118 38 2MB
German Pages 272 Year 2015
Strafrechtliche Abhandlungen Neue Folge · Band 265
Die Straf- und Bußgeldtatbestände der Datenschutzgesetze als Teil des Schutzes des informationellen Selbstbestimmungsrechts
Von
Sebastian J. Golla
Duncker & Humblot · Berlin
SEBASTIAN J. GOLLA
Die Straf- und Bußgeldtatbestände der Datenschutzgesetze
Strafrechtliche Abhandlungen · Neue Folge Begründet von Dr. Eberhard Schmidhäuser (†) em. ord. Prof. der Rechte an der Universität Hamburg
Herausgegeben von Dr. Dres. h. c. Friedrich-Christian Schroeder em. ord. Prof. der Rechte an der Universität Regensburg
und Dr. Andreas Hoyer ord. Prof. der Rechte an der Universität Kiel
in Zusammenarbeit mit den Strafrechtslehrern der deutschen Universitäten
Band 265
Die Straf- und Bußgeldtatbestände der Datenschutzgesetze als Teil des Schutzes des informationellen Selbstbestimmungsrechts
Von
Sebastian J. Golla
Duncker & Humblot · Berlin
Zur Aufnahme in die Reihe empfohlen von Professor Dr. Bernd Heinrich, Berlin Die Juristische Fakultät der Humboldt-Universität zu Berlin hat diese Arbeit im Jahre 2014 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2015 Duncker & Humblot GmbH, Berlin
Fremddatenübernahme: Da-TeX Gerd Blumenstein, Leipzig Druck: buchbücher.de gmbh, Birkach Printed in Germany ISSN 0720-7271 ISBN 978-3-428-14816-5 (Print) ISBN 978-3-428-54816-3 (E-Book) ISBN 978-3-428-84816-4 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706
Internet: http://www.duncker-humblot.de
Vorwort Die vorliegende Arbeit wurde im Wintersemester 2014/2015 von der Juristischen Fakultät der Humboldt-Universität zu Berlin als Dissertationsschrift angenommen. Das Manuskript schloss ich im September 2014 ab und überarbeitete es anlässlich der Drucklegung zuletzt im Juni 2015. Rechtsprechung und Literatur konnten bis zu diesem Zeitpunkt berücksichtigt werden. Mein Dank gilt Herrn Prof. Dr. Bernd Heinrich, dessen Betreuung und Unterstützung von dem ersten Themenvorschlag bis zu der Fertigstellung des Manuskripts für mich sehr wertvoll waren. Ihm ist es auch zu verdanken, dass die Arbeit um manches anschauliche Fallbeispiel reicher geworden ist. Ebenso möchte ich Herrn Prof. Dr. Kai von Lewinski für die zügige Erstellung des Zweitgutachtens danken. Ein weiterer Dank gilt dem Max-Planck-Institut für ausländisches und internationales Strafrecht und dessen Direktor Herrn Prof. Dr. Dr. h.c. mult. Ulrich Sieber. Ein von der Deutschen Stiftung für Recht und Informatik vermitteltes Promotionsstipendium an diesem Institut ermöglichte mir einen zweimonatigen Aufenthalt in Freiburg im Breisgau, der mich bei der Fertigstellung der Arbeit entscheidend weitergebracht hat. Mein besonderer Dank gilt Herrn Prof. Dr. Dres. h.c. Friedrich-Christian Schroeder. Durch seine Verbesserungsvorschläge konnte ich die Arbeit für die Publikation noch einmal wesentlich prägnanter fassen. Stellvertretend für alle anderen, die mit mir in den letzten Jahren stetig über Datenschutz und Strafrecht diskutiert haben, danke ich schließlich Frau Zornitsa Dimitrova, Herrn Thomas Kerstan und meinem Vater Herrn Dr. Joachim Golla für ihre Anregungen. Meiner Familie widme ich dieses Buch. Berlin, im Juli 2015
Sebastian J. Golla
Inhaltsübersicht § 1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Teil Entwicklung des Datenschutzstrafrechts
21
25
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz . . . . . . . . . . . . . . . . . .
25
§ 3 Datenschutzstrafrecht im engeren Sinne . . . . . . . . . . . . . . . . . . . . . . . . . .
54
§ 4 Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
2. Teil Das Rechtsgut und Grenzen strafrechtlichen Schutzes
86
§ 5 Das geschützte Rechtsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
§ 6 Notwendigkeit der Pönalisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
103
§ 7 Zulässigkeit strafrechtlichen Schutzes . . . . . . . . . . . . . . . . . . . . . . . . . . .
111
§ 8 Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
118
3. Teil Die Sanktionierung von Datenschutzverstößen nach dem BDSG, insbesondere durch das Strafrecht
119
§ 9 Anwendungsbereich des BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
121
§ 10 Straftatbestände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
129
§ 11 Bußgeldtatbestände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
195
§ 12 Außerstrafrechtliche Sanktionsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . .
204
§ 13 Sanktionsdefizit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
209
§ 14 Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
223
4. Teil Perspektiven des Datenschutzstrafrechts
226
§ 15 Zentrale Herausforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
226
§ 16 Konkreter Lösungsansatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
235
8
Inhaltsübersicht
Zusammenfassende Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
247
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
251
Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
Inhaltsverzeichnis § 1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Ausgangslage und Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . II. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Teil Entwicklung des Datenschutzstrafrechts § 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz . . . I. Vorläufer des Datenschutzrechts . . . . . . . . . . . . II. Kernstrafrechtlicher Geheim- und Privatsphärenschutz 1. Geschichte der Geheim- und Privatsphärendelikte . 2. Heutige Regelung auf Grundlage des StGB-E 1962 a) Allgemeines . . . . . . . . . . . . . . . . . . . b) § 203 Abs. 2 S. 2 StGB als Datenschutzdelikt . aa) Entstehung . . . . . . . . . . . . . . . . . bb) Tatbestand . . . . . . . . . . . . . . . . . cc) Zwischenbehördliche Datenbekanntgabe . 3. Exkurs: Datenschutzstrafrecht der DDR . . . . . . 4. Das allgemeine Indiskretionsdelikt . . . . . . . . . a) Entwicklung der Tatbestandsentwürfe . . . . . b) Problemschwerpunkte . . . . . . . . . . . . . aa) Unbestimmtheit . . . . . . . . . . . . . . bb) Abgrenzung von den Ehrschutzdelikten . . cc) Erforderlichkeit . . . . . . . . . . . . . . 5. Datenhehlerei . . . . . . . . . . . . . . . . . . . . a) Bisherige Entwicklung . . . . . . . . . . . . . b) Zielrichtung . . . . . . . . . . . . . . . . . . . c) Regelung des § 202d StGB-E . . . . . . . . . . aa) Tatobjekt . . . . . . . . . . . . . . . . . . bb) Tathandlungen . . . . . . . . . . . . . . . cc) Sonstige Regelungen . . . . . . . . . . . d) Vorliegen einer Strafbarkeitslücke . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
21 21 22
25
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
25 26 28 28 31 31 33 33 34 35 36 37 38 40 41 41 43 46 46 47 48 49 51 52 53
§ 3 Datenschutzstrafrecht im engeren Sinne . . . . . . . . . . . . . I. Datenschutzdebatten in Deutschland und den USA . . . . II. Der Weg zum ersten BDSG . . . . . . . . . . . . . . . . 1. Frühe Rechtsprechung des BVerfG . . . . . . . . . . . a) Mikrozensus . . . . . . . . . . . . . . . . . . . . b) Scheidungsakten . . . . . . . . . . . . . . . . . . 2. Das HDSG und erste Landesdatenschutzgesetze . . . . 3. Entstehung des ersten BDSG . . . . . . . . . . . . . . a) Entwurf der interparlamentarischen Arbeitsgruppe b) Referentenentwurf des BMI . . . . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
54 55 57 57 57 58 59 60 60 62
10
Inhaltsverzeichnis
c) Alternativentwurf von Podlech . . . . . . . . . d) Regierungsentwurf . . . . . . . . . . . . . . . e) Das erste BDSG von 1977 . . . . . . . . . . . III. Volkszählungsurteil und zweites BDSG . . . . . . . . 1. Das Volkszählungsurteil . . . . . . . . . . . . . . 2. Das zweite BDSG . . . . . . . . . . . . . . . . . . a) Allgemeine Änderungen . . . . . . . . . . . . b) Reform der Strafvorschrift . . . . . . . . . . . IV. Datenschutzrichtlinie und drittes BDSG . . . . . . . . 1. Allgemeine Änderungen . . . . . . . . . . . . . . 2. Reform der §§ 43, 44 BDSG . . . . . . . . . . . . V. Modernisierung und weitere Novellen . . . . . . . . . 1. BDSG-Novellen von 2009 . . . . . . . . . . . . . 2. Europäische Datenschutzverordnung . . . . . . . . VI. Bereichsspezifischer Datenschutz . . . . . . . . . . . 1. Allgemeines . . . . . . . . . . . . . . . . . . . . . 2. Telemediengesetz und Telekommunikationsgesetz . a) Telemediengesetz . . . . . . . . . . . . . . . . b) Telekommunikationsgesetz . . . . . . . . . . . 3. SGB X . . . . . . . . . . . . . . . . . . . . . . . VII. Die Landesdatenschutzgesetze . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
64 65 65 66 67 68 68 70 71 71 72 75 76 77 78 78 79 79 80 82 82
§ 4 Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
2. Teil Das Rechtsgut und Grenzen strafrechtlichen Schutzes § 5 Das geschützte Rechtsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Ursprung im allgemeinen Persönlichkeitsrecht . . . . . . . . . . . . . . . . . 1. Entwicklung im Zivilrecht . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Anerkennung im Verfassungsrecht . . . . . . . . . . . . . . . . . . . . . . 3. Strafrechtlicher Rechtsgüterschutz . . . . . . . . . . . . . . . . . . . . . . II. Schutzumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Grundlegendes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Die abstrakte Gefährdungslage . . . . . . . . . . . . . . . . . . . . . . . . 3. Objektiver Gehalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Verhältnis zum allgemeinen Persönlichkeitsrecht und Abgrenzung von anderen Rechten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Allgemeines Persönlichkeitsrecht . . . . . . . . . . . . . . . . . . . . . . 2. Recht auf Achtung der Privatsphäre . . . . . . . . . . . . . . . . . . . . . 3. Recht am eigenen Bild und Recht am eigenen Wort . . . . . . . . . . . . . 4. Das „Computergrundrecht“ . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Kommerzielle Aspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Kommerzialisierung personenbezogener Daten . . . . . . . . . . . . . . . 2. Bedeutung für das Strafrecht . . . . . . . . . . . . . . . . . . . . . . . . . V. Bestimmtheit der informationellen Selbstbestimmung . . . . . . . . . . . . . 1. Bestimmtheit und Rechtsgüterschutz . . . . . . . . . . . . . . . . . . . . . 2. Informationelle Selbstbestimmung als Schutzgut . . . . . . . . . . . . . .
86 . . . . . . . . .
. . . . . . . . .
86 88 88 89 91 91 92 92 94
. . . . . . . . . . .
. . . . . . . . . . .
95 95 95 96 96 97 98 100 101 101 102
§ 6 Notwendigkeit der Pönalisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Verfassungsrechtliche Notwendigkeit . . . . . . . . . . . . . . . . . . . . . . . . II. Internationaler und europäischer Rahmen . . . . . . . . . . . . . . . . . . . . . .
103 103 105
Inhaltsverzeichnis
1. Völkerrecht . . . . . . . . . . . . . . . . . . a) Europäische Datenschutzkonvention . . . b) Cybercrime Konvention . . . . . . . . . c) Weiteres . . . . . . . . . . . . . . . . . . 2. Europarecht . . . . . . . . . . . . . . . . . . a) EG-Datenschutzrichtlinie . . . . . . . . . b) Rechtsprechung des EuGH . . . . . . . . c) Ausblick: Datenschutz-Grundverordnung
11
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
105 105 106 106 107 107 108 109
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
111 112 113 114 115 116 117
§ 8 Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
118
§ 7 Zulässigkeit strafrechtlichen Schutzes . . . . . . . I. Geeignetheit . . . . . . . . . . . . . . . . . II. Erforderlichkeit . . . . . . . . . . . . . . . 1. Ordnungswidrigkeitenrecht . . . . . . . . 2. Weitere verwaltungsrechtliche Sanktionen 3. Zivilrechtliche Sanktionen . . . . . . . . III. Angemessenheit . . . . . . . . . . . . . . .
. . . . . . .
. . . . . . .
3. Teil Die Sanktionierung von Datenschutzverstößen nach dem BDSG, insbesondere durch das Strafrecht
119
§ 9 Anwendungsbereich des BDSG . . . . . . . . . . . . . . . . I. Personenbezogene Daten . . . . . . . . . . . . . . . . II. Normadressaten . . . . . . . . . . . . . . . . . . . . . 1. Verantwortliche Stellen . . . . . . . . . . . . . . . . 2. Verantwortliche Stellen im Ausland . . . . . . . . . 3. Andere Adressaten . . . . . . . . . . . . . . . . . . III. Geltung im öffentlichen Bereich . . . . . . . . . . . . . IV. Geltung im nicht-öffentlichen Bereich . . . . . . . . . 1. Automatisierte Verarbeitung . . . . . . . . . . . . . 2. Nicht-automatisierte Dateien . . . . . . . . . . . . . 3. Ausnahme für persönliche oder familiäre Tätigkeiten 4. Teilweise Erweiterung . . . . . . . . . . . . . . . . V. Subsidiarität (§ 1 Abs. 3 BDSG) . . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
121 121 123 123 123 124 124 124 125 125 125 127 128
§ 10 Straftatbestände . . . . . . . . . . . . . . . . . . . . . . . I. § 44 Abs. 1 BDSG als Blanketttatbestand . . . . . . . II. Anwendungsbereich . . . . . . . . . . . . . . . . . . 1. Festlegung durch Verhaltensnormen . . . . . . . . 2. Einschränkung durch Adressatenkreis des BDSG . 3. Subsidiarität (§ 1 Abs. 3 BDSG) . . . . . . . . . . a) Verhältnis zu bereichsspezifischem Datenschutz b) Verhältnis zu Vorschriften des Kernstrafrechts . 4. Kritische Würdigung . . . . . . . . . . . . . . . . a) Unklarheit des Anwendungsbereiches . . . . . b) Weite des Anwendungsbereiches . . . . . . . . III. Nicht allgemein zugängliche Daten . . . . . . . . . . 1. Begriff der allgemeinen Zugänglichkeit . . . . . . a) Einschränkung durch berechtigtes Interesse . . b) Sonstige rechtliche Zugangsbeschränkungen . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
129 129 130 130 130 133 133 135 136 136 137 138 138 139 139
. . . . . . . . . . . . . . .
12
Inhaltsverzeichnis
2. Kritische Würdigung . . . . . . . . . . . . . . . . . . Erfasste Tathandlungen . . . . . . . . . . . . . . . . . . 1. Erheben . . . . . . . . . . . . . . . . . . . . . . . . . a) Allgemein . . . . . . . . . . . . . . . . . . . . . . b) Sonderfall Verschaffen . . . . . . . . . . . . . . . c) Sonderfall Abruf . . . . . . . . . . . . . . . . . . aa) Vorverlagerung des Abrufs . . . . . . . . . . bb) Voraussetzung einer Abrufeinrichtung . . . . d) Sonderfall Erschleichen . . . . . . . . . . . . . . . e) Kritische Würdigung . . . . . . . . . . . . . . . . 2. Verarbeiten . . . . . . . . . . . . . . . . . . . . . . . a) Allgemein . . . . . . . . . . . . . . . . . . . . . . aa) Speichern . . . . . . . . . . . . . . . . . . . bb) Verändern . . . . . . . . . . . . . . . . . . . cc) Übermitteln . . . . . . . . . . . . . . . . . . dd) Sperren und Löschen . . . . . . . . . . . . . b) Werbung, Markt- und Meinungsforschung . . . . . c) Kritische Würdigung . . . . . . . . . . . . . . . . 3. Nutzen . . . . . . . . . . . . . . . . . . . . . . . . . a) Allgemein . . . . . . . . . . . . . . . . . . . . . . b) Zweckwidrige Nutzung . . . . . . . . . . . . . . . c) Werbung, Markt- und Meinungsforschung . . . . . d) Zum Abruf bereithalten . . . . . . . . . . . . . . . e) Kritische Würdigung . . . . . . . . . . . . . . . . 4. Andere Tathandlungen . . . . . . . . . . . . . . . . . a) Verstoß gegen das Koppelungsverbot . . . . . . . . b) De-Anonymisieren . . . . . . . . . . . . . . . . . c) Verletzung der Mitteilungspflicht aus § 42a BDSG 5. Aus den den Landesdatenschutzgesetzen . . . . . . . . a) Nutzen . . . . . . . . . . . . . . . . . . . . . . . b) Weitere Tathandlungen . . . . . . . . . . . . . . . aa) Datenschutzgesetz Mecklenburg-Vorpommern bb) Sächsisches Datenschutzgesetz . . . . . . . . V. Akzessorische Merkmale in § 43 Abs. 2 BDSG . . . . . . 1. Definitionsnormen . . . . . . . . . . . . . . . . . . . 2. Unbefugt . . . . . . . . . . . . . . . . . . . . . . . . a) Tatbestands- oder Rechtswidrigkeitsmerkmal . . . b) Blankettmerkmal oder normatives Merkmal . . . . c) Bestimmtheitsgebot und Auslegung . . . . . . . . aa) Allgemein . . . . . . . . . . . . . . . . . . . bb) In Bezug genommene Befugnisnormen . . . . cc) Notwendigkeit extensiver Auslegung . . . . . dd) Kriterien extensiver Auslegung . . . . . . . . ee) Mögliche Konsequenz der Normspaltung . . . d) Einwilligung . . . . . . . . . . . . . . . . . . . . aa) Freiwilligkeit . . . . . . . . . . . . . . . . . bb) Formelle Anforderungen . . . . . . . . . . . 3. Handeln entgegen bestimmter Vorschriften . . . . . . VI. Merkmale des § 44 Abs. 1 BDSG . . . . . . . . . . . . . 1. Gegen Entgelt . . . . . . . . . . . . . . . . . . . . . . 2. Bereicherungsabsicht . . . . . . . . . . . . . . . . . . IV.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
140 141 141 142 142 143 144 144 145 145 145 146 146 146 146 147 148 148 148 148 149 150 150 151 151 152 152 152 152 153 153 153 153 154 155 155 156 158 161 161 162 163 166 168 173 173 175 179 180 180 182
Inhaltsverzeichnis
3. Schädigungsabsicht . . . . . . . . . . . . . 4. Aus den Landesdatenschutzgesetzen . . . . 5. Kritische Würdigung . . . . . . . . . . . . VII. Versuchsstrafbarkeit . . . . . . . . . . . . . . VIII. Antragserfordernis . . . . . . . . . . . . . . . IX. Rechtsfolge . . . . . . . . . . . . . . . . . . . X. Praktische Bedeutung . . . . . . . . . . . . . 1. Polizeiliche Kriminalstatistik . . . . . . . . 2. Strafverfolgung . . . . . . . . . . . . . . . 3. Einzelne Fallgruppen . . . . . . . . . . . . a) Abruf aus Informationssystemen . . . . b) GPS-Tracking . . . . . . . . . . . . . . aa) Fall des LG Aachen . . . . . . . . bb) Fall des LG Mannheim . . . . . . c) Veröffentlichung von Daten im Internet
13
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
183 184 184 186 187 187 187 188 188 190 190 191 191 193 194
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
195 195 195 196 197 198 198 198 199 199 200 202 202 203 203 204
§ 12 Außerstrafrechtliche Sanktionsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . I. Verwaltungsrechtliche Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . II. Schadensersatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
204 204 206
§ 13 Sanktionsdefizit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Sanktionsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Strafrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Ordnungswidrigkeitenrecht . . . . . . . . . . . . . . . . . . . . . . . . 3. Aufsichtsbehördliche Maßnahmen . . . . . . . . . . . . . . . . . . . . 4. Schadensersatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Vollzug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Mangelndes Verfolgungsinteresse . . . . . . . . . . . . . . . . . . . . a) Antragserfordernis im Strafrecht . . . . . . . . . . . . . . . . . . . b) Sanktionsinstanzen im Ordnungswidrigkeitenrecht . . . . . . . . . aa) Zuständige Sanktionsinstanzen . . . . . . . . . . . . . . . . . bb) Zielkonflikte bei Tätigkeit als Aufsichts- und Bußgeldbehörde c) Aufsichtsbehördliche Maßnahmen . . . . . . . . . . . . . . . . . . d) Schadensersatz . . . . . . . . . . . . . . . . . . . . . . . . . . . .
209 210 210 211 211 212 213 213 214 215 215 216 219 219
§ 11 Bußgeldtatbestände . . . . . . . . . . . . . . . . I. Anwendungsbereich . . . . . . . . . . . . . II. Erfasste Tathandlungen . . . . . . . . . . . 1. Zweckwidrige Übermittlung und Nutzung 2. Aufnahme in Verzeichnisse . . . . . . . . 3. Übermittlung ohne Gegendarstellung . . III. Fahrlässige Begehung . . . . . . . . . . . . IV. Verweisungen . . . . . . . . . . . . . . . . V. Rechtsfolge . . . . . . . . . . . . . . . . . . VI. Praktische Bedeutung . . . . . . . . . . . . 1. Aktuelle Tendenzen . . . . . . . . . . . . 2. Einzelne Fallgruppen . . . . . . . . . . . a) Verarbeiten: Insbesondere Übermitteln b) Erheben . . . . . . . . . . . . . . . . c) Nutzen . . . . . . . . . . . . . . . . d) Weitere Verstöße . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
14
Inhaltsverzeichnis
2. Unbestimmtheit der Normen . . . . . a) Strafrecht . . . . . . . . . . . . . b) Ordnungswidrigkeiten . . . . . . c) Aufsichtsbehördliche Maßnahmen d) Schadensersatz . . . . . . . . . . 3. Unbekanntheit der Normen . . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
220 220 221 222 222 223
§ 14 Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
223
4. Teil Perspektiven des Datenschutzstrafrechts
226
§ 15 Zentrale Herausforderungen . . . . . . . . . . . . . . . . . . . . . . . . I. Datenschutz als diffuses Interesse . . . . . . . . . . . . . . . . . . II. Datenschutzstrafrecht als Risikostrafrecht . . . . . . . . . . . . . . 1. Expansion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vorverlagerung . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Symbolische Regelung . . . . . . . . . . . . . . . . . . . . . . III. Konzentrierung und Präzisierung . . . . . . . . . . . . . . . . . . 1. Abgrenzung strafwürdiger Fälle . . . . . . . . . . . . . . . . . 2. Verständlichkeit und Anwendbarkeit . . . . . . . . . . . . . . . 3. Abgrenzung von weiterem strafrechtlichen Persönlichkeitsschutz a) Kein allgemeiner Indiskretionsschutz . . . . . . . . . . . . b) Keine Beschränkung auf Privat- und Intimsphäre . . . . . . 4. Beseitigung von Durchsetzungsdefiziten . . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
226 226 228 228 229 230 231 231 233 233 234 234 234
§ 16 Konkreter Lösungsansatz . . . . . . . . . . . . . . . . . . . . . . I. Stellung der Regelung im StGB . . . . . . . . . . . . . . . . 1. Grundsätzliche Möglichkeit der Regelung im StGB . . . . 2. Bekanntheit und Bewusstseinsbildung . . . . . . . . . . . a) Generalpräventiver Aspekt . . . . . . . . . . . . . . . b) Höhere Anwendung . . . . . . . . . . . . . . . . . . . 3. Auflösung der strengen Akzessorietät . . . . . . . . . . . a) Lösung von Befugnisnormen . . . . . . . . . . . . . . b) Festlegung und Erweiterung des Anwendungsbereichs II. Eingeschränktes Tatobjekt . . . . . . . . . . . . . . . . . . . 1. Risiko der Bildung von Persönlichkeitsprofilen . . . . . . 2. Übertragung auf das Strafrecht . . . . . . . . . . . . . . . III. Tathandlung: Verschaffen . . . . . . . . . . . . . . . . . . . IV. Unbefugtes Handeln . . . . . . . . . . . . . . . . . . . . . . V. Bereicherungs- oder Schädigungsabsicht . . . . . . . . . . . VI. Strafmaß . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII. Relatives Antragserfordernis . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
235 235 235 237 238 239 239 239 240 240 241 243 245 245 246 246 246
Zusammenfassende Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
247
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
251
Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
Abkürzungsverzeichnis ABl. Abs. AcP a. E. AE StGB AEUV a. F. AfP
BayObLG BB BbgDSG BDSG BeckOK BeckRS BfDI BGB BGBl. BGH BGHZ BISG-E
Amtsblatt Absatz Archiv für die civilistische Praxis (Zeitschrift), zit. nach Band und Jahrgang am Ende Alternativ-Entwurf eines Strafgesetzbuches Vertrag über die Arbeitsweise der Europäischen Union alte Fassung Archiv für Presserecht (Zeitschrift für Medien- und Kommunikationsrecht), zit. nach Jahrgang Amtsgericht Association Internationale de Droit Pénal Aktiengesetz Allgemeines Landrecht für die Preußischen Staaten von 1794 Alternativentwurf eines Bundesrahmengesetzes zum Schutz personenbezogener Daten und Informationen im Bereich der öffentlichen Verwaltung Amtlicher Anzeiger Amtsblatt des Saarlandes Aus Politik und Zeitgeschichte (Zeitschrift), zit. nach Jahrgang, abrufbar unter www.bpb.de/shop/zeitschriften/apuz/ Arbeitsgericht Artikel Auflage Aktenzeichen Bundesarbeitsgericht Bayerisches Datenschutzgesetz Gesetz über die Organisation der elektronischen Datenverarbeitung im Freistaat Bayern Bayerisches Oberstes Landesgericht Betriebsberater (Zeitschrift), zit. nach Jahrgang Brandenburgisches Datenschutzgesetz Bundesdatenschutzgesetz Beck’scher Online-Kommentar Beck-Rechtsprechung, zit. nach Jahrgang Der / die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Bundesgerichtshof in Zivilsachen, amtliche Sammlung, zit. nach Band Entwurf eines Gesetzes zum Schutz personenbezogener Informationen
BKA BKAG BlnDSG
Bundeskriminalamt Bundeskriminalamtgesetz Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung
AG AIDP AktG ALR AltE Amtl. Anz. Amtsbl. APuZ ArbG Art. Aufl. Az. BAG BayDSG BayEDVG
16
BMI BMJV BRD BR-Drs. BremDSG Brem.GBl. BStatG BT-StenBer BT-Drs. BVerfG BVerfGE BW BWV bzgl. bzw. CCZ CR DDR d. h. Diss DJT DKWW DÖV DSG DSGVO-E DuD EDV EFA EG EGStGB endg. EnWG EU EuGH EUV f. ff. FS GBl. GBNMD GenG GewO GG GPS GRUR GRUR-Prax GV. NRW. GVBl.
Abkürzungsverzeichnis
Bundesministerium des Innern Bundesministerium der Justiz und für Verbraucherschutz Bundesrepublik Deutschland Bundesratsdrucksache Bremisches Datenschutzgesetz Gesetzblatt der Freien Hansestadt Bremen Bundesstatistikgesetz Stenografischer Bericht des Bundestags Bundestagsdrucksache Bundesverfassungsgericht Entscheidungen des Bundesverfassungsgerichtes, amtliche Sammlung, zit. nach Band Baden-Württemberg Berliner Wissenschafts-Verlag bezüglich beziehungsweise Corporate Compliance Zeitschrift, zit. nach Jahrgang Computer und Recht (Zeitschrift), zit. nach Jahrgang Deutsche Demokratische Republik das heißt Dissertation Deutscher Juristentag Däubler/Klebe/Wedde/Weichert Die Öffentliche Verwaltung (Zeitschrift), zit. nach Jahrgang Datenschutzgesetz Entwurf einer Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Datenschutz und Datensicherheit (Zeitschrift), zit. nach Jahrgang Elektronische Datenverarbeitung Europäische Freie Allianz Europäische Gemeinschaften Einführungsgesetz zum Strafgesetzbuch endgültig Energiewirtschaftsgesetz Europäische Union Europäischer Gerichtshof Vertrag über die Europäische Union folgende/folgender (Singular) folgende (Plural) Festschrift Gesetzblatt Giesen/Bannasch/Naumann/Mauersberger/Dehoust Genossenschaftsgesetz Gewerbeordnung Grundgesetz Globales Positionsbestimmungssystem Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift), zit. nach Jahrgang Gewerblicher Rechtsschutz und Urheberrecht, Praxis im Immaterialgüter und Wettbewerbsrecht (Zeitschrift), zit. nach Jahrgang Gesetz- und Verordnungsblatt für das Land Nordrhein-Westfalen Gesetz- und Verordnungsblatt
Abkürzungsverzeichnis
GVOBl. GWB HansOLG HDSG HessLT-Drs. HGB h. M. HmbDSG HmbGVBl. HRRS Hrsg. Hs. i. H. v. IPA-E i. S. d. IuKDG i. V. m. i. w. S. JA Jh. JR JURA jurisPR-Compl JuS JZ k@g K&R Kap. KE 1913 KG KK KO KOM KrWaffG LAG LDA LDSG LfD LfDI LG LIBE lit. LK LR LSA LT-Drs.
17
Gesetz- und Verordnungsblatt Gesetz gegen Wettbewerbsbeschränkungen Hanseatisches Oberlandesgericht Hessisches Datenschutzgesetz Drucksache des Hessischen Landtages Handelsgesetzbuch herrschende Meinung Hamburgisches Datenschutzgesetz Hamburgisches Gesetz- und Verordnungsblatt Online-Zeitschrift für Höchstrichterliche Rechtsprechung im Strafrecht, zit. nach Jahrgang, abrufbar unter www.hrrs.de Herausgeber Halbsatz in Höhe von Entwurf eines Bundesdatenschutzgesetzes der interparlamentarischen Arbeitsgruppe im Sinne des Informations- und Kommunikationsdienste-Gesetz in Verbindung mit im weiteren Sinne Juristische Arbeitsblätter (Zeitschrift), zit. nach Jahrgang Jahrhundert Juristische Rundschau (Zeitschrift), zit. nach Jahrgang Juristische Ausbildung (Zeitschrift), zit. nach Jahrgang juris PraxisReport Compliance & Investigations (Zeitschrift), zit. nach Ausgabe und Jahr Juristische Schulung (Zeitschrift), zit. nach Jahrgang Juristenzeitung (Zeitschrift), zit. nach Jahrgang kommunikation@gesellschaft (Zeitschrift), zit. nach Jahrgang, abrufbar unter www.soz.uni-frankfurt.de/K.G/ Kommunikation & Recht (Zeitschrift), zit. nach Jahrgang Kapitel Entwurf der Strafrechtskommission eines Strafgesetzbuches von 1913 Kammergericht Karlsruher Kommentar Konkursordnung Europäische Kommission Gesetz über die Kontrolle von Kriegswaffen Landesarbeitsgericht Landesamt für Datenschutzaufsicht Landesdatenschutzgesetz Landesbeauftragte(r) für Datenschutz Landesbeauftragte(r) für Datenschutz und Informationsfreiheit Landgericht Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments Litera (Buchstabe) Leipziger Kommentar Landesregierung Land Sachsen-Anhalt Landtagsdrucksache
18
LVerwA MDR MK MMR M-V m. w. N. Nds. NDSG Nds. GVBl. NJW NJW-RR NK Nr. NRW NStZ NStZ-RR NVwZ NZA OLG ÖR OVG OWiG OWiZuVO PinG PKS PKZ RAF RdA RDV RefE RegE RG RGBl. RGSt RGZ Rn. RP Rs. RStGB S. SächsDSG SächsGVBl. Schl.-H. SDDSG SDSG SGB I SGB X SK Slg.
Abkürzungsverzeichnis
Landesverwaltungsamt Monatsschrift für Deutsches Recht (Zeitschrift), zit. nach Jahrgang Münchener Kommentar Multimedia und Recht (Zeitschrift), zit. nach Jahrgang Mecklenburg-Vorpommern mit weiteren Nachweisen Niedersachsen Niedersächsisches Datenschutzgesetz Niedersächsisches Gesetz- und Verordnungsblatt Neue Juristische Wochenschrift (Zeitschrift), zit. nach Jahrgang Neue Juristische Wochenschrift Rechtsprechungs-Report (Zeitschrift), zit. nach Jahrgang Nomos-Kommentar Nummer Nordrhein-Westfalen Neue Zeitschrift für Strafrecht, zit. nach Jahrgang Neue Zeitschrift für Strafrecht Rechtsprechungs-Report, zit. nach Jahrgang Neue Zeitschrift für Verwaltungsrecht, zit. nach Jahrgang Neue Zeitschrift für Arbeitsrecht, zit. nach Jahrgang Oberlandesgericht Öffentliches Recht Oberverwaltungsgericht Ordnungswidrigkeitengesetz Ordnungswidrigkeiten-Zuständigkeitsverordnung Privacy in Germany (Zeitschrift), zit. nach Jahrgang Polizeiliche Kriminalstatistik Personenkennzeichen Rote Armee Fraktion Recht der Arbeit (Zeitschrift), zit. nach Jahrgang Recht der Datenverarbeitung (Zeitschrift), zit. nach Jahrgang Referentenentwurf eines Bundes-Datenschutzgesetzes Entwurf der Bundesregierung eines Gesetzes zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung Reichsgericht Reichsgesetzblatt Reichsgericht in Strafsachen, amtliche Sammlung, zit. nach Band Reichsgericht in Zivilsachen, amtliche Sammlung, zit. nach Band Randnummer Rheinland-Pfalz Rechtssache Reichsstrafgesetzbuch Seite Sächsisches Datenschutzgesetz Sächsisches Gesetz- und Verordnungsblatt Schleswig-Holstein Suchdienstedatenschutzgesetz Saarländisches Gesetz zum Schutz personenbezogener Daten Erstes Buch des Sozialgesetzbuches Zehntes Buch des Sozialgesetzbuches Systematischer Kommentar zum Strafgesetzbuch Sammlung der Rechtsprechung des Gerichtshofes und des Gerichts Erster Instanz
Abkürzungsverzeichnis
SSW StGB StGB-E 1962 StPO StVG TDDSG ThürDSG TierSchG TKG TMG TOP UDS UKlaG ULD UmwG unb. v. v. Chr. Var. VE 1909 VG vgl. VerhRT wistra WiStrG WpHG z. B. ZD ZEVIS ZfaS BBB ZIS zit. ZRP ZStW ZugabeVO ZUM ZuVOWiG
19
Satzger/Schluckebier/Widmaier Strafgesetzbuch Entwurf eines Strafgesetzbuches vom 4. Oktober 1962 Strafprozessordnung Straßenverkehrsgesetz Teledienstedatenschutzgesetz Thüringer Datenschutzgesetz Tierschutzgesetz Telekommunikationsgesetz Telemediengesetz Tagesordnungspunkt Unabhängiges Datenschutzzentrum Saarland Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Umwandlungsgesetz unbekannt vom/von vor Christus Variante Vorentwurf zu einem deutschen Strafgesetzbuch von 1909 Verwaltungsgericht vergleiche Verhandlungen des Deutschen Reichstags Zeitschrift für Wirtschafts- und Steuerstrafrecht, zit. nach Jahrgang Wirtschaftsstrafgesetz Wertpapierhandelsgesetz zum Beispiel Zeitschrift für Datenschutz, zit. nach Jahrgang Zentrales Verkehrs-Informationssystem Zeitschrift für amtliche Statistik Berlin Brandenburg, zit. nach Jahrgang, abrufbar unter www.statistik-berlin-brandenburg.de/produkte/produkte-zeitschrift.asp Zeitschrift für Internationale Strafrechtsdogmatik, zit. nach Jahrgang, abrufbar unter www.zis-online.com zitiert Zeitschrift für Rechtspolitik, zit. nach Jahrgang Zeitschrift für die gesamte Strafrechtswissenschaft, zit. nach Band und Jahrgang Zugabeverordnung Zeitschrift für Urheber- und Medienrecht, zit. nach Jahrgang Verordnung über Zuständigkeiten im Ordnungswidrigkeitenrecht
§ 1 Einleitung I. Ausgangslage und Problemstellung Die Informationstechnologie hat sich in den letzten Jahrzehnten rasant weiterentwickelt und durchdringt heute fast alle Lebensbereiche. Diese Entwicklung hat in beruflichen und privaten Bereichen vielfältige Annehmlichkeiten mit sich gebracht. Moderne technische Möglichkeiten wie die Kommunikation via E-Mail, das Online-Shopping und OnlineBanking sowie Recherchen mit Internet-Suchmaschinen sind aus dem Alltag kaum noch wegzudenken. Die neuen Technologien bergen allerdings auch Risiken – unter anderem durch den Missbrauch personenbezogener Daten. In diesem Zusammenhang ist ein Delinquenzbereich entstanden, der zahlreiche Phänomene von der illegalen Verschaffung personenbezogener Daten, etwa durch „Phishing“, über den Handel mit ihnen, jüngst als „Datenhehlerei“ diskutiert, bis hin zu ihrer finalen Nutzung, etwa als „Identitätsmissbrauch“, umfasst. Tendenziell steigen die Risiken durch den Missbrauch personenbezogener Daten mit dem technischen Fortschritt. Denn je mehr Informationen bei der Nutzung moderner Informationstechnologien anfallen, desto vielfältigere und komplexere Möglichkeiten ergeben sich auch für ihre nicht-zweckgemäße Verwendung. Um diesen neuen Risiken durch das Strafrecht beizukommen, werden in Forschung und Praxis hauptsächlich Straftatbestände des StGB untersucht und angewendet. Strafvorschriften, die den Missbrauch personenbezogener Daten erfassen, sind jedoch auch außerhalb des StGB zu finden: in den Straftatbeständen der Datenschutzgesetze des Bundes und der Länder. Das Datenschutzrecht soll dazu dienen, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“1 Ihm liegt das verfassungsrechtlich gewährleistete Recht auf informationelle Selbstbestimmung als „Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“2 zugrunde. Dementsprechend ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten gesetzlich grundsätzlich untersagt.3 Im Anwendungsbereich des BDSG ist unter anderem die unbefugte Erhebung und Verarbeitung personenbezogener Daten mit Strafe bedroht, wenn sie gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen geschieht.4 Die Straftatbestände des BDSG, der Landesdatenschutzgesetze und bereichsspezifischer Regelungen sehen einen breit angelegten Schutz vor dem Missbrauch personenbezogener Daten vor, der im Kernstrafrecht in dieser Form nicht existiert. Die vorliegende Arbeit untersucht anhand dieser Regelungen, inwieweit ein strafrechtlicher Schutz der 1 2 3 4
§ 1 Abs. 1 BDSG. BVerfGE 65, S. 1 Vgl. § 4 Abs. 1 BDSG. §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG.
22
§ 1 Einleitung
informationellen Selbstbestimmung möglich und sinnvoll ist. Die Untersuchung geht dabei vom Datenschutzrecht aus und setzt dieses in Beziehung zum kernstrafrechtlichen Schutz der Privat- und Geheimsphäre. Da der Schutz der informationellen Selbstbestimmung eine Aufgabe der gesamten Rechtsordnung ist, bezieht die Untersuchung sekundär auch nicht-strafrechtliche Sanktionsmöglichkeiten des Datenschutzrechts mit ein, um die Rahmenbedingungen für den Einsatz des Strafrechts zu klären. All dies geschieht vor dem Hintergrund der Annahme, dass die gesetzliche Regelung nur eine von mehreren Optionen ist, um das Recht auf informationelle Selbstbestimmung zu schützen. Auch technische, organisatorische und personelle Maßnahmen können den Missbrauch personenbezogener Daten in vielen Fällen verhindern oder zumindest erschweren. Den Gesetzgeber trifft eine verfassungsrechtliche Pflicht zum Schutz des Rechtes auf informationelle Selbstbestimmung.5 Wo aber die genauen Grenzen der rechtlichen Regelung liegen, um das Recht auf informationelle Selbstbestimmung zu schützen, kann mit juristischem Handwerkszeug sowie im Rahmen dieser Arbeit nicht abschließend geklärt werden. Hierfür bedürfte es einer umfassenden eigenständigen und disziplinübergreifenden Untersuchung.
II. Gang der Untersuchung In ihrem ersten Teil widmet sich die Untersuchung der Geschichte und Entwicklung des strafrechtlichen Schutzes der informationellen Selbstbestimmung. Die Wurzeln des Datenschutzrechts im Schutz der Privat- und Geheimsphäre werden offen gelegt. Einen Schwerpunkt der Untersuchung bildet hierbei der strafrechtliche Schutz der Geheim- und Privatsphäre, der heute in den §§ 201 ff. StGB geregelt ist. Die Entwicklung und der heutige Bestand dieser Strafnormen werden beleuchtet, um sie in Beziehung zu den Straftatbeständen der Datenschutzgesetze setzen zu können. Ein besonderes Augenmerk liegt auf § 203 Abs. 2 S. 2 StGB. Diese Vorschrift ist von ihrem Schutzgut her eng mit den Straftatbeständen der Datenschutzgesetze verwandt und auch in ihrer Entstehungsgeschichte mit diesen verknüpft. Ein kurzer Blick erfolgt in diesem Kontext auch auf das Strafrecht der damaligen DDR, die im Jahre 1989 einen umfassenden Datenschutzstraftatbestand in ihr StGB aufgenommen hat. Neben den geltenden Straftatbeständen des StGB sind für die Untersuchung auch zwei Straftatbestände beachtenswert, die (bislang) nicht geltendes Recht geworden, aber Gegenstand der rechtspolitischen Diskussion sind: Zum einen das allgemeine Indiskretionsdelikt und zum anderen die so genannte Datenhehlerei. Das allgemeine Indiskretionsdelikt ist für die Untersuchung deshalb von besonderem Interesse, weil es auf einen weitreichenden strafrechtlichen Persönlichkeitsschutz zielt, der vergleichbare Probleme wie der strafrechtliche Schutz der informationellen Selbstbestimmung aufwerfen könnte. Die aktuelle Diskussion um die Strafbarkeit der Datenhehlerei berührt den strafrechtlichen Schutz der informationellen Selbstbestimmung dagegen unmittelbar. Im Anschluss an den kernstrafrechtlichen Geheim- und Privatsphärenschutz widmet sich die Untersuchung der Geschichte und Entwicklung des Datenschutzrechts im engeren Sinne. Dabei wird zunächst geklärt, wie das rechtliche Gerüst des modernen Datenschutzes in den 1960er- und 70er-Jahren angesichts neuer technischer Entwicklungen entstand. 5
Dazu näher unten Zweiter Teil § 5 II. 3.
