Die Bussgelder wurden vom alten zum neuen DSG deutlich von CHF 10'000.00 auf CHF 250'000.00 erhöht. Das erscheint auf den ersten Blick viel weniger als in der EU-DSGVO zu sein, wo Bussen von EUR 20 Millionen oder vier Prozent vom weltweiten Umsatz gesprochen werden können. Jetzt kommt aber der grosse Unterschied: Die EU-DSGVO Bussen sind immer gegen ein Unternehmen, hingegen die Schweizer DSG Bussen immer gegen eine verantwortliche natürliche Person! Die Bussen sind nicht versicherbar und das Unternehmen darf die Busse auch nicht für die verantwortliche natürliche Person übernehmen. Was ist für einen Arbeitnehmer also schlimmer: Das Unternehmen zahlt bspw. CHF 500'000.00 Busse wegen einer Datenschutzverletzung, die irgend ein Mitarbeiter begangen hat oder aber, ein für die Personendaten verantwortlicher Mitarbeiter wird strafrechtlich belangt und zahlt mit seinem privaten Vermögen bspw. CHF 100'000.00 Busse wegen einer Datenschutzverletzung, die nicht er selber sondern einer seiner Mitarbeitenden vorsätzlich begangen hat? Sie sehen den Unterschied und die Verschärfung im Schweizer DSG.
Beruhigter Schlafen lässt sich jedoch mit dem Wissen, dass in der Schweiz nur jene Verletzungen strafrechtlich untersucht und gebüsst werden, die vorsätzlich geschehen. Jedoch kann, gleich wie bei allgemeinen Compliance-Verstössen, nie zu 100% sichergestellt werden, dass alle Mitarbeitenden alle Regeln und Gesetze einhalten werden. Es kann also davon ausgegangen werden, dass insbesondere im Management das Neue DSG für psychologischen Druck sorgen wird. Die verantwortliche Person muss aber nicht immer nur eine Führungsperson sein. So können auch Rechtsberater oder externe Datenschutzberater belangt werden, sofern sie heikle Entscheide selber treffen statt diese dem Kunde oder Vorgesetzten zu überlassen.
Die Basis einer Busse ist der Vorsatz. Ist dieser gegeben, definiert der Art. 60 – 63 DSG, wo eine Strafe gesprochen werden kann. In den folgenden Bereichen kann eine Datenschutzverletzung zu Bussgeldern führen:
- Mindestanforderungen der TOM (unzureichende TOM) nach Art. 8 Abs. 3 DSG
- Auftragsbearbeiter (keine vertragliche Grundlage) nach Art. 9 DSG
- Informationspflichten (mangelhaft) nach Art. 19 und 21 DSG
- Auskunftsrecht (nicht nachgekommen) nach Art. 25 – 27 DSG
- Datenübermittlungen ins Ausland (ohne vertragliche Garantien) nach Art. 16 DSG
- Untersuchungen des EDÖB (falsche Auskünfte oder Unterlagen) nach Art. 49 Abs. 3 DSG