
In diesem Beitrag geht es um einen alten Fall: um die Cyberattacke der Ransomware-Gruppe Play gegen die NZZ-Mediengruppe und auch um das Medienhaus CH Media im März 2023.
Konkret um die juristische Aufarbeitung dieses Falls. Denn es ist ein trauriges Lehrstück darüber, wie windige Anwälte die milden Bestimmungen im Datenschutzrecht zu ihren Gunsten ausnutzen – sodass selbst die einzige mächtige Datenschutzinstanz für Privatpersonen in diesem Land resigniert.
Ich habe vor langer Zeit mal die Untersuchung des Eidgenössischen Datenschutzbeauftragten EDÖB zum NZZ-Hack angefordert.
Warum ich von dieser Untersuchung weiss? Weil sie wegen meiner Anzeige eingeleitet worden ist.
- Rekapitulation des NZZ-Hacks und wer alles offiziell informiert wurde
- Die Stellungnahme der NZZ: wir brauchen nix zu tun
- Nirgendwo ist von ehemaligem Personal die Rede (und damit 4000 Betroffenen)
- Haben die NZZ-Anwälte recherchiert?
- Darknet-Experte widerspricht den NZZ-Anwälten
- Bundesverwaltungsgerichtsentscheid von April 2026 zur Informationspflicht
Rekapitulation des NZZ-Hacks und wer alles offiziell informiert wurde
Wir erinnern uns: Im Frühjahr 2023 hat die russische Ransomware-Gruppe Daten der NZZ-Mediengruppe gestohlen und verschlüsselt. Sie drohte damit, alles im Darknet zu veröffentlichen, sofern die NZZ kein Lösegeld bezahlt. Die NZZ hielt sich an die gängige Empfehlung von Experten (wie es das Bundesamt für Cybersecurity vorschreibt), nicht zu bezahlen.
Danach haben die Hacker wie angedroht die Daten dann im Sommer 2023 veröffentlicht. Diese enthielten nicht nur Internas des aktuellen Personals. Sondern Lohnauszüge, Arbeitsstreitigkeiten und sensible Informationen von ehemaligen NZZ-Mitarbeitenden, inklusive Arztatteste). Dazu viele statische Informationen: Name, Vorname, Adresse, Telefonnummer, Bankkonto, AHV-Nummer, Zahl der Kinder im Haushalt etc.
Insgesamt knapp 4000 Personen, wie aus der EDÖB-Untersuchung hervorgeht.
Doch das Problem ist: Die Betroffenen haben offiziell nie vom Ausmass des Datenlecks erfahren, weil sie gar nie direkt informiert worden sind. Die NZZ veröffentlichte auf der Webseite zwar immer wieder Mitteilungen über den Hack. Aus der Formulierung war niemandem klar, ob darunter auch frühere Angestellte zu verstehen sind.

Es meldeten sich daraufhin Dutzende Ex-Kolleg:innen bei mir, die wissen wollten, ob auch ihre persönlichen Informationen in den Files enthalten sind. Und ja, das waren sie auch. Fast ausnahmslos.
Ich wurde somit zur Anlaufstelle für die Betroffenen, obwohl dies eigentlich die Aufgabe der NZZ-Mediengruppe gewesen wäre, ihrer ehemaligen Arbeitgeberin.

Ein Unternehmen kann gehackt werden, sowas kann passieren und das alleine wäre fast schon keine Schlagzeile mehr wert.
Die Frage ist: wie geht das Unternehmen mit einem solchen Vorfall um?
Und damit kommen wir zum eigentlichen Problem: Die NZZ informierte ihre aktuellen Angestellten und alle diejenigen Ex-Mitarbeiter:innen, deren Pass oder Bankkopien ebenfalls in Datenablagen enthalten waren.
Doch die knapp 4000 ehemaligen Mitarbeitenden haben bis heute nicht offiziell davon erfahren.
Der grösste Teil der geleakten Informationen drehte sich zudem um Löhne, Pensionskassen, Postadressen, E-Mailadressen und Sozialversicherungsinformationen. Aber auch wie bereits erwähnt: Streitprotokolle, Arztzeugnisse, rechtliche Auseinandersetzungen, intime E-Mails. Alles Material, das kompromittierend sein kann für einen grossen Teil. Das für Phishing-Attacken verwendet werden kann (dazu später mehr). Und worauf man sich wappnen und vorbereitet sein muss – vorausgesetzt, man erfährt überhaupt davon.
Ich habe stellvertretend für viele Personen eine Anzeige beim EDÖB eingereicht. Eine Anzeige, dass bis Juni 2024 niemand Post oder einen Kontaktversuch der NZZ erhalten hat.
Der EDÖB Adrian Lobsiger zeigte mir beim Treffen in Bern die Zuschrift der NZZ.
