Wenn europäische Unternehmen an Datenschutzbussen denken, stellen sie sich milliardenschwere Strafzahlungen gegen Konzerne wie Google oder Meta vor. Die DSGVO trifft Unternehmen. Das Schweizer nDSG trifft Personen. Dieser fundamentale Unterschied ist den meisten Schweizer KMU-Führungskräften noch nicht bewusst — und er verändert alles.
Seit dem 1. September 2023 ist das neue Bundesgesetz über den Datenschutz (nDSG) in Kraft. Sein Sanktionsregime, geregelt in den Artikeln 60 bis 66, begründet eine persönliche strafrechtliche Verantwortung, die bis zu CHF 250 000 betragen kann. Dieser Leitfaden erklärt, wer was riskiert, in welchen Situationen, und wie Sie sich wirksam schützen.
Das Schweizer Strafrecht: eine grundlegend andere Logik als die DSGVO
Das Erste, was Sie verstehen müssen: nDSG-Sanktionen sind keine Verwaltungsbussen — es handelt sich um Straftatbestände. Nicht die Aufsichtsbehörde verhängt direkt eine Geldstrafe gegen ein Unternehmen; die Strafverfolgungsbehörde verfolgt eine bestimmte natürliche Person strafrechtlich.
Diese Logik hat weitreichende Konsequenzen:
- Verurteilungen erscheinen im Strafregister der betroffenen Person
- Das Verfahren richtet sich nach der Schweizerischen Strafprozessordnung (StPO)
- Unternehmen können unter dem nDSG nicht direkt bestraft werden (anders als unter der DSGVO)
- Die Strafverfolgung setzt einen Strafantrag voraus — der EDÖB kann bei Vergehen nicht von Amtes wegen handeln
Wer kann verurteilt werden?
Das nDSG zielt auf verantwortliche Privatpersonen innerhalb der Organisation. In der Praxis kann das betreffen:
- Geschäftsführer und Mitglieder der Geschäftsleitung
- IT-Verantwortliche (CIO, CTO), die Verarbeitungssysteme überwachen
- Datenschutzbeauftragte (sofern ernannt)
- Jeden Mitarbeitenden, der den Verstoss persönlich begangen oder angeordnet hat
Die Verantwortung wird konkret beurteilt: Wer hat die fehlerhafte Entscheidung getroffen? Wer hatte die Möglichkeit zu handeln und hat es unterlassen? Diese Person trägt das Risiko — nicht zwingend der formale Unternehmensleiter.
Die vier Kategorien sanktionierter Verstösse
1. Verletzung der Informationspflichten (Art. 60)
Der Verantwortliche muss betroffene Personen informieren, wenn er Personendaten beschafft. Diese Pflicht umfasst:
- Identität und Kontaktangaben des Verantwortlichen
- Bearbeitungszweck
- Datenkategorien
- Empfänger oder Empfängerkategorien
- Gegebenenfalls Bekanntgabe von Daten ins Ausland
Konkretes Szenario: Ein Schweizer Online-Shop installiert Google Analytics 4 und Meta Pixel, ohne diese Tools in der Datenschutzerklärung zu erwähnen oder auf die Datenübermittlung in die USA hinzuweisen. Der für die Installation verantwortliche Marketing-Manager kann persönlich zur Rechenschaft gezogen werden.
Höchststrafe: CHF 250 000 (Art. 60 Abs. 1)
2. Verletzung der Sorgfaltspflichten (Art. 61)
Dieser Tatbestand umfasst Verstösse gegen Sicherheits- und Datenschutzpflichten, insbesondere:
- Fehlende angemessene technische und organisatorische Massnahmen (TOM)
- Fehlendes Verzeichnis der Bearbeitungstätigkeiten trotz Pflicht
- Unterlassene Datenschutz-Folgenabschätzung (DSFA)
- Datenbekanntgabe ins Ausland ohne geeignete Garantien
Konkretes Szenario: Eine Treuhandgesellschaft mit 300 Mitarbeitenden bearbeitet sensible Steuerdaten auf einem unverschlüsselten Server, ohne formalisiertes Verarbeitungsverzeichnis und ohne Risikobeurteilung. Bei einem Datenleck kann der IT-Leiter, der diese Infrastruktur abgesegnet hat, strafrechtlich verfolgt werden.
Höchststrafe: CHF 250 000 (Art. 61)
3. Verletzung des Berufsgeheimnisses (Art. 62)
Bestimmte Berufsgruppen mit Schweigepflicht (Ärzte, Anwälte, Treuhänder usw.) unterliegen verstärkten Anforderungen. Die unbefugte Weitergabe von Personendaten aus diesem beruflichen Kontext stellt einen eigenständigen Straftatbestand dar.
