Schweigepflicht: Massnahmen bei Verletzung der Schweigepflicht im Unternehmen

Im Rahmen der Totalrevision des Schweizer Datenschutzrechts wurden die Straftatbestände erheblich ausgeweitet. Das betrifft auch die Verletzung der beruflichen Schweigepflicht: Der Geheimnisschutz erstreckt sich neu auf sämtliche Arten von Personendaten. Gemäss Bundesrat sollte mit dieser Ausweitung dem Umstand Rechnung getragen werden, dass heute angesichts der weiterentwickelten Informations- und Kommunikationstechnologie massiv mehr Daten erhoben werden. Welches Verhalten ist konkret strafbar und was gilt es bei einem Verdacht auf eine Straftat aus Unternehmenssicht zu tun?

10.12.2024 Von: Jonas D. Gassmann
Schweigepflicht

Passende Arbeitshilfen

Das E-Mail an die falsche Adressatin

Sie sind CEO eines Schweizer KMUs und erhalten einen Anruf der aufgewühlten Personalverantwortlichen: Statt an Ihre externe Zahlungsdienstleisterin, hat ein Mitarbeiter der Personalabteilung sämtliche Lohndaten (namentlich Namen, Adressen, Monatslohn, Bankkonto) der insgesamt zehn neu eingetretenen Mitarbeitenden per E-Mail an einen Dritten gesendet.

Die Personalverantwortliche weiss, dass das neue Datenschutzrecht die Offenbarung von Personendaten unter Strafe stellt und befürchtet, dass sich der Mitarbeiter strafbar gemacht haben könnte. Sie sucht Ihren Rat.

Sie wollen der Sache auf den Grund gehen und zunächst besser verstehen, worum es hier geht und was genau vorgefallen ist.

Das «kleine Berufsgeheimnis»

Die Bestimmung von Art. 62 des Bundesgesetzes über den Datenschutz (DSG) hat das sog. «kleine Berufsgeheimnis» oder auch «Berufsgeheimnis für jedermann» zum Gegenstand (demgegenüber bezieht sich das «grosse Berufsgeheimnis» auf den Straftatbestand von Art. 321 des Strafgesetzbuchs [StGB], also das für Ärzte, Rechtsanwälte, Geistliche etc. geltende Berufsgeheimnis). Sie stellt die vorsätzliche Offenbarung geheimer, während der Berufsausübung erfahrener Personendaten unter Strafe. Es droht eine Busse bis zu CHF 250'000.

Heisst also: Arbeitnehmer können gemäss revidiertem Recht auch ohne Sondereigenschaft wie jener eines Rechtsanwalts oder Arztes einer Schweigepflicht unterliegen, die über die arbeitsvertragliche Geheimhaltungspflicht von Geschäfts- und Fabrikationsgeheimnissen (Art. 321a Abs. 4 des Bundesgesetzes betreffend die Ergänzung des Schweizerischen Zivilgesetzbuchs, Fünfter Teil: Obligationenrecht [OR]) hinausgeht. Diese Schweigepflicht ist auch anders gelagert als die arbeitsvertragliche Geheimhaltungspflicht, da als Geheimnisherr nicht mehr nur die Arbeitgeberin und auch nicht mehr nur Geschäftsgeheimnisse geschützt sind.

Datenschutz kompakt

Alles rund um den Datenschutz – Vorlagen, Checklisten und aktuelles Know-how.

ab CHF 148.00

Geheime Personendaten

Damit eine Straftat vorliegen kann, muss es sich zunächst um «geheime» Personendaten handeln. Personendaten sind sämtliche Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (Art. 5 lit. a DSG). Bei den eingangs erwähnten Lohndaten handelt es sich um solche Personendaten. «Geheim» sind die Personendaten dann, (i) wenn sie nicht allgemein bekannt oder zugänglich sind, (ii) der Geheimnisherr (hier: die neu eingetretenen Mitarbeitenden) ein schutzwürdiges Interesse an der beschränkten Bekanntheit hat und (iii) er auch den Willen dazu hat. Die Lohndaten gelten in diesem Sinne ohne weiteres als «geheim»: Lohndaten einzelner Mitarbeiter sind nicht allgemein bekannt oder zugänglich und die neu eingetretenen Mitarbeitenden haben ein schutzwürdiges Interesse daran und einen entsprechenden Willen, dass diese Daten nur der Personalabteilung und der externen Zahlungsdienstleisterin bekannt gegeben werden.

