VISCHER ist eine Schweizer Anwaltskanzlei, die sich der rechtlichen Lösung von Geschäfts-, Steuer- und Regulierungsfragen widmet.
SWISS LAW AND TAX
Dienstleistungen
Immaterialgüterrecht
Life Sciences, Pharma, Biotechnologie
Prozessführung und Schiedsgerichtsbarkeit
Lernen Sie unser Team kennen
Unser Know-how, unsere Expertise und unsere Publikationen
Alle anzeigen
Events
Blog
Wir entwickeln nicht nur juristische Lösungen für unsere Klientinnen und Klienten, wir entwickeln auch neue Formate dafür.
VISCHER Legal Innovation Lab
Red Dragon
Karriere
Kategorien: Data & Privacy, Blog
Das revidierte Schweizer Datenschutzgesetz (DSG), das am 1. September 2023 in Kraft treten soll, ist in vielerlei Hinsicht weniger streng und formalistisch als die EU-Datenschutzgrundverordnung (DSGVO). In einer Hinsicht ist es jedoch strenger: Es sieht eine strafrechtliche Haftung von natürlichen Personen vor, während die DSGVO "nur" Geldbussen für Unternehmen verlangt. Es überrascht daher nicht, dass uns derzeit viele fragen, wie sie ihr eigenes Strafbarkeitsrisiko ausschliessen oder zumindest minimieren können.
Zunächst einmal sind die Verstösse gegen das DSG, welche überhaupt strafrechtlich geahndet werden können, eng begrenzt. Es gibt deren sieben:
Im Gegensatz dazu können alle anderen Verstösse gegen das DSG jedenfalls unter dem DSG nicht strafrechtlich geahndet werden (hier nicht behandeln wir Vorgaben etwa nach dem Lauterkeitsrecht). Dazu gehört die Bearbeitung von Personendaten unter Verletzung der Bearbeitungsgrundsätze (z.B. die Verwendung von Personendaten für einen unzulässigen Zweck oder ihre nicht rechtzeitige Löschung) oder die Verletzung der Pflicht, ein Bearbeitungsverzeichnis zu führen oder eine Verletzung der Datensicherheit zu melden.
Die Busse belaufen sich auf bis zu CHF 250'000 CHF. Wir erwarten, dass die Bussen in der Praxis weitaus tiefer ausfallen (unter CHF 50'000) und – anders als unter der DSGVO – die Ausnahme sein werden. Die Geldbussen sind jedoch nach herrschender Ansicht persönlicher Natur und dürfen weder versichert noch vom Arbeitgeber übernommen werden; das macht sie wirksam. Wir sehen ihre Wirkung allerdings primär darin, die Aufmerksamkeit jener zu gewinnen, die sich bisher nicht mit dem Datenschutz beschäftigten wollten oder ihn für irrelevant erachtet haben (und weil die Schweiz europarechtlich verpflichtet war, einen Sanktionsmechanismus einzuführen). Hierzu passt die etwas zufällige und wenig nachvollziehbare Auswahl an Straftatbeständen. Nach unserer Prognose werden die meisten Fälle einerseits das Auskunftsrecht betreffen, andererseits die Informationspflicht im Zusammenhang mit unvollständigen oder falschen Datenschutzerklärungen.
Geldbussen können nur bei einem vorsätzlichen Verstoss gegen die genannten Bestimmungen verhängt werden, wobei dies auch jene Fälle umfasst, in denen die verantwortliche Person wusste (oder angenommen wird, dass sie es wusste), dass es zu einer Verletzung des DSG kommen könnte und dies billigend in Kauf nahm. Es können – wie nachfolgend dargelegt – auch jene erfasst werden, die bewusst den "Kopf in den Sand" stecken und sich nicht um mögliche Verletzungen kümmern um später argumentieren zu können, sie hätten nichts von solchen Verstössen gewusst. Wir gehen davon aus, dass solche Fälle in der Strafverfolgung dereinst durchaus eine Rolle spielen werden. Weiss die Staatsanwaltschaft in einem konkreten Fall nicht, gegen wen im Unternehmen sie ermitteln soll, wird sie zuerst bei der Unternehmensführung ansetzen.