Die Stellungnahme der NZZ: wir brauchen nix zu tun
Daraufhin konnte ich ein Missverständnis klären: Der EDÖB Adrian Lobsiger erhielt eine Zusicherung der NZZ, dass das Personal informiert worden sei. Die entsprechende Passage zeigt jedoch, dass hier nur ein kleiner Teil informiert wurde (diejenigen, deren Passkopien und Bankauszüge im Netz gelandet waren).
Er leitete daraufhin eine Untersuchung ein, die mehrere Monate dauerte. Die NZZ-Mediengruppe liess sich für die Auseinandersetzung rechtlich von der Kanzlei VISCHER und dem bekannten Anwalt David Rosenthal sowie seinem Kollegen Adrian Gautschi vertreten.
Rund ein Jahr später erhielt ich eine E-Mail vom EDÖB-Team, dass die Untersuchung abgeschlossen sei und es keine rechtlichen Konsequenzen für die NZZ-Mediengruppe geben werde.
Der EDÖB erhielt die Zusicherung der NZZ, dass sie alles Mögliche getan habe, um alle Betroffenen zu informieren. Und war damit zufrieden.
Wirklich?
Ich habe das Dossier via Öffentlichkeitsgesetz verlangt. Und auch erhalten.
Monate später (weil mich gerade viele dringende Recherchen wie KI-Regulierung, Palantir und eine Klage desselben Unternehmens, DSA, VÜPF, Nachrichtendienst etc. sowie ein neuer Newsletter beschäftigten) komme ich endlich dazu, dieses zu lesen.
Die Stellungnahmen der Kanzlei VISCHER haben mich wirklich sehr verblüfft, denn sie enthalten viele unrichtige Behauptungen, die wir jetzt noch genauer anschauen werden.
Ich werde diese zerpflücken und kommentieren. Mir geht es in diesem Beitrag vor allem darum aufzuzeigen, dass unser heutiges Datenschutzrecht völlig unzureichend vor Cyberhacks schützt. Es herrscht eine Kultur der Straflosigkeit bei Verletzungen der IT-Sicherheit, in der Individuen keine Hebel haben und es Einzelnen sehr schwer gemacht wird, Unternehmen zur Rechenschaft zu ziehen.
Die VISCHER-Anwälte Rosenthal und Gautschi gehen von einer unrealistischen Grundprämisse aus: Alle ehemaligen 4000 NZZ-Journalist:innen abonnieren und lesen heute täglich noch die NZZ.ch, stossen demnach beim Surfen der Artikel nicht auf eine Paywall und sind demnach bereits durch die Medienberichterstattung genügend informiert.
Sie machten die Art. 24 Abs. 5 lit. b und c geltend. Gemäss jenen Absätzen müssen Unternehmen in der Tat nicht mehr informieren, wenn es bereits Berichterstattung gibt.
Valide Punkte – wenn sie denn erfüllt wären.
Nirgendwo ist von ehemaligem Personal die Rede (und damit 4000 Betroffenen)
Doch weder die Hausmitteilung noch die von den Anwälten angeführten Artikel waren in dieser Hinsicht informativ genug. Die News rund um die Betroffenheit ehemaliger Mitarbeitender ist bei keinem der von VISCHER beigelegten Artikel enthalten.
Das perfideste Argument der NZZ-Anwälte: Der Hack ereignete sich im Frühjahr 2023. Das neue Datenschutzgesetz trat jedoch erst am 1. September in Kraft. Demnach gibt es keine Pflicht für die NZZ überhaupt die Betroffenen zu informieren. Hätten die Hacker von Play nur ein paar Monate zugewartet, würde sich die Informationspflichtlage etwas anders gestalten.
Ob das korrekt ist, dazu gehen die Meinungen offenbar zwischen dem EDÖB und NZZ auseinander.
Laut dem eidgenössischen Datenschutzbeauftragten besteht auch nach altem Recht eine Informationspflicht. So oder so: ein Medienverlag, dessen Journalisten alle Leaks und Fehler anderer Unternehmen publizistisch ausschlachten, sitzt doch etwas im Glashaus. Und könnte eigentlich mit positivem Beispiel vorangehen. (Nun denn: Verlag und Redaktion sind eben nicht dieselbe Entität, könnte man jetzt wieder dagegen argumentieren.)
In den NZZ-Stellungnahmen wird noch eine weitere absurde Behauptung aufgestellt: Die VISCHER-Anwälte behaupten ernsthaft, jede Person werde in ihrem Leben gehackt und müsse davon ausgehen, Opfer von Phishing zu werden. Das sei quasi „courant normal“ und eine aktive Information über geleakte Daten würde wenig daran ändern, man könne sich immer noch nicht dagegen schützen. Sie sagen, dass Missbrauch und Betrug nur in den ersten Monaten nach Bekanntwerden der Attacken eintreten würden. Erst recht also ein Grund, rasch und detailliert zu informieren.
Die Argumente der Anwälte sind defätistisch und zudem auch absurd. Und dazu auch falsch.
