Eine Nichteinhaltung der Datenschutzvorschriften kann kostspielig werden. In der Schweiz können

Datenverantwortlichen und Auftragsverarbeitern Bussgelder in Höhe von bis zu 250’000 CHF ver-

hängt werden, wenn deren Verstösse gegen das Datenschutzrecht als vorsätzlich erachtet werden.

Im Allgemeinen sieht das revDSG niedrigere Bussgelder als die EU-Datenschutz-Grundverordnung

(DSGVO) vor. Im Gegensatz zur DSGVO wird das Bussgeld jedoch den für das Fehlverhalten ver-

antwortlichen Personen auferlegt. Diese personenbezogene Art des Bussgelds gilt als wirksamer, da

man sich gegen das Bussgeld nicht versichern kann bzw. dieses nicht vom Unternehmen gezahlt

werden kann.

Wer gilt im Fall einer Verletzung des Schutzes von Personendaten als haftbar? Wie

unterscheidet sich dies von der DSGVO?

Im Rahmen des revDSG haftet die Person, die den Verstoss unmittelbar begeht. Die DSGVO hingegen sieht (ausschliesslich) ein Bussgeld für das verstossende Unternehmen vor. Untersuchungsverfahren bezüglich Verletzungen der Datenschutzbestimmungen richten sich daher gegen die Person, die für die fragliche Datenbearbeitung die Verantwortung trägt. Aufgrund der Personenbezogenheit können derartige Bussgelder nicht versichert werden und das Unternehmen kann die Bussgelder nicht für die natürliche Person zahlen. Das revDSG kompensiert diesen strengen, auf der persönlichen Haftung basierenden Ansatz durch höhere Auflagen für ein Bussgeld. So muss offensichtlich sein, dass das Verhalten des Verstossenden vorsätzlich oder zumindest eventuell vorsätzlich war. Des Weiteren sind Verstösse gegen die grundlegenden Prinzipien des DSG weiterhin von einer Bestrafung ausgenommen.

Wie werden Bussgelder im Fall von Verletzungen des Schutzes von Personendaten

geregelt?

Die Haftung und der Bussgeldkatalog nach revDSG weichen erheblich von der DSGVO ab. Die Höchststrafe wurde im revDSG in beträchtlichem Umfang geändert und nun auf 250’000 CHF erhöht. Im Vergleich zur DSGVO verhängt die Schweizer Verordnung niedrigere Bussgelder als ihr europäisches Pendant. Tatsächlich betrachtet das DSG das Bussgeld als Sanktion für kriminelles Verhalten, wohingegen der Bussgeldkatalog der DSGVO darauf abzielt, die generelle Motivation zur Einhaltung der Verordnung zu verbessern.

Was ändert sich mit dem revDSG?

Die Durchsetzung des DSG wird sich nach dem neuen Gesetz ebenfalls ändern. Der EDÖB nun Anordnungen direkt gegenüber Datenverantwortlichen und Auftragsverarbeitern erlassen. So wird der EDÖB zukünftig in der Lage sein, zu verfügen, dass eine bestimmte Datenbearbeitungsaktivität gestoppt oder angepasst werden muss.

Unter welchen Umständen drohen uns nach dem neuen revDSG Bussgelder?

In der Vergangenheit wurden Bussgelder ausschliesslich für die Verletzung der Informationspflicht, der Pflicht zur Einhaltung des Auskunftsrechts betroffener Personen und der Pflicht zur Kooperation mit dem EDÖB verhängt. Nun sind auch Verstösse gegen die Bestimmungen zum Datenexport, die Bestimmungen zur Beauftragung von Auftragsverarbeitern und bestimmte Verstösse gegen Datensicherheits- vorkehrungen mit Bussgeldern belegbar.