Datenschutz bei SwissImmigrationPro — Bundesgesetz über den Datenschutz (nDSG)

Geltungsdatum: 01.09.2023 — Stand des revidierten nDSG zum Zeitpunkt der Erstabfassung. Status: AI-Entwurf, ausstehende Prüfung durch leitende:n Anwältin/Anwalt of record und durch die/den Datenschutzbeauftragte:n (DPO).

Zweck dieser Datei

SwissImmigrationPro (SIP) speichert und bearbeitet Migrationsdaten, die nach Bundesrecht zu den besonders schützenswerten Personendaten (Art. 5 lit. c nDSG) gehören. Diese Datei beschreibt das anwendbare Datenschutzregime in Schweizer Bundesrecht, identifiziert die operativen Konsequenzen für SIP-Nutzer:innen, und nennt verbatim die einschlägigen Bestimmungen. Sie ist Quellverbindlichkeit für jede Einwilligungs-Frage, jedes Auskunftsbegehren und jede Datenlöschungsanfrage.

Die Datei beantwortet nicht, was SIP konkret speichert (das tut die Tier-2-Layered-Privacy-Policy nach ADR-018 D7). Sie beantwortet, welches Recht überhaupt zur Anwendung kommt und welche Pflichten und Rechte daraus für Betreiber und betroffene Person folgen.

1. Das revidierte Datenschutzgesetz (nDSG) — Überblick

Das Bundesgesetz über den Datenschutz (DSG, SR 235.1) ist in der revidierten Fassung am 1. September 2023 in Kraft getreten. Es ersetzt das aDSG von 1992. Die Revision wurde insbesondere durch die Anpassung an Art. 8 EMRK, an die EU-DSGVO (zwecks Adäquanzbeschluss) und an die modernisierte Konvention SEV 108+ des Europarats motiviert.

Geltungsbereich (Art. 2 nDSG). Das Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:

• private Personen (Art. 2 Abs. 1 lit. a) — dazu zählt SIP als juristische Person des Privatrechts;
• Bundesorgane (Art. 2 Abs. 1 lit. b) — Staatssekretariat für Migration (SEM), Bundesverwaltungsgericht (BVGer), Eidgenössische Steuerverwaltung (ESTV) etc.

Es gilt nicht für die Bearbeitung durch:

• kantonale und kommunale Organe (diese unterliegen kantonalen Datenschutzgesetzen — siehe Abschnitt 15);
• Personendaten juristischer Personen (Art. 2 Abs. 2 lit. b — eine wesentliche Änderung gegenüber dem aDSG, das auch juristische Personen schützte);
• Personendaten zu ausschliesslich persönlichem Gebrauch (Art. 2 Abs. 2 lit. a).

Aufsichtsbehörde. Eidgenössische:r Datenschutz- und Öffentlichkeitsbeauftragte:r (EDÖB; international FDPIC — Federal Data Protection and Information Commissioner). Sitz in Bern, Zuständigkeit national. Die Beauftragte:n wird:wird vom Bundesrat ernannt (Art. 43 nDSG) und ist in der Aufgabenwahrnehmung weisungsungebunden (Art. 43 Abs. 4 nDSG).

Verhältnis zur EU-DSGVO. Die Europäische Kommission hat das nDSG am 15. Januar 2024 als adäquat im Sinne von Art. 45 DSGVO anerkannt. Datenübermittlungen aus dem EWR in die Schweiz erfordern daher keine ergänzenden Garantien. Das nDSG ist jedoch eigenständig und nicht deckungsgleich mit der DSGVO (zentrale Unterschiede: kein eigenständiges Recht auf Löschung, kein Bussgeld bis 4% Jahresumsatz, kein expliziter Profilbildungsschutz auf DSGVO-Niveau).

2. Besonders schützenswerte Personendaten — Art. 5 lit. c nDSG

Migrationsdaten sind nach Schweizer Bundesrecht besonders schützenswert. Die abschliessende Liste in Art. 5 lit. c nDSG lautet verbatim:

Art. 5 Begriffe

In diesem Gesetz bedeuten:

c. besonders schützenswerte Personendaten: Daten:

1. über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
2. über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
3. genetische Daten,
4. biometrische Daten, die eine natürliche Person eindeutig identifizieren,
5. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
6. Daten über Massnahmen der sozialen Hilfe.

Operative Konsequenz für SIP. Migrationsdaten — insbesondere Asyl-, Sans-papiers-, S-Permit- und F-Permit-Daten — lösen typischerweise mindestens vier der sechs Unterkategorien gleichzeitig aus:

• Asyldaten (Art. 5 lit. c Ziff. 1, 2, 4, 5):

  • religiöse oder politische Verfolgungsgründe (Ziff. 1 — Religion, Politik);
  • Gesundheitsdaten in der Anhörung (Ziff. 2 — Gesundheit);
  • Ethnie und Herkunftsregion (Ziff. 2 — Rasse/Ethnie);
  • biometrische Erfassung (EURODAC-Fingerabdrücke, biometrisches Foto in N-/F-/B-Ausweisen) (Ziff. 4 — biometrisch);
  • laufendes Verwaltungsverfahren (Ziff. 5 — verwaltungsrechtliche Verfolgung).

