Risiko

Bussen und persönliche Haftung unter dem revDSG: Was Geschäftsführer wissen müssen

ComplianceCore Editorial··7 min read

Das revDSG bestraft nicht das Unternehmen — es bestraft Sie persönlich. Bei vorsätzlichen Verstössen gegen die sieben Straftatbestände drohen Bussen bis CHF 250'000 gegen die verantwortliche natürliche Person: den CEO, die Geschäftsführerin, das Verwaltungsratsmitglied. Das Unternehmen selbst kann erst subsidiär — und nur bis CHF 50'000 — gebüsst werden, wenn die verantwortliche Person nicht ermittelt werden kann. Diese Bussen sind strafrechtlich und damit nicht versicherbar.

CHF 250'000

Max. Busse — gegen Sie persönlich

7

Abschliessende Straftatbestände

Vorsatz

Nur vorsätzliche Verstösse strafbar

Das Wichtigste zuerst: Person, nicht Firma

Der fundamentale Unterschied des revDSG zur EU-DSGVO liegt in der Adressierung der Sanktion. In der EU werden Unternehmen mit Verwaltungsstrafen belegt — die Busse trifft das Unternehmenskapital. In der Schweiz ist das Strafrecht für natürliche Personen der gewählte Weg.

Schweiz — revDSG

CHF 250'000

  • gegen die verantwortliche natürliche Person
  • Strafrechtlich — Strafregister
  • Privatvermögen des CEO / VR
  • Nicht versicherbar
  • Subsidiär Unternehmen: CHF 50'000

Nur bei Vorsatz

EU — DSGVO

EUR 20 Mio.

  • oder 4% Jahresumsatz — gegen das Unternehmen
  • Verwaltungsstrafe — kein Strafregister
  • Unternehmenskapital betroffen
  • Cyber-Versicherung möglich
  • Tiersystem: EUR 10 Mio. für leichtere Verstösse

Auch bei Fahrlässigkeit

🚨

Was das praktisch bedeutet: Als CEO eines Schweizer KMU mit CHF 5 Mio. Jahresumsatz riskieren Sie persönlich CHF 250'000 — unabhängig davon wie gut Ihr Unternehmen aufgestellt ist. Die Busse trifft Ihr Privatvermögen, erscheint im Strafregister und kann nicht über eine Versicherung abgewälzt werden.

Die 7 Straftatbestände des revDSG

Das revDSG kennt eine abschliessende Liste von sieben Straftatbeständen (Art. 60–63 DSG). Nur diese Verstösse können zu einer Busse führen — und nur wenn sie vorsätzlich begangen werden.

#StraftatbestandArtikelWas das konkret bedeutet
1Verletzung der InformationspflichtenArt. 60 DSG, i.V.m. Art. 19–21
Keine oder falsche Datenschutzerklärung; Betroffene nicht über Datenbearbeitung informiertHäufigster Tatbestand in der Praxis
2Verletzung der AuskunftspflichtArt. 60 DSG, i.V.m. Art. 25Auskunftsbegehren nicht, zu spät oder unvollständig beantwortet; Auskunft verweigert ohne zulässigen Grund
3Verletzung der Mitwirkungspflichten gegenüber EDÖBArt. 62 DSGKeine Kooperation bei EDÖB-Untersuchungen; Anordnungen des EDÖB missachtet; falsche Auskünfte erteilt
4Verletzung der Sorgfaltspflicht bei AuslandtransfersArt. 61 DSG, i.V.m. Art. 16–17Personendaten ohne angemessenes Schutzniveau ins Ausland übermittelt; keine Garantien (SCC, DPF) sichergestellt
5Verletzung der Anforderungen an AuftragsbearbeitungArt. 61 DSG, i.V.m. Art. 9Kein AVV mit Auftragsbearbeitern; Daten an Dritte weitergegeben die keine ausreichenden Garantien bieten
6Verletzung der Mindestanforderungen an DatensicherheitArt. 61 DSG, i.V.m. Art. 8
Keine oder ungenügende technische und organisatorische Massnahmen; Daten unverschlüsselt gespeichert; kein ZugriffsmanagementOft kombiniert mit Tatbestand 1 nach Datenpannen
7Verletzung der beruflichen SchweigepflichtArt. 63 DSGDatenschutzberater oder beigezogene Personen verletzen ihre Geheimhaltungspflicht; unbefugte Weitergabe von Geheimnissen
ℹ️

Abschliessende Liste — kein Ermessensspielraum. Nur diese sieben Tatbestände können zu einer Busse führen. Fehlendes VVT, fehlender Datenschutzberater oder nicht gemeldete Datenpannen sind für sich allein nicht strafbar — sie können aber die Grundlage für einen der sieben Tatbestände legen. Zum Beispiel: Ein fehlendes VVT macht es unmöglich, ein Auskunftsbegehren fristgerecht zu beantworten (Tatbestand 2).

