-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 58 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 40 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
- In Kürze
- I. Allgemeines
- II. Objektiver Tatbestand
- III. Subjektiver Tatbestand
- IV. Rechtswidrigkeit und Schuld
- Literaturverzeichnis
- Materialienverzeichnis
In Kürze
Die Bestimmung von Art. 61 stellt (i) die vorsätzliche Verletzung der Vorgaben beim Datenexport, (ii) die vorsätzliche Verletzung der Vorgaben bei der Übergabe der Datenbearbeitung an einen Auftragsbearbeiter und (iii) die vorsätzliche Nichteinhaltung von Mindestanforderungen an die Datensicherheit unter Strafe. Bei Erfüllung einer dieser Tatbestände droht eine Busse bis zu 250 000 Franken. Bei der Tatvariante der vorsätzlichen Nichteinhaltung von Mindestanforderungen an die Datensicherheit (Art. 61 lit. c) bestehen begründete Zweifel an deren Justiziabilität.
I. Allgemeines
1 Die Bestimmung von Art. 61 ist neu. Der Bundesrat hat die Einführung dieser Bestimmung in der Botschaft damit begründet, dass das totalrevidierte Datenschutzgesetz «neue elementare Pflichten» vorsehe, «die von den geltenden Strafbestimmungen nicht abgedeckt» würden.
2 Bei der Strafnorm von Art. 61 handelt es sich um ein Antragsdelikt.
3 Zweck von Art. 61 ist es, den gesetzlich (Art. 16 Abs. 1 und 2 i.V.m. Art. 17; Art. 9 Abs. 1 und 2; Art. 8 Abs. 3) verankerten Pflichten der Verantwortlichen und Auftragsbearbeiter Nachdruck zu verleihen, indem ihre Verletzung unter Strafe gestellt wird. Die Strafbewehrung soll gemäss Botschaft letztlich dazu beitragen, dass die Persönlichkeit der betroffenen Personen wirksam geschützt wird.
4 Es handelt sich beim Straftatbestand von Art. 61 um ein Sonderdelikt
5 Was den Straftatbestand von Art. 61 lit. c betrifft, so wurde dieser im Gesetzgebungsverfahren wiederholt als zu unbestimmt kritisiert.
II. Objektiver Tatbestand
6 Art. 61 DSG nennt drei Tatbestände, deren Erfüllung als Verletzung von Sorgfaltspflichten gilt. Folge einer Zuwiderhandlung seitens privater Personen ist eine Busse im Umfang von bis zu 250 000 Franken. Namentlich wird die Verletzung der folgenden drei Tatbestände auf Antrag strafrechtlich verfolgt: Die Verletzung der Vorgaben beim Datenexport (Art. 61 lit. a, unten N. 7 ff.), die Verletzung der Vorgaben bei der Übergabe der Datenbearbeitung an einen Auftragsbearbeiter (Art. 61 lit. b, unten N. 12 ff.) und die Nichteinhaltung von Mindestanforderungen an die Datensicherheit (Art. 61 lit. c, unten N. 15 ff.).
A. Verletzung der Vorgaben beim Datenexport (Art. 61 lit. a)
1. Allgemeines
7 Unter bisherigem Recht blieb straflos, wer die gesetzlichen Vorgaben im Rahmen einer Datenbekanntgabe in Staaten ohne angemessenen gesetzlichen Datenschutz unbeachtet liess. Strafbar machte sich nach Art. 34 Abs. 2 lit. a aDSG nur, wer sich zwar um einen Schutz in Form eines Vertrags kümmerte, es aber vorsätzlich unterliess, diesen Vertrag dem EDÖB gemäss Art. 6 Abs. 3 aDSG zu melden oder dabei vorsätzlich falsche Angaben machte.
8 Nach Art. 61 lit. a macht sich nunmehr strafbar, wer vorsätzlich Daten in einen Staat ohne angemessenen Datenschutz exportiert und dabei weder eine hinreichende Datenschutzgarantie vorweisen noch sich auf eine Ausnahme gemäss Art. 17 stützen kann.