Erstens können alle Leute mit dem Tor-Browser die Datenfiles herunterladen, es war sehr mühsam, aber es ist machbar, und das auch noch Monate nach der Veröffentlichung im Darknet. Diese Files liegen somit bereits wahrscheinlich auf sehr, sehr vielen Computern herum.
Und zweitens können diese Informationen genauso Jahre später weiterverwendet werden.
Die Anwälte Rosenthal und Gautschi behaupten sogar, die Daten seien veraltet. Diese Information ist ebenfalls falsch.
Es handelt sich im Gegenteil praktisch um statische Informationen, die sich nicht so schnell ändern: Namen, Geburtsdatum, AHV-Nummer, E-Mail, Bankkontonummer. Die meisten Daten dürften wohl heute noch aktuell sein.
Einzig das Thema Lohn ist veraltet, schliesslich arbeiten die ehemaligen Mitarbeitenden nicht mehr bei der NZZ. Und auch hier weise ich nochmals auf den Umfang hin: Arbeitszeugnisse, Gesundheitsinformationen, rechtliche Streitigkeiten, Protokolle zu Auseinandersetzungen – all jene Informationen waren ebenfalls im riesigen Dump enthalten. Vieles davon würde sogar Erpressungsmaterial gegen Journalist:innen bieten.
Der Cybersecurity-Experte und auch mein DNIP.ch-Redaktionskollege Marcel Waldvogel erklärt, was man mit diesen Daten alles anfangen kann:
„In falschen Händen können Datensammlungen mit Mailadresse, Geburtsdatum, AHV-Nummer und IBAN auf verschiedenste Weise missbraucht werden: So können Konto-Zugangsdaten einfacher erschlichen werden, aber auch beispielsweise gezielte Phishing-Attacken („Spear-Phishing“), Social Engineering oder gar (Finanz-)Betrug ist mit solchen Daten viel erfolgsversprechender und lukrativer. Insbesondere gemeinsam mit juristischen Dokumenten ermöglichen solche Datensätze auch Doxxing oder Erpressungen. (Doxxing ist die Veröffentlichung der Daten mit bösartigen Absichten, beispielsweise die Person blosszustellen oder sie Belästigungen oder Mobs auszusetzen.)
Aufgrund der langen Gültigkeit dieser Daten ist nicht für Cyberkriminelle nicht unbedingt rasches Handeln angesagt. Im Gegenteil: Sie können auch ganz gezielt abwarten, bis einige der Personen in solchen extensiven Datenleaks in Schlüsselpositionen oder Gehemnisträgerrollen in Wirtschaft oder Politik aufgestiegen sind. Zu diesem Zeitpunkt können die Informationen viel mehr wert sein als direkt nach dem Leak.“
Haben die NZZ-Anwälte recherchiert?
Ob sich die VISCHER-Anwälte die Mühe gemacht haben, selber im Darknet zu recherchieren, das wage ich zu bezweifeln. An einer Stelle sprachen sie von den Sozialversicherungsinformationen, die für die Betroffenen ein grösseres Risiko seien im Vergleich zu Lohninformationen. Mit ein bisschen Recherche käme man aber wohl selber auf die Idee, dass die AHV-Nummer meistens in Lohnausweisen enthalten ist. Und genau jene Information betrifft einen Grossteil der fast 4000 Mitarbeitenden.
Dies wäre die grobe Zusammenfassung der schriftlichen Stellungnahmen der NZZ-Rechtsvertreter.
Ich werde nun grosszügig Bildausschnitte 1:1 veröffentlichen, denn die dreisten und teils unwahren Aussagen stehen für sich und sollen öffentlich bekannt werden.
Sie zeigen exemplarisch auf, wie Anwälte von Schweizer KMUs und IT-Konzernen das liberale Datenschutzrecht DSG für ihre Zwecke auslegen. Und wie zahnlos das revidierte Datenschutzgesetz in der Praxis ist (theoretisch bietet es einen guten Schutz für die Bürger:innen, effektiv gibt es aber null Sanktionen bei Verletzungen des DSG).
Hier die Stellungnahmen im Original:
Bei der Stellungnahme der NZZ vom 27. September 2024 hat der Medienkonzern zur Sachverhaltsfeststellung des EDÖB Position bezogen.


For the record: Es wurden 42 ehemalige Mitarbeitende wegen Kopien der Ausweise und Bankkonten informiert. Und das erst vier Monate nach dem Hack, im Juli 2024, erst auf die Forderung des eidgenössischen Datenschutzbeauftragten!
Und was ist mit den anderen 3958 Mitarbeitenden? Fehlanzeige. Dies klärte ich eben durch meine Anzeige beim EDÖB auf.
In der Anzeige sehe ich eine Verletzung des Artikels 24. Ab. 4.
Diesen Sachverhalt bestreiten die Anwälte mehrfach in ihren Stellungnahmen.
