PDF:
Kommentierung zu
Art. 61 DSG

Eine Kommentierung von Jonas D. Gassmann

Herausgegeben von Thomas Steiner / Anne-Sophie Morand / Daniel Hürlimann

defriten

In Kürze

Die Bestimmung von Art. 61 stellt (i) die vorsätzliche Verletzung der Vorgaben beim Datenexport, (ii) die vorsätzliche Verletzung der Vorgaben bei der Übergabe der Datenbearbeitung an einen Auftragsbearbeiter und (iii) die vorsätzliche Nichteinhaltung von Mindestanforderungen an die Datensicherheit unter Strafe. Bei Erfüllung einer dieser Tatbestände droht eine Busse bis zu 250 000 Franken. Bei der Tatvariante der vorsätzlichen Nichteinhaltung von Mindestanforderungen an die Datensicherheit (Art. 61 lit. c) bestehen begründete Zweifel an deren Justiziabilität.

I. Allgemeines

1 Die Bestimmung von Art. 61 ist neu. Der Bundesrat hat die Einführung dieser Bestimmung in der Botschaft damit begründet, dass das totalrevidierte Datenschutzgesetz «neue elementare Pflichten» vorsehe, «die von den geltenden Strafbestimmungen nicht abgedeckt» würden.

Es handelt sich um ein abstraktes Gefährdungsdelikt; das Delikt ist mit Vornahme der Tathandlung vollendet, die Strafbarkeit setzt also keine Kenntnisnahme der betroffenen Personendaten durch unbefugte Dritte voraus.

2 Bei der Strafnorm von Art. 61 handelt es sich um ein Antragsdelikt.

3 Zweck von Art. 61 ist es, den gesetzlich (Art. 16 Abs. 1 und 2 i.V.m. Art. 17; Art. 9 Abs. 1 und 2; Art. 8 Abs. 3) verankerten Pflichten der Verantwortlichen und Auftragsbearbeiter Nachdruck zu verleihen, indem ihre Verletzung unter Strafe gestellt wird. Die Strafbewehrung soll gemäss Botschaft letztlich dazu beitragen, dass die Persönlichkeit der betroffenen Personen wirksam geschützt wird.

Art. 61 lit. a ist auch im Zusammenhang mit der Zielsetzung der Revision des DSG zu lesen, wie sie der Bundesrat in seinem Bericht über die Evaluation des DSG vom 9. Dezember 2011
erwähnt hatte: Die Revision sollte die Zunahme von Datenbearbeitungen, die zunehmend internationale Dimension von Datenbearbeitungen und die zunehmende Schwierigkeit, einmal bekannt gegebene Daten weiterhin kontrollieren zu können, adressieren.

4 Es handelt sich beim Straftatbestand von Art. 61 um ein Sonderdelikt

: Als Täter in Frage kommt nur, wer die Einhaltung der in Art. 61 genannten Pflichten sicherzustellen hat, wobei dies bei juristischen Personen nach Art. 29 StGB deren Leitungspersonen sind. Die Bestimmung von Art. 61 richtet sich damit ihrer Natur nach primär an weisungsbefugte Personen, da diese die Erfüllung der betreffenden Pflichten sicherzustellen haben.
Wer Zuwiderhandlungen von untergebenen Mitarbeitenden nicht verhindert bzw. nicht in ihren Auswirkungen aufhebt, kommt ebenfalls als Täter in Frage (Art. 6 Abs. 2 und 3 VStrR i.V.m. Art. 64 Abs. 1 DSG).

5 Was den Straftatbestand von Art. 61 lit. c betrifft, so wurde dieser im Gesetzgebungsverfahren wiederholt als zu unbestimmt kritisiert.

Dem Antrag auf Streichung wurde letztlich aber nicht stattgegeben.
Meyle/Morand/Vasella stellen die Justiziabilität der in der DSV geregelten «Mindestanforderungen an die Datensicherheit» zurecht in Frage (dazu unten, N. 17 ff.).

