Ähnlich wie Kreuzberger Nächte fängt es meist ganz harmlos an, aber dann… aber dann… Die Reichweite des Datenschutzstrafrechts bzw. Datenschutzsanktionsrechts wird häufig unterschätzt. Grund genug, um sich einmal einen Überblick zu verschaffen, wo das Strafrecht an das Datenschutzrecht andockt und welche Strafen drohen.
Der Inhalt im Überblick
Keine Beschränkung auf stereotypische Tätertypen im Datenschutzstrafrecht
Bei dem Begriff Datenschutzstrafrecht schießen einem im ersten Moment erstmal Bilder typischer Cyber-Krimineller durch den Kopf. Scheinbar gesichtslos unter einer schwarzen Kapuzenjacke verborgen sitzen diese allein in gekrümmter Haltung in einem dunklen Raum, welcher nur durch den bläulichen Schein eines Bildschirms erhellt wird. Das ist nicht nur für die Augen und den Rücken des Hackers gesundheitsschädlich, sondern – wie die vielen Ransomware-Angriffe der vergangenen Jahre zeigen – auch für viele Unternehmen so brandgefährlich.
Diese Vorstellung ist aber darüber hinaus plakativ und zu oberflächlich, zumal unser stereotypisches Bild vom „einsamen Hacker“ tatsächlich so nicht zutrifft. Das Datenschutzstrafrecht erschöpft sich nicht nur darin, kriminelle Master-Minds mit Schädigungsabsicht ihrer gerechten Strafe zuzuführen. Denn das Datenschutzstrafrecht nimmt auch andere Tätergruppen mit weniger fiesen Absichten ins Visier: So z.B.
- IT-Sicherheitsforschende,
- Whistleblower,
- geschwätzige Berufsgeheimnisträger oder
- verärgerte Ex-Mitarbeiter, zusammen mit deren unachtsamer Unternehmensführung.
Wer sich nun an dieser Stelle doch etwas mehr True-Cybercrime erhofft hat, dem seien unsere Blogreihe hierzu oder unser kürzlich erschienene Beitrag zu einem Cyberangriff wärmstens empfohlen.
Der Weg von der Betroffenenbeschwerde bis hin zum Strafverfahren
Die u.a. auf Unternehmensstrafrecht spezialisierte Kanzlei Wessing & Partner hat zum Thema Datenschutzstrafrecht im Rahmen einer Vortragsreihe der Stiftung Datenschutz anschaulich dargestellt, welche Überschneidungen zum Verwaltungs- und Bußgeldverfahren der Aufsichtsbehörde etwaige strafrechtliche Angriffspunkt mit sich bringen.
Erster Anknüpfungspunkt für das Datenschutzstrafrecht: Das Verwaltungsverfahren
Sei es nun aufgrund einer anlasslosen Kontrolle, wegen eines anonymen Tipps, infolge einer konkreten Betroffenenanfrage oder anlässlich eines eigens gemeldeten Datenschutzvorfalls: Sobald eine Aufsichtsbehörde Kenntnis von einer möglicherweise unrechtmäßigen Datenverarbeitung erlangt, muss diese gem. Art. 57 Abs. 1 lit. a, e, f DSGVO einschreiten, um die Beschwerde im angemessenen Umfang zu untersuchen, bzw. die Einhaltung der DSGVO zu überwachen und durchzusetzen.
Auch wenn sich nach den ersten Sachverhaltsermittlungen herausstellt, dass die Anfrage offenkundig unbegründeten oder exzessiven Charakter i.S.d. Art. 57 Abs. 4 DSGVO hat, kann es doch vorkommen, dass die Aufsichtsbehörde dadurch ganz beiläufig auf andere mögliche Datenschutzverstöße aufmerksam gemacht wird.
Ist das Verwaltungsverfahren erst einmal eingeleitet, stehen der Aufsichtsbehörde zur Aufklärung weitreichende Befugnisse aus Art. 58 Abs. 1 DSGVO zur Verfügung, worunter auch ein Befragungs- und Anhörungsrecht zählen.
