Die Pflichten des Datenschutzgesetzes obliegen Unternehmen und natürlichen Personen. Deren Missachtung ist punktuell strafbar. Im Fokus der Strafbestimmungen sind primär die verantwortlichen natürlichen Personen.
«Die Sanktionen müssen abschreckend sein», steht in der Botschaft zum revidierten Datenschutzgesetz (DSG). Der Gesetzgeber wurde aber nicht von einer Lust am Strafen angetrieben, sondern mitunter vom Bedürfnis, das Schweizer Datenschutzrecht in einer Weise zu revidieren, dass es von der EU weiterhin als angemessen anerkannt wird. Dies ist grundlegende Voraussetzung für den ungehinderten Austausch von Personendaten zwischen der Schweiz und den Ländern des Europäischen Wirtschaftsraums (EWR).
Wer ist betroffen?
Das DSG gilt bei der Bearbeitung von Personendaten durch private (natürliche oder juristische) Personen und Bundesorgane. Unter Bearbeiten versteht das DSG jeden Umgang mit Personendaten. Personendaten sind dabei sämtliche Angaben, welche sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Nicht erfasst ist die Datenbearbeitung durch eine natürliche Person zum ausschliesslich persönlichen Gebrauch.
Für Verstösse gegen die Strafbestimmungen des DSG sollen primär natürliche Personen, die effektiv eine Pflicht des DSG verletzen, bestraft werden. Auch wer z.B. als Geschäftsherr oder Arbeitgeber verpflichtet ist, eine Verletzung zu verhindern oder deren Folgen zu mildern, kann bestraft werden. Die Bestrafung einer juristischen Person kommt nur unter besonderen Umständen infrage.
Was kann beispielsweise bestraft werden?
- Bekanntgabe von Personendaten ins Ausland ohne Einhaltung der diesbezüglichen Anforderungen, namentlich in ein Land ohne angemessenes Datenschutzniveau (d.h. die meisten Länder ausserhalb des EWR, z.B. China, grundsätzlich auch die USA)
- Vergabe von Auftragsbearbeitungen (z.B. Inanspruchnahme von Dienstleistungen wie Cloudservices) ohne Auftragsbearbeitungsvertrag
- Verletzung der Informations- oder Auskunftspflicht, z.B. durch Unterlassen der Information (etwa Fehlen einer Datenschutzerklärung) oder das Erteilen von falschen oder unvollständigen Auskünften
- Bekanntgabe von geheimen Personendaten an unbefugte Dritte
- Nicht-kooperatives Verhalten in Verfahren des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder einer Rechtsmittelinstanz.
Welche Strafen drohen unter welchen Bedingungen?
Es drohen Bussen von bis zu 250’000 Franken. Die fehlbare Person muss vorsätzlich gegen eine Strafbestimmung verstossen.
Zentral für einen vorschriftsgemässen Umgang mit dem neuen Datenschutzrecht sind passende Compliance-Strukturen. Eine Auseinandersetzung mit dem neuen DSG und dem eigenen Umgang mit Daten lohnt sich, um böse Überraschungen zu vermeiden.
Prager Dreifuss AG
Facts & Figures
Gründung: 1980
Website: https://www.prager-dreifuss.com/de/
Die Pflichten des Datenschutzgesetzes obliegen Unternehmen und natürlichen Personen. Deren Missachtung ist punktuell strafbar. Im Fokus der Strafbestimmungen sind primär die verantwortlichen natürlichen Personen.
«Die Sanktionen müssen abschreckend sein», steht in der Botschaft zum revidierten Datenschutzgesetz (DSG). Der Gesetzgeber wurde aber nicht von einer Lust am Strafen angetrieben, sondern mitunter vom Bedürfnis, das Schweizer Datenschutzrecht in einer Weise zu revidieren, dass es von der EU weiterhin als angemessen anerkannt wird. Dies ist grundlegende Voraussetzung für den ungehinderten Austausch von Personendaten zwischen der Schweiz und den Ländern des Europäischen Wirtschaftsraums (EWR).
Wer ist betroffen?
Das DSG gilt bei der Bearbeitung von Personendaten durch private (natürliche oder juristische) Personen und Bundesorgane. Unter Bearbeiten versteht das DSG jeden Umgang mit Personendaten. Personendaten sind dabei sämtliche Angaben, welche sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Nicht erfasst ist die Datenbearbeitung durch eine natürliche Person zum ausschliesslich persönlichen Gebrauch.
Für Verstösse gegen die Strafbestimmungen des DSG sollen primär natürliche Personen, die effektiv eine Pflicht des DSG verletzen, bestraft werden. Auch wer z.B. als Geschäftsherr oder Arbeitgeber verpflichtet ist, eine Verletzung zu verhindern oder deren Folgen zu mildern, kann bestraft werden. Die Bestrafung einer juristischen Person kommt nur unter besonderen Umständen infrage.
Was kann beispielsweise bestraft werden?
- Bekanntgabe von Personendaten ins Ausland ohne Einhaltung der diesbezüglichen Anforderungen, namentlich in ein Land ohne angemessenes Datenschutzniveau (d.h. die meisten Länder ausserhalb des EWR, z.B. China, grundsätzlich auch die USA)
- Vergabe von Auftragsbearbeitungen (z.B. Inanspruchnahme von Dienstleistungen wie Cloudservices) ohne Auftragsbearbeitungsvertrag
- Verletzung der Informations- oder Auskunftspflicht, z.B. durch Unterlassen der Information (etwa Fehlen einer Datenschutzerklärung) oder das Erteilen von falschen oder unvollständigen Auskünften
- Bekanntgabe von geheimen Personendaten an unbefugte Dritte
- Nicht-kooperatives Verhalten in Verfahren des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder einer Rechtsmittelinstanz.
Welche Strafen drohen unter welchen Bedingungen?
Es drohen Bussen von bis zu 250’000 Franken. Die fehlbare Person muss vorsätzlich gegen eine Strafbestimmung verstossen.
Zentral für einen vorschriftsgemässen Umgang mit dem neuen Datenschutzrecht sind passende Compliance-Strukturen. Eine Auseinandersetzung mit dem neuen DSG und dem eigenen Umgang mit Daten lohnt sich, um böse Überraschungen zu vermeiden.
Prager Dreifuss AG
Facts & Figures
Gründung: 1980
Website: https://www.prager-dreifuss.com/de/