II. Objektiver Tatbestand

6 Art. 61 DSG nennt drei Tatbestände, deren Erfüllung als Verletzung von Sorgfaltspflichten gilt. Folge einer Zuwiderhandlung seitens privater Personen ist eine Busse im Umfang von bis zu 250 000 Franken. Namentlich wird die Verletzung der folgenden drei Tatbestände auf Antrag strafrechtlich verfolgt: Die Verletzung der Vorgaben beim Datenexport (Art. 61 lit. a, unten N. 7 ff.), die Verletzung der Vorgaben bei der Übergabe der Datenbearbeitung an einen Auftragsbearbeiter (Art. 61 lit. b, unten N. 12 ff.) und die Nichteinhaltung von Mindestanforderungen an die Datensicherheit (Art. 61 lit. c, unten N. 15 ff.).

A. Verletzung der Vorgaben beim Datenexport (Art. 61 lit. a)

1. Allgemeines

7 Unter bisherigem Recht blieb straflos, wer die gesetzlichen Vorgaben im Rahmen einer Datenbekanntgabe in Staaten ohne angemessenen gesetzlichen Datenschutz unbeachtet liess. Strafbar machte sich nach Art. 34 Abs. 2 lit. a aDSG nur, wer sich zwar um einen Schutz in Form eines Vertrags kümmerte, es aber vorsätzlich unterliess, diesen Vertrag dem EDÖB gemäss Art. 6 Abs. 3 aDSG zu melden oder dabei vorsätzlich falsche Angaben machte.

8 Nach Art. 61 lit. a macht sich nunmehr strafbar, wer vorsätzlich Daten in einen Staat ohne angemessenen Datenschutz exportiert und dabei weder eine hinreichende Datenschutzgarantie vorweisen noch sich auf eine Ausnahme gemäss Art. 17 stützen kann.

Hat der Bundesrat gestützt auf Art. 16 Abs. 1 keinen «Angemessenheitsbeschluss» erlassen, dürfen Personendaten in den betreffenden Staat nur unter den in Art. 16 Abs. 2 erwähnten Voraussetzungen bekannt gegeben werden, wobei die grösste praktische Relevanz dem Abschluss von Standardvertragsklauseln («Standarddatenschutzklauseln», lit. d) zukommt.

9 Im Anwendungsbereich der DSGVO hat die Europäische Kommission die bisherigen Standardvertragsklauseln

mit Wirkung auf den 27. September 2021 mit dem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 aufgehoben und durch neue Standardvertragsklauseln
ersetzt. Der EDÖB hat diese neuen Standardvertragsklauseln am 27. August 2021 mit dem Vorbehalt anerkannt, dass sie im konkreten Anwendungsfall nötigenfalls angepasst und/oder ergänzt werden.
Wer Daten in einen Staat bekannt gibt, der über keinen angemessenen gesetzlichen Datenschutz verfügt, kann sich allerdings nicht mit dem blossen Abschluss anerkannter Standardvertragsklauseln begnügen. Vielmehr verlangt der Wortlaut von Art. 16 Abs. 2 lit. d, dass diese Standardvertragsklauseln auch tatsächlich einen «geeigneten» Datenschutz gewährleisten.
Die neuen Standardvertragsklauseln sehen vor, dass die Parteien (i) sich zusätzlich vergewissern, dass sie die Standardvertragsklauseln ungeachtet des nationalen Rechts des Importeurs auch einhalten können und (ii) ihre diesbezügliche Einschätzung dokumentieren.
Durchzuführen ist also ein sog. Transfer Impact Assessment (TIA) und Daten dürfen nur transferiert werden, wenn dieses TIA zufriedenstellend ausfällt.

