Neuigkeiten

Bild: Hinweis auf News & Questions am 2. Juni 2026

News & Questions: E-Mail-Betrug, Trello, Videoüberwachung, SEPPmail, …

Bild: Hinweis auf News & Questions am 2. Juni 2026
In «News & Questions» erhalten die Mitglieder unserer Datenschutz-Academy einen Überblick über aktuelle Neuigkeiten aus dem Daten­schutz­recht und verwandten Themen.

Ferner erhalten sie Antworten auf ihre eigenen Fragen und profitieren von den Antworten auf die Fragen anderer Mitglieder.

Rechtsanwalt Martin Steiger informierte bei «News & Questions» am 2. Juni 2026 über aktuelle Entwicklungen im Daten­schutz­recht und verwandten Themen.

Er thematisierte unter anderem die Warnung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vor betrügerischen E-Mails, ein massives Datenleck bei privaten Parkplatzüberwachern sowie schwerwiegende Sicherheitslücken beim E-Mail-Verschlüsselungsanbieter SEPPmail. Weiter beleuchtete er die Übernahme neuer EU-Angemessenheitsbeschlüsse im Fürstentum Liechtenstein und das vereinfachte Meldeverfahren für die Videoüberwachung auf öffentlichem Grund in der Stadt Zürich.

Zudem kamen der Einsatz von hCAPTCHA beim Bundesgericht, die Nutzung von Google-Infrastruktur zur Speicherung gescannter Briefe durch die Schweizerische Post und ein deutsches Urteil zur Haftung für Falschaussagen eines KI-Chatbots zur Sprache.

Anschliessend widmete sich Martin Steiger den Fragen der Mitglieder der Datenschutz-Academy. Dabei drehte es sich um den datenschutzkonformen Einsatz von Tools wie Trello oder Stackfield in kantonalen Behörden, die Eingabe von Personendaten in KI-Tools wie ChatGPT oder Claude, die rechtliche Einordnung synthetischer Daten sowie die Notwendigkeit eines KI-Inventars analog zum Dateninventar. Ferner ging es um die Pflicht zur Prüfung technischer und organisatorischer Massnahmen (TOM) beim Outsourcing und die Verlässlichkeit pauschaler Compliance-Versprechen von Drittanbietern. Ein weiteres Thema war die Zulässigkeit unverschlüsselter E-Mails in Arztpraxen.

Aufzeichnung und Folien

Mitglieder der Datenschutz-Academy können sich nachfolgend die aufgezeichneten «News & Questions» ansehen und die Folien herunterladen.

Die Aufzeichnung ist nur für Mitglieder der Datenschutz-Academy verfügbar.
Mehr erfahren!

Fragen bei «News & Questions»

Mitglieder der Datenschutz-Academy stellten insbesondere folgende Fragen:

«Was hat eine kantonale Behörde aus datenschutzrechtlicher Sicht zu Trello (USA) vs. Stackfield (Deutschland) zu beachten? Kann Trello überhaupt datenschutzkonform eingesetzt werden? Klar ist, dass eines der beiden Tools für die interne Aufgabenverwaltung / Projektorganisation eingesetzt werden soll. Personendaten sind nur die Namen und Anmeldedaten der Mitarbeitenden.»

«Allgemein gefragt: Darf ich Personendaten bei ChatGPT, Claude und ähnlichen Tools eingeben?»

«Fallen synthetische Daten aus dem Datenschutz heraus?»

«Braucht es ein KI-Inventar, analog zu einem Daten-Inventar?»

«Müssen wir bei einem Outsourcing die technischen und organisatorischen Massnahmen (TOM) prüfen?»

«Viele Anbieter werden mit «100 % DSG-konform» oder «100 % DSGVO-konform». Kann man sich darauf verlassen?»

«Darf eine Arztpraxis unverschlüsselte E‑Mail verwenden?»

«Habe ich richtig verstanden, dass HIN die gleichen Sicherheitslücken wie SEPP-Mail hat?»

«Sind Massnahmen zu ergreifen, wenn man SEPPmail einsetzt oder wurden die Sicherheitslücken zwischenzeitlich behoben?»

Wir diskutieren immer wieder über Themen aus Veranstaltungen der Datenschutz-Academy in unseren «Datenschutz-Plaudereien» auf. Hast Du unseren Podcast schon abonniert?