Verlangt ist weiter, dass der Geheimnisträger (hier: der Mitarbeiter der Personalabteilung) von den geheimen Personendaten bei der Ausübung seines Berufs, «der die Kenntnis solcher Daten erfordert», erfährt. Auch dies ist vorliegend ohne weiteres gegeben: Der Mitarbeiter der Personalabteilung hat von den Lohndaten bei der Ausübung seines Berufs erfahren, und die Lohnbuchhaltung erfordert gerade die Kenntnis der betroffenen (Lohn-)Daten.

Die Offenbarung

Eine tatbestandsmässige Offenbarung liegt vor, wenn der Geheimnisträger geheime Personendaten einem dazu nicht berechtigten Dritten zur Kenntnis bringt oder dem Dritten die Kenntnisnahme ermöglicht. Unbeachtlich ist dabei, wie dies geschieht (z.B. direkte Weiterleitung geheimer Personendaten oder ungenügende Aktenaufbewahrung, so dass dem Dritten die Kenntnisnahme ermöglicht wird). Vorliegend hat der Mitarbeiter der Personalabteilung die Lohndaten gemäss Schilderung der Personalverantwortlichen einem nicht berechtigten Dritten per E-Mail zugestellt und damit offenbart.

Der Geheimnisherr

Geheimnisherr ist, wer der berufstätigen Person/dem Geheimnisträger sein Geheimnis zur Ausübung von dessen Beruf anvertraut hat. Geschützt ist demnach das Vertrauen des Geheimnisherrn in die Vertraulichkeit der Mitteilung an die berufstätige Person, und nur der Bruch dieses Vertrauens (d.h. nicht jede Datenschutzverletzung) ist strafbewehrt. Die Schweigepflicht entspringt also nicht wie beim Arzt oder Rechtsanwalt dem Behandlungs- oder Mandatsverhältnis, sondern dem einer berufstätigen Person entgegengebrachten Vertrauen darauf, dass sie das ihr zwecks Berufsausübung anvertraute Geheimnis als solches bewahrt – selbst wenn mit ihr kein Vertragsverhältnis besteht.

Erforderlich ist, (i) dass der Geheimnisherr eine berechtigte Erwartung hat, dass sein Geheimniswille respektiert wird, sei dies aufgrund der Funktion oder Stellung des Geheimnisträgers oder aufgrund eines dem Geheimnisträger zurechenbaren Verhaltens beim Geheimnisherrn und (ii) dass das Geheimnis dem Geheimnisträger bzw. seiner Organisation in diesem Rahmen bekanntgegeben wurde.

Vorliegend haben die neu eingetretenen Mitarbeitenden ihre Lohndaten der Personalabteilung (und damit auch dem Mitarbeiter, der das E-Mail gesendet hat) zwecks Lohnbuchhaltung anvertraut, und zwar mit der berechtigten Erwartung, dass ihr Geheimhaltungswille respektiert wird.

Passende Produkt-Empfehlungen

Der Vorsatz

In subjektiver Hinsicht setzt eine Strafbarkeit des Geheimnisträgers Vorsatz voraus, d.h. er muss um die Schweigepflicht, den Geheimnischarakter der Personendaten und die Offenbarung wissen. Dabei genügt es, wenn der Geheimnisträger es für möglich hält, dass Dritte von den Personendaten Kenntnis erlangen könnten, er aber dennoch handelt, weil er dies in Kauf nimmt (sog. Eventualvorsatz).

Um herauszufinden, ob der Mitarbeiter der Personalabteilung in diesem Sinne vorsätzlich gehandelt hat, sind nähere Informationen zu den konkreten Umständen der Offenbarung erforderlich: Hat sich der Mitarbeiter bei der Eingabe der E-Mail-Adressatin vertippt, wird Vorsatz und damit eine Strafbarkeit nach Art. 62 DSG entfallen. Hat der Mitarbeiter aber die Lohndaten bewusst einem Dritten (z.B. einem Kollegen einer Mitbewerberin zu Benchmark-Zwecken) gesendet, wird ihm Vorsatz zu unterstellen sein, zumal davon ausgegangen werden dürfte, dass er als Mitarbeiter der Personalabteilung auch um die Schweigepflicht und den Geheimnischarakter der betroffenen Personendaten weiss.

Rechtswidrigkeit und Schuld

Eine Strafbarkeit des Geheimnisträgers setzt weiter voraus, dass weder ein Rechtfertigungsgrund (wie z.B. Einwilligung des Geheimnisherrn oder prozessuale Mitwirkungspflicht) noch ein Schuldausschlussgrund (wie z.B. ein Verbotsirrtum, d.h. wenn der Geheimnisträger nicht wissen konnte, dass er rechtwidrig handelte, er also meint, nichts Unrechtes getan zu haben) vorliegt.

Jedenfalls aus den ersten Schilderungen der Personalverantwortlichen lässt sich nicht darauf schliessen, dass im vorliegenden Fall solche (die Strafbarkeit des Mitarbeiters der Personalabteilung ausschliessende) Gründe vorliegen.

Strafverfahren?

Besteht der begründete Verdacht, dass sich der Mitarbeiter der Personalabteilung im vorerwähnten Sinne der Verletzung der beruflichen Schweigepflicht nach Art. 62 DSG strafbar gemacht hat, droht ihm ein Strafverfahren. Der Straftatbestand von Art. 62 DSG ist – wie alle anderen DSG-Straftatbestände – ein sog. Antragsdelikt, wird also nur auf Strafantrag einer geschädigten Person hin verfolgt.

Potenziell geschädigt, und damit zur Einreichung eines Strafantrags berechtigt, wären vorliegend die neu eingetretenen Mitarbeitenden.

Arbeitsrechtliche Massnahmen?

Erhärtet sich der Verdacht eines Fehlverhaltens seitens des Mitarbeiters der Personalabteilung, sollten Sie prüfen, ob ihm gegenüber arbeitsrechtliche Massnahmen (wie z.B. eine Verwarnung oder gar Kündigung) angezeigt sind.

Meldung an den EDÖB und/oder an die betroffenen Personen?

Abgesehen von der potenziellen Strafbarkeit und/oder arbeitsrechtlichen Verantwortlichkeit des Mitarbeiters der Personalabteilung, stellt sich auch die Frage, ob die erfolgte Offenlegung von Personendaten Meldepflichten auslöst. Abhängig von den konkreten Umständen ist eine Meldung an den Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nach Art 24 Abs. 1 DSG und/oder an die neu eingetretenen Mitarbeitenden als die betroffenen Personen nach Art. 24 Abs. 4 DSG denkbar.

Dem EDÖB hat Ihr Unternehmen (als Verantwortliche) die Offenbarung zu melden, wenn diese (bzw. die Verletzung der Datensicherheit) «voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt» (Art. 24 Abs. 1 DSG). Vorliegend geht es um Lohndaten und damit um durchaus brisante Daten. Die neu eingetretenen Mitarbeitenden werden in ihrer Erwartung der vertraulichen Behandlung dieser Daten enttäuscht. Hat der Mitarbeiter der Personalabteilung das E-Mail an eine falsche Adressatin gesendet, die bekannt und vertrauenswürdig ist (z.B. eine andere Mitarbeitende oder eine Vertragspartnerin, zu der eine etablierte Beziehung besteht) und können Sie vernünftigerweise davon ausgehen, dass diese die (eingesehenen) Daten nicht nutzt und auf entsprechenden Hinweis bzw. Aufforderung löscht, wird sich eine Meldung an den EDÖB erübrigen. Anders liegt der Fall auch hier, wenn der Mitarbeiter der Personalabteilung die Daten bewusst einem Dritten gesendet hat, bei dem ein Missbrauch der Daten nahe liegt oder zumindest nicht ausgeschlossen werden kann.

Die neu eingetretenen Mitarbeitenden muss Ihr Unternehmen (als Verantwortliche) informieren, «wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt» (Art. 24 Abs. 4 DSG). Massgebend ist, ob durch die Information der betroffenen Person(en) die Risiken für deren Persönlichkeit oder Grundrechte reduziert werden können. Haben sich wie im vorliegenden Fall die negativen Folgen bereits verwirklicht oder können die betroffenen Personen nichts Relevantes (mehr) dagegen ausrichten, ist eine Information «zum Schutz der betroffenen Personen» nicht erforderlich. Eine Information an die neu eingetretenen Mitarbeitenden dürfte sich vorliegend also erübrigen – möglich bleibt aber selbstverständlich eine Information auf freiwilliger Basis.

Umgang mit dem kleinen Berufsgeheimnis / Aufarbeitung eines Vorfalls in der Praxis

W+ Abo (12 Monate)

Über 1100 Arbeitshilfen zum Sofort-Download und alle Beiträge auf weka.ch inklusive!

CHF 298.00

Sie sind gut beraten, Ihre Mitarbeitenden auf die neue Strafbarkeit nach Art. 62 DSG hinzuweisen und vorab für alle erkennbar zu regeln, welche Personendaten im erwähnten Sinne als «geheim» anzusehen sind und welche nicht.

