I. Ein Blick auf die Strafbestimmungen des DSG: Was ist strafbar? Wer wird ins Visier genommen?
Mit der Revision des DSG wurden die Strafbestimmungen (Art. 60 ff. DSG) verschärft. Folgendes, vorsätzliches Verhalten ist unter Strafe gestellt – wobei Eventualvorsatz genügt (datenschutzrechtliche Straftatbestände):
- Verletzung der Auskunfts-, Informations- und Mitwirkungspflichten (Art. 60 DSG)
- Verletzung von Sorgfaltspflichten (Art. 61 DSG)
- Unzulässige Bekanntgabe ins Ausland (Datenexport)
- Übergabe der Datenbearbeitung an Auftragsbearbeiter ohne Auftragsverarbeitungsvertrag (AVV)
- Verletzung der Mindestanforderungen an die Datensicherheit
- Verletzung der beruflichen Schweigepflicht (Art. 62 DSG)
- Missachtung von Verfügungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder eines Entscheids der Rechtsmittelinstanzen (Art. 63 DSG)
Im Visier der Strafbestimmungen des DSG sind grundsätzlich die für die Verletzung verantwortlichen natürlichen Personen. Also nicht das Unternehmen wie das die EU Datenschutz-Grundverordnung (DSGVO) vorsieht (mit hohen Bussen für Unternehmen). Ist eine juristische Person Adressatin der Pflichten, so sind die tatsächlich für das Unternehmen handelnden und den Tatbestand erfüllenden natürlichen Personen verantwortlich. Davon erfasst sind auch sogenannte faktische Organe. Im Fokus stehen Leitungspersonen aufgrund ihrer Verpflichtung zur Sicherstellung der Einhaltung des DSG im Unternehmen (z.B. Verwaltungsräte, Geschäftsführung) sowie jede andere Person, die den relevanten Datenbearbeitungsvorgang aufgrund ihrer Zuständigkeit überblickt und verantwortet (Kriterium Weisungsbefugnis). Zu diesem Personenkreis können Funktionen wie CIO, CISO oder Compliance gehören und insbesondere auch interne Datenschutzverantwortliche. Eher nicht zu den Leitungspersonen gehören blosse Datenschutzkoordinatoren ohne Entscheid- und Weisungsbefugnis. Es ist jeweils im Einzelfall für jeden Tatbestand zu klären, wer als Täter in Frage kommt. Massgebend ist dabei die unternehmensinterne Regelung der Verantwortlichkeit.
Übersteigt die vorgesehene Busse CHF 50'000 nicht und wären die für die Bestrafung einer natürlichen Person erforderlichen Ermittlungen unverhältnismässig, kann die Strafverfolgungsbehörde von der Verfolgung dieser Person absehen und stattdessen den Geschäftsbetrieb verurteilen (Art. 6 und 7 Bundesgesetz über das Verwaltungsstrafrecht (VStrR) i.V.m. Art. 64 DSG).
Die Höchststrafe beträgt CHF 250‘000, wobei bei der Bemessung der Busse die wirtschaftlichen Verhältnisse berücksichtigt werden. Zuständig für die Strafverfolgung sind sodann die kantonalen Strafverfolgungsbehörden.
II. Welche weiteren rechtlichen Folgen könnten drohen?
Verletzungen des DSG können auch zivil- oder verwaltungsrechtliche Verfahren nach sich ziehen:
So kann der EDÖB bei Datenschutzverletzungen ein verwaltungsrechtliches Untersuchungsverfahren eröffnen (Art. 49 DSG) und Verwaltungsmassnahmen verfügen (Art. 51 DSG). Da diese Verfahren (teilweise) öffentlich sind, muss mit einem Reputationsschaden gerechnet werden.
Im Rahmen von zivilrechtlichen Verfahren ist insbesondere an eine Klage der betroffenen Person gegen das Unternehmen zu denken – zum Beispiel auf Schadenersatz oder Genugtuung.
Organe riskieren gestützt auf die gesellschaftsrechtliche Organhaftung, Haftung aus Delikt oder aus Mandatsvertrag ins Recht gefasst zu werden.
III. Kann die Geldbusse versichert werden?
Während Geldbussen nach herrschender Lehre bei Vorsatz weder versichert noch vom Arbeitgeber bezahlt werden dürfen (die Übernahme der Geldbusse könnte gar eine Begünstigung im Sinne von Art. 305 Strafgesetzbuch (StGB) darstellen), ist es demgegenüber je nach Versicherung möglich, Bussgelder bei Fahrlässigkeit, Entschädigungsleistungen für berechtigte zivilrechtliche Ansprüche, Anwalts- und Verfahrenskosten sowie die Kosten für die Abwehr unberechtigter Forderungen zu versichern (D&O-Versicherung).
IV. Summary und Empfehlung
Die Sanktionen für Verstösse gegen das DSG wurden im Zuge der Revision ausgeweitet und verschärft. Bestraft wird jedoch nur Vorsatz. In erster Linie kann die für die Verletzung verantwortliche natürliche Person zur Verantwortung gezogen werden. Der Datenschutz erhält somit eine erhöhte Priorität. Wir empfehlen insbesondere die Erstellung eines schriftlichen Datenschutzkonzeptes, in dem die Verantwortlichkeiten bzw. die Delegation der Verantwortung im Bereich Datenschutz präzise geregelt werden. Gerne berät Sie MME bei sämtlichen Fragen zur praktischen Umsetzung der Bestimmungen des DSG.
