«DSG auf dem Prüfstand: Wenn Transparenz zur Strafsache wird»

Der Zürcher Anwalt Martin Steiger hatte wissen wollen, welche Daten über ihn von der Gratiszeitung 20MINUTEN bearbeitet werden und stellte am 2. Oktober 2023 ein Gesuch, mit der er Einsicht in seine Daten verlangte, gestützt auf Art. 25ff. DSG. So erzählt Steiger es selbst auf seinem Internetblog, auf dem er die Geschichte anhand von Auszügen aus dem erstinstanzlichen Strafbefehl nacherzählt.  Im ersten Anlauf lautete die Antwort des Rechtsvertreters der TX Group, zu der 20MINUTEN gehört, es seien bei der Tamedia AG (die, wie auch die 20Minuten AG, eine Tochtergesellschaft der TX-Group ist) zwei Datensätze gefunden worden, bei 20MINUTEN seien mit den mitgeteilten Identifikatoren (wie Name, Telefonnummer, etc.) keine Daten über Steiger gefunden worden. Die Antwort wurde am 12. Oktober 2023 an Steiger zugestellt.

Ein langes Hin und Her

Dieser reklamierte am 3. November 2023, die Antwort müsste unvollständig sein. Hintergrund: Steiger war in der Vergangenheit mehrfach in Artikeln von 20MINUTEN namentlich genannt worden. Mit E-Mail vom 10. November antwortete der TX-Group-Rechtsvertreter dann, 20MINUTEN habe anhand der E-Mail-Adresse und der Handynummer von Steiger nichts finden können «in der Benützerverwaltung».  Die TX-Group räumte ein, dass es verschiedene Zeitungsartikel gäbe, in welchen Steiger mit Namen genannt wurde. Steiger wurde gebeten, zu spezifieren, wo er denn seine Daten angegeben habe.  Ob er darauf eingegangen war, lässt sich nicht rekonstruieren, auf jeden Fall schrieb Steiger am 20. November zurück, wie es möglich sein könne, dass während Jahren mit regelmässigen Kontakten mit 20MINUTEN keinerlei Personendaten über ihn zu finden seien.

Am 1. Dezember 2023 erhielt er die nächste Antwort der TX-Group, interessanterweise jetzt allerdings mit einer Kehrtwende. Das grösste private Schweizer Verlagshaus (gemessen am Jahresumsatz) wollte sich nun plötzlich auf das Medienprivileg nacht Art. 27 DGB berufen und schreib, dass sich die Redaktion «für alle Bearbeitungsvorgänge, die den Bereich der Publizistik beträfen, auf diesen Ausnahmeparagrafen beriefen. Darunter würden auch die Kommunikationsinhalte und Notizen fallen, sofern sie nicht bereits von Art. 2 Abs. 2 lit. a DSG erfasst würden.  Dieser Artikel schliesst die Bearbeitung von Personendaten einzig zum persönlichen Gebrauch vom Geltungsbereich des DSG aus.

Steiger wehrte sich in der Folge mit einer Strafanzeige. Mehr als 15(!) Monate später stellte schliesslich das Statthalteramt des Bezirks Zürich am 4. März 2025 einen Strafbefehl aus. Der Rechtskonsulent der TX-Group wurde mit CH 600.– gebüsst, weiterhin wurden ihm CHF 430 Verfahrenskosten aufgebürdet. Und, wohlverstanden, der Strafbefehl richtet sich gegen den Angestellten der TX-Group persönlich. Nicht gegen seinen Arbeitgeber, in dessen Namen und Auftrag er tätig war. Grundlage für die Busse waren Art. 25 Abs. 2 DSG und die Strafbestimmung aus Art. 60 Abs. 1 lit a DSG. Sie droht eine Busse bis zu CHF 250’000 an, wenn private Personen «ihre Pflichten nach den Art. (…) 25-27 verletzen, indem sie vorsätzlich eine falsche oder unvollsätndige Auskunft erteilen (…).

