Das neue Datenschutzgesetz (nDSG) sorgt für auffällige Änderungen. Mit neuen Strafbestimmungen in den Art. 60-66 nDSG wurden Strafbestimmungen verschärft. Was Datenverarbeiter:innen beachten und wissen müssen, wird in diesem Beitrag erläutert.

Bussgelder bei Verstößen gegen Vorgaben des Datenschutzgesetzes sind kein neues Konzept. In der Vergangenheit wurden Unternehmen Bussgelder bei Verstössen jedoch selten auferlegt. In Kombination mit der Tatsache, dass die Höchstgrenze für viele Verstöße bei 10‘000.- CHF lag, gab es wenig Anreiz solche Verstöße zu verhindern. Diese Zeiten dürften jedoch nun vorbei sein. Verstöße für die früher maximal 10‘000.- CHF fällig wurden, können mit dem neuen Datenschutzgesetz mit bis zu 250‘000,- CHF bestraft werden. Diese in den Art. 60-66 nDSG normierten, verschärften Bussgelder gilt es für Unternehmen zu vermeiden.

Welcher Verstoß wird wie hoch bestraft?

Die Art. 60-66 nDSG befassen sich primär mit Strafbestimmungen bei Verletzungen von Informations- und Auskunftspflichten. Andere Pflichtverletzungen wie die in Art. 12 oder Art. 22 nDSG beschriebenen Tätigkeiten werden nicht mit einem Bussgeld geahndet. Auch eine Strafbarkeit für fahrlässige Verletzungen des nDSG ist nicht vorgesehen. Allerdings kann von einer vorsätzlichen Verletzung bereits ausgegangen werden, sobald die Verletzung des nDSG in Kauf genommen wurde.

Art. 61 nDSG ahndet drei Konstellationen vorsätzlicher Sorgfaltspflichtverletzungen. Zum einen wird in Art. 61 lit. a nDSG die Nichtbeachtung der Voraussetzungen der Art. 16 f. nDSG beim Datenexport ins Ausland unter Strafe gestellt. Diese Voraussetzungen sind erfüllt, soweit die Feststellung eines angemessenen Schutzniveaus im Zielland durch den Bundesrat gem. Art. 16 Abs. 1 nDSG erfolgt oder der Datenschutz auch anderweitig sichergestellt wurde gem. Art. 16 Abs. 2 nDSG etwa durch SCCs, CoCs und BCRs. Abseits dieser Voraussetzungen könnte auch ein Ausnahmegrund nach Art. 17 nDSG vorliegen. Ab Inkrafttreten des nDSG dürfte die Vornahme eines Transfer Impact Assessments, auch Datenschutz-Folgeabschätzung genannt, zwingend notwendig werden. Aktualisierte Verfahrensverzeichnisse und wasserdichte Datenschutzerklärungen werden ebenfalls unerlässlich.

Überdies kann ein Bussgeld auferlegt werden, wenn einem Auftragsverarbeiter entgegen der Bestimmungen aus Art. 9 nDSG Personendaten übermittelt werden. Art. 9 nDSG setzt voraus, dass der Auftragsverarbeiter nach Art. 9 Abs. 1 lit. a nDSG die Daten nur so bearbeitet, wie es der Verantwortliche selbst dürfte und gem. Art. 9 Abs. 1 lit. b nDSG keine gesetzliche oder vertragliche Geheimhaltungspflicht durch die Übertragung verletzt werden würde. Nach Art. 9 Abs. 2 nDSG muss der Übermittelnde außerdem sicherstellen, dass der Auftragsbearbeiter in der Lage ist, Datensicherheit zu gewährleisten. Bei fehlerhafter Auswahl, Instruktion oder Kontrolle des Auftragsverarbeiters droht dem Verantwortlichen eine Haftung aus Art. 55 OR analog.

Ferner bedarf der Auftragsverarbeiter gem. Art. 9 Abs. 3 nDSG der Genehmigung des Verantwortlichen, um die Bearbeitung einem Dritten überlassen. Eine Regelung dieser Anforderungen in Datenschutzerklärungen empfiehlt sich.

Eine Sorgfaltspflicht hinsichtlich der Datensicherheit besteht für den Verantwortlichen ebenfalls. Ein genauer Sorgfaltsmasstab wird sich aus den bundesrätlichen Bestimmungen zur Datensicherheit noch ergeben gem. Art. 61 lit. c i.V.m. Art. 8 Abs. 3 nDSG.

