Datenschutzrecht Liechtenstein: DSGVO über den EWR, DSG & Datenschutzstelle (2026)

Liechtenstein wendet die Datenschutz-Grundverordnung der EU über seine Mitgliedschaft im Europäischen Wirtschaftsraum an. Der Beschluss Nr. 154/2018 des Gemeinsamen EWR-Ausschusses machte die DSGVO ab dem 20. Juli 2018 unmittelbar anwendbar. Das nationale Datenschutzgesetz (DSG, 2018) ergänzt die DSGVO um Abweichungen zu Beschäftigtendaten, Videoüberwachung und nationalen Identifikationsnummern.
Liechtenstein ist ein kleines Fürstentum mit rund 40.000 Einwohnern zwischen der Schweiz und Österreich, verfügt jedoch über eines der anspruchsvollsten Datenschutzsysteme der Welt. Als Mitglied des Europäischen Wirtschaftsraums (EWR) ist Liechtenstein über das EWR-Abkommen an die Datenschutz-Grundverordnung der EU (DSGVO) gebunden. Die DSGVO wurde durch den Beschluss Nr. 154/2018 des Gemeinsamen EWR-Ausschusses übernommen und ist seit dem 20. Juli 2018 in Liechtenstein unmittelbar anwendbar.
Das nationale Datenschutzgesetz (DSG), erlassen am 4. Oktober 2018, und die Datenschutzverordnung (DSV), erlassen am 11. Dezember 2018, traten beide am 1. Januar 2019 in Kraft. Zusammen lösten sie das frühere Gesetz von 2002 ab und bilden den nationalen Rahmen, der die Abweichungsklauseln der DSGVO nutzt und die Verordnung um liechtensteinspezifische Bestimmungen ergänzt.
Dieser Leitfaden behandelt die gesamte Architektur: wie die DSGVO über den EWR-Mechanismus zur Anwendung kommt, die nationalen Abweichungen des DSG, die Befugnisse und jüngste Aktivität der Datenschutzstelle, die Rechte betroffener Personen, die Meldung von Datenschutzverletzungen, die Anforderungen an Datenschutzbeauftragte, grenzüberschreitende Übermittlungen, die besondere Compliance-Landschaft des Finanzsektors, Berührungspunkte mit Blockchain und KI, Sanktionen sowie die jüngsten Entwicklungen 2024 bis 2026.
Kurzantwort: Gilt die DSGVO in Liechtenstein?
Ja, uneingeschränkt. Liechtenstein ist kein EU-Mitgliedstaat, übernimmt jedoch als einer von drei EWR-EFTA-Staaten (neben Norwegen und Island) das EU-Binnenmarktrecht einschließlich der DSGVO. Die Verordnung gilt mit derselben Rechtskraft wie in den EU-Mitgliedstaaten. EWR-spezifische technische Anpassungen bedeuten, dass Verweise auf "die Union" in der DSGVO als "der EWR" zu lesen sind und Verweise auf "Mitgliedstaaten" die drei EWR-EFTA-Staaten einschließen.
Das liechtensteinische DSG und die DSV nutzen sodann die nationalen Öffnungsklauseln der DSGVO und füllen Bereiche wie die Verarbeitung von Beschäftigtendaten, die journalistische Meinungsäußerung, Regeln für den öffentlichen Sektor, die Videoüberwachung und die Verarbeitung strafrechtlicher Daten aus.
Der EWR-Mechanismus: Wie die DSGVO zu liechtensteinischem Recht wurde
Liechtensteins Pflichten aus dem EU-Recht ergeben sich aus dem Abkommen über den Europäischen Wirtschaftsraum, unterzeichnet 1992 und in Kraft seit 1994. Das EWR-Abkommen verpflichtet Liechtenstein, Norwegen und Island, die Binnenmarktgesetzgebung der EU zu übernehmen, damit sie einheitlich im gesamten EWR gilt.
Für die DSGVO verlief der Prozess wie folgt: Die EU verabschiedete die DSGVO im April 2016. Der Gemeinsame EWR-Ausschuss prüfte sodann die EWR-Relevanz der DSGVO und verhandelte technische Anpassungen für die Nicht-EU-EWR-Staaten. Am 6. Juli 2018 nahm der Gemeinsame Ausschuss den Beschluss Nr. 154/2018 an, mit dem Anhang XI des EWR-Abkommens geändert wurde, um die DSGVO zu übernehmen. Der Beschluss trat am 20. Juli 2018 in Kraft, nachdem Liechtenstein, Norwegen und Island ihre verfassungsrechtlichen Voraussetzungen erfüllt hatten.
Das praktische Ergebnis ist, dass ein Unternehmen, das in Liechtenstein personenbezogene Daten verarbeitet, denselben materiellen DSGVO-Pflichten unterliegt wie ein Unternehmen in Deutschland oder Frankreich. Die Aufsichtsbehörden arbeiten über denselben One-Stop-Shop-Mechanismus und den EDSA zusammen.
Verfassungsrechtliche Grundlage
Die Verfassung Liechtensteins von 1921 (revidiert 2003) enthält kein ausdrückliches Grundrecht auf Datenschutz. Art. 32 garantiert die Unverletzlichkeit der Wohnung und das Brief- und Schriftgeheimnis, es besteht jedoch kein allgemeines Verfassungsrecht auf Privatsphäre oder informationelle Selbstbestimmung.
