Wie regelt das revDSG Verletzungen des Schutzes von Personendaten?

Philipp Rosenauer
Partner Legal, PwC Schweiz

Eine Nichteinhaltung der Datenschutzvorschriften kann kostspielig werden. In der Schweiz können Datenverantwortlichen und Auftragsverarbeitern Bussgelder in Höhe von bis zu 250’000 CHF verhängt werden, wenn deren Verstösse gegen das Datenschutzrecht als vorsätzlich erachtet werden. Im Allgemeinen sieht das revDSG niedrigere Bussgelder als die EU-Datenschutz-Grundverordnung (DSGVO) vor. Im Gegensatz zur DSGVO wird das Bussgeld jedoch den für das Fehlverhalten verantwortlichen Personen auferlegt. Diese personenbezogene Art des Bussgelds gilt als wirksamer, da man sich gegen das Bussgeld nicht versichern kann bzw. dieses nicht vom Unternehmen gezahlt werden kann.

Wer gilt im Fall einer Verletzung des Schutzes von Personendaten als haftbar? Wie unterscheidet sich dies von der DSGVO?

Im Rahmen des revDSG haftet die Person, die den Verstoss unmittelbar begeht. Die DSGVO hingegen sieht (ausschliesslich) ein Bussgeld für das verstossende Unternehmen vor. Untersuchungsverfahren bezüglich Verletzungen der Datenschutzbestimmungen richten sich daher gegen die Person, die für die fragliche Datenbearbeitung die Verantwortung trägt. Aufgrund der Personenbezogenheit können derartige Bussgelder nicht versichert werden und das Unternehmen kann die Bussgelder nicht für die natürliche Person zahlen.

Das revDSG kompensiert diesen strengen, auf der persönlichen Haftung basierenden Ansatz durch höhere Auflagen für ein Bussgeld. So muss offensichtlich sein, dass das Verhalten des Verstossenden vorsätzlich oder zumindest eventuell vorsätzlich war. Des Weiteren sind Verstösse gegen die grundlegenden Prinzipien des DSG weiterhin von einer Bestrafung ausgenommen.

Wie werden Bussgelder im Fall von Verletzungen des Schutzes von Personendaten geregelt?

Die Haftung und der Bussgeldkatalog nach revDSG weichen erheblich von der DSGVO ab.

Die Höchststrafe wurde im revDSG in beträchtlichem Umfang geändert und nun auf 250’000 CHF erhöht. Im Vergleich zur DSGVO verhängt die Schweizer Verordnung niedrigere Bussgelder als ihr europäisches Pendant. Tatsächlich betrachtet das DSG das Bussgeld als Sanktion für kriminelles Verhalten, wohingegen der Bussgeldkatalog der DSGVO darauf abzielt, die generelle Motivation zur Einhaltung der Verordnung zu verbessern.

Was ändert sich mit dem revDSG?

Die Durchsetzung des DSG wird sich nach dem neuen Gesetz ebenfalls ändern. In der Vergangenheit war der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) lediglich in der Lage, den Datenverantwortlichen und Auftragsverarbeitern, die das DSG nicht einhielten, Empfehlungen auszusprechen. Nach revDSG kann der EDÖB nun Anordnungen direkt gegenüber Datenverantwortlichen und Auftragsverarbeitern erlassen. So wird der EDÖB zukünftig in der Lage sein, zu verfügen, dass eine bestimmte Datenbearbeitungsaktivität gestoppt oder angepasst werden muss.

Dies bedeutet jedoch, dass die Verfahren komplizierter werden und mehr personelle Ressourcen als das DSG von 1992 erfordern, da diese neuen Befugnisse auch zusätzliche Pflichten für den EDÖB mit sich bringen.

Unter welchen Umständen drohen uns nach dem neuen revDSG Bussgelder?

In der Vergangenheit wurden Bussgelder ausschliesslich für die Verletzung der Informationspflicht, der Pflicht zur Einhaltung des Auskunftsrechts betroffener Personen und der Pflicht zur Kooperation mit dem EDÖB verhängt.

Nach dem revDSG sind auch Verstösse gegen die Bestimmungen zum Datenexport, die Bestimmungen zur Beauftragung von Auftragsverarbeitern und bestimmte Verstösse gegen Datensicherheitsvorkehrungen mit Bussgeldern belegbar.