Die Verschärfung der Strafbestimmungen sind eine der auffälligsten Revisionen des neuen Datenschutzgesetzes (nDSG). Neu sind die Strafbestimmungen im 8. Kapitel, in den Art. 60-66 nDSG, geregelt. Nachfolgend soll ein Grundlagenwissen in diesem Bereich vermittelt werden, damit Datenverabeiter:innen wissen, was gilt.

In Sachen Verstösse gegen den Datenschutz weht in der Schweiz bald ein anderer Wind. Auch das bestehende Datenschutzgesetz (DSG) sieht Bussen vor, diese werden in der Praxis jedoch selten verhängt. Diese Vorgehensweise dürfte sich mit den nun scharfen Bussandrohungen in Art. 60-66 nDSG ändern. Wo man früher Bussen bis zu maximal CHF 10’000.—verhängen konnte, wurde die Sanktionsobergrenze neu bei allen Strafbestimmungen auf CHF 250’000.– erhöht. Dies sorgt in vielen Unternehmen für grosse Verunsicherung.

Welches Verhalten kann wie hoch gebüsst werden?

Die Art. 60-66 nDSG sehen dabei vor allem Strafbestimmungen bei Verletzung von Informations- und Auskunftspflichten sowie der Datensicherheit vor. Die Verletzung anderer Pflichten, wie z.B. das Erstellen eines Bearbeitungsverzeichnisses (Art. 12 nDSG) oder die Vornahme einer Datenschutz-Folgenabschätzung (Art. 22 nDSG), werden nicht gebüsst. Sodann sieht das neue Datenschutzgesetz zwar bewusst keine Strafbarkeit für fahrlässige Verletzungen des nDSG vor, jedoch reicht für die Bejahung des Vorsatzes bereits eine Inkaufnahme der Verletzung.

In Art. 61 nDSG werden drei Fälle von vorsätzlichen Sorgfaltspflichtverletzungen pönalisiert. Erstens müssen beim Datenexport ins Ausland die Voraussetzungen nach Art. 16 und Art. 17 nDSG berücksichtigt werden. Demnach dürfen Personendaten nur ins Ausland bekanntgegeben werden, wenn der Bundesrat ein angemessenes Schutzniveau festgestellt hat (Art. 16 Abs. 1 nDSG), es sei denn der notwendige Datenschutz ist anderweitig sichergestellt (Art. 16 Abs. 2 nDSG) oder es liegt ein Ausnahmegrund gemäss Art. 17 nDSG vor. Im Falle von Art. 16 Abs. 2 nDSG sind insbesondere die Instrumente der SCCs, CoCs und BCRs hervorzuheben. Als Ausnahmen nennt Art. 17 nDSG insbesondere die explizite Einwilligung der betroffenen Person (lit. a), die Notwendigkeit des Exportes für die Vertragsabwicklung (lit. b) oder für die Durchsetzung von Rechtsansprüchen (lit. d). Ein aktualisiertes Verfahrensverzeichnis, ein Transfer Impact Assessment (sozusagen eine Datenschutz-Folgeabschätzung betreffend Datenexport), sowie fundierte Datenschutzerklärungen sind somit für Unternehmen, welche grenzüberschreitend wirtschaften, unabdingbar – spätestens ab Inkrafttreten des nDSG.

Zweitens macht sich strafbar, wer Personendaten einem Auftragsbearbeiter (z.B. einem Storage-Provider) unter Verletzung der Bestimmungen nach Art. 9 nDSG übermittelt. So kann eine Bearbeitung von Personendaten vertraglich oder durch die Gesetzgebung nur dann einem Auftragsbearbeiter übertragen werden, wenn die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte (Abs. 1 lit. a) und wenn keine gesetzliche oder vertragliche Geheimhaltungspflicht eine solche Übertragung verbietet (Abs. 1 lit. b). Sodann muss sich der Verantwortliche insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten (Abs. 2). Auch darf der Auftragsbearbeiter die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen selber einem Dritten übertragen (Abs. 3). Somit muss beispielsweise sichergestellt werden, dass der Auftragsbearbeiter die Daten nicht in ein Big Data Projekt speist, es sei denn der Verantwortliche hätte selbst das Recht hierzu. Dies hat zur Folge, dass solche Punkte unbedingt in Datenschutzerklärungen geregelt werden müssen. Weiter muss der Verantwortliche nach Art. 9 Abs. 2 nDSG sicherstellen, dass der Auftragsbearbeiter die Sicherheit der Daten nach Art. 8 nDSG gewährleistet. Analog zur haftpflichtrechten Geschäftsherrenhaftung (Art. 55 OR) trifft den Verantwortlichen die Pflicht zur sorgfältigen Auswahl, Instruktion und Kontrolle des Auftragsbearbeiters.

Drittens trifft den Verantwortlichen eine Sorgfaltspflicht hinsichtlich Datensicherheit, wobei sich der Sorgfaltsmassstab aus den noch zu erlassenden bundesrätlichen Bestimmungen zur Datensicherheit ergeben wird (Art. 61 lit. c i.V.m. Art. 8 Abs. 3 nDSG).

Neu des Weiteren ist, dass die Missachtung von Verfügungen des EDÖBs nicht mehr lediglich mit Bussen bis CHF 10‘000.– geahndet werden können (Art 292 i.V.m. Art. 106 Abs. 1 StGB), sondern dass kraft Art. 63 nDSG ebenfalls eine Bussenobergrenze von CHF 250‘000.– gilt. Die Sanktion muss aber bereits jeweils in der Verfügung explizit angedroht werden, damit sich eine Strafbarkeit nach Art. 63 nDSG ergeben könnte.