• Sans-papiers-Daten (Art. 5 lit. c Ziff. 5): bereits die Tatsache der Anwesenheit ohne Aufenthaltsstatus ist ein verwaltungsrechtlicher Status mit Sanktionsrisiko nach Art. 115 AIG (Strafbestimmung wegen rechtswidrigen Aufenthalts).

• S-Permit-Daten Ukraine (Art. 5 lit. c Ziff. 1, 2, 5): Herkunft aus einem aktiven Kriegsgebiet impliziert mit hoher Wahrscheinlichkeit politische und Gesundheitsangaben; der S-Status ist eine verwaltungsrechtlich verfügte Schutzkategorie.

• F-Permit-Daten (vorläufige Aufnahme) (Art. 5 lit. c Ziff. 5): laufender Wegweisungsvollzug mit aufgeschobener Vollziehung.

• Familiennachzugs- und Eheschliessungsdaten (Art. 5 lit. c Ziff. 2): Beziehungsdetails fallen unter Intimsphäre.

Rechtsfolge. Für besonders schützenswerte Personendaten verschärft das nDSG:

• die Einwilligungsanforderungen (Art. 6 Abs. 7 — ausdrückliche Einwilligung erforderlich);
• die DSFA-Pflichten (Art. 22 — Datenschutzfolgenabschätzung bei umfangreicher Bearbeitung);
• die Bekanntgabe an Dritte (Art. 30 Abs. 2 lit. c — schon einfache Bekanntgabe kann Persönlichkeitsverletzung sein);
• die Bussenbestimmungen (Art. 60 ff. — strafbar nur bei besonders schützenswerten Daten oder Profiling, nicht generell).

3. Einwilligung — Art. 6 Abs. 6 und 7 nDSG

Die Einwilligungsanforderungen lauten verbatim:

Art. 6 Grundsätze

6 Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird.

7 Die Einwilligung muss ausdrücklich erfolgen für: a. die Bearbeitung von besonders schützenswerten Personendaten; b. ein Profiling mit hohem Risiko durch eine private Person; oder c. ein Profiling durch ein Bundesorgan.

Operative Konsequenzen für SIP.

Allgemein-AGB-Klausel reicht nicht. Eine pauschale Einwilligung in den Nutzungsbedingungen — etwa "Mit Klick auf 'Konto erstellen' willigen Sie in alle Datenbearbeitungen ein" — ist für besonders schützenswerte Personendaten nicht gültig. Das Erfordernis ausdrücklicher Einwilligung nach Art. 6 Abs. 7 nDSG schliesst implizite oder gebündelte Zustimmung aus. Jede Bearbeitung besonders schützenswerter Daten — insbesondere die Erfassung des Permit-Status oder die Klärung eines Härtefalls — erfordert eine je separate, vor der Bearbeitung erteilte und protokollierte Einwilligung.

Granularität. Art. 6 Abs. 6 nDSG verlangt Einwilligung "für eine oder mehrere bestimmte Bearbeitungen". Eine pauschale Einwilligung "in alle künftigen Bearbeitungen" ist nicht zweckspezifisch und damit ungültig. SIP-Einwilligungen müssen jede Zweckkategorie einzeln benennen (Konto-Verwaltung; Permit-Tracking; Crisis-Card; Mandantenmandat; Marketing — jede separat opt-in).

Freiwilligkeit. Einwilligung ist nicht freiwillig, wenn ihre Verweigerung den Zugang zu einer wesentlichen Leistung verhindert oder erhebliche Nachteile auslöst. SIP darf den Kontozugang nicht von einer Einwilligung in nicht-erforderliche Bearbeitungen (z.B. Marketing) abhängig machen (Koppelungsverbot, vgl. EDÖB-Erläuterung 2022).

Widerrufbarkeit. Einwilligung ist jederzeit widerrufbar (vgl. Art. 30 Abs. 2 lit. b nDSG — Widerspruchsrecht). Der Widerruf entfaltet Wirkung ex nunc (für die Zukunft); Bearbeitungen vor dem Widerruf bleiben rechtmässig, wenn sie damals durch gültige Einwilligung gedeckt waren.

Beweislast. Im Streitfall trägt SIP als Verantwortliche:r die Beweislast, dass eine gültige Einwilligung vorlag. SIP protokolliert daher jede Einwilligung mit Zeitstempel, IP-Hash, Wortlaut der Einwilligungserklärung und versionierter UI-Form.

