Newsletter: Strafbarkeit bei unrichtiger oder unvollständiger Beantwortung von Auskunftsbegehren – wie mit dem Risiko umgehen?
Hintergrund
Am 1. September 2023 trat das revidierte Bundesgesetz über den Datenschutz (DSG) in Kraft. Eines der zentralen Ziele der Revision war es, die Rechte von natürlichen Personen zu stärken, deren Personendaten bearbeitet werden. Ein wesentliches Instrument dafür ist der Auskunftsanspruch gemäss Art. 25 DSG. Dieser soll Transparenz schaffen und betroffenen Personen ermöglichen, ggf. weitere Ansprüche geltend zu machen. Das Auskunftsrecht ist jedoch nicht grenzenlos – Einschränkungen sind beispielsweise zum Schutz überwiegender Interessen Dritter oder bei offensichtlich unbegründeten Gesuchen möglich (Art. 26 DSG ff.).
Bedeutsam ist: Das revidierte DSG sieht eine strafrechtliche Verantwortlichkeit vor, wenn eine Auskunft vorsätzlich unrichtig oder unvollständig erteilt wird. Gemäss Art. 60 Abs. 1 lit. a DSG kann in einem solchen Fall eine Busse von bis zu CHF 250’000 verhängt werden. Bemerkenswert ist, dass sich die Strafbarkeit nicht gegen das Unternehmen, sondern gegen die einzelne Person richtet – also etwa Mitarbeitende aus HR oder der Rechtsabteilung, die mit der Bearbeitung des Auskunftsbegehrens betraut sind. Diese Regelung, die im EU-Recht in dieser Form nicht existiert, war umstritten und hat verständlicherweise gerade bei Datenschutzverantwortlichen für Besorgnis gesorgt.
Zwei kürzlich veröffentlichte Fälle – besprochen im Blog datenrecht.ch von David Vasella (Beiträge vom 12. und 13. Juni 2025) – illustrieren die Problematik.
Anlass der aktuellen Diskussion
Im ersten Fall richtete sich ein Auskunftsbegehren an ein grosses Medienunternehmen. Der zuständige Unternehmensjurist antwortete zunächst, dass Personendaten der gesuchstellenden Person in zwei Datensätzen gefunden worden seien, nicht aber in Systemen eines weiteren Mediums des Unternehmens. Der Auskunftssteller widersprach, worauf die Antwort revidiert wurde: Weitere Daten seien vorhanden, aber durch das Medienprivileg gemäss Art. 27 DSG geschützt.
Am 4. März 2025 wurde der Jurist vom Statthalteramt Bezirk Zürich mit einer Busse von CHF 600 und Verfahrenskosten von CHF 430 belegt. Die Begründung: Die ursprüngliche Auskunft habe den Eindruck erweckt, vollständig zu sein. Aufgrund der später nachgeschobenen Klarstellung sei damit davon auszugehen, dass wissentlich und willentlich eine unrichtige bzw. unvollständige Auskunft gegeben worden sei. Offenbar wurde gegen den Strafbefehl Einsprache erhoben.
Im zweiten Fall entschied die Staatsanwaltschaft des Kantons Solothurn im April 2025, kein Strafverfahren zu eröffnen, obwohl ein Unternehmen die Frist von 30 Tagen zur Beantwortung eines Auskunftsbegehrens (Art. 25 Abs. 7 DSG) nicht eingehalten hatte.
Wie kann das Risiko strafrechtlicher Verantwortlichkeit minimiert werden?
Gerade in grösseren Organisationen sind oft mehrere Abteilungen in die Behandlung datenschutzrechtlicher Auskunftsbegehren involviert. HR- oder Legal-Mitarbeitende sind häufig auf Zuarbeit aus verschiedenen Bereichen angewiesen. Der oder die Auskunftsersuchende hatte möglicherweise Kontakt mit verschiedenen Unternehmenseinheiten, und auch Umstrukturierungen führen oft dazu, dass relevante Daten über verschiedene Systeme verstreut sind.
Diese Komplexität erhöht das Risiko, dass Auskünfte unvollständig oder fehlerhaft ausfallen. Strafrechtlich relevant ist dies allerdings nur bei vorsätzlichem Verhalten, wobei Eventualvorsatz genügt (Art. 60 Abs. 1 lit. a DSG). Eventualvorsatz liegt vor, wenn die auskunftserteilende Person erkennt, dass die Auskunft möglicherweise nicht korrekt ist, aber dennoch auf weitergehende Abklärungen verzichtet. Werden dagegen zumutbare Anstrengungen unternommen und bestehen keine Hinweise auf die Unrichtigkeit der erteilten Auskunft, ist der Straftatbestand nicht erfüllt.