Sie sollten Ihren Mitarbeitenden auch Leitlinien geben, wo und wie vertrauliche Informationen (auch innerbetrieblich) weitergegeben werden dürfen. In diesem Rahmen empfiehlt es sich, in die Datenschutzerklärung detaillierte Hinweise auf kritische Bekanntgaben von Personendaten an Dritte aufzunehmen (namentlich Angabe, mit welchen Kategorien von Dritten sie diese Daten teilen). In Ihren AGB können Sie für die Bekanntgabe von Personendaten auf die Datenschutzerklärung verweisen und festhalten, dass diesbezüglich keine Schweigepflicht besteht. Haben Sie den Geheimnisherrn (z.B. die Kundin oder auch die eigenen Mitarbeitenden) vor der Offenlegung/Weitergabe geheimer Personendaten auf diese Weitergabe hinreichend klar hingewiesen, wird der Geheimnisherr regelmässig nicht mehr von einer Schweigepflicht ausgehen können und eine Strafbarkeit nach Art. 62 DSG scheidet von vornherein aus.

Kommt trotz aller getroffener Vorsichtsmassnahmen der Verdacht auf eine Verletzung der beruflichen Schweigepflicht auf, sollten Sie (bzw. Ihr Unternehmen als Verantwortliche) den Sachverhalt möglichst lückenlos aufarbeiten, um gestützt darauf die angezeigten Massnahmen (wie z.B. arbeitsrechtliche Massnahmen; Meldung an den EDÖB und/oder an die betroffenen Personen; Steigerung der innerbetrieblichen Sensibilisierung für das Thema etc.) zu ergreifen. Die folgende (nicht abschliessende) Frageliste kann bei dieser Aufarbeitung helfen:

Frageliste für die Aufarbeitung einer mutmasslichen Verletzung der beruflichen Schweigepflicht in der Praxis:

  • Welche Personendaten welcher Personen sind betroffen?
  • Handelt es sich dabei um «geheime» Personendaten? (Falls nein: Strafbarkeit nach Art. 62 DSG scheidet aus)
  • Wer ist Geheimnisherr und wer ist Geheimnisträger?
  • Wurden die geheimen Personendaten einem nicht berechtigten Dritten zur Kenntnis gebracht oder dem Dritten die Kenntnisnahme ermöglicht? (Falls nein: Strafbarkeit nach Art. 62 DSG scheidet aus)
  • Hat der Geheimnisträger es zumindest für möglich gehalten, dass Dritte von den Personendaten Kenntnis erlangen könnten, aber dennoch gehandelt, weil er dies in Kauf nahm? (Falls nein: Strafbarkeit nach Art. 62 DSG scheidet aus)
  • Liegt für die Offenlegung der geheimen Personendaten ein Rechtfertigungsgrund (wie z.B. Einwilligung des Geheimnisherrn oder prozessuale Mitwirkungspflicht) oder ein Schuldausschlussgrund (wie z.B. ein Verbotsirrtum) vor? (Falls ja: Strafbarkeit nach Art. 62 DSG scheidet aus)
  • Führt die erfolgte Offenbarung der geheimen Personendaten voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person(en)? (Falls ja: Meldung an EDÖB erforderlich)
  • Ist eine Information der betroffenen Person(en) über die erfolgte Offenbarung der geheimen Personendaten zu ihrem Schutz erforderlich oder hat der EDÖB eine solche Information verlangt? (Falls ja: Meldung an betroffene Person[en] erforderlich)
  • Sind die Mitarbeitenden hinreichend sensibilisiert auf die Strafnorm von Art. 62 DSG und insbesondere auch darauf, welche Personendaten als «geheim» anzusehen sind und welche an wen weitergegeben werden dürfen (allenfalls ausdrücklich geregelt in einem Mitarbeiterreglement), oder besteht hier Anpassungsbedarf?
  • Ist die Bekanntgabe von Personendaten an Dritte in der Datenschutzerklärung und/oder vertraglich hinreichend klar geregelt oder besteht hier Anpassungsbedarf?
  • Sind arbeitsrechtliche Massnahmen gegenüber dem betroffenen Mitarbeitenden (Geheimnisträger) angezeigt?

Seminar-Empfehlungen

Weitere Beiträge zu diesem Thema

Datenschutz
W+
/ Datenschutz

Handlungsbedarf für Schweizer Unternehmen in allen Bereichen
Datenschutz für Unternehmen
/ Datenschutz für Unternehmen

Neuerungen für Schweizer Firmen
Datenschutzverletzung
/ Datenschutzverletzung

Überblick über Datenschutzverletzungen gegen die DSGVO
revDSG
W+
/ revDSG

Informationspflichten des revDSG bei der Beschaffung von Mitarbeiterdaten
E-Recruiting-Software
/ E-Recruiting-Software

Was gilt es aus datenschutzrechtlicher Sicht zu beachten?
HR-Daten
/ HR-Daten

Diese Aufbewahrungsfristen gelten für Mitarbeiterdaten
Newsletter W+ abonnieren