Sehr häufig eröffnen sich in der datenschutzrechtlichen Praxis Fragestellungen nach Haftung, Strafbarkeiten und Bußgeldern, die in Folge eines Verstoßes gegen die Datenschutzgrundverordnung (DS-GVO), gegen das Bundesdatenschutzgesetz (BDSG) und gegen weitere einschlägige Gesetze wie das Strafgesetzbuch (StGB) und insbesondere das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) ausgelöst werden.
Welche Strafvorschriften oder Sanktionen finden Anwendung und wie grenzen sich diese voneinander ab?
Bußgelder vs. Schadensersatz – Sanktionen aus der DS-GVO
Vor der Abgrenzung zu den strafrechtlichen Vorschriften und zur besseren Einordnung – aufgrund bestehender Unsicherheiten in der Praxis – hier ein kurzer Überblick darüber, welche Sanktionen – bei der Verarbeitung personenbezogener-, oder sensibler Unternehmensdaten – in welcher Konstellation ausgelöst werden können.
Die hier wohl – in der allgemeinen Wahrnehmung – gewichtigste Unterscheidung besteht zwischen dem Anspruch auf Schadensersatz des Betroffenen gegen den Verantwortlichen oder den Auftragsverarbeiter im Sinne des Art. 82 DS-GVO und der Verhängung von Bußgeldern durch (Aufsichts-)Behörden nach Art. 83 DS-GVO. Mit dieser Abgrenzung mussten sich bereits auch Gerichte, wie zum Beispiel das Amtsgericht Bochum auseinandersetzen.
Bei der Verhängung von Bußgeldern ist es zunächst einmal nicht erforderlich, dass ein Schaden eingetreten ist. Zwar kann ein gegebenenfalls entstandener Schaden bei der Zusammensetzung des Bußgeldes mit einbezogen werden, dieser ist jedoch nicht essentiell. Vielmehr reicht es aus, dass der Verantwortliche oder der Auftragsverarbeiter gegen die Bestimmungen der DS-GVO verstoßen hat. Bußgelder bestimmen einen großen Teil der öffentlichen Wahrnehmung. Diese sollen nach Art. 83 Abs. 1 DS-GVO insbesondere auch abschreckenden Charakter besitzen. Bußgelder können im Worst Case – nach Art. 83 Abs. 5 DS-GVO – bis zu einer Höhe von 20 Mio. € oder im Falle eines Unternehmens bis zu 4% des weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahrs ausmachen. Zur weiteren Vertiefung zum Thema Bußgelder und dem behördlichen Umgang mit selbigen, lesen Sie gerne hier weiter.
Der Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO besteht nur dann, wenn dem Betroffenen ein materieller oder ein immaterieller Schaden entstanden ist. In einem zivilrechtlichen Verfahren müsste der Betroffene daher schlüssig vortragen, dass ihm tatsächlich ein Schaden aufgrund des Verstoßes gegen die DS-GVO entstanden ist. Die Haftung, beziehungsweise die Haftpflicht müsste dabei dem Verantwortlichen oder dem Auftragsverarbeiter zugerechnet werden können. Der Verantwortliche müsste dann unter Umständen auch den Entlastungsbeweis führen, dass er für den Eintritt dieses Schadens nicht verantwortlich ist. Dies könnte bei unerwünschten Datenabflüssen, beispielsweise durch eine nachgewiesene und hinreichende Implementierung von technischen und organisatorischen Maßnahmen, erfolgen. Die Höhe des Schadensersatzes wird für jeden Einzelfall durch die Gerichte bestimmt.
Nationale Umsetzung von Strafvorschriften
Da die Europäische Union selbst keine Durchsetzungskraft auf nationaler Ebene besitzt, eröffnet Art. 84 DS-GVO den Mitgliedsstaaten selbst die Möglichkeit, wirksame, verhältnismäßige und abschreckenden Regelungen zu treffen. Dies gilt für Konstellationen, in denen Verstöße gegen die DS-GVO keiner Geldbuße oder ähnlichen Strafen durch die Verordnung selbst unterliegen.
Dabei verbleibt den Mitgliedstaaten die Entscheidung, welche Art der Sanktion im Einzelfall – strafrechtlicher oder verwaltungsrechtlicher Natur – verhängt werden soll. Nach Erwägungsgrund 149 der DS-GVO können sich solche Sanktionen unter anderem auch auf die Einziehung der durch die datenschutzrechtlichen Verstöße erzielten Gewinne beziehen.
Der deutsche Gesetzgeber hat sich im Rahmen der nationalen Umsetzung für strafrechtliche Sanktionen in § 42 BDSG entschieden. Da an dieser Stelle lediglich Sachverhalte berücksichtigt und sanktioniert werden dürfen, die nicht bereits Teil von Art. 83 DS-GVO sind, kapriziert sich das BDSG auf zwei strafrechtliche Tatbestände.