II. Gang der Untersuchung
23
Die Untersuchung skizziert die Genese der ersten Datenschutzgesetze unter besonderer Berücksichtigung ihrer Strafvorschriften. Eine Betrachtung der Grundzüge der Gesamtstruktur des BDSG ist aufgrund der engen Verknüpfung seiner Strafvorschrift mit den übrigen Vorschriften des Gesetzes unerlässlich. Ein Schwerpunkt liegt dabei auf der Entstehung des ersten BDSG von 1977, dessen Regelungssystem bis heute das Fundament des Datenschutzrechts bildet. In der Folge werden die weiteren Entwicklungen und Novellen des Gesetzes mit Fokus auf seine Straftatbestände bis zu seiner heutigen Fassung dargestellt. Ein kurzer Blick erfolgt ferner auf die Perspektive des Datenschutzrechts in einer zunehmend harmonisierten europäischen Regelung, die derzeit Gestalt annimmt. Nach der ausführlichen Untersuchung der Entwicklung des BDSG folgt ein Überblick über die bereichsspezifischen Datenschutzgesetze und die Landesdatenschutzgesetze. Im Rahmen des bereichsspezifischen Datenschutzes werden exemplarisch die Regelungen des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG) sowie des Zehnten Buches des Sozialgesetzbuchs (SGB X) vorgestellt, auf die im Laufe der Untersuchung der Sanktionsvorschriften erneut eingegangen wird. Der zweite Teil der Untersuchung befasst sich mit dem Recht auf informationelle Selbstbestimmung und den Grenzen seines strafrechtlichen Schutzes. Als Bestandteil des allgemeinen Persönlichkeitsrechts ist das Recht auf informationelle Selbstbestimmung die verfassungsrechtliche Grundlage des Datenschutzrechts. Die Untersuchung setzt sich mit seinem Schutzumfang und seinem Verhältnis zu anderen Komponenten des allgemeinen Persönlichkeitsrechts auseinander, um Erkenntnisse für die Möglichkeiten seines strafrechtlichen Schutzes zu gewinnen. Dabei wird näher erörtert, vor welchen spezifischen Gefahren das Recht auf informationelle Selbstbestimmung schützen soll. Es stellt sich dabei die Frage, ob und inwieweit das informationelle Selbstbestimmungsrecht auch kommerzielle Interessen schützt. Dies könnte für die Ausgestaltung seines strafrechtlichen Schutzes von Belang sein. Auf der Grundlage der vor dem verfassungsrechtlichen Hintergrund gewonnenen Erkenntnisse setzt sich die Untersuchung dann auch mit der Frage auseinander, ob das Recht auf informationelle Selbstbestimmung bestimmt genug ist, um als strafrechtliches Schutzgut herangezogen zu werden. Schließlich wird beleuchtet, wo die verfassungsrechtlichen Ober- und Untergrenzen des Schutzes der informationellen Selbstbestimmungsrechts durch das Strafrecht liegen. So könnte es nach verfassungsrechtlichen Grundsätzen sowie völker- und europarechtlichen Vorgaben geboten sein, bestimmte Verstöße gegen das Datenschutzrecht unter Strafe zu stellen. Vor allem aber fragt sich, ob und inwiefern ein Schutz der informationellen Selbstbestimmung durch das Strafrecht vor dem Hintergrund der „ultima ratio“-Funktion des Strafrechts erforderlich ist. Der dritte Teil geht im Einzelnen auf die bestehenden Sanktionsnormen des BDSG ein. Im Mittelpunkt der Betrachtung stehen hierbei §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG als zentrale Strafvorschriften des Datenschutzrechts. §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG werden jedoch nicht isoliert, sondern im Gesamtgefüge der Sanktionsnormen des BDSG untersucht – neben den Straftatbeständen sieht das BDSG auch Ordnungswidrigkeiten, aufsichtsbehördliche Maßnahmen und Schadensersatzansprüche als Sanktionen vor. Die Untersuchung im Gesamtgefüge der Sanktionen soll zum einen dazu dienen, konkretere Antworten auf die zuvor abstrakt erörterte Frage zu finden, inwiefern das Strafrecht neben
24
§ 1 Einleitung
weiteren bestehenden Sanktionsmöglichkeiten zum Schutz der informationellen Selbstbestimmung eingesetzt werden sollte. Zum anderen soll anhand des gesamten Sanktionssystems beleuchtet werden, ob im Rahmen des BDSG ein Sanktionsdefizit besteht, das normativ bedingt ist und möglicherweise eine Ursache für die defizitäre Befolgung der Verhaltensvorschriften des Gesetzes darstellt. Im Zusammenhang mit den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ist zunächst deren Anwendungsbereich von Interesse. Fraglich ist hier vor allem, inwieweit der Anwendungsbereich der Strafvorschriften durch den Anwendungsbereich des Gesetzes insgesamt beschränkt ist und inwieweit er durch bereichsspezifische Vorschriften eingeschränkt wird. Des Weiteren werden die Tatbestandsvoraussetzungen der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG näher untersucht, die sich zum größten Teil aus der Bußgeldnorm des § 43 Abs. 2 BDSG ergeben. Es wird erörtert, welche Tathandlungen mit dem Schwerpunkt auf dem Erheben, Verarbeiten und Nutzen von personenbezogenen Daten gemäß § 3 Abs. 3–5 BDSG tatbestandlich umfasst sind. Vor allem im Zusammenhang mit dem Merkmal „unbefugt“ stellt sich die Frage, ob die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG streng akzessorisch zu den übrigen Vorschriften des BDSG zu verstehen sind. Ein weiterer Fokus liegt auf der Untersuchung der Merkmale des Handelns gegen Entgelt, mit Schädigungs- sowie mit Bereicherungsabsicht, die gemäß § 44 Abs. 1 BDSG zentral zu der Abgrenzung des strafbaren vom nur ordnungswidrigem Unrecht dienen. Die weiteren Möglichkeiten zu der Ahndung der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nach dem BDSG werden anschließend im Überblick dargestellt. Dabei wird auch ihre praktische Bedeutung erörtert. Im Zusammenhang mit der Frage nach einem möglichen Sanktionsdefizit ist es vor allem von Interesse, wie weit die unterschiedlichen Möglichkeiten gehen, das unbefugte Erheben, Verarbeiten und Nutzen von personenbezogenen Daten nach den Vorschriften des BDSG zu sanktionieren. Andererseits ist zu ermitteln, welche normativen Aspekte der praktischen Ausschöpfung der Sanktionsmöglichkeiten entgegenstehen und wie diese Hürden gegebenenfalls überwunden werden können. Im Zusammenhang mit dem Ordnungswidrigkeitenrecht liegt ein Augenmerk auf der Frage, ob die Datenschutzbehörden, die gleichzeitig als Aufsichtsbehörden und Bußgeldbehörden agieren, der Sanktionierung von Datenschutzverstößen durch Bußgelder aufgrund ihrer Organisation und Funktion in angemessener Weise nachgehen können. Im Zusammenhang mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen ist zu klären, inwieweit diese als Sanktionsinstrumente eingesetzt werden und einen Beitrag zu der Befolgung der Verhaltensnormen des Gesetzes leisten können. Bei der Untersuchung der Schadensersatzansprüche wegen eines unbefugten Umgangs mit personenbezogenen Daten ist es von besonderem Interesse, unter welchen Voraussetzungen ein Ersatz immaterieller Schäden möglich ist. Der vierte und letzte Teil der Arbeit untersucht, wie das Strafrecht perspektivisch zum Schutz der informationellen Selbstbestimmung eingesetzt werden könnte. Auf der Grundlage der gewonnenen Erkenntnisse wird versucht, die zentralen Herausforderungen des Datenschutzstrafrechts herauszuarbeiten und die Frage zu beantworten, welche Rolle Strafnormen in dem bestehenden System der Sanktionierung von Datenschutzverstößen sinnvollerweise einnehmen könnten. Schließlich wird ein konkreter Ansatz zu der Lösung der zentralen Herausforderungen auf normativer Ebene anhand eines Regelungsvorschlages für eine zentrale Datenschutzstrafnorm im StGB erörtert.
1. Teil
Entwicklung des Datenschutzstrafrechts Um die Straftatbestände der Datenschutzgesetze als Kernbestand des geltenden Datenschutzstrafrechts umfassend untersuchen zu können, müssen ihre Entstehungsgeschichte sowie ihre Verortung im Gesamtsystem des strafrechtlichen Persönlichkeitsschutzes beleuchtet werden. Die §§ 43, 44 BDSG haben sich aus der Datenschutzgesetzgebung der 1970er-Jahre entwickelt und ihre heutigen Grundzüge im Rahmen der Novellierung des BDSG zu der Umsetzung der EG-Datenschutzrichtlinie1 im Jahre 2001 erhalten. Ihre Regelung ist jedoch vor dem Hintergrund einer wesentlich älteren Tradition strafrechtlichen Privat- und Geheimsphärenschutzes zu betrachten, die sich im deutschen Strafrecht insbesondere im laufenden 19. Jahrhundert entwickelt hat. Zudem ist es unerlässlich, neben der spezifisch strafrechtlichen Komponente des Datenschutzrechts auch die Entwicklung seiner allgemeinen Grundlagen in die Untersuchung mit einzubeziehen. Die einfachgesetzlichen und verfassungsrechtlichen Prinzipien des Datenschutzrechts sind der Nährboden seiner Strafvorschriften. Die §§ 43, 44 BDSG sind nur im Zusammenhang der rechtlichen Gesamtkonzeption des Datenschutzes zu verstehen. Zwar ist das Datenschutzrecht im heutigen Sinne erst in den 60er-Jahren des vergangenen Jahrhunderts entstanden, jedoch existierten bereits zuvor rechtliche Regelungen, die als frühe Formen und Vorläufer des Datenschutzes zu verstehen sind. Daher soll im Folgenden zwischen dem heutigen Datenschutzrecht im engeren Sinne und dem Datenschutzrecht im weiteren Sinne, das auch seine Vorläuferkonzeptionen umfasst, unterschieden werden.2
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz Das heutige Datenschutzrecht ist im 20. Jahrhundert aus der Tradition der Rechte auf Schutz der Geheim- und Privatsphäre entstanden, die sich in der Neuzeit entwickelten.3 Es ist charakteristisch für das Datenschutzrecht, dass es einen Schutz vor dem Umgang mit sämtlichen Daten bietet, die einen Personenbezug aufweisen und darüber hinaus keine Zuordnung zu einer bestimmten Sphäre erforderlich ist.4 Zwar wurde der Gedanke, dass 1 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG 1995 Nr. L 281, S. 31. 2 Ähnlich differenziert Tinnefeld, 2012, S. 67; vgl. auch v. Lewinski, Matrix, S. 17 ff. 3 v. Lewinski, in: 48. Assistententagung ÖR, S. 196, 211 f.; vgl. auch R. Herzog/Rothert, in: Evangelisches Staatslexikon, S. XXI, XXIII. 4 Vgl. § 3 Abs. 1 BDSG; näher zu den personenbezogenen Daten als Schutzgegenstand des Datenschutzrechts unten Dritter Teil § 9 I.
26
1. Teil: Entwicklung des Datenschutzstrafrechts
persönliche Informationen im Sinne eines umfassenden Datenschutzrechts zu schützen seien, bereits Mitte des 19. Jahrhunderts geäußert, eine rechtliche Umsetzung fand jedoch nicht statt.5 Der Schwerpunkt der Untersuchung im folgenden Abschnitt liegt auf der Entwicklung der strafrechtlichen Komponente des Privat- und Geheimsphärenschutzes, die in der Regelung der heutigen §§ 201 ff. StGB mündete.
I. Vorläufer des Datenschutzrechts Vorläufer des Datenschutzrechts lassen sich bis in die Antike zurückverfolgen.6 Beispielhaft seien hier der im 5. Jahrhundert v. Chr. entstandene hippokratische Eid7 als Grundlage der ärztlichen Schweigepflicht und das Verbot des Römischen Rechts, hinterlegte Testamente bekanntzugeben,8 genannt. Aus den antiken Frühformen des Datenschutzes lassen sich zwar gewisse Rückschlüsse auf die allgemeine Bedeutung von Privatsphäre und informationeller Selbstbestimmung für die Menschheit schließen, nicht aber auf die heutigen Regelungen des Datenschutzrechts, da es diesbezüglich an einer durchgängigen Entwicklungslinie fehlt.9 Der das Datenschutz kennzeichnende Individualschutz spielte bei diesen Frühformen zudem lediglich eine Nebenrolle.10 Der Ursprung des heutigen Datenschutzrechts liegt in der Neuzeit. In dieser Epoche entwickelten sich die Rechte auf Geheim- und Privatsphäre, die heute als Bestandteile des allgemeinen Persönlichkeitsrechts anerkannt sind.11 Das Recht auf Geheimsphäre schützt persönliche Informationen, wenn sie bestimmten gesetzlichen oder sonstigen Geheimhaltungspflichten unterfallen. Das Recht auf Privatsphäre gewährleistet den Schutz von Informationen, die einem bestimmten schutzwürdigen persönlichen Bereich zuzuordnen sind.12 Auch der Gedanke, dass es geboten sein könnte, personenbezogene Informationen jeglicher Art im Sinne eines umfassenden Datenschutzrechts einem rechtlichen Schutz zu unterstellen, klang bereits in der Mitte des 19 Jahrhunderts in von Mohls staatswissenschaftlichen Ausführungen zur Bevölkerungsstatistik an,13 wurde aber nicht entschieden weiterverfolgt oder rechtlich umgesetzt.14 Die Wurzeln des Privatsphärenschutzes und damit der „Zeugungsakt des modernen Datenschutzrechts“15 werden überwiegend im laufenden 18. Jahrhundert ver-
5
Geiger, NVwZ 1994, S. 662, 663 f. Zu frühen Formen der Datenverarbeitung in der Antike Dworatschek, S. 21 ff.; König, S. 5 f. m. w. N. 7 v. Lewinski, in: Schmidt/Weichert, S. 23, 24; Vogt, in: FS Kirchner 1985, S. 385. 8 Austermühle, S. 67; Friedlaender, ZStW 16 (1896), S. 756, 757. 9 v. Lewinski, in: 48. Assistententagung ÖR, S. 196, 199. 10 Vogt, in: FS Kirchner 1985, S. 385, 391. 11 Näher dazu unten Zweiter Teil § 5 III. 2.; zum Recht auf Geheimsphäre als Vorgänger des Rechtes auf Privatsphäre Austermühle, S. 21. 12 Vgl. nur Hubmann, JZ 1957, S. 521, 524; Schünemann, ZStW 90 (1978), S. 11. 13 v. Mohl, S. 420 f.; zum Geheimnisschutz bei v. Mohl vgl. Austermühle, S. 83. 14 Geiger, NVwZ 1994, S. 662, 663 f. 15 v. Lewinski, Datenschutzrecht, S. 1. 6
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
27
ortet.16 Während der Bürokratie als Herrschaftsmittel bereits seit dem Ende des Mittelalters eine wachsende Bedeutung zukam,17 wurde die Sammlung und Systematisierung von Informationen sowie deren Verarbeitung in staatlichen Akten im Laufe des 18. Jahrhunderts noch wichtiger.18 Mit der Sammlung von Informationen über die Bürger durch den Staat, die ihm im Ausgangspunkt in einem sehr weiten Maße erlaubt war, nahm auch das Bedürfnis der Allgemeinheit zu, persönliche Informationen zu schützen.19 Die damaligen staatsrechtlichen Lehren ermöglichten die Entwicklung von Rechtspositionen, die diesem Schutzbedürfnis entsprachen. Aus den Lehren der Aufklärung folgte das Verständnis von Persönlichkeitsrechten als Abwehrrechten.20 Schon die Staatsrechtslehre des 19. Jahrhunderts kannte ein unbestimmtes Recht auf Geheimhaltung der persönlichen Individualität.21 Ein umfassender Persönlichkeits- und Privatsphärenschutz durch das heute grundrechtlich gewährleistete allgemeine Persönlichkeitsrecht als Fundament des Privatsphären- und Datenschutzes entwickelte sich jedoch erst später. Im Zuge dieser Entwicklung entstanden Grundsätze wie das Post- und Briefgeheimnis,22 das Steuergeheimnis23 sowie bestimmte strafprozessuale Regelungen als Ausprägungen eines frühen Geheim- und Privatsphärenschutzes.24 Der Schutz von Geheimnissen sollte zu dieser Zeit vor allem durch die Verpflichtung von Amtsträgern und Berufsträgern zur Verschwiegenheit erreicht werden. So lässt sich vor allem die Pflicht zur Amtsverschwiegenheit als Vorläuferkonzeption des Datenschutzes verstehen.25 Ein prägender Zeitraum für die Weiterentwicklung der Persönlichkeitsrechte hin zum modernen Datenschutzrecht war das späte 19. Jahrhundert. In diesem Zeitraum setzten sich technische Entwicklungen durch, die mit Risiken für Persönlichkeitsrechte verbunden waren, die einer rechtlichen Handhabe bedurften.26 Mit Beginn und im Laufe des 20. Jahrhunderts nahm die Informationsverarbeitung durch staatliche und private Stellen auf Grundlage der neuen Techniken weiter zu.27 Schließlich fand die EDV Einzug in die Verwaltung.28 In der Besoldungsstelle der Bundesfinanzverwaltung wurden im Jahre 1956 erstmals massenhaft Zahlungen mit Hilfe von 16 Austermühle, S. 21, 69; v. Lewinski, Datenschutzrecht, S. 1; anders Geiger, NVwZ 1994, S. 662, 662 f., der vom Privatsphären- und Geheimnisschutz keinen direkten Weg „zu dem erweiterten Verständnis der Schutzwürdigkeit grundsätzlich aller persönlicher Daten“ sieht. 17 v. Lewinski, in: 48. Assistententagung ÖR, S. 196, 202 f. m. w. N. 18 v. Lewinski, Datenschutzrecht, S. 1; vgl. auch Sturm, ZfaS BBB 2012, S. 48, 50. 19 Austermühle, S. 28 ff.; v. Lewinski, in: 48. Assistententagung ÖR, S. 196, 206. 20 v. Lewinski, in: Schmidt/Weichert, S. 23, 25. 21 Ahrens, S. 223 ff.; Austermühle, S. 169, 191. 22 Austermühle, S. 60; Friedlaender, ZStW 16 (1896), S. 756, 757 ff.; zum Briefgeheimnis in der Verfassungsgebung des frühen 19. Jahrhunderts v. Lewinski, DuD 2003, S. 61. 23 v. Lewinski, in: Schmidt/Weichert, S. 23, 25. 24 Obgleich das damalige Strafprozessrecht insgesamt wenig Schutz für Individualrechte bot; vgl. dazu Austermühle, S. 49 ff., 70, 190. 25 v. Lewinski, in: 48. Assistententagung ÖR, S. 196, 208 f.; v. Rienen, S. 290 f. 26 So etwa die Lochkartenmaschine Holleriths als automatische Datenverarbeitungsanlage, moderne Handkameras und die Linotype-Setzmaschine; vgl. Bendrath, k@g 2007, S. 1 f.; König, S. 9. 27 König, S. 9 f.; zur Verarbeitung personenbezogener Daten in der Zeit des Nationalsozialismus und in der DDR v. Lewinski, in: Schmidt/Weichert, S. 23, 27 ff. 28 Zu der Entwicklung der EDV in der westlichen Welt seit dem zweiten Weltkrieg als historische Rahmenbedingung der Datenschutzgesetzgebung Liedtke, S. 69 ff.
28
1. Teil: Entwicklung des Datenschutzstrafrechts
Lochkartenmaschinen bearbeitet.29 In der Folgezeit kam es zu einer „sprunghaften Expansion des Einsatzes von EDV-Anlagen in der Bundesrepublik Deutschland“.30 In der Diskussion um die juristische Einordnung der in diesem Zusammenhang neu auftretenden Sachverhalte etablierte sich in der Folge der Begriff des Datenschutzes31 und die Schaffung spezifischer gesetzlicher Regelungen wurde in Angriff genommen. An dieser Stelle beginnt die Geschichte des Datenschutzrechts im engeren Sinne.
II. Kernstrafrechtlicher Geheim- und Privatsphärenschutz Schon die frühe Entwicklung von Geheim- und Privatsphärenschutz war eng mit dem Strafrecht verbunden. Dies schlug sich im 19. Jahrhundert in dem Erlass von Strafvorschriften nieder, von denen sich teilweise direkte Entwicklungslinien zu den Vorschriften des heutigen StGB zum Schutz der Privatsphäre ziehen lassen.32 Um die Entwicklung und heutige Ausgestaltung der Straftatbestände der Datenschutzgesetze auch vor dem Hintergrund des kernstrafrechtlichen Geheim- und Privatsphärenschutzes untersuchen zu können, soll im Folgenden dessen Entwicklung bis zu der heutigen Regelung der §§ 201 ff. im fünfzehnten Abschnitt des StGB in Grundrissen nachvollzogen werden.33 Des Weiteren soll in diesem Zusammenhang auf einen Straftatbestand zum Schutz der Privatsphäre eingegangen werden, der zwar nie zu geltendem Recht wurde, jedoch als mögliches umfassendes Delikt zum Schutz der Privatsphäre ausführlich diskutiert wurde. Die Geschichte des allgemeinen Indiskretionsdelikts, wie es etwa in § 182 des StGB-E 1962 vorgeschlagen wurde, lässt diverse Rückschlüsse auf die Diskussion um die Ausgestaltung des Datenschutzstrafrechts zu. Schließlich ist eine jüngere Idee zu der Weiterentwicklung des kernstrafrechtlichen Geheim- und Privatsphärenschutzes zu betrachten: Der Straftatbestand der Datenhehlerei, der aktuell Gegenstand eines Gesetzgebungsverfahrens ist und unter anderem auf den Schutz der informationellen Selbstbestimmung zielt. 1. Geschichte der Geheim- und Privatsphärendelikte Die für die heutigen Regelungen des StGB ausschlaggebende Entwicklung zu einem eigenständigen strafrechtlichen Geheim- und Privatsphärenschutz vollzog sich im 18. und 19. Jahrhundert. In der Mitte des 19. Jahrhunderts entstanden delicta sui generis zum Schutz der Geheimsphäre.34 Zuvor war die Verletzung von Geheimnissen – soweit sie als strafbar angesehen wurde – nach den römisch-rechtlichen Konzeptionen des „Falsum“
29 Zweiter Bericht der Bundesregierung über die Anwendung der elektronischen Datenverarbeitung in der Bundesverwaltung vom 17. April 1970, BT-Drs. VI/648, S. 7; vgl. auch Liedtke, S. 90; v. Rienen, S. 221. 30 BT-Drs. VI/648, S. 5. 31 Vgl. zum Ursprung des Begriffes v. Lewinski, Matrix, S. 3 f. 32 Vgl. Austermühle, S. 158 f.; Peglau, S. 33 f. 33 Weitere kernstrafrechtliche Vorschriften, die die Privat- und Geheimsphäre direkt oder indirekt schützen, sollen hier außen vor bleiben. 34 Rogall, NStZ 1983, S. 1, 2.
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
29
und der „Injurie“ behandelt worden.35 Während das „Falsum“ als allgemeines Fälschungsdelikt zum Schutze der Wahrheit den Ursprung der Tatbestände von Betrug und Urkundenfälschung darstellt,36 war die „Injurie“ ein Delikt, das vor allem37 die Ehre und den guten Namen schützte.38 In den frühen Tagen des Geheimsphärenschutzes spielte das Strafrecht insbesondere bei der Verletzung von Amtsverschwiegenheitspflichten eine Rolle. Amtsstraftatbestände zum Schutz von Geheimhaltungsinteressen wurden schon im 18. Jahrhundert eingeführt.39 Sie lassen sich als Vorreiter des allgemeinen strafrechtlichen Geheimnis- und Privatsphärenschutzes verstehen.40 Als einer der frühsten im weitesten Sinne datenschutzrechtlichen Straftatbestände im deutschen Recht kann man § 4 des 8. Kapitels der Preußischen Postordnung vom 10. August 1712 verstehen. Die Vorschrift enthielt eine Strafandrohung für die Handlungen der „Vorenthaltung oder auch der Unterschlag- und Erbrechung der Briefe“ durch einen „Postbedienten“. Als eine der ersten Vorschriften regelte sie die Verletzung des Postgeheimnisses als eigenständiges Amtsträgerdelikt,41 während dieses zuvor als allgemeines Fälschungsdelikt nach der Konzeption des „Falsum“ behandelt worden war.42 Der Schluss, dass die Vorschrift als frühes Datenschutzdelikt auch vor dem unbefugten Umgang mit personenbezogenen Daten schütze, ist zwar möglich, aber nicht zwingend. Es ist fraglich, inwieweit die frühen Amtsdelikte zur Verletzung des Postgeheimnisses einen Schutz von individuellen Geheimhaltungsinteressen intendierten. Während die heutigen Vorschriften § 206 StGB43 zur Verletzung des Post- oder Fernmeldegeheimnisses sowie § 203 Abs. 2 StGB zur Verletzung des Amtsgeheimnisses eine solche Schutzrichtung schon aufgrund ihrer gesetzlichen Einordnung und Begründung besitzen,44 ist dies hinsichtlich der frühen Postbeamtendelikte nicht vollkommen klar. Zunächst dienten die Vorschriften staatlichen Interessen wie der Funktionsfähigkeit des Postwesens. Darüber hinaus wird ihnen teilweise auch ein Schutz von individuellen Geheimhaltungsinteressen zugeschrieben.45 Zwar dürfte es dem Schutz von personenbezo35
Austermühle, S. 166; Rogall, NStZ 1983, S. 1, 2. MK-StGB/Erb, 2. Aufl., Vor §§ 267 ff. Rn. 1; v. Wächter, S. 203 ff. 37 Die „acto iniuriarum“ des römischen Rechts diente nicht nur dem Ehrenschutz, sondern dem Schutz der Persönlichkeit im Allgemeinen. Sie wurde jedoch in Deutschland zunächst hauptsächlich als Ehrschutzdelikt verstanden; vgl. Rogall, in: FS Hirsch 1999, S. 665, 673 f. m. w. N. 38 v. Wächter, S. 75 ff. 39 Austermühle, S. 22; v. Rienen, S. 42 ff. 40 Austermühle, S. 59. Eine Fortsetzung dieser Entwicklung erfolgte durch die Verabschiedung der Ordnungswidrigkeitentatbestände der ersten Datenschutzgesetze auf Landesebene als Amtsdelikte sowie des § 203 Abs. 2 S. 2 StGB in den 1970er-Jahren; näher dazu unten 2. b) und § 3 II. 2.; vgl. auch v. Lewinski, in: 48. Assistententagung ÖR, S. 196, 210 f. 41 Mit weiteren Beispielen früher Strafvorschriften zur Verletzung von Amtsverschwiegenheitspflichten v. Rienen, S. 42 ff. 42 Austermühle, S. 60 f.; Friedlaender, ZStW 16 (1896), S. 756, 768. 43 Insbesondere dessen Abs. 2. 44 Entwurf eines Einführungsgesetzes zum Strafgesetzbuch vom 11. Mai 1973, BT-Drs. 7/550, S. 235; NK/Kargl, § 206 Rn. 2. Ob und inwieweit die §§ 201 ff. StGB auch kollektive Rechtsgüter schützen ist jedoch weiterhin umstritten; vgl. NK/Kargl, Vor §§ 201 ff. Rn. 6 ff. m. w. N.; Peglau, S. 34. 45 Austermühle, S. 61. 36
30
1. Teil: Entwicklung des Datenschutzstrafrechts
genen Informationen grundsätzlich zu Gute gekommen sein, dass etwa das unbefugte Öffnen von Briefen durch Postbeamte mit Strafe bewehrt wurde. Jedoch liegt kein eindeutiger Anhaltspunkt dafür vor, dass dies auch intendiert gewesen ist, weshalb es sich auch lediglich um einen „akzessorischen Schutzreflex zugunsten Informationsinteressen Privater“46 handeln könnte. Zu einer Ausweitung der Regelungen des frühen strafrechtlichen Geheimsphärenschutzes kam es vor allem durch die Regelungen des Allgemeinen Landrechts für die Preußischen Staaten von 1794 (ALR).47 Die Strafbarkeit für die Verletzung von Amtsgeheimnissen wurde erheblich erweitert.48 Zudem wurde die Verletzung des Briefgeheimnisses durch Privatpersonen erstmals selbstständig mit Strafe bedroht.49 Im Laufe des 19. Jahrhunderts setzte sich in weiteren Strafrechtskodifikationen die Tendenz fort, die Verletzung der Privat- oder Geheimsphäre durch Privatpersonen mit Strafe zu bedrohen.50 Während die Strafbarkeit dabei zunächst überwiegend vom Vorliegen von Merkmalen wie einer (Vermögens-)Schädigungsabsicht oder Vorteilverschaffungsabsicht abhing, wurde die Strafbarkeit der Geheimsphärenverletzungen in Kodifikationen aus der Mitte des 19. Jahrhunderts erstmals von diesen Merkmalen gelöst.51 So entstand zu dieser Zeit in verschiedenen Strafgesetzen eine eigene Art von Delikten zum Schutz von Privatgeheimnissen.52 Auch die Strafrechtswissenschaft erkannte die Verletzung von Geheimnissen als eigene Deliktsform an.53 Die entstandenen Vorschriften bilden einen entscheidenden Schritt hin zu dem Privatsphärenschutz des heutigen StGB. Zum Teil lässt sich die Genese der Normen von den damaligen Vorschriften über das RStGB bis heute nachvollziehen.54 Interessant ist darüber hinaus, dass in verschiedenen strafrechtlichen Regelungen zum Schutz des Berufsgeheimnisses im 19. Jahrhundert nicht nur die Offenbarung von Geheimnissen, sondern auch von persönlichen Informationen im Allgemeinen mit Strafe bedroht wurde.55 Diese Konzeption wurde aber nur in wenigen Regelungen übernommen. Die betreffenden Vorschriften gerieten unter anderem aufgrund ihrer tatbestandlichen Unbestimmtheit in die Kritik.56
46
v. Lewinski, in: 48. Assistententagung ÖR, S. 196, 209 f. Austermühle, S. 64. 48 Vgl. v. Rienen, S. 67 ff., der in den Regelungen des ALR zudem erstmals eine Sonderstellung der Amtsdelikte im Sinne eines Standesstrafrechts sieht. 49 Friedlaender, ZStW 16 (1896), S. 756, 769. Dabei sollte jedoch primär der Schutz des Vermögens bezweckt werden; vgl. Austermühle, S. 59 ff. 50 Austermühle, S. 155. 51 Etwa in den §§ 541, 545 des 37. Titels des StGB Baden 1845. 52 Mit Beispielen Austermühle, S. 158 f.; Friedlaender, ZStW 16 (1896), S. 756, 770; Rogall, NStZ 1983, S. 1, 2. 53 von Feuerbach, S. 469 f.; vgl. auch NK/Kargl, Vor §§ 201 ff. Rn. 2. 54 Austermühle, S. 158 f.; Peglau, S. 33 f. 55 v. Rienen, S. 116, 239; Rogall, NStZ 1983, S. 1, 2. 56 Rogall, NStZ 1983, S. 1, 2. 47
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
31
Das RStGB vom 15. Mai 187157 regelte die Verletzung des Briefgeheimnisses58 sowie die Verletzung von Berufsgeheimnissen59 als eigenständige Straftatbestände im fünfundzwanzigsten Abschnitt „Strafbarer Eigennutz und Verletzung fremder Geheimnisse“. Im Dezember 1967 wurde in § 298 StGB ein Straftatbestand zur Verletzung der Vertraulichkeit des Wortes aufgenommen.60 2. Heutige Regelung auf Grundlage des StGB-E 1962 Die heutigen Regelungen zum Schutz der Geheim und Privatsphäre in den §§ 201 ff. StGB beruhen maßgeblich auf dem Entwurf eines Strafgesetzbuches vom 4. Oktober 1962 (StGB-E 1962).61 a) Allgemeines Die Straftatbestände der §§ 298 ff. StGB wurden mit Inkrafttreten des EGStGB62 auf Grundlage des StGB-E 1962 am 1. Januar 1975 in die §§ 201 ff. im fünfzehnten Abschnitt des BT des StGB in erweiterter Form übernommen. Dabei wurden sie um den Strafbestand des § 204 StGB zur Verwertung fremder Geheimnisse sowie das allgemeine Strafantragserfordernis des § 205 StGB ergänzt.63 Erhebliche Neuerungen ergaben sich bei der Regelung des § 203 StGB, der an die Stelle des § 300 RStGB zur Verletzung von bestimmten Berufsträgern anvertrauten Privatgeheimnissen trat. In § 203 Abs. 2 S. 1 StGB wurde erstmals in der Geschichte des StGB die Verletzung der Amtsverschwiegenheitspflicht durch das Offenbaren von Privatgeheimnissen umfassend unter Strafe gestellt.64 Mit § 203 Abs. 2 S. 2 StGB erfolgte eine Erweiterung des Schutzbereiches über die persönliche Geheimsphäre hinaus.65 Dabei wurden die Vorschriften zur Verletzung des persönlichen Lebens- und Geheimbereichs mit dieser Reform erstmals in einem eigenen Abschnitt zusammengefasst und fanden so ihre bis heute fortbestehende systematische Stellung im Gesetz.In der folgen-
57
RGBl. 1871, S. 127. § 299 RStGB. 59 § 300 RStGB. 60 Heute geregelt in § 201 StGB; vgl. dazu Peglau, S. 31 ff. 61 BT-Drs. IV/650. 62 BGBl. 1974 I, S. 469. 63 LK/Schünemann, 12. Aufl., Vor § 201 Rn. 1. 64 Rogall, NStZ 1983, S. 1, 7. Näher zu der Vorgeschichte dieser Erweiterung v. Rienen, S. 150 ff., 164 ff., 201 ff. Schon zuvor war der Tatbestand des § 353b StGB als allgemeine strafrechtliche Vorschrift zur Amtsverschwiegenheit eingeführt worden. Allerdings setzt dieser eine Gefährdung öffentlicher Interessen voraus, weshalb er für den individuellen Schutz von Geheim- und Privatsphäre bzw. der informationellen Selbstbestimmung wenig effektiv und relevant ist; vgl. BT-Drs. 7/550, S. 240. 65 Dazu näher unten b). 58
32
1. Teil: Entwicklung des Datenschutzstrafrechts
den Zeit wurde der Tatbestandskatalog der §§ 201 ff. StGB vor allem aufgrund technologischer Fortschritte66 laufend ergänzt.67 Grob umrissen stellen die §§ 201 ff. StGB vor allem das Eindringen in den Privatund Geheimbereich, die Beschaffung von Informationen aus diesem sowie die Weitergabe dieser Informationen unter Strafe. Kennzeichnend für die strafbare Beschaffung von Informationen ist, dass diese durch Überwindung von gewissen Hindernissen erfolgt.68 Eine strafbare Weitergabe setzt typischerweise voraus, dass eine Information auf strafbare Weise beschafft worden ist69 oder der Täter bestimmte persönliche Eigenschaften aufweist, die etwa eine Vertrauensstellung begründen. Die Beschaffung und Weitergabe der Informationen hat grundsätzlich unbefugt zu erfolgen. Mit der Einfügung dieses umfassenden Merkmals hat der Gesetzgeber bewusst darauf verzichtet, den Bereich straflosen Handelns genauer zu präzisieren.70 Ebenso wurde offengelassen, ob bei einem befugten Handeln bereits die Tatbestandsmäßigkeit entfallen oder erst die Rechtswidrigkeit ausgeschlossen sein soll.71 Dementsprechend werden sowohl hinsichtlich der Reichweite72 als auch hinsichtlich der dogmatischen Einordnung73 des Merkmals unterschiedliche Auffassungen vertreten. Unabhängig von der unterschiedlichen Beurteilung des Merkmals im Detail steht fest, dass das umfassende Kriterium des unbefugten Handelns nicht dazu dienen kann, Defizite in der tatbestandlichen Umschreibung der Strafbarkeit zu kompensieren.74 Im Zusammenhang mit weit gefassten Tatbeständen können so Probleme bezüglich der Anforderungen an die Bestimmtheit gemäß Art. 103 Abs. 2 GG auftreten.75
66
LK/Schünemann, 12. Aufl., Vor § 201 Rn. 1 m. w. N. Im Jahr 1986 wurde die Vorschrift § 202a StGB zum Ausspähen von Daten hinzugefügt. 1997 ergänzte man aufgrund der Neuregulierung des Post- und Fernmeldewesens mit § 206 StGB einen Tatbestand zur Verletzung des Post- oder Fernmeldegeheimnisses, der an die Stelle des Amtsträgerdeliktes des § 354 StGB a. F. trat. Im Jahr 2004 folgte mit § 201a ein Tatbestand für die Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen, der zuletzt durch das Neunundvierzigste Gesetz zur Änderung des Strafgesetzbuches – Umsetzung europäischer Vorgaben zum Sexualstrafrecht vom 21. Januar 2015 (BGBl. I, S. 10) neugefasst und erweitert wurde. Die letzte Einführung neuer Tatbestände erfolgte im Jahr 2007 mit den § 202b (Abfangen von Daten) und § 202c (Vorbereiten des Ausspähens und Abfangens von Daten). 68 LK/Schünemann, 12. Aufl., Vor § 201 Rn. 6. Eine Sonderstellung nimmt § 202c StGB ein, der als abstraktes Gefährdungsdelikt Vorbereitungshandlungen erfasst. 69 So etwa § 201 Abs. 1 Nr. 2 StGB. 70 BT-Drs. 7/550, S. 236. 71 BT-Drs. 7/550, S. 236. 72 Vgl. dazu NK/Kargl, Vor §§ 201 ff. Rn. 10 m. w. N. 73 Für die ausschließliche Zuordnung zur Rechtswidrigkeit NK/Kargl, Vor §§ 201 ff. Rn. 13 f.; Lackner/Kühl, Vor § 201 Rn. 2; für die Annahme einer Doppelfunktion OLG Köln NJW 1962, S. 686 ff. (in Bezug auf dem damals geltenden § 300 StGB); Schönke/Schröder/Lenckner/Eisele, § 201 Rn. 13. 74 Zur Herbeiführung von Rechtsunsicherheit durch das Merkmal „unbefugt“ v. Rienen, S. 215. 75 Diese Problematik betrifft insbesondere § 203 Abs. 2 S. 2 StGB sowie die §§ 43, 44 BDSG; dazu näher unten Dritter Teil § 10 V. 2. c). 67
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
33
b) § 203 Abs. 2 S. 2 StGB als Datenschutzdelikt Unter den §§ 201 ff. StGB ist für die Untersuchung § 203 Abs. 2 S. 2 StGB von besonderem Interesse. Die Regelung steht den Straftatbeständen der Datenschutzgesetze sowohl inhaltlich als auch regelungstechnisch nahe und wird als „generalklauselartige strafrechtliche Datenschutzbestimmung“76 verstanden. § 203 Abs. 2 S. 2 StGB stellt die Offenbarung von „Einzelangaben über persönliche oder sachliche Verhältnisse eines anderen“ durch die in § 203 Abs. 2 S. 1 StGB genannten Personen unter Strafe, wenn die betreffenden Angaben für Aufgaben der öffentlichen Verwaltung erfasst worden sind. Darüber hinaus wird über den Verweis in § 204 Abs. 1 StGB auch die Verwertung der betreffenden Einzelangaben unter Strafe gestellt.77 Damit wurde über den Schutz von Geheimnissen hinaus ein weitergehender Schutz der Privatsphäre in § 203 StGB geregelt.78 aa) Entstehung § 203 Abs. 2 S. 2 StGB gilt seit dem Inkrafttreten des EGStGB am 1. Januar 1975. Zuvor war nur die Offenbarung von Geheimnissen nach der Vorgängervorschrift § 300 StGB durch das StGB mit Strafe bedroht gewesen. Der Gesetzgeber nahm in der Begründung zu § 203 Abs. 2 S. 2 StGB ausdrücklich Bezug auf die damaligen Strafvorschriften der Datenschutzgesetze79 sowie andere nebenstrafrechtlichen Regelungen.80 Er sah ein Bedürfnis gegeben, auch persönliche Einzelangaben, die nicht dem Geheimnisbegriff unterfallen, rechtlich weitergehend zu schützen, da die moderne Verwaltung diese Angaben in zunehmendem Maße erfasse, speichere und verarbeite, wodurch eine erhöhte Missbrauchsgefahr gegeben sei.81 Durch die Reform des StGB war eine abschließende strafrechtliche Regelung für die Verletzung der Privatsphäre durch Amtsträger und amtsnahe Personen im StGB intendiert.82 Bewusst ließ der Gesetzgeber aber offen, inwieweit § 203 Abs. 2 S. 2 „eine besondere Strafvorschrift für den Datenschutz [ . . . ] entbehrlich macht oder nicht“83 , da diese Frage nicht abschließend entschieden werden könne. Diesbezüglich wurde auf den Entwurf des damals noch nicht verabschiedeten BDSG verwiesen, in dessen Rahmen unter anderem zu prüfen sein sollte, ob auch eine datenschutzrechtliche Strafvorschrift mit Wirkung gegenüber Privatpersonen vonnöten sei.
76
Arzt/Weber/Heinrich/Hilgendorf/Hilgendorf , § 8 Rn. 24. Vgl. LK/Schünemann, 12. Aufl., Vor § 201 Rn. 3; R. Schmitz, JA 1996, S. 949, 950. Die Einschränkung des § 203 Abs. 2 S. 2 Hs. 2 StGB gilt diesbezüglich nicht. 78 BT-Drs. 7/550, S. 238. 79 Explizit genannt sind § 16 HDSG 1970, Art. 16 BayEDVG sowie die sich damals in der Entwurfsphase befindlichen Straftatbestände des BDSG. 80 BT-Drs. 7/550, S. 241 f. 81 BT-Drs. 7/550, S. 241 f. 82 Aus diesem Grund wurden die zu diesem Zeitpunkt in landesrechtlichen Datenschutzgesetzen bestehenden Strafvorschriften für nicht mehr anwendbar erklärt; vgl. BT-Drs. 7/550, S. 175 ff., 454. 83 BT-Drs. 7/550, S. 242. 77
34
1. Teil: Entwicklung des Datenschutzstrafrechts
bb) Tatbestand Der Begriff der Einzelangaben über persönliche oder sachliche Verhältnisse eines anderen in § 203 Abs. 2 S. 2 StGB ist großteils deckungsgleich mit dem der personenbezogenen Daten nach § 3 Abs. 1 BDSG.84 Ein Unterschied besteht darin, dass sich Einzelangaben i. S. d. § 203 Abs. 2 S. 2 StGB auch auf juristische Personen beziehen können.85 Eine zusätzliche Einschränkung des § 203 Abs. 2 S. 2 StGB gegenüber dem Anwendungsbereich des BDSG besteht darin, dass taugliches Tatobjekt nur Daten sein können, „die für Aufgaben der öffentlichen Verwaltung erfaßt worden sind“. Eine Erfassung setzt voraus, dass Angaben „zu dem Zweck festgehalten werden, eine Unterrichtung über die Verhältnisse des Betroffenen auch für später zu ermöglichen.“86 Ferner gilt die Voraussetzung unbefugten Handelns aus § 203 Abs. 2 S. 1 StGB. Im Rahmen des Tatbestandsmerkmals des Offenbarens87 in Abs. 2 S. 1 besteht das Erfordernis, dass die betreffenden Angaben nicht bereits offenkundig sind.88 Auch die „Mitteilung von Einzelangaben, an deren Geheimhaltung offensichtlich kein Interesse des Betroffenen besteht“89 soll nicht tatbestandsmäßig sein.90 Allerdings ist es nicht Voraussetzung, dass die Person, der die Daten zuzuordnen sind, ein berechtigtes Interesse daran nachweisen kann, dass ihre Daten nicht offenbart werden.91 Dies würde dem Schutzzweck der Vorschrift widersprechen, vor dem missbräuchlichen Umgang mit Informationen zu schützen, die gerade nicht unter den Geheimnisbegriff fallen.92 § 203 Abs. 2 S. 2 StGB wird seit jeher aufgrund seiner tatbestandlichen Weite kritisiert.93 Dem Tatbestand selbst fehle es an Profil.94 Dadurch finde die Prüfung, ob ein Verhalten nach der Vorschrift strafbar sei, schwerpunktmäßig unter dem Aspekt der Rechtswidrigkeit statt und hinge zu stark von anderen Regelungen ab.95 Eine ähnliche Kritik wird auch an den Straftatbeständen der Datenschutzgesetze geäußert, deren einzelne Tatbestandsvarianten teilweise noch weiter gefasst sind.96 Die sinnvolle und gleichzeitig hinreichend bestimmte Ausgestaltung seiner Tatbestände lässt sich damit bereits an dieser 84 Personenbezogene Daten sind demnach „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“; dazu näher unten Dritter Teil § 9 I. 85 Matt/Renzikowski/Altenhain, § 203 Rn. 24; Schönke/Schröder/Lenckner/Eisele, § 203 Rn. 47; SK/Hoyer, § 203 Rn. 28. 86 Schönke/Schröder/Lenckner/Eisele, § 203 Rn. 49; restriktiver SK/Hoyer, § 203 Rn. 30; kritisch zur Funktion des Merkmals der Erfassung und den genaueren Voraussetzungen LK/Schünemann, 12. Aufl., Vor § 201 Rn. 48, 51. 87 Worunter die Mitteilung einer Angabe an einen Dritten zu verstehen ist, der diese nicht oder jedenfalls nicht sicher kannte; vgl. NK/Kargl, § 203 Rn. 19 m. w. N. 88 BT-Drs. 7/550, S. 243; Schönke/Schröder/Lenckner/Eisele, § 203 Rn. 48. 89 BT-Drs. 7/550, S. 243. 90 So auch Matt/Renzikowski/Altenhain, § 203 Rn. 24. 91 SK/Hoyer, § 203 Rn. 29; SSW/Bosch, § 203 Rn. 9. 92 SSW/Bosch, § 203 Rn. 9. 93 LK/Schünemann, 12. Aufl., § 203 Rn. 48; v. Rienen, S. 218; SSW/Bosch, § 203 Rn. 9; Zielinski, in: Kilian/Lenk/Steinmüller, S. 129, 145. 94 Schünemann, ZStW 90 (1978), S. 11, 26. 95 v. Rienen, S. 218. 96 Dazu im Einzelnen unten Dritter Teil § 10 V. 2. c).
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
35
Stelle als Kernproblem des Datenschutzstrafrechts identifizieren. Aufgrund seines weit gefassten Schutzgutes besteht ein besonderer Bedarf nach tatbestandlicher Präzisierung.97 cc) Zwischenbehördliche Datenbekanntgabe Nach seinem zweiten Halbsatz ist § 203 Abs. 2 S. 2 StGB nicht anzuwenden98 und der Schutz der Einzelangaben greift nicht, wenn eine zwischenbehördliche Datenbekanntgabe vorliegt, die nicht gesetzlich untersagt ist.99 Problematisch ist, dass das aktuelle normative Konzept des Datenschutzrechts davon ausgeht, dass eine Verwendung von personenbezogenen Daten im Ausgangspunkt unzulässig ist.100 Es fragt sich, ob damit eine zwischenbehördliche Datenbekanntgabe nach § 203 Abs. 2 S. 2 Hs. 2 StGB grundsätzlich als gesetzlich untersagt im Sinne der Vorschrift anzusehen ist, wenn nicht eine Befugnis vorliegt.101 Dafür sprechen die verfassungsrechtlichen Vorgaben und das geltende einfachgesetzliche System des Datenschutzes. Im Volkszählungsurteil entschied das BVerfG, dass jede Verarbeitung personenbezogener Daten – und damit auch ihre Weitergabe – grundsätzlich einer gesetzlichen Erlaubnis bedarf.102 Dies betrifft auch die Übermittlung von Daten zwischen verschiedenen Stellen der öffentlichen Verwaltung. Dagegen spricht allerdings, dass § 203 Abs. 2 S. 2 StGB bereits vor dem Volkszählungsurteil auf der Grundlage eines inzwischen rechtlich überholten Verständnis des Datenschutzrechts geregelt wurde.103 Die Norm geht vom Regelfall der Zulässigkeit einer Datenbekanntgabe aus. So sollte § 203 Abs. 2 S. 2 StGB nach dem gesetzgeberischen Willen bei einer zwischenbehördlichen Datenbekanntgabe nur greifen, wenn ein spezifisches Verbot der Bekanntgabe entgegensteht. Würde man § 203 Abs. 2 S. 2 Hs. 2 StGB so auslegen, dass die Vorschrift nur einschlägig ist, wenn das Gesetz eine Datenbekanntgabe ausdrücklich zulässt, wäre das RegelAusnahme-Prinzip, von dem die Vorschrift ausgeht, verkehrt. Dies würde zu einer erheblichen Ausweitung der Strafbarkeit gegenüber der ursprünglichen Konzeption der Vorschrift führen, ohne dass eine klare gesetzliche Grundlage hierfür bestünde. Insofern bestehen zurecht Bedenken hinsichtlich einer solchen Interpretation im Zusammenhang mit dem strafrechtlichen Bestimmtheitsgebot.104 Sie ist daher im Ergebnis abzulehnen. Aufgrund des anachronistischen Datenschutzverständnisses, das ihm zugrunde liegt, wird von verschiedenen Stimmen die Streichung des gesamten § 203 Abs. 2 S. 2 StGB
97 Vgl. LK/Schünemann, 12. Aufl., Vor § 201 Rn. 4; dazu näher unten Zweiter Teil § 5 V und Vierter Teil § 15 III. 98 Unklar ist, ob es sich hierbei um einen Tatbestandsausschluss oder eine Offenbarungsbefugnis als Rechtfertigung handelt; vgl. MK-StGB/Cierniak/Pohlit, 2. Aufl., § 203 Rn. 101 m. w. N. 99 Bei der zwischenbehördlichen Datenweitergabe fehlt es nicht bereits am Merkmal des Offenbarens; NK/Kargl, § 203 Rn. 23. 100 Vgl. § 4 Abs. 1 BDSG. 101 So SK/Hoyer, § 203 Rn. 37; anders NK/Kargl, § 203 Rn. 25. 102 BVerfGE 65, S. 1, 41 ff.; näher dazu unten § 3 III. 1. 103 NK/Kargl, § 203 Rn. 25; Schönke/Schröder/Lenckner/Eisele, § 203 Rn. 51; SK/Hoyer, § 203 Rn. 28. 104 NK/Kargl, § 203 Rn. 25 m. w. N.