So führen Rosenthal und Gautschi in einem weiteren Abschnitt sinngemäss aus, dass es ein Widerspruch sei, dass ich als betroffene und gleichzeitig anzeigende Person nie offiziell informiert worden sei. Eine Farce, denn natürlich wurde ich in meiner Journalistinnenrolle informiert, jedoch nicht in meiner Betroffenenrolle.
Ausserdem behaupten die beiden – ohne Nachfrage beim EDÖB –, dass nicht dargelegt sei, ob ich betroffen sei. Und sei damit nicht als rechtlich betroffen zu betrachten. Der Sachverhalt sei entsprechend zu korrigieren. Ob ich betroffen bin oder nicht (ich bin als ehemalige NZZ-Journalistin auch zum Teil betroffen, zum Glück weniger gravierend im Vergleich zu vielen Ex-Kolleg:innen), ist aber völlig unerheblich.
Dann behaupten die NZZ-Anwälte Folgendes:

Man vergegenwärtige sich diese absurde Behauptung:
Rund neun Monate nach dem Cyberhack durch die Gruppe Play und der Veröffentlichung im Darknet hat ein NZZ-Journalist eine chronologische Aufarbeitung der Ereignisse gemacht. Dies sei Information genug für die Betroffenen.
Diese Aussage ist mehrfacher Humbug.
- Ich habe diesen Artikel gelesen. Im Text wurde mit keinem Wort erwähnt, dass das ehemalige Personal betroffen sei. Niemand meiner ehemaligen Kolleg:innen würde nach der Lektüre auf die Idee kommen, dass seine/ihre sensibelsten und persönlichen Daten im Darknet abrufbar sind.
- Dieser Artikel wird ausserdem – weil dies auch das Geschäftsmodell der NZZ ist- nur NZZ-Abonnent:innen zugestellt (online und print). Die NZZ hat eine Paywall, wie allgemein wohlbekannt. Und nicht alle ehemaligen NZZ-Mitarbeitenden lesen noch die NZZ.
Dann folgt mehrfach ein EDÖB-Bashing. Sie unterstellen dem EDÖB, dass er das Datenschutzgesetz nicht richtig auslege (sinngemäss: „von verantwortlichen Stellen zu viel fordere“, na hoffentlich tut er das).

Und nun kommen wir zu einigen weiteren unwahren Behauptungen, Wortklaubereien und geschickten Verdrehungen.
Zuerst werfen die Anwälte den nicht wissenden Betroffenen vor, dass sie sich gar nicht bei der für den Cyberhack zuständigen Kanzlei meldeten. Die Kanzlei Pestalozzi hat im Auftrag des Verlags NZZ eine Anlaufstelle eingerichtet, bei der sich mutmasslich Betroffene melden können. Doch diese Information ging wiederum nur an die aktuellen Angestellten.
Die Kanzlei hat sie dann jeweils nochmals spezifisch informiert über die im Darknet gefundenen Daten. Ich habe dieses Angebot – NACHDEM ICH EXPLIZIT AUF MEINE NACHFRAGE BEIM NZZ-DATENSCHUTZBEAUFTRAGTEN DARÜBER INFORMIERT WURDE – in Anspruch genommen, um herauszufinden, ob mir hier die Wahrheit gesagt wird. (und ja das tun sie: die Angaben waren deckungsgleich mit meiner Recherche)
Was ich die NZZ-Anwälte gerne fragen würde: Wie können sich Betroffene bei einer Kanzlei über den Klau ihrer spezifischen Daten informieren, wenn sie gar nicht wissen, DASS sie davon betroffen sind, und erst recht gar nicht offiziell über die Existenz DIESER KANZLEI BESCHEID WISSEN?!


Fassen wir somit zusammen: Laut Einschätzung der VISCHER-Anwälte laden Cyberkriminelle NICHT Daten aus dem Darknet herunter, weil es zu mühsam sei. Und diese seien ja auch mehrere Monate nach der Publikation gar nicht mehr informiert.
Ausserdem müsse der EDÖB beweisen, dass es einen Fall von Missbrauch gegeben hätte. Also Phishing-Attacken basierend auf den geleakten Informationen.
Ein netter Ablenkungsversuch, ich gehe davon aus, dass die VISCHER-Anwälte selber nicht glauben, was sie schreiben. Bei Online-Betrügereien geht man ausserdem in erster Linie zu den Strafverfolgungsbehörden der Kantone und meldet diesen Betrug. Und nicht zwingend zum EDÖB, weil es hier schliesslich um Strafrecht geht.
Darknet-Experte widerspricht den NZZ-Anwälten
Einer der besten Darknet-Experten in der Schweiz – Marc Ruef – ordnet diese abenteuerlichen Behauptungen wie mein Kollege Marcel Waldvogel ein. Er sagt auf meine Anfrage hin Folgendes:
- Die Aussage, dass gestohlene Daten nur „kurzfristig“ von Nutzen sind, ist nicht pauschal richtig. Es ist zwar korrekt, dass der Wert von Daten in der Regel über Zeit abnimmt. Aber das ist vom spezifischen Fall abhängig. Persönliche Daten, die nicht geändert werden können, sind auch Monate oder Jahre nach dem Angriff wertvoll. Dazu gehören zweifelsfrei Namen, Adressen, Telefonnummern, AHV-Nummern, Fingerabdrücke, etc.
- Das aktuelle Archiv der Ransomware Play geht „nur“ bis Juli 2025 zurück (siehe Screenshot). Ältere Daten werden nicht mehr angezeigt. Das heisst aber nicht, dass sich a) Play nicht noch immer im Besitz der Daten befindet und b) nicht jemand anderes im Besitz der Daten ist.
Marc Ruef meint somit auch: Gehackte Daten – besonders wenn es um statische Informationen geht, und bei dem allergrössten Teil des EHEMALIGEN PERSONALS ist dies der Fall – sind also Monate und Jahre später noch interessant.
Ob ein Opfer einen Zusammenhang zwischen einer Phishing-Kampagne und dem viele Jahre zuvor passierten Cyberhack noch erkennen und rekonstruieren, geschweige denn beweisen kann – das sei mal dahingestellt.
Eine ältere Telefonnummer von mir (ich bin mir relativ sicher, dass diese aus einem Hack von 2018 stammt) wird bis heute noch angerufen.
Und so geht in der Stellungnahme die Parade an unwahren, realitätsfremden, paradoxen und unlogischen Behauptungen weiter.
Hier nochmals stellvertretend:

Auch hier nochmals die perfid-absurde Falschbehauptung: Weil ich zufällig im Bilde war, muss ich auch nicht mehr informiert werden. Und damit könne auch auf die 3957 Betroffenen geschlossen werden, was natürlich vollkommen absurd ist.
Und nun folgt eine meiner Lieblingspassagen der Anwälte (siehe unterer Screenshot).
Sinngemäss lautet diese: Was nützt den Opfern überhaupt ihr Opfer-Wissen?
Sie könnten sich ohnehin nicht gegen Cyberattacken wehren. Denn das Risiko von Phishing gäbe es immer, deshalb brauchen sie auch nicht zu wissen, welche Daten der Massen von Cyberkriminellen öffentlich zugänglich seien.
Ein weiterer Quatsch, den ich weiter oben schon widerlegt habe.

Immerhin: Die Anwälte räumen ein, dass ein Rat an die ehemaligen Mitarbeitenden, wachsam zu sein, doch eine Option gewesen wäre. Bis sie die Aussage wieder wieder relativieren mit der Begründung: Nicht etwa die datenschutzrechtlich gebotene transparente Information über Verletzungen der Datensicherheit entscheidet, ob Opfer informiert werden.
Sondern die „relevante positive Wirkung“ für das Opfer..?
Mit anderen Worten: Ob es mir danach gut geht …?
Oder anders: Was jemand nicht weiss, das kann ihn auch nicht empören. Verweigerung der Transparenz für das bessere Wohlbefinden. (soviel Sarkasmus muss sein …)
Dann taucht wieder die falsche Prämisse auf, wonach ehemalige NZZ-Mitarbeitende bestimmt alle 24/7 die NZZ lesen. Inklusive der falschen (kurz eingestreuten) Behauptung, wonach die knapp 4000 ehemaligen Mitarbeitenden der NZZ explizit adressiert worden seien.

Dass viele Leute aus guten Gründen nicht mehr die NZZ lesen, die Medienwelt verlassen haben und bei der Schlagzeile „NZZ-Hack: Betroffen sind Kunden und Mitarbeitende“ NICHT DARAUF SCHLIESSEN, dass auch ihre Personalakten von anno 2007 und 2011 (ja, so weit reicht das Ausmass des Datendiebstahls zurück, sogar bis 2006) gemeint sein können, ist relativ naheliegend.
Und am Ende der Stellungnahme wird wenigstens die wahre Motivation sichtbar, warum die NZZ ihre ehemaligen Mitarbeitenden nicht informieren will: Es ist eine Kostenfrage.

In einer weiteren Stellungnahme wiederholen sich die unwahren Behauptungen. Ich markiere diese jeweils gelb. Der EDÖB fragte bei der NZZ nach der Begründung ihrer Einschätzung zum unterschiedlichen Schutzbedürfnis der ehemaligen und aktuellen NZZ-Mitarbeitenden.




Der EDÖB schien jedoch mit diesen Erklärungen zufrieden gewesen zu sein. Und beendete die Untersuchung.