Mitwirkungs- und Vorlagepflichten nach der DSGVO
Hierbei treffen die für die Datenverarbeitung Verantwortlichen Mitwirkungs- und Vorlagepflichten, die sie dazu zwingen, ihre Verarbeitungstätigkeiten gem. Art. 30 Abs. 4 DSGVO der Aufsichtsbehörde offenzulegen. Aus Art. 5 Abs. 2 DSGVO ergibt sich zudem eine allgemeine Rechenschaftspflicht für den Verantwortlichen, die sich auf alle maßgeblichen Bereiche der DSGVO erstreckt.
Sobald der Verantwortliche der Aufsichtsbehörde entweder im Rahmen der Meldung des Datenschutzvorfalls oder im Zuge einer Befragung Rede und Antwort stehen muss, ist höchste Vorsicht geboten. Der Verantwortliche befindet sich fortan in einem rechtlichen Dilemma, das unsere Rechtsordnung in diesem Maße eigentlich nicht vorsieht.
Auf der einen Seite muss der Verantwortliche seinen Mitwirkungsverpflichtungen aus der DSGVO nachkommen. Ansonsten droht gem. Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld. Zum anderen riskiert er bei einer umfangreichen Offenlegung aller Verarbeitungstätigkeiten nicht nur sich selbst zu belasten, sondern aufgrund dessen möglicherweise auch die Einleitung eines Bußgeldverfahrens.
Der „nemo tenetur“-Konflikt im Datenschutzstrafrecht
Da die Aufsichtsbehörden letztlich eine Doppelfunktion innehaben, kann es zu einer Kollision der Selbstbelastungsfreiheit und den verwaltungsrechtliche Mitwirkungs- und Vorlagepflichten kommen. Zwar wird dem Grundsatz
„nemo tenetur se ipsum accusare” [dt.: „Niemand ist verpflichtet, sich selbst anzuklagen”]
durch das Auskunftsverweigerungsrecht nach § 40 Abs. 4 S. 2 BDSG und durch den § 43 Abs. 4 BDSG Rechnung getragen. Letztere Vorschrift normiert, dass ohne Zustimmung des Meldepflichtigen die Meldung einer Datenschutzverletzung nicht für ein anschließendes Bußgeldverfahren gegen den Meldepflichtigen verwertet werden darf. Diese Regelung bezieht sich jedoch ausdrücklich nur auf die Meldung von Datenschutzverstößen oder die Benachrichtigung betroffener Personen nach den Art. 33 und 34 DSGVO.
Inwieweit diese Rechte im Hinblick auf die in der EMRK verankerte Selbstbelastungsfreiheit die von der DSGVO übertragenen Befugnisse der Aufsichtsbehörde beschränken können, hängt von der tatsächlichen Verfahrenssituation bzw. dem jeweiligen Verfahrensstadium ab. Im Geflecht des Datenschutzstrafprozessrechts ist nicht abschließend geklärt, ob und inwiefern Verantwortliche sich auf ein solches Auskunftsverweigerungsrecht berufen können (vgl. § 5 Rn. 38, Klaas/Momsen/Wybitul, Datenschutzsanktionsrecht, 1. Aufl. 2023). Angesichts der Rechtsprechung des EuGH im Wettbewerbsrecht dürfte aber mit ziemlicher Sicherheit bei Unternehmen im Verwaltungsverfahren anzunehmen sein, dass diesen keine Ausnahme von Melde- und Benachrichtigungspflichten zugestanden wird.
Vorsicht bei der Meldung von Datenschutzvorfällen
So oder so: In derartigen Situationen empfiehlt es sich unbedingt Ruhe zu bewahren und rechtzeitig vor einer wie auch immer gearteten Einlassung juristische Unterstützung ins Boot zu holen. Einen (vermeintlichen) Datenschutzvorfall nach Art. 33 DSGVO an die Aufsichtsbehörde zu melden, ohne vorher den Datenschutzbeauftragten eingebunden zu haben, kann auch mal nach hinten losgehen.
Es ist nicht selten ein schmaler Grat einerseits den Mitwirkungspflichten gerecht zu werden und gleichzeitig nicht „zu viel auszuplaudern“. Ein Aufsichtsverfahren kann schnell zu einem Bußgeldverfahren werden.
Zweiter Anknüpfungspunkt für das Datenschutzstrafrecht: Das Bußgeldverfahren
Sollte die Aufsichtsbehörde am Ende des Verwaltungsverfahren zu der Ansicht gelangt sein, dass eine Verwarnung oder Anweisungen i.S.d. Art. 58 Abs. 2 DSGVO nicht ausreichend ist, kann in das Bußgeldverfahren übergeleitet werden.
