Am 1. September 2023 trat das neue Datenschutzgesetz (DSG) der Schweiz in Kraft, das einige wichtige Änderungen mit sich brachte.
Die Änderung des DSG betrifft praktisch jedes Unternehmen bzw. jeden Unternehmer in der Schweiz. Dennoch haben einige Unternehmen in der Schweiz nach wie vor keine Schritte in die Wege geleitet. Für diese Unternehmen ist sofortiges Handeln angezeigt! Eine Verletzung des DSG kann gravierende Folgen haben, bis hin zur Strafbarkeit.
Welche Konsequenzen drohen bei einer Verletzung des DSG?
- Strafbestimmungen des DSG: Das neue DSG sieht empfindliche Strafen vor, die ausdrücklich auf die privaten Personen abzielen, die innerhalb eines Unternehmens für den Datenschutz verantwortlich sind. Dies ist im Zweifel die Geschäftsleitung und/oder der Verwaltungsrat. Die Strafe kann bei einer Verletzung der Pflichten eine Busse von bis zu CHF 250’000.00 betragen. Für eine Strafbarkeit ist Vorsatz vorausgesetzt, wobei Eventualvorsatz genügt, d.h. wenn man eine Verletzung für möglich hält und in Kauf nimmt. Diese Schwelle ist schnell gegeben und ein Nicht-Wissen-Wollen schützt nicht vor einer Strafe. Die Nichtbezahlung der Busse kann zu Gefängnisstrafen und weiteren Sanktionen führen.
- Strafbestimmungen ausserhalb des DSG: Kommt es zu einer Verletzung der datenschutzrechtlichen Grundsätze, kann dies weitere Strafen gemäss dem Strafgesetzbuch nach sich ziehen, z.B. wegen unbefugten Beschaffens von sensiblen Personendaten, wegen missbräuchlichen Verwendens der Identität einer anderen Person oder wegen Verletzung des Berufsgeheimnisses.
- Untersuchung: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann eine Untersuchung eröffnen, wenn er den Verdacht hat, dass eine Datenbearbeitung gegen das DSG verstösst. Im Rahmen dieser Untersuchungen kann der EDÖB Verfügungen erlassen, die bei Missachtung strafrechtliche Sanktionen drohen.
- Schadenersatz: Werden Persönlichkeitsrechte von Individuen verletzt, so können diese gestützt auf das Zivilgesetzbuch (ZGB) Schadenersatz- und unter gewissen Voraussetzungen sogar Genugtuungsforderungen stellen.
- Verletzung spezifischer Regeln: Für viele Rechtsunterworfene gelten Sonderregeln, so z.B. das FINMA-Rundschreiben 2018/3 zum Outsourcing. Dieses gilt für Banken, Versicherungsunternehmen und ausgewählte Finanzinstitute nach FINIG. Wer den Datenschutz nicht einhält, kann sich einem Enforcement-Verfahren der FINMA ausgesetzt sehen.
- Reputationsschaden: Verletzungen des DSG können das Vertrauen der Kunden und weiterer Stakeholder nachhaltig erschüttern.
Nicht zu unterschätzen ist das Risiko der Exponiertheit. Wenn ein Unternehmen das DSG (noch) nicht konsequent umgesetzt hat, ist dies von aussen erkennbar (z.B. keine oder veraltete Datenschutzerklärung). Dies führt dazu, dass z.B. ehemalige Mitarbeiter oder enttäuschte Vertragspartner das Unternehmen bei den Behörden anschwärzen, was die oben umschriebenen Konsequenzen nach sich ziehen kann.
Aus den Konsequenzen einer Gesetzesverletzung ergibt sich, dass Unternehmen, die das Thema DSG bis jetzt verschlafen oder bewusst ignoriert haben, umgehend handeln sollten.
Welche Schritte sollte ich unmittelbar unternehmen, wenn ich noch immer nichts gemacht habe?
In einem ersten Schritt sollten alle gegen aussen sichtbaren Dokumente umgehend entworfen oder angepasst werden. Dies betrifft insbesondere die Datenschutzerklärung und die Auftragsbearbeitungsverträge.
Die weiteren Schritte sind anschliessend ebenfalls schnellstmöglich in Angriff zu nehmen. Diese entnehmen Sie bitte unserem Blog-Beitrag zum Thema «Neues Datenschutzgesetz der Schweiz ab 1. September 2023: Was Unternehmen wissen müssen».
Die Anwälte von Advoro stehen Ihnen bei der Umsetzung Ihrer Datenschutz-Pflichten jederzeit gerne zur Verfügung. Im Einzelnen bieten wie Ihnen folgendes an:
- Erstgespräch und Einschätzungen zur DSG Ist-/Soll-Situation,
- Prüfung des Datenschutz-Konzeptes und der vorhandenen Dokumente,
- Erstellung oder Aktualisierung der nötigen Dokumentation (Datenschutzerklärung, Verträge usw.) in Übereinstimmung mit den Gesetzen, sowie
- Unterstützung bei komplexen rechtlichen Fragen und der laufenden Einhaltung aller Datenschutzvorschriften.