Warum das EU-Datenschutzrecht Schweizer KMU interessieren sollte

Mitte 2016 trat in der EU eine neue Verordnung in Kraft. Sie trug den unscheinbaren Namen «Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)» oder kurz DSGVO beziehungsweise auf Englisch GDPR. Bereits zuvor hatte die EU gewisse Fragen zum Datenschutz in der Datenschutzrichtlinie von 1995 einheitlich geregelt. 

Abschreckende Bussen

Die DSGVO aber läutete ein neues Zeitalter im Datenschutz ein. Nach zwei Jahren Übergangsfrist wurde sie am 25. Mai 2018 formell gültig und mit ihr die in den Medien viel Beachtung findenden Bussen von bis zu 20 000 000 Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes. Solche Bussen sollen in jedem Einzelfall wirksam, verhältnismässig und – ausdrücklich im Gesetz so vorgesehen – abschreckend sein.

Ein paar Milliarden Euro an Beraterho­noraren später sind nun viele Unternehmen GDPR-compliant oder haben sich zu­mindest damit befasst, inwiefern sie die Anforderungen nicht erfüllen und welche Risiken sie damit auf sich nehmen. Gleichzeitig haben sich viele Un­ternehmen aber noch überhaupt nicht mit dem Thema auseinandergesetzt. Das trifft insbesondere auf Firmen zu, die nicht eindeutig oder vielleicht weniger offensichtlich unter die DSGVO fallen. 

Bei diesen wurde häufig noch nicht einmal ein rudimentäres Assessment gemacht, ob das EU-Datenschutzrecht allenfalls auf sie Anwendung finden könnte, geschweige denn, welche Pflichten und Risiken das nach sich ziehen würde. In gleicher Weise wird gerne auch ignoriert, dass es in Grenzfällen Möglichkeiten gibt, seine Geschäftsaktivitäten so zu strukturieren, dass diese ganz oder teilweise eben nicht unter die DSGVO fallen.

Relevanz für Schweizer KMU

Aber das sei für Schweizer Unternehmen alles nicht relevant, das sei doch EU-Recht, würde man gerne einwenden. Leider stimmt das nicht. Einerseits haben viele Schweizer KMU Niederlassungen im Ausland, auch in der EU. Die Aktivitäten dieser Niederlassungen können Bussen nach sich ziehen, die sich am gruppenweiten Umsatz orientieren. Notabene gelten nicht nur Tochtergesellschaften oder ähnliche rechtlich verselbstständigte Formen als Niederlassungen, sondern es kann bereits eine Marktpräsenz mittels Verkaufsagent reichen. 

Andererseits beansprucht das EU-Datenschutzrecht in gewissen Fällen auch aus­serhalb der EU Geltung. Die sogenannte extraterritoriale Anwendung der DSGVO (extraterritorial deshalb, weil es eben auch ausserhalb des EU-«Territoriums» gilt) bezieht sich nicht nur auf die allgemeinen Grundsätze und Pflichten, sondern auch auf die Sanktionen des neuen EU-Datenschutzrechts.

So will die DSGVO ausserhalb der EU für alle gelten, die entweder Dienstleistungen oder Waren an Kunden anbieten, die sich in der EU befinden, oder das Verhalten von Personen beobachten, welche sich in der EU befinden (wie zum Beispiel Besuchern ihrer Website).

Relevanz für  Unternehmer

Mögliche Bussen für das Unternehmen sind ein ernst zu nehmendes Thema und können im Extremfall ein Risiko für dessen weiteres Bestehen darstellen. Eine ganz andere – und aus Sicht der Organe teilweise viel abschreckendere – Gefahr ist aber die persönliche Haftung.

Auch wenn dies nicht allen Verwaltungsräten oder Geschäftsleitungsmitgliedern jederzeit präsent ist, haften sie als Organe unter gewissen Umständen mit ihrem Privatvermögen für Schäden, die der Gesellschaft aufgrund ihrer Handlungen oder Unterlassungen entstehen. Als solche Schäden kommen auch Bussen in Betracht, die der Gesellschaft zum Beispiel für Datenschutzverstösse auf­erlegt werden.

Die Anspruchssteller

Doch der Reihe nach: Wie kann es überhaupt dazu kommen, dass aufgrund einer Datenschutzverletzung Geld bezahlt werden muss? Welche Umstände müssen dann hinzutreten, damit ein Verwaltungsrats- oder Geschäftsleitungsmitglied dafür persönlich geradestehen muss?

Wenn eine Datenschutzverletzung geschieht (zum Beispiel Data Breach durch falsch versandte E-Mails oder verlorene USB-Sticks, illegale Übermittlung von Daten in unsichere Drittstaaten wie die USA, Verarbeitung von Personendaten ohne angemessene Information oder ohne Zustimmung, wo eine solche nötig wäre, et cetera), sieht man sich als Unternehmen vor allem zwei Anspruchsstellern gegenüber:

• den von der Verletzung Betroffenen und
• der zuständigen Datenschutz-Aufsichtsbehörde.

