Beratung. Was auf den ersten Blick einfach wirkt, ist rechtlich anspruchsvoll. FIDLEG und FIDLEV haben für Execution-Only-Dienstleistungen in der Schweiz aufsichtsrechtliche Rahmenbedingungen und Pflichten für Finanzdienstleister welche sie auch ohne Beratung gegenüber ihren Kund*innen einhalten müssen.

Die Fintech-Bewilligung gemäss Art. 1b Bankengesetz ermöglicht innovativen Finanzunternehmen den Markteintritt ohne volle Banklizenz. Bis zu CHF 100 Mio. an Kundengeldern dürfen entgegengenommen werden – solange keine Zinsgeschäfte erfolgen. Sie richtet sich insbesondere an Neobanken, Crowdfunding- und Zahlungsplattformen.

Actively Managed Certificates (AMCs) erfreuen sich wachsender Beliebtheit, insbesondere bei innovativen Anlagestrategien und massgeschneiderten Investmentlösungen. Sie gelten als strukturierte Produkte und erlauben es, aktiv verwaltete Strategien in einer einfachen Produktform umzusetzen. Im Gegensatz zu klassischen Fonds unterliegen sie nicht dem Kollektivanlagengesetz (KAG), sondern den Regeln des Finanzdienstleistungsgesetzes (FIDLEG) und der entsprechenden Verordnung (FIDLEV).

Künstliche Intelligenz (KI) wird in regulierten Branchen wie dem Finanzwesen oder Gesundheitssektor zunehmend eingesetzt. Damit Unternehmen diese Technologien verantwortungsvoll nutzen können, braucht es klare Regeln, Strukturen und Kontrollen. Dieser Beitrag beleuchtet zentrale Anforderungen und Umsetzungsmöglichkeiten für eine wirksame KI-Governance in der Schweiz.

Als Lebensmittelbetrieb tragen Sie die Hauptverantwortung für sichere Produkte. Sie bestimmen eine verantwortliche Person, die sicherstellt, dass alle lebensmittelrechtlichen Vorgaben eingehalten werden. Zusätzlich kontrollieren das Bundesamt für Lebensmittelsicherheit und Veterinärwesen (BLV) sowie kantonale Labore regelmässig, ob Ihr Betrieb alle gesetzlichen Anforderungen erfüllt. Diese Kontrollen erfolgen risikobasiert und unangemeldet.

Am 7. März 2025 hat der Bundesrat beschlossen, die Meldepflicht für Cyberangriffe auf Betreiberinnen und Betreiber kritischer Infrastrukturen per 1. April 2025 in Kraft zu setzen. Diese Massnahme dient der Stärkung der Cybersicherheit in der Schweiz und der Erhöhung der Resilienz essenzieller Dienste. Die Verordnung über die Cybersicherheit (CSV) enthält die erforderlichen Ausführungsbestimmungen und regelt insbesondere die Ausnahmen der Meldepflicht nach Art. 74c des Informationssicherheitsgesetzes (ISG).

Im heutigen Wirtschaftsumfeld setzen Unternehmen zunehmend auf Outsourcing, um die Effizienz zu steigern, Kosten zu senken und Zugang zu spezialisiertem Know-how zu erhalten. Insbesondere profitieren kleine und mittlere Unternehmen (KMU) von der Auslagerung bestimmter Prozesse, da sie sich auf ihre Kernkompetenzen konzentrieren können. Allerdings ist nicht jede Form des Outsour- cings aus datenschutzrechtlicher Sicht relevant. Entscheidend ist, ob Personendaten durch den ex- ternen Dienstleister bearbeitet werden.

Greenwashing ist momentan ein wichtiges Thema in der Gesetzgebung. Nicht nur die EU sondern auch die Schweiz geht gegen Greenwashing
vor: das Gesetz gegen den unlauteren Wettbewerb (UWG) wird verschärft Die
Novellierung des CO2-Gesetzes und die Ergänzung des UWG sollen künftig dafür
sorgen, dass unrichtige Angaben zur Klimabelastung strikt geahndet werden.

Der „Digital Operational Resilience Act“ (DORA) der Europäischen Union (EU) ist eine neue Verordnung, die den wachsenden Cyberrisiken Rechnung tragen soll und so die Widerstandsfähigkeit und Sicherheit von Finanzdienstleistungen stärkt. Sie ist am 16. Januar 2023 in Kraft getreten und muss bis zum 17. Januar 2025 umgesetzt werden. Betroffen von der DORA sind Anbieter von Informations- und Kommunikationstechnologiedienstleistungen (IKT), die Unternehmen im Finanzsektor der EU betreuen. IKT-Anbieter in der Schweiz sind ebenfalls von der DORA betroffen.