Mehr Verfahren, mehr Transparenz, mehr Durchgriff: Der 32. Tätigkeitsbericht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zeigt klar, dass der Datenschutz in der Schweiz an Relevanz gewonnen hat. Unternehmen müssen sich auf eine strengere Aufsicht und eine konsequentere Rechtsdurchsetzung einstellen.
Ein Jahr nach Inkrafttreten des neuen DSG: Eine erste Bilanz
Mit der Publikation seines 32. Tätigkeitsberichts legt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Rechenschaft über ein Berichtsjahr ab, das durch tiefgreifende Veränderungen geprägt war. Der Bericht deckt die Zeitspanne vom 1. April 2024 bis zum 31. März 2025 ab. Im Zentrum steht das revidierte Datenschutzgesetz (revDSG), dessen Inkrafttreten nicht nur neue formelle Standards gesetzt hat, sondern auch praktisch eine deutlich aktivere Aufsichtstätigkeit ausgelöst hat.
Verstärkte Aufsichtstätigkeit: Vom Mahner zum Regulierer
Erstmals konnte der EDÖB seine mit dem revDSG (Art. 49 ff.) erweiterten Befugnisse vollumfänglich nutzen. Mit rund 30 % mehr Personal ging die Behörde entschiedener gegen Datenschutzverletzungen vor und setzte klare Signale gegenüber Unternehmen und Behörden. Die abgeschlossenen formellen Verfahren konkretisieren nicht nur die Verwaltungspraxis, sondern markieren einen spürbaren Paradigmenwechsel: Während früher der Fokus auf Beratung und Sensibilisierung lag, treten nun vermehrt rechtliche Durchsetzungen und verwaltungsrechtliche Sanktionen in den Vordergrund.
Transparenz unter Druck: Zugangsgesuche und Verwaltungskultur
Ein weiterer Schwerpunkt des Berichts liegt auf dem wachsenden öffentlichen Interesse an staatlicher Transparenz. Die Zahl der Zugangsgesuche nach dem Bundesgesetz über die Öffentlichkeit der Verwaltung (BGÖ) stieg um fast 30 %. Trotz hoher Einigungsquoten bei Schlichtungsverfahren kam es zu erheblichen Bearbeitungsrückständen. Kritisch sieht der EDÖB den Trend, Verwaltungstätigkeiten mittels spezialgesetzlicher Ausnahmen dem BGÖ zu entziehen – etwa im Bereich der Finanzmarktaufsicht oder polizeilicher Datenbearbeitung. Dies widerspreche den verfassungsrechtlichen Prinzipien der Transparenz und Rechenschaftspflicht (vgl. Art. 6 BV).
Breite Themenvielfalt: Von Cyberangriffen bis Social Scoring
Auch inhaltlich ist der Bericht breit gefächert. Er behandelt Überwachungstechnologien wie flächendeckende Gesichtserkennung oder Social Scoring, dokumentiert Einzelfälle wie den Ransomware-Angriff auf das Unternehmen Xplain und beleuchtet die datenschutzrechtlichen Anforderungen an Mietbewerbungsformulare oder medizinische Datenübermittlungen im Sport. Der EDÖB positioniert sich zunehmend als rechtlich versierte Instanz, die auch komplexe technische und gesellschaftliche Entwicklungen einordnet.
Was bedeutet das für Unternehmen und Behörden?
Für Unternehmen ist der Bericht eine klare Aufforderung zur aktiven Compliance. Datenschutz-Folgenabschätzungen (DSFA) – etwa bei der Einführung von KI-gestützten Analysetools – sind ein zentrales Risikomanagementinstrument. Bei Datenpannen müssen sie in der Lage sein, innert Frist qualifizierte Meldungen gemäss Art. 24 DSG abzugeben und die Betroffenen angemessen zu informieren. Auch das Auskunftsrecht nach Art. 25 DSG steht vermehrt im Fokus: Unvollständige oder verspätete Antworten können künftig zu Untersuchungen führen.
Darüber hinaus wird deutlich, dass auch kleinere Organisationseinheiten stärker in den Fokus rücken können, wenn sie besonders sensible Daten bearbeiten oder datenintensive Prozesse umsetzen. Der Bericht macht unmissverständlich klar: Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der organisatorisch, technisch und kulturell verankert werden muss.
Behörden stehen doppelt in der Pflicht: Sie müssen die Grundsätze des Datenschutzes einhalten und gleichzeitig ihrer gesetzlichen Transparenzpflicht nachkommen. Der EDÖB mahnt eindringlich, dass Verwaltungseinheiten diese Pflicht nicht durch formale oder technische Hürden unterlaufen dürfen. Die fortschreitende Digitalisierung verlangt eine frühzeitige und durchgehende Integration datenschutzrechtlicher Anforderungen.
Ausblick: Rechtsprechung, Ressourcen und Regulierungsdichte
Der Bericht zeigt, dass sich der EDÖB zunehmend als aktive Regulierungsbehörde versteht. Die Kombination aus verstärkter Aufsicht, verbindlicher Praxisbildung und öffentlicher Kommunikation stärkt das Vertrauen in rechtsstaatliche Prozesse – stellt aber auch höhere Anforderungen an Organisationen. Wie tragfähig diese neue Linie ist, wird sich in der Rechtsprechung des Bundesverwaltungsgerichts und des Bundesgerichts zeigen. Für die Praxis bleibt festzuhalten: Datenschutz ist Compliance. Und Compliance ist nicht optional.
Spannend wird sein, inwieweit sich die kantonalen Datenschutzbehörden an der neuen Regulierungsdynamik orientieren und ob sich ein einheitlicher Vollzugsstandard entwickelt. Auch internationale Kooperationen – etwa mit dem Europäischen Datenschutzausschuss – könnten künftig eine stärkere Rolle spielen, gerade bei grenzüberschreitenden Sachverhalten. Unternehmen sollten die regulatorische Entwicklung aufmerksam verfolgen, um frühzeitig reagieren zu können.
Quellen