Bereits im Vorjahr war ein ähnlicher Fall aktenkundig geworden: Der Datenschutzbeauftragte eines Marketingunternehmen hatte zu vage über die Herkunft personenbezogener Daten informiert und wurde ebenfalls gebüsst.

Auch der Anzeigenerstatter ist nicht wirklich zufrieden

Als das neue Datenschutzgesetz in Kraft trat, sprachen viele Kommentatoren von einem «Meilenstein» und das damit die informationelle Selbstbestimmung der Bürgerinnen und Bürger gestärkt werde. Im Auge hatte man dabei vor allem die grossen internationalen Datenkraken, die über ihre Internet-Plattformen massenweise Nutzerdaten sammeln. Dass das neue Gesetz aber gerade für KMU einen erheblichen Zusatzaufwand bedeutet, Rechtsunsicherheit schafft und primär spezialisierten Anwälten wie Steiger Arbeit bringt, hatte das Parlament wenig bedacht. Bezogen auf den konkreten Fall ist aber  auch Martin Steiger kritisch. Die Strafbestimmung, nach welcher der Unternehmensjurist verurteilt wurde, kommt nämlich nur bei unvollständiger oder falscher Auskunft zum Tragen. Steiger: «Wer ein Auskunftsbegehren ignoriert, macht sich nicht strafbar. Wer hingegen antwortet – und dabei einen Fehler macht – riskiert eine Busse», erklärt er. Nicht nur für ihn ist diese Logik absurd – und könne gemäss seinen Worten dazu führen, dass Unternehmen lieber schweigen, statt gesetzeskonform zu informieren.

Damit lenkt Steiger die Aufmerksamkeit auf eine zentrale Schwachstelle des neuen Datenschutzrechts: seine Durchsetzung. Denn für verschiedene Experten ist das Gesetz, das eigentlich für mehr Transparenz bringen sollte, ein gesetzgeberischer Pfusch.

Zur Vorgeschichte: Eine Vorgabe aus der EU

Mit dem revidierten Datenschutzgesetz, das am 1. September 2023 in Kraft trat, hatte die Schweiz ihren Datenschutz modernisiert. Es sollte die Persönlichkeitsrechte stärken, die internationale Kompatibilität – insbesondere mit der EU – sichern und Verantwortlichkeiten im Umgang mit Personendaten klarer regeln. Basis für das gesetzgeberische Wirken war die DSGVO, die europäische Datenschutzgrundverordnung, die sich für Herrn und Frau Schweizer primär in den lästigen Cookie-Fenstern manifestiert, die aufgrund dieser gesetzlichen Regelung auf jeder Internetseite geklickt werden müssen, bevor es weitergeht. Und die wohl von 99 Prozent der Menschheit einfach akzeptiert werden, ohne dahinter zu schauen, was sie dort genau akzeptieren. Aber nicht nur deshalb mehren sich die Zweifel, ob das Gesetz seinem Anspruch gerecht wird.

Kernanliegen des DSG ist es, den Bürgerinnen und Bürgern volle Transparenz zu ermöglichen: Sie sollen erfahren, welche Daten über sie bearbeitet werden, durch wen, zu welchem Zweck und auf welcher rechtlichen Grundlage. Dazu wurden die Auskunftsrechte neu geregelt und erweitert. Unternehmen sind verpflichtet, nicht nur zu antworten, sondern dies klar, nachvollziehbar und vollständig zu tun.

Das Gesetz orientiert sich stark an der EU-Datenschutzgrundverordnung (DSGVO). Es enthält Regelungen zu Datenschutz-Folgeabschätzungen, zur Meldepflicht bei Datenpannen und zur Dokumentation aller Bearbeitungstätigkeiten. Ziel war es, den Status der Schweiz als «angemessenes Drittland» für den Datenverkehr mit der EU zu bewahren – und damit diskrimierende Massnahmen durch die EU zu verhindern.