Die Juristin Katja Gysin aus dem EDÖB-Team schrieb mir am 6. Mai 2025:
Mit Mail vom 18. Juli 2024 haben wir Sie gestützt auf Art. 49 Abs. 4 DSG informiert, dass der EDÖB eine Untersuchung gegen die Neue Zürcher Zeit AG (NZZ) eröffnet hatte. Im Rahmen dieser Untersuchung hat der EDÖB geprüft, ob die Information der Mitarbeitenden der NZZ bezüglich der Datensicherheitsverletzung vom März 2023, den gesetzlichen Vorgaben von Art. 24 Abs. 4 DSG entsprach, mit einem spezifischen Fokus auf der Information der ehemaligen Mitarbeitenden.
Hiermit informieren wir Sie gestützt auf Art. 49 Abs. 4 DSG darüber, dass die NZZ im Laufe der Untersuchung glaubhaft darlegen konnte, dass der Entscheid über die Information der Betroffenen anhand zulässiger Kriterien vorgenommen wurde. Die Berichterstattung in der Öffentlichkeit hat auch den ehemaligen Mitarbeitenden erlaubt, sich über das Ausmass und die mögliche eigene Betroffenheit ein Bild zu verschaffen. Vor diesem Hintergrund stellte der EDÖB fest, dass eine direkte Information der Mitarbeitenden keinen Mehrwert zum Schutz der betroffenen Personen hätte, sodass er auf den Erlass von Verwaltungsmassnahmen nach Art. 51 DSG verzichtet und das Verfahren am 16. April 2025 eingestellt hat.
Für den EDÖB scheint somit Artikel 24.5 b und c ausreichend erfüllt gewesen zu sein.
Diese Schlussfolgerung ist absolut enttäuschend. Die Anwälte haben den Job ihres Mandaten auf jeden Fall gut erfüllt. Sie haben zahlreiche unwahre Behauptungen gemacht, die jeder Realität widersprechen. (ich bin mir den Whataboutism und falschen Insinuierungen bereits von der Gegendarstellungsforderungsklage von Palantir gewohnt.
An dieser Stelle möchte ich noch darauf hinweisen, dass dieselbe Kanzlei (VISCHER) auch die Bundesverwaltung in IT-Fragen berät (auch im Umgang mit Big Tech):
Ich zitiere aus meinem Republik-Artikel:
„Dasselbe gilt für die Kanzlei Walder Wyss und die Kanzlei Vischer, die wie Laux Lawyers einen Zuschlag für die IT-Beratung der Bundesverwaltung erhalten haben. Bei ihnen dürfen die Bundesämter Beratungsdienstleistungen bei IT-relevanten Fragen in Anspruch nehmen. Auch hier zeigen sich eklatante Interessenkonflikte: Walder Wyss berät das BIT ausgerechnet in der kommenden Swiss-Government-Cloud-Beschaffung, hat aber gleichzeitig bei Amazon in Sachen intellectual property ein Mandat inne und scheint auch für Microsoft zu arbeiten. Walder Wyss und Laux Lawyers möchten auf Anfrage wegen des Anwaltsgeheimnisses keinen Kommentar abgeben.
Die Kanzlei Vischer wiederum ist die Datenschutz-Vertretung von Google Schweiz. Sie hält fest, dass sie in Cloud-Projekten nie die Big-Tech-Firmen vertrete, sondern nur die Kunden.“
Die Aussagen der VISCHER-Anwälte wären jedenfalls leicht falsifizierbar gewesen. Leider hat man mir jene Aussagen aber nicht vorgelegt im Rahmen der Untersuchung.
So etwas sei auch im Prozedere nicht vorgesehen, schrieb mir die Sprecherin Katja Zürcher-Mäder:
„Das Untersuchungsverfahren des EDÖB ist kein Zwei-Parteien-Verfahren; Partei ist nur der verantwortliche Datenbearbeiter (vgl. Art. 52 Abs. 2 DSG). Der Anzeiger, die Anzeigerin ist nicht Teil des Untersuchungsverfahrens. Der EDÖB stellt den Sachverhalt von Amtes wegen fest und trifft die nötigen Massnahmen, um den rechtserheblichen Sachverhalt festzustellen.“
Der Eidgenössische Datenschutzbeauftragte und sein Team hätten hier meiner Meinung dennoch ein weiteres wichtige Exempel statuieren können für den Artikel 24. Absatz 4 (weil Artikel 24. Absatz 5 b und c eben nicht erfüllt sind).
Oder hätten versuchen können, noch mehr Informationen einzuholen über das Ausmass des Datendiebstahls. Und sich nicht einseitig auf die Angaben der NZZ-Anwälte verlassen sollen. Es ist wahrscheinlich eine Ressourcenfrage, wie immer. Aber wenn man der Schweizer Datenschutz-Kultur der Straflosigkeit ein Ende setzen will, wäre dies nur konsequent gewesen. Meiner Meinung hat der EDÖB hier absolut nicht seinen Spielraum ausgenutzt.
Anders in einem anderen Fall.
Bundesverwaltungsgerichtsentscheid von April 2026 zur Informationspflicht
Offenbar gibt es bereits ein junger Bundesverwaltungsgerichtentscheid zu Artikel 24.4: Das Urteil – vom 8. April 2026 – ist wie immer anonymisiert. Doch die KI und ein paar Suchmaschinen-Abfragen identifizieren die Firma schnell.
