Heute, am 28. Januar 2026, ist Datenschutztag. Ein Datum, das jedes Jahr zuverlässig wiederkommt – und das doch zu oft nach Ritual riecht: ein paar Tipps, ein paar Kampagnen, ein paar wohlklingende Versprechen. Gleichzeitig nimmt Identitätsdiebstahl zu, Datenabflüsse werden zur Normalität, und immer mehr Lebensbereiche werden ohne echte Wahlfreiheit «digital only» organisiert. Der Datenschutztag taugt deshalb weniger als Feieranlass, denn als Standortbestimmung: Wir schützen unsere Daten nicht, weil wir es nicht könnten, sondern weil wir es in der Praxis nicht konsequent genug wollen.
Der Kern des Problems ist simpel und unangenehm. Daten sind zur Leitwährung der Digitalwirtschaft geworden. Für Anbieter sind sie ein Geschäftsmodell, für Nutzerinnen und Nutzer oft der Preis der Bequemlichkeit. Und Bequemlichkeit gewinnt fast immer. Ein Text der Neue Rottweiler Zeitung bringt das auf die alltagsnahe Ebene: Viele merken erst, dass etwas schiefläuft, wenn Mahnungen kommen, unbekannte Abbuchungen auftauchen oder eine Betreibung ins Haus flattert – ausgelöst durch Identitätsmissbrauch.
Der Einstieg ist häufig banal: «Ja» klicken, ohne zu prüfen, wofür Daten wirklich nötig sind; Konten eröffnen, obwohl Gastbestellungen reichen würden; Zahlungsdaten speichern, weil es beim nächsten Mal schneller geht. Dass das so gut funktioniert, liegt nicht an fehlender Intelligenz der Nutzer, sondern am Design vieler Dienste: Sie sind darauf optimiert, Menschen in Datenpreisgabe hineinzuschieben.
Schwache Durchsetzungskultur
In der Schweiz kommt ein zweites Problem hinzu: Wir haben zwar in den letzten Jahren juristisch aufgerüstet, aber eine schwache Durchsetzungskultur. Datenschutz wird in vielen Organisationen noch immer wie eine Compliance-Übung behandelt – eine Art «Papierleistung», die man fürs Audit oder den Verwaltungsrat produziert. Das zeigt sich besonders deutlich im Gesundheitsbereich. Patientendaten gehören zu den sensibelsten Informationen überhaupt, gleichzeitig wachsen Vernetzung, Austausch und Datendichte rasant. Wenn selbst Versicherer wie die KPT zum Datenschutztag wieder explizit auf den Schutz von Patientendaten fokussieren, ist das nicht bloss PR, sondern ein Hinweis darauf, wie gross die reale Nervosität in diesem Sektor ist.
(Bild unten: Zum Welt-Datenschutztag am 28. Januar startet die Krankenkasse KPT eine Kampagne. Diese thematisiert den Umgang mit Patientendaten und stellt die Datenschutzpolitik der KPT in den Fokus.)
Dass die Praxis dabei oft hinterherhinkt, zeigen Konflikte um konkrete Plattformen und Arbeitsweisen. In Zürich wird etwa die Einführung von Microsoft 365 in Spitälern als datenschutzrechtliche Gratwanderung beschrieben – inklusive offener Spannungen zwischen operativer Notwendigkeit und aufsichtsrechtlicher Skepsis. Solche Debatten sind mehr als Technikfragen: Sie zeigen, dass Datenschutz in grossen Organisationen schnell zur Machtfrage wird. Wer entscheidet, welches Risiko «akzeptabel» ist? Wer trägt es? Und wer kann überhaupt noch nachvollziehen, welche Daten wohin fliessen?
Lernmaterial
Wer verstehen will, warum Datenschutz «nicht so richtig läuft», muss die unangenehmen Schweizer Beispiele anschauen – nicht als Skandalfolklore, sondern als Lernmaterial. Beim Angriff auf den IT-Dienstleister Xplain wurden Daten aus dem Umfeld der Bundesverwaltung gestohlen und veröffentlicht; Berichte sprechen von grossen Datenmengen und sensiblen Inhalten (Bild Screenshot aus dem Darknet). Das ist ein Lehrstück darüber, wie gefährlich Lieferketten und externe Abhängigkeiten sind: Die Bundesverwaltung kann intern viel regeln – wenn aber ein zentraler Dienstleister fällt, fällt gleich ein ganzer Verbund.
Ein zweites Beispiel zeigt, dass es nicht nur um Hackerromantik geht, sondern um banalste Alltagshygiene. Beim Gesundheitsanbieter Hirslanden Zürich (Bild links unten) wurde laut Medienberichten bekannt, dass eine unberechtigte Person über längere Zeit Zugriff auf Patientendaten hatte – ausgelöst durch weitergegebene Zugangsdaten. Das ist die bitterste Form des Datenschutzversagens: Nicht die ausgefeilteste Angriffstechnik, sondern menschliche Nachlässigkeit und fehlende Kontrollen. Und wer glaubt, solche Fälle seien selten, sollte sich daran erinnern, dass SRF bereits vor Jahren auf Schwachstellen im Gesundheitsumfeld hinwies – inklusive erschreckend schwacher Zugangshygiene in Teilen der Praxislandschaft.
Auch Verwaltungen sind nicht immun. Nach einem Hackerangriff auf das Erziehungsdepartement Basel-Stadt (Bild oben rechts) wurden Betroffene informiert; publiziert wurden unter anderem Zahlen zu direkt betroffenen Personen. Das ist wichtig, weil es zeigt: Der Staat ist nicht nur Regulator, sondern selbst Datenhalter, selbst Ziel, selbst Risikofaktor – und muss deshalb dieselben professionellen Standards erfüllen, die er von Unternehmen verlangt.
Widerstände sind strukturell
Warum ist es trotzdem so schwer, mehr Schutz durchzusetzen? Weil die Widerstände strukturell sind – auf allen Seiten. Für Unternehmen sind Datenschutz- und Security-Investitionen sichtbar und kurzfristig schmerzhaft, der Nutzen dagegen bleibt abstrakt. Wer gut arbeitet, verhindert Vorfälle – und bekommt dafür selten Applaus. Wer schlecht arbeitet, merkt es manchmal erst dann, wenn bereits Schaden entstanden ist: Incident Response, Rechtskosten, Reputationsverlust, Kundenabwanderung. Dazu kommt die organisatorische Diffusion: Datenschutz sitzt irgendwo zwischen IT, Recht, Compliance, Fachbereich und Geschäftsleitung. Wenn alle irgendwie zuständig sind, fühlt sich am Ende niemand wirklich verantwortlich.