Eine Strafverfolgung erfolgt freilich nur auf Antrag einer betroffenen Person hin, und dies binnen drei Monaten nach Kenntnis von Tat und Täter. Verfolgt werden die Fälle dabei nicht von der Datenschutzbehörde, sondern den kantonalen Strafverfolgungsbehörden. Das ist ein gewichtiger Unterschied zur DSGVO. Der Bussendrohung unterliegen nur "private Personen", was bedeutet, dass nur privatrechtlich agierende Personen erfasst sind, im Gegensatz zu solchen, die als Bundesorgane gelten. Gebüsst werden können aber sowohl interne Mitarbeiter wie externe Berater, sofern sie die Voraussetzungen erfüllen.
Der spannendste Aspekt der neuen Strafnormen ist freilich, dass in Unternehmen nicht nur diejenigen bestraft werden können, welche die Verstösse selbst begehen. Auch ihre Vorgesetzten können strafrechtlich verfolgt werden. Bussen sind gestützt auf Art. 6 des Bundesgesetzes über das Verwaltungsstrafrecht i.V.m. Art. 64 DSG gegenüber zwei Personenkreisen möglich:
Jene, die als formelle oder faktische Organe eines Unternehmens für eine bestimmte Datenbearbeitungsaktivität verantwortlich zeichnen, können folglich unter beiden Titeln strafrechtlich verfolgt werden:
Aus rechtlicher Sicht bedeutet die Delegation einer Verantwortung an eine untergebene Person, dass die verantwortliche Person (gesetzlich) dafür einsteht, dass (i) sie einen Delegierten auswählt, der in der Lage ist, der Verantwortung gerecht zu werden, (ii) der Delegierte ordnungsgemäss instruiert wird und die Mittel erhält, um die Weisungen zu befolgen, und (iii) der Delegierte überwacht wird und Massnahmen ergriffen werden, wenn es Hinweise für die Nichtbefolgung der Vorgaben gibt. Der Geschäftsherr bleibt also für die angemessene Auswahl, Instruktion und Überwachung seiner Beauftragten verantwortlich. Ob solche Delegationen in einem bestimmten Unternehmen zulässig sind, ist eine Frage der Corporate Governance und internen Usanzen. Im Falle des Verwaltungsrats eines Unternehmens behalten dessen Mitglieder jedoch von Gesetzes wegen die nicht übertragbare und nicht entziehbare Oberaufsicht über die mit der Geschäftsführung betrauten Personen und die Einhaltung der Gesetze.
Bei dieser Ausgangslage gibt es zwei Ansätze, wie sich potenziell betroffene Personen in einem Unternehmen vor einer strafrechtlichen Verfolgung schützen können.
In beiden Fällen liegt der Schlüssel in einer passenden Compliance-Organisation und Corporate Governance, die auch entsprechend festgeschrieben sein sollten. Ist die Organisation hinreichend gross, sollte sie im Wesentlichen drei Rollen vorsehen:
Dieses Diagramm, das hier heruntergeladen werden kann, veranschaulicht den Aufbau (das Diagramm ist nur auf Englisch verfügbar):
In kleinen Betrieben wird es nicht möglich sein, eine solche Organisation und Verteilung von Verantwortlichkeiten zu realisieren. So kann es ohne Weiteres sein, dass der Geschäftsführer oder die Geschäftsführerin zugleich auch Datenschutzstelle und für eine Datenbearbeitung verantwortliche Person ist. Das Sanktionsrisiko der betroffenen Einzelperson steigt dadurch zwar theoretisch, aber praktisch werden Unternehmen je kleiner sie je weniger wahrscheinlich mit einer Busse zu rechnen haben. Sie sind schlicht nicht im Fokus, oder die Strafverfolgungsbehörden nicht interessiert. Ohnehin ist davon auszugehen, dass diese kein besonderes Interesse an der Verfolgung von Verletzungen des DSG haben werden.
Die beste Strategie zur Vermeidung von Bussen unter dem DSG ist natürlich die Einhaltung dessen einschlägiger Bestimmungen. Hierzu kann ein Unternehmen sich vieler technischer und organisatorischer Massnahmen bedienen, wie etwa Datenschutzweisungen, Arbeitshilfen, Schulungs- und Sensibilisierungsprogramme, sinnvolle Prozesse und anderes mehr. Unternehmen gehen beispielsweise all ihre Lieferanten durch um etwaige Auftragsbearbeiter zu identifizieren, für welche sie noch keine Auftragsbearbeitungsverträge haben, oder sie machen sich ans Werk, ihre Datenschutzerklärungen nachzuführen, um den neusten Anforderungen des DSG zu entsprechen.