10 Art. 10 Abs. 1 DSV präzisiert bzw. relativiert, dass der Datenexporteur bei einer Datenbekanntgabe mittels Standardvertragsklauseln «angemessene Massnahmen» zu treffen hat, um sicherzustellen, dass der Datenimporteur die betreffenden Klauseln beachtet. Daraus folgt, dass (im Sinne des risikobasierten Ansatzes) ein Restrisiko hingenommen werden darf, dass das lokale Recht des Importeurs die Einhaltung der Standardvertragsklauseln durch den Importeur unterläuft, solange Massnahmen getroffen wurden, um dieses Risiko angemessen zu reduzieren.

Vgl. hierzu die Kommentierung zu Art. 16 und 17.

2. Keine Strafbarkeit des Importeurs

11 Wer (als Exporteur) Personendaten ins Ausland bekanntgibt, obwohl er weiss, dass der Empfänger (Importeur) der Daten trotz Vertrag keinen geeigneten Datenschutz sicherstellt, setzt sich dem Risiko der Strafbarkeit nach Art. 61 lit. a aus. Keinem Strafbarkeitsrisiko unterliegt demgegenüber der Importeur, der Personendaten entgegennimmt oder sie vertrags- oder datenschutzwidrig verwendet – tatbestandsmässig nach Art. 61 lit. a ist einzig die Bekanntgabe von Personendaten.

B. Verletzung der Vorgaben bei der Übergabe der Datenbearbeitung an einen Auftragsbearbeiter (Art. 61 lit. b)

1. Allgemeines

12 Nach Art. 61 lit. b macht sich strafbar, wer vorsätzlich die Datenbearbeitung einem Auftragsbearbeiter übergibt, ohne dass die Voraussetzungen nach Art. 9 Abs. 1 und 2 erfüllt sind. Nach Art. 9 Abs. 1 kann die Bearbeitung von Personendaten vertraglich oder gesetzlich einem Auftragsbearbeiter übertragen werden, wenn (a) die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte und (b) keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet. Nach Art. 9 Abs. 2 hat sich der Verantwortliche insbesondere zu vergewissern, «dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten». Der objektive Tatbestand von Art. 61 lit. b wäre etwa erfüllt, wenn ein Unternehmen als Verantwortlicher einen Auftragsbearbeiter (z.B. Cloud Service Provider) einsetzt, ohne mit diesem einen rechtsgenügenden Auftragsdatenbearbeitungsvertrag abgeschlossen zu haben.

13 Art. 7 DSV präzisiert diese Voraussetzungen der Auftragsbearbeitung: der Verantwortliche hat die Beauftragung von Unterauftragsbearbeitern vorgängig in allgemeiner oder konkreter Weise zu genehmigen (Art. 7 Abs. 1 DSV). Bei einer allgemeinen Genehmigung ist der Verantwortliche über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Dritter zu informieren, wobei der Verantwortliche widersprechen kann (Art. 7 Abs. 2 DSV). Vgl. zum Ganzen die Kommentierung zu Art. 9.

2. Keine Strafbarkeit des Auftragsbearbeiters (bzw. der für ihn handelnden Personen)

14 Nicht strafbewehrt ist die Verletzung von Art. 9 Abs. 3, also der Pflicht des Auftragsbearbeiters, sich neue Unterauftragsbearbeiter vom Verantwortlichen vorgängig genehmigen zu lassen. Auch bei einer Verletzung von Art. 9 Abs. 1 oder 2 fällt gemäss Wortlaut von Art. 61 lit. b eine Strafbarkeit des Auftragsbearbeiters (bzw. der für ihn handelnden Personen) ausser Betracht: Bestraft werden kann ausschliesslich der Verantwortliche (bzw. die für ihn handelnden Personen). Dasselbe hat auch zu gelten für den Fall, dass der Auftragsbearbeiter seinerseits die Datenbearbeitung an einen Unterauftragsbearbeiter überträgt: strafbegründende Normen sind eng auszulegen.