Die Vorsatz-Voraussetzung: Kein Versehen, aber Beweislast

Das revDSG bestraft nur vorsätzliches Handeln — fahrlässige Verstösse sind nicht strafbar. Das klingt beruhigend. Die Praxis ist komplizierter.

Vorsatz bedeutet nicht, dass jemand aktiv schaden wollte. Es reicht, dass er die Verletzung für möglich gehalten und billigend in Kauf genommen hat (Eventualvorsatz). Wer weiss, dass er keine Datenschutzerklärung hat, und trotzdem Personendaten sammelt, handelt vorsätzlich. Wer Hinweise auf eine Datenpanne ignoriert, um keine Meldepflicht auszulösen, handelt vorsätzlich.

⚠️

«Ich wusste das nicht» schützt nur solange, wie das Nichtwissen entschuldbar ist. Wer als CEO oder VR-Mitglied die Datenschutzsituation seines Unternehmens systematisch ignoriert oder keine angemessenen Kontrollmechanismen einrichtet, kann sich bei einem Verstoss nicht auf Unwissenheit berufen.

Wer haftet konkret?

Das Gesetz adressiert die «verantwortliche Person» — das ist nicht automatisch die Geschäftsführung, aber sie ist in der Regel im Fokus. Die Strafverfolgungsbehörde muss nachweisen, wer konkret für den Verstoss verantwortlich war.

CEO / Geschäftsführung

Trägt die Gesamtverantwortung für die Einhaltung des Datenschutzgesetzes im Unternehmen. Bei strukturellen Mängeln (keine DSE, keine AVV, kein Incident-Prozess) ist die Geschäftsführung primäre Adressatin.

Verwaltungsrat

VR-Mitglieder haben Aufsichtspflichten — auch im Bereich Datenschutz. Ein VR, der trotz Kenntnis von schwerwiegenden Datenschutzmängeln keine Massnahmen veranlasst, kann persönlich haftbar werden. Besonders relevant: VR-Mitglieder von KMU, die gleichzeitig operativ tätig sind.

Bereichsverantwortliche

Wenn ein bestimmter Verstoss klar einem Bereich zuzuordnen ist (z.B. IT-Leiter ignoriert Datenpanne, HR-Leiterin verweigert Auskunft), kann auch die verantwortliche Bereichsperson direkt zur Rechenschaft gezogen werden — nicht nur die Unternehmensführung.

Das Unternehmen selbst — subsidiär

Kann die verantwortliche natürliche Person nicht ermittelt oder bestraft werden, kann das Unternehmen subsidiär mit bis zu CHF 50'000 gebüsst werden. Das ist die deutlich niedrigere Fallback-Option — und kein Anreiz, die verantwortliche Person zu «verstecken».

Praxisszenarien: Wann wird's konkret gefährlich?

Datenpanne — und kein Meldeprozess

Hohes Risiko

Ein Onlineshop-Betreiber (CEO) erfährt von einem Hackerangriff auf die Kundendatenbank mit 3'000 Einträgen. Er entscheidet, die Panne intern zu halten und nichts zu melden, weil er negative Publicity fürchtet. Betroffene werden nicht informiert.

Tatbestand 6 (Datensicherheit) + Tatbestand 1 (Informationspflicht gegenüber Betroffenen) — vorsätzlich, da bewusstes Wegsehen

Auskunftsbegehren — ignoriert

Hohes Risiko

Eine HR-Leiterin erhält ein schriftliches Auskunftsbegehren eines ehemaligen Mitarbeitenden. Sie leitet es an die Rechtsabteilung weiter — die Anfrage «versumpft» und bleibt nach 60 Tagen unbeantwortet. Kein VVT vorhanden, daher ohnehin keine vollständige Auskunft möglich.

Tatbestand 2 (Auskunftspflicht) — Frist 30 Tage, Verletzung vorsätzlich bei Kenntnis der Anfrage

Datentransfer in die USA ohne Garantien

Mittleres Risiko

Ein Marketingleiter nutzt seit Jahren ein US-CRM-System für Kundendaten. Nach dem Wechsel des Anbieters wird der neue Anbieter nicht auf DPF-Zertifizierung geprüft, kein AVV abgeschlossen. Der Auslandtransfer wird nicht in der DSE erwähnt.

Tatbestand 4 (Auslandtransfer) + Tatbestand 5 (Auftragsbearbeitung) — Vorsatz schwieriger nachzuweisen, aber Eventualvorsatz möglich

EDÖB-Untersuchung — keine Kooperation

Hohes Risiko

Der EDÖB leitet eine Sachverhaltsabklärung ein und verlangt Unterlagen. Der CEO weist das Unternehmen an, keine Dokumente herauszugeben und Fragen auszuweichen — aus Angst vor weiteren Konsequenzen. Die Nicht-Kooperation eskaliert die Situation erheblich.