Eine schweizerische Eigenheit hatte bei der Beratund des Gesetzes jedoch für besonders viele Diskussion gesorgt: Die persönliche strafrechtliche Verantwortlichkeit. Nicht mehr nur Firmen können belangt werden, sondern konkrete natürliche Personen – etwa Datenschutzbeauftragte oder Geschäftsleitungsmitglieder. Im Extremfall drohen absurd hohe Bussen für die Privatpersonen von bis zu CHF  250’000.

Die ersten bekannten Strafbefehle zeigen jetzt die Brisanz in der Prazis. Bestrafungen erfolgen nämlich nicht für brisante Datenlecks oder millionenfache, systematische Verstösse.  Sondern, wie hier vorliegend,  eher für formale Unvollständigkeiten in Auskunftsschreiben. Bestraft werden am Ende einfach die, die einen Brief unterschreiben. Ein Signal, das bei vielen Juristen zu Kopfschütteln führt. Die Grenze zwischen Verwaltungsfehler und Straftat verschwimmt. Das Prinzip, dass das Strafrecht als «Ultima ratio» zur Anwendung kommen soll – komplett pervertiert.

Martin Steiger, der vorliegend als Anzeigeerstatter auftrat, kritisiert aber auch die inhaltliche Qualität der Strafbefehle. Sie seien dürftig begründet, liessen zentrale Fragen offen und zeigten, wie unklar das neue Gesetz in der Umsetzung sei. Gerade diese Unsicherheit könne zu strategischer Schweigsamkeit führen – dem genauen Gegenteil des gesetzgeberischen Ziels.

Zahlreiche KMU fühlen sich überfordert. Sie bemängeln den bürokratischen Mehraufwand durch neue Dokumentationspflichten und die fehlende Differenzierung bei der Sanktionierung. Ein kleiner formeller Fehler wird genauso behandelt wie böswillige systematische Verstösse – ein Missverhältnis, das insbesondere kleinere Betriebe abschreckt.

Kritik

Aber auch die Regelungen zum Vollzug durch die Behörden stehen in der Kritik. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) verfügt beispielsweise über keine direkten Sanktionsbefugnisse. Die Durchsetzung liegt bei den kantonalen Strafverfolgungsbehörden – eine Struktur, die im Vergleich zur EU wenig einheitlich und wenig effizient erscheint.

So zeigt sich: Das neue DSG bringt wichtige Fortschritte auf dem Papier, doch es leidet unter einer problematischen Auslegungspraxis. Es schützt den der einfach schweigt und bestraft, wer sich um Transparenz bemüht, dabei aber einen Fehler macht. Die Botschaft an Unternehmen ist widersprüchlich – und das Vertrauen in den Datenschutz leidet, wenn aus einem Rechtsanspruch ein juristisches Risiko wird.

Bild oben : Caption Homepage https://data-security.ch/faq.html
Bild unten: Martin Steiger, Anwalt und Digitalrechtsexperte

«Es fehlt bei den Strafverfolgungsbehörden zwangsläufig an entsprechender Erfahrung»

Was bedeutet das neue Datenschutzgesetz konkret im Alltag – für Betroffene, Unternehmen und Behörden? Im Interview ordnet der Anwalt und Digitalrechtsexperte Martin Steiger die aktuelle Rechtslage ein, erklärt typische Auslegungsprobleme und spricht über Schwächen bei der Durchsetzung. Dabei zeigt er auch auf, wo die Schweizer Datenschutzpraxis im internationalen Vergleich blinde Flecken hat.

Herr Steiger, Sie haben in einem Ihrer eigenen Fälle einen Strafbefehl erwirkt – als betroffene Privatperson und zugleich als Jurist. Was hat Sie dazu bewogen, diesen Weg zu gehen?

Ich habe verschiedene Hüte an. Ich bin unter anderem Rechtsanwalt und engagiere mich bei der Digitalen Gesellschaft in der Schweiz, bin aber auch Bürger und betroffene Personen im Datenschutzrecht. In diesem Fall entschied ich mich für den Strafantrag, weil ich davon ausging und immer noch davon ausgehe, eine falsche bzw. unvollständige Auskunft erhalten zu haben. Es liegt an der TX Group, ob und wie das Verfahren weitergeht.