Hier finden die Vorschriften des Gesetzes gegen Ordnungswidrigkeiten (OWiG), die Strafprozessordnung (StPO) sowie das Gerichtsverfassungsgesetz (GVG) Anwendung, vgl. §§ 20 Abs. 1 S. 2, 41 Abs. 2 S. 1 BDSG (soweit das BDSG nichts anderes bestimmt). Darunter fallen dann umfangreiche Ermittlungsbefugnisse, wie etwa:
- Durchsuchung (§ 102 ff. StPO)
- Sicherstellung und Beschlagnahme (§ 94 ff. StPO) oder
- Bestandsdatenauskunft bei Telemediendiensteanbietern (§ 100 j Abs. 1 S. 1 Nr. 2 auch i.V.m. § 100 j Abs. 2 StPO, gem. § 46 Abs. 4a OWiG i.V.m. Art. 83 Abs. 4 – 6 DSGVO).
Die Behörde kann die Sache nach § 41 Abs. 1 OWiG an die Staatsanwaltschaft abgeben, wenn Anhaltspunkte dafür vorhanden sind, dass eine Straftat vorliegt. Findet das Strafgesetz letzten Endes keine Anwendung oder wird keine Strafe verhängt, dann kann die Tat immer noch nach gem. § 21 Abs. 2 OWiG geahndet werden und es droht u.U. ein Bußgeld i.S.d. Art. 83 DSGVO.
Die wichtigsten Straftaten im Datenschutzstrafrecht
Auf folgende Straftatbestände sollte ein besonderes Augenmerk gerichtet werden:
- Ausspähen und Abfangen von Daten (§ 202a und § 202b StGB) sowie
- die Vorbereitung hierauf (§ 202c StGB),
- Datenveränderung (§ 303a StGB),
- Gefährdendes Verbreiten personenbezogener Daten (§ 126a StGB),
- Datenhandel, Datenschutzverletzungen und Datenbetrug (i.S.d. § 42 BDSG) sowie
- Verletzung von Privat- und Geschäftsgeheimnissen (§ 23 GeschGehG und § 203 StGB).
Ausspähen von Daten nach den StGB
Der § 202a Abs. 1 StGB lautet:
„Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
Eine Strafbarkeit nach § 202a StGB ist beispielsweise schon denkbar, wenn sich im Home-Office Familienmitglieder unbefugt Zugang zum Dienst-Laptop verschaffen, um eine mögliche Affäre mit einem Arbeitskollegen aufzudecken.
Doxing bezeichnet nach verbreiteter Auffassung die gezielte Recherche von personenbezogenen Daten, die anschließend ohne Erlaubnis ins Internet veröffentlicht werden. Während Fälle des Doxing früher unter den Tatbestand des § 202a StGB fallen konnten, werden diese nun durch den neuen § 126a StGB erfasst.
Strafbarkeitsrisiko von IT-Sicherheitsforschenden
Nicht immer muss hinter dem Ausspähen von Daten eine böse Absicht stehen. So können auch IT-Sicherheitsforschende bzw. PEN-Tester unter den Tatbestand des auch als „Hackerparagraph“ bezeichneten § 202a StGB fallen, wenn sie ohne konkreten Auftrag oder zuvor erteilte Einwilligung Sicherheitslücken in Unternehmen aufspüren und hierauf hinweisen. Auch wenn die (diskrete) Offenbarung einer IT-Sicherheitslücke im Interesse des Unternehmens oder der Allgemeinheit sein dürfte, der § 202a StGB kennt keine ethischen Motive. Die Gesinnung ist bei der Beurteilung, ob der Tatbestand erfüllt ist, in den meisten Fällen unwichtig.
