Zwei jüngere strafrechtliche Fälle aus Genf und Zürich zeigen: Die Durchsetzung des neuen Datenschutzgesetzes in der Schweiz gewinnt an Schärfe und Missachtungen der Datenschutzvorgaben des DSG können auch strafrechtliche Sanktionen zur Folge haben. Während das Genfer Obergericht die Grenzen im Urteil ACPR/239/2025 vom 26. März für die Strafbarkeit bei Datensicherheitsverletzungen präzisiert, verhängt das Stadtrichteramt der Stadt Zürich mit Strafbefehl Nr. 2023-066-252 vom 10. Juni 2024 – soweit ersichtlich erstmals eine Busse wegen unzureichender Auskunftserteilung. Die Entscheide zeigen auf, dass die strafrechtlichen Bestimmungen des DSG in der Praxis durchaus von Relevanz sein können.
Mit dem Inkrafttreten des revidierten Datenschutzgesetzes (DSG) am 1. September 2023 hat die Schweiz ihre datenschutzrechtlichen Vorgaben grundlegend reformiert. Neben der inhaltlichen Annäherung an europäische Standards wurden insbesondere die Durchsetzungsmechanismen verstärkt, wozu auch die Strafbestimmungen im 8. Kapitel des DSG zählen: Artikel 60 DSG sieht strafrechtliche Sanktionen vor, wenn zentrale Datenschutzpflichten vorsätzlich verletzt werden. Dazu gehören unter anderem die Informations- und Auskunftspflicht sowie die Pflicht zur Sicherung personenbezogener Daten. Bei Verstössen droht (auf Antrag) eine Busse von bis zu 250’000 Franken.
Im Unterschied zur Datenschutz-Grundverordnung (DSGVO) der EU, die auch Unternehmen mit hohen Geldbussen belegen kann, richten sich die Strafbestimmungen des DSG primär gegen natürliche Personen. Damit zielt das Gesetz auf individuelle Verantwortung, etwa von Datenschutzbeauftragten oder Geschäftsleitungsmitgliedern. Gleichwohl entfaltet diese Ausrichtung auf Einzelpersonen auch Wirkung auf Unternehmensebene: Interne Zuständigkeiten müssen klar geregelt, Compliance-Strukturen ausgebaut und dokumentierte Prozesse etabliert werden.
Zwei jüngere Fälle aus Genf und Zürich zeigen auf, wie die Strafbestimmungen des DSG von konkreter praktischer Bedeutung sein können.
Rechtlicher Hintergrund: Art. 60 DSG im Fokus
Artikel 60 DSG sanktioniert vorsätzliche Verletzungen datenschutzrechtlicher Kernpflichten. Dazu zählen insbesondere die:
- Informationspflicht (Art. 19 DSG)
- Auskunftspflicht (Art. 25 DSG)
- Datensicherheit (Art. 8 DSG)
- Melde- und Mitwirkungspflichten gegenüber Behörden (Art. 49 Abs. 3 DSG)
Strafbar im Rahmen von Art. 60 DSG ist nur vorsätzliches Verhalten, wobei Eventualvorsatz ausreicht. Fahrlässigkeit ist vom Tatbestand von Art. 60 DSG hingegen nicht erfasst. Entscheidend ist damit, ob die verletzende Handlung mit Wissen und Willen erfolgte oder zumindest für möglich gehalten und billigend in Kauf genommen wurde. Diese Einschränkung in subjektiver Hinsicht trägt zur Rechtssicherheit bei, setzt aber den Strafbarkeitsmassstab hoch an – insbesondere bei technischen Vorkehrungen wie Firewalls, Zugriffskontrollen oder Verschlüsselungslösungen.
Im Gegensatz dazu ist die Schwelle zur Strafbarkeit im Bereich der Betroffenenrechte, namentlich der Auskunftspflicht, deutlich niedriger: Bereits widersprüchliche oder unvollständige Angaben können als vorsätzliche Verletzung gewertet werden, wenn sie nicht auf einem nachvollziehbaren Missverständnis beruhen. Die Rechtsprechung stellt mithin hohe Anforderungen an Transparenz und inhaltliche Korrektheit.
Fall Genf: Keine Strafbarkeit bei Organisationsmängeln
Im Urteil mit der Aktennummer ACPR/239/2025 vom 26. März 2025 hatte die Cour de Justice Genf (Obergericht) über die Zulässigkeit einer Nichtanhandnahmeverfügung der Staatsanwaltschaft des Kantons Genf (Ministère public de la République et canton de Genève) zu entscheiden. Ausgangspunkt war folgender Sachverhalt: Eine Mitarbeiterin der Buchhaltung einer Klinik hatte Zugriff auf medizinische Daten, wobei diese unerlaubterweise auf die Patientenakten einer Mitschülerin zugegriffen hat, die in der entsprechenden Klinik psychiatrisch behandelt wurde. Dieser Zugriff erfolgte, obwohl sie keine ausdrückliche Autorisierung für die entsprechende Abfrage besass. Die Strafanzeige der Anzeigeerstatterin hebte namentlich das angeblich fehlende Identity-Access-Management-System hervor – ein zentrales Instrument zur Zugriffsbeschränkung.
Die Genfer Staatsanwaltschaft verfügte (trotz des später festgestellten rund 30-sekündigen Zugriffs der Mitarbeiterin auf das Gesundheitsdossier der Mitschülerin) die Nichtanhandnahme der Strafuntersuchung. Das Genfer Obergericht schützte diesen Entscheid mit der Begründung, dass zwar Mängel in der Organisation im System der Klinik vorgelegen hätten, diese aber nicht die Schwelle der „offensichtlichen Verletzung“ der Datensicherheit überschritten hätten. Mit Blick auf das strenge strafrechtliche Legalitätsprinzip (nullum crimen, nulla poena sine lege, Art. 1 StGB) würden laut Genfer Obergericht nur eindeutige und schwerwiegende Fälle unter Art. 61 Abs. lit. c DSG fallen. Letztlich wies das Genfer Obergericht die gegen die Nichtanhandnahmeverfügung erhobene Beschwerde ab. Die Erwägungen des Genfer Obergerichts verdeutlichen: Technische bzw. organisatorische Unzulänglichkeiten bei Aspekten der Datensicherheit begründen nur dann eine Strafbarkeit, wenn sie gravierend und offensichtlich sind. Zudem muss Vorsatz vorliegen. Unternehmen profitieren so von einem gewissen Spielraum bei vertretbaren Umsetzungen der gesetzlichen Datenschutzvorgaben.
Fall Zürich: Busse wegen falscher Auskunft zur Datenherkunft
Im zweiten Fall aus Zürich verpflichtete das Stadtrichteramt der Stadt Zürich im Oktober 2024 den Datenverantwortlichen eines E-Mail-Marketing-Unternehmens wegen vorsätzlicher Widerhandlung gegen das DSG (Missachtung der Auskunftspflichten) zur Zahlung einer Summe von insgesamt CHF 450.00 (Busse von CHF 200.00 und CHF 250.00 für Kosten bzw. Gebühren für die Ausstellung des Strafbefehls). Die betroffene Person hatte im Zusammenhang mit unerwünschten Werbe E-Mails bei der Absenderin Auskunft darüber verlangt, woher ihre Daten stammen und warum sie Werbenachrichten erhalten habe. Die Auskunft lautete, die Daten stammten von einem externen Anbieter – was sich jedoch als unzutreffend herausstellte.
Die Zürcher Behörden werteten diese falsche Angabe als vorsätzliche Irreführung und damit als strafbare Verletzung der Auskunftspflicht gemäss Art. 60 DSG. Besonders bemerkenswert: Die Strafbarkeit wurde nicht erst bei einer vollständigen Verweigerung der Auskunft angenommen, sondern bereits bei einer inhaltlich unzutreffenden Antwort.
Für die Praxis bedeutet das: Unternehmen müssen bei Auskunftsbegehren nicht nur formell fristgerecht, sondern auch in materieller Hinsicht richtig reagieren. Mutmassungen oder blosse Standardfloskeln ohne überprüfbare Grundlage bergen – wie der Entscheid des Stadtrichteramts der Stadt Zürich sehr gut verdeutlicht – auch strafrechtliche Risiken. Der Strafbefehl des Stadtrichteramts der Stadt Zürich entfaltet damit eine gewisse Signalwirkung und dürfte bei Auskunftsgesuchen zur Schärfung interner Prozesse bei vielen Unternehmen führen.
Fazit und Handlungsempfehlungen
Die beiden Entscheide aus Genf und Zürich liefern wichtige Bausteine zur Auslegung des revidierten Datenschutzgesetzes (insbesondere der Strafbestimmungen des DSG) in der Praxis. Sie machen deutlich, dass der neue Artikel 60 DSG (im Kapitel der Strafbestimmungen) zwar gezielt und zurückhaltend angewendet wird, aber gleichwohl spürbare Auswirkungen auf die Organisationspflichten von Unternehmen hat. Besonders der Zürcher Fall unterstreicht, dass auch scheinbar geringfügige Fehler – etwa unzutreffende oder ungenaue Auskünfte – strafrechtlich relevant sein können, sofern ein diesbezüglicher Vorsatz nachgewiesen wird.
Diese beiden Entscheide schaffen einen differenzierten Vollzugsrahmen: Während die Strafbarkeit mit Blick auf Massnahmen hinsichtlich der Datensicherheit erst bei klaren und gravierenden Pflichtverletzungen einsetzt, wird im Bereich der Betroffenenrechte eine deutlich strengere Linie verfolgt. Wer Auskunft erteilt, muss inhaltlich korrekt, nachvollziehbar und zeitgerecht antworten. Gleichzeitig bildet das Vorsatzerfordernis ein wichtiger Schutzmechanismus vor Überreaktionen und einer Überdehnung der Strafbarkeit – insbesondere bei komplexen oder mehrdeutigen technischen Sachverhalten.
Für Unternehmen bedeutet dies jedoch keineswegs Entwarnung, sondern vielmehr eine klare Handlungsaufforderung: Datenschutz muss auch mit Blick auf mögliche strafrechtliche Folgen als integraler Bestandteil der Corporate Governance verstanden und entsprechend gesteuert werden. Die Zeiten rein formeller oder punktueller Datenschutzbemühungen sind vorbei – verlangt wird ein durchgängiges, risikoorientiertes Datenschutzmanagementsystem (DSMS).
Empfohlene Massnahmen im Überblick:
- Klare interne Zuständigkeiten definieren: Wer im Unternehmen ist für Auskünfte verantwortlich? Wer prüft, ob die erteilten Informationen richtig und vollständig sind? Diese Fragen müssen in der Unternehmensorganisation eindeutig beantwortet sein – idealerweise schriftlich dokumentiert.
- Verlässliche Prozesse etablieren: Es braucht standardisierte, aber inhaltlich belastbare Verfahren zur Bearbeitung von Betroffenenanfragen, insbesondere im Hinblick auf Fristen, Prüfungsschritte und Dokumentation. Tools oder Vorlagen dürfen keine «Black-Boxes» sein.
- Mitarbeitende schulen und sensibilisieren: Datenschutz darf nicht ausschliesslich juristischen Fachpersonen überlassen werden. Gerade Mitarbeitende im Marketing, Kundendienst oder HR müssen wissen, wie mit Auskunftsbegehren oder Datenlöschungen umzugehen ist – und wo ihre Grenzen liegen.
- Technische und organisatorische Massnahmen regelmässig überprüfen: Bestehende Sicherheitsvorkehrungen sollten regelmässig auf Angemessenheit und Aktualität überprüft werden. Externe Audits oder Penetrationstests können hier wertvolle Hinweise liefern.
- Faktenbasiert kommunizieren: Auskünfte gegenüber Betroffenen dürfen nie spekulativ sein. Unternehmen sollten nur das mitteilen, was sich belegen und intern nachvollziehen lässt. Unklare Sachverhalte sind offen zu deklarieren – nicht zu übertünchen.
- Schnittstellen mit externen Dienstleistern kontrollieren: Wer mit Datenhändlern oder technischen Subunternehmern arbeitet, muss sicherstellen, dass diese korrekt dokumentieren und transparent kommunizieren. Auch hier sind die Reputations- und Strafbarkeitsrisiken nicht zu unterschätzen.
Langfristig ist davon auszugehen, dass auch die strafrechtliche Verantwortlichkeit juristischer Personen – etwa nach Art. 102 StGB – in der Datenschutzpraxis an Bedeutung gewinnt. Die Justiz hat mit den besprochenen Entscheiden ein Signal gesendet: Datenschutzverstösse sind keine Bagatellen, sondern bergen unter Umständen auch (straf-)rechtliche Risiken. Unternehmen sind deshalb gut beraten, nicht nur ihre Richtlinien, sondern auch ihre Kultur im Umgang mit personenbezogenen Daten weiterzuentwickeln – transparent, überprüfbar und rechtlich belastbar.