«Der Gesetzgeber hat mehr Bürokratie geschaffen»
Bussen bis 250 000 Franken
CW: Das DSG sieht auch Bussen vor, allerdings nur gegen natürliche Personen. Firmen sind somit nicht haftbar, aber der Angestellte. Ist das fair?
Rosenthal: Hier schlagen zwei Herzen in meiner Juristenbrust. Einerseits hätte ich es für sachgerechter gehalten, wenn in der Schweiz wie auch in der EU die Unternehmen für ihr Fehlverhalten in Sachen Datenschutz selbst zur Rechenschaft gezogen werden würden. Andererseits verstehe ich, dass der Gesetzgeber sich für Bussen für natürliche Personen entschieden hat, weil in der Schweiz noch die verfahrensrechtlichen Grundlagen für Bussen gegen Unternehmen fehlen. Allerdings sollten Mitarbeiter, denen mal ein Fehler unterläuft, nicht zittern müssen: Bussen sieht das Datenschutzrecht nur für vorsätzliche Verstösse vor. Ausserdem sind im Gegensatz zur DSGVO im neuen DSG nur wenige Tatbestände bussenbewehrt.
“Für eine hohe Busse müsste jemand schon gehörige kriminelle Energie entwickeln. „
David Rosenthal
CW: Es sind ja Bussen bis 250 000 Franken möglich. Für welche Verletzungen wäre die Maximalbusse fällig?
Rosenthal: Für die Maximalstrafe müssen schon sehr grobe Verletzungen vorliegen. Ich kann mir kaum vorstellen, dass jemand in den nächsten zehn Jahren je mit auch nur annähernd 250 000 Franken gebüsst werden wird. Auch bei anderen, vergleichbaren Gesetzen wird der Spielraum nicht genutzt. Es ist auch symptomatisch, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB selbst gar keine Bussen verteilen wollte; das Gesetz überlässt dies nun den Kantonen. Um aber auf Ihre Frage zurückzukommen: Für eine hohe Busse müsste jemand schon gehörige kriminelle Energie entwickeln, etwa indem er geradezu ein Geschäftsmodell entwickelt, bei dem er mithilfe ausgefeilter Betrugsmethoden in den Besitz hochsensibler Gesundheitsdaten gelangt und diese dann auf dem Schwarzmarkt verkauft. Wenn aber jemand in der Datenschutzerklärung den einen oder anderen Punkt aufzuführen vergisst, dürften die Bussen – wenn sie überhaupt ausgesprochen werden – unter 10 000 Franken bleiben. Hinzu kommt, dass eine solche Unterlassung sowieso meist nicht vorsätzlich ist.
Allerdings schmerzt auch dieser Betrag und dürfte dazu führen, dass viele Angestellte sich bemühen werden, den Datenschutz ernst zu nehmen oder die Verantwortung intern weiterzureichen. Bussen können also durchaus dafür sorgen, dass der Datenschutz ernst genommen wird. Allerdings geht häufig vergessen, dass für manche Unternehmen der Reputationsschaden und Bereinigungsaufwand aufgrund eines Datenschutzskandals viel mehr kostet als eine Busse von einigen Tausend Franken. In diesen Fällen – und die werden immer häufiger – bringen Bussen wenig und wären eigentlich nicht nötig.
CW: Sind Bussen eigentlich etwas Neues im DSG oder gab es die bisher schon?
Rosenthal: Die Regelung im alten DSG ist im Grunde genommen dieselbe wie im neuen, allerdings war die Höhe der Busse auf 10 000 Franken beschränkt und es gab nur halb so viele Bussentatbestände. Und selbst hier sind Bussen seit Inkrafttreten des Gesetzes im Jahr 1993 nur einige wenige Male verhängt worden.