Close
Wonach suchen Sie?
Site search
18. Juni 2023 Wie Strafbarkeit unter dem neuen Datenschutzgesetz vermieden wird
  • Keine Entscheidbefugnis für die Datenschutzstelle
  • Regelmässige Berichte an das Management Pflicht
  • Strafbarkeit auch durch Unterlassen möglich

Das revidierte Schweizer Datenschutzgesetz (DSG), das am 1. September 2023 in Kraft treten soll, ist in vielerlei Hinsicht weniger streng und formalistisch als die EU-Datenschutzgrundverordnung (DSGVO). In einer Hinsicht ist es jedoch strenger: Es sieht eine strafrechtliche Haftung von natürlichen Personen vor, während die DSGVO "nur" Geldbussen für Unternehmen verlangt. Es überrascht daher nicht, dass uns derzeit viele fragen, wie sie ihr eigenes Strafbarkeitsrisiko ausschliessen oder zumindest minimieren können.

Verstösse, die mit einem Busse geahndet werden können

Zunächst einmal sind die Verstösse gegen das DSG, welche überhaupt strafrechtlich geahndet werden können, eng begrenzt. Es gibt deren sieben:

  • Bekanntgeben von Personendaten an einen Empfänger in einem Land ohne angemessenes Datenschutzniveau (z.B. in den USA) unter Verletzung der Vorgaben des DSG (z.B. ohne angemessene Garantien);
  • Nutzen eines Auftragsbearbeiters (z.B. eines Cloud-Anbieters), ohne dass ein ordnungsgemässer Auftragsbearbeitungsvertrag besteht, wobei die Anforderungen an einen solchen viel tiefer sein werden als unter der DSGVO;
  • Fehlen der Umsetzung der vom Bundesrat definierten Mindestanforderungen an die Datensicherheit (hier wird allerdings vertreten, dass es diese Mindestanforderungen noch gar nicht in rechtsgenüglicher Weise gibt; andere sind der Ansicht, dass sie den Einsatz angemessener, aktueller technischer und organisatorischer Sicherheitsmassnahmen, Protokollierungen und Dokumentationen erfordern);
  • Den Personen, von denen Personendaten beschafft werden, keine Datenschutzerklärung mitteilen, welche die vom DSG geforderten Mindestangaben enthält, oder eine Datenschutzerklärung mit falschen oder unvollständigen Informationen verwenden;
  • Den Personen, die ein Auskunftsgesuch stellen (auch im Zusammenhang mit automatisierten Einzelentscheidungen), eine falsche oder unvollständige Antwort zu erteilen;
  • Bekanntgeben geheimer Personendaten, die bei der Ausübung eines Berufs, der die Kenntnis solcher Daten erfordert, erlangt wurden, an unbefugte Dritte.
  • Nichtbefolgen einer Verfügung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder eines Gerichts, sowie falsche Auskünfte an den EDÖB während einer Untersuchung oder Verweigerung der Mitwirkung.

Im Gegensatz dazu können alle anderen Verstösse gegen das DSG jedenfalls unter dem DSG nicht strafrechtlich geahndet werden (hier nicht behandeln wir Vorgaben etwa nach dem Lauterkeitsrecht). Dazu gehört die Bearbeitung von Personendaten unter Verletzung der Bearbeitungsgrundsätze (z.B. die Verwendung von Personendaten für einen unzulässigen Zweck oder ihre nicht rechtzeitige Löschung) oder die Verletzung der Pflicht, ein Bearbeitungsverzeichnis zu führen oder eine Verletzung der Datensicherheit zu melden.

Geldbussen bis zu CHF 250'000

Die Busse belaufen sich auf bis zu CHF 250'000 CHF. Wir erwarten, dass die Bussen in der Praxis weitaus tiefer ausfallen (unter CHF 50'000) und – anders als unter der DSGVO – die Ausnahme sein werden. Die Geldbussen sind jedoch nach herrschender Ansicht persönlicher Natur und dürfen weder versichert noch vom Arbeitgeber übernommen werden; das macht sie wirksam. Wir sehen ihre Wirkung allerdings primär darin, die Aufmerksamkeit jener zu gewinnen, die sich bisher nicht mit dem Datenschutz beschäftigten wollten oder ihn für irrelevant erachtet haben (und weil die Schweiz europarechtlich verpflichtet war, einen Sanktionsmechanismus einzuführen). Hierzu passt die etwas zufällige und wenig nachvollziehbare Auswahl an Straftatbeständen. Nach unserer Prognose werden die meisten Fälle einerseits das Auskunftsrecht betreffen, andererseits die Informationspflicht im Zusammenhang mit unvollständigen oder falschen Datenschutzerklärungen.