Der Datenschutz stützt sich in erster Linie auf einfaches Gesetzesrecht: die über das EWR-Abkommen übernommene DSGVO, das DSG und die DSV. Das Recht auf Achtung des Privat- und Familienlebens nach der EMRK (Art. 8) gilt über die Mitgliedschaft Liechtensteins im Europarat und bietet eine ergänzende Mindestgarantie für den Schutz der Privatsphäre.
Das Datenschutzgesetz (DSG) und die Verordnung (DSV)
Das DSG von 2018 und die DSV von 2018 sind Liechtensteins wichtigste nationale Datenschutzinstrumente. Beide traten am 1. Januar 2019 in Kraft. Bis zum Stand dieser Überprüfung (Mai 2026) wurden an keinem der beiden Instrumente wesentliche Änderungen vorgenommen; der Rahmen entspricht weiterhin der Fassung von 2019. Das DSG löste das frühere Datenschutzgesetz von 2002 ab, das aus der Zeit vor der DSGVO stammte.
Geltungsbereich
Das DSG gilt für die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter mit Sitz in Liechtenstein sowie für Verantwortliche außerhalb des EWR, die Personen in Liechtenstein ins Visier nehmen (entsprechend Art. 3 DSGVO). Es erfasst sowohl die Verarbeitung im privaten als auch im öffentlichen Sektor.
Ausnahmen folgen der DSGVO: rein persönliche oder familiäre Tätigkeiten, bestimmte parlamentarische und gerichtliche Funktionen sowie spezifische Finanzprüfungsfunktionen fallen nicht in den Anwendungsbereich des DSG.
Nationale Abweichungen und Ergänzungen
Das DSG nutzt mehrere Öffnungsklauseln der DSGVO:
Einwilligungsalter für Dienste der Informationsgesellschaft. Liechtenstein legt das digitale Einwilligungsalter auf 16 Jahre fest, den nach der DSGVO zulässigen Höchstwert. Ein Kind unter 16 Jahren benötigt die Einwilligung der Eltern oder Erziehungsberechtigten für die Verarbeitung im Zusammenhang mit Diensten der Informationsgesellschaft. Das DSG senkt diese Grenze nicht auf das zulässige Minimum von 13 Jahren.
Beschäftigtendaten. Das DSG enthält Bestimmungen zur Verarbeitung personenbezogener Daten von Beschäftigten durch Arbeitgeber. Arbeitgeber dürfen Beschäftigtendaten verarbeiten, wenn dies zur Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses oder zur Ausübung von Rechten und Erfüllung von Pflichten nach dem Arbeitsrecht erforderlich ist. Die Verarbeitung besonderer Kategorien von Daten im Beschäftigungskontext ist zulässig, wenn sie sich auf Rechte und Pflichten nach dem Arbeitsrecht bezieht und angemessene Garantien bestehen.
Journalistische, wissenschaftliche und künstlerische Meinungsäußerung. Das DSG sieht Abweichungen für die Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen und literarischen Zwecken vor. Diese wägen den Datenschutz gegen die Meinungs- und Informationsfreiheit ab.
Verarbeitung im öffentlichen Sektor. Das DSG schafft Rechtsgrundlagen für die Verarbeitung durch öffentliche Stellen einschließlich Behörden, Gerichten und öffentlichen Einrichtungen. Behörden verarbeiten Daten in der Regel auf Grundlage ihres gesetzlichen Auftrags und nicht auf Grundlage einer Einwilligung.
Nationale Identifikationsnummern. Das DSG beschränkt die Verwendung der AHV-Nummer (der auch mit dem Schweizer System geteilten Sozialversicherungsnummer in Liechtenstein) auf bestimmte zulässige Zwecke. Verantwortliche dürfen die AHV-Nummer ohne ausdrückliche gesetzliche Ermächtigung nicht als allgemeinen Identifikator verwenden.
Daten zu strafrechtlichen Verurteilungen. Die Verarbeitung von Daten zu strafrechtlichen Verurteilungen und Straftaten ist auf Situationen beschränkt, in denen die Verarbeitung unter behördlicher Aufsicht erfolgt oder liechtensteinisches Recht angemessene Garantien vorsieht, im Einklang mit Art. 10 DSGVO.
Videoüberwachung. Das DSG und die DSV enthalten Regeln zur Videoüberwachung durch öffentliche und private Stellen. Eine umfangreiche systematische Überwachung öffentlich zugänglicher Bereiche löst die Pflicht zu einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO aus.
Datenschutzverordnung (DSV). Die DSV regelt Durchführungsdetails: Verfahrensregeln für Anträge betroffener Personen, Anforderungen an das Verzeichnis von Verarbeitungstätigkeiten, Vorgaben für technische Sicherheitsmaßnahmen sowie Verfahrensregeln für die Tätigkeit der Datenschutzstelle.
Rechtsgrundlagen der Verarbeitung
Alle sechs Rechtsgrundlagen der DSGVO gelten in Liechtenstein:
Einwilligung (Art. 6 Abs. 1 lit. a) muss freiwillig, für den bestimmten Fall, informiert und unmissverständlich sein. Für Kinder unter 16 Jahren, die Dienste der Informationsgesellschaft nutzen, ist die Einwilligung der Eltern erforderlich. Die Einwilligung kann jederzeit widerrufen werden.
