Das Kantonsgericht der Waadt hatte sich in einem schon am 10. September 2021 ergangenen Urteil (Swisslex) mit der Frage zu beschäftigen, ob die Bekanntgabe von Einkaufsdaten gegen das Datengeheimnis nach Art. 35 DSG verstösst. Eine Mitarbeiterin eines Detailhändlers hatte im Rahmen eines familienrechtlichen Zivilverfahrens auf Anfrage Screenshots herausgegeben, auf denen Kreditkarteneinkäufe zu sehen waren (diese Screenshots dienten offenbar dem Nachweis von Einkäufen für den Fall, dass ein Kunde seine Quittung verloren hat). Dem Sachverhalt ist zu entnehmen, dass die Anfrage an den Detailhändler allerdings nicht vom betroffenen Kunden ausging, sondern von seiner Gegenpartei, wohl der Mutter der gemeinsamen Kinder. Der Kunde hatte daraufhin Strafanzeige wegen Verletzung von Art. 35 DSG eingereicht.
Die Staatsanwaltschaft war von einem engen Anwendungsbereich von Art. 35 DSG ausgegangen. Diese Bestimmung setzt voraus, dass der Täter die unbefugt bekanntgegebenen besonders schützenswerten Personendaten bzw. Persönlichkeitsprofile “bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat”. Im Anschluss an eine Auffassung von Meier hielt die Staatsanwaltschaft fest, Beispiele solcher Berufe seien die in Art. 321 StGB genannten Berufe, aber jedenfalls nicht eine Anstellung im Kundendienst eines Detailhändlers.
Das KGer geht auf diesen Punkt nicht ein (und andere Gerichte haben Art. 35 DSG breiter ausgelegt), aber die hier bekanntgegebenen Daten seien weder besonders schützenswert noch bildeten sie ein Persönlichkeitsprofil. Die Adresse des Betroffenen sei zudem nicht kein geheimes Datum.
Es hält weiter fest, dass Art. 35 DSG nicht von einer “Offenbarung” spricht, anders als Art. 321 StGB, sondern von einer “Bekanntgabe”. Es genüge daher, wenn erfasste Personendaten offengelegt werden, auch wenn es nicht zu einer Kenntnisnahme kommt (vgl. hier zur Offenbarung i.S.d. Berufsgeheimnisse als Erfolgsdelikt):
Le texte allemand parle quant à lui de « Bekanntgabe » (et non de « Offenbarung », comme à l’art. 321 CP), ce qui fait le lien avec la notion technique de « communication », définie à l’art. 3 let. f LPD. Il y a donc révélation au regard de l’art. 35 LPD dans le fait de rendre les données accessibles à un tiers qui n’en avait pas connaissance auparavant.
Weiter hält das Gericht fest, die Bekanntgabe nach Art. 35 DSG sei nur tatbestandsmässig, wenn sie “unbefugt” erfolgt, und also nicht, wenn sie nach datenschutzrechtlichen Masstäben gerechtfertigt ist:
Le texte allemand parle quant à lui de « Bekanntgabe » (et non de « Offenbarung », comme à l’art. 321 CP), ce qui fait le lien avec la notion technique de « communication », définie à l’art. 3 let. f LPD. Il y a donc révélation au regard de l’art. 35 LPD dans le fait de rendre les données accessibles à un tiers qui n’en avait pas connaissance auparavant. La révélation doit être illicite. Elle ne l’est pas lorsqu’il existe un motif justificatif (cf. art. 13 al. 1 LPD: consentement, intérêts prépondérants, loi): une communication licite sous l’angle de la LPD ne saurait être sanctionnée pénalement.
Ob diese Erwägungen auch nach Art. 62 nDSG Bestand haben, wird sich zeigen, aber zumindest wäre es richtig, weiterhin nur “unbefugte”, d.h. datenschutzrechtlich unzulässige Bekanntgaben zu erfassen. Ist eine Bekanntgabe datenschutzrechtlich zulässig, auch wenn sie geheime Personendaten betrifft, fehlt jedenfalls ein Pflichtenverhältnis, dessen Verletzung strafwürdig ist, und Art. 14 StGB hält ebenfalls fest, dass erlaubtes Handeln nicht strafbar ist. Die Strafbarkeit entfällt deshalb nicht nur im Fall einer strafrechtlichen, sondern vor allem im Fall einer datenschutzrechtlichen Rechtfertigung.