Zum einen wird nach § 42 BDSG derjenige bestraft, der nicht allgemein zugängliche personenbezogene Daten einer großen Anzahl von Personen an einen Dritten übermittelt, oder ihm diese zugänglich macht und dabei gewerbsmäßig handelt (Abs. 1). Zum anderen wird bestraft, wer personenbezogene Daten verarbeitet, sich durch unrichtige Angaben erschleicht und dabei mit Bereicherungs- oder Schädigungsabsicht handelt (Abs. 2). Beide Taten werden nur auf Antrag verfolgt (Abs. 3). In Analogie zu § 44 BDSG aF sieht der Gesetzgeber die strafrechtliche Haftung insbesondere für vorsätzliche Handlungen gegen Entgelt, mit Bereicherungsabsicht oder bei bestehender Drittschädigungsabsicht vor. Um eine Strafe nach § 42 BDSG auszulösen, müssen der persönliche und der sachliche Anwendungsbereich der Norm eröffnet sein und ein beschriebenes Tatbestandsmerkmal verwirklicht werden.
- Persönlicher Anwendungsbereich
Umstritten ist, wer Adressat der strafrechtlichen Vorschriften des § 42 BDSG ist. Einige, recht weite Auslegungen des § 42 BDSG deuten darauf hin, dass Täter „jedermann“ seien kann. Nach dieser Lesart ist es demnach unerheblich, ob ein Verantwortlicher eigene Daten ohne entsprechende Berechtigung weitergibt, ein Auftragsverarbeiter gegen bestehende Pflichten verstößt, oder ein Dritter die Daten gestohlen oder in einer anderen Weise illegal erhalten hat.
In weiteren Kommentierungen wird darauf verwiesen, dass bei der Auslegung des persönlichen Anwendungsbereiches unter anderem auch der Anwendungsbereich der DS-GVO sowie der des BDSG beachtet werden muss. Die DS-GVO und das BDSG legen die datenschutzrechtlichen Verpflichtungen für den Verantwortlichen, beziehungsweise für den von ihm beauftragten Auftragsverarbeiter fest. Daher ist zumindest fraglich, ob die recht allgemein gehaltene Formulierung der in § 42 BDSG festgelegten Straftatbestände so weit ausgelegt werden kann.
- Sachlicher Anwendungsbereich
Das Bundesdatenschutzgesetzt dient genauso wie die Datenschutzgrundverordnung dem Schutz des Rechts auf informationelle Selbstbestimmung. Die mit den strafrechtlichen Vorschriften – insbesondere durch § 42 BDSG – des BDSG geschützten Rechtsgüter sind nicht öffentlich zugängliche personenbezogene Daten.
Unter personenbezogenen Daten sind die in Art. 4 Nr. 1 DS-GVO legaldefinierten Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Nicht allgemein zugänglich sind die Daten die „von jedermann zur Kenntnis genommen werden können, ohne dass der Zugang zu den Daten rechtlich beschränkt ist“ (BGH 1 StR 32/13).
So sind beispielsweise solche Daten nicht öffentlich zugänglich, die ausschließlich durch die Erteilung der entsprechenden Zugriffsrechte abrufbar beziehungsweise erreichbar sind oder beim Vorliegen besonderer rechtlicher Interessen offengelegt werden können.
- Tatbestand
In § 42 Abs. 1 BDSG stellt der Gesetzgeber – wie oben bereits erläutert – eine wissentliche, gewerbsmäßige und unberechtigte Übermittlung nicht allgemein zugänglicher personenbezogener Daten einer großen Zahl von Personen (§ 42 Abs. 1 Nr. 1 BDSG) unter Strafe. Zudem wird die wissentliche, gewerbsmäßige und unberechtigte Zugänglichmachung nicht allgemein zugänglicher personenbezogener Daten einer großen Zahl von Personen auf andere Art und Weise (§ 42 Abs. 1 Nr.2 BDSG) bestraft.
Übersicht § 42 Abs. 1 BDSG
Nach § 42 Abs. 2 BDSG ist die unberechtigte Verarbeitung (§ 42 Abs. 2 Nr. 1 BDSG) oder die Erschleichung durch unrichtige Angaben (§ 42 Abs. 2 Nr. 2 BDSG) personenbezogener Daten, die nicht allgemein zugänglich sind strafbar, sofern diese gegen Entgelt erfolgt oder mit Bereicherungs- bzw. Schädigungsabsicht gehandelt wird.
Übersicht § 42 Abs. 2 BDSG
Verhältnis vom BDSG zu weiteren Strafvorschriften
Mit Blick auf das Regelwerk des § 42 BDSG, sowie dessen Schutzgut und Tatobjekt, ist fraglich inwieweit die im BDSG beschriebenen Tatbestände mit denen, die bereits in StGB und GeschGehG beschrieben werden vereinbar sind.
- Strafgesetzbuch
Das Strafgesetzbuch definiert in den §§ 202 a) ff. StGB eine Reihe von Straftaten, die den unbefugten Zugriff auf Daten betreffen. Insbesondere sind dies das Ausspähen (§ 202 a StGB) und das Abfangen von Daten (§ 202 b StGB) sowie deren Vorbereitung (§ 202 c StGB). Darüber hinaus steht auch Datenhehlerei (§202 d StGB) und die rechtswidrige Löschung, Unterdrückung, Veränderung oder eine in anderer Weise erfolgte Unbrauchbarmachung von Daten (§303 a StGB) unter Strafe.