Erst letztes Jahr hatte im Fall Modern Solution, bei dem ein Programmierer seinem Auftraggeber eine zufällig entdeckte Sicherheitslücke meldete, die potenziell Zugriff auf Daten von 700.000 Kunden erlaubte, das Landgericht Aachen einen ablehnenden Beschluss des Amtsgerichts Jülich aufgehoben. Anders als dieses, war das LG der Auffassung, dass das Dekompilieren des Objektcodes einer Software und die Nutzung des dadurch gefundenen Passwortes grundsätzlich unter den Tatbestand des § 202a StGB fallen könne. Hierbei spiele es keine Rolle, dass es sich bei einem im Quellcode als Klartext hinterlegten Passwort um eine offensichtliche Sicherheitslücke handelt, worüber im vorliegenden Fall das Unternehmen unterrichtet wurde und diese so schließen konnte. Das Verfahren wurde an das AG zurückverwiesen. Dieses verurteilte den Softwareentwickler nun zu einer Geldstrafe von 50 Tagessätzen, weil er mit dem Datenbank-Tool phpMyAdmin und dem entdeckten Klartext-Passwort auf die Datenbank von Modern Solution zugegriffen hatte.
Strafbarkeit nach dem BDSG
Eine Strafbarkeit nach § 42 BDSG kann eigentlich bei jeder Verarbeitung von allgemein nicht zugänglichen Daten ohne Rechtsgrundlage in Betracht kommen. Neben einem Strafantrag muss noch eine Gewerbsmäßigkeit oder eine Bereicherungsabsicht hinzukommen. Dies dürfte aber z.B. in den Geschäftsfeldern des „Scorings“ oder „Bezahlen mit Daten“ ohne große Zweifel angenommen werden können.
Also insbesondere Unternehmen, bei denen die Verarbeitung personenbezogener Daten das zentrale Geschäftsmodell ausmacht, sollten auf mögliche strafrechtliche Angriffspunkte vorbereitet sein. Neben dem allgemeinen Schadensersatzrisiko bei Datenschutzverstößen eine bittere Pille.
Umso wichtiger ist es zunächst den möglichen Täterkreis des § 42 BDSG zu bestimmen:
- Wer kann sich danach strafbar machen?
- Handelt es sich hierbei um ein sog. „Jedermannsdelikt“ ?
- Oder handelt es sich dabei um sog. „Sonderdelikt“, wonach sich nur der „Verantwortliche“ i.S.d. BDSG strafbar machen kann?
Dies ist umstritten. Die wohl herrschende Meinung schließt eine Beschränkung auf bestimmte Tätergruppen aufgrund des Wortlauts („wer“) aus.
Davon abgesehen stellt sich auch bei Annahme eines Sonderdelikts gerade bei Unternehmen die wichtige Anschlussfrage nach der strafrechtlichen Geschäftsherrenhaftung nach § 13 StGB. Wie auch § 130 OWiG zeigt, bestehen in einem Unternehmen gewisse Aufsichtspflichten, die Führungspersonen zum Eingreifen veranlassen müssen, wenn Anhaltspunkte dafür bestehen, dass von einzelnen Mitarbeitern unrechtmäßigerweise Daten verarbeitet werden.
Nicht zuletzt wegen der großen Unsicherheiten bei der Täterkreisbestimmung und gewissen Strafbarkeitslücken im Bereich des Stalkings wird einmal mehr die Novellierung des § 42 BDSG bzw. dessen Überführung in das StGB für eine bessere Sichtbarkeit gefordert. Hier bleibt es also höchst spannend. Es ist aber davon auszugehen, dass Straftatbestände des § 42 BDSG im Bereich des Datenschutzstrafrecht zukünftig immer relevanter werden.
Verletzung von Privat- und Geschäftsgeheimnissen
Auch bei der Strafbarkeit wegen der Verletzung von Privat- und Geschäftsgeheimnissen gilt das Sprichwort
„Reden ist Silber, schweigen ist Gold“.
Strafbarkeit von bestimmten Berufsgruppen
Anders als bei der Selbstbelastungsfreiheit besteht für bestimmte Berufsgruppen – wie z.B. Ärzte, Rechtsanwälte, Sozialarbeiter oder Steuerberater – aber nicht nur das Schweigerecht, sondern auch eine Schweigepflicht, welche sich auch auf den Austausch unter Berufskollegen beziehen kann.
Gerade Berufsgeheimnis- und Amtsträger sowie deren Mitarbeiter (oder deren Datenschutzbeauftragten) müssen also bei Ihrer Tätigkeit im Umgang mit Informationen und Daten besondere Vorsicht walten lassen. Bei der Verarbeitung personenbezogener Daten müssen sie neben dem Datengeheimnis auch den § 203 StGB und die §§ 353b, 355 StGB im Blick haben.