Hintergrund ist eine Datensicherheitsverletzung des Onlineshops Apfelkiste.ch, bei welchem über 19’000 Kundendatensätze über Suchmaschinen öffentlich einsehbar waren.
- Das Unternehmen stellte selbst fest, dass ein Teil ihrer sogenannten RMA-URLs (Links zu Supportfällen) im Index der Suchmaschine Bing von Microsoft zu finden war. Davon betroffen waren mindestens 19’000 URLs bzw. Kundinnen und Kunden.
- Durch diese öffentliche Einsehbarkeit wurden sensible Personendaten unbefugten Dritten zugänglich gemacht, darunter Namen, E-Mail-Adressen, Postadressen, Bankdaten (IBAN), Kommunikationsinhalte, Fotos von Produkten und Gutscheincodes.
- Obwohl die Firma argumentierte, die URLs seien lang und „nicht zu erraten“ gewesen, hielt das Gericht fest, dass sie technisch öffentlich waren. Dass der Crawler von Bing die Links öffnen und indexieren konnte, beweise, dass sie nicht ausreichend abgesichert oder gegen Indexierung geschützt waren.
Der EDÖB verpflichtete das Unternehmen Apfelkiste.ch mittels Verfügung, die betroffenen Personen über diesen Vorfall zu informieren. Das Unternehmen wehrt sich gegen diese Anordnung und macht geltend, dass eine individuelle Benachrichtigung unmöglich oder unverhältnismässig sei. Und die Firma wehrte sich auch gegen eine öffentliche, allgemeine Bekanntmachung auf der Website.ch.
In jenem Fall ist die Blockade des Unternehmens gegen die gezielte Kundeninformation nachvollziehbarer: Das Unternehmen hat die URLS per sofort aus dem Index von BING nehmen lassen, damit die Kundendaten per sofort nicht mehr zugänglich sind. So konnte Apfelkiste die einzelnen Kunden nicht informieren, weil sie sie gar nicht identifizieren konnte.
Nach Auffassung des Bundesverwaltungsgerichts war eine direkte individuelle Information hier faktisch unmöglich beziehungsweise unverhältnismässig, weil die betroffenen Personen nicht mehr identifizierbar waren und die nachträgliche Blockierung durch die Beschwerdeführerin die Identifikation zusätzlich verunmöglicht hatte. In solchen Fällen könne eine öffentliche Bekanntmachung nach Art. 24 Abs. 5 lit. c DSG die individuelle Information ersetzen. Das Gericht befand diese Lösung auch als verhältnismässig, weil sie das mildeste wirksame Mittel sei und den Betroffenen ermögliche, Schutzmassnahmen zu ergreifen.
Der Gerichtsentscheid ist nachvollziehbar: Anders im Vergleich zur NZZ ist die individuelle Information wohl in der Tat technisch stark erschwert, eine allgemeine Information auf der Website jedoch zumutbar.
Jetzt könnte man natürlich mit diesem Fall argumentieren, dass die NZZ selbst ja aktiv informierte auf der Website. Und die Informationspflicht mehr als erfüllt habe. Gleichzeitig halte ich am Standpunkt fest, dass aus der Information selbst immer noch nicht das Ausmass der potenziellen Betroffenheit ersichtlich ist.
Nochmals: wir reden von über 4000 Betroffenen. Alle Ex-Kolleg:innen, die sich bei mir gemeldet haben, gehen BIS HEUTE trotz Berichterstattung über den Hack und die Information auf der Website NIE davon aus, dass SIE MITGEMEINT SIND. Sie haben mich NACH meinem Artikel bei der republik.ch kontaktiert.
Die NZZ hätte in ihrem Fall zudem aufgrund die in ihren Personalakten verfügbaren Kontaktinformationen versuchen können, jenes ehemalige Personal zu erreichen.
Und nochmals: es geht um Personalakten, rechtliche Streitigkeiten, Sitzungsprotokolle, Gesundheitsinformationen die bis ins Jahr 2006 zurückreichen.
Gut möglich würde das Bundesverwaltungsgericht ähnlich entscheiden im Fall der NZZ (hätte ich diesen Fall weitergezogen). Und dazu verpflichtet nochmals eine klare Information auf der Website der NZZ Mediengruppe, eine Medienmitteilung und ein eigener Artikel (nicht hinter der Paywall) in der explizit die Betroffenheit der insgesamt fast 4000 Mitarbeitenden adressiert worden wäre. Zumindest der Versuch, an die letzte bekannte Mail- und Postadresse eine Information zu versenden, hätte doch wohl einen Grossteil der effektiv Betroffenen erreicht.