Wie haben Sie die Reaktion der TX Group auf Ihr Auskunftsbegehren juristisch eingeordnet – war das ein Einzelfall oder sehen Sie darin ein strukturelles Problem?

In dieser Angelegenheit sehe ich die Besonderheit darin, dass die TX Group zuerst keine Daten fand, wo sie Daten hätte finden müssen, und sich dann, als sie doch noch Daten fand, auf das Medienprivileg gemäss Art. 27 DSG berief. Ich berate als Rechtsanwalt regelmässig Unternehmen und andere Verantwortliche, die Auskunftsbegehren erhalten. Meine Erfahrung ist, dass der Wille besteht, die gewünschte Auskunft so weit wie möglich zu erteilen. Die Verantwortlichen benötigen dabei aber fachliche Unterstützung, weil es ihnen am Know-how fehlt. Das typische Unternehmen in der Schweiz ist bekanntlich kein Grosskonzern, der Juristen beschäftigt, die im Datenschutzrecht qualifiziert sind.

Sie kritisieren, dass sich nur derjenige strafbar macht, der antwortet, aber nicht derjenige, der schweigt. Wo liegt aus Ihrer Sicht die Gefahr in dieser Logik?

Betroffene Personen, deren Auskunftsbegehren schlicht ignoriert werden, verstehen jeweils nicht, wieso dafür keine Strafe droht. Immerhin ist das Auskunftsrecht ein Kernelement des Datenschutzgesetzes, wie es der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) nennt. Die Auskunft ist zentral für betroffene Personen, um ihre Rechte wahrnehmen zu können, zum Beispiel das Widerspruchsrecht, das Recht auf Löschung oder das Recht auf Berichtigung. Ich kenne auch Unternehmen und andere Verantwortliche, die sich für dumm verkauft fühlen, wenn sie unter diesen Umständen viel Aufwand betreiben, um Auskunft zu erteilen. Die Strafbarkeit ist normalerweise nicht der Hauptgrund, das Datenschutzrecht einzuhalten, aber die fehlende Strafbarkeit schafft in dieser Hinsicht einen fragwürdigen «Moral Hazard» und schwächt betroffene Personen gegenüber den wenigen «schwarzen Schafen» unter den Verantwortlichen. Wenn es allein um die Strafbarkeit ginge, müsste kein Verantwortlicher gegenüber betroffenen Personen in der Schweiz überhaupt Auskunft erteilen.

Die Strafbefehle, die bislang erlassen wurden, sind rechtlich eher karg begründet. Was sagt das über die Qualität des Vollzugs aus – und über die Klarheit des Gesetzes?

Ich vermute, nicht alle Strafbefehle zu kennen, die unter dem alten oder neuen DSG erlassen wurden. Was Sie beschreiben, ist allerdings der Normalfall bei Strafbefehlen, ganz unabhängig vom DSG. Diese Thematik beschäftigt viele, die im Strafrecht tätig sind, mindestens die Verteidiger und die Vertreter der Privatkläger.

Glauben Sie, dass Unternehmen in Zukunft dazu tendieren werden, weniger Auskünfte zu erteilen – aus Angst, sich strafbar zu machen?

Nein. Die meisten Unternehmen und Verantwortlichen, die ich kenne, versuchen Auskunft zu erteilen, weil sie das Recht einhalten möchten – so wie in anderen Bereichen auch. Es gibt «schwarze Schafe», aber der Normalfall ist ethisches und verantwortungsvolles Handeln.

Der EDÖB hat keine direkten Sanktionsbefugnisse, die Strafverfolgung liegt bei den Kantonen. Reicht diese Struktur aus – oder braucht es eine nationale Datenschutzstrafbehörde?

