Bussen im neuen Datenschutzrecht – bis CHF 250’000.00 für private Person möglich

Kann sich ein Webdesigner zukünftig bei der Erstellung von Webseiten strafbar machen? Ist der Büroangestellte für Datenschutzauskünfte verantwortlich? Steht der Onlineshop-Betreiber zukünftig mit einem Bein im Bussentatbestand?

Wir beantworten die wichtigsten Fragen zu den Strafnormen im neuen Datenschutzrecht, das am 1. September 2023 in Kraft tritt. Zwar gab es bereits nach dem bisherigen Datenschutzrecht strafrechtliche Sanktionsnormen, aber die Höhe der Bussen und der Umfang der sanktionierten Pflichtverstösse ändert sich per 1. September 2023. "Unwissenheit schützt vor Strafe nicht", d.h. die mit der Datenverarbeitung betrauten Mitarbeitenden können sich strafrechtlich nicht dadurch entlasten, von den gesetzlichen Bestimmungen nicht gewusst zu haben. Zwar sieht Art. 21 StGB vor, dass ein Rechtsirrtum nicht oder milder bestraft werden kann, es sei denn, dieser war vermeidbar. Eine Unkenntnis ist jedoch kein Rechtsirrtum, daher gilt: Kenne das Recht. Wir geben Hinweise, worauf Sie zukünftig achten sollten.

1. Was wird sanktioniert und wie teuer wird es?

Bei Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten (Art. 60 revDSG) oder Verletzung von Sorgfaltspflichten (Art. 61 revDSG) können Personen mit CHF 250’000.00 gebüsst werden. Lediglich die vorsätzliche Begehung ist umfasst, nicht auch Fahrlässigkeit. Vorsatz (Art. 12 i.V.m. Art. 104 und Art. 333 Abs. 1 StGB) ist die Ausführung der Tat mit Wissen und Willen. Vorsätzlich handelt bereits, wer die Verwirklichung der Tat für möglich hält und in Kauf nimmt (sog. Eventualvorsatz).

Beispiele:

  • vorsätzlich falsche oder unvollständige Informationen über die Beschaffung und Bearbeitung von Personendaten in der Datenschutzerklärung

  • vorsätzlich falsche oder unvollständige Information über Bearbeitung bei automatisierter Einzelfallentscheidung

  • vorsätzliches Unterlassen der Information über Bearbeitung bei automatisierter Einzelfallentscheidung

  • vorsätzliches Unterlassen der Information über die Beschaffung und Bearbeitung von Personendaten in der Datenschutzerklärung

  • vorsätzlich falsche oder unvollständige Information auf ein Auskunftsverlangen z.B. bewusst unrichtige Angaben oder Erteilung einer unvollständigen Auskunft, während der Eindruck erweckt wird, die Auskunft sei vollständig

  • Mitteilung von Personendaten ins Ausland ohne angemessenen Schutz und ohne Einwilligung der Personen

  • Bearbeitung von Personendaten durch Auftragsverarbeiter ohne entsprechenden Auftragsbearbeitungsvertrag

Zwei gesetzliche Einschränkungen sind für die verantwortlichen Personen vorteilhaft. Erstens wird nur vorsätzliches Handeln bestraft, eine fahrlässige Begehung ist nicht strafbar. Und zweitens erfolgt eine Strafverfolgung nur, sofern ein Strafantrag eines Betroffenen vorliegt.

Die grössten Risiken sind:

  • Falsche oder unrichtige Auskunftserteilung – Beispiel: Ein Betroffener verlangt Auskunft, diese wird ihm jedoch bewusst falsch erteilt, weil man nicht offenlegen möchte, wo die Personendaten (unzulässigerweise) gespeichert wurden;

  • Verletzung von Informationspflichten – Beispiel: Die Führungskraft entscheidet, dass man keine Datenschutzerklärung braucht, weil man keine Kontaktdaten des Verantwortlichen mitteilen möchte;

  • Die Übermittlung ins Ausland ohne Einwilligung – Beispiel: Datentransfer in das Ausland oder ausländischer SaaS- oder Cloud-Service, insbesondere in die USA oder China, da dort derzeit (Stand: 03/2023) kein angemessenes Datenschutzniveau besteht

2. Wer haftet? Die Führungskraft oder jeder Mitarbeitende?

Die Strafe wird gegen die natürliche Person, also die private Person verhängt. Anders als in der DSGVO haftet die natürliche Person und nicht das Unternehmen. Eine Ausnahme besteht: Bei einer Busse von nicht mehr als CHF 50.000 und einem unverhältnismässigen Ermittlungsaufwand kann anstelle der verantwortlichen Person das Unternehmen gebüsst werden (Art. 64 revDSG).