Vertrag (Art. 6 Abs. 1 lit. b) umfasst die für einen Vertrag mit der betroffenen Person oder für vorvertragliche Maßnahmen auf deren Anfrage erforderliche Verarbeitung.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) gilt, wenn die Verarbeitung durch liechtensteinisches Recht oder im EWR anwendbares EU-Recht vorgeschrieben ist. Dies ist im Finanzsektor besonders bedeutsam, wo Pflichten zur Geldwäscheprävention, zur Steuermeldung und zur Bankenaufsicht zwingende Verarbeitungspflichten schaffen.
Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d) erlauben die Verarbeitung, die erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen.
Öffentliches Interesse oder öffentliche Gewalt (Art. 6 Abs. 1 lit. e) umfasst die Verarbeitung durch öffentliche Stellen im Rahmen ihres gesetzlichen Auftrags.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f) erlauben die Verarbeitung, sofern die Interessen des Verantwortlichen nicht durch die Interessen oder Grundrechte der betroffenen Person überwogen werden. Diese Rechtsgrundlage steht Behörden bei Ausübung ihrer amtlichen Tätigkeit nicht zur Verfügung.
Rechte der betroffenen Personen
Das vollständige Bündel der Rechte betroffener Personen nach der DSGVO gilt in Liechtenstein ohne wesentliche Einschränkung.
Recht auf Information (Art. 13-14). Bei der Datenerhebung müssen Verantwortliche Folgendes bereitstellen: Identität und Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, sofern vorhanden, die Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger oder Kategorien von Empfängern, Informationen zu internationalen Übermittlungen, die Speicherdauer sowie alle anwendbaren Rechte. Werden Daten von Dritten erhoben, müssen die Informationen innerhalb einer angemessenen Frist bereitgestellt werden.
Auskunftsrecht (Art. 15). Betroffene Personen können eine Bestätigung verlangen, ob ihre Daten verarbeitet werden, und eine Kopie erhalten. Verantwortliche müssen innerhalb eines Monats antworten, verlängerbar um zwei weitere Monate bei komplexen oder zahlreichen Anträgen.
Recht auf Berichtigung (Art. 16). Unrichtige personenbezogene Daten müssen berichtigt und unvollständige Daten können vervollständigt werden. Von der DSS hervorgehobene aktuelle europäische Rechtsprechung stellt klar, dass das Recht auf Berichtigung nur für objektiv unrichtige Tatsachen gilt, nicht für subjektive Einschätzungen, Meinungen oder fachliche Beurteilungen (niederländisches Bezirksgericht, Mai 2025).
Recht auf Löschung (Art. 17). Betroffene Personen können die Löschung verlangen, wenn Daten nicht mehr erforderlich sind, die Einwilligung widerrufen wurde, ein Widerspruch erfolgreich ist oder keine überwiegenden berechtigten Gründe bestehen, oder wenn die Verarbeitung unrechtmäßig ist. Ausnahmen gelten für gesetzliche Pflichten, die Meinungs- und Informationsfreiheit, die Archivierung im öffentlichen Interesse, wissenschaftliche oder historische Forschung sowie die Geltendmachung von Rechtsansprüchen.
Recht auf Einschränkung (Art. 18). Betroffene Personen können unter bestimmten Voraussetzungen verlangen, dass die Verarbeitung auf die reine Speicherung beschränkt wird: solange die Richtigkeit bestritten wird, wenn die Verarbeitung unrechtmäßig ist, die betroffene Person aber der Löschung widerspricht, wenn der Verantwortliche die Daten nicht mehr benötigt, die betroffene Person sie jedoch für Rechtsansprüche benötigt, oder solange ein Widerspruch noch offen ist.
Recht auf Datenübertragbarkeit (Art. 20). Beruht die Verarbeitung auf einer Einwilligung oder einem Vertrag und erfolgt sie mithilfe automatisierter Verfahren, können betroffene Personen ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten und einem anderen Verantwortlichen übermitteln.
Widerspruchsrecht (Art. 21). Betroffene Personen können einer auf öffentlichem Interesse oder berechtigten Interessen beruhenden Verarbeitung, einschließlich Profiling, widersprechen. Der Verantwortliche muss die Verarbeitung einstellen, sofern er nicht zwingende schutzwürdige Gründe nachweist, die die Interessen oder Rechte der betroffenen Person überwiegen. Das Widerspruchsrecht gegen Direktwerbung ist bedingungslos.
Rechte bei automatisierten Entscheidungen (Art. 22). Personen dürfen keiner ausschließlich automatisierten Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung unterworfen werden, sofern nicht eine der genannten Ausnahmen greift: ausdrückliche Einwilligung, vertragliche Erforderlichkeit oder gesetzliche Ermächtigung mit angemessenen Garantien.