Da jedoch eine vollständige Einhaltung des DSG bekanntermassen nicht möglich ist und somit jede Organisation auch mit Datenschutzverstössen im eigenen Betrieb rechnen muss, gehört es ebenfalls zu einer sorgfältigen Vorbereitung, sich entsprechende Strategien zum Schutz der eigenen Mitarbeiter vor deren Strafe zurechtzulegen.
Eine gute Strategie zur Vermeidung eines Strafbarkeitsrisikos für Datenschutzfachleute und alle anderen Personen in der Second Line of Defense (oder auch jedem anderen Teil der Organisation) besteht darin, keine die Datenschutz-Compliance der Organisation betreffenden Entscheidungen zu treffen. Dies mag nicht in jedem Fall möglich sein, weil die Datenschutzstelle unter Umständen selbst an der Durchführung bestimmter Aufgaben im Bereich der Datenschutz-Compliance beteiligt ist, wie etwa der Erstellung einer Datenschutzerklärung oder an der Beantwortung eines Auskunftsersuchens auf der Basis von Angaben, die andere Stellen im Unternehmen geliefert haben. Dennoch gehört es zur guten (und üblichen) Praxis, dass Datenschutzstellen die schwierigen Entscheidungen dem "Business" bzw. der First Line of Defense überlassen, also dem DAO oder der Geschäftsleitung. Das kann beispielsweise der Einsatz eines Anbieters in einem Land ohne angemessenes Datenschutzniveau sein, was naturgemäss ein Risiko eines problematischen ausländischen Behördenzugriffs mit sich bringen kann. Ein anderes Beispiel mag ein umstrittenes, weil weitreichendes Auskunftsersuchen sein, dem das Unternehmen nicht in vollem Umfang nachkommen will. Die Datenschutzstelle kann hierzu beraten, sie kann auch eine eigene Meinung haben und diese äussern, aber sie sollte andere entscheiden lassen und sich entsprechend verhalten.
Ebenso wichtig ist es für eine Datenschutzfachperson in einem Unternehmen, zu ihrem eigenen Schutz sicherzustellen, dass sie über keine Entscheidungsbefugnis in Bezug auf Datenbearbeitungen im Unternehmen hat. Zwar ist die Datenschutzstelle aufgrund ihrer Funktion höchstwahrscheinlich rechtlich dazu verpflichtet, von ihr festgestellte Verstösse an die Geschäftsleitung und eventuell sogar an den Verwaltungsrat zu melden, doch sollte sie weder das Recht haben, verbindliche Anweisungen in Bezug auf die fragliche Datenbearbeitungsaktivität zu erteilen, noch sollte ihr das Recht eingeräumt werden im Falle eines Verstosses einzugreifen. Der Datenschutzstelle sollten Datenbearbeitungen auch nicht zur Genehmigung vorgelegt werden müssen. Solche Vorgänge dürften zur Annahme von Entscheidungsbefugnissen gewertet werden und – zusammen mit der Pflicht, über die Einhaltung des DSG zu wachsen – zu einer Strafbarkeit führen, sollte nicht konformes Verhalten nicht unterbunden werden, sobald die Datenschutzstelle davon erfährt. Auch hier kann die Datenschutzstelle jene Stellen im Betrieb warnen, die nach ihrer Ansicht gegen das Gesetz verstossen, und sie darin beraten, was sie gemäss Gesetz zu tun hätten, aber die Entscheidung darüber sollte sie ihnen überlassen.
In der Praxis kann dies im Rahmen einer internen Datenschutzweisung oder im Pflichtenheft der Datenschutzstelle entsprechend festgehalten werden. Nach unserer Erfahrung wird dieser Aspekt bei der Ausarbeitung solcher Weisungen jedoch oft nicht berücksichtigt, oder die Datenschutzstellen legen es selbst darauf an, über Datenbearbeitungen zu entscheiden oder diesbezüglich Anweisungen zu erteilen. Die Datenschutzstelle sollte also nicht nur entsprechende Kompetenzen nicht haben, sie sollte sie sich auch nicht anmassen oder faktisch (mit)entscheiden. Eine blosse Beratung oder Berichterstattung an den DAO und – falls dies keine Früchte trägt – an die Geschäftsleitung ist in der Regel ausreichend und steht auch im Einklang damit, dass eine Datenschutzstelle in der Second Line of Defense ist.
