E-Mail-Marketing: Strafbefehl zum neuen Datenschutzgesetz im Volltext

Dokument: Strafbefehl 2023-066-252 des Stadtrichteramts Zürich vom 10. Juni 2024

In der Schweiz hatte eine betroffene Person im Zusammenhang mit E-Mail-Marketing einen Strafbefehl gemäss dem neuen Datenschutzgesetz erwirkt.

Das zuständige Stadtrichteramt Zürich stellte mir den Strafbefehl 2023-‍066-‍252 vom 10. Juni 2024 auf Anfrage im anonymisierten Volltext zur Verfügung.

Der Volltext zeigt, dass die Bestrafung aufgrund der Verletzung von Art. 60 Abs. 1 DSG erfolgte, also tatsächlich gemäss Strafbestimmungen im neuen Datenschutzgesetz (DSG).

Bestraft wurde nicht eine juristische Person bzw. ein Unternehmen, sondern «die für den Datenschutz verantwortliche Person» beim verantwortlichen E-Mail-Marketing-Unternehmen.

Der Verweis auf Art. 19 DSG zeigt, dass die «Informationspflicht bei der Beschaffung von Personendaten» verletzt worden sein soll. Der weitere Verweis auf Art. 20 DSG zeigt, dass anscheinend keine Ausnahmen oder Einschränkungen für die Informationspflicht anwendbar gewesen sein sollen.

Bei Art. 60 Abs. 1 lit. a DSG ist durch den Verweis auf Art. 19 DSG auch die Informationspflicht betroffen, obwohl im Strafbefehl nur die «Auskunft» (Art. 25 ff. DSG) ausdrücklich erwähnt wird.

Mit Blick auf den Volltext und meine offenen Fragen, verstehe ich den Strafbefehl wie folgt:

  • Die betroffene Person war an ein E-Mail-Marketing-Unternehmen gelangt und hatte Auskunft über ihre Personendaten sowie über ihre angeblich erteilte Einwilligung in den Erhalt von E-Mail-Werbung gefordert.
  • Das E-Mail-Marketing-Unternehmen hatte Auskunft erteilt und dabei behauptet, die Daten über die betroffene Person (Vorname und Nachname, E-Mail-Adresse, Angaben zur erteilten Einwilligung) stammten von einem Datenhändler bzw. von einem anderen Unternehmen («Listeigner»).
  • Polizei und Staatsanwaltschaft ermittelten, dass die Daten über die betroffene Person nicht in der Lieferung vom Datenhändler an das E-Mail-Marketing-Unternehmen enthalten waren. Die Daten stammten, anders als vom E-Mail-Marketing-Unternehmen behauptet, nicht vom Datenhändler.
  • Das E-Mail-Marketing-Unternehmen bzw. «die für den Datenschutz verantwortliche Person» soll die betroffene Person deshalb «vor der Bearbeitung der Personendaten» entweder falsch oder unvollständig (Art. 60 Abs. 1 lit. a DSG) und / oder gar nicht (Art. 60 Abs. 1 lit. b DSG) über die Beschaffung ihrer Personendaten informiert haben. Im Strafbefehl ist nicht ersichtlich, auf welche Variante(n) sich das Stadtrichteramt genau bezieht.
  • Auf Art. 25 ff. DSG über das Auskunftsrecht verweist der Strafbefehl nicht, obwohl im ersten Satz eine «Missachtung der Auskunftspflichten» erwähnt wird. Dabei werden nur bei der Auskunft ausdrücklich Angaben zur Herkunft von Daten, die nicht direkt bei der betroffenen Person beschafft werden, gefordert (Art. 25 Abs. 2 lit. e DSG), nicht aber bei der Information (Art. 19 Abs. 2–4 DSG).

Auch der Strafbefehl im Volltext lässt Fragen offen. Unklar bleibt insbesondere, wieso gemäss dem Verweis auf Art. 19 f. DSG die Informationspflicht verletzt worden sein soll und nicht etwa das Auskunftsrecht (Art. 25 ff. DSG).

Die geringe Begründungsdichte und die unklaren Ausführungen im Strafbefehl sind unbefriedigend, aber nicht ungewöhnlich. Bei Strafbefehlen bleibt häufig offen, wieso genau eine Bestrafung erfolgt ist.

Klarheit würde eine Einsprache gegen den Strafbefehl und damit voraussichtlich eine gerichtliche Prüfung bringen. Bei direkten Gesamtkosten von 450 Franken aus dem Strafbefehl dürfte das E-Mail-Marketing-Unternehmen aber kein Interesse an einem aufwendigen und öffentlichen Verfahren vor Gericht haben. Die bestrafte Person dürfte genauso wenig ein Interesse haben, da kein Eintrag im Strafregister erfolgt.

In Zukunft wird das E-Mail-Marketing-Unternehmen allenfalls gar keine Auskunft mehr erteilen.

Wer ein Auskunftsbegehren ignoriert, macht sich nicht strafbar, und riskiert auch keine falsche oder unvollständige Auskunft – sei es bei einer eigentlichen Auskunft (Art. 25 ff. DSG) oder im Zusammenhang mit der Informationspflicht (Art. 19 f. DSG).

Unabhängig davon zeigt der Strafbefehl, dass einzelne verantwortliche Personen bei Unternehmen tatsächlich wegen der Verletzung von Pflichten gemäss dem neuen Datenschutzgesetz (DSG) bestraft werden können.


Nachtrag: Anwaltskollege David Vasella hat sich bei datenrecht.ch zum Strafbefehl geäussert, unter anderem:

«Die Stadtrichterin hatte eine vorsätzliche Verletzung der Auskunftspflicht erkannt, verweist dann aber auf Art. 19 f. DSG, also die Bestimmungen zur Informationspflicht. Anscheinend enthielt die erteilte Auskunft eine unzutreffende Angabe über die Herkunft der Personendaten bei der Verantwortlichen.»

Und auch:

«Der Strafbefehl macht deutlich, […] dass das Strafrecht eine Waffe in der Hand zurecht oder zu Unrecht Unzufriedener sein kann. Da die echten Folgen – Kosten, Aufwand, Belastung – für die beschuldigte Person und ggf. ihre Arbeitgeberin erheblich höher liegen als der Bussenbetrag, lohnt es sich, insbesondere bei den Schnittstellen mit den Betroffenen (vor allem Information und Auskunft) vorsichtig zu sein […].»

5 Kommentare

  1. heisst das nun das Geserz ist ein zahnloser Tiger der im Grunde genommen den eigentlich zu schützenden im Regen stehen lässt und die Datenhaie in ihren Rechenzentren quasi nach Lust und Laune schalten und walten können?

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.