Der Betroffene kann grundsätzlich verlangen, dass der ihm durch die Verletzung entstandene Schaden ersetzt wird (zivilrechtliche Verantwortung). Das gilt sowohl nach Schweizer Recht wie auch nach dem EU-Datenschutzrecht. Solche Fälle sind bisher aber selten und der eingetretene Schaden ist in der Regel eher klein, weshalb die zivilrechtliche Verantwortung gegenüber dem Betroffenen in diesem Beitrag nicht weiter betrachtet wird.

Neben dem Betroffenen kann aber auch eine Datenschutzbehörde auf Anzeige hin oder von sich aus aktiv werden und sich die Datenverarbeitungsvorgänge in einem Unternehmen genauer anschauen (aufsichtsrechtliche Verantwortung). Die Untersuchungskompetenzen der Behörden sind dabei weitreichend. Ist sie mit der vorgefundenen Situation nicht zu­frieden, stehen ihr zwei Werkzeuge zur Verfügung:

• Massnahmen und
• Sanktionen nach neuem Schweizer Recht.

Schweizer Datenschutzbehörden

Dies gilt wiederum für Schweizer Recht wie auch für das EU-Datenschutzrecht, wobei sich die Art und Härte der Massnahmen und Sanktionen stark unterscheiden. Nach aktuellem Schweizer Datenschutzrecht hat die Schweizer  Aufsichtsbehörde (in der Regel der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, EDÖB) sehr viel weniger weitreichende Kompetenzen als ihre europäischen Pendants (zum Beispiel die französische Commission nationale de l’informatique et des libertés, CNIL, oder im diesbezüglich föderal organisierten Deutschland das Bayerische Landesamt für Datenschutzaufsicht, Baylda), ins­besondere was Bussen anbelangt.

Das Schweizer Datenschutzrecht wird aktuell revidiert. Die Beratung im Nationalrat ist vorderhand abgeschlossen und die Staatspolitische Kommission des Ständerates hat sich des Geschäfts angenommen. Bleibt es bei der aktuellen Planung, sollen Differenzbereinigung und Schlussabstimmung im Frühling 2020 erfolgen. Da der definitive Wortlaut des neuen Datenschutzgesetzes noch nicht fixiert ist, wird auf dieses im Folgenden nicht weiter eingegangen, bis auf einen wichtigen Hinweis ganz am Schluss (siehe «Sanktionen nach neuem Schweizer Recht» unten).

Sanktionen nach EU-Recht

Die möglichen Massnahmen nach EU-­Datenschutzrecht reichen von einfachen Warnungen über spezifische Anweisungen (zum Beispiel bestimmte Verarbeitung in Einklang mit dem Datenschutzrecht zu bringen) bis hin zu Verboten (denkbar ist zum Beispiel ein Verbot weiterer Übermittlung von Personendaten an die chinesische Tochtergesellschaft oder an den Payroll Management Provider in den USA). Auf diese wird hier nicht weiter eingegangen, denn für den vorliegenden Artikel sind vor allem die Sanktionen, konkreter die Geldbussen, von Interesse.

Bei Verletzung untergeordneter Pflichten drohen Bussen von bis zu 10 000 000 Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes. Werden Grundprinzipien (wie etwa Transparenz, Zweckbindung, Datenminimierung) oder Betroffenenrechte (wie das Recht auf Auskunft oder Löschung) verletzt oder Personendaten auf illegale Weise in unsichere Drittländer übermittelt, droht sogar eine Busse von bis zu 20 000 000 Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes.

Fällt ein Schweizer KMU unter die DSGVO, ist also denkbar, dass ihm durch eine EU-Datenschutzbehörde eine Busse für Datenschutzverstösse auferlegt würde. Ebenso im Falle von Niederlassungen (wie zum Beispiel Verkaufspräsenz) in der EU. Bei rein schweizerischen Konzernen ist zwar derzeit unklar, wie die ausländischen Behörden eine solche Busse in der Schweiz tatsächlich eintreiben würden oder ob sie das überhaupt könnten. 

Faktisch dürfte es längerfristig aber schwierig sein, entsprechende Strafverfügungen zu ignorieren, auch wenn sie nicht von Schweizer Behörden erlassen wurden, insbesondere wenn man als Unternehmen (beziehungsweise als Unternehmer) Berührungspunkte mit dem EU-Markt beziehungsweise der EU hat. Bei KMU mit Niederlassungen in der EU stellen sich dagegen kaum Vollstreckungsprobleme, da diese ja lokal präsent sind und damit auch vor Ort zur Verantwortung gezogen werden können.

Wie sieht es nun aber mit der möglichen persönlichen, wenn auch indirekten Haftung der Organe aus?

Indirekte Haftung der Organe

Nehmen wir an, einem Schweizer Unternehmen mit oder ohne Niederlassungen in Frankreich würde durch die französische CNIL für Datenschutzverstösse eine Busse von 1 000 000 Euro auferlegt. Unter welchen Umständen könnte diese Busse nun zu einer persönlichen Verantwortung für die einzelnen Verwaltungsrats- oder Geschäftsleitungsmitglieder werden?

