Datenschutz
26. Jan 2022, Recht & Steuern | Datenschutz

Strafrecht im neuen schweizerischen Datenschutzgesetz

Die meisten Schweizer Unternehmen haben sich wohl letztmals anfangs 2018 mit dem Datenschutz beschäftigt, als die EU-Datenschutzgrundverordnung (DSGVO) in Kraft trat. Eiligst wurden damals neue Datenschutzerklärungen und «Policies» entworfen.

Unterdessen vernimmt man von hohen Bussen, die europäischen Unternehmen wegen Verletzungen des Datenschutzes auferlegt wurden. Da aber offenbar noch kein Schweizer Unternehmen gebüsst wurde, scheint das bloss ein noch sehr weit entferntes Donnergrollen zu sein.

Dieser relative Frieden ist jetzt aber vorbei und es besteht Handlungsbedarf auch in der Schweiz: Das Schweizer Datenschutzrecht wurde nach dem Vorbild der DSGVO revidiert und das neue Datenschutzgesetz (revDSG) wird voraussichtlich Mitte 2022 in Kraft treten. Die neuen Anforderungen an den Datenschutz werden ohne Übergangsfrist in Kraft treten, d.h. die Unternehmen müssen vom ersten Tag an bereit sein. Das revDSG verlangt eine vertiefte Auseinandersetzung des Unternehmens mit dem Umgang mit Daten und wesentliche Anpassungen von Abläufen, Verantwortlichkeiten und Dokumentationen. Darüber wurde und wird an anderer Stelle schon viel geschrieben. An dieser Stelle soll bloss ein zusätzlicher Hinweis erfolgen, weshalb der Umgang mit den Vorschriften des Datenschutzrechtes viel ernster genommen werden sollte. Dies hat mit den im Falle von Verstössen ausgesprochenen Sanktionen zu tun:

Die DSGVO sieht hohe Bussen vor, die sich nach dem Umsatz des Unternehmensbemessen. Es handelt sich um Geldbussen die vom Unternehmen bezahlt werden, d.h. die Verfolgung und die Busse treffen nicht die verantwortlichen Personen persönlich. Unter diesen Umständen könnten die Mitarbeiter des Unternehmens mit den Schultern zucken und sich denken: «Nicht mein Geld!». Die Schweiz hat sich mit dem revDSG aber für ein anderes Sanktionensystem entschieden: Das 8. Kapitel des revDSG führt Strafbestimmungen ein und sieht vor, dass mit Bussen von bis zu CHF 250'000 die privaten Personen bestraft werden, die für die erfolgten Datenschutzverletzungen (mit-)verantwortlich sind.

Die Sanktionen nach revDSG
  1. sind Sanktionen des (Verwaltungs-)Strafrechts, die in einem Strafverfahren verhängt werden
  2. treffen die verantwortlichen Personen persönlich
  3. dürfen nicht vom Unternehmen bezahlt oder versichert werden.
Immerhin führt eine Verurteilung nicht zu einer weiteren Stigmatisierung der betroffenen Person via das Strafregister: Die Bussen führen als Übertretungen erst ab einer Busse über CHF 5'000 zu einem Eintrag ins Strafregister und auch dann werden sie nicht auf den Privatauszügen aufgeführt, die man für sich bestellen kann und die man üblicherweise bei Bewerbungen etc. vorweisen muss. Einzig bestimmte Behörden sehen die eingetragene Busse. Ein Strafverfahren ist – nebst der drohenden Busse und den Verfahrenskosten – in der Regel jedoch für die betroffene Person mit einer sehr erheblichen psychischen Belastung verbunden.
 
Es liegt auf der Hand, dass keine potenziell verantwortliche Person diese Verantwortung auf die leichte Schulter nehmen wird und es ist anzunehmen, dass einiges an Erklärungsbedarf auf die Unternehmen zukommen wird. Verantwortlich und damit den strafrechtlichen Sanktionen unterworfen sind
  • die Leitungspersonen im Unternehmen, die die Einhaltung des revDSG im Unternehmen sicherstellen müssen, also Verwaltungsrat und Geschäftsleitung
  • auch Personen, die nicht der obersten Führungsebene angehören, aber eine konkrete Verantwortung zugewiesen erhalten, z.B. ein Datenschutzbeauftragter oder ein IT-Verantwortlicher.
  • nicht aber sog. «Gehilfen», d.h. solche Personen, denen keine besondere selbstständige Entscheidungsmacht bzw. Verantwortung für den Datenschutz zukommt.