36
1. Teil: Entwicklung des Datenschutzstrafrechts
aus dem Gesetz gefordert.105 Dieser Forderung ist zuzustimmen. Grundsätzlich spricht zwar manches für die Regelung einer im engeren Sinne datenschutzrechtlichen Vorschrift im StGB.106 § 203 Abs. 2 S. 2 StGB vermag die Rolle eines allgemeinen kernstrafrechtlichen Datenschutzstraftatbestands allerdings nicht auszufüllen. Die Unklarheiten bei der Auslegung von § 203 Abs. 2 S. 2 Hs. 2 StGB stehen einer praktischen Anwendung des Tatbestandes entgegen. Zudem besteht eine Gefährdung von Persönlichkeitsrechten heute nicht vorrangig durch für Aufgaben der öffentlichen Verwaltung erhobene personenbezogene Daten, sondern zumindest ebenso durch die Tätigkeiten privater Unternehmen. Obwohl § 203 Abs. 2 S. 2 StGB geltendes Recht ist, ist die Vorschrift letztlich nur ein historischer Prototyp eines datenschutzrechtlichen Straftatbestandes. 3. Exkurs: Datenschutzstrafrecht der DDR Während in der Bundesrepublik Deutschland die Regelung eines Datenschutzstraftatbestandes im StGB nach dem § 203 Abs. 2 S. 2 StGB nicht mehr in Angriff genommen wurde, regelte die DDR ein Datenschutzdelikt in ihrem StGB. Mit dem 5. Strafrechtsänderungsgesetz vom 14. Dezember 1988107 wurde § 136a Abs. 1 („Verletzung der Rechte an persönlichen Daten“) in das StGB der DDR eingefügt.108 Von dem damals in der BRD geltenden Straftatbestand des § 41 BDSG 1977109 unterschied sich § 136a StGB-DDR unter anderem dadurch, dass er bereits die Erhebung von Daten und die Verschaffung des Zugangs zu diesen in das Spektrum strafbarer Verhaltensweisen mit einbezog. Von den mittlerweile geltenden §§ 43, 44 BDSG wird auch die Erhebung personenbezogener Daten, nicht aber die Verschaffung des Zugangs zu solchen erfasst.110 Es wurde zudem betont, dass eine Strafbarkeit nach § 136a Abs. 1 StGB-DDR keine Schädigungsabsicht voraussetze, da dies „der umfassenden Gewährleistung der Persönlichkeitsrechte ungenügend Rechnung tragen“111 würde. Insofern entsprach die Vorschrift 105 Lackner/Kühl, § 203 Rn. 15; Schönke/Schröder/Lenckner/Eisele, § 203 Rn. 51. Im Übrigen wurde die Regelung des § 203 Abs. 2 S. 2 Hs. 2 StGB auch schon kritisiert, bevor durch das Volkszählungsurteil des BVerfG die verfassungsrechtlichen Grenzen des Datenschutzrechts abgesteckt wurden. So wurde beanstandet, dass die Einschränkung des 2. Halbsatzes dem Schutz der persönlichen Einzelangaben nach § 203 Abs. 2 S. 2 StGB ihren gesamten Anwendungsbereich nehme und mit der gleichzeitigen Aufhebung diverser nebenstrafrechtlicher Vorschriften durch das EGStGB so im Ergebnis der strafrechtliche Schutz des Datenschutzes insgesamt geschwächt werde; vgl. v. Rienen, S. 214; Rissing-van Saan, S. 153 ff. 106 Dazu im Einzelnen unten Vierter Teil § 16 I. 107 GBl. DDR I, S. 335. 108 § 136a StGB-DDR lautete: „(1) Wer persönliche Daten entgegen den Festlegungen in Rechtsvorschriften oder ohne Einwilligung des betroffenen Bürgers erfaßt oder weitergibt oder wer sich oder anderen Zugang zu diesen verschafft, wird mit öffentlichem Tadel, Geldstrafe, Verurteilung auf Bewährung oder mit Freiheitsstrafe bis zu einem Jahr bestraft. (2) Daten im Sinne dieser Bestimmung und der §§ 161 b, 162, 166, 167, 180 a, 181, 241 a und 246 a sind elektronisch, magnetisch oder in sonstiger Weise übermittelte oder gespeicherte Informationen, die mittels elektronischer Datenverarbeitung bearbeitet werden.“ 109 Näher zu diesem unten § 3 II. 3. 110 Dazu unten Dritter Teil § 10 IV. 111 Hasse, Neue Justiz 1989, S. 97, 99.
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
37
dem damaligen § 41 Abs. 1 BDSG 1977. In den jetzigen §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ist ein Handeln mit Schädigungsabsicht, Bereicherungsabsicht oder gegen Entgelt allerdings Voraussetzung.112 Hoeren sah es als Vorzug des § 136a Abs. 1 StGB-DDR gegenüber § 41 BDSG 1977 an, dass dieser auf das Erfordernis eines Strafantrages verzichtete und im Kernstrafrecht verankert war.113 Seiner Meinung nach stellte die Regelung eine „Weiterentwicklung gegenüber dem bundesdeutschen Vorbild dar, die den Wunsch nach einer Novellierung und Überarbeitung der hiesigen Strafrechtsbestimmungen aufkommen läßt.“114 In der Tat sind die Absenkung des Antragserfordernisses und die Verankerung einer Datenschutznorm im Kernstrafrecht noch immer Regelungsmaßnahmen, die zur Bewältigung bestehender Herausforderungen des Datenschutzstrafrechts beitragen könnten.115 4. Das allgemeine Indiskretionsdelikt Vielfach wurde in der Geschichte der kernstrafrechtlichen Vorschriften zum Schutz der Privat- und Geheimsphäre darüber diskutiert, den Katalog der Straftatbestände zu erweitern.116 Besonders interessant ist für die vorliegende Untersuchung die Diskussion um die Einführung eines allgemeinen Indiskretionsdelikts, die schwerpunktmäßig von etwa 1909 bis in die 1970er-Jahre im Zusammenhang mit der Reform des StGB geführt wurde. Mit diesem Delikt sollte eine weite strafrechtliche Sanktionsmöglichkeit für bestimmte Fälle der Offenbarung117 von persönlichen Informationen eingeführt werden. Obwohl dieser Versuch bis jetzt scheiterte und das allgemeine Indiskretionsdelikt keinen Eingang in das Gesetz fand, lassen sich aus der Diskussion um seine Entwürfe Erkenntnisse für die Untersuchung der Straftatbestände der Datenschutzgesetze herleiten. Die Verwandtschaft ihrer Schutzrichtungen sowie ihre tatbestandliche Weite stellen gemeinsame Merkmale der Vorschriften dar, aus denen auch ähnliche Schwierigkeiten resultieren. Entwürfe eines allgemeinen Indiskretionsdelikts wurden unter diversen Tatbestandsbezeichnungen in zahlreichen Fassungen vorgelegt.118 Den Kern aller vorgeschlagenen Tatbestände bildet die Offenbarung von Informationen aus dem privaten Bereich einer anderen Person unter der Voraussetzung, dass die tatbestandliche Äußerung so getätigt wird, dass eine Vielzahl von Personen von ihr Kenntnis erlangen kann.119 Eine besondere Vertrauensstellung des Täters, wie bei § 203 StGB, sollte nicht Voraussetzung sein. In den Entwürfen sind zusätzlich unterschiedliche weitere Tatbestandsmerkmale enthalten. Gemeinsam ist mehreren Tatbestandsentwürfen, dass die Strafbarkeit unabhängig 112
Dazu unten Dritter Teil § 10 VI. Hoeren, CR 1989, S. 1109, 1110. 114 Hoeren, CR 1989, S. 1109, 1112; ähnlich Binder, S. 155. 115 Dazu näher unten Dritter Teil § 13 II. 1. a) und Vierter Teil § 16 I. und VII. 116 MK-StGB/Graf , 2. Aufl., Vor §§ 201 ff. Rn. 5; Rogall, in: FS Hirsch 1999, S. 665, 692. 117 Zum Begriff der bloßstellenden Offenbarung als Indiskretion im engeren Sinne Rogall, in: FS Hirsch 1999, S. 665, 671 f. 118 Unter anderem als „Öffentliche Erörterung fremder Privatangelegenheiten“ (StGB-E 1962) und „Öffentliche Bloßstellung“ (AE StGB). 119 Kritisch zu diesem Erfordernis Roeder, in: FS Maurach 1972, S. 347, 367 und Schmidt, ZStW 79 (1967), S. 741, 792, der darauf hinweist, dass eine Äußerung „Mund zu Mund“ für den Betroffenen ebenso weitreichende Folgen haben kann wie eine öffentliche Äußerung. 113
38
1. Teil: Entwicklung des Datenschutzstrafrechts
vom Wahrheitsgehalt der Information sein sollte und eine Strafbarkeit für die gleiche Handlung aufgrund eines Beleidigungsdeliktes ausschlossen sein sollte. Zudem wurde über verschiedene Kriterien eine gewisse Qualität der offenbarten Tatsachen für die Strafbarkeit gefordert: So sollten diese etwa „ehrrührig“ oder „bloßstellend“ sein.120 Unklar war von Beginn an, welches Rechtsgut das Delikt schützen sollte. Während erste Entwürfe des Indiskretionstatbestandes auf der Grundlage der üblen Nachrede als Ehrschutzdelikte entstanden, verstand man das allgemeine Indiskretionsdelikt in der Folge eher als ein Delikt zum Schutz der Privatsphäre121 und grenzte es von den Beleidigungstatbeständen ab. Letztlich entsteht der Eindruck, dass sich das allgemeine Indiskretionsdelikt im Laufe der Diskussion nie vollständig von den Ehrschutzdelikten hat freischwimmen können. a) Entwicklung der Tatbestandsentwürfe Im Folgenden werden einige ausgewählte Entwürfe eines allgemeinen Indiskretionstatbestandes untersucht.122 Die Forderung nach der Normierung eines allgemeinen Indiskretionsdelikts stammt aus dem ersten Jahrzehnt des 20. Jahrhunderts.123 Sie entsprang der Diskussion um die Frage, ob das Aufstellen bestimmter Behauptungen unter Ehrschutzaspekten unabhängig von der Wahrheit oder Unwahrheit dieser Behauptungen mit Strafe bedroht werden müsse.124 Im Rahmen der Reformbestrebungen um das damalige Strafgesetzbuch wurde bei der Schaffung des Vorentwurfes zu einem deutschen Strafgesetzbuch von 1909 (VE 1909) erstmals konkret über einen entsprechenden Tatbestand diskutiert,125 die Aufnahme eines solchen in den endgültigen Entwurf aber abgelehnt.126 Das allgemeine Indiskretionsdelikt sollte dabei zunächst einen Fall der üblen Nachrede bilden, bei dem der Wahrheitsbeweis bezüglich offenbarter privater Umstände ausgeschlossen sein sollte.127 Allerdings wurde im Zusammenhang mit dem VE 1909 auch der Vorschlag eingebracht, das Indiskretionsdelikt von den Äußerungsdelikten zu lösen und systematisch den Delikten zum Schutz von Privatgeheimnissen zuzuordnen.128 120 Dass die betroffenen Informationen Geheimnischarakter haben sollten, wurde grundsätzlich nicht gefordert; vgl. Schünemann, ZStW 90 (1978), S. 11, 14. Anders der Ansatz von Roeder, in: FS Maurach 1972, S. 347, 368. 121 Eine Differenzierung zwischen Schutz des Friedens der Intimsphäre und Privatheitsschutz trifft Rogall, in: FS Hirsch 1999, S. 665, 686 f., wobei er das allgemeine Indiskretionsdelikt dem Privatheitsschutz zuordnet. 122 Vgl. zum weiteren Überblick Roeder, in: FS Maurach 1972, S. 347, 361 f.; Peglau, S. 124. 123 Schmidt, ZStW 79 (1967), S. 741, 742. Maßgeblich zur Thematik in der damaligen Zeit Beling, S. 44 ff. 124 BT-Drs. IV/650, S. 328; näher zu den Ursprüngen der rechtspolitischen Diskussion Schünemann, ZStW 90 (1978), S. 11, 34. 125 VerhRT, Band 275 Anlage Nr. 392 S. 2069, 2080, 2110, abrufbar unter www. reichstagsprotokolle.de/Blatt_k12_bsb00003342_00536.html, zuletzt abgerufen am 1. Juni 2015. 126 VerhRT, Band 275 Anlage Nr. 392 S. 2069, 2081; vgl. dazu Schmidt, ZStW 79 (1967), S. 741, 743 ff. m. w. N. 127 Roeder, in: FS Maurach 1972, S. 347, 361 f. 128 VerhRT, Band 275 Anlage Nr. 392 S. 2069, 2110; Schmidt, ZStW 79 (1967), S. 741, 744 m. w. N. Zum Ursprung des Gedankens des Indiskretionsdelikts als Delikt sui generis bei Beling und anderen Roeder, in: FS Maurach 1972, S. 347, 363.
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
39
Das allgemeine Indiskretionsdelikt fand schließlich Eingang in den verbesserten Entwurf der Strafrechtskommission zum StGB aus dem Jahre 1913 (KE 1913), der auf dem VE 1909 beruhte.129 Hier wurde zunächst vorgeschlagen, dass der Tatbestand den Vorschriften über die Verletzung des Brief-, Berufs- und Privatgeheimnisses zugeordnet werden sollte.130 Schließlich wurde eine abgeänderte Variante dieses ersten Vorschlages als § 352 StGB KE 1913 in den endgültigen Kommissionsentwurf mit aufgenommen. Es handelte sich hierbei wohl um den ersten Entwurf eines selbstständigen Indiskretionstatbestands, der nicht lediglich eine begleitende Regelung zu den Ehrschutzdelikten darstellen sollte.131 Den Tatbestand sollte erfüllen, wer vorsätzlich „über Angelegenheiten des häuslichen oder Familienlebens eines anderen, die das öffentliche Interesse nicht berühren, eine ehrenrührige Tatsache öffentlich oder durch Verbreitung von Schriften, Abbildungen oder Darstellungen behauptet oder mitteilt.“132 Eine gleichzeitige Bestrafung wegen eines Beleidigungsdelikts sollte ausgeschlossen, der Wahrheitsbeweis über die streitige Behauptung unzulässig sein.133 Im weiteren Verlauf der Strafrechtsreform wurde es stiller um die Thematik des Indiskretionsdeliktes. In den Vorbereitungen des Entwurfes von 1927 fand das Indiskretionsdelikt zwar Erwähnung,134 wurde in der Endfassung aber nicht berücksichtigt.135 Ein „Comeback“ feierte das allgemeine Indiskretionsdelikt dann in dem für das später verabschiedete StGB maßgeblichen Entwurf des StGB aus dem Jahre 1962:136 Am Anfang des neu vorgesehenen Abschnitts für Verletzungen des persönlichen Lebens- und Geheimbereichs137 war mit § 182 StGB-E 1962 der Tatbestand der „öffentlichen Erörterung fremder Privatangelegenheiten“ vorgesehen. Bestraft werden sollte, „wer ohne verständigen Grund öffentlich, in einer Versammlung oder durch Verbreiten von Schriften (§ 11 Abs. 3) eine ehrenrührige Behauptung tatsächlicher Art über das Privat- oder Familienleben eines anderen, an deren Inhalt kein öffentliches Interesse besteht, aufstellt oder an einen Dritten gelangen läßt“. Der Wahrheitsbeweis wie auch die gleichzeitige Bestrafung wegen eines Beleidigungsdelikts sollten auch hier ausgeschlossen sein. Entsprechend der systematischen Stellung des Tatbestandes stellte die Begründung klar, dass dieser dem Schutz des persönlichen Lebens- und Geheimbereiches und nicht der Ehre des Betroffenen diene und von der Problematik der üblen Nachrede abzugrenzen sei.138 129 § 352 StGB KE 1913, abgedruckt bei Vormbaum/Rentrop, S. 273, 333. Zur Entstehung des Entwurfs der Vorschrift im Einzelnen Schmidt, ZStW 79 (1967), S. 741, 746 ff. 130 160. Sitzung der Strafrechtskommission vom 17. September 1912, abgedruckt bei W. Schubert, Protokolle, S. 166, 173 ff. 131 Rogall, in: FS Hirsch 1999, S. 665, 676. 132 § 352 Abs. 1 StGB KE 1913. 133 § 352 Abs. 2 S. 3 und S. 4, Abs. 3 StGB KE 1913; vgl. auch Roeder, in: FS Maurach 1972, S. 347, 361 f. 134 Protokoll der 96. Sitzung des 21. Ausschusses des Reichstags vom 4. Dezember 1929, S. 2, abgedruckt bei W. Schubert, Quellen, S. 158 ff.; Protokoll der 107. Sitzung, S. 6, abgedruckt bei W. Schubert, Quellen, S. 246 ff. 135 Vgl. Schmidt, ZStW 79 (1967), S. 741, 750. 136 BT-Drs. IV/650. 137 Später umgesetzt im 15. Abschnitt des Besonderen Teils des StGB. 138 BT-Drs. IV/650, S. 326.
40
1. Teil: Entwicklung des Datenschutzstrafrechts
Auch der Alternativ-Entwurf des StGB (AE StGB) beschäftigte sich auf der Grundlage des StGB-E 1962 im Jahr 1971 mit dem Indiskretionstatbestand und schlug in seinem § 145 eine eigene Fassung vor,139 die im Wesentlichen der Konzeption von Arzt140 folgte.141 Der Tatbestand der öffentlichen Bloßstellung sollte denjenigen mit Strafe bedrohen, der „einen anderen dadurch bloßstellt, dass er dessen höchstpersönlichen Lebensbereich, insbesondere dessen Familien- oder Sexualleben oder dessen Gesundheitszustand vor einer Menschenmenge oder durch Verbreitung von Schriften (§ 10 Abs. 2) erörtert“. Im späteren Gesetzesentwurf der Bundesregierung aus dem Jahre 1973142 war das allgemeine Indiskretionsdelikt nicht mehr vorgesehen. In der Begründung wurde darauf verwiesen, dass es umstritten sei, inwiefern die Einführung eines solchen Delikts geboten und wie es konkret tatbestandlich auszugestalten sei.143 Die Regelung sei nicht so dringlich, dass die arbeitsintensive genauere Auseinandersetzung mit diesen Fragen zum jetzigen Zeitpunkt zu erfolgen habe. So wurde die weitere Diskussion um die Einführung eines allgemeinen Indiskretionsdelikts bis auf Weiteres verschoben.144 Die Frage, ob ein allgemeines Indiskretionsdelikt in das StGB eingefügt werden sollte, wurde in jüngster Zeit deutlich weniger diskutiert als noch in den 1970er-Jahren.145 Allerdings gilt sie bis heute als nicht entschieden und wird weiterhin erörtert.146 b) Problemschwerpunkte Unter den zahlreichen Kritikpunkten, die in der Diskussion um das allgemeine Indiskretionsdelikt aufgetaucht sind, lassen sich drei besonders problematische Aspekte benennen, die nicht zufriedenstellend geklärt worden sind und wesentlich dazu beigetragen haben, dass die vorgeschlagenen Tatbestände keinen Eingang in das Gesetz gefunden haben: Erstens die Problematik der Unbestimmtheit des Tatbestandes, zweitens die dogmatische Einordnung und Abgrenzung der Vorschrift zu den Beleidigungsdelikten sowie drittens die Notwendigkeit des Indiskretionsdelikts und eines umfassenden Indiskretionsschutzes im Strafrecht insgesamt. Im Folgenden sollen diese Problemschwerpunkte kurz untersucht werden. Vor allem die Fragen nach Bestimmtheit und Notwendigkeit lassen dabei Rückschlüsse für die Untersuchung der Straftatbestände der Datenschutzgesetze zu. Diese beiden Aspekte gehören in ihrer Verbindung zu der Herausforderung des strafrechtlichen Indiskretions- und Datenschutzes.147
139
AE StGB, S. 29 ff. Arzt, S. 287 ff. 141 Vgl. Schünemann, ZStW 90 (1978), S. 11, 36 f. 142 BT-Drs. 7/550. 143 BT-Drs. 7/550, S. 235. 144 BT-Drs. 7/550, S. 236. 145 Rogall, in: FS Hirsch 1999, S. 665, 669. 146 Vgl. nur MK-StGB/Graf , 2. Aufl., Vor §§ 201 ff. Rn. 5; Arzt/Weber/Heinrich/Hilgendorf/ Hilgendorf , § 8 Rn. 24; NK/Kargl, Vor §§ 201 ff. Rn. 17. 147 Vgl. Roeder, in: FS Maurach 1972, S. 347, 364; näher dazu unten Vierter Teil § 15. 140
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
41
aa) Unbestimmtheit Schon bei der Ablehnung eines allgemeinen Indiskretionsdelikts bei den Beratungen zum VE 1909 soll die Unschärfe des Tatbestandsentwurfes eine wichtige Rolle gespielt haben.148 In die gleiche Richtung ging im Rahmen des KE 1913 die Diskussion um die zunächst vorgeschlagene Voraussetzung einer „böswilligen Verletzung des Privatlebens“,149 die schließlich nicht in die endgültige Entwurfsfassung aufgenommen wurde. Diese Kritik setzte sich bei den folgenden Fassungen fort.150 An § 182 StGB-E 1962 wurde bemängelt, dass weder aus dem Tatbestand, noch aus der Gesetzesbegründung klare Anhaltspunkte für den Umfang des Schutzes zu gewinnen seien.151 In der Gesetzesbegründung war darauf verwiesen worden, dass es Aufgabe der Rechtsprechung sei, genauere Abgrenzungen herauszuarbeiten152 und damit den tatbestandlichen Anwendungsbereich zu klären. Anhand der damals für den Schutz des Persönlichkeitsrechts maßgeblichen Begriffe von Privatsphäre und Intimsphäre erfolgte keine klare Abgrenzung, wann eine Behauptung strafbar sein sollte.153 Auch heute wird die Einführung eines allgemeinen Indiskretionsdelikts teilweise grundsätzlich abgelehnt, weil es nicht mit dem strafrechtlichen Bestimmtheitserfordernis aus Art. 103 Abs. 2 GG zu vereinbaren sei und eine ausufernde Vielzahl von Tathandlungen mit Strafe bedrohe.154 In der Natur des Indiskretionsdeliktes in der bisher diskutierten Form ist die Problematik der Bestimmtheit von vornherein anlegt. Es ist bisher nicht gelungen, Merkmale festzulegen, die den Tatbestand ohne die Notwendigkeit nachträglicher höchstrichterlicher Justierung in einen sachgemäßen Rahmen setzen und gleichzeitig Rechtssicherheit gewährleisten können. Prinzipiell kommen objektive wie subjektive Kriterien in Frage, um die Weite des Tatbestandes einzugrenzen. Objektiv könnte etwa ein Schutz eines bestimmten Kataloges besonders sensibler Informationen in Betracht kommen;155 subjektiv könnte etwa auf das Vorliegen einer Schädigungsabsicht abgestellt werden. bb) Abgrenzung von den Ehrschutzdelikten Das Indiskretionsdelikt war zunächst als Ehrschutzdelikt konzeptioniert gewesen. Im Laufe der Zeit kristallisierte sich jedoch zunehmend heraus, dass die Vorschrift den Delikten zum Schutz von Privat- und Geheimsphäre zuzuordnen sei.156 In der Begründung zum StGB-E 1962 stellte man fest, dass die Einführung des Tatbestandes bislang im Ergebnis 148
Schmidt, ZStW 79 (1967), S. 741, 745. 160. Sitzung der Strafrechtskommission vom 17. September 1912, abgedruckt bei W. Schubert, Protokolle, S. 166, 174; vgl. dazu Schmidt, ZStW 79 (1967), S. 741, 748. 150 Für das Kriterium des öffentlichen Interesses jedoch Roeder, in: FS Maurach 1972, S. 347, 366 f. 151 Schmidt, ZStW 79 (1967), S. 741, 769 f. 152 BT-Drs. IV/650, S. 329. 153 Schmidt, ZStW 79 (1967), S. 741, 770. 154 Heghmanns, Strafrecht, Rn. 793; NK/Kargl, Vor §§ 201 ff. Rn. 17. 155 Vgl. Roeder, in: FS Maurach 1972, S. 347, 365. 156 BT-Drs. IV/650, S. 328; Rogall, in: FS Hirsch 1999, S. 665, 686 f.; Schmidt, ZStW 79 (1967), S. 741, 745, 750. Wobei aufgrund der Umstrittenheit des Ehrbegriffs lange Unklarheit herrschte; vgl. Peglau, S. 25 m. w. N. 149
42
1. Teil: Entwicklung des Datenschutzstrafrechts
daran gescheitert sei, dass kein Konsens „über die Methode, nach welchen dogmatischen Gesichtspunkten dieser Schutz [des Privat- und Familienlebens gegen Indiskretion] zu gestalten sei“157 , erzielt werden konnte. Trotz dieser Erkenntnis gelang es auch den Verfassern des StGB-E 1962 nicht, in dieser Frage Klarheit zu schaffen, obwohl die Abgrenzung durch die systematische Zuordnung nunmehr etwas deutlicher geworden war. Dies liegt darin begründet, dass § 182 StGB-E 1962 das Merkmal der „Ehrenrührigkeit“ enthielt. Dieses wurde als notwendig erachtet, um die Bestimmtheit des Tatbestandes zu wahren,158 rückte den Tatbestand aber wieder in die Nähe der Ehrschutzdelikte.159 Das Merkmal der Ehrenrührigkeit war im Entstehungsprozess des Entwurfes nicht unumstritten.160 So wurde gefordert, auch Behauptungen in den Tatbestand mit einzubeziehen, „die sonst geeignet sind, die soziale Geltung des Betroffenen zu schmälern.“161 Die Verfasser des AE StGB verzichteten auf das Merkmal der Ehrenrührigkeit und versuchten, eine genauere Abgrenzung des geschützten privaten Bereiches zu ermöglichen. Der Verzicht erfolgte jedoch nicht ersatzlos: An die Stelle des Merkmals der Ehrenrührigkeit trat das Erfordernis einer Bloßstellung, durch das eine gewisse Eingriffsqualität als Voraussetzung für die Strafbarkeit beibehalten werden sollte.162 Der Kritik, dass keine vollkommene Abgrenzung zu den Ehrschutzdelikten möglich sei, konnte der AE StGB dadurch nicht entgehen. Da auch das Merkmal der Bloßstellung ehrenrührige Äußerungen umfasste, war eine Verknüpfung zu den Beleidigungsdelikten weiterhin gegeben.163 Die Problematik der Abgrenzung der Indiskretion als Verletzung der Privatsphäre von den Ehrschutzdelikten ist im Hinblick auf die Untersuchung des strafrechtlichen Schutzes der informationellen Selbstbestimmung interessant, weil in beiden Fällen ein Schutz von Persönlichkeitsrechten durch das Strafrecht zur Diskussion steht, der dem bisherigen System fremd ist. Dem Datenschutzrecht liegt die Erkenntnis zugrunde, dass vom miss157
BT-Drs. IV/650, S. 328. BT-Drs. IV/650, S. 330. Hier entsteht der Eindruck, dass das Problem der Unbestimmtheit nur scheinbar gelöst, während in Wahrheit ein weiteres geschaffen wurde. Das Merkmal der Ehrenrührigkeit stiftete mehr Verwirrung in der Frage der Abgrenzung als es zur Auflösung der Bestimmtheitsproblematik beitrug. Bedenken hinsichtlich der Bestimmtheit waren vor allem bezüglich der Merkmale gegeben, die den geschützten Bereich des Privatlebens definieren sollten. Gerade hier wurde jedoch keine Klarheit geschaffen. 159 Rogall, in: FS Hirsch 1999, S. 665, 688. Roeder, in: FS Maurach 1972, S. 347, 369 bezeichnet § 182 StGB-E 1962 daher als „denaturiertes Beleidigungsdelikt“. 160 Ein weiteres erhebliches Problem des Tatbestandes, das sich an der Grenze der Ehrschutzdelikte abspielte, beruhte darauf, dass eine Bestrafung wegen einem Beleidigungsdelikt neben § 182 StGB-E 1962 aufgrund dessen Abs. 2 und 4 stets ausgeschlossen gewesen wäre. Wenn der Betroffene demnach den Schutz durch das Indiskretionsdelikt gewählt hätte, wäre der Beweis über die Wahrheit der streitgegenständlichen Aussage ausgeschlossen gewesen. Daraus hätte sich möglicherweise ein Eingeständnis herleiten lassen, dass die Aussage wahrheitsgemäß war. Aufgrund dieses Risikos hätte die realistische Gefahr bestanden, dass § 182 StGB-E 1962 nach seiner Einführung kaum angewandt worden wäre; vgl. BT-Drs. IV/650, S. 331; AE StGB, S. 29; Schünemann, ZStW 90 (1978), S. 11, 37. 161 BT-Drs. IV/650, S. 328. Es wurde über die Einbeziehung von „bloßstellenden“ und „peinlichen“ Behauptungen nachgedacht. 162 Es sollten nur „Handlungen von einigem Gewicht“ erfasst sein; AE StGB, S. 31. 163 Schmidt, ZStW 79 (1967), S. 741, 778. Weiter als der AE StGB geht der Vorschlag von Roeder, in: FS Maurach 1972, S. 347, 371, der gerade nur nichtehrenrührige Tatsachenbehauptungen als „echte Indiskretionsfälle“ vom Tatbestand umfasst wissen will. 158
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
43
bräuchlichen Umgang und insbesondere der Weitergabe persönlicher Informationen, die keineswegs für sich peinlich, bloßstellend oder ehrenrührig zu sein brauchen, Gefahren für die Persönlichkeit ausgehen können. Darüber hinaus verzichtet das Datenschutzrecht grundsätzlich auch auf das Erfordernis eines Eingriffs in die Privat- oder Intimsphäre. Die dem Datenschutzrecht zu Grunde liegenden Erkenntnisse könnten neue Impulse für die Diskussion um das allgemeine Indiskretionsdelikt geben. Dies hat Rogall bereits angedeutet, indem er ausführte „daß der Wunsch nach einem Schutz vor Indiskretion aufs engste mit dem Ziel verbunden ist, Inkonsistenzen der persönlichen Identität, des Selbst, zu verbergen, wie ja überhaupt Entfaltung sich weniger auf das je einzelne Verhalten, sondern auf den Zusammenhang zwischen vielen Verhaltensformen bezieht.“164 cc) Erforderlichkeit Ein Kernargument, das für die Einführung eines allgemeinen Indiskretionstatbestandes immer wieder in das Feld geführt worden ist, ist seine Erforderlichkeit als eine die Beleidigungsdelikte flankierende Regelung. Da die Beleidigungsdelikte Tatsachenbehauptungen grundsätzlich nur umfassten, wenn sie unwahr seien, wurde argumentiert, dass die Sanktionierung der Offenbarung bestimmter Informationen auch unabhängig von ihrem Wahrheitsgehalt erforderlich sei. Die von einer nicht unstreitig unwahren Aussage betroffene Person müsse sich in einem Strafprozess stets dem Wahrheitsbeweis bezüglich dieser Aussage und damit gegebenenfalls einer Durchleuchtung privater Umstände unterziehen. Dies würde die Betroffenen von der Verfolgung von Beleidigungsdelikten abschrecken, weil weitere Beeinträchtigungen des Persönlichkeitsrechts zu befürchten seien.165 Damit sei ein effektiver strafrechtlicher Schutz der persönlichen Ehre durch die Beleidigungsdelikte nicht mehr gewährleistet. Zu beachten ist aber, dass es nicht prinzipiell ausgeschlossen ist, auch bei wahren Tatsachenbehauptungen eine Strafbarkeit wegen Beleidigung anzunehmen. Zwar wird bei wahren Tatsachenbehauptungen allgemein der Tatbestand des § 185 StGB als nicht erfüllt angesehen oder ein Strafausschließungsgrund angenommen.166 Aus § 192 StGB geht jedoch hervor, dass eine Beleidigung auch bei einer wahren Tatsachenbehauptung vorliegen kann. Nach dieser Vorschrift kann das „Vorhandensein einer Beleidigung aus der Form der Behauptung oder Verbreitung oder aus den Umständen, unter welchen sie geschah“ hervorgehen. So können sich auch Indiskretionen unter Umständen als Formalbeleidigungen nach § 192 StGB interpretieren lassen.167 Peglau nimmt etwa eine als Formalbeleidigung strafbare Indiskretion an, „wenn die Tatsachenbehauptung mit einer Verletzung des Kernbereichs des allgemeinen Persönlichkeitsrechts einhergeht.“168 Im Folgenden soll jedoch das Verhältnis von Beleidigung und Indiskretion nicht näher beleuchtet werden. Im Kontext des Datenschutzstrafrechts und der Frage nach der Ausgestaltung einer allgemeinen Strafvorschrift zum Schutz der informationellen Selbstbestimmung ist es eher interessant, welche eigenständigen Erwägungen für einen Indiskretionstatbestand angeführt werden können. 164 165 166 167 168
Rogall, in: FS Hirsch 1999, S. 665, 681 f. Schmidt, ZStW 79 (1967), S. 741, 763 f. MK-StGB/Regge/Pegel, 2. Aufl., § 185 Rn. 21 m. w. N. Peglau, ZRP 1998, S. 249, 250 f.; Rogall, in: FS Hirsch 1999, S. 665, 679 f. m. w. N. Peglau, ZRP 1998, S. 249, 250 f.
44
1. Teil: Entwicklung des Datenschutzstrafrechts
Die Frage, ob im Strafrecht unabhängig vom Bereich der Ehrschutzdelikte ein allgemeines Delikt zum Schutz der Privatsphäre vor Indiskretionen erforderlich ist, ist in der Diskussion um den Indiskretionstatbestand vielfach gestellt worden.169 Sie ist weiterhin umstritten170 und an ihrer vertieften Untersuchung besteht ein großes Interesse, wenn man die Vielzahl von Sachverhalten bedenkt, die durch eine solche Regelung strafrechtlich relevant werden könnten.171 Viel Aufsehen erregte im April 2012 beispielsweise der Fall der Hochspringerin und Polizistin Ariane Friedrich, die im Internet über das soziale Netzwerk Facebook den vollen Namen und die Anschrift eines Mannes veröffentlichte, der sie sexuell belästigt hatte. In diesem Zusammenhang wurde auch eine mögliche Strafbarkeit Ariane Friedrichs öffentlich diskutiert.172 Im Folgenden sollen die Kernargumente, die für oder gegen die Notwendigkeit der Regelung des Indiskretionsdelikts vorgebracht worden sind, kurz beleuchtet werden, um sie im weiteren Verlauf der Untersuchung zu einer vertieften Auseinandersetzung mit der Frage nach der Notwendigkeit des strafrechtlichen Schutzes der informationellen Selbstbestimmung auf ihre Gültigkeit für diesen Bereich überprüfen und gegebenenfalls heranziehen zu können. Zunächst ist ein erhöhtes Schutzbedürfnis des privaten Bereichs aufgrund des technischen Fortschritts angeführt worden, um die Erforderlichkeit der Erweiterung des strafrechtlichen Schutzes zu begründen.173 So beschrieb Schmidt im Jahre 1967, dass sich durch technologische Entwicklungen „die Möglichkeiten, in den intimsten Bereich der Persönlichkeit eines anderen einzudringen und dann die hierbei beobachteten Tatsachen um der Sensation oder der sogen. ‚Unterhaltung der Öffentlichkeit‘ willen ohne Rücksicht auf das Empfinden des Betroffenen und auf das, was unter gesitteten Menschen als anständig gewertet wird, zu verbreiten“174 , außerordentlich erweitert hätten. Dass die technischen Möglichkeiten zur Begehung von Indiskretionen stetig zugenommen haben, lässt sich im Großen und Ganzen wohl nicht bestreiten.175
169 BT-Drs. 7/550, S. 235 f.; Schünemann, ZStW 90 (1978), S. 11, 39 f. Zur besonderen Frage der Geeignetheit des Delikts zum Schutz des Rechtsguts Schünemann, ZStW 90 (1978), S. 11, 44 f. Zum selbstständigen Indiskretionstatbestand als „großes“ Indiskretionsdelikt Rogall, in: FS Hirsch 1999, S. 665, 676. 170 Dafür Maurach/Schroeder/Maiwald, BT 1, § 25 Rn. 44; dagegen NK/Kargl, Vor §§ 201 ff. Rn. 17. 171 Vgl. Roeder, in: FS Maurach 1972, S. 347, 374. 172 www.spiegel.de/netzwelt/netzpolitik/ariane-friedrich-hat-sich-nicht-strafbar-gemacht-a829217.html, zuletzt abgerufen am 1. Juni 2015. 173 BT-Drs. IV/650, S. 326 mit Verweis auf technische Neuentwicklungen wie Kleinkameras und Abhörgeräte. 174 Schmidt, ZStW 79 (1967), S. 741, 764. 175 Andererseits wurden in der Diskussion um das Indiskretionsdelikt im Laufe der Zeit auch Entwicklungen aufgezeigt, nach denen sich das Bedürfnis nach einer solchen Regelung verringert habe. So argumentierte Schünemann, ZStW 90 (1978), S. 11, 41 f. mit einer „technischen und soziologischen Umwälzung auf dem Bereich der Massenmedien“: Am Anfang des 20. Jahrhunderts hätten zahlreiche thematisch auf Sensationen und Skandale ausgerichtete Kleinpublikationen existiert, die auf dem Medienmarkt nicht mehr in dieser Form vorhanden seien. Dies dürfte sich jedoch mittlerweile dadurch relativiert haben, dass jedermann über das Internet etwa über Blogs oder soziale Netzwerke eine massentaugliche Sensations- und Skandalberichterstattung ohne nennenswerte finanzielle Investitionen in die eigene Hand nehmen kann.
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
45
Ein mehrfach gegen die Notwendigkeit eines Indiskretionstatbestandes vorgebrachtes Argument ist die Entwicklung eines zunehmenden „Exhibitionismus bezüglich des Privatbereiches“176 . Es ist jedoch grundsätzlich zu hinterfragen, inwieweit der Drang bestimmter Menschen zur eigenen Entblößung das Schutzbedürfnis der informationellen Selbstbestimmung im Ganzen verringert. Ob durch den Exhibitionismus eines Teils der Gesellschaft die „Nachfrage“ nach Indiskretionen in der Gesamtgesellschaft vollständig gedeckt werden kann,177 ist zweifelhaft. Eher könnte die Annahme argumentativ tragen, dass der Einzelne heute stärker in das öffentliche Leben eingebunden ist, als dies früher der Fall gewesen sei.178 Dass in der offenen demokratischen Gesellschaft ein Bedürfnis an der Beschaffung und dem Austausch von Informationen besteht,179 steht nicht in Frage. Sehr wohl fragwürdig ist jedoch, ob und inwiefern sich dies auf das Bestehen eines schützenswerten Individualinteresses auswirken kann, bestimmte Informationen der Gesellschaft eben doch nicht zu eröffnen, weil sie etwa von besonderer Sensibilität sind. Ein weiterer wichtiger Aspekt bei der Frage nach der Notwendigkeit eines allgemeinen Indiskretionstatbestandes ist die Rolle des Strafrechts als „ultima ratio“ des staatlichen Rechtsgüterschutzes.180 So wird argumentiert, dass es eines umfassenden strafrechtlichen Schutzes vor Indiskretionen nicht bedürfe, da ein angemessener und angepasster Schutz vor allem durch zivilrechtliche Instrumente schon möglich sei.181 Hier wird insbesondere die Möglichkeit der Geltendmachung eines Anspruchs auf Schmerzensgeld bei Verletzung des allgemeinen Persönlichkeitsrechtes vorgebracht.182 Inwieweit zivilrechtliche Ansprüche einen ebenso wirksamen Schutz vor Indiskretionen bieten könne wie strafrechtliche Regelungen, ist jedoch fraglich. Befürworter des allgemeinen Indiskretionsdelikts verweisen unter anderem darauf, dass ein strafrechtlicher Schutz dem zivilrechtlichen schon aufgrund der bewusstseinsbildenden Funktion des Strafrechts überlegen sei.183 Um festzustellen, ob ein wirksamer zivilrechtlicher Schutz das Strafrecht im Indiskretionsbereich überflüssig machen könnte, müssten die konkreten Regelungsmöglichkeiten bezüglich des spezifischen Schutzinteresses im Detail untersucht werden. Dies würde den Umfang der vorliegenden Untersuchung sprengen. Näher untersucht werden soll die Erforderlichkeit strafrechtlicher Regelungen neben den bestehenden zivilrechtlichen Sanktionsmöglichkeiten jedoch im Zusammenhang mit den Straftatbeständen der Datenschutzgesetze.184 Auch hier stellt sich vor dem Hintergrund der „ultima ratio“-Funktion die Frage nach der Erforderlichkeit des Einsatzes des Strafrechts.
176 177 178 179 180 181 182 183 184
Schünemann, ZStW 90 (1978), S. 11, 42; ähnlich Rogall, in: FS Hirsch 1999, S. 665, 692. In diesem Sinne Schünemann, ZStW 90 (1978), S. 11, 41 f. NK/Kargl, Vor §§ 201 ff. Rn. 17. LK/Schünemann, 12. Aufl., Vor § 201 Rn. 13 Vgl. LK/Schünemann, 12. Aufl., Vor § 201 Rn. 13. LK/Schünemann, 12. Aufl., Vor § 201 Rn. 13; NK/Kargl, Vor §§ 201 ff. Rn. 17. Rogall, in: FS Hirsch 1999, S. 665, 691 f.; Schünemann, ZStW 90 (1978), S. 11, 45 f. Peglau, S. 45 m. w.N. Dazu unten Zweiter Teil § 7 II. 3. und Dritter Teil § 12 II.
46
1. Teil: Entwicklung des Datenschutzstrafrechts
5. Datenhehlerei Zur Zeit wird darüber diskutiert, das Kernstrafrecht um einen Straftatbestand der „Datenhehlerei“ zu erweitern. Mit diesem soll insbesondere der Verkauf rechtswidrig erlangter Daten strafrechtlich erfasst werden. Ein konkreter Entwurf für die Fassung des Tatbestandes (§ 202d StGB-E) wurde erstmals im Juli 2013 im Bundestag vorgelegt.185 Anhand dieses Entwurfes wird das geplante Delikt der Datenhehlerei im Folgenden untersucht. Die Diskussion um die Strafbarkeit der Datenhehlerei ist für die vorliegende Untersuchung deshalb von Interesse, da der vorgeschlagene Tatbestand auch auf den Schutz der informationellen Selbstbestimmung zielt und in einer besonderen inhaltlichen Nähe zu den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG steht. Im Gegensatz zu den Straftatbeständen der Datenschutzgesetze sollen vom Straftatbestand der Datenhehlerei allerdings auch nicht-personenbezogene Daten erfasst werden. Der Regelungsvorschlag zur Datenhehlerei basiert maßgeblich auf der Annahme, dass unter anderem durch die Straftatbestände der Datenschutzgesetze kein ausreichender Schutz vor dem Handel mit rechtswidrig erlangten Daten im Internet vorhanden sei. Im Folgenden werden die Genese des Gesetzesentwurfs, seine Zielrichtung und Tatbestandsstruktur sowie die Annahme einer Strafbarkeitslücke näher untersucht, um daraus Erkenntnisse für die Weiterentwicklung des Datenschutzstrafrechts186 zu gewinnen. a) Bisherige Entwicklung Die Diskussion um die Einführung eines Straftatbestandes der Datenhehlerei geht auf einen Beschluss der 83. Konferenz der Justizministerinnen und Justizminister am 13. und 14. Juni 2012 in Wiesbaden zurück. In diesem Beschluss stellten die Beteiligten „Strafbarkeitslücken beim Handel mit rechtswidrig erlangten Daten“ fest und unterstützten das Anliegen, diese „etwa durch einen Straftatbestand der Datenhehlerei“ zu schließen.187 Im September des gleichen Jahres griff der 69. Deutsche Juristentag das Thema auf und setzte sich dafür ein, einen Straftatbestand der Datenhehlerei einzuführen, „[u]m eine Strafbarkeitslücke im Hinblick auf den Geheimnis- und Datenschutz im Internet zu schließen“188 . Auch von der damaligen Bundesjustizministerin Leutheusser-Schnarrenberger wurde das Vorhaben unterstützt.189 Am 15. November 2012 befürwortete die Herbstkonferenz der Justizministerinnen und Justizminister in Berlin „die zeitnahe Einführung eines Straftatbestandes der Datenhehlerei.“190 Das Land Hessen erarbeitete in der Folge einen ersten Entwurf eines entsprechenden Straftatbestandes, der im Januar 2013 veröffentlicht wurde.191 Der Gesetzesentwurf wur185 Entwurf des Bundesrates eines Gesetzes zur Strafbarkeit der Datenhehlerei vom 10. Juli 2013, BT-Drs. 17/14362. 186 Dazu näher unten Vierter Teil. 187 83. Konferenz der Justizministerinnen und Justizminister, Beschluss TOP II.2. 188 69. DJT, Beschlüsse, S. 9. 189 www.rp-online.de/politik/deutschland/datendiebstahl-soll-strafbar-sein-aid-1.2976196, zuletzt abgerufen am 1. Juni 2015. 190 Herbstkonferenz der Justizministerinnen und Justizminister am 15. November 2012 in Berlin, Beschluss TOP II.9. 191 www.netzpolitik.org/2013/neuer-straftatbestand-der-datenhehlerei-wir-veroffentlichen-dengesetzentwurf-des-landes-hessen, zuletzt abgerufen am 1. Juni 2015.
