Exkurs: Bussenregime nach revidiertem Schweizer Datenschutzgesetz

Das Schweizer Datenschutzrecht ist in Revision und wird aktuell im Parlament debattiert (mehr dazu im Artikel auf unserem Datenschutzblog). Noch ist der Entwurf nicht Gesetz, aber werden die Grundzüge des Sanktionsregimes nicht mehr verändert, ist dieses gänzlich anders aufgesetzt als in der EU. In der Schweiz steht die Bestrafung von natürlichen Personen, insbesondere der Leitungsorgane (z.B. Verwaltungsrat) von fehlhaften Unternehmen im Vordergrund. Bei Verletzung bestimmter datenschutzrechtlicher Pflichten haften diese direkt und persönlich für Bussen bis zu maximal CHF 250‘000.-. Nur wenn der Bussbetrag unter CHF 50‘000.- liegt, kommt eine Bestrafung des Unternehmens anstelle der Leitungspersonen in Betracht.

Im Gegensatz zum oben beschriebenen Fall (Busse durch EU-Behörde, welche über gesellschaftsrechtliche Verantwortlichkeit zur Haftung der Verwaltungsräte führen kann, ist die nach neuem Schweizer Recht vorgesehen Haftung direkt. Der Verwaltungsrat wird sich in diesem Fall nicht in einem Zivilprozess gegen die Vorwürfe der Pflichtverletzung verteidigen müssen, sondern gegenüber dem Staatsanwalt.

Fazit

Wenn einem Schweizer Unternehmen eine Busse nach EU-Datenschutzrecht, allenfalls in Millionenhöhe, auferlegt wird und die Verletzung auf die pflichtwidrige Untätigkeit des Verwaltungsrates zurückzuführen ist, kann dieser unter Umständen für den hieraus entstehenden Schaden, sprich, den Betrag der Busse, persönlich haftbar (vgl. Persönliche Haftung von Verwaltungsräten) werden.

Ähnliche Szenarien sind denkbar bei internationalen Strukturen, bei denen z.B. einer deutschen Tochtergesellschaft eines Schweizer Konzerns durch eine EU-Datenschutzbehörde eine Busse auferlegt wird und daraus der Schweizer Muttergesellschaft ein Schaden entsteht. Auch bei einem solchen Setup ist ein Schweizer Verwaltungsrat daher gut beraten, das Thema Datenschutz nicht auf die Lange Bank zu schieben.