Strafbestimmungen im neuen Datenschutzgesetz

Bist Du Dir bewusst, welche Strafen Dir künftig drohen, wenn Du gegen Deine datenschutzrechtlichen Pflichten verstösst? Der folgende Beitrag soll Dir einen kurzen Überblick über die verschärften Strafbestimmungen der revDSG verschaffen.

Der Gesetzgeber hat die strafbaren Tatbestände in Art. 60 – 64 revDSG ausgebaut und die Beträge der Bussen angehoben.

Nach wie vor wirst Du bestraft, wenn Du die folgenden Pflichten verletzt:

• Informationspflichten gemäss Art. 60 Abs. 1 revDSG

  Beispiel: Wenn Du die Nutzer Deiner Webseite nicht über die Datenerhebung informierst.

• Auskunftspflichten gemäss Art. 60 Abs. 1 revDSG

  Beispiel: Wenn Du einer betroffenen Person gegenüber die Auskunft verweigerst, ob Daten über sie erhoben werden.

• Mitwirkungspflichten gemäss Art. 60 Abs. 2 revDSG

  Beispiel: Wenn Du im Rahmen einer behördlichen Untersuchung dem EDÖB falsche Auskünfte erteilst.

• berufliche Schweigepflicht gemäss Art. 62 revDSG

  Beispiel: Wenn Du geheime Personendaten offenbarst, die Dir für die Ausübung Deines Berufes anvertraut wurden.

Neuerdings wirst Du nach dem revDSG für die folgenden Tätigkeiten ebenfalls bestraft:

• Verletzung der Sorgfaltspflichten gemäss Art. 61 revDSG

  Beispiel: wenn Du die Bearbeitung von Personendaten einem Dritten überträgst, obwohl vertraglich eine Übertragung ausgeschlossen war.

• Missachtung von Verfügungen des EDÖB oder von Entscheiden der Rechtsmittelinstanz (bspw. das Bundesverwaltungsgericht) gemäss Art. 63 revDSG

Die Strafhöhe

Die Verletzung einer Strafbestimmungen kann maximal mit einer Busse von CHF 250'000.00 bestraft werden. Im Vergleich zum Bussenkatalog der DSGVO – Bussen bis zu 20'000'000.00 Euro oder für ein Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr - wirkt die Maximalbusse in der Schweiz harmlos. Allerdings werden bei einer Verletzung der Strafbestimmungen der DSGVO die Unternehmen bestraft. Im Gegensatz dazu machst Du dich als verantwortliche Person in der Schweiz persönlich strafbar und kannst die Bussen nicht auf das Unternehmen überwälzen.

Wer macht sich strafbar?

Bestraft wird nicht nur die handelnde Person, sondern auch allfällige Beteiligte, die bspw. eine beratende Funktion eingenommen haben. Gemäss Art. 64 revDSG kann sich auch eine vom Unternehmen beauftragte Person (bspw. der betriebliche Datenschutzbeauftragte) strafbar machen bei der Verrichtung seiner Angelegenheiten für das Unternehmen.

In der revDSG sind nur die vorsätzlichen Datenschutzrechtsverletzungen strafbar. Das heisst Deine Handlung ist strafbar, wenn Du sie mit Absicht vorgenommen hast. Allerdings ist auch der Eventualvorsatz ausreichend. Dementsprechend machst Du Dich bereits strafbar, wenn Du eine Datenschutzrechtsverletzung in Kauf nimmst.

Die Funktion des EDÖB

Die Zuständigkeit für die Strafverfolgung und auch die Beurteilung der strafbaren Handlung liegt bei den kantonalen Staatsanwaltschaften. Der EDÖB nimmt bei der Durchsetzung der jeweiligen Strafbestimmungen eine Nebenrolle ein. Gemäss Art. 65 Abs. 2 revDSG kann der EDÖB lediglich bei der zuständigen Strafverfolgungsbehörde eine Rechtsverletzung anzeigen und bei einem allfälligen Verfahren die Rolle als Privatkläger einnehmen.

Als Ergänzung zu den strafrechtlichen Sanktionen stattet das revDSG neuerdings den EDÖB mit Verfügungskompetenz aus, wodurch der EDÖB gemäss Art. 51 revDSG verbindliche Anordnungen treffen kann. Bisher durfte der EDÖB nur unverbindliche Empfehlungen aussprechen. Die Missachtung einer Verfügung des EDÖB wird ebenfalls unter Strafe gestellt.

Beispiel: Wenn Du während Deiner Datenbearbeitung gegen die Datenschutzvorschriften verstösst, kann der EDÖB mittels Verwaltungsmassnahmen anordnen, dass Du die Bearbeitung unterlässt und Du die Personendaten löschst oder vernichtest.