Bild: Hinweis auf das Webinar am 19. Mai 2026

Webinar: Welche Transparenzpflichten bringt der AI Act?

Bild: Hinweis auf das Webinar am 19. Mai 2026Welche Transparenzpflichten bringt der AI Act?

Der europäische Artificial Intelligence Act (AI Act), deutsch Verordnung über künstliche Intelligenz (KI-VO), bringt Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme mit sich.

Im Live-Webinar vom 19. Mai 2026 für Mitglieder der Datenschutz-Academy beleuchteten wir die kommenden Transparenzpflichten gemäss Art. 50 AI Act.

Wir diskutierten insbesondere folgende Fragen:

  • Welche Transparenzpflichten sieht der AI Act vor?
  • Was sind «Anbieter», «Betreiber» und «KI-Systeme»?
  • Wieso müssen Unternehmen und Organisationen in der Schweiz den AI Act beachten?

Mitglieder der Datenschutz-Academy hatten die Möglichkeit, ihre Fragen direkt im Webinar zu stellen. Die nächste Gelegenheit für Fragen zum Datenschutzrecht und verwandten Themen ist «News & Questions» am 2. Juni 2026.

Mehr

Bild: Hinweis auf News & Questions am 5. Mai 2026

News & Questions: myRide, NDB-Gesichts­erkennung, Signal, SRF-Cookies, VPN-Dienste, …

Bild: Hinweis auf News & Questions am 5. Mai 2026
In «News & Questions» erhalten die Mitglieder unserer Datenschutz-Academy einen Überblick über aktuelle Neuigkeiten aus dem Daten­schutz­recht und verwandten Themen.

Ferner erhalten sie Antworten auf ihre eigenen Fragen und profitieren von den Antworten auf die Fragen anderer Mitglieder.

Rechtsanwalt Martin Steiger informierte bei «News & Questions» am 5. Mai 2026 über aktuelle Entwicklungen im Daten­schutz­recht und verwandten Themen.

Er thematisierte unter anderem die Extraktion gelöschter Signal-Nachrichten aus der iPhone-Benachrichtigungsdatenbank und die entsprechende Sicherheitsaktualisierung von Apple. Ebenfalls besprochen wurde die Warnung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vor betrügerischen E-Mails.

Weitere Schwerpunkte waren das Urteil des Bundesverwaltungsgerichts zur widerrechtlichen Gesichtserkennung durch den Nachrichtendienst des Bundes (NDB) und die neuen Lehrmittel der Datenschutzbeauftragten des Kantons Zürich für Schulen. Ferner wurden der Umzug von DeepL zu Amazon Web Services (AWS), der aktuelle Stand des Europäischen Datenschutzrechts inklusive EU-KI-Verordnung (AI Act) sowie die «Vereinfachte Reiseerfassung» bei «myRIDE» analysiert.

Anschliessend widmete sich Martin Steiger den Fragen der Academy-Mitglieder. Im Fokus standen die Informationspflichten bei der Videoüberwachung, die Notwendigkeit von Auftragsverarbeitungsverträgen (AVV) für Social-Media-Agenturen und die Risiken für SaaS-Anbieter bei der Bereitstellung von Textvorlagen für Datenschutzerklärungen und Einwilligungen.

Ferner ging es um die Bewertung von VPN-Anbietern wie Proton und Mullvad, den Umgang mit Cookie-Bannern beim Schweizer Radio und Fernsehen (SRF) für Nutzer im Ausland sowie rechtliche Rahmenbedingungen für KMU und die strategische Bedeutung von «Plan B»-Szenarien für Cloud-Dienste.

Mehr

Bild: Hinweis auf das Webinar am 21. April 2026

Webinar: Erlauben alternative Dienste eine rechtskonforme Nutzung von KI?

Bild: Hinweis auf das Webinar am 21. April 2026Erlauben alternative Dienste eine rechtskonforme Nutzung von KI?

In den beiden jüngsten Live-Webinaren stellten wir fest, dass Compliance und KI-Dienste ein schwieriges Thema ist.

Bei Claude und ChatGPT beispielsweise lassen die Anbieter Anthropic und OpenAI ihre Nutzerinnen und Nutzer weitgehend im Stich.