Generell haftet ein Verwaltungsrats- oder Geschäftsleitungsmitglied persönlich für den Schaden, den es der Gesellschaft absichtlich oder fahrlässig verursacht, wobei bereits leichte Fahrlässigkeit genügt. Schadenersatz ist dabei an die Gesellschaft zu leisten, was entweder die Gesellschaft selbst oder ein Aktionär verlangen kann. Geht die Gesellschaft Konkurs, kann auch ein Gläubiger Schadenersatz verlangen und sich daraus vorab befriedigen. Eine persönliche Haftung der Organe setzt die klassischen vier Elemente des Haftpflichtrechts voraus:

1. Schaden,
2. Pflichtverletzung,
3. Kausalzusammenhang und
4. Verschulden.

Persönliche Verantwortlichkeit 

Wird einer Gesellschaft eine Busse auferlegt, stellt dies einen Schaden der Gesellschaft dar. Der Verwaltungsrat hat gemäss OR für die Einhaltung der anwendbaren Gesetze im Geschäftsbetrieb zu sorgen. Diese Aufgabe kann – einwandfreie Delegation vorausgesetzt – an die Geschäftsleitung weitergereicht werden, womit auch diese in der Verantwortung ist. Beim Verwaltungsrat verbleibt auf jeden Fall – also auch bei korrekter Delegation – die Oberverantwortung und er muss die Geschäftsleitung diesbezüglich beaufsichtigen.

Verletzt nun der Verwaltungsrat oder die Geschäftsleitung die jeweiligen (Aufsichts-)Pflichten, könnte eine Verletzung des Datenschutzrechtes eine Pflichtverletzung des Verwaltungsrates bzw. der Geschäftsleitung darstellen. Gerade angesichts der grossen medialen Aufmerksamkeit, die dem neuen Datenschutzrecht spätestens seit Mai 2018 zukommt, kann es für die leitenden Organe schwierig sein, eine gänzliche Untätigkeit in diesem Bereich sachlich zu begründen. 

Der Kausalzusammenhang zwischen der Verletzung und der Busse liegt ebenfalls vor, ist sie doch deren direkte Ursache. In einer solchen Konstellation dürfte es dem betreffenden Organ zudem regelmässig schwerfallen, zu zeigen, dass es kein Verschulden trifft. So kann es dazu kommen, dass die einzelnen Verwaltungsrats- oder Geschäftsleitungsmitglieder indirekt, über die gesellschaftsrechtliche Verantwortlichkeit, persönlich haftbar werden für die Datenschutzbussen, die ihrem Unternehmen auferlegt werden.

Das neue Schweizer Recht

Das Schweizer Datenschutzrecht ist in Revision und wird aktuell im Parlament debattiert. Noch ist der Entwurf nicht Gesetz und gerade die Strafbestimmungen sind in der parlamentarischen Beratung nicht unbestritten. Aber zumindest im Entwurf des Bundesrates sind die Grundzüge des Sanktionsregimes gänzlich anders aufgesetzt als in der EU. In der Schweiz steht die Bestrafung von natürlichen Personen, insbesondere der Leitungsorgane (zum Beispiel Verwaltungsrat) von fehlhaften Unternehmen, im Vordergrund. Bei Verletzung bestimmter datenschutzrechtlicher Pflichten sollen diese direkt und persönlich für Bussen bis zu maximal 250 000 CHF haften. Nur wenn der Bussbetrag unter 50 000 CHF liegt, kommt eine Bestrafung des Unternehmens anstelle der Leitungspersonen in Betracht.

Im Gegensatz zu dem oben beschriebenen Fall (Busse durch EU-Behörde, welche über gesellschaftsrechtliche Ver­antwortlichkeit zur Haftung der Ver­waltungsräte führen kann) ist die nach neuem Schweizer Recht vorgesehene Haftung direkt. Der Verwaltungsrat wird sich in diesem Fall nicht in einem Zivilprozess gegen die Vorwürfe der Pflichtverletzung verteidigen müssen, sondern gegenüber dem Staatsanwalt.

Fazit

Jedes Schweizer KMU sollte für sich abklären, ob die DSGVO auf es anwendbar ist oder nicht. Besonders die leitenden Organe sollten um eine entsprechende Prüfung bemüht sein, da sie im Extremfall persönlich für deren Einhaltung geradestehen müssen. Denn wenn einem Schweizer KMU eine Busse nach EU-Datenschutzrecht, allenfalls in Millionenhöhe, auferlegt wird und die Verletzung auf die pflichtwidrige Untätigkeit des Verwaltungsrates oder der Geschäftsleitung zurückzuführen ist, können diese unter Umständen persönlich für den hieraus entstehenden Schaden, sprich den Bussbetrag, haftbar werden.

Ähnliche Szenarien sind denkbar bei internationalen Strukturen, bei denen zum Beispiel einer deutschen Tochtergesellschaft eines Schweizer Konzerns durch eine EU-Datenschutzbehörde eine Busse auferlegt wird und daraus der Schweizer Muttergesellschaft ein Schaden entsteht. Auch bei einem solchen Set-up sind Schweizer KMU und ihre leitenden Organe daher gut beraten, das Thema Datenschutz nicht auf die lange Bank zu schieben.