In unserem föderalen System müssen sich Bund und Kantone einigen, welche Strafverfolgung wo stattfinden soll. Ich habe bislang jedenfalls noch von niemandem den Wunsch gehört, die Bundesanwaltschaft für die DSG-Straftatbestände für zuständig zu erklären. Jene Kantone, die für Übertretungen eigene Strafverfolgungsbehörden haben, sollten sich aber fragen, ob Übertretungen mit möglichen Bussen bis zu 250’000 Franken bei diesen Behörden noch am richtigen Ort sind. Was den EDÖB betrifft, fände ich es nicht sinnvoll, wenn er – ergänzend zu den möglichen Verwaltungsmassnahmen – auch Bussen verfügen könnte. So wie der EDÖB arbeitet, nämlich häufig informell und kommunikativ, im Guten wie im Schlechten, wäre eine solche Kompetenz kontraproduktiv.

Wie beurteilen Sie die Ausbildung und Sensibilisierung von Polizei und Staatsanwaltschaft im Bereich Datenschutz? Gibt es hier Lücken?

Strafverfahren im Zusammenhang mit dem Datenschutzrecht sind selten. In der Folge fehlt es bei den Strafverfolgungsbehörden zwangsläufig an entsprechender Erfahrung. Im Einzelfall gilt das, was immer gilt, nämlich dass die einzelnen beteiligten Personen sehr unterschiedlich arbeiten. Das Engagement und die Kompetenz, wie man sie von aussen wahrnimmt, sind also genauso unterschiedlich wie bei allen anderen Themen.

Wo sehen Sie konkreten Nachbesserungsbedarf im DSG – vor allem im Hinblick auf die Durchsetzung?

Das DSG, alt wie neu, stellt stark darauf ab, dass betroffene Personen ihre Rechte selbst durchsetzen müssen. In der Praxis sind die meisten betroffenen Personen dazu aber nicht in der Lage. Sie hoffen auf die Unterstützung durch die Datenschutz-Aufsichtsbehörden, stellen dann aber fest, dass der EDÖB sich nicht als «Anwalt der betroffenen Personen» sieht und die kantonalen Datenschutz-Aufsichtsbehörden keine «Datenschutz-Polizei» sind.

Wer wäre in der Lage, einzuspringen?

In dieser Hinsicht könnten Konsumentenschutzorganisationen und Organisationen der Zivilgesellschaft eine wichtige Rolle spielen, zum Beispiel über einen zu schaffenden kollektiven Rechtsschutz. In ihrem Datenschutz-Konzept schlägt die Digitale Gesellschaft dafür unter anderem Folgendes vor: «Verbände und Aufsichtsbehörden sollen das Recht haben, Klage zu erheben. Die zuständige Aufsichtsbehörde sollte verwaltungsrechtliche Sanktionen verhängen können. Bei Erfolg vor Gericht müssen Verbände ihrem Aufwand entsprechend entschädigt werden. Um der Machtasymmetrie zwischen den Datenbearbeiter:innen und den betroffenen Personen entgegenzuwirken, soll eine Beweislastumkehr eingeführt werden.» (https://www.digitale-gesellschaft.ch/uploads/2025/06/Datenschutz-Konzept-2.0.pdf)

Und die Rechtsumsetzung im Ausland?

Ein ungelöstes Problem, insbesondere bei den grossen Tech-Konzernen. Faktisch halten Verantwortliche im Ausland das DSG nur freiwillig ein. Die schweizerischen Behörden und Gerichte sind gegenüber nicht kooperativen Verantwortlichen im Ausland machtlos. Für eine etwas bessere Rechtsdurchsetzung könnte die Datenschutz-Vertretung, die mit dem neuen DSG eingeführt wurde, gestärkt werden.

Viele KMU fühlen sich überfordert mit den neuen Pflichten. Welche pragmatischen Lösungen sehen Sie für kleinere Betriebe?

Das Problem, das Sie beschreiben, war für mich schon vor Jahren ein Grund, das Angebot von Datenschutzpartner ins Leben zu rufen. Bei Datenschutzpartner helfen wir Verantwortlichen beispielsweise beim Erstellen und Pflegen von Datenschutzerklärungen sowie vermitteln das notwendige Wissen mit der Datenschutz-Academy. Zu finden unter datenschutzpartner.ch.