Grenzen der Rechte: Rechtsmissbrauch
Die DSS hob in ihrer Aktualisierung der Rechtsprechung 2025 hervor, dass europäische Gerichte angemessene Grenzen für die Rechte betroffener Personen durchsetzen, wenn ein Missbrauch offensichtlich ist. Ein deutsches Gericht (Amtsgericht Mainz, März 2025) entschied, dass die Geltendmachung von Rechten zu Gewinnzwecken einen Missbrauch darstellt. Ein österreichisches Gericht (August 2025) stellte fest, dass von Feindseligkeit und Rachsucht getragene Beschwerden nach Art. 57 Abs. 4 DSGVO als exzessiv abgewiesen werden können, wobei die Behörden sowohl die subjektive Absicht als auch die objektiven Umstände des Missbrauchs nachweisen müssen.
Datenschutzbeauftragte
Die Bestellung eines Datenschutzbeauftragten ist in Liechtenstein unter denselben Voraussetzungen wie nach Art. 37 Abs. 1 DSGVO verpflichtend:
- Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt (mit Ausnahmen für Gerichte in Ausübung ihrer justiziellen Tätigkeit).
- Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordern.
- Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10).
Das DSG fügt keine über die Standardvorgaben der DSGVO hinausgehenden verpflichtenden Bestellungsszenarien hinzu. Die freiwillige Bestellung ist bei größeren Organisationen des privaten Sektors üblich.
Sofern bestellt, muss der Datenschutzbeauftragte über Fachwissen im Datenschutzrecht verfügen, unabhängig agieren und darf für die Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden. Die Funktion kann von einem Beschäftigten oder einem externen Dienstleister wahrgenommen werden; eine Auslagerung ist ausdrücklich zulässig. Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität von betroffenen Personen und Umstände, die zu deren Identifizierung führen könnten, verpflichtet.
Der Datenschutzbeauftragte wird bei der Datenschutzstelle registriert und dient als deren primäre Kontaktstelle.
Meldung von Datenschutzverletzungen
Die 72-Stunden-Meldepflicht nach Art. 33 DSGVO gilt uneingeschränkt in Liechtenstein. Verantwortliche müssen der Datenschutzstelle eine Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, innerhalb von 72 Stunden nach Kenntniserlangung melden. Kann die Meldung nicht innerhalb von 72 Stunden erfolgen, sind der Meldung die Gründe für die Verzögerung beizufügen.
Die Meldung muss Folgendes enthalten: eine Beschreibung der Art der Verletzung einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze, den Namen und die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Massnahmen.
Führt eine Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen, müssen Verantwortliche die betroffenen Personen zudem unverzüglich direkt benachrichtigen.
Die Datenschutzstelle (DSS)
Die Datenschutzstelle ist Liechtensteins unabhängige Aufsichtsbehörde für den Datenschutz, eingerichtet nach Art. 51 DSGVO. Die DSS wird vom Datenschutzkommissär geleitet, der vom Landtag für eine erneuerbare fünfjährige Amtszeit bestellt wird. Der Kommissär agiert unabhängig von der Regierung und anderen öffentlichen Stellen.
Angesichts der geringen Einwohnerzahl Liechtensteins ist die DSS eine kompakte Behörde. Trotz ihrer Größe übt sie das gesamte Spektrum an Aufsichts-, Untersuchungs-, Abhilfe- und Beratungsbefugnissen aus, wie es die Art. 57-58 DSGVO verlangen, und arbeitet mit den am EDSA beteiligten europäischen Aufsichtsbehörden zusammen.
Befugnisse
Untersuchungsbefugnisse. Die DSS kann von Verantwortlichen und Auftragsverarbeitern alle für ihre Aufgaben erforderlichen Informationen verlangen, Datenschutzprüfungen durchführen, Verantwortliche über mutmassliche Verstösse informieren, Zugang zu allen für ihre Aufsichtsaufgaben erforderlichen personenbezogenen Daten und Informationen erhalten sowie Räumlichkeiten einschliesslich Verarbeitungsgeräten betreten.
Abhilfebefugnisse. Die DSS kann Warnungen und Verwarnungen erteilen, die Erfüllung von Anträgen betroffener Personen anordnen, Verantwortlichen und Auftragsverarbeitern anordnen, die Verarbeitung innerhalb bestimmter Fristen in Einklang zu bringen, vorübergehende oder endgültige Verarbeitungsverbote verhängen, die Löschung oder Berichtigung anordnen, Verwaltungsgeldbussen nach Art. 83 DSGVO verhängen und die Aussetzung von Datenflüssen an Empfänger in Drittstaaten anordnen.
Beratungs- und Genehmigungsbefugnisse. Die DSS berät Regierung und Landtag zu Gesetzesvorhaben mit datenschutzrechtlicher Relevanz, genehmigt Verarbeitungsvorgänge, die nach Art. 36 DSGVO einer vorherigen Konsultation bedürfen, und veröffentlicht Orientierungshilfen für öffentliche und private Organisationen.
Europäische Zusammenarbeit
Als EWR-EFTA-Aufsichtsbehörde nimmt die DSS am EDSA teil. Vertreter der EWR-EFTA-Staaten nehmen an der Entscheidungsfindung des EDSA ohne förmliches Stimmrecht teil. Die DSS arbeitet über den One-Stop-Shop-Mechanismus bei grenzüberschreitenden Fällen mit EU-Aufsichtsbehörden zusammen und unterhält eine bilaterale Zusammenarbeit mit Österreich, der Schweiz und anderen Nachbarstaaten.
