Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Datenschutzverstösse unter der Lupe – Wie der EDÖB Untersuchungen durchführt

07/2025 – Fachartikel Swiss Infosec AG

Ein Überblick zu Art. 49-53 DSG

Wie hat sich die Rolle des EDÖB seit der DSG-Revision verändert?

Vor rund zwei Jahren wurde mit dem revidierten Datenschutzgesetz (DSG; SR 235.1) die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) deutlich gestärkt. Während er früher im Wesentlichen eine empfehlende Rolle einnahm, verfügt er seither über konkrete Durchsetzungsbefugnisse. Dazu gehören insbesondere Mittel zur Informationsbeschaffung sowie die Möglichkeit, bei festgestellten Verstössen verbindlich einzugreifen: er kann Datenschutzverstösse nicht nur beanstanden, sondern auch mit verbindlichen Anordnungen unterbinden oder korrigieren lassen.

Behörden und private Personen, insb. Unternehmen (folgend: «Organisationen») müssen seither mit einer verstärkten aufsichtsrechtlichen Kontrolle rechnen.

Was passiert vor einer offiziellen Untersuchung?

Gehen beim EDÖB Hinweise auf mögliche Verstösse gegen Datenschutzvorschriften ein, prüft er, ob sich daraus genügend Anzeichen für die Eröffnung einer formellen Untersuchung ergeben. Solche Hinweise können durch eine Anzeige einer betroffenen Person oder einer Drittperson eingehen oder vom EDÖB selbst festgestellt werden, z.B. aus Medienberichten. Der Begriff «Datenschutzvorschriften» im Sinne von Art. 49 DSG ist nicht auf die Bestimmungen des Datenschutzgesetzes selbst beschränkt, sondern umfasst auch andere bundesrechtliche Normen, deren Zweck (auch) im Schutz von Personendaten (gemäss Definition des DSG), liegt. Entsprechend kann die Untersuchung auch auf Grundlage von Vorgaben des materiellen Datenschutzrechts in bereichsspezifischen Gesetzen erfolgen, etwa dem Krankenversicherungsgesetz (KVG).

Vor der Eröffnung einer formellen Untersuchung führt der EDÖB regelmässig eine informelle Vorabklärung durch. Diese dient der ersten Einschätzung, ob ein Verstoss gegen Datenschutzvorschriften vorliegen könnte und ob die Eröffnung einer Untersuchung notwendig ist. Zu diesem Zweck kann der EDÖB Informationen aus öffentlich zugänglichen Quellen beschaffen, betroffene Personen oder Dritte befragen oder die verantwortliche Organisation direkt kontaktieren, um erste Auskünfte zu erhalten.

In dieser Phase bestehen für die betroffene Organisation noch keine (strafbewehrten) Mitwirkungspflichten. Eine kooperative Haltung kann jedoch dazu beitragen, eine formelle Untersuchung zu vermeiden oder zumindest zu verkürzen.

Dabei ist zu beachten, dass Unterlagen, die dem EDÖB im Rahmen dieser Vorabklärung freiwillig übermittelt werden, dem Öffentlichkeitsprinzip unterstehen. Es empfiehlt sich deshalb, besonders sensible Informationen entweder nur mündlich oder in bearbeiteter Form weiterzugeben, sodass eine spätere Einsicht durch Dritte, gestützt auf das BGÖ[1], unproblematisch bleibt.[2]

Bei einfacheren Fällen, bei denen der Sachverhalt klar ist (z.B. Durchsetzung von Auskunftsgesuchen) kann der EDÖB die verantwortliche Organisation schriftlich und unter Ansetzung einer Frist dazu auffordern, sich rechtskonform zu verhalten. Bei dieser sogenannten «niederschwelligen Intervention» handelt es sich um eine pragmatische, informelle Massnahme mit dem Ziel, auf Missstände hinzuweisen und eine freiwillige Korrektur zu erreichen. Diese Massnahme hat sich in der Praxis bewährt. Die Verantwortlichen folgen solchen Interventionen gemäss aktuellen Zahlen[3] in rund 90 % der Fälle.

Wie beginnt eine Untersuchung?

Ergeben sich im Rahmen der Vorabklärung genügend Anzeichen dafür, dass mit einer gewissen Wahrscheinlichkeit eine Datenbearbeitung gegen Datenschutzvorschriften verstossen könnte, eröffnet der EDÖB eine formelle Untersuchung. Mit der Untersuchung soll einerseits der Sachverhalt geklärt werden und andererseits festgestellt werden, ob ein Datenschutzverstoss vorliegt.

Mit der Einleitung der Untersuchung wird die betroffene Organisation über den Gegenstand der Untersuchung informiert und erhält meist einen Fragebogen, um die nötigen Informationen und Unterlagen anzufordern. Das Verfahren richtet sich nach dem Bundesgesetz über das Verwaltungsverfahren (VwVG). Die Einleitung der Untersuchung erfolgt formlos, d.h. nicht in der Form einer Verfügung und kann entsprechend auch nicht angefochten werden. Die Einleitung der Untersuchung dient der Sachverhaltsaufklärung und ist nicht als Sanktion zu verstehen.

Auch wenn die Einleitung ohne Verfügung eröffnet wurde, stehen den Parteien in diesem Verfahrensstadium Parteirechte zu, insbesondere Anspruch auf rechtliches Gehör. Im Gegensatz zur Vorabklärung ist die betroffene Organisation jetzt zur Mitwirkung verpflichtet und muss dem EDÖB alle Auskünfte geben und Dokumente zur Verfügung stellen, die für die Untersuchung notwendig sind.

Ausnahmen von der Mitwirkungspflicht bestehen in bestimmten Fällen, etwa wenn Berufsgeheimnisse betroffen sind. Ein Aussageverweigerungsrecht kann sich insbesondere aus den Art. 16 und 17 VwVG ergeben.

Verweigert eine Partei ungerechtfertigterweise ihre Mitwirkung, hat der EDÖB die Befugnis Folgendes anzuordnen:

  • Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten, die für die Untersuchung erforderlich sind;
  • Zugang zu Räumlichkeiten und Anlagen;
  • Zeugeneinvernahmen;
  • Begutachtungen durch Sachverständige.

Ausserdem sollte bedacht werden, dass private Personen, die vorsätzlich ihre Mitwirkung verweigern oder eine Anordnung des EDÖB missachten (vorausgesetzt in der Verfügung wird auf die Strafandrohung hingewiesen) mit einer Busse von bis zu CHF 250’000.- bestraft werden können.

Welche Massnahmen kann der EDÖB anordnen?

Bestätigt sich der Verdacht und der EDÖB stellt einen Verstoss fest, kann er verbindliche Massnahmen erlassen, um den rechtswidrigen Zustand zu beheben. Diese Massnahmen lassen sich grob in zwei Kategorien einteilen:

  1. Massnahmen bei Verletzung von Datenschutzvorschriften: Hier geht es um Fälle, in denen der Umgang mit Personendaten selbst gegen das Gesetz verstösst. Der EDÖB kann dann verfügen, dass eine Datenbearbeitung ganz oder teilweise angepasst, ausgesetzt oder beendet wird. Er kann also verlangen, dass unrechtmässige Datenbearbeitungen gestoppt oder geändert werden. Ausserdem kann er anordnen, dass bereits erhobene Personendaten gelöscht oder vernichtet werden, wenn diese unrechtmässig bearbeitet wurden. Falls der Verstoss mit Datenübermittlungen ins Ausland zu tun hat (etwa Daten werden in Länder ohne angemessenen Schutz gesendet), kann der EDÖB diese Übermittlungen aufschieben oder verbieten, wenn sie die gesetzlichen Voraussetzungen nicht erfüllen.
  1. Massnahmen bei Missachtung organisatorischer Pflichten oder Betroffenenrechte: In vielen Fällen liegen Verstösse nicht (nur) in der konkreten Datenbearbeitung, sondern darin, dass gesetzliche Pflichten nicht eingehalten wurden – zum Beispiel Auskunftspflichten oder Sicherheitsvorkehrungen. Der EDÖB kann deshalb auch verlangen, dass bestimmte Massnahmen nachgeholt oder umgesetzt werden. Dazu gehören z.B.:
    • Datenschutz-Folgenabschätzung durchführen: Wurde trotz Bestehen eines hohen Risikos für die Persönlichkeit oder die Grundrechte keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt, kann der EDÖB die nachträgliche Durchführung anordnen
    • Transparenz und Auskunft herstellen: Der EDÖB kann verfügen, dass betroffene Personen informiert werden oder wenn bspw. jemandem bislang Auskunft über seine gespeicherten Daten verweigert wurde, kann der EDÖB die Herausgabe dieser Auskünfte anordnen.
    • Sicherheitsmassnahmen und Organisation: Ebenso kann der EDÖB anordnen, dass eine Organisation die nötigen technischen und organisatorischen Vorkehrungen zum Schutz der bearbeiteten Personendaten trifft.
    • Vertretung in der Schweiz benennen: Hat ein verantwortliches Unternehmen keinen Sitz in der Schweiz, muss es unter bestimmten Voraussetzungen einen offiziellen Vertreter in der Schweiz benennen. Falls das vergessen wurde, kann der EDÖB auch dies einfordern, damit ein Ansprechpartner für Behörden und Betroffene vorhanden ist.

Wird der Verstoss während des Verfahrens behoben, kann der EDÖB eine Verwarnung aussprechen.

In Fällen von allgemeinem Interesse informiert der EDÖB die Öffentlichkeit über seine Feststellungen und Verfügungen. Diese Information kann durch Veröffentlichung auf der Website des EDÖB oder  durch den jährlichen Tätigkeitsbericht des EDÖB[4] erfolgen.

Wie kann man einen Verstoss melden?

Der EDÖB kann von sich aus oder auf Anzeige hin tätig werden, wenn genügend Anzeichen bestehen, dass die Datenbearbeitung einer Organisation gegen Datenschutzvorschriften verstossen könnte. Betrifft der Verstoss eine kantonale oder kommunale Stelle, kommen die Bestimmungen des jeweiligen kantonalen Datenschutzgesetzes zur Anwendung.

Der EDÖB hat auf seiner Webseite zwei Formulare zur Entgegennahme von Anzeigen veröffentlicht:

  • Das Anzeigeformular für Betroffene[5] ist für Personen gedacht, deren eigene Daten betroffen sind.
  • Das Anzeigeformular für Dritte[6] kann genutzt werden, wenn die meldende Person nicht selbst betroffen ist oder anonym bleiben möchte.

Damit der EDÖB die Anzeige effizient prüfen kann, sollten relevante Unterlagen beigefügt werden. Anzeigen, die andere Rechtsgebiete betreffen (z.B. Urheber- oder Strafrecht), werden nicht entgegengenommen. Die gemachten Angaben können vom EDÖB zur Stellungnahme an den verantwortlichen Datenbearbeiter weitergeleitet werden. Es ist deshalb ratsam, keine sensiblen Informationen beizulegen, deren Offenlegung der verantwortlichen Organisation gegenüber problematisch sein könnte.

Im Zeitraum vom 1. September 2024 bis zum 21. Januar 2025 sind beim EDÖB 1406 Anzeigen wegen mutmasslicher Datenschutzverletzungen eingegangen. Zudem wurden 116 niederschwellige Interventionen, 16 informelle Vorabklärungen und 8 formelle Untersuchungen durchgeführt. Zwei dieser Verfahren sind derzeit beim Bundesverwaltungsgericht hängig.

Was sollten Organisationen tun?

Organisationen sollten sich nicht nur formal, sondern auch organisatorisch gut aufstellen. Dazu gehören:

  • Aktuelle Verzeichnisse aller Datenbearbeitungen
  • DSG-konforme Verträge mit Auftragsbearbeitern
  • Erfüllung von Informationspflichten, z.B. in der Form von Datenschutzerklärungen
  • Klar geregelte Abläufe für Auskunftsbegehren und Löschanfragen
  • Regelmässige technische und organisatorische Sicherheitsüberprüfungen
  • Eine festgelegte interne Zuständigkeit für Datenschutzanfragen

Zudem empfiehlt es sich, interne Schulungen und Sensibilisierungen regelmässig durchzuführen.

Ein internes Verfahren zur Beurteilung von Risiken sowie ein Szenario für den Umgang mit einer EDÖB-Anfrage können dazu beitragen, im Ernstfall schnell und rechtssicher zu handeln.

Fazit

Die Artikel 49 bis 53 DSG sind das zentrale Instrument zur Durchsetzung des Datenschutzes in der Schweiz. Wer seine Hausaufgaben macht, kann einer Untersuchung gelassener entgegensehen. Wer dies unterlässt, muss mit Massnahmen und einem möglichen Reputationsverlust rechnen.

Die Praxis zeigt: Transparente Prozesse, dokumentierte Vorkehrungen und ein klarer Ansprechpartner für Datenschutzbelange machen den Unterschied – sowohl bei der Prävention als auch im Umgang mit Aufsichtsverfahren.

Haben Sie Fragen dazu? Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Datenschutz für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 26.06.2025
Kompetenzzentrum Datenschutz

[1] Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung, SR 152.3.

[2] Vgl. BSK DSG-Zobel/Roth/Weber, Art. 49 N 31.

[3] https://www.edoeb.admin.ch/de/das-datenschutzgesetz-in-zahlen

[4] https://www.edoeb.admin.ch/de/taetigkeitsbericht-des-edob

[5] https://www.edoeb.admin.ch/de/anzeigeformular-betroffene

[6] https://www.edoeb.admin.ch/de/anzeigeformular-fuer-dritte

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Oliver Känzig
Managing Consultant
Anfrage
Oliver Känzig
Managing Consultant
Anfrage
© Swiss Infosec AG 2025