Luzerner Datenschutz bearbeitet Rekordzahl an Fällen
Die Datenschutzbeauftragte des Kantons Luzern hat im vergangenen Jahr 483 Geschäftsfälle bearbeitet. Dabei ging es unter anderem um falsch gedruckte Erinnerungsschreiben für Steuererklärungen, digitale Souveränität und ein KI-Projekt für Verwaltungsaufgaben.
Mit 483 Fällen hat die Datenschutzbeauftragte des Kantons Luzern (DSB) im Jahr 2025 einen "historischen Höchststand" an Geschäftsfällen bearbeitet. Die Zahl entspricht einer Zunahme von 24 % gegenüber dem Vorjahr. Seit 2019 (293 Fälle) ist insgesamt ein deutlicher Anstieg zu beobachten, wie dem unlängst veröffentlichten Tätigkeitsbericht 2025 der Behörde zu entnehmen ist.
Treiber dieser Entwicklung seien die zunehmende Digitalisierung und die gestiegenen IT-Anfragen. Kritisch zu bewerten sei die unverändert niedrige Anzahl an Datenschutzkontrollen (1). Leicht verbessert hat sich seit 2024 die Anzahl der abgeschlossenen Geschäfte (von 88 auf 89 Prozent). Die Erledigungsquote von 89 Prozent verdeutliche jedoch die weiterhin angespannte Ressourcensituation, schreibt die DSB.
Insgesamt habe es im Berichtsjahr 375 neue Anfragen gegeben (+13 Prozent). Anfragen aus den Gemeinden haben demnach auf dem Niveau des Vorjahrs stagniert, derweil das Interesse von Privatpersonen leicht gesunken sei (-5 Prozent). Ein beträchtliches Plus von 76 Prozent verzeichneten laut Bericht die Anfragen aus der kantonalen Verwaltung.
Fehldruck sorgt für Datenschutzverletzung
Im Fokus der Tätigkeit der DSB stand 2025 laut Bericht insbesondere die Begleitung von Digitalisierungsprojekten sowie die Prüfung neuer Bearbeitungsvorhaben.
Ein konkreter Vorfall betraf demnach rund 18'000 Erinnerungsschreiben, welche die Dienststelle Steuern Luzern an Personen und Unternehmen versandte, die mit der Einreichung der Steuererklärung im Verzug waren. Beim Druckprozess sei es zu einem Fehler gekommen, bei dem ein einseitig vorgesehener Brief doppelseitig bedruckt worden sei - mit sensitiven Angaben einer anderen Person auf der Rückseite. Mit den Angaben hätten Empfänger effektiv die Steuererklärung für die andere Person einreichen können.
Die DSB habe diesen Vorfall als Datenschutzverletzung qualifiziert, da dabei durch die Offenlegung von Zugangscodes die rechtliche Zurechenbarkeit elektronisch eingereichter Erklärungen objektiv nicht mehr gewährleistet gewesen sei.
Datenschutzbehörde mahnt zu Vorsicht bei M365
Ein Projekt, das die DSB auch im Geschäftsjahr 2025 begleitete, betraf dem Bericht zufolge die Einführung und Fragestellungen zu den Cloud-Services von Microsoft 365 (M365). Die DSB weise in diesem Zusammenhang schon seit fünf Jahren auf die Risiken von Auslagerungen in globale Cloud-Ökosysteme hin. Bereits im Tätigkeitsbericht 2020 habe sie vor einem "schleichenden Verlust digitaler Souveränität" gewarnt.
Zu M365 schreibt die DSB unter anderem: "Die geopolitischen Entwicklungen - insbesondere die aussenpolitische Ausrichtung des amtierenden US-Präsidenten - haben diese Diskussion zusätzlich verstärkt. Damit hat nicht nur im Kanton Luzern, sondern schweiz- und europaweit ein politischer und gesellschaftlicher Diskurs begonnen, der längst überfällig war."
Mit der breiten Einführung von M365 begebe sich 'die Verwaltung des Kantons Luzern in eine erhebliche Abhängigkeit. Die DSB werde die Einführungsschritte weiterhin eng begleiten, um einen datenschutzkonformen Einsatz "so weit wie möglich" sicherzustellen.
KI-Projekt erprobt den Verwaltungseinsatz
Mit dem Vorhaben "Deep Judge" habe man auch ein Projekt begleitet, das den Einsatz von KI in der Verwaltung praxisnah erprobe. Ziel des Proof-of-Concepts sei es gewesen, die Rechtsabteilung des Bau-, Umwelt- und Wirtschaftsdepartements bei Analyse und Wiederauffindbarkeit von Gerichtsentscheiden zu unterstützen.
Das Projekt sei aus datenschutzrechtlicher Sicht bemerkenswert gewesen, weil es ursprünglich eine cloudbasierte Lösung vorgesehen habe. Die Datenschutzbehörde habe jedoch bereits in der Frühphase eine lokal realisierbare Lösung empfohlen.
Als Konsequenz aus dieser Empfehlung sei eine Beschaffung geeigneter GPU-Hardware erforderlich geworden, da entsprechende Rechenressourcen beim Kanton noch nicht verfügbar gewesen seien. Erst durch diese Beschaffung sei eine Umsetzung des Vorhabens in kantonaler Umgebung möglich geworden.
Eine Auswahl der weiteren Projekte, welche die DSB im Jahr 2025 begleitet hat:
- Nebula Epic (Cloud-Service-Plattform für das Klinikinformationssystem Lukis)
- KVSE (Kantonale Verwaltung am Seetalplatz)
- Digitale Vertragsunterzeichnung (Projekt der Dienststelle Personal)
- EVEN Elektronischer Vollzug Energetischer Nachweise (Projektleitung Bau-, Umwelt- und Wirtschaftsdepartement, BUWD)
- Digitale Kommission (Projektleitung Gesundheits- und Sozialdepartement , GSD)
- Zentrale Opferhilfe Online (Projektleitung Dienststelle Soziales und Gesellschaft , DISG)
- Exchange Online (Projektleitung Dienststelle Informatik , DIIN)
- Vorabkonsultation PICAR (Projektleitung Kantonspolizei, LUPOL)
- StabiLU (Projektleitung Bildungs- und Kulturdepartement, BKD)
- Frost Control (Projektleitung BUWD)
- Datenklassifizierung (Projektleitung DIIN)
- POC Ausweitung Deep Judge (Projektleitung BUWD)
Im Oktober 2025 hat der Luzerner Kantonsrat trotz Kritik der Datenschutzbeauftragten ein Postulat gegen den Marschhalt abgelehnt. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Microsoft passt Schweizer Preise für M365 an
Next-Level Networking: Wie Coop Pronto mit SD-WAN die digitale Zukunft gestaltet
DoS-Lücke gefährdet Cisco-Orchestrierungssysteme
Die KI-Revolution kühlen | Wie innovative Lösungen die Herausforderungen der RZs von morgen lösen
In diesem Bunker sind Ihre Daten bombensicher
KI im Arbeitsalltag: Profis zeigen den Weg zu echtem Mehrwert
Gandalf ist ein haariger Chaosstifter
Das Gebot der Stunde: digitale Souveränität
Roche übernimmt PathAI und stärkt KI-gestützte Diagnostik