Höchststrafe: CHF 250 000 (Art. 62)
4. Verletzung der Mitwirkungspflichten gegenüber dem EDÖB (Art. 63–64)
Der EDÖB verfügt über weitgehende Untersuchungsbefugnisse. Die Verweigerung der Mitwirkung an einer Untersuchung, die Übermittlung falscher Angaben oder die Nichtbefolgung von Anordnungen der Behörde stellen eigenständige Straftatbestände dar.
Höchststrafe: CHF 250 000
Vergleichstabelle: nDSG-Strafen vs. DSGVO
| Kriterium | nDSG (Schweiz) | DSGVO (EU) |
|---|---|---|
| Art der Sanktion | Strafrechtlich (Straftatbestand) | Verwaltungsrechtlich (direkte Busse) |
| Adressat | Natürliche Person (Verantwortliche/r) | Unternehmen (juristische oder natürliche Person) |
| Höchstbetrag | CHF 250 000 pro Verstoss | 20 Mio. € oder 4% des weltweiten Umsatzes |
| Behörde | Strafverfolgung (auf Antrag) | Aufsichtsbehörde (von Amtes wegen) |
| Folgen | Strafregistereintrag | Öffentliches Sanktionsregister |
| Verjährung | 3 Jahre ab Tatbegehung | Variiert je nach Mitgliedstaat |
| Solidarhaftung des Unternehmens | Im nDSG nicht vorgesehen | Ja, unter der DSGVO |
Der Unterschied ist gravierend: Unter der DSGVO erhielt Amazon eine Busse von 746 Mio. € als Unternehmen. Unter dem nDSG steht der Geschäftsführer oder IT-Leiter eines Zürcher oder Walliser KMU persönlich vor der Staatsanwaltschaft.
Die Rolle des EDÖB: Ermittler, nicht Richter
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die unabhängige Aufsichtsbehörde, die über die Einhaltung des nDSG wacht. Seine Befugnisse sind weitreichend:
- Sachverhaltsabklärungen von Amtes wegen oder auf Meldung einleiten
- Informationen von Verantwortlichen einfordern
- Empfehlungen abgeben
- Verfügungen erlassen, die Korrekturmassnahmen anordnen
- Strafanzeige bei der Strafverfolgungsbehörde bei Gesetzesverstössen erstatten
Wichtig: Der EDÖB verhängt selbst keine Strafbussen. Er ermittelt, stellt Verstösse fest und kann die Akten an die zuständige Staatsanwaltschaft überweisen, die dann Strafverfolgung einleiten kann.
Der EDÖB hat in seinen Jahresberichten bereits mehrfach Untersuchungen gegen namhafte Schweizer Unternehmen aus dem Bank-, Versicherungs- und Gesundheitsbereich veröffentlicht.
Konkrete Fälle: Wann sich Schweizer KMU exponieren
Fall 1 — Der Online-Shop ohne konforme Einwilligungsbanner
Ein Genfer Online-Shop mit 15 Mitarbeitenden nutzt Google Analytics, Hotjar und den Facebook-Pixel. Er zeigt ein Banner "Wir verwenden Cookies" mit einem einzigen "Akzeptieren"-Button. Keine Ablehnungsmöglichkeit, keine Cookie-Liste, kein Hinweis auf Datenübermittlung in die USA.
Risiko: Verletzung der Informationspflicht (Art. 60) und der Sorgfaltspflicht (Art. 61). Der Website-Verantwortliche oder CEO kann persönlich zur Rechenschaft gezogen werden, wenn ein Nutzer oder der EDÖB Strafanzeige erstattet.
Fall 2 — Das Datenleck ohne Meldung
Ein Zürcher Personalberatungsunternehmen erleidet einen Cyberangriff. Personendaten (Lebensläufe, Löhne, Beurteilungen) von 500 Kandidaten werden gestohlen. Die Geschäftsleitung entscheidet, den EDÖB nicht zu informieren, um "keinen Skandal zu riskieren". Drei Monate später tauchen die Daten in einem Online-Forum auf.
Risiko: Verletzung der Sorgfaltspflicht und Behinderung der Untersuchung. HR-Direktor und IT-Leiter exponieren sich strafrechtlich. Die unterlassene Meldung verschlimmert die Situation erheblich.
Fall 3 — Der fahrlässige IT-Dienstleister
Eine Basler Treuhandgesellschaft lagert ihr Hosting an einen IT-Dienstleister aus, der Kundendaten ohne Verschlüsselung, ohne formalisierte Zugriffskontrolle und ohne datenschutzkonformen Auftrag gemäss Art. 9 nDSG speichert. Bei einer EDÖB-Prüfung ist die Treuhandgesellschaft — und ihr Geschäftsführer — in der Verantwortung, obwohl der Dienstleister versagt hat.