Immerhin sieht das revDSG nicht für jede Datenschutzverletzung eine strafrechtliche Sanktion vor, sondern nur für bestimmte (vgl. Art. 60ff. revDSG):

  • Vorsätzliche Erteilung von falschen oder unvollständigen Auskünften, z.B. über die Beschaffung von Personendaten oder die automatische Bearbeitung von Entscheidungen, die die betroffene Person betreffen.
  •  Vorsätzliche Unterlassung der einer Person spontan geschuldeten Informationen über die Beschaffung von Personendaten.
  • Erteilung von falschen Auskünften an den Eidg. Datenschutzbeauftragten oder die Verweigerung der Mitwirkung in Untersuchungen. Ebenso bestraft wird die Missachtung von Verfügungen des Eidg. Datenschutzbeauftragten.
  • Besonders heikel dürfte die Bekanntgabe von Personendaten ins Ausland sein, die nicht den gesetzlichen Anforderungen entsprechen: Vielen Unternehmen ist gar nicht bewusst, dass ihre IT-Infrastruktur eine solche «Bekanntgabe von Personendaten ins Ausland» mit sich führt, z.B. wenn Dienstleister die Daten auf Servern im Ausland oder in «Cloud» Services speichern.
  • Das Outsourcing der Datenbearbeitung, ohne dass die dazu verlangten Voraussetzungen erfüllt sind.
  • Die Verletzung der «Mindestanforderungen» an die Datensicherheit.
  • Die «Verletzung der beruflichen Schweigepflicht».

Der aufmerksame Leser, der bei der Lektüre des letzten Satzes stockt, sich am Kopf kratzt und sich fragt: «Woher um Himmels Willen kommt nun diese ‹berufliche Schweigepflicht›»? Bekannt sind das Amtsgeheimnis der Staatsangestellten, das Berufsgeheimnis von Anwälten, Seelsorgern und Ärzten sowie das den Bankmitarbeitern auferlegte Bankkundengeheimnis. Art. 62 Abs. 1 des revDSG schafft nun darüber hinaus eine völlig neue Schweigepflicht, die losgelöst von jeglichen Berufen, Funktionen oder Branchen völlig allgemein gilt. Sie wird deshalb «kleines Berufsgeheimnis» oder «Berufsgeheimnis für jedermann» genannt. Fraglich ist, ob heute «jedermann» sich dieser neuen Verantwortung bewusst ist! Art. 62 Abs. 1 revDSG lautet:

«Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250'000 Franken bestraft.»

Dieser Wortlaut ist beunruhigend weit, insb. weil sich keine wesentliche Beschränkung daraus ergibt, dass nur «geheime» Personendaten vor der Offenbarung geschützt werden sollen. «Geheim» sind nicht nur eigentliche Staatsgeheimnisse oder zentrale Betriebsgeheimnisse. «Geheim» ist nach der im Strafrecht verwendeten Formel jede Tatsache, die nicht allgemein bekannt oder zugänglich ist, wenn der Geheimnisherr ein schutzwürdiges Interesse an der beschränkten Bekanntheit hat und er auch den Willen dazu hat, die Tatsache nicht allgemein bekannt werden zu lassen. Wirklich scharfe Konturen gewinnt diese «berufliche Schweigepflicht» dadurch offensichtlich nicht. Vorsichtigerweise muss jeder, unabhängig von seinem Beruf, seiner Funktion und seiner hierarchischen Stellung im Betrieb grösste Vorsicht walten lassen, dass er nicht Personendaten Empfängern zukommen lässt, die dazu nach Datenschutzrecht nicht berechtigt sind. Das ist natürlich im Kontext von Datenflüssen im Unternehmen, wo Personendaten unternehmensintern und unternehmensübergreifend (mit Partnern und Dienstleistern) geteilt werden müssen, sehr heikel, ein eigentliches Minenfeld!

Die neuen Strafbestimmungen des Datenschutzrechts gehen vom Wortlaut her gesehen sehr weit und führen dazu, dass sowohl auf den oberen wie auch auf den unteren Hierarchiestufen in Unternehmen das Risiko einer strafrechtlichen Verfolgung und Verurteilung besteht. Wenn nun Stimmen zu hören sind, die Schweizer Behörden würden wohl «Augenmass» walten lassen und «pragmatisch» vorgehen, so kann man nur inständig hoffen, dass dies nicht blosses Wunschdenken ist. Tatsache ist, dass das revDSG ein Nachvollzug der DSGVO ist und auch nicht nur die Regeln und Systematik übernimmt, sondern deren Wertungen. Die Schweizer Behörden werden sich bei Entscheidungen zweifellos an den Entscheidungen von EU-Behörden und Gerichten sowie auch an der ausländischen juristischen Literatur zur DSGVO orientieren. Bei diesen lassen sich indes keine Anzeichen von «Pragmatismus» und «Mass» erkennen, im Gegenteil wird die DSGVO maximal streng ausgelegt und mit drakonischen Bussen durchgesetzt. Kritische Stimmen zu dieser Praxis finden sich kaum.

Fazit: Wie soll ein Unternehmen mit dieser neuen Situation umgehen?

Das Inkrafttreten des revDSG muss Anstoss sein, die Compliance mit den neuen Regeln gründlich zu prüfen. Zu beachten ist dabei, dass es sich nicht mehr bloss um die Redaktion von Datenschutzerklärungen handelt, sondern dass die neuen Regeln unter Umständen Anpassungen der Organisation verlangen und eine Sensibilisierung von allen Mitarbeitern, die mit Personendaten in Berührung kommen.



Schliessen Button
Immer erstklassig informiert

Melden Sie sich für den Newsletter der Handelskammer Deutschland-Schweiz an.