News & Questions: BitLocker, Cookie-Bussen, security.txt, Threema-Eigentum, …

Bild: Hinweis auf News & Questions am 27. Januar 2026
In «News & Questions» erhalten die Mitglieder unserer Datenschutz-Academy einen Überblick über aktuelle Neuigkeiten aus dem Daten­schutz­recht und verwandten Themen.

Ferner erhalten sie Antworten auf ihre eigenen Fragen und profitieren von den Antworten auf die Fragen anderer Mitglieder.

Rechtsanwalt Martin Steiger informierte bei «News & Questions» am 27. Januar 2026 einerseits über aktuelle Entwicklungen im Datenschutzrecht und verwandten Themen.

Er behandelte unter anderem Datenschutz-Themen am Winterkongress 2026 der Digitalen Gesellschaft in Zürich, die Empfehlung des Bundesamtes für Cybersicherheit (BACS) für Website-Betreiber:innen zur Hinterlegung einer security.txt-Datei und die Eigentumsverhältnisse beim Messenger Threema, der an neue deutsche Investor:innen verkauft wurde.

Weiter informierte Martin Steiger über den Schutz von Nutzerdaten durch Ende-zu-Ende-Verschlüsselung einschliesslich der BitLocker-Problematik bei Microsoft Windows und über die Cookie-Bussen der französischen Datenschutz-Aufsichtsbehörde CNIL gegen American Express und die «Vanity Fair». Ferner wurde der aktualisierte Cookie-Leitfaden des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nochmals vertieft.

Andererseits ging Martin Steiger auf die Fragen der Mitglieder ein. Im Fokus standen die Datenlöschung an öffentlichen Computerarbeitsplätzen mittels Kiosk-Modus sowie die Zulässigkeit von WeChat im beruflichen Kontext.

Ferner ging es um Remarketing mit Google Ads in der Schweiz, um die Frage, ob die Speicherung von Verträgen in der Microsoft-Cloud für FINMA-regulierte Institute eine wesentliche Auslagerung gemäss dem «Outsourcing»-Rundschreiben 2018/03 darstellt, und um den Umgang mit Auskunftsbegehren bei technischen Daten wie Logdateien. Abschliessend wurde die datenschutzrechtliche Qualifikation der Nutzung von Atlassian Confluence als Auftragsverarbeitung bzw. Outsourcing diskutiert.

Aufzeichnung und Folien

Mitglieder der Datenschutz-Academy können sich nachfolgend die aufgezeichneten «News & Questions» ansehen und die Folien herunterladen.

Die Aufzeichnung ist nur für Mitglieder der Datenschutz-Academy verfügbar.
Mehr erfahren!

Fragen bei «News & Questions»

Mitglieder der Datenschutz-Academy stellten insbesondere folgende Fragen:

«Als soziale Institution stellen wir Programmteilnehmenden/Klienten 10 Desktop-Computer für z. B. ihre Bewerbungen zur Verfügung. Die Computer stehen alle in einem Raum. Wenn ein Computer frei ist, kann der benutzt werden. Es gibt keine persönlichen Accounts, die Computer sind offen. Frage: Eine Person verlässt nach der Bearbeitung ihres Lebenslaufs den Computerarbeitsplatz und löscht die erstellten Unterlagen auf dem Desktop nicht. Wer ist verantwortlich für die Löschung – die Person oder die Institution? Risiko: Die nächste Person, die den PC benutzt, kann die Datei lesen.»

«Im Internet findet man zahlreiche Bedenken zu WeChat (keine Gewährleistung der Datensicherheit, Standortdaten werden direkt an Drittanbieter übertragen etc.). Kann daher WeChat im beruflichen Kontext überhaupt datenschutzkonform verwendet werden?»

«Ein Websitebetreiber mit Zielpublikum nur in der Schweiz will Google Ads schalten mit Remarketing / Targeting. Gemäss der EU User Consent Policy von Google muss man für personalisierte Werbung (= Google Ads) immer eine Einwilligung der User haben. Aber Google erwartet ausdrücklich kein ‹Verified Consent Signal› von Usern aus der Schweiz.Scheinbar lässt sich aber der Google Tag Manager zusammen mit Google Ads nur so verwenden, dass ein Consent-Mode-Code auf der Website eingebunden werden muss, sonst funktioniert die Werbung nicht. Gibt es rechtlich ein Problem, wenn man Google nun ein positives Signal sendet, obwohl keine Einwilligung vorhanden ist? Das wäre demnach ja ‹gelogen›. Aber wenn Google technisch keine Anpassung erlaubt, kann man dafür doch nicht belangt werden? Nach Schweizer Recht ist eine Einwilligung für Google Ads gar nicht erforderlich. Natürlich besteht aber die Informationspflicht.»

«Als von der Eidgenössischen Finanzmarktaufsicht (FINMA) regulierter Verwalter von kollektiven Kapitalanlagen planen wir unserer Verträge in die Cloud von Microsoft 365 hochzuladen. Stellt die Auslagerung von Verträgen in die Cloud eine wesentliche Auslagerung im Sinne des FINMA RS 2018/03 dar? Konkret handelt es sich dabei um eine technische Speicherung bzw. Verwaltung von Verträgen in der Cloud, ohne Übertragung von operativen Kernfunktionen oder Entscheidungskompetennzen an einen Dritten. »

«Welche technischen, personenbezogenen Daten müssen durch den ICT-Betreiber eines Unternehmens bei einem Auskunftsbegehren eines Kunden oder eines Mitarbeiter herausgegeben werden? Es geht zum Beispiel um Logfiles von Systemen, Zugriffsprotokolle, Browserverläufe etc., welche indirekt bei der Nutzung erzeugt werden. Besteht überhaupt eine Pflicht aus dem Schweizer Datenschutzgesetz (DSG), dass solche Betriebsdaten erhoben beziehungsweise gespeichert werden?»

«Handelt es sich grundsätzlich immer um ein Outsourcing, sobald bei einem Dienst eine Cloud involviert ist (scheint gemäss Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten [EDÖB] so zu sein)? Konkret frage ich mich dies in Bezug auf die Nutzung von Confluence (Atlassian), wenn ausschliesslich für die Registrierung Personendaten angegeben werden und nachher die Plattform nur noch genutzt wird, um interne Prozesse abzubilden. Sprich, also nicht klassische Auftragsbearbeitung stattfindet, da der Hauptinhalt der Nutzung nicht auf einem Bearbeiten von Personendaten durch einen Dritten beruht. Nur für die Registrierung werden Mitarbeiter-Daten hinterlegt.»

Wir diskutieren immer wieder über Themen aus Veranstaltungen der Datenschutz-Academy in unseren «Datenschutz-Plaudereien» auf. Hast Du unseren Podcast schon abonniert?