4. Informationspflicht des Verantwortlichen — Art. 19 nDSG

Bei der Beschaffung von Personendaten muss SIP die betroffene Person aktiv informieren. Art. 19 nDSG lautet auszugsweise verbatim:

Art. 19 Informationspflicht bei der Beschaffung von Personendaten

1 Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.

2 Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit: a. die Identität und die Kontaktdaten des Verantwortlichen; b. den Bearbeitungszweck; c. gegebenenfalls die Empfänger oder die Kategorien von Empfängern, denen Personendaten bekanntgegeben werden.

3 Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit.

4 Werden die Personendaten ins Ausland bekanntgegeben, so teilt er der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel 16 Absatz 2 oder die Anwendung einer Ausnahme nach Artikel 17 mit.

Operative Konsequenz für SIP. Die Layered-Privacy-Policy nach ADR-018 D7 muss bei der Erfassung jedes Datums proaktiv (nicht nur auf Anfrage) folgende Punkte transparent machen:

• Identität des Verantwortlichen: SwissImmigrationPro AG, Sitz, Kontakt-E-Mail des DPO;
• Zweck der Bearbeitung: Permit-Tracking; Crisis-Card; Mandantenmandat-Vermittlung; AHV/Steuer-Erinnerungen — jede Zweckkategorie separat;
• Empfänger oder Kategorien: kantonales Migrationsamt (nur bei expliziter Versand-Aktion durch Nutzer:in); Anwältin/Anwalt of record (nur bei Mandatsmandat); Auftragsbearbeiter (Stripe SPEL, Infomaniak, Vault, Anthropic — siehe Abschnitt 13);
• Auslandsempfang: Anthropic (USA) für Clara-LLM-Inferenz — siehe Abschnitt 12.

Zeitpunkt. Die Information ist bei der Beschaffung zu erteilen, nicht nachträglich. Konkret: Die Privacy-Notice-Layer-1 muss vor dem Klick auf "Konto erstellen" sichtbar sein, nicht erst nach Eingabe der Daten.

5. Auskunftsrecht — Art. 25 nDSG

Das Auskunftsrecht ist das zentrale Betroffenenrecht. Art. 25 nDSG lautet auszugsweise verbatim:

Art. 25 Auskunftsrecht

1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.

2 Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Sie erhält in jedem Fall folgende Informationen: a. die Identität und die Kontaktdaten des Verantwortlichen; b. die bearbeiteten Personendaten als solche; c. den Bearbeitungszweck; d. die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer; e. die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden; f. gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht; g. gegebenenfalls die Empfänger oder die Kategorien von Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.

7 Die Auskunft ist in der Regel innerhalb von 30 Tagen kostenlos zu erteilen.

Operative Konsequenz für SIP. Auskunftsbegehren sind innerhalb von 30 Tagen — als Regelfrist — kostenlos zu beantworten. SIP unterhält dafür einen Self-Service-Auskunftsbutton im Konto-Dashboard, der ein vollständiges Datenexport-Paket generiert, sowie eine Auskunfts-E-Mail an dpo@swissimmigrationpro.ch für komplexe Begehren.

Mindestinhalt der Antwort. Die Auskunft umfasst nicht nur die "Daten", sondern den vollständigen Katalog nach Abs. 2 lit. a–g: Aufbewahrungsdauer, Herkunft, allfällige automatisierte Einzelentscheidungen, Empfänger:innen. Eine reine PDF-Sammlung der eingegebenen Daten ohne Metadaten genügt nicht.

EDÖB-Praxis 2025. In einer im August 2025 veröffentlichten Empfehlung gegen eine grosse Schweizer Bank stellte der EDÖB fest, dass eine pauschale Verzögerungsbegründung ("zu viele Anfragen", "interne Compliance-Prüfung") die 30-Tage-Frist nicht legitim verlängert. Verlängerungen sind nur bei nachgewiesener Komplexität des Einzelbegehrens zulässig und müssen begründet kommuniziert werden.

Verweigerung. Die Auskunft kann verweigert, eingeschränkt oder verzögert werden, wenn die Voraussetzungen nach Art. 26 nDSG erfüllt sind — insbesondere im Anwendungsbereich des anwaltlichen Berufsgeheimnisses (siehe Abschnitt 6).

6. Berufsgeheimnis-Vorbehalt — Art. 26 Abs. 1 lit. a nDSG

Das anwaltliche Berufsgeheimnis ist eine explizite Schranke des Auskunftsrechts. Art. 26 Abs. 1 lit. a nDSG lautet verbatim:

Art. 26 Einschränkungen des Auskunftsrechts

1 Der Verantwortliche kann die Auskunft verweigern, einschränken oder aufschieben, wenn: a. ein Gesetz im formellen Sinn dies vorsieht, namentlich um ein Berufsgeheimnis zu schützen; b. dies wegen überwiegender Interessen Dritter erforderlich ist; oder c. das Auskunftsbegehren offensichtlich unbegründet ist, namentlich wenn es einen datenschutzwidrigen Zweck verfolgt oder offensichtlich querulatorisch ist.