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
47
de in der Folge überarbeitet und im April 2013 vom Land Hessen im Bundesrat eingebracht.192 Am 7. Juni 2013 beschloss der Bundesrat auf dieser Grundlage den Entwurf des Gesetzes zur Strafbarkeit der Datenhehlerei und legte diesen am 10. Juli 2013 dem Bundestag vor.193 Im August 2013 teilte daraufhin die Bundesregierung mit, dass sie die Initiative der Länderkammer begrüße, jedoch „bei Details noch Prüfungsbedarf“194 sehe. Der Gesetzesentwurf verfiel mit Ablauf der 17. Legislaturperiode des Bundestages nach dem Prinzip der sachlichen Diskontinuität. Am 14. März 2014 beschloss der Bundesrat die erneute Einbringung des Gesetzesentwurfes von April 2013 beim Bundestag.195 Nachdem es in der Folge still um das Gesetzesvorhaben geworden war, kündigte das BMJV im April 2015 erneut die Einführung eines Tatbestandes der Datenhehlerei an.196 Am 28. Mai 2015 wurde dem Bundesrat im Regierungsentwurf eines Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten auch ein neuer Entwurf eines Straftatbestandes der Datenhehlerei vorgelegt.197 In seiner Grundrichtung entspricht dieser Entwurf jenem des Bundesrates von Juni 2013. Auf wesentliche Unterschiede wird im konkreten Zusammenhang hingewiesen. b) Zielrichtung Durch den Straftatbestand der Datenhehlerei soll die „auf das verfassungsrechtlich verankerte Recht auf informationelle Selbstbestimmung zurückgehende formelle Verfügungsbefugnis bzw. das formelle Datengeheimnis“198 geschützt werden. Die Strafwürdigkeit des „Datenhehlers“ begründe sich darin, dass dieser die bereits geschehene Rechtsgutsverletzung „perpetuiert und zum eigenen finanziellen Vorteil oder mit dem Ziel, dem Berechtigten Schaden zuzufügen“199 ausnutze. Mit der formellen Verfügungsbefugnis über die eigenen Daten werde zudem „als Schutzreflex auch das Vermögen des Dateninhabers geschützt“, da mit dieser Verfügungsbefugnis „häufig wirtschaftliche Interessen verbunden“ seien und „aus dem vorhandenen kriminellen Absatzmarkt für rechtswidrig erlangte Daten oftmals der eigentliche Tatanreiz für den Vortäter“200 der Datenhehlerei resultiere. Konkreter wird der Regelungsentwurf des Bundesrates damit begründet, dass „der Handel mit rechtswidrig erlangten digitalen Identitäten“ wie „Kreditkartendaten oder Zugangsdaten zu Online-Banking, E-Mail-Diensten oder sozialen Netzwerken“201 immer 192 Gesetzesantrag des Landes Hessen zum Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei vom 16. April 2013, BR-Drs. 284/13. 193 BR-Drs. 284/13(B); BT-Drs. 17/14362. 194 www.bundestag.de/presse/hib/2013_08/2013_426/02.html, zuletzt abgerufen am 1. Juni 2015. 195 BR-Drs. 70/14(B). 196 BMJV, Leitlinien zur Einführung einer Speicherpflicht und Höchstspeicherfristen, S. 7, abrufbar unter www.bmjv.de/SharedDocs/Kurzmeldungen/DE/2015/20150415_Leitlinien-HSF.html?nn= 3433226, zuletzt abgerufen am 1. Juni 2015. 197 BR-Drs. 249/15. 198 BT-Drs. 17/14362, S. 12. 199 BT-Drs. 17/14362, S. 12. 200 BT-Drs. 17/14362, S. 13. 201 BT-Drs. 17/14362, S. 1.
48
1. Teil: Entwicklung des Datenschutzstrafrechts
weiter zunehme. Die Bundesregierung unterstrich in einer Stellungnahme zu dem Gesetzesentwurf, „dass aus ihrer Sicht der Handel mit rechtswidrig erlangten Daten, besonders auf einschlägigen Internet-Plattformen, ein ernst zu nehmendes Problem“ darstelle, dem „auch mit Mitteln des Strafrechts begegnet werden“202 müsse. Interessant ist, dass die formelle Verfügungsbefugnis über Daten als nach der Gesetzesbegründung von § 202d StGB-E geschütztes Rechtsgut aus der informationellen Selbstbestimmung hergeleitet wird.203 Das Recht auf informationelle Selbstbestimmung umfasst allein den Schutz personenbezogener Daten, nicht aber weiterer Informationen ohne Personenbezug.204 Auch die in der Begründung des Gesetzesentwurfs genannten Beispiele betreffen allesamt personenbezogene Daten. Dass der Tatbestand des § 202d StGB-E gleichwohl nicht deutlich auf personenbezogene Daten beschränkt ist, ist daher nicht ganz schlüssig. In dem neuen Gesetzesentwurf der Bundesregierung wurden die Ausführungen zum geschützten Rechtsgut angepasst und korrigiert. Geschützt werde durch den Tatbestand das „formelle Datengeheimnis“, das hier richtigerweise nicht aus dem Recht auf informationelle Selbstbestimmung hergeleitet wird.205 Der Hinweis auf den Schutzreflex zugunsten des Vermögens der Betroffenen ist angemessen. So ist der Umgang mit personenbezogenen Daten mehr und mehr von kommerziellen Interessen geprägt.206 Diese Entwicklung ist auch für das Strafrecht von Bedeutung, da das Bedürfnis zum Schutz personenbezogener Daten wächst und der Einsatz strafrechtlicher Mittel zunehmend in Frage kommt.207 Dennoch ist das Vermögen nicht Rechtsgut des § 202d StGB-E, sondern nur reflexartig geschützt, da die Vorschrift vor der Verwendung von Daten schützen soll, an denen schutzwürdige Interessen jedweder Art bestehen.208 Die Regelung ist damit weder spezifisch auf den Schutz von Vermögensinteressen ausgerichtet, noch darauf beschränkt.209 c) Regelung des § 202d StGB-E Der Straftatbestand der Datenhehlerei soll als § 202d in das StGB eingeführt werden.210 Nach dessen Abs. 1 soll wegen Datenhehlerei mit Freiheitsstrafe von bis zu fünf 202
www.bundestag.de/presse/hib/2013_08/2013_426/02.html, zuletzt abgerufen am 1. Juni 2015. Näher zur Unklarheit des geschützten Rechtsguts Golla/v. zur Mühlen, JZ 2014, S. 668, 670. 204 Vgl. unten Zweiter Teil § 5 II. 1. 205 BR-Drs. 249/15, S. 24 f. 206 Dazu unten Zweiter Teil § 5 IV. 1. 207 Dazu unten Zweiter Teil § 5 IV. 2. 208 Dazu näher unten c). 209 Golla/v. zur Mühlen, JZ 2014, S. 668, 669. 210 § 202d StGB-E lautet in der Entwurfsfassung des Bundesrates von Juni 2013 wie folgt: „(1) Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, an deren Nichtweiterverwendung der Berechtigte ein schutzwürdiges Interesse hat und die nicht aus allgemein zugänglichen Quellen entnommen werden können. 203
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
49
Jahren211 oder mit Geldstrafe bestraft werden, wer bestimmte Daten, „die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen“.212 aa) Tatobjekt Tatobjekt sollen solche Daten i. S. d. § 202a Abs. 2 StGB sein, „an deren Nichtweiterverwendung der Berechtigte ein schutzwürdiges Interesse hat und die nicht aus allgemein zugänglichen Quellen entnommen werden können“ (§ 202d Abs. 2 StGB-E). Zudem müssen die Daten gemäß § 202d Abs. 1 StGB-E von einem anderen ausgespäht oder sonst durch eine rechtswidrige Tat erlangt worden sein. Zunächst muss also an Daten ein schutzwürdiges Interesse des Betroffenen bestehen, damit sie Tatobjekt einer Datenhehlerei gemäß § 202d Abs. 1 StGB-E werden können. Wann ein schutzwürdiges Interesse an Daten vorliegt, soll durch eine Interessenabwägung bestimmt werden.213 Abzuwägen seien das Interesse „des Betroffenen an dem Schutz seiner Daten und des Stellenwerts, den die Offenlegung und Verwendung der Daten für ihn hat, mit den Interessen der Nutzer, für deren Zwecke die Speicherung erfolgt, unter Berücksichtigung der objektiven Wertordnung der Grundrechte.“214 Dabei seien „Art, Inhalt und Aussagekraft der beanstandeten Daten an den Aufgaben und Zwecken zu messen, denen die Datenerhebung und -speicherung“215 diene. Dass bei der Bestimmung des Tatobjektes ein überaus weitreichendes Spektrum an Interessen zu berücksichtigen ist, räumt die Begründung ein.216 Letztlich sind hier im Ausgangspunkt sämtliche individuell zuzuordnenden Schutzinteressen formeller und materieller Art umfasst.217 Die Gesetzesbegründung gibt keinen genaueren Aufschluss darüber, welche Daten als schutzwürdig gelten sollen. Zwar sollen bestimmte „objektive Anhaltspunkte“, etwa die „Art der Daten“, für eine Schutzwürdigkeit sprechen.218 Welche Arten von Daten die Begründung hier im Blick hat, bleibt allerdings offen. In der Konsequenz (3) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach den §§ 202a, 202b, 202d, 263 bis 264, 267 bis 269, 303a oder 303b verbunden hat, so ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. (4) Der Versuch ist strafbar. (5) Die Absätze 1 bis 4 gelten nicht für Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen. Die Absätze 1 bis 4 gelten ebenfalls nicht für Handlungen von Amtsträgern oder deren Beauftragten, um Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zuzuführen. (6) In den Fällen des Absatzes 3 ist § 73d anzuwenden.“ 211 Nach dem neueren Entwurf der Bundesregierung ist eine Höchststrafe von drei Jahren Freiheitsstrafe vorgesehen, die gleichzeitig durch den Strafrahmen der einschlägigen Vortat begrenzt ist; BR-Drs. 249/15, S. 16. 212 BT-Drs. 17/14362, S. 7. 213 BT-Drs. 17/14362, S. 14. 214 So BGH NJW 2009, S. 2888, 2891, dessen Formulierung sich die Begründung zu Eigen macht. 215 BGH NJW 2009, S. 2888, 2891. 216 BT-Drs. 17/14362, S. 14. 217 Golla/v. zur Mühlen, JZ 2014, S. 668, 669. 218 BT-Drs. 17/14362, S. 14.
50
1. Teil: Entwicklung des Datenschutzstrafrechts
wird es für den potentiellen Täter in vielen Fällen kaum zu bestimmen sein, wann ein Datum schutzwürdig ist und als Tatobjekt in Frage kommt. Dies weckt Bedenken im Zusammenhang mit dem strafrechtlichen Bestimmtheitsgebot aus Art. 103 Abs. 2 GG. Zudem erhöht sich das Risiko von Verbotsirrtümern. Bereits die Erfüllung des Tatbestandes von einer allgemeinen Interessenabwägung abhängig zu machen, dürfte auch zu Schwierigkeiten bei der praktischen Anwendung des § 202d Abs. 1 StGB-E führen. Diesen Schluss legt der Vergleich mit den Straftatbeständen des BDSG nahe: Auch nach den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1–3 BDSG ist die Strafbarkeit aufgrund des Merkmals „unbefugt“ regelmäßig von einer Interessenabwägung abhängig, was die Auslegung dieses Merkmals in der Praxis überaus kompliziert macht.219 Trotz allem wird in der Begründung in dem Erfordernis der Interessenabwägung keine „Überspannung der an den Täter gestellten Anforderungen“220 gesehen. Dies wird damit begründet, dass der Kreis der als in Tatobjekt in Frage kommenden Daten durch weitere Anforderungen eingegrenzt sei.221 Der jüngste Regierungsentwurf zur Datenhehlerei verzichtet auf die Voraussetzung eines schutzwürdigen Interesses im Tatbestand.222 Dadurch entfallen zwar die Schwierigkeiten bei der Auslegung dieses Merkmals, allerdings wird das Spektrum strafbedrohter Handlungen gleichzeitig erweitert. Des Weiteren ist schleierhaft, welche Daten, die nicht-personenbezogen sind, als Tatobjekt der Datenhehlerei in Frage kommen sollen. Schon die grundsätzlichen Erwägungen zur Einführung des § 202d Abs. 1 StGB-E zielen vor allem auf den Schutz personenbezogener Daten i. S. d. § 3 Abs. 1 BDSG,223 wie aus der Begründung hervorgeht.224 Zudem soll die Schutzwürdigkeit eines Datums und damit seine Tauglichkeit als Tatobjekt unter Berücksichtigung der Interessen des Betroffenen festgestellt werden. Wo ein Betroffener vorhanden ist und dessen Interessen bestimmt werden können, hat ein Datum in der Regel auch Personenbezug. Darüber hinaus ist allenfalls vorstellbar, dass schutzwürdige Angaben über juristische Personen, die nicht als personenbezogene Daten i. S. d. § 3 Abs. 1 BDSG gelten, zusätzlich als Tatobjekt mit einbezogen werden. Auch dies geht aus der Begründung aber nicht deutlich hervor. Kein taugliches Tatobjekt sollen gemäß § 202d Abs. 2 StGB-E Daten sein, die aus allgemein zugänglichen Quellen entnommen werden können. Dadurch soll der Umgang mit so genannten Alltagsdaten von der Strafbarkeit ausgenommen werden.225 Diese Einschränkung ist aufgrund des Spannungsverhältnisses des informationellen Selbstbestimmungsrechtes zu den Kommunikationsfreiheiten sachgerecht.226 Eine ähnliche Einschränkung der Strafbarkeit bezüglich allgemein zugänglicher Daten enthalten auch die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG.227 219 220 221 222 223 224 225 226 227
Dazu unten Dritter Teil § 10 V. 2. c). BT-Drs. 17/14362, S. 14. BT-Drs. 17/14362, S. 14. BR-Drs. 249/15, S. 16. Zum Begriff der personenbezogenen Daten näher unten Dritter Teil § 9 I. BT-Drs. 17/14362, S. 1, 10; vgl. dazu Golla/v. zur Mühlen, JZ 2014, S. 668, 673. BT-Drs. 17/14362, S. 11. Vgl. Golla/v. zur Mühlen, JZ 2014, S. 668, 669. Dazu unten Dritter Teil § 10 III.
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
51
Schließlich müssen Daten, um Tatobjekt zu sein, gemäß § 202d Abs. 1 StGB-E von einem anderen ausgespäht worden oder sonst durch eine rechtswidrige Tat erlangt worden228 sein.229 Nicht tatbestandlich wäre demnach das erstmalige rechtswidrige Beschaffen der Daten. Dies entspricht der sprachlichen Einordnung des Delikts als eine Form der Hehlerei, deren Strafwürdigkeit auf der Perpetuierung der Rechtsgutsverletzung gründet.230 An dieser Stelle stellt sich die Frage, inwiefern der Grundgedanke der Strafbarkeit der Hehlerei, die sich auf Sachen bezieht, auf Daten als Gegenstände geistiger Natur übertragbar ist.231 Es liegt in der Natur der Daten, die als Tatobjekte des § 202d Abs. 1 StGB-E in Betracht kommen, dass sie sich mit Hilfe technologischer Hilfsmittel leicht vervielfältigen lassen. Durch das erstmalige Ausspähen von besonders gesicherten Daten nach § 202a Abs. 1 StGB etwa entsteht bereits ein Verlust der Kontrolle über diese Daten, der mit dem Verlust der Kontrolle über einen körperlichen Gegenstand nicht vergleichbar ist. Durch die Begehung der Tat nach § 202a Abs. 1 StGB erlangt der Täter die Möglichkeit des Zugriffs auf einen Gegenstand, den er in der Regel nach Belieben multiplizieren und weiterverbreiten kann. Insofern ist es naheliegend, den Umgang mit illegal erlangten Daten rechtlich anders zu behandeln als den Umgang mit gestohlenen Sachen. Im bestehenden Immaterialgüterstrafrecht sind auch deshalb bislang im Wesentlichen keine „Hehlereitatbestände“ vorgesehen, weil der Umgang und die Verwertung von Informationen, die durch Straftaten erlangt wurden, auch erfasst werden kann, ohne dass dies tatbestandliche Voraussetzung ist. Dies zeigt sich etwa an den geltenden Regelungen des Datenschutzstrafrechts232 und Urheberstrafrechts.233 bb) Tathandlungen Als Tathandlungen erfasst § 202d Abs. 1 StGB das (sich oder einem anderen) Verschaffen, das Überlassen, das Verbreiten und das sonstige Zugänglichmachen von Daten. Diese Tathandlungen lehnen sich an die Tathandlungen des § 202c Abs. 1 StGB an.234 Sie finden sich auch ähnlich in weiteren Straftatbeständen des StGB.235 Das (sich oder einem anderen) Verschaffen kann in Anlehnung an die entsprechenden Merkmale in § 43 Abs. 2 Nr. 3 Var. 2 BDSG und § 202b StGB verstanden werden. Darunter fallen die Zurkenntnisnahme von Daten oder die „Herstellung eines Zustandes, der es 228 Der neue Regierungsentwurf ist insofern allgemeiner und spricht nur von Daten, „die ein anderer durch eine rechtswidrige Tat erlangt“ hat; vgl. BR-Drs. 249/15, S. 16. 229 Näher zu den in Betracht kommenden Vortaten Golla/v. zur Mühlen, JZ 2014, S. 668, 669 f. 230 BT-Drs. 17/14362, S. 12. 231 Dazu ausführlich Golla/v. zur Mühlen, JZ 2014, S. 668, 671; zur Notwendigkeit einer differenzierten strafrechtlichen Beurteilung von Sachen und Informationen vgl. Sieber, in: 69. DJT, C 9, C 14; Sieber, CR 1995, S. 100, 111. 232 Dazu unten Dritter Teil § 10 IV. 233 Heinrich, JZ 1994, S. 938, 943. 234 BT-Drs. 17/14362, S. 13. 235 So z. B. das (sich oder einem anderen) Verschaffen von Daten unter Anwendung von technischen Mitteln in § 202b StGB, das Überlassen und Zugänglichmachen pornographischer Schriften in § 184 Abs. 1 Nr. 1 StGB sowie ihr Verbreiten in § 184 Abs. 1 Nr. 5 StGB.
52
1. Teil: Entwicklung des Datenschutzstrafrechts
dem Täter erlaubt, die Daten später zur Kenntnis zu nehmen, sie zu nutzen oder sonst über sie zu verfügen, ohne dass die verantwortliche Stelle ihn daran noch hindern kann.“236 Das Merkmal des Überlassens setzt voraus, dass die Verfügungsmacht über personenbezogene Daten einem anderen eingeräumt wird.237 Dies erfordert nicht, dass der Täter seine eigene Verfügungsmacht ganz aufgibt.238 Denn wer Daten vervielfältigt und einem anderen überlässt, diese aber gleichzeitig weiter in seiner Verfügungsgewalt behält, führt eine weitere Beeinträchtigung des informationellen Selbstbestimmungsrechtes herbei als derjenige, der die Daten jemandem überlässt und nicht selbst zusätzlich behält. Allerdings ist der Begriff des Überlassens im Zusammenhang mit der Verwendung von Daten missverständlich. Er wird in anderen Strafvorschriften im Zusammenhang mit physischen Herrschaftsverhältnissen verwendet.239 Dies gilt auch im allgemeinen Sprachgebrauch: Man überlässt jemandem beispielsweise sein altes Auto oder seine Briefmarkensammlung, kaum aber Sozialversicherungsnummern oder E-Mail-Adressen. Zudem ist das Überlassen gegenüber der Tathandlung „einem anderen verschaffen“ im Grunde überflüssig. Hiervon sind bereits alle Fälle umfasst, in denen jemandem die Verfügungsgewalt an Daten eingeräumt wird.240 Unter einem Verbreiten i. S. d. § 202d Abs. 1 StGB-E kann die Weitergabe von personenbezogenen Daten mit dem Ziel, sie einem größeren Personenkreis zugänglich zu machen, verstanden werden.241 Auch das Verbreiten lässt sich als eine qualifizierte Form des „einem anderen Verschaffens“ ansehen.242 Das sonstige Zugänglichmachen schließlich lässt sich vom Verbreiten insofern abgrenzen, als dass die bloße Möglichkeit des Zugriffs ausreichend und keine Begründung der Verfügungsgewalt eines anderen notwendig ist.243 Wer beispielsweise Bankkontodaten auf einer Website hochlädt, auf die man online frei zugreifen kann, hat diese Daten noch nicht verbreitet, solange nicht tatsächlich jemand auf diese zugreift oder sie abspeichert. Eine sonstige Zugänglichmachung liegt allerdings mit dem Upload bereits vor. Insofern ist die sonstige Zugänglichmachung im Verhältnis zu der Tathandlung des „einem anderen Verschaffens“ durchaus von eigener Bedeutung.244 cc) Sonstige Regelungen Zudem sieht § 202d Abs. 3 StGB-E einen Qualifiaktionstatbestand für gewerbsmäßiges Handeln oder Handeln als Mitglied einer Bande mit einer Strafandrohung von Freiheitsstrafe von sechs Monaten bis zu zehn Jahren vor. Abs. 4 der Vorschrift soll eine Versuchs-
236
Simitis/Ehmann, § 43 Rn. 64; dazu näher unten Dritter Teil § 10 IV. 1. b). Zu § 202c StGB LK/Hilgendorf , 12. Aufl., § 202c Rn. 22. 238 MK-StGB/Graf , 2. Aufl., § 202c Rn. 21. 239 Vgl. LK/Ruß, 12. Aufl., § 146 Rn. 5, § 152a Rn. 8. 240 Zu § 202c StGB LK/Hilgendorf , 12. Aufl., § 202c Rn. 23. 241 Zu § 202c StGB LK/Hilgendorf , 12. Aufl., § 202c Rn. 22. 242 Zu § 202c StGB LK/Hilgendorf , 12. Aufl., § 202c Rn. 23. 243 Zu § 202c StGB LK/Hilgendorf , 12. Aufl., § 202c Rn. 22; MK-StGB/Graf , 2. Aufl., § 202c Rn. 23; NK/Kargl, § 202c Rn. 11. 244 Anders LK/Hilgendorf , 12. Aufl., § 202c Rn. 23. 237
§ 2 Datenschutz i. w. S.: Geheim- und Privatsphärenschutz
53
strafbarkeit regeln. In dem neueren Regierungsentwurf sind entsprechende Regelungen zu der qualifizierten Begehung und zum Versuch nicht enthalten.245 Gemäß § 202d Abs. 5 StGB-E soll die Vorschrift insgesamt nicht gelten für Handlungen „die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen“ (S. 1) sowie für Handlungen „von Amtsträgern oder deren Beauftragten, um Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zuzuführen“ (S. 2). Dass Handlungen in Erfüllung gesetzlicher Pflichten keine Strafbarkeit begründen, kann dabei nur als Hinweis auf die bereits geltende Rechtslage, nicht aber als eigener Ausnahmetatbestand begriffen werden.246 Der neuere Regierungsentwurf sieht in seinem Abs. 3 eine weitere Ausnahmeregelung vor, die nicht nur Handlungen durch Amtsträger und deren Beauftragte, sondern insgesamt „Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen“ umfasst.247 d) Vorliegen einer Strafbarkeitslücke Der Entwurf des Straftatbestandes der Datenhehlerei wurde maßgeblich damit begründet, dass eine „Strafbarkeitslücke im Hinblick auf den Geheimnis- und Datenschutz im Internet“248 , bzw. – konkreter – „beim Handel mit rechtswidrig erlangten Daten“249 bestünde.250 „Die mit Bereicherungs- oder Schädigungsabsicht vorgenommene Weitergabe der rechtswidrig erlangten Daten“ sei „bisher nur in Teilbereichen von den bestehenden Strafnormen erfasst“251 . Insbesondere durch die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG sah man keinen ausreichenden Schutz gegeben.252 Die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG könnten „in Einzelfällen einschlägig sein“, böten aber „keine ausreichende Sanktionsmöglichkeit.“253 „[D]ie Schutzrichtung des Bundesdatenschutzgesetzes, nämlich der Schutz personenbezogener Daten vor der unbefugten Preisgabe“, so die Begründung, bliebe „deutlich hinter dem Ziel der Bekämpfung des illegalen Handels mit rechtswidrig erlangten Daten zurück.“254 Diese Begründung erscheint wenig schlüssig, denn sie zeigt keine Strafbarkeitslücke auf. Zunächst lässt sich die Begründung so verstehen, dass die Sanktionierung des Umgangs mit personenbezogenen Daten i. S. d. BDSG nicht ausreiche und auch der Umgang mit weiteren Arten von Daten sanktioniert werden müsse. So wurde in der Begründung etwa
245 246 247 248 249 250 251 252 253 254
Vgl. BR-Drs. 249/15, S. 16. Golla/v. zur Mühlen, JZ 2014, S. 668, 669. Vgl. BR-Drs. 249/15, S. 16. 69. DJT, Beschlüsse, S. 9. BT-Drs. 17/14362, S. 9. Hierzu ausführlich Golla/v. zur Mühlen, JZ 2014, S. 668, 671 ff. BT-Drs. 17/14362, S. 1. BT-Drs. 17/14362, S. 10. BT-Drs. 17/14362, S. 10. BT-Drs. 17/14362, S. 10.
54
1. Teil: Entwicklung des Datenschutzstrafrechts
bemängelt, dass die Daten juristischer Personen vom BDSG nicht geschützt würden.255 Bei der Illustration der Risiken, denen die Strafbarkeit der Datenhehlerei begegnen sollte, beschränkt sich die Begründung allerdings auf Beispiele, die die Daten natürlicher Personen betreffen („digitale Identitäten“, „Kreditkartendaten oder Zugangsdaten zu Onlinebanking, E-Mail-Diensten oder sozialen Netzwerken“).256 Die Weitergabe solcher personenbezogenen Daten mit Bereicherungs- oder Schädigungsabsicht erfassen die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG entgegen der Begründung in einem weiten Umfang.257 Die Weitergabe solcher Daten stellt einen Bestandteil der Datenverwendungsphase der Verarbeitung dar.258 Dass die Verkäufer und Käufer der Daten „weder die Täter sind, die die Daten zuvor ausgespäht haben, noch diejenigen, die sie später betrügerisch einsetzen“259 , ändert nichts daran, dass sie unbefugt handeln und sich nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG strafbar machen können. Im Rahmen der Ausführungen zur angeblichen Strafbarkeitslücke bei der Datenhehlerei wird auch die „vergleichsweise niedrige“260 Strafandrohung der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG von bis zu zwei Jahren Freiheitsstrafe angeführt.261 Auch die Ausgestaltung als Antragsdelikt wird bemängelt.262 Hier deutet sich bereits an, dass das eigentliche Problem im Bereich der Datenhehlerei weniger eine Lücke bei der Strafbarkeit, als viel mehr bei der Verfolgung und Durchsetzung der Sanktionen sein könnte. So wird auch in der Begründung eine ineffektive Verfolgung der Datenhehlerei beklagt.263 Ob eine höhere Strafandrohung ein sinnvolles Mittel zur Lösung dieses Problems ist, ist zu bezweifeln.264
§ 3 Datenschutzstrafrecht im engeren Sinne Das Datenschutzrecht im heutigen Sinne als Regelung zum Schutz des Persönlichkeitsrechtes vor der Verarbeitung personenbezogener Daten entstand infolge des Einsatzes der EDV, der in der Verwaltung und anderen Bereichen in den 1960er-Jahren stark zunahm.265 Die Datenschutzgesetzgebung versucht seitdem, mit der technischen Entwicklung Schritt zu halten. Es lassen sich von der Entwicklung der ersten Datenschutzdebatten in den 1960er-Jahren über die Wirkungszeit der ersten Datenschutzgesetze ab Oktober 1970 bis zum Volkszählungsurteil vom 15. Dezember 1983 und der darauf folgenden Neuregelung 255 BT-Drs. 17/14362, S. 10. Gemäß § 3 Abs. 1 sind personenbezogene Daten lediglich „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ 256 BT-Drs. 17/14362, S. 1, 10. 257 Golla/v. zur Mühlen, JZ 2014, S. 668, 673. 258 Dazu unten Dritter Teil § 10 IV. 2. a) cc). 259 BT-Drs. 17/14362, S. 10. 260 BT-Drs. 17/14362, S. 10. 261 In eine ähnliche Richtung geht die Begründung des neueren Regierungsentwurfes, nach dem die Strafbarkeit nach dem BDSG „nicht den besonderen Unrechtsgehalt des Handels mit Daten erfassen“ könne, „die von einem Vortäter ausgespäht oder abgefangen oder sonst durch eine rechtswidrige Tat erlangt worden sind“; BR-Drs. 249/15, S. 23. 262 BT-Drs. 17/14362, S. 10; vgl. auch BR-Drs. 249/15, S. 23. 263 BT-Drs. 17/14362, S. 10. 264 Dazu näher unten Dritter Teil § 13 I. 1. 265 Vgl. oben § 2 I.
§ 3 Datenschutzstrafrecht im engeren Sinne
55
der Datenschutzgesetze (insbesondere des BDSG im Jahre 1991) sowie ab der Umsetzung der EG-Datenschutzrichtlinie im Jahre 2001 verschiedene Phasen in der Geschichte des Datenschutzrechts im engeren Sinne unterscheiden. Anhand dieser Phasen soll die Entwicklung des Datenschutzrechts und insbesondere des BDSG mit einer schwerpunktmäßigen Betrachtung seiner Straftatbestände untersucht werden.
I. Datenschutzdebatten in Deutschland und den USA Der Anwendungsbereich der EDV dehnte sich rasch von Massen- und Routinearbeiten auf komplexere Aufgaben aus.266 Es entstanden verflochtene Datenverarbeitungssysteme, die im Rahmen einer „integrierten Datenverarbeitung“ verschiedene Datenverarbeitungsprozesse zusammenführten.267 Im Zuge dieser Entwicklung plante die Bundesregierung Ende der 1960er- und Anfang der 1970er-Jahre die Schaffung eines „allgemeinen arbeitsteiligen Informationssystems für die Bundesrepublik Deutschland“268 , das als „Bundesdatenbank“ bekannt wurde.269 Durch dieses System sollten zahlreiche Informationen – darunter auch personenbezogene Daten – aus verschiedenen Datenbanken zentralisiert zum Abruf durch staatliche Stellen zur Verfügung stehen.270 Ähnliche Planungen existierten auch auf Kommunal- und Landesebene sowie im privaten Bereich.271 Ein mit der Bundesdatenbank zusammenhängendes politisches Vorhaben war die Einführung eines Personenkennzeichens (PKZ) als „automationsgerechtes, numerisches Sortiermerkmal für Einwohnerdaten“272 . In Zusammenhang mit diesem Projekt kündigte die Bundesregierung auch an, die datenschutzrechtlichen Belange der Bürger bei Umsetzung des Vorhabens mit Mitteln des Strafrechts schützen zu wollen.273 Die Datenbankvorhaben lösten hinsichtlich des damit verbundenen Umgangs mit personenbezogenen Daten Kritik aus. Die Kritiker bemängelten, dass man den Gefahren solcher Systeme mit den gegebenen rechtlichen Vorschriften (etwa zur Amtsverschwiegenheit) nicht ausreichend begegnen könne274 und das Datenbankprojekt mit den verfassungsrechtlichen Anforderungen an den Persönlichkeitsschutz schlechthin unvereinbar 266
v. Rienen, S. 222. Eberle, S. 94 fasst die unterschiedlichen Begriffsverständnisse der „integrierten Datenverarbeitung“ zusammen. 268 BT-Drs. VI/648, S. 13 f.; vgl. auch Podlech, S. 36 f. m. w. N. zu diesem und ähnlichen Datenbankvorhaben. 269 Der Spiegel, 33/1968, S. 79; Seidel, S. 47 ff. 270 BT-Drs. VI/648, S. 13; v. Rienen, S. 222. 271 BT-Drs. VI/648, S. 13 f., 18 f. Zentrale Datenbanken, die staatliche und zivile Datenbestände verknüpften, wurden etwa im Bereich der Verbrechensbekämpfung aufgebaut und eingesetzt. Durch den Abgleich der Daten von Stromnetzversorgern sowie Einwohner- und Verkehrsmeldeämtern gelangte beispielsweise das BKA zu Erfolgen bei der Fahndung nach RAF-Mitgliedern; vgl. Berlinghoff , APuZ 2013, S. 14, 17 f. 272 BT-Drs. VI/648, S. 18; vgl. dazu Podlech, S. 37; v. Rienen, S. 232 ff.; Rissing-van Saan, S. 7. 273 BT-Drs. VI/648, S. 18. Gemeint waren hier Sonderdelikte im Hinblick auf die mit der Datenverarbeitung befassten Personen („Um den Zugriff Unbefugter auf Einwohnerdaten und deren Missbrauch zu verhindern, bedarf es nicht nur technischer Vorkehrungen, sondern auch Verhaltensund Strafvorschriften für diejenigen, die diese Daten zu verwalten haben.“). 274 v. Rienen, S. 225; Seidel, NJW 1970, S. 1581 ff. 267
56
1. Teil: Entwicklung des Datenschutzstrafrechts
sei.275 Es wurde befürchtet, dass der Verwaltung durch die Datenbanken umfangreiche Persönlichkeitsbilder von Bürgern zur Verfügung gestellt würden und die Verwaltung ihr Handeln zukünftig nach den verfügbaren Daten ausrichten würde anstatt diese nur für Hilfszwecke innerhalb ihres Aufgabenbereiches heranzuziehen.276 In der Verbrechensbekämpfung wäre es beispielsweise vorstellbar, dass Ermittler versuchen, Personen, die nach gewissen Kriterien als „besonders riskant“ eingestuft wurden, gezielt Straftaten nachzuweisen. In der Auseinandersetzung um das Personenkennzeichen wurde besonders deutlich, dass auch Informationen, die nach dem damals herrschenden juristischen Verständnis vom Persönlichkeitsrecht nicht allgemein geschützt waren, im Rahmen der Erstellung von Persönlichkeitsprofilen eine erhöhte Relevanz haben könnten.277 Mit der Erstellung von Persönlichkeitsprofilen verband sich sowohl in der juristischen Fachliteratur als auch in der allgemeinen Bevölkerung die Befürchtung der Erschaffung „einer total gelenkten Welt“278 . Schließlich scheiterten sowohl das Bundesdatenbankprojekt als auch die Einführung des PKZ.279 Ursächlich dafür waren sowohl (macht-)politische Fragen als auch technische Schwierigkeiten in der Umsetzung.280 In einem ähnlichen Zusammenhang fand in den 1960er-Jahren auch in den USA, die der BRD auf dem Bereich der EDV in der technischen Entwicklung bereits weit voraus waren, eine Auseinandersetzung um den Datenschutz statt. Die „Privacy“-Debatte der 1960er-Jahre prägte den deutschen Diskurs um den Datenschutz und später auch die Datenschutzgesetzgebung.281 Schon seit den späten 1950er-Jahren hatten sich verschiedene Autoren öffentlichkeitswirksam damit befasst, welche Gefahren der Privatsphäre durch neue Technologien drohen könnten.282 In der Mitte der 1960er-Jahre plante die US-amerikanische Regierung die Errichtung eines „National Data Center“,283 in dem Informationen aus den Bundesbehörden in einer zentralen Datenbank aggregiert werden sollten. In der Öffentlichkeit wurden diese Pläne sehr kritisch betrachtet. Es kam ab dem Jahr 1966 diesbezüglich zu Anhörungen im Kongress und im Repräsentantenhaus.284 Das Vorhaben scheiterte letztlich an den großen Bedenken hinsichtlich seiner Missbrauchsmöglichkeiten.285 In diesem Zusam275
Kamlah, DÖV 1970, S. 361, 364. v. Rienen, S. 230 f.; Rissing-van Saan, S. 10 f. 277 Kamlah, DÖV 1970, S. 361 m. w. N. 278 v. Rienen, S. 234 m. w. N.; vgl. auch Der Spiegel, 33/1968, S. 79. 279 Bericht und Antrag des Innenausschusses zu dem von der Bundesregierung eingebrachten Entwurf eines Gesetzes zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung vom 2. Juni 1976, BT-Drs. 7/5277, S. 3; v. Rienen, S. 225, 236. 280 Hohn, in: Ritter/Szöllösi-Janze/Trischler, S. 50, 70; v. Rienen, S. 225. 281 Vgl. nur Entwurf eines Gesetzes zum Schutz vor unbefugter Verwendung personenbezogener Daten vom 2. Dezember 1971, BT-Drs. VI/2885, S. 8; Lutterbeck, in: Sokol 1998, S. 7, 9. 282 Vgl. Tiedemann/Sasse, S. 71; Wollenteit, S. 150 m. w. N. Einflussreich waren unter anderem die Werke von Packard (The Naked Society, 1964), Westin (Privacy and Freedom, 1967) und Miller (The Assault on Privacy, 1971). 283 Teilweise auch als „National Data Bank“ bezeichnet. 284 Committee on Government Operations, The Computer and Invasion of Privacy, Hearings before a Subcommittee of the Committee on Government Operations, House of Representatives, EightyNinth Congress, Second Session, July 26, 27 and 28, 1966. 285 Kamlah, Datenschutz, S. 195, 197; Der Spiegel, 33/1968, S. 79. 276
§ 3 Datenschutzstrafrecht im engeren Sinne
57
menhang wurden in den USA Forderungen nach einer gesetzlichen Regelung zum Datenschutz laut,286 was zu einem bereichsspezifischen Tätigwerden der Legislative führte.287 Eine umfassende gesetzliche Regelung des Datenschutzes existiert in den USA jedoch bis heute nicht.288 Wie sich aus beiden Datenschutzdiskussionen dieser Zeit erkennen lässt, bestanden vor allem Bedenken gegen den staatlichen Umgang mit Daten ihrer Bürger. Die Befürchtung, dass auf der Grundlage von Datenmacht ein Überwachungsstaat im Stil von Orwells viel zitiertem dystopischen Roman „1984“ geschaffen werden könnte, ließ den Aspekt einer möglichen Bedrohung der Privatsphäre der Bürger durch unternehmerische Tätigkeiten in der Diskussion in den Hintergrund treten. So verfügten private Unternehmer in den Anfangszeiten der EDV auch weitestgehend noch nicht über die Mittel, um EDVProjekte mit einem ähnlichen Beeinträchtigungspotential wie die genannten staatlichen Vorhaben durchzuführen.289 Der privaten Datenverarbeitung kam erst ab den 1970er und 80er-Jahren eine größere Rolle zu.290
II. Der Weg zum ersten BDSG Ausgehend von den beschriebenen technischen Entwicklungen und neu aufkommenden Lebenssachverhalten wurde ab den späten 1960er-Jahren verstärkt nach rechtlichen Lösungen auf dem Gebiet des Datenschutzes gesucht. Begleitet von der Rechtsprechung des BVerfG wurden so die Datenschutzgesetze und ihre Straftatbestände erarbeitet. 1. Frühe Rechtsprechung des BVerfG Von großer Bedeutung für grundlegende gesetzgeberische Entscheidungen im Datenschutzrecht waren die beiden Entscheidungen „Mikrozensus“291 und „Scheidungsakten“292 , die vor Erlass der ersten Datenschutzgesetze ergingen. a) Mikrozensus Der Mikrozensus-Beschluss vom 16. Juli 1969 befasste sich mit der Zulässigkeit der Befragung einer Bürgerin zur Erstellung einer Repräsentativstatistik nach dem Mikrozensusgesetz. Das BVerfG prüfte die Vereinbarkeit dieses Gesetzes mit dem Grundgesetz. Dabei stand in Frage, ob die Verpflichtung, Angaben zu Urlaubs- und Erholungsreisen zu machen, die Intimsphäre des Befragten verletze und somit gegen Art. 1 und Art. 2 GG verstieß.293 286
BT-Drs. VI/2885, S. 8; Kamlah, Datenschutz, S. 195, 197. Etwa durch Erlass des Fair Credit Reporting Act vom 25. Mai 1970; vgl. Genz, S. 60 ff.; v. Rienen, S. 238. 288 Vgl. Genz, S. 125 f.; Spies, ZD 2011, S. 12. 289 Der Spiegel, 33/1968, S. 79. 290 v. Lewinski, in: Schmidt/Weichert, S. 23, 30; Polenz, in: Kilian/Heussen 2013, Kap. 131 Rn. 29. 291 BVerfGE 27, S. 1 ff. 292 BVerfGE 27, S. 344 ff. 293 BVerfGE 27, S. 1 ff. 287
58
1. Teil: Entwicklung des Datenschutzstrafrechts
Das BVerfG verneinte diese Frage im konkreten Fall, führte aber allgemein aus, dass es nicht mit der Menschenwürde zu vereinbaren wäre, „wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität einer statistischen Erhebung, und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich ist.“294 Auch durch anonyme Erhebungen könne ein „psychischer Druck öffentlicher Anteilnahme“ entstehen, durch den die freie Entfaltung der Persönlichkeit gehemmt werden könne. So könne der Rückzugsraum des Einzelnen beeinträchtigt werden, in dem er ein Recht habe, einsam zu sein und in Ruhe gelassen zu werden.295 Um die Verfassungsmäßigkeit bei anonymen Erhebungen zu wahren, sei die Anonymität des Befragten bei der Auswertung hinreichend zu gewährleisten. Das Gericht sah es dafür unter anderem als entscheidend an, dass nach § 12 BStatG in seiner damaligen Fassung persönliche Informationen grundsätzlich nicht veröffentlicht werden durften und die Auskunftsberechtigten „unter Strafandrohung zur Geheimhaltung verpflichtet“ waren.296 Hier betonte das BVerfG schon früh die Rolle des Strafrechts beim Schutz personenbezogener Informationen. b) Scheidungsakten Nachdem der „Mikrozensus“-Beschluss vor allem die Erhebung personenbezogener Daten betraf, erging das „Scheidungsakten“-Urteil vom 15. Januar 1970 als nächste richtungsweisende Entscheidung des BVerfG bezüglich eines Falles der Indiskretion. Gegen einen Oberstadtdirektor war ein Disziplinarverfahren geführt worden, weil dieser verdächtigt worden war, ein „ehebrecherisches Verhältnis unterhalten zu haben“297 . Der Untersuchungsführer des Disziplinarverfahrens verlangte Einsichtnahme in die Akten eines Ehescheidungsverfahrens, das der Oberstadtdirektor zuvor gegen seine Frau geführt hatte. Die Einsichtnahme wurde genehmigt und ihre Zulässigkeit von den Gerichten bestätigt, nachdem der Oberstadtdirektor den Rechtsweg beschritten hatte. Das BVerfG führte aus, dass der „unantastbare Bereich privater Lebensgestaltung“298 des Einzelnen grundrechtlich durch Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG geschützt sei. Die Übersendung der Akten zur Einsichtnahme sei ein Eingriff in diese grundrechtliche Position.299 Dieser könne nur mit Einverständnis der Betroffenen oder „im überwiegenden Interesse der Allgemeinheit unter strikter Wahrung des Verhältnismäßigkeitsgebotes gerechtfertigt“300 sein. Im vorliegenden Fall sah das BVerfG den Eingriff als nicht mit dem Grundsatz der Verhältnismäßigkeit vereinbar an. Die Erforderlichkeit der Einsicht in die Akten des Ehescheidungsverfahrens sei nicht hinreichend dargelegt worden. Es seien keine Ausführungen dazu gemacht worden, welche Bedeutung die Einsicht in die 294 295 296 297 298 299 300
BVerfGE 27, S. 1, 6. BVerfGE 27, S. 1, 6 f. BVerfGE 27, S. 1, 7. BVerfGE 72, S. 344, 345. BVerfGE 27, S. 344, 350 f. BVerfGE 27, S. 344 f. BVerfGE 27, S. 344, 350 f.