Risiko: Der Verantwortliche bleibt auch für seine Auftragsbearbeiter verantwortlich. Die Treuhandleitung kann strafrechtlich verfolgt werden.
Fall 4 — Das nicht deklarierte Kontaktformular
Eine Walliser Arztpraxis erhebt Gesundheitsdaten über ein Online-Formular, das auf einem Server in Deutschland gehostet wird. Weder die Datenschutzerklärung noch die Patienten werden über diese Auslandsübermittlung informiert. Keine DSFA, keine vertraglichen Garantien.
Risiko: Verletzung der Informationspflicht und der Sorgfaltspflicht bei besonders schützenswerten Daten (Gesundheit). Maximales Risiko unter Art. 60 und 61.
So schützen Sie sich: wesentliche Compliance-Massnahmen
1. Bearbeitungen inventarisieren
Beginnen Sie mit einer vollständigen Bestandsaufnahme: Welche Daten erheben Sie? Auf welchen Systemen? Bei welchen Dienstleistern? In welchen Ländern? Diese Kartierung ist die Grundlage jeder ernsthaften Compliance.
2. Alles dokumentieren
Im Streitfall oder bei einer Untersuchung ist die Dokumentation Ihre erste Verteidigungslinie. Halten Sie fest:
- Das Verzeichnis der Bearbeitungstätigkeiten (auch in vereinfachter Form für KMU < 250 Mitarbeitende)
- Durchgeführte Datenschutz-Folgenabschätzungen
- Verträge mit Auftragsbearbeitern (Datenschutzklauseln)
- Nachweise der Einwilligung Ihrer Nutzer
- Interne Sicherheitsverfahren
3. Konformes Einwilligungsbanner implementieren
Das Banner muss die Ablehnung genauso einfach ermöglichen wie die Zustimmung. Drittskripte (Analytics, Social Media, Werbung) müssen bis zur Einwilligung blockiert sein. Das ist das gesetzliche Minimum.
4. Mitarbeitende schulen
Die strafrechtliche Verantwortung kann jeden Mitarbeitenden treffen, der eine fehlerhafte Entscheidung getroffen hat. Eine Schulung zu den Grundpflichten des nDSG — selbst ein halber Tag — reduziert die Risiken erheblich.
5. Interne Verantwortlichkeit klären
Auch wenn das nDSG für KMU keinen obligatorischen Datenschutzbeauftragten vorschreibt, schafft die Benennung einer internen (oder externen) Kontaktperson eine klare Verantwortlichkeit und erleichtert die Koordination im Ereignisfall.
Versicherungen: D&O und Cyber als ergänzender Schutz
Angesichts des Risikos persönlicher Haftung verdienen zwei Versicherungsarten Ihre Aufmerksamkeit:
Organ- und Managerhaftpflichtversicherung (D&O — Directors & Officers) Sie deckt Verteidigungskosten und Schadenersatzansprüche aus der persönlichen Inanspruchnahme eines Leiters wegen Pflichtverletzungen bei der Ausübung seiner Funktion. Manche Policen decken explizit regulatorische Verstösse.
Cyberversicherung (Cyber Liability) Sie deckt Kosten im Zusammenhang mit einer Datenverletzung: Benachrichtigung betroffener Personen, Krisenmanagement, IT-Kosten und in manchen Fällen auch Rechtsverteidigungskosten. Strafrechtliche Bussen sind in der Regel ausgeschlossen, aber der finanzielle Gesamtschaden eines Vorfalls wird erheblich reduziert.
Achtung: Prüfen Sie die Ausschlussklauseln Ihrer Police genau. Manche Versicherer schliessen vorsätzliche Verstösse oder "bewusste" Regelverletzungen aus — was geltend gemacht werden kann, wenn Sie keinerlei Compliance-Massnahmen ergriffen haben.
Was das nDSG nicht bestraft
Es ist wichtig, das Sanktionsregime nicht überzuinterpretieren. Das nDSG bestraft nicht Unvollkommenheit, sondern grobe Fahrlässigkeit und bewusste Missachtung der Pflichten. Ein KMU, das:
- ernsthaft versucht hat, die Anforderungen zu erfüllen,
- seine Schritte dokumentiert hat,
- erkannte Mängel behoben hat,
...steht in einer wesentlich besseren Ausgangslage als eines, das nichts unternommen hat — selbst wenn die Compliance nicht perfekt ist.
Der EDÖB hat öffentlich bekundet, dass er gegenüber gutgläubigen KMU einen präventiven und pädagogischen Ansatz bevorzugt, bevor er Strafverfolgung einleitet.
Der beste Schutz gegen nDSG-Sanktionen beginnt damit, zu wissen, welche Tracker und Cookies auf Ihrer Website aktiv sind. Analysieren Sie Ihre Website kostenlos mit PrivaScan und erhalten Sie sofort einen Compliance-Bericht.