2 Der Verantwortliche kann zudem die Auskunft verweigern, einschränken oder aufschieben, wenn: a. er eine private Person ist und folgende Voraussetzungen erfüllt sind:

1. überwiegende Interessen des Verantwortlichen erfordern die Massnahme,
2. der Verantwortliche gibt die Personendaten nicht Dritten bekannt; b. er ein Bundesorgan ist und folgende Voraussetzungen erfüllt sind:
3. überwiegende öffentliche Interessen, insbesondere die innere oder äussere Sicherheit der Schweiz, erfordern die Massnahme,
4. die Bekanntgabe der Informationen kann eine Untersuchung, eine Strafuntersuchung oder ein anderes Untersuchungsverfahren gefährden.

Operative Konsequenz für SIP-Mandate. Sobald ein Mandat zwischen Nutzer:in und Anwältin/Anwalt of record besteht, fällt die mandatsspezifische Aktenführung unter Art. 13 BGFA (anwaltliches Berufsgeheimnis). Daten und Korrespondenz im Mandantenportal sind dann vom Auskunftsrecht ausgenommen, soweit sie unter das Berufsgeheimnis fallen (Art. 26 Abs. 1 lit. a nDSG i.V.m. Art. 13 BGFA).

Was das praktisch bedeutet.

• Nutzer:in hat weiterhin vollen Zugriff auf ihre eigene Mandatsakte (das BGFA-Berufsgeheimnis schützt das Verhältnis Anwalt:in–Klient:in, nicht umgekehrt).
• Dritte — etwa die Schweizer Behörden, ein Arbeitgeber, ein anderer Familienmitglied — können sich nicht über das nDSG-Auskunftsrecht Zugang zur Mandatsakte verschaffen.
• Im Falle einer Auskunftsanfrage durch eine Person, deren Daten in der Akte einer anderen Klient:in vorkommen (z.B. Familiennachzugsverfahren), kann SIP die Auskunft unter Art. 26 Abs. 1 lit. a nDSG verweigern, soweit die Bekanntgabe das Berufsgeheimnis der Hauptklient:in verletzen würde.

Begründungspflicht. Eine Auskunfts-Verweigerung muss begründet werden (Art. 26 Abs. 4 nDSG i.V.m. EDÖB-Praxis). Bloss "Berufsgeheimnis" genügt nicht; SIP nennt die konkrete Rechtsgrundlage und die Kategorie der zurückgehaltenen Daten.

7. Kein eigenständiges Recht auf Löschung im nDSG

Wichtige Klarstellung — abweichend von der EU-DSGVO. Das nDSG enthält kein eigenständiges, formuliertes "Recht auf Löschung" (kein "right to be forgotten"). Die EU-DSGVO regelt dies in Art. 17 DSGVO; das Schweizer Pendant fehlt explizit.

Diese Doktrin geht auf David Rosenthal zurück (Rosenthal/Jöhri, Handkommentar zum Datenschutzgesetz, Schulthess 2008, N 137 zu Art. 5; bestätigt in Rosenthals nDSG-Kommentar 2022). Die Löschung erfolgt im nDSG mittelbar über zwei Mechanismen:

Mechanismus 1 — Widerspruchsrecht (Art. 30 Abs. 2 lit. b nDSG). Verbatim:

Art. 30 Persönlichkeitsverletzungen

1 Der Verantwortliche darf die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzen.

2 Eine Persönlichkeitsverletzung liegt insbesondere vor, wenn: a. Personendaten entgegen den Grundsätzen nach den Artikeln 6 und 8 bearbeitet werden; b. Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden; c. besonders schützenswerte Personendaten Dritten bekanntgegeben werden.

Eine ausdrückliche Willenserklärung gegen weitere Bearbeitung (= Widerruf der Einwilligung + Widerspruch gegen die Bearbeitung) macht jede Folgebearbeitung zur Persönlichkeitsverletzung.

Mechanismus 2 — Berichtigungs- und Unterlassungsanspruch nach ZGB Art. 28. Die betroffene Person kann gestützt auf Art. 32 Abs. 2 nDSG i.V.m. Art. 28 ff. ZGB beim Zivilgericht auf Löschung klagen. Art. 32 Abs. 2 lit. c nDSG verbatim:

Art. 32 Ansprüche und Verfahren

2 Die klagende Partei kann verlangen: c. dass die Personendaten berichtigt, vernichtet oder Dritten nicht bekanntgegeben werden.