C. Verletzung der Mindestanforderungen an die Datensicherheit (Art. 61 lit. c)

1. Allgemeines

15 Nach Art. 61 lit. c macht sich strafbar, wer vorsätzlich die vom Bundesrat nach Art. 8 Abs. 3 erlassenen Mindestanforderungen an die Datensicherheit nicht einhält. Bezug genommen wird hier auf den ersten Abschnitt («Datensicherheit», Art. 1 ff.) des ersten Kapitels der DSV.

16 Bei der Bestimmung von Art. 61 lit. c handelt es sich um ein als Blankettnorm

ausgestaltetes abstraktes Gefährdungsdelikt (vgl. bereits oben, N. 1); zu einem «Data Breach» braucht es nicht gekommen zu sein.
Und umgekehrt zieht auch nicht jeder «Data Breach» eine Strafbarkeit nach sich – liegt zwar ein «Data Breach» vor, wurden aber die «Mindestanforderungen an die Datensicherheit» eingehalten, entfällt eine Strafbarkeit.

2. Verstoss gegen die Grundsätze von Art. 1 DSV

17 Die Bestimmung von Art. 1 DSV enthält Grundsätze, die der Verantwortliche und der Auftragsbearbeiter zu beachten haben bei der Festlegung des angemessenen Schutzniveaus und der dafür geeigneten Massnahmen. Es handelt sich dabei um allgemeine Leitlinien

, und nicht um konkrete (Mindest-)Anforderungen an die Datensicherheit. Justiziabel ist diese sehr allgemein gehaltene Bestimmung betreffend das Vorgehen des Verantwortlichen bei der Bestimmung von Sicherheitsmassnahmen gemäss zutreffender Ansicht von Meyle/Morand/Vasella nicht – welche «Mindestanforderungen» an die Datensicherheit i.S.v. Art. 8 Abs. 3 sich aus Art. 1 DSV ergeben sollen, ist nicht ersichtlich.

18 Hält sich der Verantwortliche nicht an die Grundsätze von Art. 1 DSV, bestimmt er also etwa den Schutzbedarf der Personendaten nicht nach den in Abs. 1 vorgesehenen Kriterien oder berücksichtigt er bei der Risikobewertung relevante Kriterien nicht wie in Abs. 2 vorgesehen oder überprüft er seine Massnahmen nicht «über die gesamte Bearbeitungsdauer hinweg» wie in Abs. 5 vorgesehen, indiziert dies noch keine Verletzung von «Mindestanforderungen» an die Datensicherheit: Einerseits definiert Art. 1 DSV solche Anforderungen gerade nicht, sondern enthält nur Leitlinien, wie solche erreicht werden können, und andererseits kann ein Verantwortlicher auch effektive Massnahmen zur Gewährleistung angemessener Datensicherheit implementieren, ohne strikte nach Art. 1 DSV vorzugehen.

3. Verstoss gegen die Ziele von Art. 2 DSV

19 Die Bestimmung von Art. 2 DSV definiert Schutzziele der Datensicherheit, die der Verantwortliche und der Auftragsbearbeiter mittels technischer und organisatorischer Massnahmen zu erreichen haben: Vertraulichkeit (lit. a), Verfügbarkeit (lit. b), Integrität (lit. c) und Nachvollziehbarkeit (lit. d).

20 Diese Schutzziele sind identisch mit jenen gemäss Art. 6 Abs. 2 des Bundesgesetzes vom 18. Dezember 2020 über die Informationssicherheit beim Bund (Informationssicherheitsgesetz). Wie die Grundsätze gemäss Art. 1 DSV, sind auch die Ziele gemäss Art. 2 DSV sehr allgemein gehalten (was sich nur schon aus der Überschrift «Ziele» ergibt) und es lassen sich daraus keine «Mindestanforderungen» an die Datensicherheit i.S.v. Art. 8 Abs. 3 ableiten. Welche konkreten technischen und organisatorischen Massnahmen denn zu implementieren wären, geht daraus nicht hervor. Meyle/Morand/Vasella stellen die Justiziabilität auch dieser Bestimmung zurecht in Frage.