Tatbestand 3 (Mitwirkungspflichten gegenüber EDÖB) — klarer Vorsatz, schwerwiegend

Versicherbarkeit: Was deckt was?

Die häufigste Frage von Geschäftsführenden: «Bin ich versichert?» Die ehrliche Antwort ist differenziert.

D&O-Versicherung

Directors & Officers

  • Zivilrechtliche Haftungsansprüche Dritter gegen Organmitglieder
  • Vermögensschäden durch Managementfehler
  • Strafrechtliche Bussen nach revDSG — nicht versicherbar
  • Vorsätzliche Verstösse grundsätzlich ausgeschlossen

Cyber-Versicherung

Cyber & Data Breach

  • IT-Forensik und Schadensbehebung nach Datenpanne
  • Benachrichtigung Betroffener (Notifikationskosten)
  • Betriebsunterbruch durch Cyberangriff
  • Reputationsmanagement und PR-Kosten
  • Strafrechtliche Bussen nach revDSG — nicht versicherbar
  • DSGVO-Verwaltungsstrafen — je nach Police
ℹ️

Fazit zur Versicherbarkeit: Eine gute Cyber-Versicherung deckt die operativen Schäden nach einer Datenpanne ab — die sind oft deutlich höher als die Busse selbst (Forensik, Kundenbenachrichtigung, Reputationsschaden). Die strafrechtliche Busse nach revDSG hingegen ist im Privatvermögen zu tragen. Das einzige wirksame «Versicherungsinstrument» ist Compliance.

Wer haftet bei Datenschutzverstössen — die Firma oder die Geschäftsführung?+
Primär die verantwortliche natürliche Person — CEO, Geschäftsführerin, VR-Mitglied oder konkret verantwortliche Mitarbeiterin. Das Unternehmen kann nur subsidiär gebüsst werden (bis CHF 50'000), wenn die verantwortliche Person nicht ermittelt werden kann. Das ist der fundamentale Unterschied zur DSGVO, die primär das Unternehmen trifft.
Welche Datenschutzverstösse sind in der Schweiz strafbar?+
Sieben abschliessende Tatbestände: Verletzung der Informationspflichten, Auskunftspflicht, Mitwirkungspflichten gegenüber EDÖB, Sorgfaltspflicht bei Auslandtransfers, Anforderungen an Auftragsbearbeitung, Datensicherheit und beruflicher Schweigepflicht. Nur vorsätzliche Verstösse sind strafbar — Fahrlässigkeit reicht nicht.
Bin ich als Verwaltungsratsmitglied persönlich haftbar?+
Ja, wenn Sie von einem Verstoss wussten oder hätten wissen müssen und nichts unternommen haben. VR-Mitglieder tragen Aufsichtspflichten — auch im Bereich Datenschutz. Ein VR, der trotz Kenntnis von gravierenden Datenschutzmängeln keine Massnahmen veranlasst, kann persönlich strafrechtlich belangt werden.
Deckt meine D&O-Versicherung Datenschutz-Bussen?+
Nein. Strafrechtliche Bussen sind grundsätzlich nicht versicherbar. D&O-Versicherungen decken zivilrechtliche Haftungsansprüche, nicht Kriminalstrafen. Cyber-Versicherungen decken operative Schäden (Forensik, Benachrichtigung, Betriebsunterbruch) — aber ebenfalls keine strafrechtlichen Bussen.
Was ist der grösste Unterschied zwischen CH-Bussen und EU-Bussen?+
In der Schweiz haften natürliche Personen strafrechtlich bis CHF 250'000 — trifft das Privatvermögen, erscheint im Strafregister, ist nicht versicherbar. In der EU werden Unternehmen mit Verwaltungsstrafen bis EUR 20 Mio. oder 4% des Jahresumsatzes belegt — trifft das Unternehmenskapital, kein Strafregister, ggf. über Versicherung abdeckbar.

Compliance-Gap-Analyse: Wo sind Sie angreifbar?

ComplianceCore zeigt Ihnen für jeden der 7 Straftatbestände, wo Ihr Unternehmen heute steht — welche Massnahmen fehlen und welche Risiken konkret adressiert werden müssen. In 15 Minuten, ohne Beratungsmandat.

Compliance-Gap-Analyse starten

This content is for informational purposes only and does not constitute legal advice.

Related Articles

Grundlagen

Neues Datenschutzgesetz Schweiz (revDSG): Was KMU jetzt wissen müssen

Read article →
Risiko

Datenschutzverletzung melden: So funktioniert die Meldung an den EDÖB

Read article →
Grundlagen

revDSG vs. DSGVO: Die wichtigsten Unterschiede für Schweizer Unternehmen

Read article →