Zu Content springen
Deutsch – Schweiz
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Welche «Sanktionen» gibt es unter dem nDSG?

Zunächst ist festzuhalten, dass Bussgelder nach dem alten Datenschutzgesetz (aDSG) für Schweizer Unternehmen bei Dateschutzverstössen nur selten auferlegt wurden. Bei einer Höchstgrenze von CHF 10.000 für viele geahndete Fälle gab es kaum Anreize, Datenschutzverstösse zu verhindern.

Mit dem nDSG, unter dem mit bis zu CHF 250.000 gebüsst werden kann, ändert sich die Lage erheblich und kann insbesondere kleine und mittlere Unternehmen empfindlich treffen. Diese Bussgeld-Verschärfung, die in den Artikel 60 bis 66 nDSG normiert wird, sollten Schweizer Unternehmen zum Anlass nehmen, ihren Datenschutz ernsthaft, vollständig und gesetzeskonform umzusetzen bzw. anzupassen.

Strafbestimmungen bei Verletzungen von Informations- und Auskunftspflichten werden primär in den Artikeln 60 bis 63 nDSG behandelt.

Eine Strafbarkeit für fahrlässige Verletzungen unter dem nDSG ist indes nicht vorgesehen, jedoch kann eine vorsätzliche Datenschutzverletzung bereits dann angenommen werden, wenn sich herausstellt, dass die Verletzung bewusst in Kauf genommen wurde.

In Artikel 60 (Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten) nDSG heisst es:

«1 Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft:

  1. die ihre Pflichten nach den Artikeln 1921 und 25–27 verletzen, indem sie vorsätzlich eine falsche oder unvollständige Auskunft erteilen;
  2. die es vorsätzlich unterlassen:
    1. die betroffene Person nach den Artikeln 19 Absatz 1 und 21 Absatz 1 zu informieren, oder
    2. ihr die Angaben nach Artikel 19 Absatz 2 zu liefern.

2 Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die unter Verstoss gegen Artikel 49 Absatz 3 dem EDÖB im Rahmen einer Untersuchung vorsätzlich falsche Auskünfte erteilen oder vorsätzlich die Mitwirkung verweigern. »

Zur leichteren Zuordnung und Orientierung hier die «Titel» der in Artikel 60 Absatz 1 nDSG referenzierten bzw. verbundenen nDSG-Artikel:

Artikel 19 Informationspflicht bei der Beschaffung von Personendaten nDSG

Artikel 21 Informationspflicht bei einer automatisierten Einzelentscheidung nDSG

Artikel 25 Auskunftsrecht nDSG

Artikel 26 Einschränkungen des Auskunftsrechts nDSG

Artikel 27 Einschränkungen des Auskunftsrechts für Medien nDSG

In Artikel 61 (Verletzung von Sorgfaltspflichten) nDSG werden drei Konstellationen vorsätzlicher Sorgfaltspflichtverletzungen mit einer Busse geahndet:

«Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft, die vorsätzlich:

  1. unter Verstoss gegen Artikel 16 [Grundsätze] Absätze 1 und 2 und ohne dass die Voraussetzungen nach Artikel 17 [Ausnahmen] erfüllt sind, Personendaten ins Ausland bekanntgeben;
  2. die Datenbearbeitung einem Auftragsbearbeiter übergeben, ohne dass die Voraussetzungen nach Artikel 9 [Bearbeitung durch Auftragsbearbeiter] Absätze 1 und 2 erfüllt sind;
  3. die Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Artikel 8 [Datensicherheit] Absatz 3 erlassen hat, nicht einhalten.»

Ebenfalls gleich hoch geahndet wird, wer seine berufliche Schweigepflicht verletzt und dabei vorsätzlich geheime Personendaten offenbart, wie es Artikel 62 (Verletzung der beruflichen Schweigepflicht) nDSG vorgibt:

« 1 Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250 000 Franken bestraft.

2 Gleich wird bestraft, wer vorsätzlich geheime Personendaten offenbart, von denen sie oder er bei der Tätigkeit für eine geheimhaltungspflichtige Person oder während der Ausbildung bei dieser Kenntnis erlangt hat.

3 Das Offenbaren geheimer Personendaten ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.»

Die Missachtung von Verfügungen des EDÖB wird über Artikel 63 (Missachten von Verfügungen) nDSG geahndet:

Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250 000 Franken bestraft.

Grundlage für die Berechnung der Bussgeld-Höhe stellt Artikel 106 Absatz 3 Strafgesetzbuch (StGB) dar:

«[...] 3 Das Gericht bemisst Busse und Ersatzfreiheitsstrafe je nach den Verhältnissen des Täters so, dass dieser die Strafe erleidet, die seinem Verschulden angemessen ist. [...]»

Für Datenschutzverletzungen nach dem nDSG haftet nicht das Unternehmen, sondern die für die Verletzung verantwortliche natürliche Person innerhalb des Unternehmens. Die Botschaft zum nDSG stellt hierzu klar, dass nicht auf den «Handlungsverantwortlichen» sondern auf den «Organisationsverantwortlichen» abgestellt wird.

Gemäss Artikel 64 (Widerhandlungen in Geschäftsbetrieben) Absatz 2 nDSG können allerdings ausnahmsweise Unternehmen auch direkt in die Pflicht genommen werden:

«1 Für Widerhandlungen in Geschäftsbetrieben sind die Artikel 6 und 7 des Bundesgesetzes vom 22. März 197422 über das Verwaltungsstrafrecht (VStrR) anwendbar.

2 Fällt eine Busse von höchstens 50 000 Franken in Betracht und würde die Ermittlung der nach Artikel 6 VStrR strafbaren Personen Untersuchungsmassnahmen bedingen, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären, so kann die Behörde von einer Verfolgung dieser Personen absehen und an ihrer Stelle den Geschäftsbetrieb (Art. 7 VStrR) zur Bezahlung der Busse verurteilen. »

Wesentliche QuelleBotschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (17.059 v. 15. September 2017).