Im Zürcher Fall war ausschlaggebend, dass die ursprüngliche Auskunft nach Einschätzung des Statthalteramts den Eindruck der Vollständigkeit erweckte, obwohl das nicht zutraf. Ob dieser sehr strenge Massstab einer Überprüfung des Strafbefehls standhalten wird, bleibt abzuwarten.
Wie lässt sich das Strafbarkeitsrisiko in der Praxis reduzieren?
1. Keine bedingungslose Vollständigkeitserklärung:
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) stellt auskunftssuchenden Personen ein Musterformular zur Verfügung, das eine Bestätigung der Vollständigkeit und Richtigkeit fordert. Auch wenn der Wunsch nach Transparenz verständlich ist – das DSG verpflichtet nicht zu einer solchen Vollständigkeitserklärung. Zur Vermeidung von Strafbarkeitsrisiken ist es im Gegenteil ratsam, explizit darauf hinzuweisen, dass keine Gewährleistung für die Vollständigkeit und Richtigkeit gegeben werden kann. Diese Formulierung sollte in internen Vorlagen enthalten und in Abhängigkeit vom Kontext und der eigenen Organisation weiter konkretisiert werden.
2. Informationen einschränken – wenn gerechtfertigt:
Eine vollständige oder teilweise Auskunftsverweigerung im Sinne von Art. 26 f. DSG ist nicht strafbar. Eine unbegründete Verweigerung kann jedoch eine Intervention des EDÖB (Art. 51 Abs. 3 lit. g DSG) oder, wenn sie die betroffene Person in der Wahrung ihrer zivilrechtlichen Ansprüche behindert, evtl. Schadenersatzansprüche auslösen. Einschränkungen sollten deshalb stets kurz begründet werden, um Transparenz und Nachvollziehbarkeit zu gewährleisten.
3. Interne Schulung und Prozesse:
Der korrekte Umgang mit Auskunftsbegehren erfordert klare interne Prozesse und Schulungen. Zuständigkeiten müssen definiert, der Zweck und die Grenzen des Auskunftsrechts erklärt und die Mitarbeitenden bei der Datenerhebung unterstützt werden. Nur so lassen sich Fehler und Haftungsrisiken minimieren.
Pflichten des Arbeitgebers gegenüber betroffenen Mitarbeitenden
Im Einklang mit der arbeitsrechtlichen Fürsorgepflicht (Art. 328 OR) ist der Arbeitgeber grundsätzlich verpflichtet, Mitarbeitende zu unterstützen, die aufgrund ihrer beruflichen Tätigkeit in ein Strafverfahren verwickelt werden.
1. Ersatz von Aufwendungen:
Die Busse selbst darf nicht vom Unternehmen übernommen oder versichert werden. Verteidigungskosten (z. B. Anwaltskosten) hingegen gelten als notwendige Auslagen und sind gemäss Art. 327a Abs. 1 OR vom Arbeitgeber zu erstatten, sofern die Mitarbeitenden pflichtgemäss und im Rahmen ihrer Tätigkeit gehandelt haben.
2. Administrative Unterstützung:
Arbeitgeber sollten nicht nur finanziell helfen, sondern auch praktisch unterstützen – etwa durch Organisation eine Rechtsbeistands und Bereitstellung interner Dokumente zur Wahrung der Verteidigungsrechte.
3. Versicherungsschutz:
Abgesehen davon, dass strafrechtliche Bussen als solche grundsätzlich nicht versicherbar sind, decken D&O-Versicherungen decken meist nur die Organe der Gesellschaft. Da Art. 60 DSG vorwiegend operative Mitarbeitende betrifft, greift der D&O-Schutz für Verteidigungskosten nur dann, wenn der Versicherungsschutz explizit erweitert wurde. Angesichts des überschaubaren Risikos solcher Bussen ist eine pauschale Deckungserweiterung i.R. nicht gerechtfertigt. Anders mag dies für Mitglieder der Geschäftsleitung oder der erweiterten Konzernleitung mit übergeordneter Datenschutzverantwortung sein, die sich auch aus anderen Gründen, z.B. im Fall eines Cyberangriffs, mit Fragen der persönlichen Haftung konfrontiert sehen können.
Fazit
Die praktischen Auswirkungen der beiden beschriebenen Fälle dürften beschränkt bleiben– dennoch zeigen sie klar: Die Rechtsdurchsetzung im Datenschutz gewinnt auch in der Schweiz an Bedeutung. Die Strafnorm von Art. 60 DSG wirft Fragen zum Verhältnis zwischen organisatorischer Verantwortung und persönlicher Haftung auf. Vor allem aber unterstreicht sie: Organisationen sollten ihre Prozesse klar definieren, Mitarbeitende schulen und bei Bedarf unterstützen, um das Risiko für alle Beteiligten so gering wie möglich zu halten.