§ 3 Datenschutzstrafrecht im engeren Sinne
59
Scheidungsakten für das Disziplinarverfahren habe. Ferner sei keine einzelfallbezogene Abwägung dazu vorgenommen worden, ob die Einsichtnahme gerechtfertigt sei.301 Aus den Ausführungen des Gerichts im „Scheidungsakten“-Fall lassen sich zwei Grundvoraussetzungen für die rechtliche Zulässigkeit von Datenverarbeitungsvorgängen folgern, die später vom Gesetzgeber in den Datenschutzgesetzen umgesetzt wurden: Erstens ist die Übermittlung von personenbezogenen Daten ein Eingriff in ein Grundrecht, der einer Rechtfertigung bedarf.302 Zweitens hat das Prinzip der Zweckbindung zu gelten, wonach ein bestimmter Zweck im Voraus feststehen muss, um einen Datenverarbeitungsvorgang rechtfertigen zu können.303 2. Das HDSG und erste Landesdatenschutzgesetze Das Bundesland Hessen verabschiedete am 7. Oktober 1970 mit dem Hessischen Datenschutzgesetz (HDSG) das weltweit erste Datenschutzgesetz.304 Diese Vorreiterrolle Hessens steht in engem Zusammenhang mit den großen Bemühungen des Landes um die Umsetzung einer fortschrittlichen staatlichen Datenverarbeitung.305 Zwar gilt das erste hessische Datenschutzgesetz als prägend für den späteren Erlass von entsprechenden Regelungswerken in den übrigen Ländern und auf Bundesebene, es unterscheidet sich jedoch wesentlich von den heutigen Datenschutzgesetzen und dem ersten BDSG.306 Zunächst galt es nur für die öffentliche Verwaltung307 und maschinelle bzw. elektronische Datenverarbeitungsformen.308 Diese Einschränkungen wurden im Gesetzgebungsprozess des BDSG früh aufgegeben.309 Ferner traf das hessische Gesetz eher Regelungen, um den Prozess der Datenverarbeitung zu sichern, als solche zum Schutz von personenbezogenen Daten selbst.310 Ein richtungsweisender Aspekt des Regelungswerkes war jedoch die Einführung des Amts eines Datenschutzbeauftragten,311 das sich letztlich auch bei der Erarbeitung des BDSG nach längeren Diskussionen durchsetzte.312 Das erste hessische Datenschutzgesetz enthielt noch keinen Straftatbestand, in § 16 jedoch eine Ordnungswidrigkeitennorm. Demnach handelte derjenige ordnungswidrig, der vorsätzlich oder fahrlässig daran mitwirkte, Unbefugten dem Datenschutz unterliegende Kenntnisse zu verschaffen. Wie an dieser Regelung deutlich wird, setzte das erste HDSG – 301
BVerfGE 27, S. 344, 352 ff. Vgl. Tinnefeld, 2012, S. 68. Dieser Grundsatz wurde später auf alle Formen der Datenverarbeitung als Verbot mit Erlaubnisvorbehalt ausgedehnt. 303 Vgl. Kamlah, DÖV 1970, S. 361, 363. 304 GVBl. Hessen I, S. 625. 305 Lutterbeck, in: Sokol 1998, S. 7, 9; Der Spiegel 20/1971, S. 88. 306 v. Lewinski, in: 48. Assistententagung ÖR, S. 196, 210 f. spricht von einem Datenschutzgesetz der ersten Generation, das zwar schon so hieß, aber keines war. 307 Was auch der beschränkten Gesetzeskompetenz des Landesgesetzgebers geschuldet war; vgl. Tiedemann/Sasse, S. 101. 308 § 1 HDSG 1970. 309 Dazu unten 3. a). 310 §§ 2 ff. HDSG 1970; vgl. dazu v. Lewinski, in: Schmidt/Weichert, S. 23, 29. 311 §§ 7 ff. HDSG 1970; vgl. dazu Entwurf der Bundesregierung eines Gesetzes zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung vom 21. September 1973, BT-Drs. 7/1027, S. 8; v. Lewinski, in: Schmidt/Weichert, S. 23, 29; v. Rienen, S. 258. 312 BT-Drs. 7/5277, S. 8. 302
60
1. Teil: Entwicklung des Datenschutzstrafrechts
in der Tradition von Post- und Fernmeldegeheimnis – vor allem bei den Schweigepflichten der in Datenverarbeitungsprozesse involvierten Personen an, um den Schutz von personenbezogenen Daten zu erreichen.313 Kurze Zeit nach der Verabschiedung des Hessischen Datenschutzgesetzes erließen auch Bayern314 und Baden-Württemberg315 gesetzliche Regelungen für den Datenschutz im Verwaltungsbereich. Dazu erarbeiteten verschiedene Länder Entwürfe für Datenschutzgesetze, die weitestgehend vom hessischen Vorbild geprägt waren.316 Diese ersten Regelungen auf Landesebene flossen später als, aus Sicht der Bundesregierung, „wertvolle Vorarbeiten“317 in den Gesetzgebungsprozess des BDSG ein. 3. Entstehung des ersten BDSG Das erste BDSG war keine leichte Geburt. Von der Vorlage des ersten konkreten Regelungsentwurfs am 2. Dezember 1971318 bis zur Verabschiedung des BDSG am 1. Februar 1977319 lässt sich eine hitzige Diskussion nachvollziehen. Und auch im Anschluss gaben sich viele der Beteiligten mit dem Ergebnis dieses Prozesses nicht zufrieden: Die Forderungen nach einer Novellierung knüpften nahtlos an die erste Gesetzgebungsdebatte an.320 Im Folgenden soll die Entstehungsgeschichte des Gesetzes nachvollzogen werden, soweit sie für das Verständnis seiner Strafvorschriften von Belang ist. Dabei soll vor allem die Entwicklung der Straftatbestände sowie der gesetzlichen Grundprinzipien anhand der im Gesetzgebungsverfahren erarbeiteten Entwürfe321 dargestellt werden. a) Entwurf der interparlamentarischen Arbeitsgruppe Der erste Vorschlag322 für die konkrete Ausgestaltung des BDSG ging von einer interparlamentarischen Arbeitsgruppe von Abgeordneten aus allen Fraktionen aus, die am 313
v. Rienen, S. 257. Gesetz über die Organisation der elektronischen Datenverarbeitung im Freistaat Bayern vom 12. Oktober 1970, GVBl. Bayern, S. 457. Art. 16 Abs. 1 dieses Gesetzes bedrohte denjenigen mit Strafe der sich im Zusammenhang mit der Datenverarbeitung ein fremdes Geheimnis unbefugt verschaffte, es offenbarte oder verwertete. Die Strafandrohung war allerdings formell subsidiär gegenüber anderen verwirklichten Straftatbeständen bezüglich der gleichen Tat (Art. 16 Abs. 3 BayEDVG) und eine Verfolgung geschah nur auf Antrag (Art. 16 Abs. 4 BayEDVG). 315 Gesetz über die Datenzentrale Baden-Württemberg vom 17.11.1970, GVBl. BadenWürttemberg, S. 492. 316 BT-Drs. 7/1027, S. 15; Tiedemann/Sasse, S. 101. Mit einer Gesamtübersicht der ersten Gesetze zum Datenschutz LfD Hessen, Bericht 1971/1792, S. 13 f. 317 BT-Drs. 7/1027, S. 15. 318 BT-Drs. VI/2885. 319 BGBl. I, S. 201. 320 Entwurf eines Gesetzes zum Schutz personenbezogener Informationen vom 13. Dezember 1988, BT-Drs. 11/3730, S. 26; Polenz, in: Kilian/Heussen 2013, Kap. 131 Rn. 29; Scheja/Haag, in: Leupold/Glossner, Rn. 7. Als es im Jahr 1990 schließlich zu einer Novellierung kam, fiel das Urteil über das erste BDSG jedoch insgesamt positiv aus; Gola/Schomerus, Einleitung Rn. 5 m. w. N. 321 Einen allgemeinen Überblick über die Entwürfe gibt Liedtke, S. 126 ff. 322 Zu den ersten Vorüberlegungen zum BDSG im Bundestag Liedtke, S. 112 m. w. N. 314
§ 3 Datenschutzstrafrecht im engeren Sinne
61
2. Dezember 1971 einen ersten Entwurf für ein BDSG vorlegte (IPA-E).323 Dieser Entwurf sollte als Anstoß für ein weiteres gesetzgeberisches Vorgehen dienen.324 Obwohl er im 6. Deutschen Bundestag nicht mehr behandelt wurde,325 stellte der Arbeitsgruppenentwurf eine einflussreiche Quelle für den Diskurs um die Ausgestaltung des BDSG und weitere legislative Tätigkeiten dar.326 In dem Entwurf der interparlamentarischen Arbeitsgruppe wurde der grundlegende Ansatz zur Gewährleistung des Datenschutzes erstmals in der Einschränkung der Zulässigkeit der Datenverarbeitung gesucht.327 Nach § 8 Abs. 1 des Entwurfes, der „Kernvorschrift des Gesetzes“328 , sollte eine Weitergabe329 personenbezogener Daten an Dritte grundsätzlich nur noch zulässig sein, wenn der Empfänger aufgrund einer Rechtsvorschrift ein Recht auf Kenntnisnahme habe. Durch diese Regelung sollten die Anforderungen umgesetzt werden, die das BVerfG in seinen Entscheidungen „Mikrozensus“ und „Scheidungsakten“ grundlegend formuliert hatte.330 Dieser Gedanke wurde in den folgenden Entwürfen übernommen und weiterentwickelt, was in der Regelung eines grundsätzlichen Verbotes jeder Form der Erhebung, Verarbeitung und Nutzung von Daten im BDSG331 mündete, welches heute ein Grundprinzip332 des gesamten europäischen Datenschutzrechts darstellt.333 Zudem sah der Entwurf erstmals eine Regelung für den privaten Bereich vor.334 Dem folgten – trotz heftiger Kritik etwa durch Interessenvertreter der Privatwirtschaft335 – auch die späteren Entwürfe336 und die spätere Gesetzesfassung. Eine weitere wichtige Neuerung, die sich durchsetzte,337 war, dass – anders als im ersten HDSG – auch manuelle Datenverarbeitungsformen erfasst wurden.338 Zudem war ein verschuldensunabhängiger Schadensersatzanspruch bei rechtswidriger Datenverarbeitung vorgesehen. Gemäß § 3 Abs. 3 S. 1 IPA-E sollten bei Rechtsverlet323
BT-Drs. VI/2885. BT-Drs. VI/2885, S. 8. 325 BT-Drs. 7/1027, S. 14. 326 BT-Drs. 7/1027, S. 15; Podlech, S. 35. 327 Zuvor war bei der Verschwiegenheit des Datenverarbeitungspersonals angesetzt worden; vgl. oben 2. Dies war auch im IPA-E noch bezüglich anderer Verarbeitungsphasen als der Weitergabe der Fall; vgl. § 10 IPA-E. 328 BT-Drs. VI/2885, S. 11. 329 Das Pendant zur Weitergabe im heutigen BDSG sowie den folgenden Entwürfen ist die Übermittlung; vgl. dazu unten Dritter Teil § 10 IV. 2. a) cc). Der IPA-E kannte zwar weitere Datenverarbeitungsphasen (vgl. etwa § 10 Abs. 1 IPA-E), regelte diese aber nicht detailliert. 330 BT-Drs. VI/2885, S. 11. 331 § 3 BDSG 1977, heute geregelt in § 4 Abs. 1 BDSG. 332 Das prinzipielle Verbot der Datenverarbeitung ist jedoch nicht unumstritten; vgl. nur Spindler, GRUR 2013, S. 996, 999. 333 Vgl. Art. 7 EG-Datenschutzrichtlinie; dazu Tinnefeld, NJW 2001, S. 3078, 3081; kritisch zu diesem Verständnis Simitis, NJW 1997, S. 281, 282 f. 334 § 12 Abs. 1 IPA-E; BT-Drs. VI/2885, S. 9. 335 Rissing-van Saan, S. 18 m. w.N. 336 Der Bundesminister des Innern, Schutz der Privatsphäre vom 7. September 1972, BT-Drs. VI/3826, S. 1; BT-Drs. 7/1027, S. 15, 17 f. Anders Podlech, S. 43 f., der gleichwohl eine Regelung für den privaten Bereich für notwendig hielt. 337 BT-Drs. 7/1027, S. 17 f.; § 1 Abs. 2 BDSG 1977; kritisch hierzu Tiedemann/Sasse, S. 139 ff. 338 § 1 IPA-E. 324
62
1. Teil: Entwicklung des Datenschutzstrafrechts
zungen durch „widerrechtliche Speicherung, Einsicht, Änderung oder Vernichtung oder durch einen widerrechtlichen Abruf“339 vor allem immaterielle Schäden ersetzt werden. Die Forderung, einen solchen Anspruch in das erste BDSG aufzunehmen, kam zwar am Ende des Gesetzgebungsverfahrens durch eine Ausschussempfehlung noch einmal auf,340 setzte sich aber nicht durch.341 Der Entwurf enthielt auch Straf- und Ordnungswidrigkeitenbestimmungen. Die Strafnorm § 24 IPA-E sollte hauptsächlich die Verletzung von Verschwiegenheitspflichten durch mit der Datenverarbeitung befasste Personen (§§ 24 Abs. 1 lit. a), b), e), 10 IPA-E) sowie Komplementärhandlungen (§ 24 Abs. 2 IPA-E) sanktionieren. Im Übrigen sollten mit dem Anzapfen von Datenleitungen und dem Einführen bestimmter Programme besonders gefährliche Vorfeldhandlungen erfasst werden.342 Die Begründung des Entwurfs zu den Straf- und Ordnungswidrigkeitenvorschriften fiel sehr knapp aus und verwies nur darauf, dass diese aus dem Kontext heraus verständlich seien.343 b) Referentenentwurf des BMI Die Bundesregierung sah den „Schutz der Privatsphäre des Staatsbürgers“ – im Gegensatz zur interparlamentarischen Arbeitsgruppe – auch ohne ein bundesweites Datenschutzgesetz als „gegen Eingriffe und Mißbräuche beim Betrieb von automatischen Informationssystemen der öffentlichen Hand ausreichend gesichert“344 an. Dennoch teilte sie auf eine Kleine Anfrage einiger Parlamentarier345 im Oktober 1970 mit, dass „mit der Vorbereitung des Entwurfs eines Gesetzes zum Schutz der Privatsphäre begonnen“ worden sei.346 Damit waren die Arbeiten des BMI an einem ersten Referentenentwurf des BDSG (RefE)347 gemeint. Diese wurden von den Beteiligten als zeitraubend und schwierig beschrieben.348 Um die Materie zu bewältigen, nahm man daher wissenschaftliche Unterstützung in Anspruch: Mehrere Forschungsgutachten wurden in Auftrag gegeben. Darunter befand sich Steinmüllers Gutachten zu den „Grundfragen des Datenschutzes“,349 dessen Untersuchungsergebnisse die Struktur des ersten BDSG formten.350 Das Gutachten formulierte inhaltliche und regelungstechnische Grundideen, die in die spätere Gesetzesfassung übernommen wurden. Hier taucht auch erstmals der Begriff der infor-
339
BT-Drs- VI/2885, S. 10. Empfehlungen der Ausschüsse zum Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung vom 18. Juni 1976, BR-Drs. 422/1/76, S. 15 f. 341 BR-Drs. 422/1/76, S. 16 f. Verwiesen wurde zur Begründung auf die unausgereifte Formulierung der Regelung und die Erforderlichkeit einer weiteren Prüfung der Thematik. 342 § 24 Abs. 1 lit c) und d) IPA-E. 343 BT-Drs. VI/2885, S. 15. 344 BT-Drs. VI/648, S. 21. 345 BT-Drs. VI/1150. 346 Der Bundesminister des Innern, Elektronische Datenverarbeitung und Schutz der Privatsphäre vom 5. Oktober 1970, BT-Drs. VI/1223, S. 3. 347 BMI, Dokumentation, S. 349 ff. 348 BT-Drs. VI/3826, S. 2. 349 Steinmüller, abgedruckt in BT-Drs. VI/3826, S. 5 ff. 350 Polenz, in: Kilian/Heussen 2013, Kap. 131 Rn. 29. 340
§ 3 Datenschutzstrafrecht im engeren Sinne
63
mationellen Selbstbestimmung auf,351 den das BVerfG in seinem Volkszählungsurteil352 aufgegriffen und zur Grundlage des gesamten Datenschutzrechts gemacht hat. Im Folgenden sollen die für die vorliegende Untersuchung relevanten Inhalte des RefE kurz in Zusammenhang mit Steinmüllers Untersuchung erläutert werden. Nach Steinmüller sollten alle Informationen geschützt und damit vom Anwendungsbereich des BDSG umfasst werden, die entweder direkten Bezug zu Personen oder Personengruppen hätten oder aus denen sich ein solcher Bezug herstellen ließe.353 Den Begriff der Privatsphäre hingegen sah er aufgrund seiner nur relativen Bestimmbarkeit als Anknüpfungspunkt als unbrauchbar an.354 Dem folgend wollte der RefE gemäß seinen §§ 2 und 3 Abs. 1 grundsätzlich sämtliche in Dateien gespeicherte und sonst verarbeitete personenbezogene Daten in seinen Anwendungsbereich mit einbeziehen. Der zentrale Begriff des personenbezogenen Datums ist mit der hier vorgeschlagenen Formulierung noch heute weitestgehend identisch.355 Das Gutachten formulierte zudem den Gedanken, dass das Datenschutzrecht im Hinblick auf sein Schutzgut dort anknüpfen solle, wo die Gefahr entstehe, der es entgegenwirken solle: Bei der Informationsverarbeitung.356 Daher solle sich die gesetzliche Regelung an verschiedenen Datenverarbeitungsphasen orientieren: Der Informationsermittlung, -erfassung, -speicherung, -veränderung, -weitergabe und -löschung.357 Der Referentenentwurf folgte diesem Konzept des phasenorientierten Datenschutzes:358 Er unterschied dabei zwischen dem Speichern, Verändern, Weitergeben359 und Löschen von Daten. Das Konzept des phasenorientierten Datenschutzes hat sich in der gesetzlichen Regelung durchgesetzt und bildet auch die Grundlage für die datenschutzrechtlichen Straftatbestände. Im Hinblick auf die strafrechtliche Komponente postulierte Steinmüller, dass „sämtliche Datenschutzvorschriften nur dann sinnvoll“ seien, „wenn sie auch strafrechtlich abgesichert sind.“360 Eine strafrechtliche Regelung für den Datenschutz sei „dringend geboten“361 und schon deswegen angebracht, weil auch im Übrigen die Verletzung von Persönlichkeitsrechten mit strafrechtlichen Sanktionen bedroht zu werden pflege.362 Nach Steinmüller sollten „das rechtswidrige Speichern und Weitergeben von Individualinformationen, das Abgeben an Dritte, ohne selbst die Informationen zu verarbeiten“, und „die Vernachlässigung von Datensicherungsmaßnahmen“363 strafrechtlich sanktioniert 351
Steinmüller, S. 5, 93. BVerfGE, 65, S. 1 ff.; näher dazu unten III. 1. 353 Steinmüller, S. 5, 56. 354 Steinmüller, S. 5, 48 ff. 355 Wobei im RefE im Gegensatz zum ersten und dem heutigen BDSG auch Angaben über juristische Personen umfasst sein sollten; vgl. § 2 Abs. 1 RefE, § 3 Abs. 1 BDSG. 356 Steinmüller, S. 5, 48. 357 Steinmüller, S. 5, 57 ff. 358 Vgl. § 2 Abs. 2 RefE. 359 Später begrifflich ersetzt durch das Übermitteln. 360 Steinmüller, S. 5, 154. 361 Steinmüller, S. 5, 62. 362 Steinmüller, S. 5, 154. 363 Steinmüller, S. 5, 154. Von letzterem sollten sowohl das Nichtergreifen bzw. Verhindern von Datensicherungsmaßnahmen als auch das Umgehen vorhandener Maßnahmen umfasst sein. 352
64
1. Teil: Entwicklung des Datenschutzstrafrechts
werden. Hierbei ist zu berücksichtigen, dass Steinmüller Fälle der „Informationsverfälschung“, also der Veränderung und Löschung von Daten, bereits vom Straftatbestand der Fälschung technischer Aufzeichnungen (§ 268 StGB) als ausreichend erfasst ansah. Für Verstöße solle ein Strafrahmen von einem bis zu fünf Jahren Freiheitsentzug gelten, in leichteren Fällen könne jedoch auch die Verhängung von Geldbußen ausreichen.364 Im Gegensatz zu dieser Einschätzung fiel die Fassung des datenschutzrechtlichen Straftatbestandes im Referentenentwurf eher zurückhaltend aus. Mit Strafe bedroht werden sollte im Grundtatbestand des § 32 Abs. 1 RefE die unbefugte Weitergabe von Daten im Anwendungsbereich des Gesetzes.365 Die Tathandlung der unbefugten Veränderung von Daten sollte gemäß Abs. 2 der Vorschrift nur dann strafbar sein, wenn sie gegen Entgelt oder mit Schädigungs- oder Bereicherungsabsicht geschähe. Abs. 3 der Vorschrift sollte ein Antragserfordernis vorsehen. In der Diskussion um den Referentenentwurf wurden in der Folge vielfach Erweiterungen der Strafnorm vorgeschlagen. Gefordert wurde vor allem eine Erweiterung der umfassten Tathandlungen,366 aber auch die Umwandlung der Strafvorschrift in ein Offizialdelikt367 und eine Anhebung des Strafmaßes.368 In der Begründung zum RefE wird auch erstmals die Möglichkeit erwähnt, die Straftatbestände „wegen ihrer allgemeinen Bedeutung“369 in das StGB zu integrieren. Das Problem, dass die Regelungen bei einer Einordnung in das BDSG der Allgemeinheit möglicherweise weitestgehend unbekannt bleiben würden, wurde schon in der Diskussion im Rahmen der Anhörung zum Referentenentwurf im November 1972 erkannt; eine weitere Behandlung der Thematik wurde jedoch aufgeschoben.370 c) Alternativentwurf von Podlech In der Folge der Erarbeitung des RefE entwickelte Podlech einen Alternativentwurf zur bundesweiten Regelung des Datenschutzes (AltE), da er die vom BMI geplanten Regelungen für ungeeignet hielt, um einen effektiven Datenschutz zu bewirken.371 Der Entwurf beschränkte sich auf eine Regelung des Bereichs der öffentlichen Verwaltung, dem sich Podlech als seiner Ansicht nach eigenständigem Regelungsbereich innerhalb des Datenschutzrechts widmete.372 364
Steinmüller, S. 5, 154. So wird hier die Weitergabe von Daten als der Fall angesehen, „von dem die größte Gefahr für die Privatsphäre ausgehen kann“; BMI, Dokumentation, S. 413; so später zum RegE auch BT-Drs. 7/1027, S. 31. 366 Dammann und andere regten an, darüber nachzudenken, „auch Eingriffstatbestände für das rechtswidrige Herausholen von Daten“ zu schaffen. Dazu wurde die Ergänzung einer strafbewehrten Tathandlung gefordert, die das Entgegennehmen bzw. Speichern von Daten umfasst; BMI, Dokumentation, S. 336 ff. 367 Diese Forderung war jedoch aufgrund der Notwendigkeit eines Schutzes des Betroffenen vor den Risiken eines unerwünschten Strafverfahrens umstritten; BMI, Dokumentation, S. 334 ff. 368 BMI, Dokumentation, S. 335. Begründet wurde dies mit der Erforderlichkeit einer Parallelität zum Tatbestand der Verletzung von Privatgeheimnissen im StGB. 369 BMI, Dokumentation, S. 413; vgl. zum RegE BT-Drs, 7/1027, S. 31. 370 BMI, Dokumentation, S. 334 f. 371 Entwurf eines Bundesrahmengesetzes zum Schutz personenbezogener Daten und Informationen im Bereich der öffentlichen Verwaltung, Podlech, S. 1 ff. 372 Podlech, S. 41. 365
§ 3 Datenschutzstrafrecht im engeren Sinne
65
Der Alternativentwurf basierte auf den Regelungen des IPA-E, wodurch eine Vielzahl von Bestimmungen mit diesem deckungsgleich war.373 Abweichungen ergaben sich unter anderem dadurch, dass Podlech sich bei seinem Entwurf besonders stark der technischen Realität der Datenverarbeitung verpflichtet fühlte.374 Einzelne Datenverarbeitungsvorgänge werden im AltE genauer als im IPA-E erfasst. Die Straftatbestände des § 57 AltE waren dementsprechend angepasst. In § 57 Abs. 1 Nr. 5 AltE war erstmals das rechtswidrige Löschen von Daten als strafbare Handlung vorgesehen. Von den übrigen Entwürfen wich Podlech im Grundsatz insofern ab, als dass er den Strafbestimmungen im Gesamtwerk des Datenschutzgesetzes eine andere Rolle einräumte: Der Datenschutz sollte durch ein „organisatorisches Modell“375 gewährleistet werden. Dabei sollten zur Zweckerreichung zunächst organisatorische Maßnahmen376 und der Programmschutz377 dienen. Betroffenenrechte und Strafbestimmungen nannte Podlech unter den anzuwendenden Mitteln erst an dritter Stelle.378 d) Regierungsentwurf Am 21. September 1973 brachte die Bundesregierung nach Überarbeitung des Referentenentwurfs ihren Entwurf für ein Bundesdatenschutzgesetz (RegE) im Bundestag ein.379 Die Regelungen des RegE folgten grundsätzlich denen des RefE, weshalb die hier verankerten datenschutzrechtlichen Grundlagen keiner weiteren Erörterung bedürfen. Der Straftatbestand des § 32 Abs. 1 RegE380 wurde, teilweise der in den Anhörungen geäußerten Kritik folgend, erweitert. Erfasst werden sollte neben der Weitergabe nunmehr auch das unbefugte Verändern, Abrufen oder Sich-Verschaffen aus verschlossenen Dateien von Daten. Abs. 2 der Vorschrift stellte eine Qualifikation bei Vornahme dieser Handlungen gegen Entgelt, mit Bereicherungs- oder Schädigungsabsicht dar. Diese Entwurfsfassung ist in § 41 des BDSG von 1977 übernommen worden und bildet die Grundlage aller geltenden Straftatbestände der Datenschutzgesetze. e) Das erste BDSG von 1977 Der RegE des BDSG wurde nach seiner ersten Lesung an diverse Ausschüsse überwiesen. Nach strittigen Beratungen schlug der federführende Innenausschuss in seinem 373
Vgl. Liedtke, S. 224; speziell zu den Strafbestimmungen Podlech, S. 80. Podlech, S. 43. 375 Podlech, S. 39. 376 Z. B. die Trennung von Kontrollstellen und datenverarbeitenden Stellen; §§ 36 ff. AltE. 377 Vgl. §§ 26 ff. AltE. Verwendete Programme wie Datenverarbeitungsprogramme sollten z. B. gemäß § 29 f. AltE von Aufsichtsämter getestet und genehmigt werden. 378 Podlech, S. 38 f. 379 BT-Drs. 7/1027. 380 § 32 BDSG RegE in der Fassung vom 21. September 1973 lautete: „(1) Wer unbefugt von diesem Gesetz geschützte personenbezogene Daten 1. weitergibt oder verändert oder 2. abruft oder sich aus in Behältnissen verschlossenen Dateien verschafft, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) Handelt der Täter gegen Entgelt oder in der Absicht, einen anderen zu schädigen sich oder einen anderen zu bereichern, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe. (3) Die Tat wird nur auf Antrag verfolgt.“ 374
66
1. Teil: Entwicklung des Datenschutzstrafrechts
Bericht vom 2. Juni 1976381 einige Änderungen vor,382 die die Strafvorschrift des § 32 RegE aber nicht direkt betrafen.383 Am 10. Juni 1976 wurde das Gesetz mit den vorgeschlagenen Änderungen384 gegen die Stimmen der Opposition beschlossen.385 Nach einer Einschaltung des Vermittlungsausschusses, die wiederum leichte Abänderungen zur Folge hatte,386 passierte das Gesetz auch den Bundesrat und wurde schließlich vom Bundespräsidenten ausgefertigt und im Bundesgesetzblatt am 1. Februar 1977 verkündet.387 Es trat am 1. Januar 1978 in Kraft. Im Wesentlichen folgt die verabschiedete Fassung des BDSG dem Regierungsentwurf. Erhebliche Änderungen ergaben sich lediglich auf dem Bereich der Regelungskontrollen des Gesetzes.388 Das Prinzip des Verbots mit Erlaubnisvorbehalt wurde in § 3 BDSG 1977 zentral geregelt. Der bundesweiten Regelung folgend verabschiedeten bis zum Ende der 1970er-Jahre fast alle Länder Datenschutzgesetze bzw. novellierten die bereits vorhandenen Regelwerke.389 Wie schon vor seiner Verabschiedung waren die Regelungen des BDSG auch in der Folge Gegenstand einer lebhaften rechtspolitischen Diskussion.390 Gestritten wurde mit Vorliebe über die Weite des Anwendungsbereichs des Gesetzes; spezifisch strafrechtlich wurde die mangelnde Bestimmtheit der Tatbestände kritisiert.391
III. Volkszählungsurteil und zweites BDSG Das Volkszählungsurteil des BVerfG vom 15. Dezember 1983392 stellt nach der Verabschiedung des ersten BDSG den nächsten erheblichen Einschnitt in der Geschichte des Datenschutzrechts dar.393 Während schon zuvor eine Novellierung des BDSG gefordert worden war, gab das verfassungsgerichtliche Grundsatzurteil zum Datenschutz endgültig Anlass dazu, das BDSG neu zu fassen.394 Dabei wurden neben den Vorgaben des Verfassungsgerichts auch technologische Entwicklungen und die bisher gezogenen prakti381
BT-Drs. 7/5277. So wurde die Schaffung des Amtes des Bundesdatenschutzbeauftragten an dieser Stelle in die Wege geleitet; BT-Drs. 7/5277, S. 5; Liedtke, S. 133. 383 Betroffen war allerdings ein in § 33 RegE geregelter zusätzlicher Straftatbestand für den Fall der Verletzung einer Geheimnispflicht. Von der Einführung der Vorschrift wurde aufgrund der Regelung der Materie in § 203 StGB Abstand genommen; dazu BT-Drs. 7/5277, S. 11. 384 Nach einem letzten Änderungsantrag der der Fraktion der CDU/CSU vom 9. Juni 1976, BT-Drs. 7/5332. 385 BT-StenBer 7/520, S. 17752 f. 386 Unterrichtung durch den Bundesrat über Anrufung des Vermittlungsausschusses vom 28. Juni 1976, BT-Drs. 7/5497; Antrag des Vermittlungsausschusses vom 9. Juli 1976, BT-Drs. 7/5568. 387 BGBl. I, S. 201. 388 Etwa durch die Einführung des Amtes eines Bundesbeauftragten für den Datenschutz in §§ 17 ff. BDSG 1977; vgl. auch Liedtke, S. 242 ff. 389 Gola/Schomerus, Einleitung Rn. 1 m. w. N. 390 Nach Gola/Schomerus, Einleitung Rn. 5 haben dem Parlament bis zur Novellierung im Jahre 1990 insgesamt zehn Gesetzesentwürfe vorgelegen. 391 Herb, S. 25 ff., 183 ff.; Rissing-van Saan, S. 18 f. m. w. N. 392 BVerfGE 65, S. 1 ff. 393 Scheja/Haag, in: Leupold/Glossner, Rn. 7; Tinnefeld, 2012, S. 68. 394 Polenz, in: Kilian/Heussen 2013, Kap. 131 Rn. 29. 382
§ 3 Datenschutzstrafrecht im engeren Sinne
67
schen Erfahrungen berücksichtigt.395 Zudem wurde bereits in einem begrenzten Umfang auch internationalen Vorgaben – namentlich der Datenschutzkonvention des Europarats – Rechnung getragen.396 Die Novellierung führte unter anderem zu einer Erweiterung des Anwendungsbereichs des BDSG sowie seiner Straftatbestände im Vergleich zum ersten BDSG von 1977. 1. Das Volkszählungsurteil Das Volkszählungsurteil erging aufgrund mehrerer Verfassungsbeschwerden gegen das Volkszählungsgesetz vom 25. März 1982.397 Dieses Regelwerk sah eine weitreichende Erhebung von persönlichen Daten bei den befragten Personen vor.398 Das BVerfG nahm die Beunruhigung der Bevölkerung über die im Rahmen der Volkszählung geplante Datenerhebung und das bisherige Fehlen einer ausführlichen verfassungsgerichtlichen Rechtsprechung zum Datenschutz zum Anlass, „die verfassungsrechtlichen Grundlagen des Datenschutzes umfassender zu prüfen.“399 Als Novum im deutschen Verfassungsrecht formulierte das Gericht das Grundrecht auf informationelle Selbstbestimmung als Bestandteil des allgemeinen Persönlichkeitsrechtes gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG: „Aus dem Gedanken der Selbstbestimmung [folgt die] Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“400 . Es sei Bestandteil dieses Rechtes, dass Bürger „wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“401 Für eine Einschränkung dieses Rechtes bedürfe es einer verfassungsgemäßen gesetzlichen Grundlage.402 Zu der Frage, unter welchen Voraussetzungen ein Eingriff in das Recht auf informationelle Selbstbestimmung durch die Befragung der Bürger gerechtfertigt werden könnte, stellte das BVerfG allgemein fest, dass es aufgrund der Möglichkeiten der automatischen Datenverarbeitung kein „belangloses“ Datum mehr geben könne. Die Frage ob eine Datenerhebung zulässig sei, hänge folglich wesentlich davon ab, zu welchem Zweck diese geschehe und welche Verwendung der Daten vorgesehen sei. Der Verwendungszweck müsse daher stets „bereichsspezifisch und präzise bestimmt“403 werden.
395 Entwurf der Bundesregierung eines Gesetzes zur Fortentwicklung der Datenverarbeitung und des Datenschutzes vom 6. April 1989, BT-Drs. 11/4306, S. 35; Büllesbach, NJW 1991, S. 2593. 396 Dammann, NVwZ 1991, S. 640, 641. 397 BGBl. I, S. 369. 398 Erhoben werden sollten bei der Volkszählung unter anderem Angaben über Religionszugehörigkeit, Lebensunterhaltsquellen, berufliche Stellung, Ausbildung, Arbeits- oder Ausbildungsstätte sowie diverse gebäude-, wohnungs- und unternehmensstatistische Daten; vgl. BVerfGE 65, S. 1, 4 ff. 399 BVerfGE 65, S. 1, 4. 400 BVerfGE 65, S. 1, 42. 401 BVerfGE 65, S. 1, 43. 402 BVerfGE 65, S. 1, 44. 403 BVerfGE 65, S. 1, 46. So beruhte auch die Unvereinbarkeit des § 9 Abs. 1, Abs. 2 des Volkszählungsgesetzes unter anderem auf einem Verstoß gegen das Zweckbindungserfordernis; BVerfGE 65, S. 1, 65 ff.
68
1. Teil: Entwicklung des Datenschutzstrafrechts
Obwohl das Volkszählungsurteil überwiegend als Meilenstein für den Datenschutz und den Schutz von Persönlichkeitsrechten angesehen wird,404 soll an dieser Stelle erwähnt werden, dass seine Bedeutung für den Datenschutz zum Teil auch kritisch gesehen wird. So sei durch das Urteil möglicherweise eine Entwicklung in Gang gebracht worden, die auch negative Folgen für den Datenschutz habe: Aufgrund der durch das BVerfG gestellten Anforderungen sei der Schutz des informationellen Selbstbestimmungsrechtes mit unpassenden juristischen Instrumenten – nämlich durch den Erlass zahlreicher bereichsspezifischer verwaltungsrechtlicher Regelungen – behandelt worden.405 Diese „unendlich zersplittert[en]“406 Regelungen für den Datenschutz seien außerhalb von Expertenkreisen nicht verständlich gewesen, worauf ein mangelndes Datenschutzbewusstsein der Allgemeinheit zurückzuführen sei.407 2. Das zweite BDSG Nach dem Volkszählungsurteil fasste der Gesetzgeber das BDSG grundlegend neu. Am 1. Juni 1991 trat das überarbeitete zweite BDSG in Kraft.408 Bereits zuvor hatten mehrere Länder ihre Datenschutzgesetze den neuen verfassungsrechtlichen Vorgaben angepasst,409 die übrigen folgten nach der Novellierung auf Bundesebene.410 a) Allgemeine Änderungen Die Neufassung setzte bei dem in § 1 Abs. 1 BDSG 1990 festgelegten Gesetzeszweck an und trug der verfassungsgerichtlichen Betonung des Persönlichkeitsschutzes Rechnung. Im Mittelpunkt sollte nicht mehr der Schutz von personenbezogenen Daten vor Missbrauch, sondern der Schutz des Individuums vor Beeinträchtigung seiner Persönlichkeitsrechte stehen.411 Der rechtmäßige Umgang mit personenbezogenen Daten sollte nunmehr unabhängig vom Erfordernis des Vorliegens eines Missbrauchs sichergestellt werden.412 Als Voraussetzung für den rechtmäßigen Umgang mit personenbezogenen Daten wurde – vor allem für den öffentlichen Bereich413 – das vom BVerfG im Volkszählungsurteil
404
Vgl. nur BfDI, 25 Jahre Volkszählungsurteil, S. 1 ff. Lutterbeck, in: Sokol 1998, S. 7, 20 f. 406 v. Lewinski, in: Schmidt/Weichert, S. 23, 30. 407 v. Lewinski, in: Schmidt/Weichert, S. 23, 29 f. 408 BGBl. 1990 I, S. 2954. 409 Büllesbach, NJW 1991, S. 2593, 2595. Eine Vorreiterrolle nahm hier erneut Hessen ein; vgl. Dammann, NVwZ 1991, S. 640, 641. 410 Gola, NJW 1993, S. 3109; Gola/Schomerus, Einleitung Rn. 8. 411 Dammann, NVwZ 1991, S. 640, 641; Gola, NJW 1993, S. 3109, 3110. Vor diesem Hintergrund wird der Begriff „Datenschutz“ als Bezeichnung der Regelungsmaterie bis heute kritisiert; vgl. nur Genz, S. 9; v. Lewinski, Matrix, S. 3 ff. 412 Büllesbach, NJW 1991, S. 2593, 2595. 413 Kritisch zur unterlassenen Regelung im privaten Bereich Dammann, NVwZ 1991, S. 640, 642; insgesamt zum Auseinanderfallen der Regelungen für öffentlichen und privaten Bereich Gola/ Schomerus, Einleitung Rn. 7. 405
§ 3 Datenschutzstrafrecht im engeren Sinne
69
betonte Zweckbindungserfordernis im Gesetz verankert.414 Dies wirkte sich auf die Regelung der Strafvorschriften derart aus, dass in § 43 Abs. 2 Nr. 1 BDSG 1990 diverse Fälle der zweckwidrigen Weitergabe von Daten mit Strafe bedroht wurden. Des Weiteren wurden die Stellung des Bundesbeauftragten für den Datenschutz sowie der datenschutzrechtlichen Aufsichtsbehörden415 gestärkt.416 Darüber hinaus erweiterte der Gesetzgeber den Anwendungsbereich des BDSG. Das Gesetz fand nicht mehr ausschließlich auf personenbezogene Daten in oder aus als Dateien bezeichneten bestimmten Datensammlungen Anwendung,417 sondern sollte auch Akten als „sonstige amtlichen oder dienstlichen Zwecken dienende Unterlagen“ in seinen Schutzbereich mit einbeziehen.418 Allerdings galt diese Erweiterung nur für den öffentlichen und nicht für den privaten Sektor.419 Diese Beschränkung des Anwendungsbereichs zugunsten des nicht-öffentlichen Sektors war umstritten,420 die Grundzüge der Regelung bestehen allerdings bis heute fort.421 Ferner wurden auch die Erhebung422 und Nutzung423 von Daten als eigenständige Phasen des gesetzlich erfassten Umgangs mit Daten geregelt.424 Punktuell wurde der Anwendungsbereich jedoch auch verkürzt.425 Dies geschah etwa dadurch, dass der Umgang von personenbezogenen Daten im privaten Bereich beruflichen und gewerblichen Zwecken dienen musste.426 Schließlich erfolgte eine Stärkung der Betroffenenrechte.427 Unter anderem wurden Schadensersatzvorschriften in das BDSG eingeführt. Während § 7 BDSG 1990 einen verschuldensunabhängigen Schadensersatzanspruch gegenüber öffentlichen Stellen für Fälle der unzulässigen oder unrichtigen automatisierten Datenverarbeitung normierte, regelte
414
BT-Drs. 11/4306, S. 35 f.; geregelt unter anderem in §§ 14 Abs. 1, 28 Abs. 4 BDSG 1990. Näher zu diesen unten Dritter Teil § 13 II. 1. b). 416 BT-Drs. 11/4306, S. 37; dazu Dammann, NVwZ 1991, S. 640, 642 f.; vgl. auch kritisch Büllesbach, NJW 1991, S. 2593, 2599. Das BVerfG hatte die Bedeutung des Amtes des Bundesdatenschutzbeauftragten für den Schutz des Rechtes auf informationelle Selbstbestimmung zuvor ausdrücklich hervorgehoben; BVerfGE 65, S. 1, 46. 417 Vgl. § 3 Abs. 2 BDSG 1990. 418 Vgl. § 3 Abs. 3 BDSG 1990. Dammann, NVwZ 1991, S. 640, 641 spricht diesbezüglich von der „Schließung der weitgeöffneten Hintertüren des Gesetzes“. 419 Mit Ausnahme des § 27 Abs. 2 BDSG 1990. 420 Der Regierungsentwurf des Gesetzes wollte die generelle Beschränkung des Anwendungsbereiches auf Daten mit Dateibezug erhalten (BT-Drs. 11/4306, S. 36), der Bundesrat allerdings hielt die beschriebene Erweiterung vor dem Hintergrund der durch das BVerfG formulierten Anforderungen an den Schutz des Rechtes auf informationelle Selbstbestimmung für notwendig (BT-Drs. 11/4306, S. 72). Dem folgte die Empfehlung des Innenausschusses vom 29. Mai 1990 (BT-Drs. 11/7235, S. 101). Die Literatur kritisierte die Nichtmiteinbeziehung des privaten Sektors bei der konzeptionellen Fortentwicklung des BDSG; vgl. nur Dammann, NVwZ 1991, S. 640, 643. 421 Vgl. § 1 Abs. 2 Nr. 3 BDSG; Gola/Schomerus, § 1 Rn. 22a. 422 § 3 Abs. 4 BDSG 1990. 423 § 3 Abs. 6 BDSG 1990. 424 Dazu Büllesbach, NJW 1991, S. 2593, 2595 f.; Dammann, NVwZ 1991, S. 640, 641. 425 Dazu Büllesbach, NJW 1991, S. 2593, 2596 f. 426 § 1 Abs. 2 Nr. 3 BDSG 1990; zur Begründung BT-Drs. 11/4306, S. 38. Diese Einschränkung wurde allerdings mittlerweile wieder aufgehoben. 427 Dazu Büllesbach, NJW 1991, S. 2593; Dammann, NVwZ 1991, S. 640, 642. 415
70
1. Teil: Entwicklung des Datenschutzstrafrechts
§ 8 BDSG 1990 eine Umkehr der Beweislast bei streitigen Schadensersatzansprüchen wegen rechtswidriger Datenverarbeitung gegenüber privaten Stellen.428 b) Reform der Strafvorschrift Die Strafnorm des § 43 BDSG 1990 wurde gegenüber dem ersten BDSG erheblich erweitert. Zunächst wurde die Speicherung als Tathandlung in § 43 Abs. 1 Nr. 1 BDSG 1990 mit aufgenommen. Das Bereithalten zum Abruf mittels automatisierten Verfahrens wurde in Nr. 2 als neue Begehungsvariante eingefügt.429 Die Strafbarkeit des Verschaffens von Daten wurde gemäß Abs. 1 Nr. 3 durch den Wegfall der einschränkenden Voraussetzung „in Behältnissen verschlossenen“ erweitert. In § 43 Abs. 2 wurde dazu ein gänzlich neuer Katalog strafbarer Handlungen eingeführt. Das Erschleichen der Übermittlung geschützter Daten (Nr. 1) sowie bestimmte Fälle der Weitergabe von Daten unter Verstoß gegen den Zweckbindungsgrundsatz (Nr. 2) und die De-Anonymisierung von Daten (Nr. 3) wurden unter Strafe gestellt.430 Der Bundesrat bat die Regierung aufgrund dieser Erweiterung, zu prüfen, eine Einschränkung der Strafandrohung anhand der zusätzlichen Voraussetzung des Vorliegens einer Bereicherungs- oder Schädigungsabsicht aufzunehmen.431 Dies wirkte sich jedoch nicht auf die Fassung der Strafnorm aus. Eher dem Ansinnen des Bundesrats dürfte der Entwurf der SPD-Fraktion eines Bundes-Informationsschutzgesetzes (BISG-E)432 entsprochen haben, das an die Stelle des Bundesdatenschutzgesetzes treten sollte. Die hier vorgeschlagene Strafnorm433 setzte – wie der heutige § 44 Abs. 1 BDSG – ein Handeln gegen Entgelt oder das Vorliegen von Bereicherungs- oder Schädigungsabsicht zur Begründung einer Strafbarkeit voraus. Im Übrigen sollten die Tathandlungen nur als Ordnungswidrigkeiten behandelt werden, um unter anderem eine „Entkriminalisierung“434 herbeizuführen. Dazu sollte der Straftatbestand des BISG-E gegenüber anderen durch die gleiche Tat verwirklichten Straftatbeständen formell subsidiär sein.435 Entgegen der Tendenz der Entkriminalisierung beabsichtigte man allerdings auch, eine Versuchsstrafbarkeit einzuführen436 und das Antragserfordernis entfallen zu lassen, was jedoch nicht näher begründet wurde.437 428 Zunächst war bis zum Regierungsentwurf die Einführung einer Gefährdungshaftung auch für den privaten Bereich vorgesehen gewesen; BT-Drs. 11/3730, S. 30; BT-Drs. 11/4306, S. 41 ff. In der Beschlussempfehlung des Innenausschusses wurde davon jedoch schließlich Abstand genommen; BT-Drs. 11/7235, S. 102. 429 Hierdurch erfolgte jedoch keine Erweiterung der Strafbarkeit, da das Bereithalten zum Abruf vorher vom Begriff des Übermittelns umfasst gewesen war; vgl. § 2 Abs. 2 Nr. 2 a. E. BDSG 1977, § 3 Abs. 5 Nr. 3 BDSG 1990; BT-Drs. 11/4306, S. 55. 430 Die knappe Begründung des RegE hierzu lautete, dass diese Arten des unzulässigen Umgangs mit personenbezogenen Daten in ihrem Unrechtsgehalt mit den Tatbeständen in Abs. 1 vergleichbar seien. Durch das Einbeziehen der Handlung des Erschleichens einer Übermittlung sollten insbesondere Hacker erfasst werden; BT-Drs. 11/4306, S. 55. 431 BT-Drs. 11/4306, S. 81. 432 BT-Drs. 11/3730. 433 § 57 BISG-E. 434 BT-Drs. 11/3730, S. 28, 41. 435 § 57 Abs. 2 BISG-E. 436 § 57 Abs. 1 S. 3 BISG-E. 437 BT-Drs. 11/3730, S. 41.
§ 3 Datenschutzstrafrecht im engeren Sinne
71
IV. Datenschutzrichtlinie und drittes BDSG Schon als das zweite BDSG in Kraft trat, zeichnete sich die baldige Notwendigkeit einer erneuten Novellierung aufgrund internationaler Vorgaben ab. Der erste Entwurf einer europäischen Datenschutzrichtlinie lag zu diesem Zeitpunkt bereits vor.438 Die Richtlinie sollte die in der Datenschutz-Konvention des Europarates von 1981439 enthaltenen Grundsätze konkretisieren und erweitern.440 Nach Überarbeitung dieses Entwurfs441 wurde die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie) verabschiedet, die am 13. Dezember 1995 in Kraft trat.442 Die Richtlinie war stark an den unterschiedlichen existierenden nationalen Regelungen orientiert und übernahm auch Elemente des BDSG.443 So wurde eine Novellierung des BDSG zwar erforderlich, nicht aber eine grundlegende Neuordnung der Regelungen.444 1. Allgemeine Änderungen Nachdem schon zuvor mehrere Bundesländer ihre Datenschutzgesetze an die Vorgaben der Richtlinie angepasst hatten,445 trat das dritte BDSG am 23. Mai 2001 in Kraft.446 Damit war die dreijährige Umsetzungsfrist der Richtlinie447 erheblich überschritten worden. Durch die Novellierung wurde der Umfang der Regelungen des BDSG deutlich erhöht.448 Die Änderungen zielten vor allem auf eine Erhöhung der Transparenz der Datenverarbeitung für den Betroffenen sowie weitere Einschränkungen der Zulässigkeit der Datenverarbeitung bei einer gleichzeitigen Erweiterung des Anwendungsbereiches.449 Erhebliche Auswirkungen hatte die Richtlinie auf die Regelungen des Datenschutzes vor allem für den privaten Bereich. Hier wurden die Standards gegenüber dem geltenden Recht erhöht und die durch das BDSG 1990 bewirkten Abweichungen der Regelungen in dem privaten im Vergleich zum öffentlichen Bereich teilweise wieder ausgeglichen.450 Zu438 KOM(1990) 314 endg. Das Europäische Parlament hatte sich schon in den 1970er-Jahren für eine Regelung durch die EG ausgesprochen; Entschliessung über den Schutz der Rechte des Einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der automatischen Datenverarbeitung vom 13. März 1975, ABl. EG Nr. C 60, S. 48; vgl. auch Simitis, NJW 1997, S. 281 m. w. N. 439 BGBl. 1985 II, S. 538 ff. 440 Erwägungsgrund 11 der EG-Datenschutzrichtlinie; Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 13. Oktober 2000, BT-Drs. 14/4329, S. 27. 441 KOM(1992) 422 endg. 442 ABl. EG 1995 Nr. L 281, S. 31. 443 Tinnefeld, NJW 2001, S. 3078, 3081. Simitis, NJW 1997, S. 281, 282 f. sah diese Orientierung am Bestehenden als Notwendigkeit an, um die europaweite Regelung überhaupt durchzusetzen. 444 Gola/Schomerus, Einleitung Rn. 10 m. w. N. 445 Gola, NJW 2000, S. 3749 m. w. N. 446 BGBl I 2001, S. 904. 447 Art. 32 EG-Datenschutzrichtlinie. 448 Gola, NJW 2000, S. 3749, 3750. Dies wurde aufgrund der daraus folgenden schlechteren Übersichtlichkeit des Gesetzes kritisiert; Scheja/Haag, in: Leupold/Glossner, Rn. 11. 449 BT-Drs. 14/4329, S. 29; Gola/Schomerus, Einleitung Rn. 14 ff. 450 Simitis, NJW 1997, S. 281, 287; Tinnefeld, NJW 2001, S. 3078, 3080.
72
1. Teil: Entwicklung des Datenschutzstrafrechts
nächst wurde der Anwendungsbereich des Gesetzes für den privaten Bereich erweitert.451 Jede Datenverarbeitung unter Einsatz von Datenverarbeitungsanlagen sowie die Erhebung von Daten wurde umfasst. Das einschränkende Erfordernis eines beruflichen oder gewerblichen Zwecks entfiel,452 eine Ausnahme für den Umgang mit Daten für persönliche oder familiäre Tätigkeiten wurde eingefügt.453 Zudem wurde die Geltung des Zweckbindungsgrundsatzes auf den privaten Bereich erstreckt.454 Gleichzeitig und damit zusammenhängend wurden auch die Betroffenenrechte erweitert.455 Der Schadensersatzanspruch nach dem BDSG wurde auf private Stellen ausgedehnt, allerdings insofern von einem Verschulden abhängig gemacht.456 Auch für den öffentlichen Bereich neu geregelt wurde etwa ein Widerspruchsrecht hinsichtlich der Verarbeitung von Daten entgegen des Schutzinteresses des Betroffenen.457 Darüber hinaus enthielt die Richtlinie Ansätze einer zu diesem Zeitpunkt bereits diskutierten Selbstregulierung im Privatbereich, Regelungen für den Austausch von personenbezogenen Daten mit Drittstaaten, besondere Restriktionen bezüglich der Verarbeitung sensibler Daten und eine Stärkung der Datenschutzkontrolle.458 In die zur Umsetzung der Richtlinie erforderliche Neufassung des BDSG flossen weiter einzelne Regelungen zur Modernisierung des Datenschutzrechts ein, die sich nicht aus den europäischen Vorgaben ergaben.459 Dazu gehörte der Grundsatz der Datenvermeidung und Datensparsamkeit,460 der sich auf die Auswahl und Gestaltung von Datenverarbeitungssystemen bezog und den „Einsatz datenschutzfreundlicher Technik“461 voraussetzte. 2. Reform der §§ 43, 44 BDSG Zu den nicht durch die Datenschutzrichtlinie vorgegebenen Änderungen gehörte auch eine grundlegende Umstellung der Straf- und Ordnungswidrigkeitenvorschriften des BDSG.462
451
Art. 3 Abs. 1 EG-Datenschutzrichtlinie, § 1 Abs. 2 Nr. 3 BDSG 2001. Zum Wegfall weiterer Anwendungseinschränkungen Gola/Schomerus, Einleitung Rn. 15; Tinnefeld, NJW 2001, S. 3078, 3081. 453 Dazu näher unten Dritter Teil § 9 IV. 3. 454 Geregelt unter anderem in Art. 6 EG-Datenschutzrichtlinie und § 4 Abs. 3 Nr. 2 BDSG; dazu Dammann, NVwZ 1991, S. 640, 643; Simitis, NJW 1997, S. 281, 285. 455 Tinnefeld, NJW 2001, S. 3078, 3083. Zu den Änderungen insbesondere im Hinblick auf die Informations- und Benachrichtigungspflichten der datenverarbeitenden Stellen sowie die Auskunftsrechte des Betroffenen Gola/Schomerus, Einleitung Rn. 17 f.; Simitis, NJW 1997, S. 281, 285 f. 456 § 7 BDSG 2001. 457 Art. 14 EG-Datenschutzrichtlinie, §§ 20 Abs. 5, 35 Abs. 5 BDSG 2001. 458 BT-Drs. 14/4329, S. 29; Gola, NJW 2000, S. 3749, 3753; Tinnefeld, NJW 2001, S. 3078, 3081 f. 459 BT-Drs, 14/4329, S. 30; Gola/Schomerus, Einleitung Rn. 12. 460 § 3a BDSG 2001. 461 BT-Drs, 14/4329, S. 30; dazu Tinnefeld, NJW 2001, S. 3078, 3080. 462 Art. 24 EG-Datenschutzrichtlinie hatte lediglich allgemein vorgeschrieben, dass die Mitgliedstaaten geeignete Maßnahmen zu ergreifen und Sanktionen festzulegen hätten, um die volle Anwendung der Bestimmungen der Richtlinie sicherzustellen; dazu näher unten Zweiter Teil § 6 II. 2. a). 452
§ 3 Datenschutzstrafrecht im engeren Sinne
73
Der RegE des Gesetzes hatte zunächst lediglich vorgesehen, die Tathandlungen der bestehenden Strafvorschrift terminologisch anzupassen und entsprechend des neuen Anwendungsbereiches des Gesetzes zu erweitern sowie den Kreis der Antragsberechtigten auszudehnen.463 Der Bundesrat jedoch regte in seiner Stellungnahme zu dem Gesetzesentwurf eine weitgehende Änderung der Vorschriften an: Ein unbefugter Umgang mit personenbezogenen Daten sollte nur noch dann strafbar sein, wenn er mit Schädigungs- oder Bereicherungsabsicht oder gegen Entgelt stattfände.464 Sonstige, bisher strafbare Handlungen ohne Vorliegen dieser Merkmale sollten lediglich Ordnungswidrigkeiten darstellen.465 Dieses Konzept wurde in Anlehnung an die Regelungskonzeptionen in verschiedenen Bundesländern vorgeschlagen.466 Zudem sollte die Strafbarkeitsvoraussetzung, dass die betroffenen Daten nicht offenkundig seien, durch die Voraussetzung, dass sie nicht allgemein zugänglich seien, ersetzt werden.467 Zur Begründung der Einschränkung der strafbedrohten Handlungen verwies man auf die Vielzahl der von der bisherigen Strafvorschrift erfassten Handlungen, die schwierigen zur Feststellung von Strafbarkeiten erforderlichen Interessenabwägungen, die geringe praktische Bedeutung der bisherigen Strafnorm sowie ihre damit zusammenhängende verfassungsrechtliche Umstrittenheit im Hinblick auf das strafrechtliche Bestimmtheitsgebot.468 Durch die grundsätzliche Handhabung als Ordnungswidrigkeiten sollte die Sanktionierung von Gesetzesverstößen flexibler möglich sein.469 In ihrer Gegenäußerung befürwortete die Bundesregierung daraufhin eine grundlegende Überarbeitung und Neufassung der §§ 43, 44 BDSG unter Beachtung des Verhältnismäßigkeitsgrundsatzes und Heranziehung der Empfehlungen zur Ausgestaltung von Straf- und Bußgeldvorschriften im Nebenstrafrecht.470 In Folge einer Beschlussemp-
463 BT-Drs, 14/4329, S. 19 f. Über den Betroffenen hinaus sollten auch die für die Datenverarbeitung verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Aufsichtsbehörde antragsberechtigt sein. Bei dieser Änderung lehnte man sich an Art. 28 Abs. 3, dritter Spiegelstrich EG-Datenschutzrichtlinie an, wonach den Datenschutzkontrollstellen ein Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen nationale Vorschriften zur Umsetzung der Richtlinie einzuräumen war; BT-Drs. 14/4329, S. 47. 464 In den Voraussetzungen und dem Strafmaß entsprechend der bisherigen Qualifikation in § 43 Abs. 3 BDSG 1990. 465 BT-Drs. 14/4329, S. 58 ff. Dabei sollte der Bußgeldrahmen gegenüber dem bisherigen erhöht werden. 466 BT-Drs. 14/4329, S. 59; vgl. etwa GVBl. Hessen I 1999, S. 97 ff. In Schleswig-Holstein war sogar eine vollständige Entpönalisierung von Datenschutzverstößen erfolgt; GVBl. Schl.-H. 2000, S. 169. 467 BT-Drs. 14/4329, S. 58 f. 468 BT-Drs. 14/4329, S. 59. 469 BT-Drs. 14/4329, S. 59; vgl. auch Beschlussempfehlung und Bericht des Innenausschusses vom 4. April 2001, BT-Drs. 14/5793, S. 66. 470 Unterrichtung durch die Bundesregierung vom 31. Oktober 2000, BT-Drs. 14/4458, S. 2 f.; die Empfehlungen sind veröffentlicht als Beilage Nr. 178a zum Bundesanzeiger vom 16. Juli 1999.
74
1. Teil: Entwicklung des Datenschutzstrafrechts
fehlung des Innenausschusses wurde die vorgeschlagene Umstellung schließlich umgesetzt.471 Die neue Strafvorschrift § 44 BDSG verweist seitdem in ihrem Abs. 1 auf die Ordnungswidrigkeitentatbestände des § 43 Abs. 2 BDSG und bedroht die dort geregelten Tathandlungen unter der Voraussetzung mit Strafe, dass sie mit Bereicherungsabsicht, Schädigungsabsicht oder gegen Entgelt verwirklicht werden. Systematisch stellt § 44 BDSG damit einen unechten Mischtatbestand i. S. d. § 14 Abs. 4 OWiG dar, bei dem sich aus einem Ordnungswidrigkeitentatbestand durch das Hinzutreten weiterer objektiver oder subjektiver Merkmale ein Straftatbestand ergibt.472 Die Regelung des § 44 BDSG aus dem dritten BDSG ist bis heute unverändert geblieben. Die von § 43 Abs. 2 BDSG erfassten Handlungen sind punktuell ergänzt worden. Die Reformierung der §§ 43, 44 BDSG durch das dritte BDSG bedeutete aufgrund der Beschränkung der strafbaren Handlungen auf solche, die gegen Entgelt, mit Bereicherungs- oder Schädigungsabsicht vorgenommen werden, einen wesentlichen Einschnitt in der Entwicklung dieser Vorschriften. So fielen durch die Voraussetzungen des entgeltlichen Handelns und des Handelns mit Bereicherungs- oder Schädigungsabsicht zahlreiche Formen des rechtswidrigen Umgangs mit personenbezogenen Daten aus dem strafbaren Bereich heraus.473 Gleichwohl lässt sich nicht klar belegen, dass durch die Entschärfung der Strafvorschrift des BDSG die praktischen Fälle ihrer Anwendung zurückgegangen sind. In der Strafverfolgungsstatistik des Statistischen Bundesamtes wurden die Straftatbestände der Datenschutzgesetze erst ab dem Berichtsjahr 2007 erfasst.474 In den von der Polizeilichen Kriminalstatistik (PKS) erfassten Fällen ist lediglich ein leichter Rückgang in den Jahren 2002–2005 (2002: 324475 , 2003: 353476 , 2004: 274477 , 2005: 211478 ) gegenüber steigenden Fallzahlen um die Jahrtausendwende (1999: 238479 ,
471 BT-Drs. 14/5793, S. 35 f., 66. § 43 Abs. 1 BDSG 2001 enthielt nun, um weitere Handlungen ergänzt, die zuvor in § 44 Abs. 1 BDSG 1990 geregelten Ordnungswidrigkeitentatbestände. In § 43 Abs. 2 Nr. 1–3 BDSG 2001 fanden sich die ehemals nach § 43 Abs. 1 BDSG 1990 strafbaren Handlungen wieder. In § 43 Abs. 2 Nr. 4–6 BDSG wurden die ehemals nach § 43 Abs. 2 BDSG 1990 strafbaren Handlungen übernommen. Ergänzungen erfolgten im Hinblick auf die potentiell strafbaren Handlungen lediglich im Rahmen der bereits im RegE vorgeschlagenen Änderungen: Das Merkmal der „allgemeinen Zugänglichkeit“ ersetzte das Merkmal der „Offenkundigkeit“, § 43 Abs. 2 Nr. 1 BDSG 2001 erfasste anstatt des Speicherns, Veränderns oder Übermittelns nun umfassender und terminologisch angepasst das Erheben oder Verarbeiten von Daten. Die sanktionierbaren Formen des Verschaffens von Daten gemäß § 43 Abs. 2 Nr. 3 BDSG 2001 wurden dem veränderten Anwendungsbereich des Gesetzes angepasst. Eine grundlegendere Überprüfung der von §§ 43, 44 BDSG erfassten Handlungen sollte erst im Rahmen einer weiteren Reform des Gesetzes erfolgen. 472 BT-Drs. 14/5793, S. 66. Zur Unterscheidung von echten und unechten Mischtatbeständen Dietmeier, S. 48 f. 473 Näher zu den Merkmalen des § 44 Abs. 1 BDSG und ihrer Bedeutung unten Dritter Teil § 10 VI. 474 Näher dazu unten Dritter Teil § 10 X. 2. 475 PKS 2002, S. 42. 476 PKS 2003, S. 44. 477 PKS 2004, S. 44. 478 PKS 2005, S. 44. 479 PKS 1999, S. 44.
§ 3 Datenschutzstrafrecht im engeren Sinne
75
2000: 366480 , 2001: 441481 ) zu verzeichnen.482 Ein direkter Einfluss der Reform der Strafvorschrift durch das am 23. Mai 2001 in Kraft getretene dritte BDSG lässt sich hier nicht ablesen. Dies beruht auch darauf, dass die in der PKS erfassten Fälle sowohl Straftaten gegen das BDSG als auch Straftaten gegen die Landesdatenschutzgesetze beinhalten. Bei wie vielen der Fälle es sich um Straftaten gegen das BDSG handelt, führt die PKS erst seit dem Berichtsjahr 2009 auf. Daher ist für die Zeiträume vor und unmittelbar nach Inkrafttreten des BDSG 2001 keine sichere Aussage darüber zu treffen, wie viele der erfassten Fälle die §§ 43, 44 BDSG betrafen. Festzuhalten ist allerdings, dass die Fallzahlen der PKS vor der Reform der §§ 43, 44 BDSG im Jahr 2001 sogar unter Einbeziehung der Straftaten gegen die Landesdatenschutzgesetze im Wesentlich unterhalb der Fallzahlen lagen, die seit dem Jahr 2009 allein für Straftaten gegen das BDSG ermittelt wurden.483 Des Weiteren können aufgrund der konstant niedrigen Fallzahlen für Straftaten gegen die Datenschutzgesetze in der PKS eine Vielzahl von Faktoren für relativ starke Schwankungen ursächlich sein.484 Schließlich lässt sich auch anhand der bekannt gewordenen Gerichtsentscheidungen zu den §§ 43, 44 BDSG keine Tendenz eines Rückgangs der praktischen Anwendung erkennen.
V. Modernisierung und weitere Novellen Schon vor der Verabschiedung des dritten BDSG setzte die Planung einer grundlegenden Neukonzeption des Datenschutzrechts ein.485 Davon sollten auch die Sanktionsvorschriften des BDSG umfasst sein, die im Rahmen der Novelle zum dritten BDSG bezüglich der umfassten Handlungen bewusst nur leicht verändert worden waren.486 Trotz diverser Bemühungen487 um eine vollständige Novellierung und Modernisierung des Datenschutzrechts ist eine solche bis heute nicht umgesetzt worden. Tatsächlich wurden die Regelungen des BDSG nur noch punktuell ergänzt.488 Die umfassende Modernisierung wird indes weiterhin gefordert.489 Die Perspektive ihrer Realisierung verschiebt sich derweil zunehmend auf die europäische Ebene. Im Hinblick auf den Fortschritt der Modernisierung des Datenschutzrechts richteten sich einige Bundestagsabgeordnete im März 2008 mit einer Kleinen Anfrage an die Bundesregierung, wobei auch die §§ 43, 44 BDSG thematisiert wurden.490 Auf die Frage, ob 480
PKS 2000, S. 42. PKS 2001, S. 42. 482 Näher zu den in der PKS erfassten Fällen unten Dritter Teil § 10 X. 1. 483 Vgl. unten Dritter Teil § 10 X. 1. 484 So könnte beispielsweise bereits das „Auffliegen“ eines einzelnen kriminellen Akteurs oder einer Bande, die in eine Vielzahl von Fällen Delikte nach den §§ 43, 44 BDSG begangen hat, die Zahlen signifikant in die Höhe treiben. 485 BT-Drs, 14/4329, S. 30 f.; Gola, NJW 2000, S. 3749, 3754 f.; Tinnefeld, NJW 2001, S. 3078, 3079. 486 BT-Drs. 14/5793, S. 66. 487 Vgl. etwa Roßnagel/Pfitzmann/Garstka, S. 10 ff. 488 Dazu Scheja/Haag, in: Leupold/Glossner, Rn. 12 ff. 489 BfDI, Bericht 2009/2010, S. 21 m. w. N. 490 Kleine Anfrage vom 12. März 2008, BT-Drs. 16/8578, S. 2. 481
76
1. Teil: Entwicklung des Datenschutzstrafrechts
man „das bestehende Sanktionensystem hinsichtlich der genannten Tatbestände, der Höhe der Bußgelder bzw. der Strafandrohung, dem Antragserfordernis gemäß § 44 BDSG und der tatsächliche verhängten Sanktionen im BDSG für ausreichend und angemessen“491 halte, antwortete die Bundesregierung, dass sich dieses „grundsätzlich als ausreichend und angemessen bewährt“492 habe. 1. BDSG-Novellen von 2009 Zuletzt wurde das BDSG im Jahr 2009 in drei Stufen in einzelnen Regelungsbereichen novelliert.493 Anliegen waren dabei unter anderem die Stärkung der Verbraucher- bzw. Betroffenenrechte und die Erhöhung der Transparenz des Umgangs mit personenbezogenen Daten im Auskunfteiwesen.494 Im Rahmen der zweiten dieser Novellen495 erfolgte eine Erweiterung des Kataloges ordnungswidriger Handlungen in § 43 Abs. 1 und 2 BDSG. Insgesamt wurden zwölf neue Bußgeldtatbestände eingeführt.496 Auch die Summen der regelmäßig möglichen Geldbußen in § 43 Abs. 3 BDSG wurden erhöht.497 Der Bundesrat schlug im Gesetzgebungsverfahren vor, die unbefugte Nutzung personenbezogener Daten umfassend mit Bußgeld und unter den zusätzlichen Voraussetzungen des § 44 Abs. 1 BDSG mit Strafe zu bedrohen. So äußerte der Bundesrat in einer Stellungnahme, dass „[i]n jüngster Vergangenheit bekannt gewordene Verstöße nichtöffentlicher Stellen im Umgang mit personenbezogenen Daten, insbesondere die unbefugte Verwendung personenbezogener Daten durch Stellen, die personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, und der damit einhergehende Missbrauch von Daten über Bankverbindungen zur unbefugten Abbuchung von Geldbeträgen“, Anlass dazu gäben, „auch die unbefugte Nutzung nicht allgemein zugänglicher personenbezogener Daten als Ordnungswidrigkeit im Sinne des § 43 Abs. 2 einzustufen und im Falle der Bereicherungs- oder Schädigungsabsicht unter Strafandrohung zu stellen.“498 Die unbefugte Nutzung personenbezogener Daten habe für den Betroffenen häufig die gleichen negativen Auswirkungen wie ihre unbefugte Übermittlung.499 Dieses Ansinnen wurde jedoch von der Bundesregierung abgelehnt, weil dadurch „auch Verhaltensweisen erfasst [werden], die das informationelle Selbstbestimmungsrecht des Betroffenen nur vergleichs491
BT-Drs. 16/8578, S. 2. Antwort der Bundesregierung vom 28. März 2008, BT-Drs. 16/8668, S. 6. 493 Gola/Schomerus, Einleitung Rn. 22 ff. m. w. N. 494 Vgl. zu den Änderungen im Einzelnen Gola/Klug, NJW 2009, S. 2577, 2579 ff.; Roßnagel, NJW 2009, S. 2716. 495 BGBl. 2009 I, S. 2814. 496 Vgl. Entwurf der Bundesregierung eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften vom 18. Februar 2009, BT-Drs. 16/12011, S. 35; Simitis/Ehmann, § 43 Rn. 31. Nach § 43 Abs. 2 Nr. 5a, 5b und 7 BDSG sind bußgeld- und potentiell strafbedroht nun das Abhängigmachen eines Vertragsschlusses von einer Einwilligung zum Umgang mit Daten, Verarbeitung und Nutzung von Daten zur Werbung, Markt- oder Meinungsforschung und die Verletzung der Mitteilungspflicht nach § 42a BDSG; dazu näher unten Dritter Teil § 10 IV. 2. b), 3. c), 4. a) und c). 497 BT-Drs. 16/12011, S. 35 f.; dazu näher unten Dritter Teil § 11 V. 498 Entwurf der Bundesregierung eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes vom 10. Oktober 2008, BT-Drs. 16/10529, S. 29 f. 499 BT-Drs. 16/10529, S. 30. 492
§ 3 Datenschutzstrafrecht im engeren Sinne
77
weise geringfügig beeinträchtigen und bei denen daher eine Ahndung als Ordnungswidrigkeit unverhältnismäßig erscheint.“500 Zudem wurde vom Bundesrat auch die Ausgestaltung des § 44 BDSG als relatives Antragsdelikt und eine entsprechende Anpassung des § 44 Abs. 2 BDSG vorgeschlagen.501 Auch dieses Ansinnen lehnte die Bundesregierung jedoch ab.502 2. Europäische Datenschutzverordnung In jüngster Zeit hat sich die Perspektive der Modernisierung des Datenschutzrechts zunehmend auf die europäische Ebene verlagert. Im Januar 2012 legte die Europäische Kommission einen Entwurf für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DSGVO-E) vor.503 Durch die Regelung einer Datenschutzverordnung soll der Datenschutz in der Europäischen Union technologischen Entwicklungen angepasst und stärker harmonisiert werden.504 Mit der Verordnung soll ein durchsetzbarer Rechtsrahmen geschaffen werden, der auch gleiche Sanktionen im Falle der Verletzung des Datenschutzes vorsieht.505 Dabei soll die Datenschutzverordnung an die Stelle der EG-Datenschutzrichtlinie treten.506 Die Verordnung würde in den Mitgliedsstaaten unmittelbar gelten und aufgrund ihres Anwendungsvorrangs die Vorschriften des BDSG und der Landesdatenschutzgesetze weitestgehend verdrängen.507 Im Oktober 2013 hat sich der federführende Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (LIBE) für das Reformvorhaben ausgesprochen und dazu eine Vielzahl von Änderungsanträgen bezüglich des Kommissionsentwurfes beschlossen.508 Am 12. März 2014 nahm das Europäische Parlament den neu ausgehandelten Text der Verordnung an.509 Als nächster Schritt im Gesetzgebungsverfahren sind Trilog-Verhandlungen zwischen Europäischem Parlament, Rat und Europäischer Kommission vorgesehen. An einer hierfür erforderlichen Einigung im Rat der Europäischen Union fehlt es jedoch noch. In ihrem Arbeitsprogramm für das Jahr 2015 hat die
500
BT-Drs. 16/12011, S. 52. BT-Drs. 16/10529, S. 30. 502 BT-Drs. 16/12011, S. 53; näher dazu unten Dritter Teil §§ 10 VIII. und 13 II. 1. a). 503 KOM(2012) 11 endg. 504 Vgl. Erwägungsgründe 5 und 7 DSGVO-E. Zur stärkeren Harmonisierung durch Wahl des Instruments der Rechtsverordnung Eckhardt/Kramer/Mester, DuD 2013, S. 623 ff.; Hornung, ZD 2013, S. 99, 100. 505 Vgl. Erwägungsgründe 6, 9 und 11 DSGVO-E; näher zu den vorgesehenen Sanktionen nach dem DSGVO-E unten Zweiter Teil § 6 II. 2. c). 506 Art. 88 DSGVO-E. 507 Vgl. Eckhardt/Kramer/Mester, DuD 2013, S. 623, 625; Taeger/Gabel/Taeger/Schmidt, Einführung Rn. 59. 508 LIBE, Bericht über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) vom 22. November 2013, A7-0402/2013. 509 Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, P7_TA-PROV(2014)0212. 501
78
1. Teil: Entwicklung des Datenschutzstrafrechts
Kommission angekündigt, die Verhandlungen über die Datenschutzverordnung zum Abschluss bringen.510 Ob dieses Ziel tatsächlich erreicht wird, ist derzeit schwer abzusehen.511 Zu beachten ist zusätzlich, dass die Anwendung der Datenschutzverordnung nicht unmittelbar nach ihrer Verabschiedung und ihrem Inkrafttreten vorgesehen ist. Nach Art. 91 Abs. 2 DSGVO-E soll die Verordnung erst zwei Jahre nachihrem Inkrafttreten angewandt werden. Nach dem derzeitigen Stand des Verfahrens könnten die Regelungen also frühestens im Jahre 2017 Geltung entfalten.
VI. Bereichsspezifischer Datenschutz Es existieren zahlreiche Gesetze, die für bestimmte Bereiche eigene Vorschriften zum Datenschutz vorsehen. Dies ist vor allem dem Volkszählungsurteil des BVerfG geschuldet, das dem Gesetzgeber aufgab, bereichsspezfische Befugnisse für den Umgang mit Daten zu schaffen.512 Entsprechend der vielfältigen Lebensbereiche, in denen es zum Umgang mit personenbezogenen Daten kommt, ist die Masse der bereichsspezifischen Regelungen kaum überschaubar.513 1. Allgemeines Grundsätzlich lässt sich zwischen bereichsspezifischen Datenschutzregelungen mit umfassendem Charakter und lediglich punktuellen Regelungen unterscheiden. Regelungen mit umfassendem Charakter „führen einen bestimmten Bereich einer mehr oder weniger abschließenden“514 Regelung zu. Beispiele hierfür sind die datenschutzrechtlichen Regelungen von TMG515 und TKG516 . Punktuelle Regelungen hingegen normieren bloß „für eine ganz bestimmte Konstellation eine begrenzte Datenverarbeitungsbefugnis für eine bestimmte Stelle“517 . So legt beispielsweise § 16 Abs. 6 des Tierschutzgesetzes (TierSchG) spezifisch fest, wann die Erhebung und Verwendung von personenbezogenen Daten durch die für die Durchführung des Gesetzes zuständigen Behörden im Rahmen ihrer Aufsicht zulässig ist.518 510
Arbeitsprogramm der Kommission 2015, KOM(2014) 910 endg, S. 7. Das Ziel der ehemaligen Vizepräsidentin der Europäischen Kommission Reding, die Datenschutzverordnung bis zum Ende des Jahres 2014 zu verabschieden, wurde nach der Europawahl 2014 jedenfalls verfehlt; vgl. Europäischen Kommission, Pressemitteilung vom 28. Januar 2014, Tag des Datenschutzes 2014: Vizepräsidentin Reding fordert einen neuen Datenschutzpakt für Europa, abrufbar unter http://europa.eu/rapid/press-release_IP-14-70_de.htm, zuletzt abgerufen am 1. Juni 2015. 512 BVerfGE 65, S. 1, 46; dazu näher oben III. 1. 513 So auch Simitis/Dix, § 1 Rn. 161; vgl. auch die beispielhafte Übersicht von Helfrich, in: Hoeren/Sieber 2014, Rn. 98 ff. 514 Tinnefeld, 2012, S. 221. 515 Telemediengesetz vom 26. Februar 2007 (BGBl. I, S. 179). 516 Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I, S. 1190). 517 Tinnefeld, 2012, S. 221. 518 Ein weiteres von zahlreichen Regelungsbeispielen ist § 21g EnWG, der die Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten aus oder mit Hilfe von Messsystemen nach § 21d EnWG regelt. 511
§ 3 Datenschutzstrafrecht im engeren Sinne
79
Das Verhältnis des BDSG zu den bereichsspezifischen Regelungen ist in § 1 Abs. 3 BDSG geregelt. Demnach ist das BDSG in seiner Anwendung subsidiär „[s]oweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind“.519 Zum Teil enthalten die bereichsspezifischen Gesetze auch Regelungen, die ihr Verhältnis zum BDSG bzw. einzelner seiner Vorschriften ausdrücklich klarstellen. So bleiben nach § 16 Abs. 6 S. 5 TierSchG das Bundesdatenschutzgesetz und die Datenschutzgesetze der Länder durch § 16 Abs. 6 TierSchG unberührt.520 Das TMG und das TKG erklären bestimmte Vorschriften des BDSG für entsprechend anwendbar521 bzw. als von den eigenen Vorschriften als unberührt.522 2. Telemediengesetz und Telekommunikationsgesetz Von besonderem Interesse für die vorliegende Untersuchung sind die Datenschutzvorschriften des TMG und des TKG. Sie betreffen Sachverhalte, in denen das Recht auf informationelle Selbstbestimmung besonderen Risiken ausgesetzt ist. a) Telemediengesetz Das TMG trifft in seinem 4. Abschnitt Sonderregelungen zum Datenschutz für die Anbieter von Telemediendiensten. Telemediendienste sind grundsätzlich alle elektronischen Informations- und Kommunikationsdienste, soweit es sich nicht um Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk handelt (§ 1 Abs. 1 TMG). Als Telemediendienste können unter anderem Internetforen, Suchmaschinen und elektronische Presseangebote gelten.523 Der Anwendungsbereich der Datenschutzvorschriften des TMG ist gemäß § 11 TMG auf das Verhältnis zwischen Anbietern und Nutzern solcher Dienste beschränkt und gilt nicht für Telemediendienste „im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken“ (§ 11 Abs. 1 Nr. 1 TMG) und „innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen“ (§ 11 Abs. 1 Nr. 2 TMG).524 Dass das Gesetz besondere Regelungen für den Datenschutz bei Telemediendiensten vorsieht, ist dem Umstand geschuldet, dass der Umgang mit personenbezogenen Daten bei Telemediendiensten „nicht nur in einer Datenverarbeitungsanlage, sondern im Netz
519
Näher dazu unten Dritter Teil § 9 V. Das EnWG hingegen etwa regelt nicht, dass die allgemeinen Datenschutzgesetze an sich unberührt bleiben. § 21g verweist jedoch auf die Geltung gewisser Vorschriften des BDSG. Nach § 21g Abs. 4 Hs. 2 haben Messstellenbetreiber, Netzbetreiber und Lieferanten bei der Auftragsdatenverarbeitung ausdrücklich § 43 BDSG zu beachten. 521 § 15a TMG, §§ 95 Abs. 3 S. 2, 109 Abs. 2 S. 5, 109a Abs. 1 S. 5 TKG. 522 §§ 93 Abs. 1 S. 4, 97 Abs. 1 S. 5 TKG. 523 Tinnefeld, 2012, S. 389. 524 Diese Ausnahmen gelten für Bereiche, in denen „zwischen den Beteiligten besondere Interessen bestehen, für die eine Anwendung der über die allgemeinen Regelungen des BDSG hinausgehenden speziellen Grundsätze“ des Gesetzes nicht sachgerecht ist, so die Begründung zu der Vorgängerregelung im Entwurf der Bundesregierung eines Gesetzes über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr vom 17. Mai 2001, BT-Drs. 14/6098, S. 27. 520
80
1. Teil: Entwicklung des Datenschutzstrafrechts
mit vielen Beteiligten und ohne hinreichende Kontrollmöglichkeiten des Nutzers“525 stattfindet. Für die Erhebung und Verwendung von personenbezogenen Daten zur Bereitstellung von Telemedien (vgl. § 12 Abs. 1 TMG) trifft das TMG eine umfassende Regelung unter Einbeziehung datenschutzrechtlicher Grundsätze wie dem Verbot mit Erlaubnisvorbehalt (§ 12 Abs. 1 TMG) und dem Zweckbindungsgrundsatz(§ 12 Abs. 2 TMG). In §§ 13, 15a TMG sind verschiedene datenschutzrechtliche (Informations-)Pflichten der Anbieter von Telemediendiensten normiert. Die §§ 14, 15 TMG enthalten besondere Befugnistatbestände zur Erhebung und Verwendung von personenbezogenen Daten. Insbesondere hier ist die Datenschutzregelung des TMG strenger als jene des BDSG. Während § 14 TMG den Umgang mit Bestandsdaten526 betrifft, regelt § 15 TMG den Umgang mit Nutzungsdaten.527 In beiden Vorschriften ist der zulässige Umgang mit personenbezogenen Daten in abschließenden, im Vergleich zu den Befugnisnormen des BDSG restriktiven Tatbeständen geregelt.528 § 16 TMG schließlich normiert eine Ordnungswidrigkeitenvorschrift, die verschiedene vorsätzliche oder fahrlässige Verstöße gegen ausdrücklich bezeichnete Verhaltensnormen des TMG mit Bußgeld bedroht. Dazu gehören auch Verstöße gegen die Datenschutzvorschriften des Gesetzes (§ 16 Abs. 2 Nr. 2–5 TMG). So erfasst etwa § 16 Abs. 2 Nr. 4 TMG die unzulässige Erhebung, Verwendung oder das Unterlassen der Löschung von Bestands- und Nutzungsdaten nach §§ 14, 15 TMG. Die Vorgängerregelung zum TMG im TDDSG529 enthielt noch keinen eigenen Bußgeldtatbestand. Ein Grund für seine nachträgliche Einführung war die Unklarheit der Aufsichtsbehörden darüber, inwieweit ein Rückgriff auf die Bußgeldvorschriften des BDSG möglich war.530 Eine eigene Strafnorm enthält das TMG nicht. Es stellt sich daher die Frage, ob die Strafvorschrift des BDSG bei Datenschutzverstößen im Anwendungsbereich des TMG angewandt werden kann.531 b) Telekommunikationsgesetz Das TKG trifft im 2. Abschnitt seines 7. Teils Regelungen zum „Schutz personenbezogener Daten der Teilnehmer und Nutzer von Telekommunikation bei der Erhebung und 525 So die Begründung zu der Vorgängerregelung im Entwurf der Bundesregierung eines Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste vom 9. April 1997, BT-Drs. 13/7385, S. 21. 526 Gemäß § 14 Abs. 1 TMG sind dies personenbezogene Daten eines Nutzers, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind. 527 Dies sind gemäß § 15 Abs. 1 S. 1 TMG personenbezogene Daten, die erforderlich sind „um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“. 528 Taeger/Gabel/Zscherpe, § 14 TMG Rn. 1, § 15 TMG Rn. 1 f. 529 Teledienstedatenschutzgesetz vom 22. Juli 1997 (BGBl. I, S. 1870, 1871 f.). 530 Bericht der Bundesregierung über die Erfahrungen und Entwicklungen bei den neuen Informations- und Kommunikationsdiensten im Zusammenhang mit der Umsetzung des Informations- und Kommunikationsdienste-Gesetzes vom 18. Juni 1999, BT-Drs. 14/1191, S. 16. 531 Vgl. Taeger/Gabel/Moos, § 16 TMG Rn. 4 f.; dazu und im allgemeinen zur Anwendbarkeit der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG, wenn bereichsspezifische Datenschutzregelungen vorhanden sind unten Dritter Teil § 10 II. 3. a).
§ 3 Datenschutzstrafrecht im engeren Sinne
81
Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig Telekommunikationsdienste in Telekommunikationsnetzen, einschließlich Telekommunikationsnetzen, die Datenerfassungs- und Identifizierungsgeräte unterstützen, erbringen oder an deren Erbringung mitwirken“ (§ 91 Abs. 1 S. 1 TKG). In den hier umfassten Bereich der Telekommunikation fallen Telekommunikationsdienste (§ 3 Nr. 24 TKG) wie Sprachtelefonie und telekommunikationsgestützte Dienste (§ 3 Nr. 25 TKG) wie zum Beispiel kostenpflichtige Beratungshotlines.532 Im Einzelnen kann die Abgrenzung zwischen Telekommunikationsdiensten und telekommunikationsgestützten Diensten gegenüber Telemediendiensten und damit der Anwendungsbereiche von TMG und TKG aufgrund zunehmender Medienkonvergenz schwierig sein.533 Dies zeigt sich schon am Beispiel von E-Mail-Providern, die gleichzeitig das Versenden von Nachrichten ermöglichen und Unterhaltungsinhalte aufbereiten. Auch im Übrigen lässt sich der Anwendungsbereich der Datenschutzvorschriften des TKG nicht zweifelsfrei bestimmen. Praktisch bedeutsam und hoch umstritten ist etwa der Schutz von Telekommunikationsdaten im Beschäftigungsverhältnis. Es stellt sich die Frage, ob Arbeitgeber bzw. Unternehmen, die ihren Mitarbeitern Telekommunikationsdienste (z. B. E-Mail) zur Verfügung stellen und auch deren private Nutzung erlauben, geschäftsmäßige Anbieter von Telekommunikationsdiensten i. S. d. § 91 Abs. 1 S. 1 TKG sind.534 Für den Telekommunikationssektor existiert eine eigene Datenschutzregelung, da vor allem moderne Techniken der Kommunikation besondere Gefahren für das Recht auf informationelle Selbstbestimmung begründen. Bei der Nutzung von Telekommunikationsdiensten und telekommunikationsgestützten Diensten fallen eine Vielzahl von personenbezogenen Daten an. Dies umfasst etwa Angaben über die Kommunikationsgewohnheiten und den Standort des Betroffenen.535 Strukturell ähnlich den bereichsspezifischen Regelungen des TMG regelt das TKG unter anderem Informationspflichten der Diensteanbieter und die Zulässigkeit der Erhebung und Verwendung bestimmter Arten von Daten.536 Die Befugnisse zum Umgang mit personenbezogenen Daten im Telekommunikationsbereich sind enger gefasst als die allgemeinen Befugnisse nach dem BDSG.537 So werden etwa Verkehrsdaten538 und Standortdaten539 von Telekommunikationsteilnehmern aufgrund ihrer Sensibilität besonders geschützt.540 532
Näher zu diesen Begriffen Spindler/Schuster/Ricke, § 3 TKG Rn. 43 f. Taeger/Gabel/Munz, TKG Einführung Rn. 10. 534 Dazu nur Geppert/Schütz/Braun, § 91 Rn. 12; Taeger/Gabel/Munz, § 88 Rn. 20 ff. m. w. N. 535 Taeger/Gabel/Munz, § 91 TKG Rn. 1. 536 Dazu im Einzelnen Tinnefeld, 2012, S. 404 ff. 537 Vgl. Taeger/Gabel/Munz, § 95 TKG Rn. 1, § 96 TKG Rn. 1. 538 Dies sind gemäß § 3 Nr. 30 TKG „Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden“. 539 Dies sind gemäß § 3 Nr. 19 TKG „Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst erhoben oder verwendet werden und die den Standort des Endgeräts eines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben“. 540 Entwurf der Bundesregierung eines Gesetzes zur Änderung telekommunikationsrechtlicher Regelungen vom 4. Mai 2011, BT-Drs. 17/5707, S. 79; Taeger/Gabel/Munz, § 96 TKG Rn. 1, § 98 TKG Rn. 1. 533
82
1. Teil: Entwicklung des Datenschutzstrafrechts
In §§ 148, 149 sind die Straf- und Bußgeldvorschriften des TKG geregelt. Diese beziehen sich nur teilweise auf die Datenschutzvorschriften des Gesetzes. Von der Strafvorschrift des § 148 TKG sind Datenschutzverstöße nicht umfasst. Allerdings bedroht § 149 Abs. 1 Nr. 16–18 TKG diverse Datenschutzverstöße mit Bußgeldern. So umfasst etwa § 149 Abs. 1 Nr. 16 TKG die unzulässige Erhebung und Verwendung von Daten in bestimmten Fällen. Wie beim TMG stellt sich auch im Zusammenhang mit den spezifischen Datenschutzregelungen des TKG die Frage, inwieweit die §§ 43, 44 BDSG neben diesen Anwendung finden können.541 3. SGB X Eine weitere praxisrelevante und besonders im Hinblick auf ihre Sanktionsvorschriften interessante bereichsspezifische Datenschutzregelung enthält das zweite Kapitel des SGB X zum Schutz von Sozialdaten.542 Mit §§ 85, 85a SGB X sieht es einen Ordnungswidrigkeiten- und einen Straftatbestand vor, die strukturell den §§ 43, 44 BDSG entsprechen. § 85 Abs. 1 und Abs. 2 SGB X regeln zwei Kataloge von Ordnungswidrigkeiten. Die in § 85 Abs. 2 SGB X geregelten Handlungen entsprechen weitestgehend dem Katalog des § 43 Abs. 2 BDSG vor seiner Novellierung im Jahre 2009. Gemäß § 85a Abs. 1 SGB X wird, „[w]er eine in § 85 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, [ . . . ] mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft“. § 82 SGB X trifft zudem eine Regelung für Schadensersatzansprüche im Sozialdatenschutz. Für den Fall, dass eine nach § 35 SGB I auf das Sozialgeheimnis verpflichtete Stelle einem Betroffenen durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner Sozialdaten einen Schaden zufügt, finden demnach §§ 7, 8 BDSG entsprechende Anwendung.543 Auch die Regelungen über den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in §§ 24–26 BDSG gelten gemäß § 81 Abs. 2 SGB X für die nach § 35 SGB I auf das Sozialgeheimnis verpflichtete Stellen grundsätzlich entsprechend.
VII. Die Landesdatenschutzgesetze Da dem Bund keine ausdrückliche Kompetenz für Regelungen des Datenschutzes zugewiesen ist, können auch die Länder Datenschutzgesetze erlassen.544 Gemäß § 1 Abs. 2 BDSG können die Länder das Datenschutzrecht im Bereich ihrer Gesetzgebungskompetenz und soweit sie Bundesrecht ausführen selbst regeln. Alle 16 Bundesländer haben von der Möglichkeit Gebrauch gemacht, für den Bereich ihrer öffentlichen Verwaltung eigene
541
Dazu unten Dritter Teil § 10 II. 3. a). Sozialdaten sind gemäß § 67 Abs. 1 S. 1 SGB X personenbezogene Daten, die von Stellen, die nach § 35 SGB I auf das Sozialgeheimnis verpflichtet sind, erhoben, verarbeitet und genutzt werden. 543 Zu diesen näher unten Dritter Teil § 12 II. 544 Insgesamt „folgt die Gesetzgebungskompetenz von Bund und Ländern der Zuständigkeit für die jeweilige Materie, für die die Datenverarbeitung erfolgt“; Weichert, in: Kilian/Heussen 2008, Kap. 131 Rn. 1. 542
§ 3 Datenschutzstrafrecht im engeren Sinne
83
Datenschutzgesetze zu erlassen. In ihren Grundstrukturen entsprechen diese Gesetze dem BDSG und bewegen sich wie dieses im Regelungsrahmen der EG-Datenschutzrichtlinie. Die Landesdatenschutzgesetze sehen eigene Ordnungswidrigkeiten- und Straftatbestände vor. Dies ist aufgrund der konkurrierenden Gesetzgebungskompetenz von Bund und Ländern im Strafrecht gemäß Art. 74 Abs. 1 Nr. 1 GG möglich. Da der strafrechtliche Schutz der informationellen Selbstbestimmung im StGB nicht abschließend geregelt ist, lassen auch dessen Vorschriften gemäß Art. 4 Abs. 2 EGStGB die Straf- und Bußgeldvorschriften der Landesdatenschutzgesetze unberührt. In sämtlichen Landesdatenschutzgesetzen bis auf das schleswig-holsteinische Gesetz zum Schutz personenbezogener Informationen vom 9. Februar 2000545 sind Strafvorschriften vorgesehen. Das LDSG Schl.-H. sieht in seinem § 44 lediglich eine Ordnungswidrigkeitennorm vor. Der Tatbestandskatalog dieser Vorschrift ist wesentlich schlanker als jener des § 43 BDSG.546 Ordnungswidrigkeiten nach § 44 LDSG Schl.-H. sind mit Geldbußen von bis zu 50.000 Euro bedroht. Mit der grundlegenden Novellierung des Gesetzes im Jahre 2000, die unter anderem zur Umsetzung der EG-Datenschutzrichtlinie diente, wurde die Strafnorm des Gesetzes unter Hinweis auf eine allgemeine Tendenz zur Entkriminalisierung und ihre geringe praktische Bedeutung abgeschafft.547 Bis auf die Datenschutzgesetze von Berlin (BlnDSG)548 und Rheinland-Pfalz (LDSG RP)549 , in denen nur Straftatbestände geregelt sind, sehen sämtliche Landesdatenschutzgesetze Ordnungswidrigkeitentatbestände vor. In den übrigen 13 Landesdatenschutzgesetzen besteht ein Nebeneinander von Ordnungswidrigkeiten- und Straftatbeständen. Die Regelungen von Baden-Württemberg (LDSG BW),550 Bayern (BayDSG),551 Brandenburg (BbgDSG),552 Mecklenburg-Vorpommern (DSG M-V),553
545 GVOBl. Schl.-H., S. 169, zuletzt geändert mit Gesetz vom 9. Juni 2014 (GVOBl. Schl.-H. 2014, S. 105). 546 Dazu näher unten Dritter Teil §§ 10 und 11. 547 Begründung des vom Landesbeauftragten für den Datenschutz Schleswig-Holstein vorgeschlagenen Entwurfs eines Landesdatenschutzgesetzes vom 30. Oktober 1998, S. 43, abgedruckt in Schl.-H. LT-Drs. 14/1738 und online abrufbar unter www.datenschutzzentrum.de/material/recht/ldsgnovellierung/ldsg-begruendung.pdf, zuletzt abgerufen am 1. Juni 2015. 548 Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung vom 17. Dezember 1990 (GVBl. 1991, S. 16, 54), zuletzt geändert durch Gesetz vom 16. Mai 2012 (GVBl., S. 137). 549 Landesdatenschutzgesetz vom 5. Juli 1994 (GVBl., S. 293), zuletzt geändert durch Artikel 2 des Gesetzes vom 20. Dezember 2011 (GVBl., S. 427). 550 Gesetz zum Schutz personenbezogener Daten vom 18. September 2000 (GBl., S. 648), zuletzt geändert durch Gesetz vom 3. Dezember 2013 (GBl., S. 134). 551 Landesdatenschutzgesetz vom 23. Juli 1993 (GVBl., S. 498), zuletzt geändert am 22. Juli 2014 (GVBl., S. 286). 552 Gesetz zum Schutz personenbezogener Daten im Land Brandenburg vom 15. Mai 2008 (GVBl. I, S. 114), zuletzt geändert durch Artikel 1 des Gesetzes vom 25. Mai 2010 (GVBl. I, Nr. 21 S. 1). 553 Gesetz zum Schutz des Bürgers bei der Verarbeitung seiner Daten vom 28. März 2002 (GVOBl. M-V, S. 154), zuletzt geändert durch Artikel 2 des Gesetzes vom 20. Mai 2011 (GVOBl. M-V, S. 277).
84
1. Teil: Entwicklung des Datenschutzstrafrechts
Sachsen (SächsDSG)554 und Thüringen (ThürDSG)555 sehen ähnlich dem BDSG ein System unechter Mischtatbestände vor, in dem die Ordnungswidrigkeiten bei Hinzutreten bestimmter Merkmale zu Straftatbeständen qualifiziert werden.556 In den Ländern Bremen (BremDSG),557 Hamburg (HmbDSG),558 Hessen (HDSG),559 Niedersachsen (NDSG),560 Nordrhein-Westfalen (DSG NRW),561 Saarland (SDSG)562 und Sachsen-Anhalt (DSG LSA)563 hingegen sind die Ordnungswidrigkeiten- und Straftatbestände unabhängig voneinander geregelt.564 Inhaltlich stehen die Straftatbestände der Landesdatenschutzgesetze den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG nahe. Im Hinblick auf wichtige Gemeinsamkeiten und Unterschiede sei auf die Ausführungen zu den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG verwiesen.565
§ 4 Zwischenfazit Zu Beginn der Entwicklung der Datenschutzgesetze in den 1970er-Jahren wurden ihre Straftatbestände zunächst als die datenschutzrechtlichen Ge- und Verbotsnormen notwendigerweise flankierende Vorschriften angesehen und mitgeregelt. Dementsprechend waren die Strafnormen des BDSG stets eng an die übrigen Vorschriften des Gesetzes gebunden. Diese Bindung ist gesetzgeberisch in einer Verweisungstechnik umgesetzt, die seit der Entwurfsphase des BDSG bis heute einen Grund für die grundsätzliche Kritik bildet, dass die Strafnormen des BDSG nicht mit dem Bestimmtheitsgebot zu vereinbaren seien.
554 Gesetz zum Schutz der informationellen Selbstbestimmung im Freistaat Sachsen vom 25. August 2003 (SächsGVBl., S. 330), zuletzt geändert durch Gesetz vom 14. Juli 2011 (SächsGVBl., S. 270). 555 Thüringer Datenschutzgesetz vom 13. Januar 2012 (GVBl., S. 27). 556 Vgl. §§ 40, 41 LDSG BW, Art. 37 BayDSG, § 38 BbgDSG, §§ 42, 43 DSG M-V, §§ 38, 39 SächsDSG, § 43 ThürDSG. 557 Bremisches Datenschutzgesetz vom 4. März 2003 (Brem.GBl., S. 85), zuletzt geändert durch Artikel 1 des Gesetzes vom 1. Juli 2013 (Brem.GBl., S. 351). 558 Hamburgisches Datenschutzgesetz vom 5. Juli 1990 (HmbGVBl., S. 133), zuletzt geändert durch Gesetz vom 5. April 2013 (HmbGVBl., S. 148). 559 Hessisches Datenschutzgesetz in der Fassung vom 7. Januar 1999 (GVBl. I, S. 98), zuletzt geändert durch Gesetz vom 20. Mai 2011 (GVBl. I, S. 208). 560 Niedersächsisches Datenschutzgesetz in der Fassung vom 29. Januar 2002 (Nds. GVBl., S. 22), zuletzt geändert durch Gesetz vom 12. Dezember 2012 (Nds. GVBl., S. 589). 561 Gesetz zum Schutz personenbezogener Daten (Datenschutzgesetz Nordrhein-Westfalen) in der Fassung der Bekanntmachung vom 9. Juni 2000 (GV. NRW, S. 542), zuletzt geändert durch Gesetz vom 5. Juli 2011 (GV. NRW, S. 338). 562 Saarländisches Gesetz zum Schutz personenbezogener Daten vom 28. Januar 2008 (Amtsbl. I, S. 293), zuletzt geändert durch Gesetz vom 18. Mai 2011 (Amtsbl. I, S. 184). 563 Gesetz zum Schutz personenbezogener Daten der Bürger (Datenschutzgesetz Sachsen-Anhalt) in der Fassung der Bekanntmachung vom 18. Februar 2002 (GVBl. LSA, S. 54), zuletzt geändert durch Gesetz vom 27. September 2011 (GVBl. LSA, S. 648). 564 §§ 37, 38 BremDSG, §§ 32, 33 HmbDSG, §§ 40, 41 HDSG, §§ 28, 29 NDSG, §§ 33, 34 DSG NRW, §§ 35, 36 SDSG, §§ 31, 32 DSG LSA. 565 Unten Dritter Teil § 10.
§ 4 Zwischenfazit
85
Während die Strafvorschriften des BDSG im Rahmen der ersten Novelle des Gesetzes zunächst ausgeweitet wurden, wurde gleichzeitig in der rechtspolitischen Diskussion erstmals ein Ruf nach der Entkriminalisierung von Datenschutzverstößen laut. Dieser führte zu einer entsprechenden „Herabstufung“ der Strafvorschriften in den Datenschutzgesetzen auf Landes- und Bundesebene. Eine weitergehende Anpassung der Vorschriften hinsichtlich der Tathandlungen wurde erwogen, aber nicht umgesetzt. Sowohl hinsichtlich ihrer anfänglichen Fassung als auch hinsichtlich ihrer Umgestaltung entsteht der Eindruck, dass die Straftatbestände weitestgehend unabhängig von der kernstrafrechtlichen Regelung zum Schutz der Geheim- und Privatsphäre gestaltet worden sind. Im Gesetzgebungsprozess des BDSG ist lediglich angedeutet worden, dass eine datenschutzrechtliche Strafvorschrift im Kernstrafrecht geregelt werden könnte. Auf der anderen Seite wurde im Zusammenhang mit der Regelung des § 203 Abs. 2 S. 2 StGB darauf verwiesen, dass es von Bedeutung sei, eine zentrale Datenschutzstrafnorm im BDSG zu verankern. Die Frage, wie der Schutz des Rechtes auf informationelle Selbstbestimmung im Strafrecht auszuformen ist und an welcher Stelle er geregelt werden soll, kann angesichts der bisherigen Entwicklung nicht als geklärt gelten. Dies zeigt auch die aktuelle Diskussion um die Regelung eines Straftatbestandes der Datenhehlerei. Mit dem § 202d StGB-E soll ein Tatbestand zum Schutz der informationellen Selbstbestimmung im Strafgesetzbuch verankert werden. Der Entwurf der Vorschrift weist jedoch keine klare Schutzrichtung auf und ist nicht auf Datenschutzverstöße beschränkt. Die Begründung des Entwurfes verkennt, dass jedenfalls für personenbezogene Daten nach den §§ 43, 44 BDSG bereits ein weitreichender strafrechtlicher Schutz besteht. Im Übrigen zeigt die Geschichte des kernstrafrechtlichen Privat- und Geheimsphärenschutzes, welche Schwierigkeiten mit der Entwicklung selbstständiger strafrechtlicher Vorschriften zum Schutz von Bestandteilen des allgemeinen Persönlichkeitsrechtes verbunden sind. Die Fragen nach der Notwendigkeit des Schutzes von einzelnen persönlichkeitsrechtlichen Bestandteilen und der angepassten Eingrenzung von Tatbeständen im Sinne des Bestimmtheitsgebots waren auch zentrale Aspekte in der Diskussion um das allgemeine Indiskretionsdelikt. Vor diesem Hintergrund soll im Folgenden untersucht werden, ob und in welchen Bestandteilen das Recht auf informationelle Selbstbestimmung strafrechtlich geschützt werden kann und wie dieser Schutz angesichts der gegebenen gesetzlichen Regelung auszugestaltet werden kann.
2. Teil
Das Rechtsgut und Grenzen strafrechtlichen Schutzes Bevor die Straftatbestände der Datenschutzgesetze im Einzelnen betrachtet werden, soll zunächst untersucht werden, in welchem Rahmen das Recht auf informationelle Selbstbestimmung durch das Strafrecht geschützt werden kann und möglicherweise geschützt werden muss. Um einen strafrechtlichen Schutz zu legitimieren, muss ein schutzfähiges Rechtsgut vorhanden sein. In diesem Zusammenhang sollen Struktur und Schutzumfang des Rechtes auf informationelle Selbstbestimmung genauer untersucht werden. Im Anschluss fragt sich, ob es nach verfassungsrechtlichen, europarechtlichen und völkerrechtlichen Vorgaben geboten ist, das Recht auf informationelle Selbstbestimmung in einem gewissen Maße durch das Strafrecht zu schützen. Schließlich soll anhand des Verhältnismäßigkeitsprinzips überprüft werden, wo die Obergrenze für den Einsatz des Strafrechts als „ultima ratio“ zum Schutz des Rechtes auf informationelle Selbstbestimmung liegt.
§ 5 Das geschützte Rechtsgut Der Schutz von Rechtsgütern ist nach heute überwiegender Ansicht die zentrale Aufgabe des Strafrechts.1 Die Bestimmung des Rechtsguts und seines Inhalts sind zunächst für die Auslegung der Strafvorschriften der Datenschutzgesetze von Bedeutung.2 Man spricht insofern von einer „systemimmanenten Funktion“3 des Rechtsgüterschutzes. Das Rechtsgut lässt sich in diesem Zusammenhang als „zusammenfassende Denkform für ‚Sinn und Zweck der einzelnen Strafrechtssätze‘“4 verstehen. Des Weiteren dient das geschützte Rechtsgut als Grenze des zulässigen Schutzes durch das Strafrecht. Der Ursprung des Rechtsgüterschutzkonzeptes liegt in der Begrenzung des staatlichen Strafens.5 So kann eine Strafvorschrift nur dadurch legitimiert werden, dass
1 Kim, ZStW 124 (2012), S. 591; NK/Hassemer/Neumann, Vor § 1 Rn. 108 ff.; Roxin, AT I, § 2 Rn. 1; Schönke/Schröder/Lenckner/Eisele, Vorbem. §§ 13 ff. Rn. 8 ff.; vgl. auch BVerfGE 39, S. 1, 45 f. Zum Teil wird die „Rechtsgutskonzeption“ bestritten; vgl. dazu nur Frisch, in: FS Stree/Wessels 1993, S. 69, 71 ff.; Jakobs, S. 37 ff.; zusammenfassend NK/Hassemer/Neumann, Vor § 1 Rn. 116 ff. m. w. N. 2 Vgl. Rudolphi, in: FS Honig 1970, S. 151. 3 Hassemer, Theorie, S. 19 ff. 4 Roxin, AT I, § 2 Rn. 4; aufbauend auf Honig, S. 30. 5 Hassemer, Strafrecht, S. 86.
§ 5 Das geschützte Rechtsgut
87
hinter ihr ein Rechtsgut steht, das durch diese geschützt wird.6 Man spricht insofern von einer „systemkritischen“7 Funktion des Rechtsgüterschutzes. Rechtsgüter dienen dem Schutz elementarer Werte des Gemeinschaftslebens.8 Das Grundgesetz und sein Grundrechtekatalog enthalten wichtige Indizien zur Bestimmung dieser Werte und so der schutzwürdigen Rechtsgüter.9 Verfassungsrechtlich zulässige Zwecke lassen auf strafrechtlich schutzfähige Rechtsgüter schließen,10 bilden in dieser Hinsicht aber keinen abschließenden Katalog.11 Die Datenschutzgesetze dienen dem Schutz des Rechtes auf informationelle Selbstbestimmung.12 Dieses wurde vom BVerfG als dem Datenschutz zugrunde liegendes verfassungsrechtlich geschütztes Recht entwickelt.13 Durch das Volkszählungsurteil und die einfachgesetzliche Umsetzung der darin formulierten Vorgaben wurde es als Schutzgut der Datenschutzgesetze festgelegt.14 Ob das Recht auf informationelle Selbstbestimmung auch ein eigenständiges Grundrecht darstellt, wird uneinheitlich beurteilt. So sprechen der 2. Senat des BVerfG und Teile der Literatur von einem „Grundrecht auf Datenschutz“15 bzw. einem „Grundrecht auf informationelle Selbstbestimmung“16 . Zum Teil wird diese Bezeichnung jedoch kritisiert. Ein eigenständiges Datenschutzgrundrecht sei nicht entstanden, vielmehr habe durch das Volkszählungsurteil lediglich eine „interpretatorische Fortschreibung des Selbstdarstellungsschutzes aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG“17 stattgefunden. Auch der beim Volkszählungsurteil federführende Richter Benda erkannte in der Anerkennung des Rechtes auf informationelle Selbstbestimmung nicht die Schöpfung eines neue Grundrechtes, sondern lediglich eine Konkretisierung des allgemeinen Persönlichkeitsrechtes „auf einen neuen Gefährdungssachverhalt hin“18 . In diversen Landesverfassungen ist der Datenschutz jedenfalls ausdrücklich als eigenes Grundrecht geregelt.19 Versuche, ein entsprechendes Grundrecht ausdrücklich in das Grundgesetz mit aufzunehmen, sind bisher gescheitert.20
6
Roxin, AT I, § 2 Rn. 92. Hassemer, Theorie, S. 19 ff. Roxin, AT I, § 2 Rn. 12 schlägt hierfür den Terminus „gesetzgebungskritisch“ vor. 8 BVerfGE 27, S. 18, 29. Im Einzelnen ist der Begriff des Rechtsguts umstritten; vgl. Swoboda, ZStW 122 (2010), S. 24 ff. 9 BVerfGE 27, S. 18, 29. 10 BVerfGE 27, S. 18, 29 m. w. N.; Appel, S. 199. 11 Hefendehl, JA 2011, S. 401, 403. 12 So ausdrücklich festgehalten etwa in § 1 Abs. 1 Nr. 1 BlnDSG und § 1 DSG NRW; vgl. auch Gola/Schomerus, § 1 Rn. 6. Zuvor waren als Schutzgut der Datenschutzgesetze die Privatsphäre oder personenbezogene Daten als solche angesehen worden; vgl. Höft, S. 3; v. Rienen, S. 236 f.; Schneider, NJW 1984, S. 390, 396. 13 BVerfGE 65, S. 1 ff. 14 Steinmüller, DuD 1984, S. 91, 93; vgl. auch oben Erster Teil § 3 III. 15 BVerfG NJW 1991, S. 2129, 2132; Degenhart, JuS 1992, S. 361, 364. 16 Hoffmann-Riem, in: FS Reich 1997, S. 777, 781. 17 Maunz/Dürig/Di Fabio, Art. 2 Rn. 173; vgl. auch Simitis, NJW 1984, S. 394, 399; Steinmüller, DuD 1984, S. 91, 92. 18 Benda, DuD 1984, S. 86, 89. 19 So etwa in Art. 33 der Verfassung von Berlin; vgl. zum Ganzen Albers, S. 601; Auernhammer/ v. Lewinski, Einleitung Rn. 78 f.; Limbach, in: Hassemer/Möller, S. 44, 45. 20 Vgl. Gurlit, NJW 2010, S. 1035, 1041; Limbach, in: Hassemer/Möller, S. 44, 46. 7
88
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
Im Folgenden soll der Inhalt des Rechtes auf informationelle Selbstbestimmung näher dargestellt werden, soweit er für das Verständnis der Straftatbestände der Datenschutzgesetze von Bedeutung ist. Dafür ist zunächst der Ursprung dieses Rechtes im verfassungsrechtlichen allgemeinen Persönlichkeitsrecht als seinem „Mutterrecht“ zu betrachten. Im Kern gilt es dann, den Schutzumfang des Rechtes auf informationelle Selbstbestimmung zu untersuchen. In diesem Zusammenhang ist es von anderen Rechten, insbesondere von weiteren Ausprägungen des allgemeinen Persönlichkeitsrechtes abzugrenzen. Ein besonderes Augenmerk soll auf der Frage liegen, ob und inwiefern das Recht auf informationelle Selbstbestimmung in seinem ursprünglichen Charakter als Persönlichkeitsrecht auch Vermögensrechte schützt und welche Schlüsse sich daraus für seinen strafrechtlichen Schutz ziehen lassen. Nach der Untersuchung von Schutzumfang und Struktur des informationellen Selbstbestimmungsrechtes ist schließlich vor dem Hintergrund des strafrechtlichen Gesetzlichkeitsprinzips kritisch zu hinterfragen, ob und inwiefern dieses in seiner derzeitigen Festlegung als strafrechtliches Rechtsgut in Frage kommt.
I. Ursprung im allgemeinen Persönlichkeitsrecht Das Recht auf informationelle Selbstbestimmung wurde vom BVerfG als Bestandteil des allgemeinen Persönlichkeitsrechtes gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG entwickelt. Während sich im angloamerikanischen Rechtskreis durch das „Right to privacy“ ein umfassender Schutz von Persönlichkeitsrechten auf verfassungsrechtlicher Ebene bereits zu Beginn des 20. Jahrhunderts durchsetzte,21 fand das allgemeine Persönlichkeitsrecht in Deutschland erst im Laufe des 20. Jahrhunderts Anerkennung. 1. Entwicklung im Zivilrecht Die Entwicklungen, die entscheidend zur Akzeptanz des allgemeinen Persönlichkeitsrechtes auf verfassungsrechtlicher Basis führten, gingen vom Zivilrecht aus.22 Im Privatrecht entwickelte sich vor allem am Ende des 19. Jahrhunderts eine Lehre von Persönlichkeits- bzw. Individualrechten.23 Von großem Einfluss waren dabei die juristischen Leistungen von Kohler24 und v. Gierke.25 Der Gesetzgeber erkannte ein allgemeines Persönlichkeitsrecht jedoch nicht an. So wurden im BGB und anderen Gesetzen nur einzelne, besondere Persönlichkeitsrechte 21
Kamlah, Right Of Privacy, S. 58 ff.; v. Lewinski, in: Schmidt/Weichert, S. 23, 27. Auch in der Staatsrechtslehre wurde die Anerkennung eines unbestimmten Rechtes auf Geheimhaltung der persönlichen Individualität jedoch vorangetrieben; vgl. Ahrens, S. 223 ff.; Austermühle, S. 169, 191. 23 Dies geschah aus dem Bedürfnis, nach Abschaffung der Injurienklage eine rechtliche Handhabe für verschiedene Sachverhalte, die den Schutz des persönlichen Lebensbereichs betrafen (z. B. den Briefverkehr), zu finden; vgl. Balthasar, S. 89 ff. m. w. N. 24 Kohler, S. 74 erkannte im Jahre 1880 in den Individualrechten als „den Rechten der Persönlichkeit an ihren leiblichen und geistigen Gütern“ eine eigene Klasse absoluter Rechte. 25 v. Gierke, S. 704 f., 887 f. sprach im Jahre 1895 bereits explizit von einem „allgemeinen Rechte der Persönlichkeit“ und bejahte auch dessen Schutz durch § 823 Abs. 1 BGB; vgl. dazu BGHZ 13, S. 334, 338; Balthasar, S. 90 f. 22
§ 5 Das geschützte Rechtsgut
89
als schutzwürdig angenommen. Ein wesentlicher Grund für die Ablehnung eines allgemeinen Persönlichkeitsschutzes im Zivilrecht war die rechtspolitische Entscheidung der Verfasser der Entwürfe des BGB, einen Geldersatz für immaterielle Schäden bei Persönlichkeitsverletzungen nicht zu gewähren zu wollen.26 Auch die Rechtsprechung lehnte die Anerkennung eines allgemeinen Persönlichkeitsrechtes größtenteils ab, da ein solches dem geltenden Recht fremd sei.27 Die Lage änderte sich allerdings, als in der Nachkriegszeit durch gesellschaftliche und technische Entwicklungen neue Gefahren für den persönlichen Lebensbereich entstanden.28 Das allgemeine Bedürfnis nach rechtlichen Mitteln zum Persönlichkeitsschutz nahm zu.29 Dies führte schließlich dazu, dass der I. Zivilsenat des BGH in seinem Leserbrief-Urteil im Jahre 1954 entschied, dass das aus Art. 1 und Art. 2 GG abgeleitete „allgemeine Persönlichkeitsrecht als ein verfassungsmäßig gewährleistetes Grundrecht angesehen werden“30 müsse. Die Rechtsprechung behandelte das allgemeine Persönlichkeitsrecht fortan als „sonstiges Recht“ i. S. d. § 823 Abs. 1 BGB. Diese Linie wurde in weiteren Entscheidungen des BGH in ständiger Rechtsprechung bestätigt.31 Eine Stärkung des Schutzes durch das allgemeine Persönlichkeitsrechtes in der Rechtsprechung des BGH erfolgte im Jahre 1958 dadurch, dass in dem so genannten Herrenreiter-Fall ein Ersatzanspruch für immaterielle Schäden bei schwerwiegenden Persönlichkeitsverletzungen analog § 847 BGB anerkannt wurde.32 Ursprünglich war unter der Annahme, „daß ideelle Interessen nicht in klingende Münze umgewandelt werden sollen“33 , ein immaterieller Schadensersatz für Persönlichkeitsrechtsverletzungen grundsätzlich abgelehnt worden. Der I. Zivilsenat des BGH hingegen sah darin eine zwingende Konsequenz der Anerkennung des allgemeinen Persönlichkeitsrechtes.34 Die Notwendigkeit eines immateriellen Schadensersatzes für Persönlichkeitsrechtsverletzungen folgerte er unmittelbar aus den in Art. 1 Abs. 1 und Art. 2 Abs.1 GG verankerten verfassungsrechtlichen Wertentscheidungen.35 Durch einen entsprechenden Anspruch würde erst zum Ausdruck kommen, dass im Falle von Persönlichkeitsverletzungen „wesentliche Werte gestört sind und daß der Verletzer dem Betroffenen für das ihm angetane Unrecht eine Genugtuung schuldet.“36 2. Anerkennung im Verfassungsrecht Das BVerfG billigte die Rechtsprechung des BGH ausdrücklich in seiner SorayaEntscheidung im Februar 1973.37 Bereits zuvor hatte das Gericht eine Anerkennung des 26
Balthasar, S. 106. RGZ 51, S. 369, 373; RGZ 113 S. 413, 414 f. m. w. N.; Balthasar, S. 106. 28 Vgl. dazu oben Erster Teil § 2 I. 29 BVerfGE 69, S. 269, 271. 30 BGHZ 13, S. 334, 338. 31 BGHZ 24, S. 72, 76 ff.; BGHZ 26, S. 349, 354; BGH NJW 2000, S. 2195, 2197. Zur frühen Rechtsprechung des BGH zum allgemeinen Persönlichkeitsrecht Hubmann, JZ 1957, S. 521, 522. 32 BGHZ 26, S. 349 ff. 33 Hubmann, JZ 1957, S. 521, 528. 34 BGHZ 26, S. 349, 356; BGHZ 35, S. 363, 367 f. 35 BGHZ 35, S. 363, 367 f.; vgl. auch Degenhart, JuS 1992, S. 361, 362. 36 BGHZ 35, S. 363, 368. 37 BVerfGE 34, S. 269, 281 f. 27
90
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
allgemeinen Persönlichkeitsrechtes angedeutet.38 So leitete es in seinem Beschluss zum Mikrozensus im Jahre 1969 aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG das Recht ab, einsam zu sein und in Ruhe gelassen zu werden.39 Im „Scheidungsakten“-Urteil war von einem „unantastbaren Bereich privater Lebensgestaltung“40 des Einzelnen die Rede, der grundrechtlich durch Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG geschützt sei.41 Das allgemeine Persönlichkeitsrecht wird vom BVerfG seither in ständiger Rechtsprechung als Grundrecht anerkannt.42 Das verfassungsrechtliche allgemeine Persönlichkeitsrecht ist dabei mit dem zivilrechtlichen weitgehend deckungsgleich, Unterschiede bestehen etwa im Bereich besonderer persönlichkeitsrechtlicher Gewährleistungen.43 Es ergänzt beim Schutz der freien Entfaltung der Persönlichkeit gemäß Art. 2 Abs. 1 GG das Recht der allgemeinen Handlungsfreiheit.44 Die primäre verfassungsrechtliche Verankerung des allgemeinen Persönlichkeitsrechtes liegt also in Art. 2 Abs. 1 GG, ergänzt durch den Schutz der Menschenwürde aus Abs. 1 GG.45 Aus der Heranziehung von Art. 1 Abs. 1 GG ergeben sich die Abgrenzung vom Recht der allgemeinen Handlungsfreiheit sowie engere tatbestandliche Schutzvoraussetzungen.46 Vom Schutzumfang umfasst sind demnach nur „Eingriffe, die geeignet sind, die engere Persönlichkeitssphäre zu beeinträchtigen.“47 Das allgemeine Persönlichkeitsrecht wird vom BVerfG als „unbenanntes“48 Freiheitsrecht beschrieben, das spezielle Freiheitsrechte ergänzt.49 Insofern kommt ihm eine Auffangfunktion zu.50 Seine Aufgabe ist es, Gefährdungen zu begegnen, die sich durch die speziellen Freiheitsrechte nicht erfassen lassen.51 Dies gilt insbesondere für neue Gefährdungen aufgrund technologischer Entwicklungen.52 Es ist zudem zu beachten, dass auch durch gesellschaftliche Entwicklungen, die die „Neuentdeckung persönlicher Werte“ und
38 Nach Inkrafttreten des Grundgesetzes war die Existenz eines umfassenden verfassungsrechtlichen Persönlichkeitsschutzes zunächst überwiegend abgelehnt worden. Obwohl es angesichts des Normtextes einleuchtend gewesen wäre, Art. 2 Abs. 1 GG in diesem Sinne zu verstehen, wurde aus diesem zunächst nur das Grundrecht der allgemeinen Handlungsfreiheit abgeleitet; vgl. BVerfGE 6, S. 32, 37; Maunz/Dürig/Di Fabio, Art. 2 Rn. 128. 39 BVerfGE 27, S. 1, 6 f.; näher dazu oben Erster Teil § 3 II. 1. a). 40 BVerfGE 27, S. 344, 350 f. 41 Näher dazu oben Erster Teil § 3 II. 1. b). 42 BVerfGE 54, S. 148, 153; BVerfG NJW 2012, S. 907, 912 m. w. N. 43 Dazu Jarass, NJW 1989, S. 857, 858; Peglau, S. 10 f. 44 Degenhart, JuS 1992, S. 361. 45 BVerfGE, NJW 1986, S. 1859, 1860; Jarass, NJW 1989, S. 857; Maunz/Dürig/Di Fabio, Art. 2 Rn. 128; vgl. auch Degenhart, JuS 1992, S. 361. Die Zitierweise der ordentlichen Gerichte ist diesbezüglich teilweise ungenau; vgl. Jarass, NJW 1989, S. 857. 46 BVerfGE 54, S. 148, 153; Jarass, NJW 1989, S. 857. 47 BVerfGE 54, S. 148, 153. 48 BVerfGE 54, S. 148, 153. 49 Maunz/Dürig/Di Fabio, Art. 2 Rn. 128. 50 Degenhart, JuS 1992, S. 361. 51 BVerfGE 54, S. 148, 153. 52 BVerfGE 54, S. 148, 153; BVerfGE 65, S. 1, 41; BVerfGE 120, S. 274, 303; Degenhart, JuS 1992, S. 361, 363.
§ 5 Das geschützte Rechtsgut
91
den „Fortschritt des Persönlichkeitsbewusstseins“53 zur Folge haben können, bisher nicht erfasste Aspekte der Persönlichkeit als schutzwürdig anerkannt werden können.54 Aufgrund dessen lässt sich der Inhalt des allgemeinen Persönlichkeitsrechtes nicht ein für alle Mal festgelegen. Es handelt sich um ein entwicklungsoffenes Rahmenrecht, das einen nicht abschließenden Katalog spezieller Ausprägungen umfasst.55 In diesem Sinne sind das allgemeine Persönlichkeitsrecht und seine Schutzgüter vor allem durch die Rechtsprechung des BVerfG kontinuierlich weiterentwickelt worden. Die Schutzgüter des allgemeinen Persönlichkeitsrechtes können unterschiedlichen Fallgruppen zugeteilt werden.56 Hierzu gehören neben dem Recht auf informationelle Selbstbestimmung etwa auch das Recht auf Achtung der Privatsphäre und das Recht auf die Integrität und Vertraulichkeit informationstechnischer Systeme, die in einer besonderen Nähe zum Datenschutz stehen.57 3. Strafrechtlicher Rechtsgüterschutz Aufgrund seines weiten Schutzumfanges und Charakters als entwicklungsoffenes Rahmenrecht kann das allgemeine Persönlichkeitsrecht als Rechtsgut nicht von einem einzelnen Straftatbestand umfassend geschützt werden.58 Dies wäre nicht mit dem aus dem Gesetzlichkeitsprinzip folgenden strafrechtlichen Bestimmtheitsgebots vereinbar.59 Allein die Möglichkeit der ständigen Weiterentwicklung des allgemeinen Persönlichkeitsrechtes durch die Rechtsprechung würde es für den Betroffenen so gut wie unmöglich machen, Tragweite und Anwendungsbereich der Strafbarkeit konkret bestimmen zu können.60 Der Schutz des allgemeinen Persönlichkeitsrechtes durch das Strafrecht kann also nur fragmentarisch anhand seiner einzelnen speziellen Schutzgüter erfolgen.61
II. Schutzumfang Im Folgenden werden die Grundlagen des Schutzbereiches des informationellen Selbstbestimmungsrechtes, die abstrakte Gefährdungslage, der es begegnen soll, sowie sein objektiver Gehalt kurz erörtert.
53
Hubmann, JZ 1957, S. 521, 524. Vgl. auch Höft, S. 6. 55 BVerfGE 54, 148, 153 f.; BVerfGE 65, S. 1, 41; BeckOK-StGB/Heuchemer, Lexikon Stichwort Persönlichkeitsrecht Rn. 1; Hubmann, JZ 1957, S. 521, 524. 56 Vgl. Degenhart, JuS 1992, S. 361, 363 ff.; Jarass, NJW 1989, S. 857, 858 f.; Maunz/Dürig/ Di Fabio, Art. 2 Rn. 130, 147 ff. 57 Zur Abgrenzung vom Recht auf informationelle Selbstbestimmung unten III. 58 Arzt, S. 142 f.; Henkel, in 42. DJT, S. D 59, D 73; Höft, S. 5 ff.; einschränkend aber Peglau, ZRP 1998, S. 249, 251. 59 Arzt, S. 142 f.; Höft, S. 5 ff. 60 Näher zur notwendigen Bestimmtheit des Rechtsgutes unten V. 61 BeckOK-StGB/Heuchemer, Lexikon Stichwort Persönlichkeitsrecht Rn. 1; vgl. auch Kienapfel, S. 47 f.; Peglau, ZRP 1998, S. 249, 250. 54
92
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
1. Grundlegendes Das BVerfG folgerte im Volkszählungsurteil aus dem allgemeinen Persönlichkeitsrecht und dem Gedanken der Selbstbestimmung, dass jeder Einzelne grundsätzlich selbst darüber entscheiden dürfe, „wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.“62 Dazu gehöre es auch, dass die Bürger wissen können müssten, „wer was wann und bei welcher Gelegenheit über sie weiß.“63 Die „Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“64 wird seitdem als Recht auf informationelle Selbstbestimmung verstanden.65 Der Schutz durch das Recht auf informationelle Selbstbestimmung knüpft unmittelbar an den Umgang mit jeder Art von personenbezogenen Daten an.66 Hinsichtlich der betreffenden Daten ist es unerheblich, welcher Aussagegehalt ihnen zukommt, solange ein Personenbezug vorhanden ist. Der Grad der „Privatheit“ einer Information spielt keine Rolle – es gibt in diesem Sinne kein „belangloses“ Datum mehr.67 Einschränkend stellte das BVerfG im Volkszählungsurteil zum Recht auf informationelle Selbstbestimmung jedoch klar, dass der Einzelne „nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über ‚seine‘ Daten“68 habe. Da der Mensch sich in der sozialen Gemeinschaft entfalte und auf Kommunikation angewiesen sei, könnten personenbezogene Informationen „nicht ausschließlich dem Betroffenen allein zugeordnet werden“69 . Trotz dieser Einschränkung hat die weit formulierte Befugnis des BVerfG die Sorge erregt, dass durch das Recht auf informationelle Selbstbestimmung ein absolutes Herrschaftsrecht am eigenen Datum entstehen könnte.70 2. Die abstrakte Gefährdungslage Der grundsätzlich vom BVerfG formulierte Schutzumfang des Rechtes auf informationelle Selbstbestimmung ist weitreichend. Dies ist der durch die moderne Datenverarbeitung geschaffenen besonders abstrakten Gefährdungslage geschuldet, der es begegnen soll.71 Diese könne „bereits im Vorfeld konkreter Bedrohungen benennbarer Rechtsgüter entstehen, insbesondere wenn personenbezogene Informationen in einer Art und Weise 62
BVerfGE 65, S. 1, 42. BVerfGE 65, S. 1, 43. 64 BVerfGE 65, S. 1. 43 65 BVerfG NJW 2008, S. 822, 826 m. w. N. Nach einer anderen Ansicht wurde das Recht auf informationelle Selbstbestimmung bereits vor dem Volkszählungsurteil entwickelt und durch dieses lediglich „im Hinblick auf das besondere Gefährdungspotential elektronischer Datenverarbeitung spezifiziert“; vgl. Degenhart, JuS 1992, S. 361, 363. 66 Vgl. Albers, S. 280. 67 BVerfGE 65, S. 1, 45; BVerfG NJW 2008, S. 1505, 1506 m. w. N.; Maunz/Dürig/Di Fabio, Art. 2 Rn. 174. 68 BVerfGE 65, S. 1, 43 f. 69 BVerfGE 65, S. 1, 44. 70 Hoffmann-Riem, in: FS Reich 1997, S. 777, 780 f.; Rogall, ZStW 103 (1991), S. 907, 908. Simitis, NJW 1984, S. 394, 400 befürchtet die Monopolisierung von Informationen auf Grundlage eines dem Eigentum ähnlichen Ausschließlichkeitsrechtes. 71 Vgl. Benda, DuD 1984, S. 86, 88. 63
§ 5 Das geschützte Rechtsgut
93
genutzt und verknüpft werden können, die der Betroffene weder überschauen noch verhindern kann.“72 Regelmäßig wird zur Beschreibung dieser Gefährdungslage ausgeführt, dass „gerade mit Hilfe moderner Informationstechnologie [ . . . ] in der Synthese aller verfügbarer Daten über eine Person ein umfassendes Persönlichkeitsprofil erschlossen werden“73 könne.74 Wie sich schon aus dieser Umschreibung ergibt, sind die realen Beeinträchtigungen der freien Entfaltung der Persönlichkeit, die sich aus dem Umgang mit einzelnen personenbezogenen Daten ergeben, nur schwer zu erfassen.75 Sie folgen aus der tatsächlichen oder auch nur möglichen Verwendung der Daten in unterschiedlichen Zusammenhängen.76 So hat es noch keine spürbaren Auswirkungen auf die persönliche Entfaltungsfreiheit einer Person, wenn sie sich über eine Suchmaschine im Internet über Medikamente zur Behandlung einer bestimmten Krankheit informiert und der Betreiber der Suchmaschine die Suchanfragen, verknüpft mit dem Benutzerkonto der Person, bei diesem Dienst unbefugterweise speichert. Sehr wohl spürbar ist die Beeinträchtigung für die Person, wenn diese Informationen dann aber an eine Versicherung weitergegeben werden, die daraufhin den Vertragsschluss verweigert. Es kann jedoch auch schon die bloße Möglichkeit der Erhebung oder Speicherung von Daten eine Beeinträchtigung der Handlungs- und Entfaltungsfreiheit des Betroffenen bedeuten; etwa dann, wenn der Betroffene aufgrund dieser aus Besorgnis um die Konsequenzen auf die Nutzung von Internetdiensten oder die Teilnahme an Veranstaltungen verzichtet. Da die Gefährlichkeit der Verwendung von personenbezogenen Daten sich aus dem jeweiligen Kontext ergibt, soll sie grundsätzlich nur für einen zuvor bestimmten Zweck zulässig sein. Dazu habe sich die Verwendung der Daten in der Folge auf das für die Verfolgung des festgelegten Zweckes erforderliche Minimum zu beschränken.77 Dieses Prinzip wird als Zweckbindungsgrundsatz bezeichnet und stellt einen wichtigen inhaltlichen Schutzaspekt des Rechtes auf informationelle Selbstbestimmung dar.78 Die Wirksamkeit des Zweckbindungsgrundsatzes zum Schutz der informationellen Selbstbestimmung wird jedoch teilweise auch angezweifelt. So sei unklar, wie präzise der Verwendungszweck in einzelnen Bereichen bestimmt werden müsse, um dem Zweckbindungsgrundsatz zu genügen.79 Wenn beispielsweise in einer Datenschutzerklärung für die Nutzung eines Internetdienstes festgelegt ist, dass die Daten der Nutzer „für interne Zwecke“ oder „für kommerzielle“ Zwecke verwendet werden dürfen, fragt es sich, ob diese vagen Umschreibungen dem Zweckbindungsgrundsatz noch genügen können. Nach dem Verständnis des Zweckbindungsgrundsatzes im europäischen Recht80 ist dies jedenfalls nicht der Fall.81 72
BVerfG NJW 2008, S. 822, 826. Maunz/Dürig/Di Fabio, Art. 2 Rn. 174. 74 Näher zur Profilbildung als Risiko des Datenschutzrechts unten Vierter Teil § 16 II. 1. 75 Zur Schwierigkeit der Erfassung anhand des klassischen Eingriffsbegriffs Albers, S. 21; Maunz/ Dürig/Di Fabio, Art. 2 Rn. 176. 76 Albers, S. 240; vgl. auch Weichert, NJW 2001, S. 1463, 1465 f. 77 BVerfGE 65, S. 1, 46. 78 BVerfGE 65, S. 1, 46; Albers, S. 279; Benda, DuD 1984, S. 86, 88; Simitis, in: Sokol 1999, S. 5, 38 f.; dazu auch schon oben Erster Teil § 3 II. 1. b). 79 Ladeur, DuD 2000, S. 12, 14. 80 Geregelt in Art. 6 Abs. 1 lit. b) EG-Datenschutzrichtlinie. 81 Vgl. Helfrich, in: Hoeren/Sieber 2014, Rn. 88 ff. 73
94
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
Das Kriterium des „bestimmten Zwecks“ darf nicht zulassen, dass Datenverarbeitungszwecke so extensiv festgelegt werden, dass der hinter dem Zweckbindungsgrundsatz stehende Schutzgedanke damit umgangen wird. Die Meinungen darüber, wie gut der Schutzumfang des verfassungsrechtlichen Rechtes auf informationelle Selbstbestimmung in Rechtsprechung und Literatur heute umrissen ist, gehen stark auseinander. So wird kritisiert, dass der Schutzgehalt des Rechtes auf informationelle Selbstbestimmung auf der Grundlage der weitreichenden Formulierung im Volkszählungsurteil82 blass geblieben sei.83 Eine zufriedenstellende Konkretisierung sei nicht gelungen. Entgegen der zunächst vom BVerfG formulierten Einschränkungen sei das informationelle Selbstbestimmungsrecht als immer weiter begriffen worden und dadurch immer unbestimmbarer geworden.84 Andere sehen den Schutzbereich durch diese Formulierung als einwandfrei umrissen an und erblicken darin „ein verfassungsrechtliches Schutzkonzept von schlichter und klarer Schönheit“85 . Inwieweit das Recht auf informationelle Selbstbestimmung aus verfassungsrechtlicher Sicht von ausreichender Schärfe ist, ist jedoch von der strafrechtlichen Beurteilung86 zu trennen und soll hier nicht weiter erläutert werden. 3. Objektiver Gehalt Das Recht auf informationelle Selbstbestimmung ist in seinem dargelegten Gehalt im Ausgang als ein subjektives Abwehrrecht konzipiert worden.87 Darüber hinaus hat es aber auch einen objektiven Gehalt. So ist anerkannt, dass das Recht auf informationelle Selbstbestimmung verfassungsrechtliche Schutzpflichten statuiert.88 Der Einzelne ist zur Wahrung seiner informationellen Selbstbestimmung auf eine Unterstützung durch staatliche Regelungen angewiesen, da im heutigen technologischen Umfeld eine vollständige Beherrschbarkeit der Preisgabe und der Kontrolle des Umgangs mit den eigenen personenbezogenen Daten realistischerweise nicht mehr möglich ist.89 Insbesondere ist es dem Einzelnen zu ermöglichen, selbstbestimmt an Kommunikationsprozessen teilnehmen zu können.90 An konkreteren Ausführungen zum Umfang der Schutzpflichten von Seiten des BVerfG fehlt es jedoch bislang.91 Im Ausblick dürfte unter anderem der Schutz vor dem missbräuchlichen Umgang mit Daten durch private Dienstleister im Internet einen Schwerpunkt des notwendigen Schutzes bilden.92
82 Als „Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“; BVerfGE 65, S. 1. 43. 83 Albers, S. 177, 237 f. 84 Ladeur, DÖV 2009, S. 45, 49. 85 Gurlit, NJW 2010, S. 1035; Kutscha, DuD 2011, S. 461, 462. 86 Dazu unten V. 87 Vgl. Ladeur, DÖV 2009, S. 45, 46. 88 BVerfG MMR 2007, S. 93; Papier, in: 25 Jahre Volkszählungsurteil, S. 13, 24 m. w. N. 89 Kutscha, DuD 2011, S. 461, 463. 90 BVerfG MMR 2007, S. 93. 91 Kutscha, DuD 2011, S. 461, 463 f. 92 Vgl. Gurlit, NJW 2010, S. 1035, 1039 ff.