Geldbussen können nur bei einem vorsätzlichen Verstoss gegen die genannten Bestimmungen verhängt werden, wobei dies auch jene Fälle umfasst, in denen die verantwortliche Person wusste (oder angenommen wird, dass sie es wusste), dass es zu einer Verletzung des DSG kommen könnte und dies billigend in Kauf nahm. Es können – wie nachfolgend dargelegt – auch jene erfasst werden, die bewusst den "Kopf in den Sand" stecken und sich nicht um mögliche Verletzungen kümmern um später argumentieren zu können, sie hätten nichts von solchen Verstössen gewusst. Wir gehen davon aus, dass solche Fälle in der Strafverfolgung dereinst durchaus eine Rolle spielen werden. Weiss die Staatsanwaltschaft in einem konkreten Fall nicht, gegen wen im Unternehmen sie ermitteln soll, wird sie zuerst bei der Unternehmensführung ansetzen.

Eine Strafverfolgung erfolgt freilich nur auf Antrag einer betroffenen Person hin, und dies binnen drei Monaten nach Kenntnis von Tat und Täter. Verfolgt werden die Fälle dabei nicht von der Datenschutzbehörde, sondern den kantonalen Strafverfolgungsbehörden. Das ist ein gewichtiger Unterschied zur DSGVO. Der Bussendrohung unterliegen nur "private Personen", was bedeutet, dass nur privatrechtlich agierende Personen erfasst sind, im Gegensatz zu solchen, die als Bundesorgane gelten. Gebüsst werden können aber sowohl interne Mitarbeiter wie externe Berater, sofern sie die Voraussetzungen erfüllen.

Handelnde Täter und das Management

Der spannendste Aspekt der neuen Strafnormen ist freilich, dass in Unternehmen nicht nur diejenigen bestraft werden können, welche die Verstösse selbst begehen. Auch ihre Vorgesetzten können strafrechtlich verfolgt werden. Bussen sind gestützt auf Art. 6 des Bundesgesetzes über das Verwaltungsstrafrecht i.V.m. Art. 64 DSG gegenüber zwei Personenkreisen möglich:

  • Gegen jene, die den Verstoss tatsächlich verübt haben, weil sie in Bezug auf eine bestimmte Aktivität im Unternehmen federführend waren und beschlossen haben, die für diese Aktivität geltenden Pflichten unter dem DSG zu verletzen. Gemeint ist also beispielsweise jene Person, die beschliesst, (i) eine falsche oder unvollständige Antwort auf ein Auskunftsersuchen einer betroffenen Person zu erteilen, (ii) einen Auftragsbearbeiter ohne ordnungsgemässe Auftragsbearbeitungsvereinbarung zu beschäftigen, (iii) Personendaten unter Verletzung der Vorgaben des DSG ins Ausland bekanntgibt oder (iv) ein Berufsgeheimnis einem unberechtigten Dritten weiterzugeben. Dabei ist es unerheblich, ob der Verstoss von der Person selbst begangen wurde oder sie lediglich die Anweisung dazu gab. Wer hingegen lediglich Anweisungen befolgt oder sonst in (nur) untergeordneter Funktion zum Verstoss beiträgt, kann nach dem revidierten DSG nicht bestraft werden.
  • Gegen jene, die rechtlich verpflichtet sind, die Verletzung zu verhindern und über die dazu erforderlichen Befugnisse verfügen, es aber unterlassen dies zu tun oder die Folgen eines Verstosses zu mildern. Die rechtliche Verpflichtung muss sich entweder direkt auf die Verhinderung des konkreten Verstosses beziehen (z.B. "Verantwortung für die Einhaltung des Datenschutzrechts") oder indirekt durch Verweis auf eine Verpflichtung zur Wahrung der Interessen des Unternehmens. Potenzielle Täter sind, abhängig jeweils von der Delegationsordnung, der Verwaltungsrat, die Geschäftsführung und jedes andere formelle oder faktische Organ, das für die Einhaltung des DSG verantwortlich ist und die Befugnis hat, verbindliche Weisungen zur Verhinderung des Verstosses zu erteilen (z.B. als Compliance-Verantwortlicher, der nicht nur überwacht und berichtet, sondern auch Vorgaben machen oder zumindest intervenieren kann oder dessen Genehmigung erforderlich ist). Dabei ist es unerheblich, ob diesen Personen die Entscheidbefugnis formell zugewiesen worden ist (z.B. durch ein Organisationsreglement) oder ob sie sie faktisch haben oder beanspruchen. Sie alle können aufgrund ihrer sog. Garantenstellung im Falle einer Verletzung bei Untätigkeit mit einer Geldbusse belegt werden, weil sie z.B. keine angemessenen Weisungen zur Verhinderung des Verstosses erteilt hatten, die Verantwortlichkeiten zur Einhaltung der Vorgaben nicht angemessen zugewiesen oder keine Berichte über die Einhaltung der Vorschriften eingeholt oder darauf nicht angemessen reagiert haben.

Jene, die als formelle oder faktische Organe eines Unternehmens für eine bestimmte Datenbearbeitungsaktivität verantwortlich zeichnen, können folglich unter beiden Titeln strafrechtlich verfolgt werden:

  • Weil sie eine (vorsätzlich) rechtswidrige Entscheidung in Bezug auf eine bestimmte Bearbeitung von Personendaten bzw. Pflicht des DSG getroffen haben und damit selbst oder über eine entsprechende Anweisung an Untergebene das DSG in relevanter Weise verletzt haben (z.B. durch die vorsätzliche Inanspruchnahme eines Auftragsbearbeiters ohne den vorgeschriebenen Vertrag oder durch die vorsätzliche Beschaffung von Personendaten ohne ordnungsgemässen Datenschutzhinweis);
  • Weil sie (vorsätzlich) die drei Sorgfaltspflichten zur angemessenen Auswahl, Instruktion und Überwachung der für sie handelnden Personen verletzt haben und damit mindestens in Kauf genommen haben, dass die Bearbeitung von Personendaten durch die ihnen unterstellten Personen zu einer strafbewehrten Verletzung des DSG führt.

Aus rechtlicher Sicht bedeutet die Delegation einer Verantwortung an eine untergebene Person, dass die verantwortliche Person (gesetzlich) dafür einsteht, dass (i) sie einen Delegierten auswählt, der in der Lage ist, der Verantwortung gerecht zu werden, (ii) der Delegierte ordnungsgemäss instruiert wird und die Mittel erhält, um die Weisungen zu befolgen, und (iii) der Delegierte überwacht wird und Massnahmen ergriffen werden, wenn es Hinweise für die Nichtbefolgung der Vorgaben gibt. Der Geschäftsherr bleibt also für die angemessene Auswahl, Instruktion und Überwachung seiner Beauftragten verantwortlich. Ob solche Delegationen in einem bestimmten Unternehmen zulässig sind, ist eine Frage der Corporate Governance und internen Usanzen. Im Falle des Verwaltungsrats eines Unternehmens behalten dessen Mitglieder jedoch von Gesetzes wegen die nicht übertragbare und nicht entziehbare Oberaufsicht über die mit der Geschäftsführung betrauten Personen und die Einhaltung der Gesetze.

Strategien zum Schutz vor Strafe

Bei dieser Ausgangslage gibt es zwei Ansätze, wie sich potenziell betroffene Personen in einem Unternehmen vor einer strafrechtlichen Verfolgung schützen können.

In beiden Fällen liegt der Schlüssel in einer passenden Compliance-Organisation und Corporate Governance, die auch entsprechend festgeschrieben sein sollten. Ist die Organisation hinreichend gross, sollte sie im Wesentlichen drei Rollen vorsehen:

  • Geschäftsleitung: Sie ist verantwortlich für die Implementierung einer angemessenen Compliance-Organisation und -Governance sowie für deren Überwachung. Die Geschäftsleitung trifft auch die Risikoentscheidungen in Bezug jene Datenbearbeitungsaktivitäten und damit zusammenhängenden Compliance-Massnahmen, welche die ihr untergebenen Stellen in der First Line of Defense nicht treffen wollen oder sollen.
  • Verantwortliche für die Datenverarbeitung (Data Activity Owner, DAO): Sie sorgen mit entsprechenden Entscheiden für die Einhaltung des Datenschutzes bezüglich konkreter Bearbeitungen, d.h. sie befinden für das Unternehmen über den Zweck und die Mittel einer Datenbearbeitungsaktivität und über die damit verbundenen Compliance-Massnahmen wie etwa den Abschluss einer Auftragsdatenbearbeitungsvereinbarung. Sie sind in der Regel die internen "Inhaber" der betreffenden Aktivitäten.
  • Datenschutzstelle (Data Protection Compliance Officer, DPCO): Sie ist für die Beratung, die Unterstützung und die Überwachung der DAO hinsichtlich deren Befolgung des Datenschutzes zuständig und meldet etwaige Missstände und Probleme nötigenfalls der Geschäftsleitung. Sie ist Teil der Second Line of Defense. Hier wird die Stelle bewusst nicht als "Datenschutzbeauftragte" bezeichnet, um sie hinreichend klar gegenüber dem Datenschutzbeauftragten im Sinne von Art. 37 ff. DSGVO abzugrenzen (welche Figur auch das DSG kennt).

Dieses Diagramm, das hier heruntergeladen werden kann, veranschaulicht den Aufbau (das Diagramm ist nur auf Englisch verfügbar):

In kleinen Betrieben wird es nicht möglich sein, eine solche Organisation und Verteilung von Verantwortlichkeiten zu realisieren. So kann es ohne Weiteres sein, dass der Geschäftsführer oder die Geschäftsführerin zugleich auch Datenschutzstelle und für eine Datenbearbeitung verantwortliche Person ist. Das Sanktionsrisiko der betroffenen Einzelperson steigt dadurch zwar theoretisch, aber praktisch werden Unternehmen je kleiner sie je weniger wahrscheinlich mit einer Busse zu rechnen haben. Sie sind schlicht nicht im Fokus, oder die Strafverfolgungsbehörden nicht interessiert. Ohnehin ist davon auszugehen, dass diese kein besonderes Interesse an der Verfolgung von Verletzungen des DSG haben werden.

Die beste Strategie zur Vermeidung von Bussen unter dem DSG ist natürlich die Einhaltung dessen einschlägiger Bestimmungen. Hierzu kann ein Unternehmen sich vieler technischer und organisatorischer Massnahmen bedienen, wie etwa Datenschutzweisungen, Arbeitshilfen, Schulungs- und Sensibilisierungsprogramme, sinnvolle Prozesse und anderes mehr. Unternehmen gehen beispielsweise all ihre Lieferanten durch um etwaige Auftragsbearbeiter zu identifizieren, für welche sie noch keine Auftragsbearbeitungsverträge haben, oder sie machen sich ans Werk, ihre Datenschutzerklärungen nachzuführen, um den neusten Anforderungen des DSG zu entsprechen.

Da jedoch eine vollständige Einhaltung des DSG bekanntermassen nicht möglich ist und somit jede Organisation auch mit Datenschutzverstössen im eigenen Betrieb rechnen muss, gehört es ebenfalls zu einer sorgfältigen Vorbereitung, sich entsprechende Strategien zum Schutz der eigenen Mitarbeiter vor deren Strafe zurechtzulegen.

Strategie 1: Fehlende Entscheidungsbefugnis

Eine gute Strategie zur Vermeidung eines Strafbarkeitsrisikos für Datenschutzfachleute und alle anderen Personen in der Second Line of Defense (oder auch jedem anderen Teil der Organisation) besteht darin, keine die Datenschutz-Compliance der Organisation betreffenden Entscheidungen zu treffen. Dies mag nicht in jedem Fall möglich sein, weil die Datenschutzstelle unter Umständen selbst an der Durchführung bestimmter Aufgaben im Bereich der Datenschutz-Compliance beteiligt ist, wie etwa der Erstellung einer Datenschutzerklärung oder an der Beantwortung eines Auskunftsersuchens auf der Basis von Angaben, die andere Stellen im Unternehmen geliefert haben. Dennoch gehört es zur guten (und üblichen) Praxis, dass Datenschutzstellen die schwierigen Entscheidungen dem "Business" bzw. der First Line of Defense überlassen, also dem DAO oder der Geschäftsleitung. Das kann beispielsweise der Einsatz eines Anbieters in einem Land ohne angemessenes Datenschutzniveau sein, was naturgemäss ein Risiko eines problematischen ausländischen Behördenzugriffs mit sich bringen kann. Ein anderes Beispiel mag ein umstrittenes, weil weitreichendes Auskunftsersuchen sein, dem das Unternehmen nicht in vollem Umfang nachkommen will. Die Datenschutzstelle kann hierzu beraten, sie kann auch eine eigene Meinung haben und diese äussern, aber sie sollte andere entscheiden lassen und sich entsprechend verhalten.

Ebenso wichtig ist es für eine Datenschutzfachperson in einem Unternehmen, zu ihrem eigenen Schutz sicherzustellen, dass sie über keine Entscheidungsbefugnis in Bezug auf Datenbearbeitungen im Unternehmen hat. Zwar ist die Datenschutzstelle aufgrund ihrer Funktion höchstwahrscheinlich rechtlich dazu verpflichtet, von ihr festgestellte Verstösse an die Geschäftsleitung und eventuell sogar an den Verwaltungsrat zu melden, doch sollte sie weder das Recht haben, verbindliche Anweisungen in Bezug auf die fragliche Datenbearbeitungsaktivität zu erteilen, noch sollte ihr das Recht eingeräumt werden im Falle eines Verstosses einzugreifen. Der Datenschutzstelle sollten Datenbearbeitungen auch nicht zur Genehmigung vorgelegt werden müssen. Solche Vorgänge dürften zur Annahme von Entscheidungsbefugnissen gewertet werden und – zusammen mit der Pflicht, über die Einhaltung des DSG zu wachsen – zu einer Strafbarkeit führen, sollte nicht konformes Verhalten nicht unterbunden werden, sobald die Datenschutzstelle davon erfährt. Auch hier kann die Datenschutzstelle jene Stellen im Betrieb warnen, die nach ihrer Ansicht gegen das Gesetz verstossen, und sie darin beraten, was sie gemäss Gesetz zu tun hätten, aber die Entscheidung darüber sollte sie ihnen überlassen.

In der Praxis kann dies im Rahmen einer internen Datenschutzweisung oder im Pflichtenheft der Datenschutzstelle entsprechend festgehalten werden. Nach unserer Erfahrung wird dieser Aspekt bei der Ausarbeitung solcher Weisungen jedoch oft nicht berücksichtigt, oder die Datenschutzstellen legen es selbst darauf an, über Datenbearbeitungen zu entscheiden oder diesbezüglich Anweisungen zu erteilen. Die Datenschutzstelle sollte also nicht nur entsprechende Kompetenzen nicht haben, sie sollte sie sich auch nicht anmassen oder faktisch (mit)entscheiden. Eine blosse Beratung oder Berichterstattung an den DAO und – falls dies keine Früchte trägt – an die Geschäftsleitung ist in der Regel ausreichend und steht auch im Einklang damit, dass eine Datenschutzstelle in der Second Line of Defense ist.

Strategie 2: Compliance-Reporting ans Management

Das Management eines Unternehmens muss sich auf andere Weise vor strafrechtlicher Verfolgung schützen. Hier ist die Überwachung der Schlüssel: Verwaltungsräte und Mitglieder der Geschäftsleitung glauben mitunter, dass es genügt, dass sie lediglich den ihnen untergebenen Stellen zum Beispiel mittels einer entsprechenden Weisung die nötigen Vorgaben geben müssen für eine hinreichende Compliance zu sorgen, um selbst nicht mehr dafür verantwortlich zu sein. Solche Vorgaben sind zwar wichtig, aber sie genügen nicht. In der Praxis sehen wir regelmässig die beiden folgenden Fehler:

  • Erstens weist die Geschäftsleitung die Verantwortung für die Einhaltung des Datenschutzes innerhalb der Organisation nicht richtig zu. Zwar ist inzwischen allgemein bekannt, dass sinnvollerweise eine Person eingesetzt werden sollte, die sich um die Einhaltung des Datenschutzes kümmert, wie z.B. einen Datenschutzbeauftragten oder eine Datenschutzstelle. Sie missverstehen jedoch, dass eine solche Person im Grunde für den Datenschutz nicht verantwortlich ist. Denn wenn wir von "verantwortlich" reden, meinen wir in der Regel die Ergebnisverantwortung und die Verantwortung für die Erteilung von Anweisungen, und nicht die Ausführungsverantwortung. In einer RACI-Matrix würde daher richtigerweise der Begriff der "Rechenschaftspflicht" verwendet werden.

    Konkret sollten also jeweils jene benannt werden, welche die Rolle des DAO wie oben beschrieben übernehmen. Die Datenschutzweisung einer Organisation sollte daher nicht nur die Bearbeitungsgrundsätze festlegen, die von allen eingehalten werden müssen. Sie sollte auch festlegen, wer in der Organisation letztlich dafür einstehen muss, dass diese Grundsätze und die weiteren Anforderungen des Datenschutzrechts im Zusammenhang mit einer bestimmten Datenbearbeitungsaktivität befolgt werden. Wie bereits erwähnt, ist dies nicht die Datenschutzstelle oder der DPCO. Diese Verantwortung kann zwar einer Gruppe von Personen übertragen werden (z.B. einem Data-Governance-Board), doch ist es in der Regel besser, wenn eine einzelne Person die für eine bestimmte Datenbearbeitungstätigkeit verantwortliche Person, der DAO, ist. Wir empfehlen ausserdem, zwischen dem Dateninhaber (falls es einen gibt) und dem DAO zu unterscheiden, denn ein und derselbe Datensatz kann innerhalb eines Unternehmens für unterschiedlichste Zwecke und auf unterschiedliche Weise verwendet werden, was bei denselben Daten zu verschiedenen Bearbeitungsaktivitäten mit verschiedenen DAOs führt).
     
  • Zweitens verfolgen Leitungsorgane in Bezug auf den Datenschutz allzu oft einen "fire and forget"-Ansatz. Selbst wenn die Weisungen, die sie im Hinblick auf die Einhaltung des Datenschutzes erteilen, korrekt sein mögen, haben sie mitunter den Charakter einer Einbahnstrasse. Es werden nicht zugleich auch Feedback- und Kontrollverfahren eingeführt, die ermöglichen zu überwachen, ob und wie die Weisungen befolgt werden, und die es erlauben zu reagieren und Abhilfe zu schaffen, wo die Compliance nicht gegeben sein sollte. Das Management hat wie erwähnt drei Sorgfaltspflichten – die angemessene Auswahl, Instruktion und Überwachung der Personen, die für die Einhaltung der Vorschriften sorgen. Wird eine davon nicht erfüllt und kommt es deswegen zu einem Verstoss, kann daraus strafrechtlich ein Strick gedreht werden.

    Die Leitungsorgane eines Unternehmens sollten sich daher zum eigenen Schutz vor Strafbarkeit nicht nur auf Verlangen oder bei konkreten Vorkommnissen über den Stand der Datenschutz-Compliance berichten lassen, sondern auch periodisch ohne besonderen Anlass. Werden relevante Verstösse gemeldet, müssen sie natürlich entsprechend reagieren und passenden Massnahmen anordnen, um ihre eigene Verantwortlichkeit zu vermeiden. Wird hingegen gemeldet, dass die Organisation den Datenschutz mehr oder weniger im Griff hat in den relevanten Punkten, kann sich das Management auch dann darauf berufen, wenn dem im Einzelfall nicht so sein sollte. Ein solches bedeutet Reporting allerdings auch, dass das Management ein gewisses Grundverständnis über den Datenschutz haben sollte, oder entsprechende Experten an der Hand. Das Reporting ans Management sollte freilich stufengerecht erfolgen. So ist es beispielsweise nicht erforderlich, die Unternehmensleitung über einzelne, nicht konforme Auftragsbearbeitungsverträge zu informieren, wenn die nötigen Prozesse zur Gewährleistung ordnungsgemässer Verträge an sich vorhanden sind und – zumindest im Prinzip – korrekt funktionieren. Erforderlich ist im Rahmen des Reportings also ein Überblick über den Stand der Datenschutz-Compliance und nicht unbedingt eine Bottom-up-Analyse einzelner Sachverhalte. Eine detailliertere Betrachtung mag dann nötig werden, wenn es Hinweise auf entsprechende Mängel gibt und diese anhalten.

Dies kann natürlich zu einer Situation führen, in welcher ein Verstoss innerhalb der Organisation zwischen Stuhl und Bank fällt und es daher nicht mehr möglich ist, die Verantwortung dafür einer bestimmten Person zuzuordnen – also weder den Leitungsorganen noch einer anderen Person. In solchen Fällen darf die Strafverfolgung unter dem revidierten DSG in jenen Fällen, in denen die Strafe – wie wohl meist – weniger als CHF 50'000 betragen wird, diese gegen das Unternehmen direkt ausfällen (Art. 64 Abs. 2 DSG).

Beurteilung und Überwachung der Datenschutz-Compliance

Anfang 2023 hat das VISCHER Data & Privacy-Team eine Methode entwickelt, um den Reifegrad der Datenschutz-Compliance einer Organisation sowohl unter der DSGVO als auch dem revidierten DSG zu ermitteln. Der "VISCHER Privacy Score" (VPS) wurde zunächst als Excel-Tool implementiert und später um eine Online-Version erweitert, die heute unter https://privacyscore.ch in deutscher und englischer Sprache kostenlos verfügbar ist. Das Ergebnis ist ein PDF-Bericht, der einerseits die Reife der Datenschutz-Compliance-Massnahmen einer Organisation mitsamt den Strafbarkeits- und Reputationsrisiken ausweist und andererseits auch konkrete Schritte zur Behebung von Lücken:

Während "VPS" ursprünglich für Datenschutzbeauftragte, Datenschutzstellen und Berater entwickelt worden ist, um Compliance-Lücken zu identifizieren und zu schliessen, wird das Werkzeug inzwischen auch für das unternehmensinterne Compliance-Reporting an die Geschäftsleitungen und Verwaltungsräte benutzt. Es bietet neben einem Top-Down-Blick auf einzelne Problembereiche auch einen Gesamteindruck punkto Reifegrad und Sanktionsrisiken sowohl das DSG wie auch nach der DSGVO. Inzwischen nutzen es verschiedene Unternehmen für ihre interne Berichterstattung im Bereich der Datenschutz-Compliance. Im Excel kann auch der Stand der Korrekturmassnahmen dokumentiert werden.

Die Schattenseite eines solchen Reportings ist der Umstand, dass eine negative Beurteilung die Leitungsorgane eines Unternehmens natürlich unter Druck setzt, gegen systematische oder systemische Defizite in der Datenschutz-Compliance tatsächlich etwas zu unternehmen. Allerdings müssen Leitungsorgane so oder so ein entsprechendes Reporting installieren, um sich nicht dem Vorwurf der Unterlassung auszusetzen. Denn die Garantenstellung, die dazu führt, haben die einzelnen Leitungsorgane jedenfalls beim Verwaltungsrat bereits qua gesetzlicher Regelung: Für die Oberaufsicht über die Einhaltung der Gesetze sind zwingend sie und nur sie verantwortlich. Diese Verantwortung können sie nicht wegdelegieren. Vor diesem Hintergrund ist es nach unserer Erfahrung sinnvoller, dass wenn zumindest ein gewisser Mechanismus zur Top-Down-Überwachung besteht als das Thema zu ignorieren und darauf zu vertrauen, dass die untergebenen Stellen sich gehörig um die Datenschutz-Compliance kümmern.

Lassen Sie es uns wissen, falls Sie Unterstützung in diesen Fragen benötigen (beispielsweise bei der Abfassung entsprechender Weisungen) oder eine Lizenz von VPS. Weitere Informationen zum VPS und dem Excel für die Berichterstattung an das Management finden Sie unter https://privacyscore.ch.

Autor: David Rosenthal

Autor