Operative Konsequenz für SIP. Eine Löschungsanfrage einer Nutzer:in wird nicht unter einem nDSG-Schlagwort "Right to Erasure" behandelt, sondern:

1. SIP prüft zuerst, ob die Einwilligung widerrufen wurde — falls ja, ist jede Folgebearbeitung persönlichkeitsverletzend (Art. 30 Abs. 2 lit. b);
2. SIP prüft, ob noch eine rechtliche Grundlage für die Aufbewahrung besteht (Vertragspflicht, Buchführungspflicht Art. 958 OR, Anwalts-Aktenführungspflicht Art. 12 BGFA, Steueraufbewahrungspflicht);
3. Bei fehlender Rechtsgrundlage löscht SIP umgehend; bei bestehender Rechtsgrundlage sperrt SIP die Daten und löscht sie nach Ablauf der Rechtsgrundlage automatisch.

Klarheit für Nutzer:innen. Die SIP-Privacy-Policy formuliert nicht "Sie haben ein Recht auf Löschung" (das wäre rechtsdoktrinär unpräzise), sondern: "Sie können die Einwilligung jederzeit widerrufen. Daten, deren Aufbewahrung keine andere gesetzliche Grundlage hat, werden gelöscht. Daten, die gesetzliche Aufbewahrungspflichten erfüllen, werden gesperrt und nach Ablauf der Pflicht automatisch gelöscht."

8. Berichtigungs-Ausschluss bei gesetzlicher Aufbewahrungspflicht — Art. 32 Abs. 1 lit. a nDSG

Art. 32 Abs. 1 nDSG regelt den Berichtigungsanspruch und seine Schranken. Verbatim:

Art. 32 Ansprüche und Verfahren

1 Die betroffene Person kann insbesondere verlangen, dass: a. unrichtige Personendaten berichtigt werden, ausser eine gesetzliche Vorschrift verbietet die Änderung; b. die Bearbeitung nicht oder nur eingeschränkt erfolgt; c. die Personendaten vernichtet werden.

Operative Konsequenz für SIP. Die Klausel "ausser eine gesetzliche Vorschrift verbietet die Änderung" ist die zentrale Schranke für SIP-Berichtigungsanfragen, die sich auf einen anwaltlichen Mandatsakt beziehen.

Anwaltliche Aktenführung als Berichtigungsschranke. Nach Art. 12 lit. j BGFA muss eine im Mandantenregister eingetragene Anwältin oder Anwalt die Mandatsakten mindestens zehn Jahre ab Mandatsende aufbewahren. Dies ist eine bundesgesetzliche Vorschrift im Sinne von Art. 32 Abs. 1 lit. a nDSG.

Daraus folgt: Daten in einem laufenden oder abgeschlossenen Mandat können während der zehnjährigen Aufbewahrungsfrist nicht in der ursprünglichen Akte berichtigt oder gelöscht werden. Wenn eine Korrektur nötig ist (z.B. ein im Verfahren festgestellter Fehler in einem Geburtsdatum), wird der Fehler durch einen Nachtrag mit Datierung dokumentiert; der ursprüngliche Akteneintrag bleibt unverändert. Dies ist anwaltsrechtliche Praxis und durch Art. 32 Abs. 1 lit. a nDSG ausdrücklich gestützt.

Weitere Berichtigungsschranken.

• Buchführungs-Aufbewahrungspflicht nach Art. 958f OR (10 Jahre — Geschäftsbücher, Buchungsbelege);
• Steuer-Aufbewahrungspflicht nach Art. 126 Abs. 3 DBG (10 Jahre);
• Aufbewahrungspflichten im AHV-Bereich (Art. 209 AHVV, je nach Belegkategorie 5–10 Jahre);
• Geldwäschereibezogene Aufbewahrungspflichten nach Art. 7 Abs. 3 GwG (10 Jahre — soweit anwendbar).

9. Datenschutz-Folgenabschätzung (DSFA) — Art. 22 nDSG

Bei umfangreicher Bearbeitung besonders schützenswerter Personendaten ist eine Datenschutz-Folgenabschätzung obligatorisch. Art. 22 nDSG verbatim:

Art. 22 Datenschutz-Folgenabschätzung

1 Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Werden mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Datenschutz-Folgenabschätzung erstellt werden.

2 Das hohe Risiko ergibt sich, namentlich beim Einsatz neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt insbesondere vor, wenn: a. besonders schützenswerte Personendaten umfangreich bearbeitet werden; b. umfangreich öffentliche Bereiche systematisch überwacht werden.

3 Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Beurteilung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.

Operative Konsequenz für SIP. SIP führt eine DSFA pro Permit-Klasse und pro neuer Funktion mit Datenbezug. Die DSFA ist intern dokumentiert (/compliance/dsfa/), datiert, durch DPO unterzeichnet und bei wesentlichen Änderungen — typischerweise alle 12 Monate oder bei Funktions-Releases mit Datenneuerfassung — aktualisiert.