Zum Schluss möchte ich noch grosszügig aus einem watson-Interview mit IT-Anwalt Martin Steiger zitieren (der im besagten Bundesverwaltungsgerichtsfall übrigens die betroffene Firma vertrat). Er sagt:
„Verletzungen der Datensicherheit müssten finanziell schmerzen.“
Im September 2025 hat das Parlament die Einführung der Verbands- bzw. Sammelklage versenkt. Sind Schweizer Konsumenten nach massenhaften Datendiebstählen/Datenabflüssen juristisch gesehen Freiwild?
In jedem Fall können sich Konsumenten nicht gemeinsam und wirksam zur Wehr setzen, schon gar nicht gegen grosse Unternehmen in der Schweiz oder im Ausland.Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) könnte intervenieren. Das geschieht aber, soweit für mich ersichtlich, nur selten. Das beginnt schon damit, dass der EDÖB von einer Verletzung der Datensicherheit überhaupt erfahren muss. Und auch in diesem Fall muss er bereit sein, den Aufwand für eine Intervention zu betreiben. Der EDÖB geniesst aufgrund seiner Unabhängigkeit grösste Freiheit, was er unternimmt – oder eben nicht unternimmt.
(…)
Wenn sensible Daten abfliessen, verursacht dies oft einen immateriellen Schaden, der schwer in Franken zu beziffern ist. Lohnt es sich für eine Privatperson in der Schweiz überhaupt, wegen eines solchen Datenlecks einzeln auf Schadenersatz oder Genugtuung zu klagen?
Faustregel: Nein. Im Einzelfall: Vielleicht. In den meisten Fällen riskieren die betroffenen Personen, auch im besten Fall eine solche Angelegenheit mit einem finanziellen Minus abzuschliessen. Die Höhe einer Genugtuung ist in der Schweiz notorisch tief und die Hürden, einen behaupteten Schaden zu beweisen, sind hoch.(…)
Wenn das Schweizer Datenschutzgesetz heute nachgebessert werden könnte: Welche Änderung bräuchte es, um Firmen zu mehr IT-Sicherheit zu zwingen?
Zwang hat immer Grenzen, gerade bei der Gewährleistung der Sicherheit. Wenn wir mehr Datensicherheit bei Unternehmen in der Schweiz möchten, wären aus Sicht der betroffenen Personen verschiedene Massnahmen erforderlich, die für schweizerische Verhältnisse ungewohnt sind.
- Verletzungen der Datensicherheit müssten finanziell schmerzen – und zwar die Unternehmen selbst, nicht bloss einzelne verantwortliche Personen. Dabei müssten auch fahrlässige Verletzungen der Datensicherheit erfasst werden, denn Vorsatz ist in dieser Hinsicht selten. Die möglichen Sanktionen – rechtlich gesprochen Verwaltungssanktionen – müssten risiko- und umsatzbasiert ausfallen.
- Die Meldepflichten könnten ausgeweitet werden, damit Verletzungen der Datensicherheit überhaupt bekannt werden. Wer nicht von sich aus meldet, sollte – anders als heute – mit Sanktionen rechnen müssen. Eine Whistleblower-Regelung könnte in dieser Hinsicht helfen.
- Die Möglichkeiten der betroffenen Personen müssten gestärkt werden, indem Sammelklagen und ein Verbandsbeschwerderecht geschaffen würden. So könnten sich Betroffene zusammenschliessen. Auch könnten NGOs wie die Digitale Gesellschaft oder die Stiftung für Konsumentenschutz für die betroffenen Personen den Rechtsweg beschreiten.
Mit solchen Massnahmen wäre für Unternehmen nicht mehr die Verletzung der Datensicherheit das abstrakte Risiko, sondern der Verzicht auf Prävention ein konkretes Risiko. Es würde sich lohnen, in die Prävention zu investieren.
Das bedeutet nicht, dass jede Verletzung der Datensicherheit zu Sanktionen führen müsste. Im Vordergrund müssten die Aufklärung und das gemeinsame Lernen aus den Fehlern anderer stehen. In der Luftfahrt spricht man diesbezüglich von einer «Just Culture» oder «Safety Culture». Das bedeutet nicht, dass es in der Luftfahrt keine Sanktionen gibt, aber es ist allen gedient, wenn gemeinsam gelernt und verbessert wird. In der Schweiz könnte das Bundesamt für Cybersicherheit (BACS) in dieser Hinsicht eine stärkere Rolle spielen. Ferner könnten sich Branchenverbände verstärkt einbringen.
Es gibt genügend Unternehmen, die als positive Beispiele für die Gewährleistung der Datensicherheit dienen können. Schmerzhafte finanzielle Sanktionen sollten jene treffen, die besonders schwerwiegend versagt haben oder sich als nicht lernfähig erweisen, also die «schwarzen Schafe». In dieser Hinsicht könnten wir auch prüfen, was bei Sanktionen – finanziell und nicht finanziell – in der Europäischen Union mit der Datenschutz-Grundverordnung (DSGVO) funktioniert.