Jüngste Aktivität der DSS (2024-2026)
Tätigkeitsbericht 2024. Die DSS veröffentlichte ihren Tätigkeitsbericht 2024, in dem sie stetig wachsende Herausforderungen und sich wandelnde Anforderungen im Zuge zunehmender digitaler Compliance-Pflichten beschreibt. Der vollständige Bericht steht auf datenschutzstelle.li zum Download bereit.
Koordinierte EDSA-Durchsetzung zum Recht auf Löschung (2025). Die DSS ist eine von 32 europäischen Aufsichtsbehörden, die an der Initiative des koordinierten Durchsetzungsrahmens (Coordinated Enforcement Framework) 2025 des EDSA zur praktischen Umsetzung von Art. 17 DSGVO teilnehmen. Die DSS versendet Fragebögen an ausgewählte Organisationen in Liechtenstein und kann bei festgestellter Nichteinhaltung förmliche Prüfungen mit Folgemassnahmen durchführen.
Warnung zum KI-Training von Meta (Mai 2025). Die DSS veröffentlichte eine öffentliche Mitteilung, in der sie Einwohner Liechtensteins warnte, dass Meta plante, öffentlich zugängliche Daten erwachsener Facebook- und Instagram-Nutzer zum Training generativer KI-Modelle zu verwenden, und riet den Nutzern, vor der Frist am 26. Mai 2025 Widerspruch einzulegen.
Orientierungshilfe zu generativer KI (September 2025). In ihrem fünften Newsletter erklärte die Behörde, dass derzeit kein vollständig konformer, risikofreier Einsatz öffentlicher Cloud-KI-Werkzeuge mit personenbezogenen Daten möglich sei. Die DSS rät Organisationen, wo möglich keine personenbezogenen oder sensiblen Daten in öffentliche KI-Systeme einzugeben und vor jedem KI-Einsatz die Rollen der Anbieter, die Zweckänderung, die Rechtsgrundlagen, internationale Übermittlungen und die Rechte betroffener Personen zu prüfen.
Aktualisierungen zur einschlägigen Rechtsprechung. Die DSS veröffentlicht regelmässig Übersichten zur Rechtsprechung für die Praxis. Die Aktualisierung Nr. 3 (2025) hob vier europäische Entscheidungen hervor, die klarstellen, dass die Rechte betroffener Personen eingeschränkt werden können, wenn ihre Ausübung einen Missbrauch darstellt, einschliesslich systematischer Rechteausübung zu kommerziellen Zwecken.
Datenschutz bei Unternehmenstransaktionen (Januar 2026). Die DSS veröffentlichte eine Orientierungshilfe zu den datenschutzrechtlichen Pflichten bei Due-Diligence-Prozessen im Rahmen von Unternehmensverkäufen, ein praktisch relevanter Bereich angesichts des aktiven Fusions- und Übernahmegeschehens in Liechtenstein.
Personen ohne Einwilligungsfähigkeit (Mai 2026). Die DSS veröffentlichte eine Orientierungshilfe zur Verarbeitung personenbezogener Daten erwachsener Personen, die nicht in der Lage sind, eine Einwilligung zu erteilen, mit Bezug auf medizinische, vormundschaftliche und pflegerische Zusammenhänge.
Intensivschulungsprogramm. Die DSS veranstaltet gemeinsam mit der Privaten Universität Liechtenstein einen Intensivkurs zum Datenschutzmanagement, der von September bis November 2026 läuft und die wachsende Nachfrage nach Fachwissen in der Praxis widerspiegelt.
Grenzüberschreitende Datenübermittlungen
Grenzüberschreitende Datenübermittlungen aus Liechtenstein folgen dem Rahmen aus Kapitel V der DSGVO.
Freier Datenverkehr innerhalb des EWR
Personenbezogene Daten fliessen ohne zusätzliche Garantien frei zwischen Liechtenstein und allen EU- und EWR-Mitgliedstaaten. Die DSGVO bietet ein einheitliches Schutzniveau im gesamten EWR, sodass für Übermittlungen innerhalb des EWR kein Übermittlungsmechanismus erforderlich ist.
Übermittlungen an Drittstaaten
Für Übermittlungen ausserhalb des EWR ist einer der folgenden Mechanismen erforderlich:
Angemessenheitsbeschlüsse. Angemessenheitsbeschlüsse der Europäischen Kommission gelten über das EWR-Abkommen auch in Liechtenstein. Länder mit aktuellem Angemessenheitsstatus (darunter das Vereinigte Königreich, Japan, Südkorea und die Schweiz) können personenbezogene Daten aus Liechtenstein ohne zusätzliche Garantien erhalten.
Standardvertragsklauseln (SCCs). Die 2021 von der Kommission genehmigten SCCs für Übermittlungen zwischen Verantwortlichen sowie zwischen Verantwortlichen und Auftragsverarbeitern stehen als Übermittlungsmechanismus zur Verfügung.
Verbindliche unternehmensinterne Vorschriften (BCRs). Multinationale Konzerne können BCRs anwenden, die von einer zuständigen Aufsichtsbehörde im EWR- oder EFTA-Rahmen genehmigt wurden.