Inhalt der SIP-DSFA. Beschreibung des Datenflusses (Beschaffung → Speicherung → Bearbeitung → Bekanntgabe → Löschung); Risikobewertung (Persönlichkeitsverletzung, Diskriminierung, Identitätsmissbrauch, Spillover an Behörden); Schutzmassnahmen (Verschlüsselung, Zugriffslogs, Datenminimierung, IP-Hashing, Restriktiver Auftragsbearbeiter-Vertrag).

Kein Aushändigungsanspruch. Die DSFA selbst muss nicht öffentlich gemacht werden; die EDÖB kann sie aber im Rahmen einer Untersuchung einsehen (Art. 49 nDSG).

10. Konsultation des EDÖB bei Restrisiko — Art. 23 nDSG

Verbleibt nach den Schutzmassnahmen ein hohes Risiko, muss der EDÖB konsultiert werden. Art. 23 nDSG verbatim:

Art. 23 Konsultation des EDÖB

1 Der Verantwortliche konsultiert den EDÖB vorgängig, wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt.

2 Der EDÖB teilt dem Verantwortlichen seine Einwände gegen die geplante Bearbeitung innerhalb von drei Monaten mit. Diese Frist kann in komplexen Fällen um einen Monat verlängert werden.

3 Hat der EDÖB Einwände gegen die geplante Bearbeitung, so schlägt er dem Verantwortlichen geeignete Massnahmen vor.

Operative Konsequenz für SIP. Die EDÖB-Konsultation ist eine Notbremse, kein Routinevorgang. SIP würde sie typischerweise auslösen bei:

• erstmaliger Einführung von Profiling mit hohem Risiko (z.B. Permit-Erfolgsprognose — wäre ein anti-scope-Verstoss und wird daher nicht implementiert);
• substantieller Auslandsbekanntgabe an einen Drittstaat ohne Adäquanz;
• Einführung biometrischer Identifizierung (ist bei SIP nicht vorgesehen).

Verfahrensdauer. Drei Monate Regelfrist, in komplexen Fällen vier Monate (Art. 23 Abs. 2). Während dieser Frist darf die Bearbeitung nicht aufgenommen werden.

11. Meldepflicht bei Verletzungen der Datensicherheit — Art. 24 nDSG

Bei Datenschutzverletzungen besteht eine Meldepflicht an den EDÖB und bei hohem Risiko an die Betroffenen. Art. 24 nDSG verbatim:

Art. 24 Meldung von Verletzungen der Datensicherheit

1 Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.

2 In der Meldung nennt er mindestens die Art der Verletzung, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.

3 Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.

4 Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.

5 Er kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn: a. ein Grund nach Artikel 26 Absatz 1 Buchstabe b oder Absatz 2 vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet; b. die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; c. die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.

6 Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.

Operative Konsequenz für SIP.

Schwelle "hohes Risiko". Nicht jede Datenpanne ist meldepflichtig. Kriterien: Sensitivität der Daten (besonders schützenswert = höhere Schwelle hohes Risiko); Umfang (Anzahl Betroffener); Wahrscheinlichkeit der Folgen (Identitätsmissbrauch, Diskriminierung, behördliche Massnahmen). Da SIP grundsätzlich besonders schützenswerte Daten bearbeitet, ist die Schwelle praktisch nahezu immer überschritten.

"So rasch als möglich". Das Bundesgesetz nennt keine starre Frist (anders als die EU-DSGVO mit ihrer 72-Stunden-Regel). Der EDÖB hat in seiner Erläuterung 2023 klargestellt, dass die Meldung innerhalb weniger Tage zu erfolgen hat; Verzögerungen über eine Woche ohne sachlichen Grund werden als Verletzung der Meldepflicht eingestuft. SIP-internes SLA: Meldung an EDÖB binnen 72 Stunden ab Kenntnis.

Präzedenz "Xplain" 2023. Im Juni 2023 wurde der IT-Dienstleister Xplain Opfer eines Ransomware-Angriffs. Es entwich u.a. Polizei- und Fedpol-Daten. Die EDÖB-Untersuchung ergab 2024, dass die verspätete und unvollständige Meldung an betroffene Behörden eine eigenständige Verletzung des nDSG darstellte. Dieser Fall hat die Praxis zur Meldefrist und zur Meldetiefe massgeblich konkretisiert.

Information an Betroffene. Bei hohem Risiko sind die Betroffenen zusätzlich zur EDÖB-Meldung direkt zu informieren (Art. 24 Abs. 4). SIP versendet dafür eine E-Mail an die im Konto hinterlegte Adresse und blockiert das Konto bis zur Bestätigung, soweit dies dem Schutz dient.