Der § 203 StGB schützt aber nicht nur vor der Offenbarung von Privatgeheimnissen. Die amtliche Überschrift ist hier insoweit etwas irreführend. Der Tatbestand umfasst nämlich auch Betriebs- und Geschäftsgeheimnisse.
Strafbarkeit nach dem Geschäftsgeheimnisgesetz
Im Gegensatz zum § 203 StGB ist der mögliche Täterkreis beim § 23 GeschGehG aber sehr viel weiter gefasst. Hierunter können nämlich auch „normale“ Arbeitnehmer fallen, sofern sie Geschäftsgeheimnisse weitergeben.
Der § 23 GeschGehG enthält fünf Straftatbestände. Tatobjekt sind mit Ausnahme von § 23 Abs. 3 GeschGehG bei allen Tatbeständen Geschäftsgeheimnisse. Diese werden in § 2 Nr. 1 GeschGehG legaldefiniert. Demnach ist ein Geschäftsgeheimnis eine Information,
„die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist.“
Strafbarkeitsrisiken für Whistleblower
Besondere Brisanz hat diese Thematik im Hinblick auf das Hinweisgeberschutzgesetz und den Schutz von Whistleblowern. Strafbarkeitsrisiken für hinweisgebende Personen können sich nicht nur aus den o.g. §§ 202a ff., 353b und 355 und 93 ff. StGB ergeben. Eine Strafbarkeit wegen Verleumdung gem. § 187 StGB, Vortäuschens einer Straftat gemäß § 145d StGB oder falscher Verdächtigung gemäß § 164 StGB ist in manchen Konstellationen ebenfalls denkbar.
Wenn hinweisgebende Personen eine der o.g. Straftat begehen, bleibt nach Haufe ihre Strafbarkeit von einer mit den erlangten Informationen erfolgten Meldung oder Offenlegung ebenso unberührt wie eine etwaige zivilrechtliche oder arbeitsrechtliche Verantwortlichkeit. Hinweisgeber, welche entgegen § 33 HinSchG wissentlich oder grob fahrlässig erbrachter falscher Meldungen erhalten keinen Schutz nach dem Hinweisgeberschutzgesetz (u.a. §§ 8 und 9 sowie §§ 36 und 37 HinSchG).
Zu bedenken ist hierbei, dass z.B. nach dem § 202a StGB und dem § 35 HinSchG ein Whistleblower nicht investigativ tätig werden und sich Kenntnis von Daten verschaffen darf, zu denen er keinen Zugang hat. Hinweisgeber dürfen nur Informationen weitergeben, von denen sie, ohne vorher eine Straftat begehen zu müssen, Kenntnis haben.
Auch im Hinblick auf den § 23 GeschGehG ist nach der aktuellen Rechtslage eine Strafbarkeit wegen Weitergabe von Geschäftsgeheimnissen möglich. Dieser enthält nämlich in § 23 Abs. 1 Nr. 3 GeschGehG einen Straftatbestand, welcher für die Strafbarkeit hinweisgebende Personen aus einem Unternehmen als Tätergruppe voraussetzt. Allerdings wird im Gegenzug der strafrechtliche Schutz erhöht, da gem. § 5 Nr. 2 GeschGehG die Offenlegung von Geschäftsgeheimnissen nicht verboten ist, sofern dies zum Schutz eines berechtigten Interesses erfolgt, insbesondere zur Aufdeckung rechtswidriger Handlungen oder eines Fehlverhaltens. Die Offenlegung muss aber (auch) geeignet sein, das öffentliche Interesse zu schützen.
Letztes Wort des Angeklagten
Der dargestellte Überblick zum Datenschutzstrafrecht hat hoffentlich gezeigt, dass sich nicht nur die „bösen Buben“ vor der deutschen Justiz in Acht nehmen müssen. Wie so häufig ist die Materie komplex und die Grenzen zwischen Strafbarkeit und Rechtschaffenheit nicht immer trennscharf bzw. sind stark von dem jeweiligen Einzelfall abhängig.
Aus diesem Grund lohnt es sich schon frühzeitig – bevor Informationen oder Daten – an Dritte (insbesondere die Aufsichtsbehörden) offengelegt werden, juristische Expertise einzuholen und sich gegen mögliche Strafbarkeitsrisiken abzusichern.
Spannender Beitrag, sehr lesenswert!
Vielen Dank für diesen sehr interessanten Beitrag.