Ausnahmen (Art. 49). In bestimmten Situationen können Übermittlungen ohne Mechanismus erfolgen: ausdrückliche Einwilligung, vertragliche Erforderlichkeit, wichtiges öffentliches Interesse, Geltendmachung oder Verteidigung von Rechtsansprüchen, lebenswichtige Interessen, wenn keine Einwilligung eingeholt werden kann, oder Übermittlung aus einem öffentlichen Register.
Schweiz
Liechtenstein und die Schweiz bilden eine Zollunion und sind wirtschaftlich eng miteinander verflochten. Die Schweiz verfügt derzeit über einen Angemessenheitsbeschluss der EU, sodass personenbezogene Daten ohne zusätzliche Garantien von Liechtenstein in die Schweiz übermittelt werden können. Dies ist angesichts der erheblichen operativen und bankwirtschaftlichen Verbindungen vieler in Liechtenstein ansässiger Unternehmen zur Schweiz von Bedeutung.
Compliance im Finanzsektor
Liechtenstein ist gemessen an seiner Grösse einer der weltweit führenden Finanzplätze und verwaltet über seinen Bank-, Fondsverwaltungs- und Treuhandsektor erhebliche internationale Vermögenswerte.
Allgemeiner Rahmen
Es gibt keine liechtensteinspezifischen Datenschutzregeln für den Finanzsektor über den Standardrahmen von DSGVO und DSG hinaus. Nationale Finanzsektorgesetze (das Bankengesetz, das Zahlungsdienstegesetz, das UCITSG, das AIFMG und andere) verweisen auf DSGVO und DSG. Die Datenschutzstelle bleibt die zuständige Aufsichtsbehörde für Datenschutzfragen, während die Finanzmarktaufsicht (FMA) die Finanzregulierung überwacht.
Meldepflicht nach dem Bankengesetz
Art. 64a des Bankengesetzes schafft eine Meldepflicht für Datenschutzverletzungen bei Banken, die neben der allgemeinen 72-Stunden-Meldepflicht der DSGVO gegenüber der DSS besteht. Finanzinstitute unterliegen daher parallelen Meldepflichten nach beiden Rahmenwerken.
Geldwäschebekämpfung und Verarbeitung aufgrund rechtlicher Verpflichtung
Finanzinstitute müssen gleichzeitig die Grundsätze der Datenminimierung und Zweckbindung der DSGVO sowie Pflichten zur Geldwäschebekämpfung, zur Bekämpfung der Terrorismusfinanzierung und zur Steuermeldung erfüllen. Bei Zielkonflikten haben spezifische zwingende gesetzliche Pflichten (wie die verpflichtende Meldung verdächtiger Transaktionen im Rahmen der Geldwäschebekämpfung) innerhalb ihres definierten Anwendungsbereichs nach Art. 6 Abs. 1 lit. c DSGVO Vorrang vor datenschutzrechtlichen Erwägungen.
Steuerlicher Informationsaustausch
Liechtenstein nimmt am gemeinsamen Meldestandard (Common Reporting Standard, CRS) der OECD teil und unterhält zahlreiche Abkommen zum steuerlichen Informationsaustausch. Der automatische Austausch von Informationen über Finanzkonten beinhaltet die Verarbeitung personenbezogener Daten aufgrund zwingender gesetzlicher Pflichten, was eine DSGVO-konforme Rechtsgrundlage bietet.
Fondsverwaltung und Treuhanddienstleistungen
Die Fonds- und Treuhandbranche Liechtensteins verarbeitet personenbezogene Daten von Begünstigten und Investoren über mehrere Jurisdiktionen hinweg. Organisationen in diesem Sektor müssen die Übermittlungsregeln nach Kapitel V DSGVO für Datenflüsse in Nicht-EWR-Jurisdiktionen beachten, Verzeichnisse von Verarbeitungstätigkeiten führen und die Rechte betroffener internationaler Begünstigter wahren.
Praktische Compliance-Überlegungen
Finanzinstitute verfügen angesichts des Umfangs und der Sensibilität ihrer Datenverarbeitung typischerweise über Datenschutzbeauftragte. Für neue Produkte und Dienstleistungen werden Datenschutz-Folgenabschätzungen durchgeführt. Das Zusammentreffen finanzaufsichtsrechtlicher Pflichten und der DSGVO schafft komplexe Erlaubniskonstellationen: Die gesetzliche Pflicht einer Bank, Unterlagen zur Geldwäschebekämpfung fünf Jahre lang aufzubewahren, kann mit dem Löschungsanspruch eines Kunden kollidieren, wobei die zwingende gesetzliche Pflicht innerhalb ihres definierten Anwendungsbereichs Vorrang hat.
Blockchain und Distributed-Ledger-Technologie
Liechtenstein erliess 2019 das Gesetz über Token und VT-Dienstleister (TVTG), bekannt als Blockchain-Gesetz. Das TVTG schuf mit dem Token-Container-Modell einen rechtlichen Rahmen für die Token-Wirtschaft, der in Token verkörperten Rechten zivilrechtliche Wirkung verleiht. Mit Stand 2026 gilt eine duale Regelung: Die EU-Verordnung über Märkte für Kryptowerte (MiCAR) regelt die auf EWR-Ebene harmonisierten Tätigkeiten, während das TVTG weiterhin für Bereiche ausserhalb des Anwendungsbereichs der MiCAR gilt, etwa nicht fungible Token und die zivilrechtlichen Aspekte von Token-Transaktionen.