In diesem Live-Webinar für Mitglieder der Datenschutz-Academy prüften wir deshalb, was Alternativen zu Claude und ChatGPT mit ihrer Compliance taugen.

Wir warfen einen Blick auf Gemini von Google. Wir untersuchten ausserdem mit Langdock und Logicc zwei KI-Dienste, die sich gezielt als «compliant» positionieren.

Mitglieder der Datenschutz-Academy hatten die Möglichkeit, ihre Fragen direkt im Webinar zu stellen. Die nächste Gelegenheit für Fragen zum Datenschutzrecht und verwandten Themen ist «News & Questions» am 5. Mai 2026.

Mehr

Bild: Hinweis auf News & Questions am 7. April 2026

News & Questions: PDFs schwärzen, Vibe Coding, Videoerstellung mit KI, Wearables, …

Bild: Hinweis auf News & Questions am 7. April 2026
In «News & Questions» erhalten die Mitglieder unserer Datenschutz-Academy einen Überblick über aktuelle Neuigkeiten aus dem Daten­schutz­recht und verwandten Themen.

Ferner erhalten sie Antworten auf ihre eigenen Fragen und profitieren von den Antworten auf die Fragen anderer Mitglieder.

Rechtsanwalt Martin Steiger informierte bei «News & Questions» am 7. April 2026 über aktuelle Entwicklungen im Daten­schutz­recht und verwandten Themen.

Er thematisierte unter anderem die neuen Hinweise des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu Wearables sowie dessen Sensibilisierungs­kampagne zu zur Verwendung von Cookies. Ein weiteres Thema war die Verabschiedung des neuen Gesetzes über die Information und den Datenschutz (IDG) im Kanton Zürich. Ferner berichtete er über den Anstieg der eingegangenen Beschwerden bei Datenschutz­behörden durch KI und Datenschutz­bedenken bei vermeintlich sicheren Diensten wie Proton Meet und TeleGuard. Weitere Themen waren die Risiken von «Vibe Coding» und Lieferkettenangriffe bei der Softwareentwicklung mit künstlicher Intelligenz.

Anschliessend widmete sich Martin Steiger den Fragen der Mitglieder. Dabei drehte es sich um die Integration des Datenschutz-Managementsystems ins Informations­sicherheits-Managementsystem und die Handhabung des Datenschutzes in Unternehmensgruppen mit einer gemeinsamen Website. Ferner ging es um die KI-Regulierung in der Schweiz und die Verwendung von Diensten zur KI-basierten Videoerstellung für Mitarbeiterschulungen.

Weitere Themen waren die Verantwortlichkeit bei Verwendung von OnPrem-Fachapplikatinen bei kantonalen Behörden und Risikobeurteilungen gemäss Standard-Datenschutzklauseln (SCC) einschliesslich Transfer Impact Assessments (TIA). Ausserdem ging es um die Problematik beim Schwärzen von PDF-Dokumenten, Complianceprüfungen bei KI-Anwendungen und die datenschutzrechtliche Verantwortung bei der Empfehlung von Dritt-Diensten für Bewerbungstrainings.

Mehr

Bild: Hinweis auf das Webinar am 10. März 2026

Webinar: Claude von Anthropic unter der rechtlichen Lupe

Bild: Hinweis auf das Webinar am 10. März 2026Kann Claude von Anthropic rechtskonform verwendet werden?

In diesem Live-Webinar für Mitglieder der Datenschutz-Academy führten wir die recht­liche Prüfung von KI-Diensten fort.

Im Webinar über Verwendung von eigenen und fremden Daten mit KI-Diensten vom 17. Februar 2026 hatten wir erklärt, worauf für eine rechtskonforme Nutzung geachtet werden muss. Wir hatten ausserdem ChatGPT und die anderen KI-Dienste von OpenAI unter die rechtliche Lupe genommen.

In diesem weiteren Live-Webinar vom 10. März 2026 prüften wir gezielt den KI-Dienst Claude von Anthropic.

Wir diskutierten insbesondere folgende Fragen:

  • Können Claude und überhaupt die KI-Dienste von Anthropic rechtskonform genutzt werden?
  • Wo liegen die datenschutzrechtlichen Schwächen bei diesen KI-Diensten?