Strafrechtlicher Selbstbelastungsschutz. Art. 24 Abs. 6 ist eine zentrale Schutzklausel: Die Meldung darf in einem Strafverfahren gegen SIP nicht verwendet werden. Dies senkt die Hemmschwelle, im Zweifel zu melden.

12. Grenzüberschreitende Datenbekanntgabe — Art. 16–18 nDSG

Personendaten dürfen ins Ausland nur unter bestimmten Voraussetzungen bekanntgegeben werden. Art. 16 nDSG (Auszug) verbatim:

Art. 16 Grundsätze

1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.

2 Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so können Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch: a. einen völkerrechtlichen Vertrag; b. Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden; c. spezifische Garantien, die das zuständige Bundesorgan ausgearbeitet und dem EDÖB vorgängig mitgeteilt hat; d. Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; e. verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.

EDÖB-Adäquanzliste — Stand 1.9.2023. Adäquate Drittstaaten (Auszug, nicht abschliessend): EU/EWR-Staaten, Vereinigtes Königreich, Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada (Privatsektor), Neuseeland, Uruguay, Japan, Südkorea.

Nicht adäquat — relevant für SIP: Vereinigte Staaten von Amerika (USA). Ein "Swiss-US Data Privacy Framework" (Pendant zum EU-US DPF) ist seit September 2024 in Kraft, aber nur für solche US-Empfänger:innen anwendbar, die sich selbst-zertifiziert haben. Anthropic PBC ist Stand Mai 2026 nicht auf der Swiss-US DPF Selbstzertifizierungsliste des U.S. Department of Commerce.

Operative Konsequenz für SIP. Für Bekanntgaben an Anthropic (USA) — die LLM-Inferenz für Clara — sind nach Art. 16 Abs. 2 lit. d nDSG EDÖB-genehmigte Standarddatenschutzklauseln ("Swiss SCCs") im Vertrag zwischen SIP und Anthropic erforderlich. Diese sind:

• vor der ersten Datenübermittlung abzuschliessen;
• dem EDÖB im Rahmen einer DSFA mitzuteilen, sofern die DSFA hohes Restrisiko anzeigt;
• regelmässig zu überprüfen.

Stripe-Sonderfall. Stripe Payments Europe Limited (Irland) ist der Vertragspartner für Schweizer Zahlungsabwicklung. Stripe Switzerland Payments Limited (Stripe SPEL) wurde 2024 als Schweizer Datenverantwortliche eingetragen. Für SIP-Zahlungsdaten gilt damit kein grenzüberschreitender Transfer-Tatbestand mehr; Stripe SPEL ist Auftragsbearbeiter unter Schweizer Recht und Stripe-Konzern-internen Auftragsbearbeiter-Klauseln.

Infomaniak. Schweizer Hosting-Provider in der Schweiz; kein grenzüberschreitender Transfer.

Vault. HashiCorp Vault als Sekret-Speicher läuft self-hosted bei Infomaniak; kein Drittstaat-Transfer.

13. Auftragsbearbeiter-Vertrag — Art. 9 nDSG

Wenn SIP Datenbearbeitung an Dritte delegiert, gelten Art. 9 nDSG-Anforderungen. Verbatim:

Art. 9 Bearbeitung durch Auftragsbearbeiter

1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn: a. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und b. keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

2 Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.

3 Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.

4 Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.

SIP-Auftragsbearbeiter-Kette.

Jeder Auftragsbearbeiter unterliegt einem schriftlichen Auftragsbearbeitungsvertrag (Data Processing Agreement, DPA) mit folgenden Mindestinhalten:

• Gegenstand, Dauer, Zweck der Bearbeitung;
• Kategorien betroffener Personen und Daten;
• Verpflichtung zur Vertraulichkeit;
• technisch-organisatorische Massnahmen (TOM);
• Unterauftrags-Erlaubnis oder -Verbot;
• Rückgabe oder Löschung nach Vertragsende;
• Audit-Recht zugunsten SIP.

Für Anthropic ergänzend EDÖB-Standardvertragsklauseln (siehe Abschnitt 12).

14. EDÖB-Aufsichtsbefugnisse — Art. 49–51 nDSG

Der EDÖB ist Aufsichtsbehörde mit eingeschränkten — aber im Vergleich zum aDSG erweiterten — Eingriffsbefugnissen. Auszug aus Art. 49 nDSG verbatim:

Art. 49 Untersuchungen

1 Der EDÖB eröffnet von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.

2 Er kann von einer Eröffnung absehen, wenn die Verletzung der Datenschutzvorschriften von geringer Bedeutung ist.

Art. 51 nDSG (Massnahmen) verbatim auszugsweise:

Art. 51 Verwaltungsmassnahmen

1 Liegt ein Verstoss gegen Datenschutzvorschriften vor, so kann der EDÖB anordnen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden.