4. Verstoss gegen die Bestimmung betreffend technische und organisatorische Massnahmen (Art. 3 DSV)

21 Die Bestimmung von Art. 3 DSV enthält Vorgaben für technische und organisatorische Massnahmen und konkretisiert damit die Datensicherheit. «Mindestanforderungen» an die Datensicherheit i.S.v. Art. 8 Abs. 3 enthält sie aber (ebenfalls) keine, sondern Art. 3 DSV konkretisiert bloss die in Art. 2 DSV enthaltenen Schutzziele.

22 Bei einer weiten Auslegung könnten in Art. DSV insofern «Mindestanforderungen» hineingelesen werden, als gemäss dieser Bestimmung die Schutzziele i.S.v. Art. 2 DSV «zu gewährleisten» sind. Eine solche Auslegung würde allerdings bedeuten, jede Verletzung eines Schutzziels wäre ein Beleg dafür, dass eine geeignete Massnahme fehlte. Dies wiederum würde sich nicht mit dem im Bereich der Datensicherheit anerkannten risikobasierten Ansatz

vertragen. Das Wort «gewährleisten» ist insofern als «anstreben» auszulegen.

23 Art. 3 DSV ist gemeinsam mit Art. 1 und 2 DSV als eine Konkretisierung des Begriffs der Datensicherheit zu lesen, ohne dass daraus «Mindestanforderungen» an die Datensicherheit abzuleiten wären. Hinzu kommt, dass der Verantwortliche und der Auftragsbearbeiter nicht zwingend sämtliche Schutzziele gemäss Art. 3 DSV für ihre technischen und organisatorischen Massnahmen zu berücksichtigen haben.

Auch die Justiziabilität dieser Bestimmung wird von Meyle/Morand/Vasella zurecht in Frage gestellt.

5. Unterlassung der Protokollierung nach Art. 4 DSV

24 Die Bestimmung von Art. 4 DSV übernimmt den bisherigen Art. 10 VDSG. Mit der Protokollierung soll die Zweckbindung sichergestellt werden.

25 Eine «Mindestanforderung an die Datensicherheit», wie sie Art. 61 lit. c erwähnt, ist die Protokollierung jedenfalls im Regelfall nicht (auch wenn Art. 4 DSV unter dem ersten Abschnitt «Datensicherheit» der DSV aufgeführt ist) und die Unterlassung der Protokollierung kann insofern auch nicht strafbar sein. Eine Strafbarkeit wäre ausnahmsweise denkbar, wenn eine Strafverfolgungsbehörde im Einzelfall nachweisen könnte, dass die Protokollierung als Massnahme der Nachvollziehbarkeit indirekt auch der Datensicherheit dienen sollte und dies der beschuldigten Person zumindest in den groben Zügen bewusst war.

6. Unterlassung der Erstellung eines Bearbeitungsreglements nach Art. 5 f. DSV

26 Die Bestimmungen von Art. 5 f. DSV übernehmen die bisherigen Art. 11 VDSG und Art. 21 VDSG. Im Erläuternden Bericht DSV hält der Bundesrat selbst fest, dass es bei der Erstellung eines Bearbeitungsreglements um die Rechenschaftspflicht geht

– also nicht um die Datensicherheit. Daran ändert auch nichts, dass eine Pflicht zur Erstellung eines solchen Reglements nur bei erhöhtem Risiko besteht.

27 Eine «Mindestanforderung an die Datensicherheit», wie sie Art. 61 lit. c erwähnt, ist die Erstellung eines «Bearbeitungsreglements» (auch wenn Art. 5 f. DSV unter dem ersten Abschnitt «Datensicherheit» der DSV aufgeführt sind) nicht und die Unterlassung dieser Erstellung kann insofern auch nicht strafbar sein.

7. Berücksichtigung der Kosten bei der Bestimmung der angemessenen Datensicherheit und der geeigneten Massnahmen

28 Nach Art. 1 Abs. 1 DSV haben der Verantwortliche und der Auftragsbearbeiter zur Gewährleistung einer angemessenen Datensicherheit den Schutzbedarf der Personendaten zu bestimmen und «die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen» festzulegen. Art. 1 Abs. 2 DSV umschreibt Kriterien für die Beurteilung des Schutzbedarfs der Personendaten und Art. 1 Abs. 3 DSV umschreibt Kriterien für die Beurteilung des Risikos für die Persönlichkeit oder die Grundrechte der betroffenen Person. Je höher der Schutzbedarf der Personendaten und/oder je höher das erwähnte Risiko ist, desto strenger sind die Anforderungen an die Massnahmen.

Nach Art. 1 Abs. 4 DSV sind bei der Festlegung der technischen und organisatorischen Massnahmen auch die «Implementierungskosten» zu berücksichtigen.

29 Die Implementierungskosten sollen gemäss Bundesrat weit verstanden werden und nicht nur erforderliche finanzielle, sondern auch personelle und zeitliche Ressourcen umfassen.

Die Kosten sind bereits zu berücksichtigen, wenn es darum geht, welche Massnahmen «angemessen» sind bzw. welche nicht.
Meyle/Morand/Vasella weisen zurecht darauf hin, dass die vom Bundesrat vertretene Ansicht, wonach Verantwortliche und Auftragsbearbeiter sich «nicht mit der Begründung von der Pflicht einer angemessenen Datensicherheit befreien [können], dass damit übermässige Kosten verbunden sind»
, die Bestimmung von Art. 1 Abs. 4 DSV sinnentleeren würde: verlangt ist «nur» «angemessene» Sicherheit, und in die Bestimmung der Angemessenheit haben die Kosten als Kriterium miteinzufliessen.

30 Die «Mindestanforderungen an die Datensicherheit» werden damit nicht verletzt (und es ist nicht strafbar), wenn der Verantwortliche oder der Auftragsbearbeiter bei der Bestimmung der angemessenen Datensicherheit und der geeigneten Massnahmen u.a. auch die Kosten berücksichtigen.

III. Subjektiver Tatbestand

31 In subjektiver Hinsicht verlangt der Straftatbestand von Art. 61 Vorsatz, wobei Eventualvorsatz genügt. Eventualvorsätzlich handelt der Täter namentlich, wenn er zwar nicht mit Sicherheit weiss, dass er mit seinem Verhalten gegen die Vorgaben beim Datenexport (Art. 16 Abs. 1 und 2; Art. 17) oder bei der Übergabe der Datenbearbeitung an einen Auftragsbearbeiter (Art. 9 Abs. 1 und 2) verstösst oder die Mindestanforderungen an die Datensicherheit (Art. 8 Abs. 3 i.V.m Art. 1 ff. DSV) nicht einhält, er aber sich damit abfindet bzw. in Kauf nimmt, dass er möglicherweise einen Verstoss begeht.

32 Eventualvorsätzliches Handeln beim Straftatbestand von Art. 61 lit. b ist gegeben, wenn der Täter bei der Übertragung der Datenbearbeitung auf einen Auftragsbearbeiter zumindest in Kauf nimmt, dass der Auftragsbearbeiter (i) die Daten gesetzeswidrig bearbeitet oder (ii) die Datensicherheit nicht gewährleistet. Entscheidend für die Beantwortung der Frage, ob eine solche Inkaufnahme vorliegt, sind die Umstände, unter denen der betreffende Auftragsbearbeiter «geprüft» und letztlich ausgewählt wurde. Die Vorgaben von Art. 9 sind (gerade im Vergleich zur Parallelregelung von Art. 28 DSGVO) sehr offen und unscharf formuliert, was es in der Praxis den Strafbehörden erschweren dürfte, strafbares Verhalten im Einzelfall nachzuweisen (abgesehen davon, dass hinsichtlich der Justiziabilität der Tatvariante der vorsätzlichen Nichteinhaltung von Mindestanforderungen an die Datensicherheit ohnehin begründete Zweifel bestehen, siehe oben N. 17 ff.).

Bloss (strafloses) fahrlässiges Handeln wäre demgegenüber etwa anzunehmen, wenn der Täter gestützt auf eingeholte externe rechtliche Beratung (an der keine Zweifel aufkommen mussten) davon ausging, dass ein bestimmter Auftragsdatenbearbeitungsvertrag rechtsgenügend ist, dieser sich aber als ungenügend erweist.

IV. Rechtswidrigkeit und Schuld

Vgl. OK-Gassmann zu Art. 60, N. 26 f.

Literaturverzeichnis

EDÖB, Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge vom 27. August 2021, https://www.edoeb.admin.ch/dam/edoeb/de/Dokumente/datenschutz/Paper%20SCC_DE.pdf.download.pdf/Paper%20SCC_DE.pdf, besucht am 8.8.2023.

Meyle Hannes/Morand Anne-Sophie/Vasella David, DSV: keine Mindestanforderungen an die Datensicherheit, keine entsprechende Strafbarkeit, weitere Anmerkungen, https://datenrecht.ch/dsv-keine-mindestanforderungen-an-die-datensicherheit-keine-entsprechende-strafbarkeit-weitere-anmerkungen/, besucht am 8.8.2023.

Popp Peter/Berkemeier Anne, Kommentierung zu Art. 1 StGB, in: Niggli Marcel Alexander/Wiprächtiger Hans (Hrsg.), Basler Kommentar, Strafrecht (StGB/JStGB), 4. Aufl., Basel 2018.

Rosenthal David, Neue EU Standardvertragsklauseln für Datentransfers in unsichere Drittländer, https://www.rosenthal.ch/downloads/VISCHER-faq-scc.pdf, besucht am 8.8.2023.

Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 1/2021, S. 52 ff.; Wohlers Wolfgang, Kommentierung zu Art. 61 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski, Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.

Materialienverzeichnis

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 6941 ff. (zit. Botschaft 2017), abrufbar unter https://www.admin.ch/opc/de/federal-gazette/2017/6941.pdf, besucht am 8.8.2023.

Erläuternder Bericht des Bundesamts für Justiz BJ zur Verordnung über den Datenschutz vom 31.8.2022, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vdsg/erlaeuterungen-vo.pdf.download.pdf/erlaeuterungen-vo-d.pdf (zit. Erläuternder Bericht DSV), besucht am 8.8.2023.

Kommentar des Bundesamts für Justiz BJ zur Vollzugsverordnung zum Bundesgesetz über den Datenschutz vom 1.1.2008 (zit. Kommentar BJ zur VDSG), abrufbar unter https://www.edoeb.admin.ch/dam/edoeb/de/Dokumente/deredoeb/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf.download.pdf/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf, besucht am 8.8.2023.

Fussnoten

  • Botschaft 2017, S. 7101.
  • SHK-Wohlers, Art. 61 DSG N. 3.
  • Botschaft 2017, S. 7101.
  • Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9. Dezember 2011, BBl 2012 335, S. 349.
  • SHK-Wohlers, Art. 61 DSG N. 5.
  • Botschaft 2017, S. 7102.
  • SHK-Wohlers, Art. 61 DSG N. 5.
  • Vgl. Votum Jauslin, AB 2019 NR S. 1825; Votum Rutz, AB 2020 NR S. 142; vgl. demgegenüber auch Votum Fässler, AB 2019 SR S. 1248.
  • Vgl. AB 2020 S. 154; vgl. zum Ganzen auch SHK-Wohlers, Art. 61 DSG N. 14, wonach sich der Gesetzgeber wie in anderen Bereichen wie etwa dem Betäubungsmittelstrafrecht «der Macht des Faktischen gebeugt und die Konkretisierung der Exekutive überlassen» habe. Eine solche Konkretisierung durch die Exekutive verletzt nach vorliegender Ansicht das Bestimmtheitsgebot als Teilgehalt des Legalitätsprinzips nach Art. 1 StGB bzw. kommt jedenfalls einer Aushöhlung dieses Gebots gleich.
  • Die im bisherigen Recht (Art. 6 Abs. 3 aDSG) vorgesehene Meldepflicht (deren vorsätzliche Verletzung strafbewehrt war) bei Verwendung anerkannter Standardvertragsklauseln wurde hingegen abgeschafft. Eine Meldepflicht besteht indes noch bei der Verwendung nicht anerkannter Klauseln (Art. 16 Abs. 2 lit. b).
  • Standardvertragsklauseln gemäss Beschluss der Europäischen Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (2010/87/EU).
  • Siehe Anhang zum Durchführungsbeschluss (EU) 2021/914 vom 4.6.2021.
  • EDÖB, Ziff. 4 S. 3.
  • Rosenthal/Gubler, S. 55.
  • Siehe Klausel 14 der neuen Standardvertragsklauseln.
  • Vgl. hierzu die Kommentierung zu Art. 16 Abs. 2 lit. d.
  • Meyle/Morand/Vasella.
  • Rosenthal, Nr. 40 S. 56.
  • Vgl. BSK-Popp/Berkemeier, Art. 1 StGB N. 31.
  • Welches die Mindestanforderungen an die Datensicherheit sind, deren Verletzung im Einzelfall strafbewehrt ist, ergibt sich nicht aus Art. 61 lit. c, sondern erst (wenn überhaupt, dazu unten, N. 17 ff.) aus den vom Bundestrat gestützt auf Art. 8 Abs. 3 erlassenen Bestimmungen (SHK-Wohlers, Art. 61 DSG N. 13).
  • Rosenthal/Gubler, S. 55.
  • Rosenthal/Gubler, a.a.O.
  • Vgl. auch Erläuternder Bericht DSV, Ziff. 2.1 (S. 10).
  • Meyle/Morand/Vasella.
  • Ibid.
  • Auch im Erläuternden Bericht DSV, Ziff. 2.1 (S. 10) wird explizit auf den risikobasierten Ansatz Bezug genommen.
  • Meyle/Morand/Vasella.
  • Vgl. hierzu Erläuternder Bericht DSV, Ziff. 5.1.1 (S. 23): «Es ist durchaus vorstellbar, dass nicht jedes Schutzziel in jedem Fall von Relevanz ist. Ist ein Schutzziel in einem Fall nicht von Relevanz, so müssen der Verantwortliche und Auftragsbearbeiter aber in der Lage sein, zu begründen, weshalb dies der Fall ist.». Damit kann aber keine Beweislastumkehr einhergehen (Meyle/Morand/Vasella).
  • Meyle/Morand/Vasella m.w.H. auf den Kommentar BJ zur VDSG, Ziff. 6.1.3 (S. 10 f.), wo das Bundesamt für Justiz dies hinsichtlich Art. 10 VDSG explizit bestätigte.
  • So auch Meyle/Morand/Vasella.
  • Erläuternder Bericht DSV, Ziff. 5.1.1 (S. 28).
  • So auch Meyle/Morand/Vasella.
  • Erläuternder Bericht DSV, Ziff. 5.1.1 (S. 18 f.).
  • Erläuternder Bericht DSV, Ziff. 5.1.1 (S. 20).
  • So auch Meyle/Morand/Vasella.
  • Erläuternder Bericht DSV, Ziff. 5.1.1 (S. 21).
  • So auch Meyle/Morand/Vasella.
  • SHK-Wohlers, Art. 61 DSG N. 9, 11 und 15.
  • Vgl. auch Rosenthal/Gubler, S. 56.

Kommentar drucken

DOI (Digital Object Identifier)

10.17176/20230812-162900-0

Creative Commons Lizenz

Onlinekommentar.ch, Kommentierung zu Art. 61 DSG ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.

Creative Commons