Was das Strafrecht sagt

Datenschutz

26.07.2010
Was strafbar ist oder eine Ordnungswidrigkeit darstellt, sagen Dr. Sebastian Kraska und Alma Lena Fritz.

Immer wieder werden in der Öffentlichkeit Fälle illegalen Datenhandels bekannt. Millionen von Datensätzen mit persönlichen Daten wie Telefonnummern, Geburtsdaten und Kontonummern werden auf dem Schwarzmarkt gehandelt und illegal genutzt. Nach der BDSG-Novelle gibt es zwar Änderungen in diesem Bereich, wirklich eingedämmt wurde das Problem aber nach wie vor nicht.

Diverse Gesetzesänderungen und strafrechtliche Ermittlungen der Vergangenheit haben zwar einiges zum Schutz der Bürger geleistet, jedoch natürlich nicht zur Beendigung krimineller Machenschaften geführt. Vielmehr nimmt nach Aussagen der Verbraucherzentralen der illegale Datenhandel und Datenmissbrauch laufend zu.

Die genannten Verstöße sind oftmals nach dem Strafgesetzbuch zu ahnden. Jedoch enthält auch das Bundesdatenschutzgesetz (BDSG) selbst datenschutzspezifische Strafvorschriften. Welche Verstöße strafbar sind oder eine Ordnungswidrigkeit im Sinne dieses Gesetzes darstellen, soll im Folgenden erklärt werden.

Die systematische Unterscheidung: Ordnungswidrigkeit und Straftat

Das BDSG differenziert in den relevanten Normen der §§ 43, 44 BDSG die datenschutzrechtlichen Verbotstatbestände nach Ordnungswidrigkeiten und Straftaten. Während die Ordnungswidrigkeiten nur mit einer Geldbuße zu ahnden sind, können die Straftaten zudem mit einer Freiheitsstrafe sanktioniert werden.

Ordnungswidrigkeiten nach § 43 Abs. 1 BDSG können mit einer Geldbuße bis zu 50.000,- Euro belegt werden, Ordnungswidrigkeiten nach § 43 Abs. 2 BDSG mit 300.000,- Euro. Zudem stellt § 43 Abs. 3 S. 2, 3 BDSG klar, dass die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen soll. Reichen die genannten Beträge hierfür nicht aus, können sie sogar überschritten werden, um den durch die unrechtmäßige Nutzung personenbezogener Daten erlangten Vorteil vollständig abzuschöpfen.

Systematisch stellen die §§ 43, 44 BDSG sog. Mischtatbestände dar: generell liegt bei einem Verstoß gegen den Katalog des § 43 BDSG eine Ordnungswidrigkeit vor. Strafbares Handeln liegt nur vor, wenn zu einer Ordnungswidrigkeit gemäß § 43 Abs. 2 BDSG noch weitere Merkmale (§ 44 BDSG) hinzukommen, nämlich die dort genannten Merkmale des Handelns gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht. In diesem Fall kann der Täter mit einer Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden.

Als Entgelt ist dabei jede Gegenleistung anzusehen, die zu einem Vermögensvorteil führt (siehe auch § 11 Abs. 1 Nr.9 StGB). Eine Bereicherungs- oder Schädigungsabsicht ist immer dann gegeben, wenn das Handeln auf einen Vermögensvorteil gerichtet ist, auf welches der Täter keinen Anspruch hat (1. Alt) oder wenn der Täter bei seiner Handlung einen materiellen oder immateriellen Nachteil beabsichtigt.

Es handelt sich außerdem um ein Antragsdelikt (§ 44 Abs. 2 BDSG, § 77 StGB), so dass eine Verfolgung durch die Strafbehörden nur nach der Stellung eines Strafantrages durchgeführt werden kann. Antragsberechtigt sind der Verletze, sowie die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz sowie die jeweilige Aufsichtsbehörde. Für den Strafantrag ist eine Frist von drei Monaten zu beachten.

Geschütze Daten im Sinne von § 44 BDSG sind Daten über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Nicht nötig für die Erfüllung des Straftatbestandes ist es, dass die Daten gegen unberechtigten Zugang besonders geschützt sein müssen.

Wer kann Täter sein?

Der Täterkreis ist nicht auf denjenigen beschränkt ist, der als Normadressat des BDSG Daten verarbeitet, erhebt oder nutzt. Grundsätzlich kann sich jeder nach den datenschutzrechtlichen Strafnormen strafbar machen, der einen der in § 43 Abs. 2 BDSG aufgeführten Tatbestände verwirklicht.

Sämtliche genannten ordnungs- und strafrechtlichen Konsequenzen hätten zudem nicht nur die direkt handelnden, also den BDSG Verstoß "ausführenden" Mitarbeiter selbst zu befürchten, sondern ausweislich des § 9 OWiG bzw. des entsprechenden § 14 StGB auch deren jeweils vertretungsberechtigten Organe, also die Geschäftsleitung selbst.

Auch wäre es grundsätzlich möglich, die Unternehmen gemäß § 30 Abs. 2 S. 2 OWiG i.V.m. § 43 Abs. 3, 2. Halbs. BDSG direkt mit einer Geldbuße zu belegen, wenn durch die begangene Straftat oder Ordnungswidrigkeit zugleich Pflichten verletzt werden, welche die juristische Person oder die Personenvereinigung selbst treffen.

Keine Strafbarkeit bei Einwilligung in Datenverarbeitungsprozess

Auch hier gilt der Hinweis, dass eine Strafbarkeit ausscheidet, wenn der Betroffene in die Erhebung, Nutzung oder Verarbeitung eingewilligt hat. Die Einwilligungserklärung, welche die Strafbarkeit entfallen lässt, ist lange nicht so streng zu bewerten wie im zivilrechtlichen Bereich. Eine zivilrechtliche Unzulässigkeit führt damit nicht zwingend auch zu einer strafrechtlichen Verfolgbarkeit. Immer erforderlich ist, dass die Einwilligung des Betroffenen bei verständiger Würdigung ihrer Tragweite zwanglos abgegeben wird.

Was ist im Einzelnen verboten?

Die einzelnen Verbotstatbestände können Sie der Aufzählung des Gesetzes in § 43 BDSG entnehmen.

Fazit

Das BDSG hat in den vergangenen Jahren mehrere Novellierungen erfahren. In Zusammenschau mit dem Problem des illegalen Datenhandels setzt der Gesetzgeber dabei zunehmend auf die Information der Betroffenen und einen sensibilisierten Umgang mit personenbezogenen Daten.

Kommt es zum Missbrauch von personenbezogenen Daten im Unternehmen, so birgt dies auch dann enorme Risiken für den Unternehmer, wenn dieser nicht selbst für den rechtswidrigen Umgang mit den personenbezogenen Daten verantwortlich ist. Die Risiken sind Negativberichterstattung und Imageverlust, Kundenunzufriedenheit, Vertrauensverlust, Kosten und drohende Rechtsstreitigkeiten. Damit lohnt sich ein funktionierendes Datenschutzsystem bereits aus eigenem unternehmerischem Interesse. (oe)

Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin.

Kontakt:

IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de