Mitglieder der Datenschutz-Academy hatten die Möglichkeit, ihre Fragen direkt im Webinar zu stellen. Die nächste Gelegenheit für Fragen zum Datenschutzrecht und verwandten Themen ist «News & Questions» am 7. April 2026.

Mehr

Bild: Hinweis auf News & Questions am 24. Februar 2026

News & Questions: Amerikanische Cloud-Dienste, Langdock, Meta-Brillen, Sicher­heits­lücken bei Pass­wort-Managern, …

Bild: Hinweis auf News & Questions am 24. Februar 2026
In «News & Questions» erhalten die Mitglieder unserer Datenschutz-Academy einen Überblick über aktuelle Neuigkeiten aus dem Daten­schutz­recht und verwandten Themen.

Ferner erhalten sie Antworten auf ihre eigenen Fragen und profitieren von den Antworten auf die Fragen anderer Mitglieder.

Rechtsanwalt Martin Steiger informierte bei «News & Questions» am 24. Februar 2026 über aktuelle Entwicklungen im Daten­schutz­recht und verwandten Themen.

Er thematisierte Neuigkeiten vom Eidgenössischen Daten­schutz- und Öffentlich­keits­beauftragten (EDÖB). Dazu gehörten dessen Ausführungen zum Einsatz generativer KI sowie die Beteiligung an einer Erklärung zum Schutz der Privat­sphäre bei KI-generierten Bildern, die in Zusammenarbeit mit 60 weiteren nationalen Daten­schutz-Aufsichts­behörden erarbeitet wurde. Weitere Neuigkeiten des EDÖB umfassten die Umsetzung einer «One-Click-Opt-out-Lösung» beim Onlineshop Digitec Galaxus nach einer formellen Empfehlung und die Intervention gegen den Einsatz von Bodycams bei Billettkontrollen der Baselland Transport AG (BLT) aufgrund fehlender Rechtsgrundlage.

Zusätzlich behandelte Martin Steiger ein neues Merkblatt der Zürcher Daten­schutz­beauftragten für Behörden zur Nutzung von US-Cloud-Diensten, eine DSGVO-Busse gegen ein spanisches Hotel sowie Sicherheitslücken in Passwort-Managern. Darüber hinaus ging er auf den Missbrauch von Datenbanken durch Beamte, die Zentralisierung von Polizeidaten und die Videoüberwachung in Patientenzimmern am Luzerner Kantonsspital ein. Ebenfalls besprochen wurden die geplante schweizerische Plattformregulierung und Mark Zuckerbergs Verwendung von KI-Brillen in einem amerikanischen Gerichtssaal.

Im zweiten Teil widmete sich Martin Steiger den Fragen der Mitglieder der Datenschutz-Academy. Im Fokus standen die datenschutzrechtliche Compliance beim KI-Tool Langdock und rechtliche Hürden beim Abbestellen der E-Mail-Werbung von Banken. Ferner beantwortete er eine Frage zur Vorbereitung auf ein mögliches Scheitern des Data Privacy Frameworks (DPF).

Mehr

Bild: Hinweis auf das Webinar am 17. Februar 2026

Webinar: Verwendung von eigenen und fremden Daten mit KI-Diensten

Bild: Hinweis auf das Webinar am 17. Februar 2026
Welche Daten dürfen mit ChatGPT, Claude, Gemini und anderen KI-Diensten verwendet werden?

Das Bedürfnis, eigene und fremde Daten mit KI-Diensten zu verwenden, ist gross. Was ist rechtlich aber überhaupt zulässig?

In diesem Live-Webinar für Mitglieder der Datenschutz-Academy erklärte Rechtsanwalt Martin Steiger, welche Daten mit KI-Diensten wie verwendet werden dürfen.

Martin Steiger beantwortete insbesondere folgende Fragen:

  • Welche eigenen und fremden Daten werden auf welchem Weg als Input verwendet?
  • Wieso ist insbesondere das Datenschutzrecht von Bedeutung?
  • Wo liegen die Probleme beim Schutz der Daten?
  • Wie muss das «Outsourcing» bei KI-Diensten abgesichert werden?
  • Wie sieht konkret die Compliance bei OpenAI und ChatGPT aus?