Blockchain-Unternehmen in Liechtenstein stehen vor einem grundlegenden Spannungsverhältnis zwischen der DSGVO und der unveränderlichen Natur verteilter Register.
Recht auf Löschung. Art. 17 DSGVO gewährt betroffenen Personen das Recht, ihre personenbezogenen Daten löschen zu lassen. Auf einer Blockchain sind Transaktionsaufzeichnungen konstruktionsbedingt dauerhaft. Die Leitlinien 02/2025 des EDSA zur Verarbeitung personenbezogener Daten mittels Blockchain-Technologien (veröffentlicht im April 2025, öffentliche Konsultation bis 9. Juni 2025) räumen ein, dass eine tatsächliche Löschung technisch undurchführbar sein kann, wenn personenbezogene Daten unmittelbar on-chain gespeichert sind. Der EDSA empfiehlt Verantwortlichen, dies bereits in der Entwurfsphase durch Verschlüsselung, Hashing und Off-Chain-Speicherung zu berücksichtigen, damit on-chain gespeicherte Daten bei einem Löschantrag wirksam anonymisiert werden können.
Datenminimierung. Da Blockchain-Daten unveränderlich sind, sollten nur unbedingt erforderliche Daten on-chain erfasst werden. Dieser Grundsatz muss vor der Inbetriebnahme angewendet werden, nicht nachträglich.
Rollen von Verantwortlichem und Auftragsverarbeiter. In einem verteilten Netzwerk ist es komplex, festzustellen, wer Verantwortlicher und wer Auftragsverarbeiter ist. Der EDSA empfiehlt Organisationen, die Rollen frühzeitig zu klären und schriftliche Governance-Rahmenwerke zu erstellen.
Datenschutz-Folgenabschätzungen. Der EDSA geht davon aus, dass die blockchainbasierte Verarbeitung personenbezogener Daten regelmässig mit hohen Risiken verbunden ist, weshalb in den meisten Fällen eine Datenschutz-Folgenabschätzung verpflichtend ist.
Berechtigte gegenüber öffentlichen Blockchains. Der EDSA empfiehlt, wo möglich private oder berechtigte Netzwerke zu verwenden, da diese im Vergleich zu öffentlichen Netzwerken eine klarere Zuweisung von Verantwortlichkeiten und eine bessere Kontrolle der Compliance-Risiken ermöglichen.
EU-KI-Verordnung: Stand der EWR-Übernahme
Die EU-KI-Verordnung (Verordnung 2024/1689) trat für die EU-Mitgliedstaaten am 1. August 2024 in Kraft, mit einem stufenweisen Zeitplan bis zur vollständigen Anwendbarkeit am 2. August 2026. Die Verordnung ist als EWR-relevant eingestuft und wird von den EWR-EFTA-Staaten aktiv auf ihre Übernahme in das EWR-Abkommen geprüft.
Mit Stand Mai 2026 wurde die KI-Verordnung noch nicht förmlich in das EWR-Abkommen übernommen. Das EFTA-Sekretariat führt die Verordnung in der EWR-Lex-Datenbank (Referenz 32024R1689) als in Prüfung. Liechtenstein, Norwegen und Island nehmen bis zur förmlichen Übernahme als Beobachter an den Sitzungen des KI-Gremiums der EU teil.
Nach ihrer Übernahme wird die KI-Verordnung in Liechtenstein mit EWR-Anpassungen gelten. Sie schafft einen gestuften, risikobasierten Compliance-Rahmen für Anbieter und Betreiber von KI-Systemen mit Pflichten, die sich mit den DSGVO-Anforderungen zu Transparenz, Datenminimierung, Rechten bei automatisierter Entscheidungsfindung und Zweckbindung überschneiden.
Liechtensteins Menschenrechtsschutzstelle (VMR) unterzeichnete am 27. Februar 2025 das Rahmenübereinkommen des Europarats über Künstliche Intelligenz. Das Übereinkommen ist der weltweit erste völkerrechtlich verbindliche KI-Vertrag. Die Ratifizierung durch Liechtenstein wird noch geprüft. Die VMR hat gefordert, dass Liechtenstein sicherstellt, dass die nationale Regulierung auch KI im privaten Sektor und Anwendungen im Bereich der nationalen Sicherheit erfasst, die ausserhalb des EU-Rahmens liegen.
Durchsetzung und Sanktionen
Verwaltungsgeldbussen nach der DSGVO
Die Datenschutzstelle kann Verwaltungsgeldbussen nach Art. 83 DSGVO verhängen. Es gilt die zweistufige Struktur:
| Verstosskategorie | Höchstbusse |
|---|---|
| Weniger schwere Verstösse (Art. 83 Abs. 4), einschliesslich Verstössen von Auftragsverarbeitern, Zertifizierungsstellen und Überwachungsstellen | 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) |
| Schwerere Verstösse (Art. 83 Abs. 5-6), einschliesslich Verstössen gegen Grundsätze, Rechte betroffener Personen, Übermittlungsregeln sowie Nichtbefolgung von Anordnungen der DSS | 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) |
Nationale strafrechtliche Sanktionen
Das DSG ergänzt den Rahmen der Verwaltungsgeldbussen um strafrechtliche Haftung:
- Vorsätzliche unbefugte Verarbeitung oder Verletzung von Geheimhaltungspflichten: Freiheitsstrafe bis zu sechs Monaten oder Geldstrafe bis zu 360 Tagessätzen.