9 Im Anwendungsbereich der DSGVO hat die Europäische Kommission die bisherigen Standardvertragsklauseln
10 Art. 10 Abs. 1 DSV präzisiert bzw. relativiert, dass der Datenexporteur bei einer Datenbekanntgabe mittels Standardvertragsklauseln «angemessene Massnahmen» zu treffen hat, um sicherzustellen, dass der Datenimporteur die betreffenden Klauseln beachtet. Daraus folgt, dass (im Sinne des risikobasierten Ansatzes) ein Restrisiko hingenommen werden darf, dass das lokale Recht des Importeurs die Einhaltung der Standardvertragsklauseln durch den Importeur unterläuft, solange Massnahmen getroffen wurden, um dieses Risiko angemessen zu reduzieren.
2. Keine Strafbarkeit des Importeurs
11 Wer (als Exporteur) Personendaten ins Ausland bekanntgibt, obwohl er weiss, dass der Empfänger (Importeur) der Daten trotz Vertrag keinen geeigneten Datenschutz sicherstellt, setzt sich dem Risiko der Strafbarkeit nach Art. 61 lit. a aus. Keinem Strafbarkeitsrisiko unterliegt demgegenüber der Importeur, der Personendaten entgegennimmt oder sie vertrags- oder datenschutzwidrig verwendet – tatbestandsmässig nach Art. 61 lit. a ist einzig die Bekanntgabe von Personendaten.
B. Verletzung der Vorgaben bei der Übergabe der Datenbearbeitung an einen Auftragsbearbeiter (Art. 61 lit. b)
1. Allgemeines
12 Nach Art. 61 lit. b macht sich strafbar, wer vorsätzlich die Datenbearbeitung einem Auftragsbearbeiter übergibt, ohne dass die Voraussetzungen nach Art. 9 Abs. 1 und 2 erfüllt sind. Nach Art. 9 Abs. 1 kann die Bearbeitung von Personendaten vertraglich oder gesetzlich einem Auftragsbearbeiter übertragen werden, wenn (a) die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte und (b) keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet. Nach Art. 9 Abs. 2 hat sich der Verantwortliche insbesondere zu vergewissern, «dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten». Der objektive Tatbestand von Art. 61 lit. b wäre etwa erfüllt, wenn ein Unternehmen als Verantwortlicher einen Auftragsbearbeiter (z.B. Cloud Service Provider) einsetzt, ohne mit diesem einen rechtsgenügenden Auftragsdatenbearbeitungsvertrag abgeschlossen zu haben.
13 Art. 7 DSV präzisiert diese Voraussetzungen der Auftragsbearbeitung: der Verantwortliche hat die Beauftragung von Unterauftragsbearbeitern vorgängig in allgemeiner oder konkreter Weise zu genehmigen (Art. 7 Abs. 1 DSV). Bei einer allgemeinen Genehmigung ist der Verantwortliche über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Dritter zu informieren, wobei der Verantwortliche widersprechen kann (Art. 7 Abs. 2 DSV). Vgl. zum Ganzen die Kommentierung zu Art. 9.
2. Keine Strafbarkeit des Auftragsbearbeiters (bzw. der für ihn handelnden Personen)
14 Nicht strafbewehrt ist die Verletzung von Art. 9 Abs. 3, also der Pflicht des Auftragsbearbeiters, sich neue Unterauftragsbearbeiter vom Verantwortlichen vorgängig genehmigen zu lassen. Auch bei einer Verletzung von Art. 9 Abs. 1 oder 2 fällt gemäss Wortlaut von Art. 61 lit. b eine Strafbarkeit des Auftragsbearbeiters (bzw. der für ihn handelnden Personen) ausser Betracht: Bestraft werden kann ausschliesslich der Verantwortliche (bzw. die für ihn handelnden Personen). Dasselbe hat auch zu gelten für den Fall, dass der Auftragsbearbeiter seinerseits die Datenbearbeitung an einen Unterauftragsbearbeiter überträgt: strafbegründende Normen sind eng auszulegen.
C. Verletzung der Mindestanforderungen an die Datensicherheit (Art. 61 lit. c)
1. Allgemeines
15 Nach Art. 61 lit. c macht sich strafbar, wer vorsätzlich die vom Bundesrat nach Art. 8 Abs. 3 erlassenen Mindestanforderungen an die Datensicherheit nicht einhält. Bezug genommen wird hier auf den ersten Abschnitt («Datensicherheit», Art. 1 ff.) des ersten Kapitels der DSV.
16 Bei der Bestimmung von Art. 61 lit. c handelt es sich um ein als Blankettnorm
2. Verstoss gegen die Grundsätze von Art. 1 DSV
17 Die Bestimmung von Art. 1 DSV enthält Grundsätze, die der Verantwortliche und der Auftragsbearbeiter zu beachten haben bei der Festlegung des angemessenen Schutzniveaus und der dafür geeigneten Massnahmen. Es handelt sich dabei um allgemeine Leitlinien
18 Hält sich der Verantwortliche nicht an die Grundsätze von Art. 1 DSV, bestimmt er also etwa den Schutzbedarf der Personendaten nicht nach den in Abs. 1 vorgesehenen Kriterien oder berücksichtigt er bei der Risikobewertung relevante Kriterien nicht wie in Abs. 2 vorgesehen oder überprüft er seine Massnahmen nicht «über die gesamte Bearbeitungsdauer hinweg» wie in Abs. 5 vorgesehen, indiziert dies noch keine Verletzung von «Mindestanforderungen» an die Datensicherheit: Einerseits definiert Art. 1 DSV solche Anforderungen gerade nicht, sondern enthält nur Leitlinien, wie solche erreicht werden können, und andererseits kann ein Verantwortlicher auch effektive Massnahmen zur Gewährleistung angemessener Datensicherheit implementieren, ohne strikte nach Art. 1 DSV vorzugehen.
3. Verstoss gegen die Ziele von Art. 2 DSV
19 Die Bestimmung von Art. 2 DSV definiert Schutzziele der Datensicherheit, die der Verantwortliche und der Auftragsbearbeiter mittels technischer und organisatorischer Massnahmen zu erreichen haben: Vertraulichkeit (lit. a), Verfügbarkeit (lit. b), Integrität (lit. c) und Nachvollziehbarkeit (lit. d).
20 Diese Schutzziele sind identisch mit jenen gemäss Art. 6 Abs. 2 des Bundesgesetzes vom 18. Dezember 2020 über die Informationssicherheit beim Bund (Informationssicherheitsgesetz). Wie die Grundsätze gemäss Art. 1 DSV, sind auch die Ziele gemäss Art. 2 DSV sehr allgemein gehalten (was sich nur schon aus der Überschrift «Ziele» ergibt) und es lassen sich daraus keine «Mindestanforderungen» an die Datensicherheit i.S.v. Art. 8 Abs. 3 ableiten. Welche konkreten technischen und organisatorischen Massnahmen denn zu implementieren wären, geht daraus nicht hervor. Meyle/Morand/Vasella stellen die Justiziabilität auch dieser Bestimmung zurecht in Frage.
4. Verstoss gegen die Bestimmung betreffend technische und organisatorische Massnahmen (Art. 3 DSV)
21 Die Bestimmung von Art. 3 DSV enthält Vorgaben für technische und organisatorische Massnahmen und konkretisiert damit die Datensicherheit. «Mindestanforderungen» an die Datensicherheit i.S.v. Art. 8 Abs. 3 enthält sie aber (ebenfalls) keine, sondern Art. 3 DSV konkretisiert bloss die in Art. 2 DSV enthaltenen Schutzziele.
22 Bei einer weiten Auslegung könnten in Art. DSV insofern «Mindestanforderungen» hineingelesen werden, als gemäss dieser Bestimmung die Schutzziele i.S.v. Art. 2 DSV «zu gewährleisten» sind. Eine solche Auslegung würde allerdings bedeuten, jede Verletzung eines Schutzziels wäre ein Beleg dafür, dass eine geeignete Massnahme fehlte. Dies wiederum würde sich nicht mit dem im Bereich der Datensicherheit anerkannten risikobasierten Ansatz
23 Art. 3 DSV ist gemeinsam mit Art. 1 und 2 DSV als eine Konkretisierung des Begriffs der Datensicherheit zu lesen, ohne dass daraus «Mindestanforderungen» an die Datensicherheit abzuleiten wären. Hinzu kommt, dass der Verantwortliche und der Auftragsbearbeiter nicht zwingend sämtliche Schutzziele gemäss Art. 3 DSV für ihre technischen und organisatorischen Massnahmen zu berücksichtigen haben.
5. Unterlassung der Protokollierung nach Art. 4 DSV
24 Die Bestimmung von Art. 4 DSV übernimmt den bisherigen Art. 10 VDSG. Mit der Protokollierung soll die Zweckbindung sichergestellt werden.
25 Eine «Mindestanforderung an die Datensicherheit», wie sie Art. 61 lit. c erwähnt, ist die Protokollierung jedenfalls im Regelfall nicht (auch wenn Art. 4 DSV unter dem ersten Abschnitt «Datensicherheit» der DSV aufgeführt ist) und die Unterlassung der Protokollierung kann insofern auch nicht strafbar sein. Eine Strafbarkeit wäre ausnahmsweise denkbar, wenn eine Strafverfolgungsbehörde im Einzelfall nachweisen könnte, dass die Protokollierung als Massnahme der Nachvollziehbarkeit indirekt auch der Datensicherheit dienen sollte und dies der beschuldigten Person zumindest in den groben Zügen bewusst war.
6. Unterlassung der Erstellung eines Bearbeitungsreglements nach Art. 5 f. DSV
26 Die Bestimmungen von Art. 5 f. DSV übernehmen die bisherigen Art. 11 VDSG und Art. 21 VDSG. Im Erläuternden Bericht DSV hält der Bundesrat selbst fest, dass es bei der Erstellung eines Bearbeitungsreglements um die Rechenschaftspflicht geht
27 Eine «Mindestanforderung an die Datensicherheit», wie sie Art. 61 lit. c erwähnt, ist die Erstellung eines «Bearbeitungsreglements» (auch wenn Art. 5 f. DSV unter dem ersten Abschnitt «Datensicherheit» der DSV aufgeführt sind) nicht und die Unterlassung dieser Erstellung kann insofern auch nicht strafbar sein.
7. Berücksichtigung der Kosten bei der Bestimmung der angemessenen Datensicherheit und der geeigneten Massnahmen
28 Nach Art. 1 Abs. 1 DSV haben der Verantwortliche und der Auftragsbearbeiter zur Gewährleistung einer angemessenen Datensicherheit den Schutzbedarf der Personendaten zu bestimmen und «die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen» festzulegen. Art. 1 Abs. 2 DSV umschreibt Kriterien für die Beurteilung des Schutzbedarfs der Personendaten und Art. 1 Abs. 3 DSV umschreibt Kriterien für die Beurteilung des Risikos für die Persönlichkeit oder die Grundrechte der betroffenen Person. Je höher der Schutzbedarf der Personendaten und/oder je höher das erwähnte Risiko ist, desto strenger sind die Anforderungen an die Massnahmen.
29 Die Implementierungskosten sollen gemäss Bundesrat weit verstanden werden und nicht nur erforderliche finanzielle, sondern auch personelle und zeitliche Ressourcen umfassen.
30 Die «Mindestanforderungen an die Datensicherheit» werden damit nicht verletzt (und es ist nicht strafbar), wenn der Verantwortliche oder der Auftragsbearbeiter bei der Bestimmung der angemessenen Datensicherheit und der geeigneten Massnahmen u.a. auch die Kosten berücksichtigen.
III. Subjektiver Tatbestand
31 In subjektiver Hinsicht verlangt der Straftatbestand von Art. 61 Vorsatz, wobei Eventualvorsatz genügt. Eventualvorsätzlich handelt der Täter namentlich, wenn er zwar nicht mit Sicherheit weiss, dass er mit seinem Verhalten gegen die Vorgaben beim Datenexport (Art. 16 Abs. 1 und 2; Art. 17) oder bei der Übergabe der Datenbearbeitung an einen Auftragsbearbeiter (Art. 9 Abs. 1 und 2) verstösst oder die Mindestanforderungen an die Datensicherheit (Art. 8 Abs. 3 i.V.m Art. 1 ff. DSV) nicht einhält, er aber sich damit abfindet bzw. in Kauf nimmt, dass er möglicherweise einen Verstoss begeht.
32 Eventualvorsätzliches Handeln beim Straftatbestand von Art. 61 lit. b ist gegeben, wenn der Täter bei der Übertragung der Datenbearbeitung auf einen Auftragsbearbeiter zumindest in Kauf nimmt, dass der Auftragsbearbeiter (i) die Daten gesetzeswidrig bearbeitet oder (ii) die Datensicherheit nicht gewährleistet. Entscheidend für die Beantwortung der Frage, ob eine solche Inkaufnahme vorliegt, sind die Umstände, unter denen der betreffende Auftragsbearbeiter «geprüft» und letztlich ausgewählt wurde. Die Vorgaben von Art. 9 sind (gerade im Vergleich zur Parallelregelung von Art. 28 DSGVO) sehr offen und unscharf formuliert, was es in der Praxis den Strafbehörden erschweren dürfte, strafbares Verhalten im Einzelfall nachzuweisen (abgesehen davon, dass hinsichtlich der Justiziabilität der Tatvariante der vorsätzlichen Nichteinhaltung von Mindestanforderungen an die Datensicherheit ohnehin begründete Zweifel bestehen, siehe oben N. 17 ff.).
IV. Rechtswidrigkeit und Schuld
Vgl. OK-Gassmann zu Art. 60, N. 26 f.
Literaturverzeichnis
EDÖB, Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge vom 27. August 2021, https://www.edoeb.admin.ch/dam/edoeb/de/Dokumente/datenschutz/Paper%20SCC_DE.pdf.download.pdf/Paper%20SCC_DE.pdf, besucht am 8.8.2023.
Meyle Hannes/Morand Anne-Sophie/Vasella David, DSV: keine Mindestanforderungen an die Datensicherheit, keine entsprechende Strafbarkeit, weitere Anmerkungen, https://datenrecht.ch/dsv-keine-mindestanforderungen-an-die-datensicherheit-keine-entsprechende-strafbarkeit-weitere-anmerkungen/, besucht am 8.8.2023.
Popp Peter/Berkemeier Anne, Kommentierung zu Art. 1 StGB, in: Niggli Marcel Alexander/Wiprächtiger Hans (Hrsg.), Basler Kommentar, Strafrecht (StGB/JStGB), 4. Aufl., Basel 2018.
Rosenthal David, Neue EU Standardvertragsklauseln für Datentransfers in unsichere Drittländer, https://www.rosenthal.ch/downloads/VISCHER-faq-scc.pdf, besucht am 8.8.2023.
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 1/2021, S. 52 ff.; Wohlers Wolfgang, Kommentierung zu Art. 61 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski, Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Materialienverzeichnis
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 6941 ff. (zit. Botschaft 2017), abrufbar unter https://www.admin.ch/opc/de/federal-gazette/2017/6941.pdf, besucht am 8.8.2023.
Erläuternder Bericht des Bundesamts für Justiz BJ zur Verordnung über den Datenschutz vom 31.8.2022, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vdsg/erlaeuterungen-vo.pdf.download.pdf/erlaeuterungen-vo-d.pdf (zit. Erläuternder Bericht DSV), besucht am 8.8.2023.
Kommentar des Bundesamts für Justiz BJ zur Vollzugsverordnung zum Bundesgesetz über den Datenschutz vom 1.1.2008 (zit. Kommentar BJ zur VDSG), abrufbar unter https://www.edoeb.admin.ch/dam/edoeb/de/Dokumente/deredoeb/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf.download.pdf/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf, besucht am 8.8.2023.