Haftet ein Verwaltungsrat oder die Geschäftsleitung persönlich für Bussen, die der Gesellschaft für Verletzungen des Datenschutzrechtes auferlegt wurden? Seit mit der neuen ER-Datenschutzgrundverordnung (DSGVO) Bussen in Millionenhöhe eingeführt worden sind, müssen sich auch Schweizer Verwaltungsräte diese Frage stellen.
Zivilrechtliche oder aufsichtsrechtliche Verantwortung?
Bei einer Datenschutzverletzung (z.B. Data Breach, illegale Übermittlung von Daten in unsichere Drittstaaten, Verarbeitung von Personendaten ohne angemessene Information oder ohne Zustimmung, wo eine solche nötig wäre etc.), gibt es zwei mögliche Anspruchssteller 1) der Verletzte selber und 2) die zuständige Datenschutz-Aufsichtsbehörde.
Der Verletzte kann grundsätzlich verlangen, dass der ihm durch die Verletzung entstandene Schaden ersetzt wird (zivilrechtliche Haftung). Das gilt sowohl nach Schweizer Recht wie auch nach dem EU Datenschutzrecht. Solche Fälle sind bisher aber selten und der eingetretene Schaden ist in der Regel eher klein, weshalb auch nicht weiter darauf eingegangen wird.
Aber auch eine Datenschutzbehörde kann auf Anzeige hin oder von sich aus aktiv werden und sich die Datenverarbeitungsvorgänge in einem Unternehmen genauer anschauen (aufsichtsrechtliche Verantwortung). Die Untersuchungskompetenzen der Behörden sind dabei weitereichend. Ist sie mit der vorgefundenen Situation nicht zufrieden, stehen ihr zwei Werkzeuge zur Verfügung 1) Massnahmen und 2) Sanktionen.
Das gilt wiederum für Schweizer Recht wie auch für das EU Datenschutzrecht, wobei sich die Art und Härte der Massnahmen und Sanktionen stark unterscheiden. Nach aktuellem Schweizer Datenschutzrecht hat die Schweizer Aufsichtsbehörde (in der Regel der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte), sehr viel weniger weitreichende Kompetenzen als ihre europäischen Pendants, insbesondere was Bussen anbelangt.
Die möglichen Massnahmen nach EU Datenschutzrecht reichen von einfachen Warnungen über spezifische Anweisungen (z.B. bestimmte Verarbeitung in Einklang mit dem Datenschutzrecht zu bringen) bis hin zu Verboten (z.B. Aussetzen von Übermittlungen an einen Empfänger in unsicherem Drittland). Für den vorliegenden Beitrag sind vor allem die Sanktionen, konkreter die Geldbussen, von Interesse.
Unter dem EU-Datenschutzrecht haben die Datenschutzaufsichtsbehörden die Kompetenz, Bussen zu verhängen. Solche Bussen sollen in jedem Einzelfall wirksam, verhältnismässig und abschreckend sein. Bei Verletzung untergeordneter Pflichten drohen Bussen von bis zu EUR 10’000’000.- oder 2 % des gesamten weltweit erzielten Jahresumsatzes. Werden Grundprinzipien (wie etwa Transparenz, Zweckbindung, Datenminimierung) oder Betroffenenrechte (wie das Recht auf Auskunft oder Löschung) verletzt oder Personendaten auf illegale Weise in unsichere Drittländer übermittelt, droht sogar eine Busse von bis zu EUR 20’000’000.- oder 4 % des gesamten weltweit erzielten Jahresumsatzes.
DSGVO Busse für Schweizer Unternehmen?
Das ist für Schweizer Unternehmen alles nicht relevant, das ist doch EU-Recht, würde man gerne einwenden. Das trifft jedoch nicht zu, denn das EU-Datenschutzrecht beansprucht in gewissen Fällen auch ausserhalb der EU Geltung (vgl. DataprotectionLaw, Grundlagen, Geografischer Anwendungsbereich)
Fällt ein Schweizer Unternehmen unter die DSGVO, ist also denkbar, dass ihm durch eine EU Datenschutzbehörde eine Busse für Datenschutzverstösse auferlegt würde. Obwohl derzeit noch unklar ist, wie die ausländischen Behörden eine solche Busse in der Schweiz eintreiben würden oder ob sie das überhaupt könnten, wird es längerfristig schwierig sein, entsprechende Strafverfügungen zu ignorieren.