- Verletzungen der Datengeheimhaltung, die aus Gewinnabsicht oder in Schädigungsabsicht begangen werden: Freiheitsstrafe bis zu einem Jahr.
- Behinderung der Aufsichtstätigkeit der Datenschutzstelle: ein strafbares Verhalten.
Diese strafrechtlichen Sanktionen werden durch die liechtensteinischen Gerichte durchgesetzt, getrennt von den Verwaltungsbefugnissen der DSS.
Durchsetzungsansatz
Die DSS legt angesichts der geringen Grösse Liechtensteins und der konzentrierten Unternehmensgemeinschaft Wert auf Orientierungshilfe, praktische Compliance-Unterstützung und verhältnismässiges Eingreifen. Die DSS veröffentlicht jährliche Tätigkeitsberichte, regelmässige Orientierungshilfen, Übersichten zur Rechtsprechung und Newsletter. Der Tätigkeitsbericht 2024 beschreibt stetig wachsende Herausforderungen im Zuge zunehmender digitaler Compliance-Anforderungen.
Die DSS nimmt an koordinierten Durchsetzungsmassnahmen des EDSA teil und sorgt dafür, dass in Liechtenstein ansässige Organisationen derselben europaweiten Compliance-Prüfung unterliegen wie Unternehmen in grösseren EWR-Staaten.
Aktuelle Entwicklungen (2024-2026)
EDSA-Leitlinien zu Blockchain (April 2025). Der EDSA veröffentlichte die Leitlinien 02/2025, die für die Blockchain-Wirtschaft Liechtensteins unmittelbar relevant sind und das Recht auf Löschung bei unveränderlichen Registern, Anforderungen an Datenschutz-Folgenabschätzungen und Empfehlungen zur Daten-Governance behandeln. Die endgültigen Leitlinien werden nach Abschluss der Konsultationsfrist im Juni 2025 erwartet.
Koordinierte Durchsetzung zum Recht auf Löschung (2025). Die DSS nimmt an der CEF-Initiative des EDSA zur Einhaltung von Art. 17 teil. Organisationen, die Fragebögen oder Prüfungsankündigungen erhalten haben, sollten dies als vorrangigen Compliance-Bereich behandeln.
KI-Governance-Orientierungshilfe (2025-2026). Die DSS hat mehrfach vor der Nutzung öffentlicher Cloud-KI-Werkzeuge mit personenbezogenen Daten gewarnt und damit die künftige Übernahme der EU-KI-Verordnung vorweggenommen.
Neues Schweizer Datenschutzgesetz. Das revidierte Bundesgesetz über den Datenschutz der Schweiz trat am 1. September 2023 in Kraft und nähert sich damit stärker an die DSGVO an. Die DSS veröffentlichte Informationen zu dieser Entwicklung angesichts des Umfangs des grenzüberschreitenden Datenverkehrs zwischen den beiden Ländern.
Digital Services Act und Digital Markets Act. Beide EU-Instrumente sind EWR-relevant und werden in das EWR-Abkommen übernommen, wodurch zusätzliche Compliance-Pflichten für in Liechtenstein ansässige digitale Plattformen mit datenschutzrechtlichen Auswirkungen entstehen.
Orientierungshilfe zu Unternehmenstransaktionen (Januar 2026). Die Orientierungshilfe der DSS zum Datenschutz bei der Due Diligence im Rahmen von Unternehmensverkäufen behandelt die praktische Lücke rund um den Fluss von Beschäftigten- und Kundendaten zwischen den Parteien bei M&A-Transaktionen.
Sources and References
- Datenschutzstelle (DSS) - Offizielle Website(datenschutzstelle.li).gov
- DSS Tätigkeitsbericht 2024(datenschutzstelle.li).gov
- DSS Nationale Gesetze (DSG, DSV)(datenschutzstelle.li).gov
- DSS EDSA CEF Recht auf Löschung 2025(datenschutzstelle.li).gov
- DSS Orientierungshilfe zu KI und Datenschutz September 2025(datenschutzstelle.li).gov
- Liechtensteinisches DSG - englischer Gesetzestext (PDF)(datenschutzstelle.li).gov
- Beschluss Nr. 154/2018 des Gemeinsamen EWR-Ausschusses(efta.int).gov
- EFTA EWR-Lex - Stand der Übernahme der EU-KI-Verordnung(efta.int).gov
- EDSA-Leitlinien 02/2025 zu Blockchain(edpb.europa.eu).gov
- Europäischer Datenschutzausschuss (EDSA)(edpb.europa.eu).gov
- Liechtensteinisches DSG, LGBl 2018.272(gesetze.li).gov
- Finanzmarktaufsicht Liechtenstein (FMA)(fma-li.li).gov
- VMR Liechtenstein - Künstliche Intelligenz und das KI-Übereinkommen des Europarats(menschenrechte.li)
- EFTA - Wie EU-Recht zu EWR-Recht wird(efta.int).gov
- Liechtensteinische EWR-Koordinationsstelle(llv.li).gov
- Mondaq - Hinweis zum Datenschutz im Finanzsektor Liechtensteins(mondaq.com)