Bussenbestimmungen (Art. 60 ff. nDSG). Im Unterschied zur EU-DSGVO sieht das nDSG strafrechtliche Bussen vor, die sich gegen natürliche Personen richten (typischerweise die verantwortlichen Geschäftsführer:innen), nicht primär gegen die juristische Person. Maximalbetrag: CHF 250'000.- pro Verstoss. Strafbar sind insbesondere:

• vorsätzliche Verletzung der Informations-, Auskunfts- und Mitwirkungspflichten (Art. 60);
• vorsätzliche Verletzung der Sorgfaltspflichten betr. Auslandsbekanntgabe (Art. 61 lit. a);
• vorsätzliche Verletzung der Mindestanforderungen an Datensicherheit (Art. 61 lit. c);
• Verletzung der Geheimhaltungspflicht (Art. 62).

Wesentlich. Es sind persönliche Strafen gegen die natürlichen Verantwortlichen, nicht "Unternehmensbussen" wie unter der EU-DSGVO. Die Hürde der Vorsätzlichkeit ist allerdings hoch; Fahrlässigkeit ist nur in eng umrissenen Tatbeständen strafbar.

15. Kantonale Datenschutzgesetze — was sie regeln und was nicht

Kantonsverhältnis. Das nDSG gilt nicht für die Bearbeitung durch kantonale Organe (Art. 2 nDSG e contrario). Für kantonale Migrationsämter, kantonale Steuerverwaltungen, kantonale Polizei, kantonale Sozialdienste etc. gelten je kantonale Datenschutzgesetze. Diese existieren in jedem der 26 Kantone in eigener Ausgestaltung; sie sind im Kern dem nDSG ähnlich, weichen aber in Details (z.B. Auskunftsfrist, Aufsichtsbehörden-Struktur) ab.

Beispiele kantonaler Datenschutzgesetze.

• Zürich: Gesetz über die Information und den Datenschutz (IDG, LS 170.4); Aufsicht: Datenschutzbeauftragter des Kantons Zürich.
• Bern: Datenschutzgesetz (KDSG, BSG 152.04); Aufsicht: Datenschutzaufsichtsstelle des Kantons Bern.
• Genf: Loi sur l'information du public, l'accès aux documents et la protection des données personnelles (LIPAD, A 2 08); Aufsicht: Préposé(e) cantonal(e).
• Waadt: Loi sur la protection des données personnelles (LPrD, BLV 172.65); Aufsicht: Préposé(e) cantonal(e).
• Tessin: Legge sulla protezione dei dati personali (LPDP); Aufsicht: Incaricato cantonale per la protezione dei dati.

Operative Konsequenz für SIP. SIP als privatrechtliches Unternehmen unterliegt grundsätzlich dem Bundesrecht (nDSG), nicht den kantonalen Gesetzen. Sobald jedoch SIP-Nutzer:innen Daten an kantonale Migrationsämter senden — z.B. via Direktversand eines ausgefüllten Familiennachzugsgesuchs — gilt für die behördliche Weiterverarbeitung das jeweilige kantonale Recht.

Klarheit für Nutzer:innen. Die Information aus Abschnitt 4 (Art. 19 nDSG) muss klarmachen, dass SIP nur die eigene Bearbeitung verantwortet; was das kantonale Migrationsamt mit den ihm übermittelten Daten macht, fällt unter kantonales Recht und unterliegt nicht der SIP-Datenschutzpraxis.

Zusammenfassung — der nDSG-Rahmen aus SIP-Sicht

Cross-Referenzen

• anti-scope/fw_anti_scope_boundaries.md — was SIP ausdrücklich nicht leistet (insb. §5: keine serverseitige Formularspeicherung);
• framework/fw_aig_vzae_glossary.md — AIG/VZAE-Begriffe, auf die migrationsrelevante Datenkategorien sich beziehen;
• framework/fw_asylg_glossary.md — AsylG-Begriffe, insb. zu N-, F- und S-Status;
• framework/fw_sem_directives_index.md — SEM-Weisungen zur Datenbearbeitung im Verfahren.

Versionshinweis

Diese Datei wird quartalsweise (alle 90 Tage) auf Aktualität geprüft. Auslöser für ausserordentliche Revision:

• Neue EDÖB-Empfehlung mit präzedenzieller Wirkung;
• Bundesrats-Entscheid betr. Adäquanz eines weiteren Drittstaates (z.B. USA-Swiss DPF Erweiterung);
• Inkrafttreten der DSV-Revision (Verordnung zum nDSG);
• Wesentlicher Auftragsbearbeiterwechsel bei SIP;
• BGE oder BVGE mit Auswirkung auf die nDSG-Auslegung.

Letzte Prüfung: 2026-05-18. Nächste reguläre Prüfung fällig: 2026-08-18.