Auch die Missachtung von Verfügungen des EDÖBs wird mit dem neuen Datenschutzgesetz gem. Art. 63 nDSG mit bis zu 250‘000.- CHF geahndet. Es ist jedoch eine explizite Androhung des Bussgeldes erforderlich, damit Art. 63 nDSG greift.

Unverändert kann auch weiterhin eine Verletzung von Informations-, Auskunfts- oder Mitwirkungspflichten geltend gemacht werden gem. Art. 60 nDSG, die genau wie die Verletzung der beruflichen Schweigepflicht gem. Art. 62 nDSG geahndet werden. Einzig die Obergrenze des Bussgeldes haben sich geändert. Auch hier drohen bis zu 250‘000.- CHF Bussgeld. Sollte kein Auskunftsverweigerungsrecht gem. Art. 49 nDSG vorliegen, droht ein gleich hohes Bussgeld bei Verweigerung der Mitwirkung bei einer Untersuchung des EDÖB gem. Art. 62 Abs. 2 nDSG.

Grundlage für die Berechnung der Höhe des Bussgeldes stellt Art. 106 Abs. 3 nDSG. Verschulden und die wirtschaftliche Leistungsfähigkeit werden bei der Berechnung berücksichtigt. Unternehmen, die sich um Datenschutz-Compliance bemühen, haben somit geringere Bussgelder zu befürchten. Eine unternehmensweite Datenschutzstrategie mit lückenloser Protokollierung ist förderlich.

Wer haftet für Verletzungen des Datenschutzgesetzes?

Unverändert haftet nicht das Unternehmen, sondern die für die Verletzung verantwortliche natürliche Person innerhalb des Unternehmens. Die Botschaft zum neuen DSG stellt jedoch klar, dass nicht auf den Handlungsverantwortlichen abgestellt wird, sondern auf den Organisationsverantwortlichen. Diese Haftung wird durch Art. 64 nDSG ermöglicht, da diese Norm Art. 6 VStrG direkt anwendbar macht bei Verletzungen des DSG. Nur so kann sichergestellt werden, dass Personen in Führungspositionen für die Verletzungen haften und nicht der frisch eingestellte Angestellte.

Es können auch Unternehmen direkt in die Pflicht genommen werden. Dies entspricht jedoch nicht der Regel. Eine direkte Inanspruchnahme des Unternehmens kommt gem. Art. 64 nDSG nur in Betracht, wenn die erwartete Busse 50‘000.- CHF nicht übersteigt und nach Art. 6 VStR die Ermittlung der verantwortlichen Person nur unter unzumutbaren Untersuchungsmassnahmen möglich wäre.

Bei wem liegt die Zuständigkeit für die Strafverfolgung?

Eine besondere Zuständigkeit für Verletzungen des nDSG gibt es nicht. Es sind die allgemeinen Strafverfolgungsbehörden der Kantone oder des Bundes zuständig. Der EDÖB verfügt lediglich über ein Anzeigerecht. Die Möglichkeit als Privatklägerin im Strafverfahren aufzutreten, steht dem EDÖB jedoch offen. Das nDSG wurde eng an das StGB und die StPO angebunden. Die differenzierten Beschuldigtenrechte der StPO können somit von dem Beschuldigten wahrgenommen werden. Dem Staat steht dadurch wiederum die Möglichkeit offen, die durch die Verletzung des nDSG erzielten Vermögenswerte zu beschlagnahmen gem. Art. 70 StGB. Die Strafverfolgung unterliegt in diesen Fällen einer besonderen Verjährung gem. Art. 66 nDSG.

Wie sind die Anforderungen des nDSG mit denen der DSGVO zu vergleichen?

Genau wie in der EU bedarf es in der Schweiz zusätzlicher Schutzvorkehrungen, um einen Datenexport in Drittstaaten zu ermöglichen. Sowohl das nDSG als auch die DSGVO drohen bei Nichteinhaltung der Anforderungen mit strafrechtlichen Sanktionen. Lediglich in der Höhe unterscheiden sich nDSG und DSGVO. Während das nDSG eine Höchstgrenze von 250’000.- CHF vorsieht, hat die DSGVO keine Obergrenze für Bussgelder. In der Schweiz haften Unternehmen für Verletzungen des nDSG wie oben ausgeführt nur ausnahmsweise. Stattdessen werden natürliche Personen in Führungspositionen in Anspruch genommen. Dies ist in der EU anders. Dort sind Bussgelder für Unternehmen keine Seltenheit. In der EU sind außerdem die Datenschutzbehörden mit der Durchsetzung der Strafen zuständig, nicht die regulären Strafverfolgungsbehörden.

Quellen

BBl 2017 6941 Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz