Strafe muss sein! – Die Strafbestimmungen des revidierten Datenschutzgesetzes aus Arbeitgebersicht
1. Ausgangslage
Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft. Mit der Revision werden auch die Strafbestimmungen angepasst. In diesem Blogbeitrag erklären wir Dir, wie Deine Mitarbeiter von diesen Strafbestimmungen betroffen sind und worauf Du als Arbeitgeberin achten solltest.
Die Thematik wird anhand des folgenden Beispiels veranschaulicht:
Susanne ist HR-Verantwortliche der Druckerei Print AG mit 50 Angestellten. In dieser Funktion spricht Susanne die Kündigung gegenüber Klaus aus, der seit 5 Jahren als Grafiker bei der Print AG tätig war. Die Kündigung wird mit der mangelhaften Arbeitsleistung von Klaus begründet. In der Folge kommt es zu einer Auseinandersetzung zwischen der Print AG und Klaus. Klaus ist der Meinung, dass seine Arbeitsleistung stets tadellos war. Stattdessen sei ihm gekündet worden, weil er eine Affäre mit Ehefrau des CEO der Print AG hatte. Klaus will gegen die Print AG auf Entschädigung wegen missbräuchlicher Kündigung klagen und erhebt Einsprache gegen die Kündigung. Um Beweise für den bevorstehenden Prozess zu sammeln, verlangt er gleichzeitig mit eingeschriebenem Brief die Herausgabe des vollständigen Personaldossiers. Zum Personaldossier gehören auch die Mitarbeiterbewertungsbögen, welche die Kader der Print AG vor den jährlichen Mitarbeitergesprächen jeweils ausgefüllt haben. Diese Mitarbeiterbewertungsbögen bescheinigen, dass Klaus während fünf Jahren gute Leistungen erbracht hat. Im Hinblick auf den bevorstehenden Prozess weist Susanne ihre Sachbearbeiterin Lisa an, eine Kopie des Personaldossiers ohne die Mitarbeiterbewertungsbögen anzufertigen. Lisa versendet die Kopie des unvollständigen Personaldossiers anschliessend im Namen von Susanne an Klaus.
Klaus bemerkt, dass die Mitarbeiterbewertungsbögen fehlen und erstattet Anzeige bei der zuständigen Staatsanwaltschaft. Er macht geltend, dass sein Einsichtsrecht nach dem DSG verletzt wurde.
2. Was wird bestraft?
Unter dem neuen Datenschutzgesetz wird bestraft, wer die folgenden Pflichten verletzt:
Informationspflichten gemäss Art. 60 Abs. 1 revDSG
Auskunftspflichten gemäss Art. 60 Abs. 1 revDSG
Mitwirkungspflichten gemäss Art. 60 Abs. 2 revDSG
Berufliche Schweigepflicht gemäss Art. 62 revDSG
Verletzung der Sorgfaltspflichten gemäss Art. 61 revDSG
Missachtung von Verfügungen des EDÖB oder von Entscheiden der Rechtsmittelinstanz
Durch die Herausgabe des unvollständigen Personaldossiers von Klaus ist der Tatbestand des Verstosses gegen die Auskunftspflicht der Print AG erfüllt.
3. Wer wird bestraft?
Für die Verletzung der unter Ziff. 2 genannten Pflichten wird der effektiv handelnde Mitarbeiter bestraft, und nicht die Arbeitgeberin. Es ist auch möglich, dass eine von der Arbeitgeberin beauftragte externe Person bestraft wird, wenn die externe Person die datenschutzrechtlichen Pflichten der Arbeitgeberin wahrnimmt und diese dabei verletzt. Die direkte Bestrafung der effektiv handelnden Mitarbeiter oder externen Personen ist ein Unterschied zur europäischen DSGVO, wo bei einer Verletzung der Strafbestimmungen nur die Unternehmen (dafür mit bedeutend höheren Bussen) bestraft werden. Ausnahmsweise wird auch unter dem revDSG die Arbeitgeberin direkt bestraft und nicht der effektiv handelnde Mitarbeiter: Nämlich dann, wenn der effektiv handelnde Mitarbeiter nicht mit einem verhältnismässigen Aufwand ermittelt werden kann und die voraussichtliche Busse maximal CHF 50'000.00 beträgt.
Zwischenfazit: Die Strafbestimmungen des revDSG betreffen grundsätzlich nur die Mitarbeiter.
Das heisst aber nicht, dass über allen Mitarbeitern das Damoklesschwert der Bussen für die Verletzung der datenschutzrechtlichen Pflichten schwebt. Strafrechtlich belangt werden dürfen nämlich nur diejenigen Mitarbeiter, die für die Einhaltung der verletzten Pflicht tatsächlich verantwortlich sind. Tatsächlich verantwortlich sind diejenigen Mitarbeiter, die faktisch die Leitung über den jeweiligen Datenbearbeitungsvorgang haben.
Mit der Strafe bedroht sind somit nur diejenigen Mitarbeiter, die effektiv mit der Leitung des fraglichen Datenbearbeitungsvorgangs betraut sind.
Im vorliegenden Sachverhalt ist somit Susanne von der Strafbarkeit betroffen. Sie trägt die Verantwortung über die Einhaltung der Auskunftspflicht gegenüber den Mitarbeitern. Dagegen macht sich die Sachbearbeiterin Lisa nicht strafbar, obwohl sie die Mitarbeiterbewertungsbögen effektiv aus dem Personaldossier entfernt hat. Ebenfalls nicht strafbar macht sich der CEO der Print AG. Er hat zwar eine Führungsfunktion inne, ist aber faktisch nicht mit der Einhaltung der Auskunftspflicht gegenüber Klaus betraut.
4. Ist die fahrlässige Begehung strafbar?
Nein, die Strafbestimmungen des revDSG greifen nur dann, wenn die Verletzung der datenschutzrechtlichen Pflicht vorsätzlich oder eventualvorsätzlich begangen wurde. Ob eine Handlung eventualvorsätzlich oder fahrlässig begangen wurde, ist selten eindeutig. Das Bundesgericht spricht von Eventualvorsatz, wenn der Beschuldigte die Pflichtverletzung «in Kauf nimmt». Das heisst, dem Beschuldigten ist die Möglichkeit der Verletzung der datenschutzrechtlichen Pflichten bewusst, die Verletzung ist ihm aber egal. Wenn der Beschuldigte hingegen darauf vertraut, dass die Verletzung nicht eintritt, handelt er bloss fahrlässig und macht sich nicht strafbar.
Vorliegend hat Susanne vorsätzlich gehandelt. Der Vorsatz wäre dagegen zu verneinen, wenn Lisa nicht auf Anweisung von Susanne, sondern aus Versehen einzelne Mitarbeiterbewertungsbögen nicht kopiert hätte, obwohl Susanne den Auftrag erteilt hat, das vollständige Personaldossier herauszugeben. In diesem Falle würde Susanne darauf vertrauen, dass die datenschutzrechtlichen Pflichten der Print AG mit der Herausgabe des Personaldossiers nicht verletzt werden und somit nicht vorsätzlich handeln.
5. Wie hoch ist die Strafe?
Die Verletzung einer Strafbestimmung kann maximal mit einer Busse von CHF 250’000.00 bestraft werden. Dieser Strafrahmen wird voraussichtlich nur in Extremfällen ausgeschöpft werden. Der urteilenden Strafverfolgungsbehörde steht hier ein grosser Ermessensspielraum zu. Zusätzlich droht ein Strafregistereintrag, wenn die effektiv ausgesprochene Busse höher als CHF 5’000.00 ist.
Eine zuverlässige Prognose zur Höhe der Bussen ist erst möglich, wenn die ersten Strafentscheide zum revDSG vorliegen.
6. Muss die Arbeitgeberin den Mitarbeiter für die Busse und die Anwaltskosten entschädigen?
Nein. Im Grundsatz gilt, wenn sich der Mitarbeiter im Rahmen des Arbeitsverhältnisses strafbar macht, muss er die strafrechtlichen Konsequenzen selbst tragen. Das gilt auch bei einer Verletzung der datenschutzrechtlichen Pflichten. Dies gilt selbst dann, wenn die datenschutzrechtliche Pflichtverletzung auf Geheiss der Arbeitgeberin begangen wurde. Zwar ist der Mitarbeiter grundsätzlich zur Befolgung von Weisungen der Arbeitgeberin verpflichtet. Wenn der Mitarbeiter sich selbst durch die Befolgung der Weisung strafbar machen oder andere Personen widerrechtlich schädigen würde, muss er die Weisung aber nicht befolgen. In einem solchen Fall ist der Mitarbeiter nicht nur befugt, sondern gar verpflichtet, sich der widerrechtlichen Weisung der Arbeitgeberin zu widersetzen. Befolgt er die Weisung dennoch, macht er sich persönlich strafbar und hat sowohl für die Sanktion als auch für weitere Kosten selbst aufzukommen.
Susanne muss die Busse und allfällige Anwaltskosten selbst bezahlen. Das gilt selbst dann, wenn ihr der CEO der Print AG die Weisung erteilt hätte, die Mitarbeiterbewertungsbögen aus dem Personaldossier zu entfernen.
7. Welche Massnahmen können Arbeitgeberinnen ergreifen?
Wie oben festgehalten wurde, fällt eine Strafbarkeit nur dann in Betracht, wenn der Mitarbeitende den Datenbearbeitungsvorgang effektiv verantwortet und wenn er vorsätzlich handelt. Daraus ergeben sich zwei Handlungsempfehlungen:
1. Die Verantwortung für kritische Datenbearbeitungsvorgänge ist organisatorisch klar einzelnen Mitarbeitern zuzuweisen. Diese Mitarbeiter sind zwar einem erhöhten Risiko für eine strafrechtlichen Verfolgung ausgesetzt. Im Gegenzug können diese Mitarbeiter gezielt auf datenschutzrechtliche Themen geschult werden und für das höhere Risiko allenfalls entsprechend entschädigt werden.
2. Die Entscheidungsfindung bei risikobehafteten Datenbearbeitungsvorgängen muss gut dokumentiert werden. Diese Dokumentation eröffnet die Möglichkeit, in einem allfälligen Strafverfahren zu belegen, dass der Mitarbeiter nicht vorsätzlich gehandelt hat. Diese Handlungsempfehlung kann jedoch das Gegenteil bewirken, wenn die Strafverfolgungsbehörden gestützt auf die Dokumentation zum Schluss kommen, dass eine Verletzung der Datenschutzpflichten in Kauf genommen wurde. Im Zweifel ist deshalb stets Rücksprache mit einem auf Datenschutzrecht spezialisierten Rechtsanwalt zu nehmen.
Hast Du Fragen zum Umgang der Personendaten Deiner Mitarbeiter oder bis Du mit einem Einsichtsgesuch konfrontiert, beraten Dich unsere Arbeitsrechts- und Datenschutzrechtsspezialisten gerne.
Mehr zum Thema Arbeitsrecht und Datenschutz.