Schliesslich können wie unter bisherigem Recht weiterhin die Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten (Art. 60 nDSG) wie auch die Verletzung der beruflichen Schweigepflicht (Art. 62 nDSG) gebüsst werden; neuerdings aber ebenfalls bis zu CHF 250‘000.–. Dabei ist zu berücksichtigen, dass nach Art. 60 Abs. 2 nDSG auch die Verweigerung der Mitwirkung bei einer Untersuchung des EDÖBs in dieser Höhe gebüsst werden kann, es sei denn es liegt ein Auskunftsverweigerungsrecht nach Art. 49 nDSG vor.

Die Busse bemisst sich dabei nach Art. 106 Abs. 3 StGB. Sie ist daher einerseits Verschuldens abhängig und andererseits nach der wirtschaftlichen Leistungsfähigkeit der Beschuldigten zu bemessen. Bemühungen zur Datenschutz-Compliance zahlen sich somit aus. Insbesondere gut ausgearbeitete und transparente Datenschutzbestimmungen und eine lückenlose Dokumentation von Risikoentscheiden und getroffenen Massnahmen können daher – im Falle des Falles – das Verschulden und somit die Sanktionshöhe reduzieren. Aber auch eine allgemeine Datenschutzstrategie sowie eine organisierte Entscheidstruktur innerhalb des Unternehmens wird von grosser Wichtigkeit sein.

Wer kann bestraft werden?

Wie unter bestehendem Recht werden nicht die Unternehmen selbst, sondern die für die DSG-Verletzung verantwortlichen natürlichen Personen verfolgt. Gemäss der Botschaft zum neuen DSG gilt als Verantwortlichen jedoch nicht die unmittelbaren Handlungsverantwortlichen, sondern die Organisationsverantwortlichen. Dies ergibt sich auch aus Art. 6 VStrR (Widerhandlung in Geschäftsbetrieben), welcher neu durch Art. 64 nDSG direkt anwendbar wird. Zur Veranschaulichung: Es soll nicht der Praktikant, welcher z.B. eine nicht nDSG konforme Datenverarbeitung durchführt, zur Verantwortung gezogen werden, sondern es soll die Leitungsperson in die Pflicht genommen werden, welche eine Garantenstellung für wirksame unternehmensinterne Datenschutzstrukturen inne hat.

Ausnahmsweise können auch Unternehmen direkt strafrechtlich in die Pflicht genommen werden. Dies bedingt nach Art. 64 Abs. 2 nDSG, dass einerseits vermutungsweise die ausgesprochene Busse die Höhe von CHF 50‘000.– nicht übersteigen wird und dass andererseits die Ermittlung der strafbaren Person gemäss Art. 6 VStrR unverhältnismässige Untersuchungsmassnahmen erfordern würde, sodass der Geschäftsbetrieb gemäss Art. 7 VStrR zur Bezahlung der Busse verurteilt werden kann.

Wer ist für die Strafverfolgung zuständig?

In der Schweiz sind die regulären Strafverfolgungsbehörden der Kantone oder des Bundes zuständig. Der EDÖB hat lediglich ein Anzeigerecht, kann sich aber im Strafverfahren als Privatklägerin konstituieren. Dadurch, dass der Gesetzgeber das nDSG eng an das StGB bzw. die StPO angebunden hat und nicht an das Verwaltungsstrafrecht gemäss VStrR, wurde sichergestellt, dass den Beschuldigten die ausdifferenzierten Beschuldigtenrechte gemäss StPO zu Gute kommen. Aus staatlicher Sicht hat diese Anbindung wiederum den Vorteil, dass Vermögenswerte, welche durch die Verletzung der nDSG erzielt wurden, eingezogen werden können (Art. 70 StGB). Schliesslich sieht Art. 66 nDSG eine besondere Verfolgungsverjährung von fünf statt sieben Jahren (Art. 97 Abs. 1 lit. d StGB) vor.

Vergleich zur DSGVO

Gleich wie in der EU wird in der Schweiz der Datenschutz hinsichtlich Auftragsbearbeitern und insbesondere in Bezug auf Datenexport in Drittstaaten (insb. die USA) ausgebaut, weswegen zusätzliche rechtliche und/oder technische Schutzvorkehrungen implementiert werden müssen. Die Einhaltung solcher Schutzvorkehrungen wird staatlich durch ein verschärftes strafrechtliches Sanktionssystem sichergestellt, welches auch greift, sollte einer Verfügung des EDÖBs nicht entsprochen werden. Allgemein geht die Schweiz in diesem Bereich jedoch weniger weit als die DSGVO. Dies zeigt sich insbesondere darin, dass die DSGVO nach oben hin unbeschränkte Bussgelder vorsieht, während das neue DSG für Bussen eine Obergrenze von CHF 250’000.– festlegt.

Das schweizerische System unterscheidet sich denn auch in weiteren Bereichen des Sanktionssystems von der DSGVO: Die Sanktionierungen zielen primär auf natürliche Personen in Leitungsfunktionen und pönalisieren nur in Ausnahmefällen das Unternehmen als Solches. Schliesslich ist, anders als in der EU, nicht der EDÖB resp. die Datenschutzaufsichtsbehörden für die Durchsetzung des datenschutzrechtlichen Strafsystems zuständig, sondern die regulären Strafverfolgungsbehörden.

 

Quellen

BBl 2017 6941 Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz