Das neue Datenschutzgesetz (nDSG) sorgt für auffällige Änderungen. Mit neuen Strafbestimmungen in den Art. 60-66 nDSG wurden Strafbestimmungen verschärft. Was Datenverarbeiter:innen beachten und wissen müssen, wird in diesem Beitrag erläutert.
Bussgelder bei Verstössen gegen Vorgaben des Datenschutzgesetzes sind kein neues Konzept. In der Vergangenheit wurden den Unternehmen Bussgelder bei Verstössen jedoch selten auferlegt. In Kombination mit der Tatsache, dass die Höchstgrenze für viele Verstösse bei CHF 10‘000.00 lag, gab es wenig Anreiz solche Verstösse zu verhindern. Diese Zeiten dürften jedoch nun vorbei sein. Verstösse für die früher maximal CHF 10‘000.00 fällig wurden, können mit dem neuen Datenschutzgesetz mit bis zu CHF 250‘000.00 bestraft werden. Diese in den Art. 60-66 nDSG normierten, verschärften Bussgelder gilt es für Unternehmen zu vermeiden.
Welcher Verstoss wird wie hoch bestraft?
Die Art. 60-63 nDSG befassen sich primär mit Strafbestimmungen bei Verletzungen von Informations- und Auskunftspflichten. Auch eine Strafbarkeit für fahrlässige Verletzungen des nDSG ist nicht vorgesehen. Allerdings kann von einer vorsätzlichen Verletzung bereits dann ausgegangen werden, sobald die Verletzung in Kauf genommen wurde.
Gemäss Art. 60 nDSG werden mit einer bis zu CHF 250’000.00 Busse bestraft, wer Informationspflichten gemäss Art. 19 und 21 nDSG, Auskunftspflichten gemäss Art. 25-27 nDSG sowie Mitwirkungspflichten im Rahmen von Untersuchungen des EDÖB gemäss Art. 49 Abs. 3 nDSG verletzt.
Art. 61 nDSG ahndet sodann drei Konstellationen vorsätzlicher Sorgfaltspflichtverletzungen mit einer Busse bis zu CHF 250´000.00. Zum einen wird in Art. 61 lit. a nDSG die Nichtbeachtung der Voraussetzungen der Art. 16 f. nDSG beim Datenexport ins Ausland unter Strafe gestellt. Diese Voraussetzungen sind erfüllt, soweit die Feststellung eines angemessenen Schutzniveaus im Zielland durch den Bundesrat gem. Art. 16 Abs. 1 nDSG erfolgt oder der Datenschutz auch anderweitig sichergestellt wurde gem. Art. 16 Abs. 2 nDSG etwa durch SCCs, CoCs und BCRs. Abseits dieser Voraussetzungen könnte auch ein Ausnahmegrund nach Art. 17 nDSG vorliegen. Ab Inkrafttreten des nDSG dürfte damit die Vornahme eines Transfer Impact Assessments, auch Datenschutz-Folgeabschätzung genannt, zwingend notwendig werden. Aktualisierte Verfahrensverzeichnisse und wasserdichte Datenschutzerklärungen werden ebenfalls unerlässlich.
Überdies kann gemäss Art. 61 lit. b nDSG ein Bussgeld von bis zu CHF 250´000.00 auferlegt werden, wenn einem Auftragsverarbeiter entgegen der Bestimmungen aus Art. 9 nDSG Personendaten übermittelt werden. Art. 9 nDSG setzt voraus, dass der Auftragsverarbeiter nach Art. 9 Abs. 1 lit. a nDSG die Daten nur so bearbeitet, wie es der Verantwortliche selbst dürfte und gem. Art. 9 Abs. 1 lit. b nDSG keine gesetzliche oder vertragliche Geheimhaltungspflicht durch die Übertragung verletzt werden würde. Nach Art. 9 Abs. 2 nDSG muss der Übermittelnde ausserdem sicherstellen, dass der Auftragsbearbeiter in der Lage ist, Datensicherheit zu gewährleisten. Bei fehlerhafter Auswahl, Instruktion oder Kontrolle des Auftragsverarbeiters droht dem Verantwortlichen eine Haftung aus Art. 55 OR analog.
Ferner bedarf der Auftragsverarbeiter gem. Art. 9 Abs. 3 nDSG der Genehmigung des Verantwortlichen, um die Bearbeitung einem Dritten überlassen. Eine Regelung dieser Anforderungen in Datenschutzerklärungen empfiehlt sich.
Eine Sorgfaltspflicht hinsichtlich der Datensicherheit besteht für den Verantwortlichen ebenfalls. Ein genauer Sorgfaltsmasstab wird sich aus den bundesrätlichen Bestimmungen zur Datensicherheit noch ergeben gem. Art. 61 lit. c i.V.m. Art. 8 Abs. 3 nDSG.
Ebenfalls gleich hoch geahndet wird, wer seine berufliche Schweigepflicht verletzt und dabei vorsätzlich geheime Personendaten offenbart. Auch die Missachtung von Verfügungen des EDÖBs wird mit dem neuen Datenschutzgesetz gem. Art. 63 nDSG mit bis zu CHF 250‘000.00 geahndet, falls das Bussgeld in der Verfügung explizit angedroht wurde.
Unverändert kann auch weiterhin eine Verletzung von Informations-, Auskunfts- oder Mitwirkungspflichten geltend gemacht werden gem. Art. 60 nDSG, die genau wie die Verletzung der beruflichen Schweigepflicht gem. Art. 62 nDSG geahndet werden. Einzig die Obergrenze des Bussgeldes haben sich geändert. Auch hier drohen bis zu CHF 250‘000.00 Bussgeld. Sollte kein Auskunftsverweigerungsrecht gem. Art. 49 nDSG vorliegen, droht ein gleich hohes Bussgeld bei Verweigerung der Mitwirkung bei einer Untersuchung des EDÖB gem. Art. 62 Abs. 2 nDSG.
Grundlage für die Berechnung der Höhe des Bussgeldes stellt Art. 106 Abs. 3 StGB dar. Verschulden und die wirtschaftliche Leistungsfähigkeit werden bei der Berechnung berücksichtigt. Unternehmen, die sich um Datenschutz-Compliance bemühen, haben somit geringere Bussgelder zu befürchten. Eine unternehmensweite Datenschutzstrategie mit lückenloser Protokollierung ist förderlich.
Wer haftet für Verletzungen des Datenschutzgesetzes?
Wie bereits im bestehenden DSG, aber im Unterschied zur DSGVO, haftet nicht das Unternehmen für die Verletzung des nDSG, sondern die für die Verletzung verantwortliche natürliche Person innerhalb des Unternehmens. Die Botschaft zum neuen DSG stellt jedoch klar, dass hierbei nicht auf den Handlungsverantwortlichen abgestellt wird, sondern auf den Organisationsverantwortlichen. Die Haftung von Leitungspersonen wird mit dem Verweis auf Art. 6 VStrR in Art. 64 nDSG verdeutlicht. Nur so kann sichergestellt werden, dass Personen in Führungspositionen für die Verletzungen haften und nicht der frisch eingestellte Angestellte.
Ausnahmsweise können gemäss Art. 64 abs. 2 nDSG Unternehmen auch direkt in die Pflicht genommen werden. falls eine Busse von höchstens CHF 50’000.00 in Betracht fällt und die Ermittlung der strafbaren Person gemäss Art. 6 VStrR unverhältnismässig erscheint.
Bei wem liegt die Zuständigkeit für die Strafverfolgung?
Eine besondere Zuständigkeit für Verletzungen wird im nDSG nicht statuiert. Es sind die allgemeinen Strafverfolgungsbehörden der Kantone oder des Bundes zuständig. Gemäss Art. 65 Abs. 2 nDSG verfügt der EDÖB lediglich über ein Anzeigerecht. Die Möglichkeit als Privatklägerin im Strafverfahren aufzutreten, steht dem EDÖB jedoch offen. Das nDSG wurde eng an das StGB und die StPO angebunden. Die differenzierten Beschuldigtenrechte der StPO können somit von dem Beschuldigten wahrgenommen werden. Dem Staat steht dadurch wiederum die Möglichkeit offen, die durch die Verletzung des nDSG erzielten Vermögenswerte zu beschlagnahmen gem. Art. 70 StGB. Die Strafverfolgung unterliegt in diesen Fällen einer besonderen Verjährung gem. Art. 66 nDSG.
Wie sind die Anforderungen des nDSG mit denen der DSGVO zu vergleichen?
Sowohl das nDSG als auch die DSGVO drohen bei Nichteinhaltung der Anforderungen mit beachtlichen strafrechtlichen Sanktionen. Die grössten Unterschiede der Strafbestimmungen in dem nDSG zur DSGVO besteht in der Höhe der Bussen sowie darin, wer bei Verletzungen nach Art. 60-63 nDSG geahndet wird und welche Behörde die Verletzungen strafrechtlich verfolgt.
Quellen
BBl 2017 6941 Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz