Strafen und Sanktionen im Datenschutzgesetz (DSG)

Das Straf- und Sanktionssystem des Datenschutzgesetzes hat durch die DSG-Reform 2020 eine grundlegende Verschärfung erfahren. Auf der einen Seite erhält der Eidgenössische Datenschutzbeauftragte gemäss Art. 51 DSG nun die Möglichkeit, bestimmte Verwaltungsmassnahmen anzuordnen, deren Missachtung strafrechtlich geahndet werden kann. Ihm stehen dabei zwei Arten von Massnahmen zur Verfügung: Die erste Art besteht aus Mass-nahmen gegen Datenbearbeitungen, die gegen die Datenschutzvorschriften verstossen. Möglich ist das Aussprechen von einfachen Verwarnungen (Abs. 5), der Erlass von Verfügungen zur Vernichtung von Personendaten (Abs. 1) oder das Aufschieben bzw. Verbieten der Bekanntgabe von Personendaten ins Ausland (Abs. 2). Die zweite Art von Massnahmen betrifft das Aussprechen von Massnahmen in Fällen, wo Ordnungsvorschriften oder Pflichten gegenüber der betroffenen Person nicht beachtet werden (Abs. 3). Dabei kann der Eidgenössische Datenschutzbeauftragte die gegenüber dem Verantwortlichen verfügte Massnahme mit einer Strafdrohung versehen (Art. 63 DSG).

Auf der anderen Seite hat das Sanktionssystem des DSG folgende grundsätzliche Neuerungen erhalten: Erstens wurde der Höchstbetrag von Bussen gegen Private auf CHF 250’000 Franken erhöht. Zweitens wurde die Liste der strafbaren Verhaltensweisen an die neuen Pflichten der Verantwortlichen angepasst. Zuletzt wurde eine Strafandrohung bei der Missachtung von Verfügungen des Eidgenössischen Datenschutzbeauftragten eingeführt und die Verjährungsfrist bei Übertretungen des DSG auf fünf Jahre verlängert. Im Gegensatz zum Vorentwurf zum Datenschutzgesetz wird fahrlässiges Handeln aber nicht unter Strafe gestellt. Mit den aufgezählten Verschärfungen des Sanktionssystems wurde insbesondere der Umstand berücksichtigt, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte im Unterschied zu nahezu allen anderen europäischen Datenschutzaufsichtsbehörden nicht befugt ist, eigenständig Verwaltungssanktionen zu verhängen.

Auf die Einführung einer direkten Bestrafung von Unternehmen wird verzichtet. Die Mehrheit der strafbaren Verhaltensweisen betreffen den Verantwortlichen der Datenbearbeitung. Handelt es sich dabei um eine juristische Person, wird die Straftat der Vertreterin oder dem Vertreter des Geschäftsorgans zugerechnet (Art. 29 StGB). Bei geringfügigen Übertretungen, die in einem Unternehmen begangen werden, können die Strafverfolgungsbehörden aber unter bestimmten Voraussetzungen darauf verzichten, die Verantwortlichen strafrechtlich zu belangen. Stattdessen wird in einem solchen Fall direkt das Unternehmen zur Bezahlung der Busse verpflichtet.

Art. 60 DSG betrifft die Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten. Mit dieser Strafbestimmung wird Art. 34 des alten Datenschutzgesetzes teilweise übernommen. Gemäss Abs. 1 wird das vorsätzliche Erteilen von falschen oder unvollständigen Auskünften mit Busse von bis zu CHF 250’000 auf Antrag bestraft, wenn Informationspflichten (Art. 19 und 21 DSG) bzw. Auskunftsrechte (Art. 25 – 27 DSG) verletzt werden. Abs. 2 stellt das Erteilen falscher Auskünfte oder die Verweigerung der Mitwirkung im Rahmen einer Untersuchung des Eidgenössische Datenschutzbeauftragten unter dieselbe Strafandrohung.

Art. 61 DSG stellt die Verletzung von Sorgfaltspflichten auf Antrag unter Strafe. Es handelt sich dabei um eine neu eingefügte Bestimmung. Als strafbar gelten die Bekanntgaben von Personendaten ins Ausland unter Verstoss der einschlägigen Bestimmungen (vgl. Art. 16 Abs. 1 und 2 sowie Art. 17 DSG), die gesetzwidrige Übergabe einer Datenbearbeitung an Auftragsbearbeiter (vgl. Art. 9 Abs. 1 und 2 DSG) sowie die Nichteinhaltung der Mindestanforderungen an die Datensicherheit, welche durch den Bundesrat formuliert werden. Ausgesprochen werden kann eine Busse von bis zu CHF 250’000. Die Strafandrohung in Art. 61 DSG richtet sich vorwiegend an Personen mit Weisungsbefugnissen, weil die Erfüllung von Sorgfaltspflichten in den allermeisten Fällen eine Leitungsaufgabe darstellt.

Art. 62 DSG stellt vorsätzliche Verletzungen der beruflichen Schweigepflicht unter Strafe, wobei es sich in diesem Fall ebenfalls um ein Antragsdelikt handelt, welches mit einer Busse von bis zu CHF 250’000 bestraft wird. Art. 62 DSG ergänzt Art. 320 und 321 StGB, welche ebenfalls die Verletzung von Schweigepflichten ahnden.

Art. 63 DSG gibt dem Eidgenössischen Datenschutzbeauftragten die Möglichkeit, seine Verfügungen mit einer Strafandrohung zu verbinden. Eine vorsätzliche Nichtbefolgung kann demnach mit einer Busse von bis zu CHF 250’000 geahndet werden. Wenn sich die Verfügung des Beauftragten an ein Unternehmen richtet, tritt die Strafbarkeit bei einer Leitungsperson ein (Art. 29 StGB). Mit Art. 64 DSG werden Art. 6 und 7 des Bundesgesetzes über das Verwaltungsstrafrecht (VStrR) übernommen. Art. 6 Abs. 2 VStrR ermöglicht eine Geschäftsherrenhaftung auch im Bereich des DSG.

Kostenfreies Datenschutz Risk Assessment.

L24 AG
Weinbergstrasse 29
8006 Zürich