Mitglieder der Datenschutz-Academy hatten die Möglichkeit, ihre Fragen direkt im Webinar zu stellen. Die nächste Gelegenheit für Fragen zum Datenschutzrecht und verwandten Themen ist «News & Questions» am 24. Februar 2026.

Mehr

Bild: Hinweis auf News & Questions am 27. Januar 2026

News & Questions: BitLocker, Cookie-Bussen, security.txt, Threema-Eigentum, …

Bild: Hinweis auf News & Questions am 27. Januar 2026
In «News & Questions» erhalten die Mitglieder unserer Datenschutz-Academy einen Überblick über aktuelle Neuigkeiten aus dem Daten­schutz­recht und verwandten Themen.

Ferner erhalten sie Antworten auf ihre eigenen Fragen und profitieren von den Antworten auf die Fragen anderer Mitglieder.

Rechtsanwalt Martin Steiger informierte bei «News & Questions» am 27. Januar 2026 einerseits über aktuelle Entwicklungen im Datenschutzrecht und verwandten Themen.

Er behandelte unter anderem Datenschutz-Themen am Winterkongress 2026 der Digitalen Gesellschaft in Zürich, die Empfehlung des Bundesamtes für Cybersicherheit (BACS) für Website-Betreiber:innen zur Hinterlegung einer security.txt-Datei und die Eigentumsverhältnisse beim Messenger Threema, der an neue deutsche Investor:innen verkauft wurde.

Weiter informierte Martin Steiger über den Schutz von Nutzerdaten durch Ende-zu-Ende-Verschlüsselung einschliesslich der BitLocker-Problematik bei Microsoft Windows und über die Cookie-Bussen der französischen Datenschutz-Aufsichtsbehörde CNIL gegen American Express und die «Vanity Fair». Ferner wurde der aktualisierte Cookie-Leitfaden des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nochmals vertieft.

Andererseits ging Martin Steiger auf die Fragen der Mitglieder ein. Im Fokus standen die Datenlöschung an öffentlichen Computerarbeitsplätzen mittels Kiosk-Modus sowie die Zulässigkeit von WeChat im beruflichen Kontext.

Ferner ging es um Remarketing mit Google Ads in der Schweiz, um die Frage, ob die Speicherung von Verträgen in der Microsoft-Cloud für FINMA-regulierte Institute eine wesentliche Auslagerung gemäss dem «Outsourcing»-Rundschreiben 2018/03 darstellt, und um den Umgang mit Auskunftsbegehren bei technischen Daten wie Logdateien. Abschliessend wurde die datenschutzrechtliche Qualifikation der Nutzung von Atlassian Confluence als Auftragsverarbeitung bzw. Outsourcing diskutiert.

Mehr

Bild: Hinweis auf das Webinar am 13. Januar 2026

Webinar: Rechtskonforme Cookies und Dritt-Dienste gemäss den Anforderungen des EDÖB

Bild: Hinweis auf das Webinar am 13. Januar 2026
Rechtskonforme Cookies und Dritt-Dienste: Was für Anforderungen stellt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)?

Der EDÖB ist die schweizerische Datenschutz-Aufsichtsbehörde für Unternehmen, Organisationen und Bundesbehörden. Im Oktober 2025 veröffentlichte der EDÖB seinen aktualisierten «Cookie-Leitfaden».

Wer bei der Einbindung von Dritt-Diensten und der Verwendung von Cookies auf Nummer sicher gehen möchte, folgt diesem «Cookie-Leitfaden» – so jedenfalls die Theorie.

In diesem Live-Webinar für Mitglieder der Datenschutz-Academy erklärte Rechtsanwalt Martin Steiger, was der EDÖB in seinem «Cookie-Leitfaden» fordert.

Martin Steiger ging insbesondere auf folgende Fragen ein:

  • Welche Rechtsgrundlagen sieht der EDÖB?
  • Wie muss über Cookies informiert werden?
  • Wann ist für Cookies eine Einwilligung erforderlich?
  • Wie muss ein Cookie-Banner technisch umgesetzt werden?
  • Was ist von den Anforderungen des EDÖB zu halten?

Mitglieder der Datenschutz-Academy hatten die Möglichkeit, ihre Fragen direkt im Webinar zu stellen. Die nächste Gelegenheit für Fragen zum Datenschutzrecht und verwandten Themen ist «News & Questions» am 27. Januar 2026.

Mehr