Das Management eines Unternehmens muss sich auf andere Weise vor strafrechtlicher Verfolgung schützen. Hier ist die Überwachung der Schlüssel: Verwaltungsräte und Mitglieder der Geschäftsleitung glauben mitunter, dass es genügt, dass sie lediglich den ihnen untergebenen Stellen zum Beispiel mittels einer entsprechenden Weisung die nötigen Vorgaben geben müssen für eine hinreichende Compliance zu sorgen, um selbst nicht mehr dafür verantwortlich zu sein. Solche Vorgaben sind zwar wichtig, aber sie genügen nicht. In der Praxis sehen wir regelmässig die beiden folgenden Fehler:
Dies kann natürlich zu einer Situation führen, in welcher ein Verstoss innerhalb der Organisation zwischen Stuhl und Bank fällt und es daher nicht mehr möglich ist, die Verantwortung dafür einer bestimmten Person zuzuordnen – also weder den Leitungsorganen noch einer anderen Person. In solchen Fällen darf die Strafverfolgung unter dem revidierten DSG in jenen Fällen, in denen die Strafe – wie wohl meist – weniger als CHF 50'000 betragen wird, diese gegen das Unternehmen direkt ausfällen (Art. 64 Abs. 2 DSG).
Anfang 2023 hat das VISCHER Data & Privacy-Team eine Methode entwickelt, um den Reifegrad der Datenschutz-Compliance einer Organisation sowohl unter der DSGVO als auch dem revidierten DSG zu ermitteln. Der "VISCHER Privacy Score" (VPS) wurde zunächst als Excel-Tool implementiert und später um eine Online-Version erweitert, die heute unter https://privacyscore.ch in deutscher und englischer Sprache kostenlos verfügbar ist. Das Ergebnis ist ein PDF-Bericht, der einerseits die Reife der Datenschutz-Compliance-Massnahmen einer Organisation mitsamt den Strafbarkeits- und Reputationsrisiken ausweist und andererseits auch konkrete Schritte zur Behebung von Lücken:
Während "VPS" ursprünglich für Datenschutzbeauftragte, Datenschutzstellen und Berater entwickelt worden ist, um Compliance-Lücken zu identifizieren und zu schliessen, wird das Werkzeug inzwischen auch für das unternehmensinterne Compliance-Reporting an die Geschäftsleitungen und Verwaltungsräte benutzt. Es bietet neben einem Top-Down-Blick auf einzelne Problembereiche auch einen Gesamteindruck punkto Reifegrad und Sanktionsrisiken sowohl das DSG wie auch nach der DSGVO. Inzwischen nutzen es verschiedene Unternehmen für ihre interne Berichterstattung im Bereich der Datenschutz-Compliance. Im Excel kann auch der Stand der Korrekturmassnahmen dokumentiert werden.
Die Schattenseite eines solchen Reportings ist der Umstand, dass eine negative Beurteilung die Leitungsorgane eines Unternehmens natürlich unter Druck setzt, gegen systematische oder systemische Defizite in der Datenschutz-Compliance tatsächlich etwas zu unternehmen. Allerdings müssen Leitungsorgane so oder so ein entsprechendes Reporting installieren, um sich nicht dem Vorwurf der Unterlassung auszusetzen. Denn die Garantenstellung, die dazu führt, haben die einzelnen Leitungsorgane jedenfalls beim Verwaltungsrat bereits qua gesetzlicher Regelung: Für die Oberaufsicht über die Einhaltung der Gesetze sind zwingend sie und nur sie verantwortlich. Diese Verantwortung können sie nicht wegdelegieren. Vor diesem Hintergrund ist es nach unserer Erfahrung sinnvoller, dass wenn zumindest ein gewisser Mechanismus zur Top-Down-Überwachung besteht als das Thema zu ignorieren und darauf zu vertrauen, dass die untergebenen Stellen sich gehörig um die Datenschutz-Compliance kümmern.
Lassen Sie es uns wissen, falls Sie Unterstützung in diesen Fragen benötigen (beispielsweise bei der Abfassung entsprechender Weisungen) oder eine Lizenz von VPS. Weitere Informationen zum VPS und dem Excel für die Berichterstattung an das Management finden Sie unter https://privacyscore.ch.
Autor: David Rosenthal
Team Head
Zahlreiche Schweizer Unternehmen, aber auch öffentliche Einrichtungen setzen, auf die Cloud-Dienste...
Welcher Erlass gilt wo und wie? Was ist dabei zu tun? Sieben kurze Schulungsvideos In...
In vielen Banken, Versicherungen und anderen Schweizer Finanzinstituten laufen derzeit Projekte zum...