Die beschriebenen Tatbestände überschneiden sich mit den Bestimmungen des BDSG. Dabei ist bei Abgrenzung folgendes zu berücksichtigen. Im Gegensatz zum BDSG sind unter den Daten im Sinne der §§ 202 a ff. StGB jegliche digital gespeicherte Informationen zu verstehen, unabhängig von einem vorhandenen Personenbezug. Täter kann hier zudem ohne Beschränkung auf den Verantwortlichen oder den Auftragsverarbeiter „Jeder“ sein.
- Geschäftsgeheimnisgesetz
Auf die personenbezogenen Daten, welche die in § 2 Nr. 1 des GeschGehG definierten Merkmale erfüllen, finden auch die in § 23 GeschGehG aufgelisteten Strafvorschriften Anwendung.
Das Geschäftsgeheimnisgesetz, das die europäische Geschäftsgeheimnisrichtlinie (EU 2016/943) umsetzt und welches seit April 2019 an die Stelle der bisherigen §§17-19 UWG tritt, ist einschlägig für alle Informationen, die nicht allgemein bekannt oder nicht ohne Weiteres zugänglich und dabei von wirtschaftlichem Wert sind. Zugleich muss bei diesen Daten ein berechtigtes Interesse an der Geheimhaltung bestehen und der rechtmäßige Inhaber müsste gegebenenfalls angemessene Geheimhaltungsmaßnahmen getroffen haben. Das GeschGehG schützt nach § 1 Abs. 1 Geschäftsgeheimnisse vor unerlaubter Erlangung, Nutzung und Offenlegung.
Es ist nicht ausgeschlossen, dass die Daten, die dem Geschäftsgeheimnis unterliegen, zugleich auch einen Personenbezug beinhalten können und daher auch durch die europäischen Datenschutzgrundverordnung sowie einschlägige nationale Gesetz geschützt werden.
Dies könnte beispielsweise für eine Kundendatenbank gelten, die zum einen Personenbezug aufweist und zum anderen – per Definition als Geschäftsgeheimnis – nicht allgemein zugänglich, von wirtschaftlichem Interesse und mit ausreichenden Maßnahmen vor unbefugten Zugriffen geschützt wird.
Übereinstimmend mit dem BDSG stellt das GeschGehG rechtswidrige Handlungen unter Strafe, bei denen der Täter mit Bereicherungs- oder Schädigungsabsicht handelt. Zudem ist auch die Förderung des eigenen oder fremden Wettbewerbes bei der Prüfung der Verwirklichung des definierten Tatbestandes relevant.
In Abgrenzung zum BDSG, stellt das alleinige unbefugte Aneignen oder Kopieren von Daten, die dem Geschäftsgeheimnis unterliegen, einen Straftatbestand des §23 Abs. 1 GeschGehG dar. Dabei ist irrelevant, ob diese Daten an einen Dritten übermittelt oder in einer anderen Weise zugänglich gemacht worden sind (vergl. § 42 Abs. 1 BSDG).
Übersicht § 23 GeschGehG
Analog zur Abgrenzung zu einschlägigen Strafvorschriften des StGB, sollte hier bei der Bewertung insbesondere das Schutzgut, das Tatobjekt, sowie der persönliche Anwendungsbereich betrachtet werden.
Anwendbarkeit und Konkurrenzen nationaler Strafvorschriften
Bei der Bewertung der Anwendbarkeit des jeweiligen Gesetzes ist die in § 1 Abs. 2 BDSG definierte Anwendungsregelung zu beachten. Danach haben andere Rechtsvorschriften des Bundes über den Datenschutz gegenüber den Vorschriften des BDSG Vorrang. Sofern keine Konkurrenzen mit vorrangigen Rechtsvorschriften bestehen sind die Bestimmungen des BDSG anwendbar.
Aus diesem Grund sind bei Verletzung mehrerer Strafgesetze, die in § 54 StGB definierten Regeln zur Tateinheit zu beachten.
Zu den Autoren:
Iryna Shvets ist Consultant für Datenschutz. Bei der migosens GmbH beschäftigt sie sich mit den datenschutzrechtlichen Fragestellungen in der Telekommunikationsbranche. Dabei berät sie bei der datenschutzfreundlichen Gestaltung der Produkte und Dienstleistungen, Web- und App-Angeboten.
Iryna Shvets studierte Rechtswissenschaften und hat einen LL.M. an der Kölner Forschungsstelle für Medienrecht erworben.
Stephan Kratzmann studierte Rechtswissenschaft und Wirtschaftsrecht. Seit 2014 ist er bei der migosens GmbH als Berater für Datenschutz tätig. Sein Schwerpunkt liegt insbesondere im Bereich der Projektberatung im Telekommunikationsumfeld. Zu seinen Aufgaben gehören u. a. die Sicherstellung des datenschutzkonformen Umgangs mit Bestands- und Verkehrsdaten in diversen Projekten, die Unterstützung bei der Gewährleistung von Betroffenenrechten und die prozessuale Abbildung des Verzeichnisses von Verarbeitungstätigkeiten.