Meine Einschätzung: Die Haftung von Unternehmen könnte öfters zur Anwendung kommen, insbesondere in grösseren Organisationseinheiten und Firmen. Denn für die zuständige kantonale Staatsanwaltschaft ist es erheblich verfahrensökonomischer, das Unternehmen zu büssen als diverse Befragungen durchzuführen und zu ermitteln, wer die verantwortliche Person ist und ob diese mit Vorsatz gehandelt hat.

Nach der Botschaft zum revDSG (BBl 2017, 7100) soll die Leitungsperson diejenige sein, die mit den Bussen-Vorschriften in den Blick genommen wird und haftet.

"Soweit Daten durch ein Unternehmen bearbeitet werden, obliegen die aus dem DSG abgeleiteten Pflichten in der Regel dessen Leitungsperson."

Ich teile vielmehr die Einschätzung von Anwaltskollegen, dass die mit der Datenverarbeitung ausführenden Mitarbeitenden in einem Unternehmen einer Haftung ausgesetzt sind:

"Obwohl die Botschaft […] die Besorgnis, dass die Strafen jeden beliebigen Angestellten treffen können, zu zerstreuen versucht, wird die Strafbarkeit wohl in erste Linie nicht die Unternehmensleitung treffen, sondern diejenigen, die in ausführender Position faktisch entscheiden, was konkret gemacht wird.“ (Rosenthal/Gubler, SZW/RSDA 1/2021)

 Meiner Ansicht nach sollten Führungskräfte nur dann strafrechtlich verantwortlich sein, wenn konkrete Anweisungen gegeben werden oder ein Unterlassen vorwerfbar ist. Letztlich obliegt es dem datenverarbeitenden Mitarbeitenden, eine zutreffende Auskunft zu erteilen oder keinen Auslandstransfer ohne Einwilligung vorzunehmen. Webdesigner, Büroangestellte und Onlineshop-Betreiber sind daher dem Risiko einer strafrechtlichen Verantwortung ausgesetzt.

 3. Muss jetzt jeder Mitarbeitende mit einem Strafverfahren und einer hohen Busse rechnen?

Meine Einschätzung: Auch mit dem neuen Datenschutzgesetz wird nichts so heiss gegessen, wie es gekocht wird. Die Erfahrungen bei der Einführung der DSGVO zeigen, dass die Höchststrafen nur bei wirklich erheblichen und krassen Datenschutzverstössen verhängt werden, teilweise wurden die von den Datenschutzbehörden ausgesprochenen Strafen durch die Gerichte erheblich gesenkt. Ein Vergleich mit den Bussen nach DSGVO zeigt, dass die Verletzung von Auskunftspflichten oder fehlende Informationen (z.B. zur Videoüberwachung in einem Restaurant) nur mit einigen hundert oder wenigen tausend Euro bestraft wurden (siehe Vortrag auf dem Winterkongress 2023: Was kostet wie viel? Sind Bussen nur Placebo oder wirkungsvoll?).

Zudem ist zu berücksichtigen, dass für die Strafverfolgung die Kantone zuständig sind und es keine einheitliche Bestimmung der Strafen gibt. Bis die erste höchstrichterliche Rechtsprechung Anhaltspunkte für die Strafbemessung gibt, dürften einige Jahre vergehen.

Es ist jedoch zu erwarten, dass in den nächsten Jahren die Verurteilungen wegen Datenschutzverstössen zunehmen, wenngleich natürlich andere Strafdelikte viel stärker im Fokus der Staatsanwaltschaften stehen werden.

 Unsere TOP 5 Hinweise:

  • Datenschutzreglement erstellen; Damit werden klare Verantwortlichkeiten innerhalb des Unternehmens festgelegt. Dies schützt Mitarbeitende und Führungsebene.

  • Unternehmen sollten ihre Mitarbeitenden sensibilisieren und schulen.

  • Informationen und Dokumentationen erstellen; Kostenfreie Muster und Vorlagen z.B. von www.datenschutzmuster.ch sind besser als gar keine Dokumentation.

  • Bei der Entwicklung neuer Verfahren und technischer Innovationen prüfen und dokumentieren, ob personenbezogene Daten verarbeitet werden und wie der Datenschutz eingehalten wird.

  • Anwaltliche Beratung bei Verfahren mit dem EDÖB oder bei Strafverfahren einholen: Erfahrungen mit der DSGVO zeigen, dass eine Zusammenarbeit mit der Behörde und die frühzeitige anwaltliche Beratung bei der Bussenzumessung hilfreich sind.

 

Bei Fragen zum Thema wenden Sie sich gerne an Sven Kohlmeier.