Zum Umgang mit den Straf­be­stim­mun­gen des neu­en Datenschutzgesetzes

Es ist die in Daten­schutz­krei­sen meist­dis­ku­tier­te Neue­rung des revi­dier­ten Daten­schutz­ge­set­zes: die neu­en Straf­be­stim­mun­gen. Die Ver­un­si­che­rung ist gross und vie­le Unter­neh­men – und ihre mit Daten­schutz befass­ten Mit­ar­bei­ten­den – fra­gen sich, wie sich das Straf­bar­keits­ri­si­ko in der Unter­neh­mens­pra­xis „mana­gen“ lässt.

Zur Erin­ne­rung: Wer­den die Daten­schutz­vor­schrif­ten ver­letzt, wer­den unter dem neu­en Daten­schutz­ge­setz im Unter­schied zur DSGVO nicht die Unter­neh­men, son­dern die für sie han­deln­den Men­schen bestraft. Mit einer Bus­se bis CHF 250‘000, unter Umstän­den kom­bi­niert mit einem (aller­dings nur für Behör­den sicht­ba­ren) Ein­trag im Straf­re­gi­ster. Straf­bar ist nur vor­sätz­li­ches Han­deln, was neben der wil­lent­li­chen Tat­be­ge­hung aber auch die bil­li­gen­de Inkauf­nah­me umfasst. Meist ist ein Straf­an­trag einer betrof­fe­nen Per­son erfor­der­lich, damit die Straf­ver­fol­gungs­be­hör­den tätig wer­den. Den Antrag kann eine betrof­fe­ne Per­son, nicht aber der EDÖB stellen.

Mit Stra­fe bedroht sind vor allem die Infor­ma­ti­ons- und Aus­kunfts­pflich­ten, die Gewähr­lei­stung einer ange­mes­se­nen Daten­si­cher­heit sowie die Pflich­ten bei Inan­spruch­nah­me von Auf­trags­be­ar­bei­tern und bei Daten­trans­fers ins Aus­land. Die Ver­let­zung ande­rer Pflich­ten bleibt hin­ge­gen straf­los. So hat kei­ne Stra­fe zu befürch­ten, wer z.B. einen Data Bre­ach nicht mel­det, kein Bear­bei­tungs­ver­zeich­nis führt oder trotz hohen Risi­ken eine Daten­schutz-Fol­gen­ab­schät­zung unter­lässt. Die Aus­wahl der straf­be­wehr­ten Pflich­ten ist recht zufäl­lig und reflek­tiert besten­falls im Ansatz den Unrechts­ge­halt der Pflichtverletzung.

Vie­le Stra­te­gien, aber kei­ne „Sil­ver Bullet“

Wel­che Vor­keh­run­gen kön­nen also im Hin­blick auf das neue Straf­re­gime getrof­fen wer­den? Der beste Schutz gegen ein Straf­ver­fah­ren ist natür­lich die Ein­hal­tung des Daten­schutz­rechts. Wer sich an das Gesetz hält, hat nichts zu befürch­ten. Nur ist das Daten­schutz­recht inzwi­schen so kom­plex und so streng, dass die jeder­zei­ti­ge und voll­um­fäng­li­che Ein­hal­tung aller Vor­schrif­ten schwie­rig ist. Die Über­le­gun­gen müs­sen also über Bestre­bun­gen, die Ein­hal­tung der Vor­schrif­ten best­mög­lich sicher­zu­stel­len, hinausgehen.

In der Pra­xis haben sich u.a. fol­gen­de Stra­te­gien im Umgang mit den neu­en Straf­be­stim­mun­gen herauskristallisiert:

  • Ver­si­che­rung: Vie­le Unter­neh­men ver­fü­gen bereits über eine D&O‑Versicherung oder eine Ver­si­che­rung gegen Cyber­ri­si­ken. Der Gedan­ke liegt nah, die Ver­si­che­rungs­deckung auf die neu­en daten­schutz­recht­li­chen Bus­sen zu erwei­tern. Nach herr­schen­der Auf­fas­sung sind die Bus­sen des neu­en Daten­schutz­ge­set­zes als straf­recht­li­che Sank­tio­nen jedoch höchst­per­sön­li­cher Natur und des­halb nicht ver­si­cher­bar. Ein Ver­si­che­rer wür­de sich nach ver­brei­te­ter Auf­fas­sung sogar der Begün­sti­gung schul­dig und somit sel­ber straf­bar machen. Ver­si­cher­bar sind nur (aber immer­hin) die Straf­ver­tei­di­gungs- und Ver­fah­rens­ko­sten, die bei vie­len gän­gi­gen D&O‑Versicherungen bereits im Deckungs­um­fang sind.
  • Bus­sen­über­nah­me durch Arbeit­ge­ber: In der Wir­kung einer Ver­si­che­rung nahe kommt es, wenn das Unter­neh­men sei­nen Mit­ar­bei­ten­den ver­spricht, eine all­fäl­li­ge Bus­se zu über­neh­men. Eini­ge Unter­neh­men prü­fen offen­bar die­sen Schritt, die mei­sten sind aber zurück­hal­tend. Unter­neh­men erwar­ten, dass sich ihre Mit­ar­bei­ten­den an gel­ten­de Geset­ze hal­ten. Es sol­len Anrei­ze für rechts­kon­for­mes Ver­hal­ten geschaf­fen wer­den, nicht für Rechts­ver­stö­sse. Straf­bar­keit unter dem neu­en Daten­schutz­ge­setz setzt zudem per Defi­ni­ti­on Vor­satz vor­aus, und wel­ches Unter­neh­men möch­te sei­ne Mit­ar­bei­ten­den schon schad­los hal­ten, wenn vor­sätz­lich rechts­wid­rig gehan­delt wird. (Wobei der eben­falls straf­ba­re Even­tu­al­vor­satz in der Pra­xis aller­dings näher bei der Fahr­läs­sig­keit ist als beim klas­si­schen „Wis­sen und Wol­len“ der Tat.) Hin­zu kommt, dass auch hier die Ansicht ver­brei­tet ist, eine Über­nah­me der Bus­se schei­te­re an der Höchst­per­sön­lich­keit straf­recht­li­cher Sanktionen.
  • Schär­fung von Ent­schei­dungs­we­gen: Ver­brei­tet ist das Bestre­ben, die Orga­ni­sa­ti­on zu schär­fen und kla­re Ent­schei­dungs­struk­tu­ren zu schaf­fen. Ziel ist es, für alle Betei­lig­ten klar zu defi­nie­ren, wo Ent­schei­dun­gen getrof­fen wer­den und wer nur Ent­schei­dungs­grund­la­gen schafft, aber selbst kei­ne Ent­schei­dun­gen trifft. Damit wird Klar­heit über die Ver­ant­wort­lich­kei­ten geschaf­fen. Die mei­sten betrieb­li­chen Daten­schüt­zer wer­den dabei klar­stel­len wol­len, dass Daten­schutz­be­auf­trag­te bzw. Daten­schutz­be­ra­ter nur bera­ten­de, nicht aber ent­schei­den­de Funk­ti­on haben. Die­se Ent­schei­dungs­struk­tu­ren soll­ten sich auch in den rele­van­ten Stel­len- und Funk­ti­ons­be­schrei­bun­gen nie­der­schla­gen. Ergän­zend kön­nen DPO-Bestim­mun­gen und ähn­li­che flan­kie­ren­de Regu­la­ri­en die defi­nier­ten Zustän­dig­kei­ten wei­ter festi­gen. – Die umge­kehr­te Stra­te­gie wäre übri­gens, bewusst dif­fu­se Ent­schei­dungs­struk­tu­ren zu schaf­fen und es den Straf­ver­fol­gungs­be­hör­den mög­lichst schwer zu machen, die ver­ant­wort­li­che Per­son zu eru­ie­ren. Dies in der Hoff­nung, dass die Straf­ver­fol­gungs­be­hör­den von der im Gesetz vor­ge­se­he­nen Mög­lich­keit Gebrauch machen, anstel­le der natür­li­chen Per­son den Geschäfts­be­trieb zu bestra­fen. Auch wenn die­se Stra­te­gie durch­aus zum gewünsch­ten Resul­tat füh­ren könn­te, kann nicht ernst­haft dazu gera­ten wer­den, bewusst Ver­ant­wort­lich­kei­ten zu verschleieren. 
    • Doku­men­ta­ti­on: Ein oft gehör­ter Rat­schlag ist, so viel wie mög­lich zu doku­men­tie­ren. Ins­be­son­de­re Risi­ko­ent­schei­de soll­ten umfas­send doku­men­tiert und damit nach­voll­zieh­bar gemacht wer­den. Dadurch las­sen sich Ver­let­zun­gen von Daten­schutz­vor­schrif­ten zwar nicht immer ver­hin­dern, aber immer­hin dürf­te es schwer fal­len, auf vor­sätz­li­ches Han­deln zu schlie­ssen. Doku­men­ta­ti­on hat ande­rer­seits aber auch das Poten­ti­al zum Rohr­kre­pie­rer: Wenn doku­men­tiert ist, dass bewusst eine Daten­schutz­ver­let­zung in Kauf genom­men wur­de, ist even­tu­al­vor­sätz­li­ches Han­deln so gut wie nachgewiesen.
    • Desi­gna­ted Risk Taker: Einer der ori­gi­nel­le­ren Ansät­ze ist es, einen „Desi­gna­ted Risk Taker“ zu bestim­men, zu dem die Sank­ti­ons­ri­si­ken mög­lichst kana­li­siert wer­den. Der Vor­teil: Durch kla­re Zuwei­sung wird das Sank­ti­ons­ri­si­ko „mana­ge­ab­le“. Die Risi­ken kön­nen bewer­tet und abge­gol­ten, sprich ver­gü­tet wer­den. Das aus der Finanz­bran­che abge­lei­te­te Kon­strukt ist ein inter­es­san­tes Gedan­ken­spiel, in der Pra­xis ist der Ansatz aber kaum prak­ti­ka­bel. Die straf­recht­li­che Ver­ant­wort­lich­keit rich­tet sich nach den tat­säch­li­chen Ver­hält­nis­sen und Ent­schei­dungs­struk­tu­ren, nicht nach design­ten Zuwei­sun­gen. Ausser­dem muss man schon ein sehr risi­ko­freu­di­ges Natu­rell haben, um sich als „Desi­gna­ted Risk Taker“ zu Ver­fü­gung zu stellen.

    Ein Bären­dienst am Datenschutz

    Die vor­ste­hen­de Über­sicht zeigt, dass es kein Patent­re­zept für den Umgang mit den neu­en Straf­be­stim­mun­gen gibt. Das Straf­bar­keits­ri­si­ko unter dem revi­dier­ten Daten­schutz­ge­setz ist eine Rea­li­tät und lässt sich weder ver­si­chern noch „weg­or­ga­ni­sie­ren“. Es lohnt sich aber, sich mit den Straf­be­stim­mun­gen aus­ein­an­der­zu­set­zen und sich eine Stra­te­gie zurecht­zu­le­gen. Eine Schär­fung der Orga­ni­sa­ti­on und der Ent­schei­dungs­struk­tu­ren sowie eine kon­se­quen­te Doku­men­ta­ti­on von Risi­ko­ent­schei­den sind dabei sicher gute Ansatz­punk­te. Noch bleibt auch etwas Zeit. Bis zum Inkraft­tre­ten der Revi­si­on dau­ert es noch rund ein Jahr.

    Schon heu­te sind aber erste Aus­wir­kun­gen der neu­en Straf­be­stim­mun­gen zu beob­ach­ten. Aus Unter­neh­men wird berich­tet, dass die Bereit­schaft, in einem Unter­neh­men eine daten­schutz­na­he Funk­ti­on zu über­neh­men, spür­bar abge­nom­men hat. Ein Grund ist die Befürch­tung, sich dem Risi­ko straf­recht­li­cher Sank­tio­nen aus­zu­set­zen. Das ist ein Warn­zei­chen: Funk­tio­nie­ren­de Daten­schutz­or­ga­ni­sa­tio­nen bau­en auf dezen­tra­len Daten­schutz-Funk­tio­nen in den Busi­ness-Berei­chen auf. Kön­nen die­se nicht wunsch­ge­mäss besetzt wer­den, wird ein effek­ti­ver Daten­schutz schwie­rig. Den Kern­an­lie­gen des Daten­schut­zes erwei­sen die neu­en Straf­be­stim­mun­gen einen Bärendienst.

    Mat­thi­as Glatt­haar ist Lei­ter Daten­schutz und Daten­schutz­be­auf­trag­ter im Migros-Genos­sen­schafts-Bund. Er gibt sei­ne per­sön­li­che Mei­nung wieder.