Welches Vorgehen schlagen sie einem Unternehmen vor?

Für Unternehmen, die mit der Datenschutz-Compliance in der Schweiz noch zu kämpfen haben, empfehle ich jeweils folgenden Einstieg:

1. Intern eine zuständige Person bestimmen, bei der alle Themen landen, die nach Datenschutz «riechen», damit zum Beispiel keine Auskunftsbegehren übersehen werden.
2. Das «Schaufenster» pflegen, nämlich eine allgemeine Datenschutzerklärung auf der Website veröffentlichen und aktuell halten, gleichzeitig aber auf unnötige Cookie-Banner und Disclaimer verzichten.
3. Die Datensicherheit gewährleisten, wozu auch gehört, dass man weiss, welche Daten wo gespeichert sind.
4. Das Outsourcing absichern, also bei der heute gängigen Nutzung von Cloud-Diensten nur Anbieter nutzen, die einen Auftragsverarbeitungsvertrag anbieten.
5. Datenschutz-Compliance als Prozess sehen, das heisst, man sollte anstreben, sich kontinuierlich zu verbessern.

Dieser Einstieg geht in den Punkten 1 bis 4 auch darauf zurück, dass das DSG entsprechende Straftatbestände kennt.

Letzte Frage: Wird das neue Datenschutzgesetz seiner eigenen Ambition gerecht – oder ist es ein gutes Gesetz mit schlechter Praxis?

Ob die Praxis gut oder schlecht ist, kann ich nicht beurteilen. Das liegt daran, dass diese Praxis in grossen Teilen gar nicht bekannt ist. Einzelne Fälle, die öffentlich werden, und die meist summarisch gehaltenen Tätigkeitsbericht der Datenschutz-Aufsichtsbehörden, geben einen gewissen Einblick, können aber die Praxis als Ganzes nicht abbilden. Die wichtigste Ambition mit dem neuen DSG war, den freien Datenverkehr mit dem übrigen Europa zu sichern. Dieses wichtige Ziel wurde erreicht. Ferner wurde das Ziel der verbesserten Transparenz teilweise erreicht, auch wenn zu viele Datenschutzerklärung nicht aktuell gehalten werden.

Und wo hat man noch Potenzial oder blinde Flecken?

Ich sehe noch nicht, dass das Ziel der verstärkten Selbstbestimmung über die persönlichen Daten erreicht wurde. Man muss sich aber fragen, ob dieses Ziel überhaupt erreichbar ist. Diese Diskussion ist aber im Gang, weil in immer mehr Kantonen die digitale Integrität zu einem verfassungsmässigen Recht führt, was zu wichtigen demokratischen Entscheidungen führt. Immer wichtiger wird, welche Daten wir Bürger zwangsläufig durch Behörden bearbeiten lassen müssen. In dieser Hinsicht gibt es viele blinde Flecken. Die Schweiz gilt, gerade im Ausland, zu Unrecht als Land mit besonders viel Privatsphäre. So gibt es die Massenüberwachung mit der Vorratsdatenspeicherung und der Kabelaufklärung. Ferner findet ein grosser Teil der Rechtsprechung im Überwachungsbereich hinter verschlossenen Türen statt, zum Beispiel in Form der Geheimjustiz durch Zwangsmassnahmengerichte. Genauso pflegen die meisten ICT-Unternehmen keine Transparenz in dieser Hinsicht. Wer genau hinschaut, gelangt deshalb häufig zum Ergebnis, dass die eigenen Daten in anderen Ländern – allenfalls sogar in den USA! – besser aufgehoben sind als in der Schweiz. Das sollte sich ändern, denn ein wirksamer Schutz der Privatsphäre wäre in der Schweiz nicht nur für alle Menschen vorteilhaft, sondern auch ein wichtiges Argument für den Wirtschaftsstandort.