Es ist die in Datenschutzkreisen meistdiskutierte Neuerung des revidierten Datenschutzgesetzes: die neuen Strafbestimmungen. Die Verunsicherung ist gross und viele Unternehmen – und ihre mit Datenschutz befassten Mitarbeitenden – fragen sich, wie sich das Strafbarkeitsrisiko in der Unternehmenspraxis „managen“ lässt.
Zur Erinnerung: Werden die Datenschutzvorschriften verletzt, werden unter dem neuen Datenschutzgesetz im Unterschied zur DSGVO nicht die Unternehmen, sondern die für sie handelnden Menschen bestraft. Mit einer Busse bis CHF 250‘000, unter Umständen kombiniert mit einem (allerdings nur für Behörden sichtbaren) Eintrag im Strafregister. Strafbar ist nur vorsätzliches Handeln, was neben der willentlichen Tatbegehung aber auch die billigende Inkaufnahme umfasst. Meist ist ein Strafantrag einer betroffenen Person erforderlich, damit die Strafverfolgungsbehörden tätig werden. Den Antrag kann eine betroffene Person, nicht aber der EDÖB stellen.
Mit Strafe bedroht sind vor allem die Informations- und Auskunftspflichten, die Gewährleistung einer angemessenen Datensicherheit sowie die Pflichten bei Inanspruchnahme von Auftragsbearbeitern und bei Datentransfers ins Ausland. Die Verletzung anderer Pflichten bleibt hingegen straflos. So hat keine Strafe zu befürchten, wer z.B. einen Data Breach nicht meldet, kein Bearbeitungsverzeichnis führt oder trotz hohen Risiken eine Datenschutz-Folgenabschätzung unterlässt. Die Auswahl der strafbewehrten Pflichten ist recht zufällig und reflektiert bestenfalls im Ansatz den Unrechtsgehalt der Pflichtverletzung.
Viele Strategien, aber keine „Silver Bullet“
Welche Vorkehrungen können also im Hinblick auf das neue Strafregime getroffen werden? Der beste Schutz gegen ein Strafverfahren ist natürlich die Einhaltung des Datenschutzrechts. Wer sich an das Gesetz hält, hat nichts zu befürchten. Nur ist das Datenschutzrecht inzwischen so komplex und so streng, dass die jederzeitige und vollumfängliche Einhaltung aller Vorschriften schwierig ist. Die Überlegungen müssen also über Bestrebungen, die Einhaltung der Vorschriften bestmöglich sicherzustellen, hinausgehen.
In der Praxis haben sich u.a. folgende Strategien im Umgang mit den neuen Strafbestimmungen herauskristallisiert:
- Versicherung: Viele Unternehmen verfügen bereits über eine D&O‑Versicherung oder eine Versicherung gegen Cyberrisiken. Der Gedanke liegt nah, die Versicherungsdeckung auf die neuen datenschutzrechtlichen Bussen zu erweitern. Nach herrschender Auffassung sind die Bussen des neuen Datenschutzgesetzes als strafrechtliche Sanktionen jedoch höchstpersönlicher Natur und deshalb nicht versicherbar. Ein Versicherer würde sich nach verbreiteter Auffassung sogar der Begünstigung schuldig und somit selber strafbar machen. Versicherbar sind nur (aber immerhin) die Strafverteidigungs- und Verfahrenskosten, die bei vielen gängigen D&O‑Versicherungen bereits im Deckungsumfang sind.
- Bussenübernahme durch Arbeitgeber: In der Wirkung einer Versicherung nahe kommt es, wenn das Unternehmen seinen Mitarbeitenden verspricht, eine allfällige Busse zu übernehmen. Einige Unternehmen prüfen offenbar diesen Schritt, die meisten sind aber zurückhaltend. Unternehmen erwarten, dass sich ihre Mitarbeitenden an geltende Gesetze halten. Es sollen Anreize für rechtskonformes Verhalten geschaffen werden, nicht für Rechtsverstösse. Strafbarkeit unter dem neuen Datenschutzgesetz setzt zudem per Definition Vorsatz voraus, und welches Unternehmen möchte seine Mitarbeitenden schon schadlos halten, wenn vorsätzlich rechtswidrig gehandelt wird. (Wobei der ebenfalls strafbare Eventualvorsatz in der Praxis allerdings näher bei der Fahrlässigkeit ist als beim klassischen „Wissen und Wollen“ der Tat.) Hinzu kommt, dass auch hier die Ansicht verbreitet ist, eine Übernahme der Busse scheitere an der Höchstpersönlichkeit strafrechtlicher Sanktionen.
- Schärfung von Entscheidungswegen: Verbreitet ist das Bestreben, die Organisation zu schärfen und klare Entscheidungsstrukturen zu schaffen. Ziel ist es, für alle Beteiligten klar zu definieren, wo Entscheidungen getroffen werden und wer nur Entscheidungsgrundlagen schafft, aber selbst keine Entscheidungen trifft. Damit wird Klarheit über die Verantwortlichkeiten geschaffen. Die meisten betrieblichen Datenschützer werden dabei klarstellen wollen, dass Datenschutzbeauftragte bzw. Datenschutzberater nur beratende, nicht aber entscheidende Funktion haben. Diese Entscheidungsstrukturen sollten sich auch in den relevanten Stellen- und Funktionsbeschreibungen niederschlagen. Ergänzend können DPO-Bestimmungen und ähnliche flankierende Regularien die definierten Zuständigkeiten weiter festigen. – Die umgekehrte Strategie wäre übrigens, bewusst diffuse Entscheidungsstrukturen zu schaffen und es den Strafverfolgungsbehörden möglichst schwer zu machen, die verantwortliche Person zu eruieren. Dies in der Hoffnung, dass die Strafverfolgungsbehörden von der im Gesetz vorgesehenen Möglichkeit Gebrauch machen, anstelle der natürlichen Person den Geschäftsbetrieb zu bestrafen. Auch wenn diese Strategie durchaus zum gewünschten Resultat führen könnte, kann nicht ernsthaft dazu geraten werden, bewusst Verantwortlichkeiten zu verschleieren.
- Dokumentation: Ein oft gehörter Ratschlag ist, so viel wie möglich zu dokumentieren. Insbesondere Risikoentscheide sollten umfassend dokumentiert und damit nachvollziehbar gemacht werden. Dadurch lassen sich Verletzungen von Datenschutzvorschriften zwar nicht immer verhindern, aber immerhin dürfte es schwer fallen, auf vorsätzliches Handeln zu schliessen. Dokumentation hat andererseits aber auch das Potential zum Rohrkrepierer: Wenn dokumentiert ist, dass bewusst eine Datenschutzverletzung in Kauf genommen wurde, ist eventualvorsätzliches Handeln so gut wie nachgewiesen.
- Designated Risk Taker: Einer der originelleren Ansätze ist es, einen „Designated Risk Taker“ zu bestimmen, zu dem die Sanktionsrisiken möglichst kanalisiert werden. Der Vorteil: Durch klare Zuweisung wird das Sanktionsrisiko „manageable“. Die Risiken können bewertet und abgegolten, sprich vergütet werden. Das aus der Finanzbranche abgeleitete Konstrukt ist ein interessantes Gedankenspiel, in der Praxis ist der Ansatz aber kaum praktikabel. Die strafrechtliche Verantwortlichkeit richtet sich nach den tatsächlichen Verhältnissen und Entscheidungsstrukturen, nicht nach designten Zuweisungen. Ausserdem muss man schon ein sehr risikofreudiges Naturell haben, um sich als „Designated Risk Taker“ zu Verfügung zu stellen.
Ein Bärendienst am Datenschutz
Die vorstehende Übersicht zeigt, dass es kein Patentrezept für den Umgang mit den neuen Strafbestimmungen gibt. Das Strafbarkeitsrisiko unter dem revidierten Datenschutzgesetz ist eine Realität und lässt sich weder versichern noch „wegorganisieren“. Es lohnt sich aber, sich mit den Strafbestimmungen auseinanderzusetzen und sich eine Strategie zurechtzulegen. Eine Schärfung der Organisation und der Entscheidungsstrukturen sowie eine konsequente Dokumentation von Risikoentscheiden sind dabei sicher gute Ansatzpunkte. Noch bleibt auch etwas Zeit. Bis zum Inkrafttreten der Revision dauert es noch rund ein Jahr.
Schon heute sind aber erste Auswirkungen der neuen Strafbestimmungen zu beobachten. Aus Unternehmen wird berichtet, dass die Bereitschaft, in einem Unternehmen eine datenschutznahe Funktion zu übernehmen, spürbar abgenommen hat. Ein Grund ist die Befürchtung, sich dem Risiko strafrechtlicher Sanktionen auszusetzen. Das ist ein Warnzeichen: Funktionierende Datenschutzorganisationen bauen auf dezentralen Datenschutz-Funktionen in den Business-Bereichen auf. Können diese nicht wunschgemäss besetzt werden, wird ein effektiver Datenschutz schwierig. Den Kernanliegen des Datenschutzes erweisen die neuen Strafbestimmungen einen Bärendienst.
Matthias Glatthaar ist Leiter Datenschutz und Datenschutzbeauftragter im Migros-Genossenschafts-Bund. Er gibt seine persönliche Meinung wieder.