Datenschutz und Strafrecht

Datenschutz und Strafrecht im Wirtschaftsstrafrecht

Wer gegen Vorschriften im Datenschutz verstößt, kann je nach Art und Schwere des Verstoßes im Strafrecht und im Wirtschaftsstrafrecht mit Bußgeld oder Freiheitsstrafe zur Verantwortung gezogen werden. Das Sanktionssystem im Datenschutz beruht seit dem 25. Mai 2018 nicht mehr allein auf dem Bundesdatenschutzgesetz (BDSG), sondern maßgeblich auf der unmittelbar geltenden Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die das nationale Recht in weiten Teilen überlagert.

Für die verwaltungsrechtliche Sanktionierung im Datenschutz gilt das zweistufige Bußgeldsystem des Art. 83 DSGVO. Bei Verstößen gegen technisch-organisatorische Pflichten im Datenschutz – etwa die Pflichten der Verantwortlichen und Auftragsverarbeiter gemäß Art. 25 bis 39 DSGVO – können Geldbußen von bis zu 10 Millionen Euro oder, im Fall eines Unternehmens, bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Bei Verstößen gegen zentrale Grundsätze des Datenschutzes, insbesondere gegen die Grundsätze der Datenverarbeitung gemäß Art. 5 DSGVO, gegen die Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO oder gegen die Betroffenenrechte nach Art. 12 bis 22 DSGVO, erhöht sich der Bußgeldrahmen im Datenschutz auf bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Die Verhängung der Geldbuße im Datenschutz muss in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein; Art. 83 Abs. 2 DSGVO benennt hierfür Kriterien wie Art, Schwere und Dauer des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit sowie das Ausmaß der Zusammenarbeit mit der Aufsichtsbehörde. Für die verfahrensrechtliche Durchführung des Bußgeldverfahrens im Datenschutz gelten in Deutschland gemäß § 41 BDSG ergänzend die Vorschriften des Gesetzes über Ordnungswidrigkeiten. Daneben enthält § 43 BDSG einen eigenständigen nationalen Bußgeldtatbestand mit einem Rahmen bis zu 50.000 Euro für Verstöße gegen bestimmte Auskunfts- und Unterrichtungspflichten im Datenschutz.

Die strafrechtliche Sanktionierung im Datenschutz richtet sich nach § 42 BDSG, der im Strafrecht den zentralen Straftatbestand für Datenschutzverstöße bildet. Der Tatbestand unterscheidet zwei Fallgruppen: Nach § 42 Abs. 1 BDSG macht sich strafbar, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen unbefugt einem Dritten übermittelt oder zugänglich macht und dabei gewerbsmäßig handelt; die Strafandrohung beträgt Freiheitsstrafe bis zu drei Jahren oder Geldstrafe. Nach § 42 Abs. 2 BDSG wird mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, unbefugt verarbeitet oder durch unrichtige Angaben erschleicht und dabei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Wesentlich im Datenschutzstrafrecht ist, dass das Tatbestandsmerkmal der Bereicherungs- oder Schädigungsabsicht nicht mit jedem vorsätzlichen Datenschutzverstoß automatisch gegeben ist: Der bloße Verstoß gegen Datenschutzvorschriften begründet noch keine Strafbarkeit. Die Tat wird ausschließlich auf Antrag verfolgt; antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte sowie die zuständige Aufsichtsbehörde (§ 42 Abs. 3 BDSG).

Die Bußgeld- und Strafvorschriften im Datenschutz sind insbesondere im Wirtschaftsstrafrecht für Unternehmen von erheblicher Bedeutung. Während frühere Bußgeldrahmen nach dem BDSG vergleichsweise niedrig waren, ermöglicht das heutige Datenschutzrecht durch die DSGVO Bußgelder im Millionenbereich. Strafrechtlich ergänzen zudem §§ 202a ff. StGB – insbesondere § 202d StGB (Datenhehlerei) – das Sanktionssystem für besonders schwerwiegende Verstöße im Datenschutz. Nach Art. 84 Abs. 1 DSGVO sind die Mitgliedstaaten verpflichtet, ergänzende strafrechtliche Vorschriften für Datenschutzverstöße zu schaffen; diese müssen wirksam, verhältnismäßig und abschreckend sein. Das nationale Strafrecht behält damit im Datenschutz einen eigenständigen Anwendungsbereich neben der DSGVO. Neben der strafrechtlichen und behördlichen Sanktionierung können Datenschutzverstöße zudem zivilrechtliche Schadensersatzansprüche nach Art. 82 DSGVO auslösen, sowohl für materielle als auch für immaterielle Schäden.

Angesichts dieses weitreichenden Sanktionssystems im Datenschutz können Verstöße im Strafrecht und Wirtschaftsstrafrecht für Unternehmen erhebliche wirtschaftliche Folgen haben und im Einzelfall existenzgefährdend sein. Eine frühzeitige rechtliche Beratung im Datenschutz ist daher unerlässlich.