§ 5 Das geschützte Rechtsgut
95
III. Verhältnis zum allgemeinen Persönlichkeitsrecht und Abgrenzung von anderen Rechten Das Recht auf informationelle Selbstbestimmung ist zum Verständnis seines spezifischen Schutzinhalts von einer Reihe weiterer verfassungsrechtlich gewährleisteter Rechte abzugrenzen. Dies ergibt sich zum Teil bereits aus dem zuvor Gesagten. Als allgemeineres Recht ist es zunächst von den besonderen Privatheitsgarantien des Post- und Fernmeldegeheimnisses (Art. 10 GG) sowie des räumlichen Schutzes der Wohnung (Art. 13 GG) abzugrenzen.93 Des Weiteren unterscheidet es sich von einzelnen weiteren Ausprägungen des allgemeinen Persönlichkeitsrechtes.94 1. Allgemeines Persönlichkeitsrecht Das Recht auf informationelle Selbstbestimmung bildet einen Bestandteil des allgemeinen Persönlichkeitsrechtes, aus dem es entwickelt worden ist. Im Einzelnen ist das Verhältnis der beiden Rechte zueinander allerdings unklar. Aufgrund der abstrakten Definition seines Schutzbereiches ist Albers der Ansicht, dass das Recht auf informationelle Selbstbestimmung „die bis dahin vorhandenen Stränge des Persönlichkeitsschutzes in sich aufnehmen könnte, soweit es um den Umgang mit personenbezogenen Informationen und Daten geht“95 . Ladeur geht sogar noch weiter, indem er die These in den Raum stellt, dass das allgemeine Persönlichkeitsrecht nach seiner bisherigen Definition als Spezialfall des Rechtes auf informationelle Selbstbestimmung zu verstehen sein könnte und nicht umgekehrt.96 Schon durch seine spezifische Anknüpfung an den Umgang mit personenbezogenen Daten kann das Recht auf informationelle Selbstbestimmung indes nicht alle vom allgemeinen Persönlichkeitsrecht abgedeckten Fälle umfassen. So soll beispielsweise das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme („Computergrundrecht“) gerade in einem Bereich greifen, in dem das allgemeine Persönlichkeitsrecht zwar berührt, aber noch kein Umgang mit personenbezogenen Daten gegeben ist.97 Inwieweit sich das Recht auf informationelle Selbstbestimmung mit anderen Schutzaspekten des allgemeinen Persönlichkeitsrechtes überschneidet, soll im Folgenden anhand der jeweils in Betracht kommenden Schutzgüter untersucht werden. 2. Recht auf Achtung der Privatsphäre Der Recht auf Achtung der Privatsphäre ist mit dem informationellen Selbstbestimmungsrecht geschichtlich und inhaltlich eng verknüpft.98 Es ist „als individuelle Schutzposition in sozialen Kontexten“99 zu begreifen. Sein Schutz bezieht sich anders als der 93
BVerfG NJW 2007, S. 2464, 2465 f. m. w. N.; Gurlit, NJW 2010, S. 1035, 1036 f. BVerfG NJW 2007, S. 2464, 2466 m. w. N. 95 Albers, S. 247 f. 96 Ladeur, DÖV 2009, S. 45, 52; ähnlich Weichert, in: Kilian/Heussen 2008, Kap. 130 Rn. 4. 97 Näher dazu unten 4. 98 Zum Geheim- und Privatsphärenschutz als Vorläufer des heutigen Datenschutzrechts oben Erster Teil § 2 I. 99 Albers, S. 278, 611. 94
96
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
des informationellen Selbstbestimmungsrechtes nicht grundsätzlich auf sämtliche personenbezogenen Daten, sondern beruht auf dem Gedanken eines unantastbaren Bereiches privater Lebensgestaltung.100 Es schützt unter anderem personenbezogene Daten, die diesem Bereich zuzuordnen sind. Nach dem BVerfG „flankiert und erweitert“ das Recht auf informationelle Selbstbestimmung den Schutz der Privatsphäre, „indem es ihn schon auf der Stufe der Persönlichkeitsgefährdung beginnen lässt.“101 3. Recht am eigenen Bild und Recht am eigenen Wort Dem Recht am eigenen Bild und dem Recht am eigenen Wort steht das Recht auf informationelle Selbstbestimmung dadurch nahe, dass es sich bei all diesen Rechten um Bestandteile des Schutzes der Selbstdarstellung nach dem allgemeinen Persönlichkeitsrecht handelt.102 Ebenso wie bei personenbezogenen Daten soll der Betroffene hinsichtlich seines nicht öffentlich gesprochenen Wortes und Abbildungen seiner selbst grundsätzlich entscheiden dürfen, ob diese verbreitet werden. Der weite Schutzbereich des informationellen Selbstbestimmungsrechtes kann sich insbesondere mit dem Schutz des eigenen Bildes überlagern. Personenabbildungen enthalten in vielen Fällen personenbezogene Daten.103 Zum Beispiel enthält eine Fotografie, die eine Frau mit einer Brille zeigt, die vor dem Eiffelturm steht, für jeden, der diese Frau identifizieren kann, die personenbezogenen Daten, dass sie Brillenträgerin ist und Paris besucht hat.104 Aufgrund seiner inhaltlichen Nähe zum informationellen Selbstbestimmungsrecht wird das Recht am eigenen Bild zum Teil als Bestandteil des Rechtes auf informationelle Selbstbestimmung verstanden.105 4. Das „Computergrundrecht“ Schließlich ist das Recht auf informationelle Selbstbestimmung vom Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme abzugrenzen, das ebenfalls Bestandteil des allgemeinen Persönlichkeitsrechtes ist. Das kurz als „Computergrundrecht“ oder auch „IT-Grundrecht“ bezeichnete Recht wurde vom BVerfG in seinem Urteil vom 27. Februar 2008 zu den Regelungen der „Online-Durchsuchung“ im nordrhein-westfälischen Verfassungsschutzgesetz entwickelt.106 Es soll dazu dienen, hinsichtlich bestimmter neu entstandener Gefährdungslagen Schutzlücken zu füllen. Das „Computergrundrecht“ soll dann greifen, wenn ein Eingriff in ein informationstechnisches System vorliegt, durch den noch kein Umgang mit personenbezogenen Daten gegeben ist. Der Einzelne entfalte seine Persönlichkeit mehr und mehr durch die Nutzung informationstechnischer Systeme wie Personalcomputer oder Mobiltelefone. Solche Systeme könnten „personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten [ . . . ], dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesent100
BVerfGE 6, S. 32, 41; Albers, S. 610. BVerfG NJW 2008, S. 822, 826. Das Recht auf Achtung der Privatsphäre ist folglich nicht im Recht auf informationelle Selbstbestimmung „aufgegangen“; vgl. Albers, S. 276 ff. 102 Gurlit, NJW 2010, S. 1035, 1036; Maunz/Dürig/Di Fabio, Art. 2 Rn. 166. 103 Gola/Schomerus, § 3 Rn. 6 104 Näher zum Begriff des personenbezogenen Datums unten Dritter Teil § 9 I. 105 Maunz/Dürig/Di Fabio, Art. 2 Rn. 193; Weichert, in: Kilian/Heussen 2008, Kap. 130 Rn. 4. 106 BVerfG NJW 2008, S. 822 ff. 101
§ 5 Das geschützte Rechtsgut
97
liche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten.“107 Solche Zugriffe auf Informationssysteme würden sich nicht nur auf einzelne Kommunikationsvorgänge oder gespeicherte Daten beziehen. Das Recht auf informationelle Selbstbestimmung, das nur vor einzelnen Datenerhebungen schütze, erfasse sie nicht.108 Diese Umschreibung des Schutzbereichs zielt ähnlich wie der Schutz des informationellen Selbstbestimmungsrechtes auf die Erfassung abstrakter Gefährdungslagen und erfasst einen Bereich von Handlungen im Vorfeld von für den Betroffenen real spürbaren Beeinträchtigungen.109 Weil beide Rechte nach den Formulierungen des BVerfG zumindest dem Anschein nach auf ähnliche Gefährdungslagen zielen, ist daher auch Kritik an der grundlegenden Notwendigkeit des neu geschaffenen „IT-Grundrechts“ laut geworden.110 Seine eigenständige Bedeutung neben dem Recht auf informationelle Selbstbestimmung kann dadurch begründet werden, dass das „IT-Grundrecht“ gerade nicht an den Umgang mit personenbezogenen Daten anknüpft. Es hat mit der Ermöglichung der Persönlichkeitsentfaltung im Rahmen moderner Technik die gleiche Zielrichtung wie das informationelle Selbstbestimmungsrecht, bezieht sich aber nur auf schutzbedürftige Konstellationen, die sich nicht am missbräuchlichen Umgang mit personenbezogenen Daten festmachen lassen, wie dies etwa bei der Infiltration von Computersystemen durch den bloßen Zugriff der Fall sein kann, wenn dadurch keine personenbezogenen Daten sichtbar werden.111 Wie sinnvoll diese Trennung der Rechtspositionen und die Schaffung des neuen Rechtes aus verfassungsrechtlicher Sicht ist, soll hier nicht weiter diskutiert werden.112 Betrachtet man das Recht auf informationelle Selbstbestimmung im System des strafrechtlichen Rechtsgüterschutzes, erscheint seine strenge Begrenzung auf den Umgang mit personenbezogenen Daten unter dem Aspekt der erforderlichen Bestimmtheit jedenfalls als begrüßenswert. Zudem bildet die Anerkennung des Rechtes auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme eine verfassungsrechtliche Anknüpfung für den Schutz der (Funktionsfähigkeit der) Datenverarbeitung als strafrechtlichem Rechtsgut, etwa durch § 303b StGB.113
IV. Kommerzielle Aspekte Das Recht auf informationelle Selbstbestimmung ist keine „einsame Insel“ im Bereich des Persönlichkeitschutzes: Es steht auch in Verbindung mit unterschiedlichen anderen Rechten.114 So kann beispielsweise durch eine Verletzung der informationellen Selbstbestimmung die Religionsfreiheit (Art. 4 Abs. 1 GG) beeinträchtigt werden, wenn Angaben über die Religionszugehörigkeit einer Person offenbart werden. Für die vorliegende Un107 108 109 110 111 112 113 114
BVerfG NJW 2008, S. 822, 827. BVerfG NJW 2008, S. 822, 827. Vgl. Luch, MMR 2011, S. 75. Eifert, NVwZ 2008, S. 521 f.; Gurlit, NJW 2010, S. 1035, 1037 m. w. N. Luch, MMR 2011, S. 75, 76. Vgl. hierzu nur Eifert, NVwZ 2008, S. 521 ff. Vgl. MK-StGB/Wieck-Noodt, 2. Aufl., § 303b Rn. 1. Vgl. Albers, S. 242.
98
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
tersuchung besonders interessant ist die Verbindung des informationellen Selbstbestimmungsrechtes mit dem Schutz von vermögensrechtlichen Positionen. Schon in den Anfängen des strafrechtlichen Privatsphärenschutzes ist dieser mit dem Vermögensschutz in Verbindung gebracht worden, um ihm aus damaliger Sicht eine feste Legitimation zu geben.115 Auch in den gegenwärtigen Straftatbeständen der Datenschutzgesetze lässt sich eine solche Tendenz erkennen, wenn die Strafbarkeit von Merkmalen wie Entgeltlichkeit oder Bereicherungsabsicht abhängig gemacht wird.116 1. Kommerzialisierung personenbezogener Daten Personenbezogene Daten sind als wirtschaftlich handelbares Gut von Bedeutung.117 In den Bereichen der Marktforschung und Werbung besteht eine Nachfrage für Persönlichkeitsprofile bzw. -masken.118 Auch bei der Bonitätsprüfung, der Vermittlung von Arbeitskräften und in der Forschung sind kommerzielle Interessen an der Verwendung personenbezogener Daten vorhanden.119 Die wirtschaftliche Bedeutung von personenbezogenen Daten zeigt sich zudem dann, wenn Privatpersonen Internetdienste in Anspruch nehmen, für deren Nutzung keine geldwerten Gegenleistungen im klassischen Sinne, aber dafür ausführliche persönliche Angaben verlangt werden.120 Das Geschäftsmodell der Diensteanbieter beruht oftmals gerade darauf, Informationen über ihre Nutzer zu Geld zu machen.121 Die personenbezogenen Daten haben also hier einen oftmals konkret bezifferbaren wirtschaftlichen Wert. Mit den verfügbaren Datenbeständen ist die Bedeutung von personenbezogenen Daten als „verselbständigtes Informationskapital“122 in den letzten Jahren gewachsen.123 Dass Persönlichkeitsrechte wie das Recht auf informationelle Selbstbestimmung in ihrer Ausgangskonstruktion eine vermögensrechtliche Seite haben, ist anerkannt.124 Unklar ist demgegenüber, wie stark dieser vermögensrechtliche Aspekt zu betonen ist und unter Umständen ein selbstständiges Recht begründet. So stellt sich die Frage, ob das Recht auf informationelle Selbstbestimmung schon aus sich selbst den Charakter eines Vermögensrechtes hat bzw. ein eigenständiges Verwertungsrecht neben seinem ursprünglichen ideell-geprägten Gehalt begründet. Dass der Datenschutz im Zusammenhang mit vermögensrechtlichen Positionen steht, zeigt auch die Rechtsprechung des BVerfG. Hier wurde die grundrechtliche Verankerung des Datenschutzes im Hinblick auf Betriebs- und Geschäftsgeheimnisse nicht nur beim allgemeinen Persönlichkeitsrecht, sondern auch beim Eigentumsrecht aus Art. 14 GG verortet.125 115 116 117 118 119 120 121 122 123 124 125
Austermühle, S. 156 f. Z. B. in § 44 Abs. 1 BDSG; näher dazu unten Dritter Teil § 10 VI. Mester, DuD 2011, S. 679; Simitis, in: Sokol 1999, S. 5, 14. Vgl. Ladeur, DuD 2000, S. 12, 18. Weichert, NJW 2001, S. 1463, 1464. Buchner, DuD 2010, S. 39 ff.; Dix, DuD 2013, S. 44, 45; Spindler, GRUR 2013, S. 996, 999. Kurz/Rieger, S. 13 ff. So die Formulierung von Simitis, in: Sokol 1999, S. 5, 14. Mayer-Schönberger/Cukier, S. 125 ff. BVerfG NJW 2000, S. 2195; vgl. auch schon v. Gierke, S. 706. BVerfG NJW 1991, S. 2129, 2132; vgl. dazu Albers, S. 242.
§ 5 Das geschützte Rechtsgut
99
Diese Verbindung zwischen dem Datenschutz und Art. 14 GG wurde vom BVerfG nicht detailliert aufgeschlüsselt, ist aber schon deswegen interessant, weil das BVerfG im Volkszählungsurteil eine der des Eigentumsrechtes ähnliche Ausschließlichkeitsfunktion des Rechtes auf informationelle Selbstbestimmung abgelehnt hat.126 So wird es auch in Anlehnung an die damalige Begründung des BVerfG von Teilen der Literatur abgelehnt, das Recht auf informationelle Selbstbestimmung als eigentumsähnliches Recht anzusehen bzw. ein eigenständiges Immaterialgüterrecht diesbezüglich anzunehmen.127 Nach Hoffmann-Riem etwa lässt sich die „kommunikative Entfaltung [ . . . ] nicht am Modell der Sachherrschaft, also etwa nach Art der Eigentumsfreiheit, konzipieren“. Die kommunikative Entfaltung geschehe in „vernetzten sozialen Lebensräumen, in denen Kommunikation [ . . . ] nicht an ausgrenzenden Konzepten des Schutzes egozentrischer Entfaltung orientiert werden kann, sondern auf Freiheitsausübung auf Gegenseitigkeit zielt.“128 Demgegenüber gibt es Stimmen, die ein eigenständiges Verwertungsrecht an personenbezogenen Daten befürworten.129 Ullmann ist etwa der Auffassung, dass die „zunehmende kommerzielle Verwertbarkeit von Elementen der Persönlichkeit oder von Persönlichkeitsdetails“ diese „de facto zu einzelnen vermögenswerten Rechten“ mache und zu Immaterialgüterrechten werden ließe.130 Ladeur möchte durch die Zuordnung des Datenschutzrechtes zu dem auf ökonomische Transaktionen ausgerichteten Eigentumsrecht eine Erweiterung und Flexibilisierung des Datenschutzes ermöglichen.131 Weichert fordert die Anerkennung eines vom Persönlichkeitsrecht losgelösten Immaterialgüterrechtes hinsichtlich der Verarbeitung personenbezogener Daten als Folge der wachsenden wirtschaftlichen Bedeutung dieses Vorgangs.132 Der Gedanke eines datenschutzrechtlichen Verwertungsrechtes konnte sich bislang nicht durchsetzen. Er wird unter anderem aus dem Grund abgelehnt, dass er geeignet sei, das Ziel des Datenschutzes zu unterminieren. Die Schaffung eines verfügbaren Vermögensrechtes an personenbezogenen Daten würde einen Anreiz zum marktorientierten Umgang mit diesen schaffen, der eben nicht den Zielen des Persönlichkeitsschutzes entspräche.133 Auf der anderen Seite liege es gerade im Bereich des Selbstbestimmungsrechtes der Betroffenen, auch über die Vermarktung von Daten zu entscheiden.134 Während der Gedanke einer grundlegenden Neukonzeption des Datenschutzrechts aufgrund der steigenden kommerziellen Bedeutung personenbezogener Daten hier nicht näher verfolgt werden kann, soll im Folgenden die Bedeutung dieser Entwicklung für das Strafrecht erörtert werden.
126
BVerfGE 65, S. 1, 43; dazu auch oben II. 1. Gurlit, NJW 2010, S. 1035, 1036; Hoffmann-Riem, in: FS Reich 1997, S. 777, 780 f. 128 Hoffmann-Riem, in: FS Reich 1997, S. 777, 780 f. 129 Kilian, CR 2002, S. 921, 925 ff.; Spindler, GRUR 2013, S. 996, 999 m. w. N.; vgl. auch Buchner, S. 202. 130 Ullmann, AfP 1999, S. 209, 210; ähnlich Spindler, GRUR 2013, S. 996, 999. 131 Ladeur, DuD 2000, S. 12, 18. 132 Weichert, NJW 2001, S. 1463, 1469. 133 Simitis, in: Sokol 1999, S. 5, 36; vgl. auch Peifer, GRUR 2002, S. 495, 498 f. 134 Simitis, in: Sokol 1999, S. 5, 36. 127
100
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
2. Bedeutung für das Strafrecht Im Bezug auf die Straftatbestände der Datenschutzgesetze stellt sich darauf aufbauend die Frage, inwieweit diese einen in den personenbezogenen Daten manifestierten besonderen Bestandteil des Vermögens schützen. Eine ähnliche Diskussion wird im Bezug auf den Straftatbestand der Datenveränderung (§ 303a StGB) geführt. Hier wird aus dem Zusammenhang mit § 303 StGB als geschütztes Rechtsgut zum Teil „das Vermögen in seiner spezialisierten Ausprägung in Daten“135 im Sinne des § 202a Abs. 2 StGB136 gesehen. Die überwiegende Ansicht versteht als geschütztes Rechtsgut jedoch ein umfassenderes Interesse an der unversehrten Verwendbarkeit von Daten.137 Dies wird damit begründet, dass das Interesse an der Unversehrtheit und Verfügbarkeit der Daten nicht zwingend ein ökonomisches sei.138 Ähnlich kann der Vermögensschutz auch nur ein Aspekt des Schutzes der Straftatbestände der Datenschutzgesetze im geltenden Recht sein – selbst wenn man auf der Basis des geltenden Rechts ein eigenständiges Verwertungsrecht an personenbezogenen Daten annehmen würde. Der Datenschutz ist mit Vermögensinteressen faktisch zwingend verbunden. Beim Schutzzweck der Datenschutzgesetze steht jedoch die freie Entfaltung der Persönlichkeit im Vordergrund.139 Weder ein Bewusstsein für die Möglichkeit, noch ein konkretes Interesse an der ökonomischen Verwertung von personenbezogenen Informationen des Einzelnen haben sich bislang derart durchsetzen können, dass der Aspekt des Vermögensschutzes als vordergründig betrachtet werden könnte. Eine dahingehende Entwicklung muss jedoch perspektivisch genau verfolgt werden.140 Sollte sich die individuelle Verwertung von personenbezogenen Daten durchsetzen, könnte es sinnvoll sein, ein selbstständiges, verfügbares Verwertungsrecht an personenbezogenen Daten zu normieren. Eine mögliche Strafbewehrung von Verletzungen dieser Rechte müsste eigenständig untersucht werden. Im Gegensatz zu den geltenden Straftatbeständen der Datenschutzgesetze könnte sie nicht nur Interessen der Individuen schützen, von denen die Daten stammen, sondern auch die gegebenenfalls auf rechtsgeschäftlichem Erwerb basierenden Verwertungsinteressen von Datenhändlern. Eine gewisse Orientierung für die Konzeption einer solchen Regelung könnten bestehende Straftatbestände des Immaterialgüterrechts, wie z. B. die §§ 106 ff. UrhG, bieten. Für den Moment bleibt jedenfalls festzuhalten, dass personenbezogene Daten in ihrer steigenden Bedeutung als Wirtschaftsgüter einer erhöhten Missbrauchsgefahr ausgesetzt sind. Daraus ergibt sich ein verstärktes Schutzinteresse, das bei der Beantwortung der Fragen, ob und inwieweit das Strafrecht zum Schutz der informationellen Selbstbestimmung 135
Haft, NStZ 1987, S. 6, 10; ähnlich LK/Tolksdorf , 11. Aufl., § 303a Rn. 2. Der Datenbegriff des § 202a Abs. 2 StGB ist nicht auf personenbezogene Angaben begrenzt. 137 Lackner/Kühl, § 303a Rn. 1; LK/Wolff , 12. Aufl., § 303a Rn. 4; MK-StGB/Wieck-Noodt, 2. Aufl., § 303a Rn. 2; Wessels/Hillenkamp, BT 2, Rn. 59. 138 Dazu MK-StGB/Wieck-Noodt, 2. Aufl., § 303a Rn. 2 ff.; Schulze-Heiming, S. 165 f. 139 Vgl. § 1 Abs. 1 BDSG. 140 Es ist anzunehmen, dass sich zunehmend Menschen über die Möglichkeiten bewusts werden, ihre personenbezogenen Daten ökonomisch zu verwerten. So existieren bereits Geschäftsmodelle, mit denen Internetnutzer für die entgeltliche Zurverfügungstellung von Daten gewonnen werden sollen; vgl. Internet World Business 08/2013, S. 6 f. Dazu mit weiteren Beispielen und Nachweisen Unseld, S. 8 f. 136
§ 5 Das geschützte Rechtsgut
101
heranzuziehen ist, zu berücksichtigen ist. So hat auch in der Diskussion um die Einführung eines Straftatbestandes der Datenhehlerei der kommerzielle Wert von (personenbezogenen) Daten eine Rolle gespielt.141 Durch eine Strafbarkeit der Datenhehlerei würde reflexartig das Vermögen geschützt, da „mit dem Verfügungsrecht über Daten häufig wirtschaftliche Interessen verbunden“142 seien. Der BfDI begrüßte in diesem Zusammenhang „vor dem Hintergrund der zunehmenden Kommerzialisierung und Verkettung ubiquitär verfügbarer Daten“143 eine Verbesserung des strafrechtlichen Schutzes personenbezogener Daten.144
V. Bestimmtheit der informationellen Selbstbestimmung als Schutzgut Es fragt sich, ob das Recht auf informationelle Selbstbestimmung bestimmt genug ist, um das Schutzgut eines Straftatbestandes zu sein. 1. Bestimmtheit und Rechtsgüterschutz Das strafrechtliche Bestimmtheitsgebot gemäß § 1 Abs. 1 StGB und Art. 103 Abs. 2 GG bildet einen Teil des Gesetzlichkeitsprinzips.145 Es verpflichtet den Gesetzgeber, „die Voraussetzungen der Strafbarkeit so konkret zu umschreiben, dass Tragweite und Anwendungsbereich der Straftatbestände zu erkennen sind und sich durch Auslegung ermitteln lassen.“146 Dies schließt nicht jede abstrakte Gestaltung von Strafnormen und insbesondere nicht die Verwendung von Generalklauseln und normativen Begriffen aus.147 Die Normadressaten müssen jedoch „im Regelfall bereits anhand des Wortlauts der gesetzlichen Vorschrift voraussehen können, ob ein Verhalten strafbar ist oder nicht.“148 Hierdurch soll der Bürger vor staatlicher Willkür geschützt sowie die Gewaltenteilung und die Effektivität des Strafrechts gewahrt werden.149 Das Bestimmtheitsgebot steht in engem Zusammenhang mit dem Konzept des Rechtsgüterschutzes. Eine inhaltlich unbestimmte Norm stellt keine wirksame Handlungsanweisung dar und ist damit untauglich, effektiven Rechtsgüterschutz zu gewährleisten.150 Auch die Bestimmtheit des Rechtsguts selbst muss überprüft werden. Die Bestimmtheit einer Norm hängt davon ab, ob sich ihre Tragweite und ihr Anwendungsbereich zumindest durch Auslegung ermitteln lassen. Bei der Auslegung wiederum ist das geschützte Rechtsgut heranzuziehen.151 Ist das durch einen Tatbestand geschützte Rechtsgut nur vage 141
Dazu oben Erster Teil § 2 II. 5. BT-Drs. 17/14362, S. 13. 143 www.bfdi.bund.de/bfdi_forum/showthread.php?t=3358, zuletzt abgerufen am 1. Juni 2015. 144 Ähnlich die damalige Bundesjustizministerin Leutheusser-Schnarrenberger, www.rp-online. de/politik/deutschland/datendiebstahl-soll-strafbar-sein-aid-1.2976196, zuletzt abgerufen am 1. Juni 2015. 145 NK/Hassemer/Kargl, § 1 Rn. 13; Roxin, AT I, § 5 Rn. 67. 146 BVerfGE 126, S. 170, 195 m. w. N. 147 BVerfGE 126, S. 170, 195 f. m. w. N. 148 BVerfGE 126, S. 170, 195 m. w. N. 149 Roxin, AT I, § 5 Rn. 67; vgl. auch BVerfGE 75, S. 329, 341 m. w. N. 150 Vgl. Dietmeier, S. 4. 151 BVerfGE 126, S. 170, 200; Roxin, AT I, § 5 Rn. 75. 142
102
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
konturiert, kann eine Strafvorschrift eher das Bestimmtheitsgebot verletzen, als wenn das Rechtsgut klar umrissen ist. Zu beachten ist dabei, dass das Bestimmtheitsgebot in aller Regel nicht unmittelbar für das von einer Strafvorschrift geschützte Rechtsgut gilt, da dieses nicht im gesetzlichen Tatbestand der Vorschrift niedergeschrieben ist. So verhält es sich auch bei den Straftatbeständen der Datenschutzgesetze.152 Das Bestimmtheitsgebot stellt nur mittelbar Anforderungen an die Bestimmtheit des Rechtsgutes, sofern dieses für die (konkretisierende) Auslegung des Tatbestandes herangezogen wird. Soll also ein eher unbestimmtes rechtliches Interesse die Basis einer Strafnorm bilden, muss die Strafbarkeit tendenziell an zusätzliche konkrete Schutzgüter angeknüpft werden und eine präzisere tatbestandliche Ausgestaltung vorgenommen werden, um die Konformität mit dem Bestimmtheitsgebot zu wahren.153 So kann das allgemeine Persönlichkeitsrecht nicht in seiner Gesamtheit von einem Straftatbestand geschützt werden; wohl aber kann es anhand einzelner Schutzgüter wie z. B. dem Recht am eigenen Bild geschützt werden.154 2. Informationelle Selbstbestimmung als Schutzgut Im Folgenden soll untersucht werden, ob die Konturen des Rechtes auf informationelle Selbstbestimmung scharf genug sind, um als Schutzgut die Grundlage der Straftatbestände der Datenschutzgesetze zu bilden.155 Dafür ist von dem erläuterten verfassungsrechtlichen Verständnis des Rechtes auf informationelle Selbstbestimmung auszugehen, das die Straftatbestände der Datenschutzgesetze als im Ausgangspunkt außerstrafrechtliches Gut schützen sollen. Es stellt sich dabei insbesondere die Frage, ob in dem informationellen Selbstbestimmungsrecht möglicherweise „zu viel von der Allgemeinheit des allgemeinen Persönlichkeitsrechtes“ als seinem „Quellrecht“156 enthalten ist.157 Im Zivilrecht hat es sich im Zusammenhang mit § 823 Abs. 1 BGB als schwierig erwiesen, dem Recht auf informationelle Selbstbestimmung eigene Konturen zu verleihen – hier wird zu seiner Interpretation zum Teil auf die Lehren des allgemeinen Persönlichkeitsrechtes zurückgegriffen.158 Die abstrakte Natur des Rechtes auf informationelle Selbstbestimmung und seine bislang kaum erfolgte Ausdifferenzierung lassen einen weiten Interpretationsspielraum bei der Bestimmung seines genaueren Schutzumfangs. Nach einer weiten Auslegung kann es sogar als eine Art „Auffangrecht“ zum Schutz vor dem missbräuchlichen Umgang mit 152
Dazu näher unten Dritter Teil § 10. Vgl. Arzt, S. 170. Auch prinzipiell erscheint die Verwendung realitätsnah konturierter Rechtsgüter als sinnvoll zur Gewährleistung der Rechtsstaatlichkeit des Strafrechts; vgl. Hassemer, Strafrecht, S. 92; Rudolphi, in: FS Honig 1970, S. 151, 166. 154 Dazu oben I. 3. 155 Zur Vereinbarkeit der konkreten tatbestandlichen Ausgestaltung der Strafvorschriften des BDSG mit dem Bestimmtheitsgebot unten Dritter Teil § 10 V. 2. c). 156 So die Formulierung von Arzt, S. 143 im Bezug auf die Untersuchung des strafrechtlichen Schutzes von Privatangelegenheiten gegen öffentliche Erörterung und der Vertraulichkeit des Wortes. 157 Vgl. ähnlich zum Rechtsgut des § 201a StGB Kühl, in: FS Schöch 2010, S. 419, 433. 158 Spickhoff , in: Leible/Lehmann/Zech, S. 233, 242 m. w. N. 153
§ 6 Notwendigkeit der Pönalisierung
103
personenbezogenen Daten in jeder Gefährdungslage begriffen werden.159 Unzweifelhaft weist es Überschneidungen mit anderen Schutzgütern des allgemeinen Persönlichkeitsrechtes auf.160 Dies könnte es nahelegen, das Recht auf informationelle Selbstbestimmung ähnlich dem allgemeinen Persönlichkeitsrecht als entwicklungsoffenes Rahmenrecht zu beschreiben. Nach diesem Verständnis könnte das Recht auf informationelle Selbstbestimmung als Ganzes ebenso wenig wie das allgemeine Persönlichkeitsrecht umfassend durch einen Straftatbestand geschützt werden. Man könnte das Recht auf informationelle Selbstbestimmung (zumindest im verfassungsrechtlichen Sinne) dann allenfalls als eine Art „Zwischenrechtsgut“161 verstehen, das fragmentarisch geschützt werden könnte. Vor dem Hintergrund dieser Erkenntnisse ist es geboten, die durch strafrechtliche Vorschriften geschützten Bereiche des informationellen Selbstbestimmungsrechtes im Einzelnen näher zu identifizieren und nicht pauschal davon auszugehen, dass das Recht auf informationelle Selbstbestimmung in der Weite seiner verfassungsrechtlichen Begriffsbestimmung als Rechtsgut geschützt wird.162 Die Unkonturiertheit des informationellen Selbstbestimmungsrechtes stellt zudem „höhere Anforderungen an den Gesetzgeber bei der Formulierung der bestimmenden Merkmale von Straftatbeständen.“163
§ 6 Notwendigkeit der Pönalisierung Ein strafrechtlicher Schutz der informationellen Selbstbestimmung könnte auf der Grundlage verfassungsrechtlicher sowie völkerrechtlicher und europarechtlicher Vorgaben notwendig sein.
I. Verfassungsrechtliche Notwendigkeit In gewissen Fällen kann eine Verpflichtung des Staates bestehen, Verhaltensweisen unter Strafe zu stellen. Eine ausdrückliche verfassungsrechtliche Pönalisierungspflicht ist lediglich in Art. 26 Abs. 1 S. 2 GG (Gebot der Strafbarkeit friedensstörender Handlungen) normiert,164 jedoch kann sich eine Pflicht zum Erlass von Strafnormen auch aus dem verfassungsrechtlichen Untermaßverbot ergeben. Das Untermaßverbot lässt sich aus dem Grundsatz der Verhältnismäßigkeit sowie den durch einzelne Grundrechte begründeten Schutzpflichten herleiten.165 Demnach können der Gesetzgeber und andere
159
Vgl. Albers, S. 235 f., 247 ff.; Ladeur, DÖV 2009, S. 45, 52. Dazu oben III. 161 Vgl. LK/Schünemann, 12. Aufl., Vor § 201 Rn. 4. 162 Vgl. Heghmanns, in: Achenbach, Rn. 88; Zielinski, in: Kilian/Lenk/Steinmüller, S. 129, 139 ff. 163 So die Formulierung von Hoffmann-Holland/Singelnstein, in: Kunig/Nagata, S. 155, 161 im Zusammenhang mit der Bestimmung des Rechtsgutes bei § 238 StGB. 164 Zur Bedeutung dieser Vorschrift für die Annahme verfassungsrechtlicher Pönalisierungsgebote Müller-Dietz, in: FS Dreher 1977, S. 97, 102 ff. 165 Michael, JuS 2001, S. 148, 151. 160
104
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
staatliche Stellen verpflichtet sein, Maßnahmen zum Schutz von Rechtsgütern zu ergreifen.166 Dies kann in bestimmten Fällen auch die Strafgesetzgebung betreffen, wenn ein wirksamer Schutz anders nicht zu erreichen ist.167 Dabei ist zu beachten, dass Pönalisierungsgebote nach allgemeiner Ansicht – wenn überhaupt – nur in eng begrenzten Fällen bestehen können.168 Dem Gesetzgeber steht bei der Gestaltung des strafrechtlichen Rechtsgüterschutzes ein weiter Spielraum zu, der auch die Freiheit umfasst, bestimmte Verhaltensweisen nicht strafrechtlich zu erfassen.169 Das Untermaßverbot knüpft an das Bestehen verfassungsrechtlicher Schutzpflichten an.170 Solche Pflichten zum Schutz von Individualrechten beruhen auf der Verpflichtung des Staates zum Schutz der Menschenwürde (Art. 1 Abs. 1 S. 2 GG). So stützte auch das BVerfG in seiner ersten Entscheidung zum Schwangerschaftsabbruch im Februar 1975 die staatliche Pflicht zum Schutz des menschlichen Lebens durch das Strafrecht neben Art. 2 Abs. 2 S. 1 GG ebenfalls auf die Menschenwürde.171 Der Inhalt der Schutzpflichten ergibt sich im Einzelnen aus dem objektiv-rechtlichen Gehalt einzelner Grundrechte.172 Das Recht auf informationelle Selbstbestimmung hat neben seinem abwehrrechtlichen Gehalt auch einen objektiven Gehalt und begründet daher – wie bereits erörtert – Schutzpflichten.173 Wann auf der Grundlage einer verfassungsrechtlichen Schutzpflicht auch eine Pönalisierungspflicht angenommen werden kann, ist durch Rechtsprechung und Literatur bisher allerdings kaum geklärt.174 In seiner ersten Entscheidung zum Schwangerschaftsabbruch ist das BVerfG im Wege einer Gesamtbetrachtung im Ergebnis zu der Annahme einer Pönalisierungspflicht zum Schutze des ungeborenen Lebens gelangt.175 Es bezog bei seiner Entscheidung unter anderem den Wert des verletzten Rechtsgutes, das Maß der Sozialschädlichkeit der Verletzungshandlung, die traditionellen rechtlichen Regelungen des Lebensbereichs, die Entwicklung der Vorstellungen über die Rolle des Strafrechts in der modernen Gesellschaft und die praktische Wirksamkeit von Strafdrohungen mit ein.176 Das Recht auf informationelle Selbstbestimmung weist einen gesamtgesellschaftlichen Bezug auf und gründet auf höchsten Verfassungswerten.177 Es ist Bestandteil des allgemeinen Persönlichkeitsrechtes, dessen Kernbereich unmittelbar in der Menschenwürde verankert ist.178 Insbesondere in diesem Bereich könnte eine Pönalisierungspflicht in Be166 BVerfGE 88, S. 203, 254. Das Untermaßverbot ist kein klassisches strafrechtliches Konzept; Canaris, AcP 184 (1984), S. 201, 228 prägte den Begriff des Untermaßverbotes im Zusammenhang mit der Wirkung von Grundrechten im Privatrecht; vgl. Hassemer, Strafrecht, S. 89; Lee, S. 86. 167 Roxin, AT I, § 2 Rn. 96. 168 Roxin, AT I, § 2 Rn. 95. 169 BVerfGE 120, S. 224, 250. 170 Hassemer, Strafrecht, S. 89; Michael, JuS 2001, S. 148, 151. 171 BVerfGE 39, S. 1, 41. 172 Gurlit, NJW 2010, S. 1035, 1040. 173 Dazu oben § 5 II. 3. 174 Vgl. LK/Schünemann, 12. Aufl., § 203 Rn. 4. 175 BVerfGE 39, S. 1 ff. 176 BVerfGE 39, S. 1, 45. 177 Bull, NJW 2006, S. 1617, 1622. 178 BVerfGE 34, S. 238, 245 f.; BVerfGE 80, S. 367, 373 f.
§ 6 Notwendigkeit der Pönalisierung
105
tracht kommen.179 Für die Notwendigkeit einer Pönalisierung könnte als „viktimodogmatischer Gesichtspunkt“180 auch sprechen, dass prinzipiell jeder Einzelne den Risiken der Verletzung seines informationellen Selbstbestimmungsrechtes in der modernen Informationsgesellschaft ausgesetzt ist und sich ein fehlender strafrechtlicher Schutz vor diesem Hintergrund besonders negativ auf den gesellschaftlichen Gesamtzustand auswirken könnte.181 Allerdings ist es aufgrund der abstrakten Natur des Rechtes auf informationelle Selbstbestimmung fragwürdig, ob sich ein zu pönalisierender Kernbereich überhaupt näher bestimmen ließe. Ein „allgemein gültiges Mindestmaß an Grundrechtsschutz zu definieren“182 ist im Bezug auf die informationelle Selbstbestimmung schon deshalb kaum möglich, weil durch ihren Schutz zugleich andere grundrechtliche Positionen beeinträchtigt werden. Aufgrund der Gemeinschaftsgebundenheit der Person und ihrer Daten183 steht der Schutz der informationellen Selbstbestimmung stets im Konflikt mit den Kommunikationsfreiheiten. Hinzu kommt, dass das informationelle Selbstbestimmungsrecht im Wesentlichen auf einen Schutz im Vorfeld real spürbarer Beeinträchtigungen ausgerichtet ist.184 Dass der Einsatz des Strafrechts verfassungsrechtlich notwendig ist, bevor es überhaupt zu einer real spürbaren Beeinträchtigung eines Rechtsguts kommt, bedürfte einer besonderen Begründung. Schon eher könnte man Pönalisierungspflichten bei der Verletzung „nachgeschalteter“ Rechtsgüter annehmen, die aus Datenschutzverstößen folgt. In Folge der verfassungsrechtlichen Schutzpflichten aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG ist der Gesetzgeber also nicht verpflichtet, das Strafrecht zum Schutz der informationellen Selbstbestimmung einzusetzen.
II. Internationaler und europäischer Rahmen Eine Notwendigkeit des Einsatzes des Strafrechts zum Schutz der informationellen Selbstbestimmung könnte sich jedoch aus dem Völker- und Europarecht ergeben. 1. Völkerrecht Im Völkerrecht könnten vor allem die Europäische Datenschutzkonvention und die Cybercrime Konvention Anhaltspunkte für die Sanktionierung von Datenschutzverstößen enthalten. a) Europäische Datenschutzkonvention Zunächst wird die Sanktionierung von Datenschutzverstößen in dem „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener 179 180 181 182 183 184
Vgl. Peglau, ZRP 1998, S. 249, 250. Vgl. LK/Schünemann, 12. Aufl., § 203 Rn. 3. Vgl. Henkel, in 42. DJT, S. D 59, D 74. Buchner, S. 55. Vgl. BVerfGE 65, S. 1, 44. Vgl. oben § 5 II. 2.
106
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
Daten“185 des Europarates (Europäische Datenschutzkonvention) völkerrechtlich vorgeschrieben. Die Europäische Datenschutzkonvention vom 28. Januar 1981 ist das erste völkerrechtlich verbindliche internationale Datenschutzabkommen. Sie trat am 1. Oktober 1985 nach Ratifikation durch die Bundesrepublik Deutschland für diese in Kraft.186 In Art. 10 der Konvention heißt es: „Jede Vertragspartei verpflichtet sich, geeignete Sanktionen und Rechtsmittel für Verletzungen der Vorschriften des innerstaatlichen Rechts, welche die in diesem Kapitel aufgestellten Grundsätze für den Datenschutz verwirklichen, festzulegen.“ Dabei lässt die Konvention den verpflichteten Staaten bei der Wahl der Sanktionen nach ihrer Art und Rechtsfolge einen weiten Spielraum.187 Vor allem die Auswahl zwischen zivilrechtlichen, verwaltungsrechtlichen und strafrechtlichen Sanktionen soll den verpflichteten Staaten überlassen werden.188 b) Cybercrime Konvention Das „Übereinkommen über Computerkriminalität“ des Europarates vom 23. November 2001189 (Cybercrime Konvention) als eines der wichtigsten internationalen Abkommen im Bereich der Computerkriminalität enthält keine konkreten Vorgaben zur Ausgestaltung des Datenschutzstrafrechts. Zwar wurde die Konvention auch unter Berücksichtigung des Rechtes auf Schutz personenbezogener Daten geschlossen,190 konzentriert sich aber im materiell-strafrechtlichen Bereich auf den Schutz der Vertraulichkeit, Unversehrtheit und Verfügbarkeit von Computerdaten und -systemen.191 c) Weiteres Auch weitere internationale Abkommen enthalten keine konkreten Vorgaben für das Datenschutzstrafrecht im engeren Sinne.192 Man hat sich auf internationaler Ebene bislang kaum mit dieser Materie befasst. Eine seltene Ausnahme bilden etwa die Beschlüsse des AIDP-Colloquiums Würzburg aus dem Jahre 1992.193 Hierbei handelt es sich allerdings lediglich um unverbindliche Empfehlungen eines privatrechtlichen Vereins. In den Beschlüssen wird eine zurückhaltende Anwendung des Strafrechts zum Schutz der informationellen Selbstbestimmung neben dem Zivilrecht und dem Verwaltungsrecht empfohlen.194 Insbesondere wird empfohlen, das Datenschutzstrafrecht nur in „ernsthaften
185
BGBl. II, 1985, S. 538, 539 ff. BGBl. II, 1985, S. 1134 f. 187 Council of Europe, Explanatory Report on the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Nr. 60; vgl. auch Henke, S. 144 ff. 188 Council of Europe, Explanatory Report on the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Nr. 60. 189 BGBl. II, 2008, S. 1242, 1243 ff. 190 Vgl. Präambel Cybercrime Konvention. 191 Art. 2 ff. Cybercrime Konvention. 192 Vgl. Sieber, in: Europäisches Strafrecht, Rn. 31. 193 Resolutions of the AIDP-Colloquium Würzburg 1992, abgedruckt in Sieber, Information technology crime, S. 627 ff. 194 Resolutions of the AIDP-Colloquium Würzburg 1992, Nr. 10, Sieber, Information technology crime, S. 627, 630. 186
§ 6 Notwendigkeit der Pönalisierung
107
Fällen“195 zum Einsatz zu bringen, wenn etwa besonders sensible Daten betroffen sind, Strafnormen in diesem Bereich präzise zu formulieren, Schuld- und Vorsatzfragen sowie die Wünsche der Opfer nach Strafverfolgung zu beachten. 2. Europarecht Die EG-Datenschutzrichtlinie enthält Vorgaben für die Sanktionierung von Datenschutzverstößen, die vor dem Hintergrund der Rechtsprechung des EuGH zu verstehen sind. Die geplante EU-Datenschutzverordnung sieht eine stärkere Harmonisierung des Datenschutzsanktionsrechts vor. a) EG-Datenschutzrichtlinie Die EG-Datenschutzrichtlinie lässt den Mitgliedsstaaten einen weiten Spielraum bei der Regelung von Sanktionen im Datenschutzrecht. Nach Art. 24 EG-Datenschutzrichtlinie ergreifen die Mitgliedsstaaten „geeignete Maßnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.“ Damit ist, ähnlich wie durch Art. 10 Europäische Datenschutzkonvention, zwar festgelegt, dass eine Sanktionierung erfolgen soll, aber nicht auf welche Art und mit welchen Folgen.196 Die Wahl der Sanktionsmittel ist in erster Linie den Mitgliedsstaaten überlassen. Gleichwohl sind die Mitgliedsstaaten verpflichtet, effektive Sanktionen zu wählen, um sicherzustellen, dass die durch die Richtlinie vorgegebenen Verhaltensvorschriften umgesetzt werden.197 Werden die vorgegebenen Regelungen in einem Mitgliedsstaat praktisch nur defizitär befolgt und angewandt, kann ein Verstoß gegen Art. 24 EG-Datenschutzrichtlinie vorliegen, der unter anderem auf der mangelhaften Regelung von Sanktionen beruhen kann.198 Auch der mangelhafte Vollzug der geregelten Sanktionen kann eine Ursache für die defizitäre Anwendung der Bestimmungen der Richtlinie sein und einen Verstoß begründen.199 Neben der EG-Datenschutzrichtlinie berühren auch anderen Richtlinien der EU, die den Bereich des Datenschutzrechts betreffen, die Sanktionierung von Datenschutzverstößen. So erwähnt Art. 15a Abs. 1 S. 1 der Datenschutzrichtlinie für elektronische Kommunikation200 ausdrücklich die Möglichkeit, zur Sanktionierung von Datenschutzverstößen im Telekommunikationsbereich das Strafrecht einzusetzen. 195 Resolutions of the AIDP-Colloquium Würzburg 1992, Nr. 12, Sieber, Information technology crime, S. 627, 631. 196 Vgl. Dammann/Simitis, Art. 24 Rn. 5; Ehmann/Helfrich, Art. 24 Rn. 4; Grabitz/Hilf/Brühann, Art. 24 EG-Datenschutzrichtlinie Rn. 5; Simitis/Ehmann, § 43 Rn. 5; Tinnefeld, 2005, S. 670 f. 197 Dammann/Simitis, Art. 24 Rn. 6; Grabitz/Hilf/Brühann, Art. 24 EG-Datenschutzrichtlinie Rn. 6. 198 Vgl. Dammann/Simitis, Art. 24 Rn. 6. 199 Dammann/Simitis, Artikel 24 Rn. 2. 200 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl. EG Nr. L 201 S. 37.
108
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
b) Rechtsprechung des EuGH Art. 24 EG-Datenschutzrichtlinie ist vor dem Hintergrund der Rechtsprechung des EuGH zu verstehen, wonach Verstöße gegen das europäische Recht „nach ähnlichen sachlichen und verfahrensrechtlichen Regeln geahndet werden [müssen] wie nach Art und Schwere gleichartige Verstöße gegen nationales Recht, wobei die Sanktion jedenfalls wirksam, verhältnismäßig und abschreckend sein muß.“201 Der EuGH hat eine Einschränkung der grundsätzlich weiten Einschätzungsfreiheit der Mitgliedsstaaten bei der Wahl der Mittel zur Sanktionierung von Verstößen gegen das Unionsrecht aus dem Grundsatz der Unionstreue abgeleitet, der heute in Art. 4 Abs. 3 EUV geregelt ist.202 Diese Einschränkung gilt auch für die Wahl der Mittel zur Sanktionierung von Verstößen gegen die Vorschriften der EG-Datenschutzrichtlinie. Aus den Grundsätzen des EuGH kann sich eine Pflicht zum Einsatz des Strafrechts ergeben, wenn durch andere Sanktionsinstrumente die gestellten Voraussetzungen nicht erfüllt werden können. Fraglich ist, ob Deutschland als EU-Mitgliedsstaat aus Art. 24 EG-Datenschutzrichtlinie in Verbindung mit der Rechtsprechung des EuGH zur Sanktionierung von Verstößen gegen die Datenschutzrichtlinie durch das Strafrecht verpflichtet ist. Dies könnte sich zunächst aus dem vom EuGH formulierten Gleichstellungsgebot ergeben, wonach Verstöße gegen Unionsrecht „nach ähnlichen sachlichen und verfahrensrechtlichen Regeln geahndet werden [müssen] wie nach Art und Schwere gleichartige Verstöße gegen nationales Recht“. Wenn die Strafbarkeit von Verletzungen der informationellen Selbstbestimmung oder einem vergleichbaren Rechtsgut im deutschen Strafrecht fest verankert wäre, könnte man daraus herleiten, dass auch Verstöße gegen die EG-Datenschutzrichtlinie mit dem Strafrecht bedroht werden müssten. Am ehesten käme eine Gleichstellung im Verhältnis zu den Straftatbeständen der §§ 201 ff. StGB zur Verletzung des persönlichen Lebens- und Geheimbereichs in Betracht. Zum Teil schützen die Regelungen auch die informationelle Selbstbestimmung. So schützt etwa § 201a StGB durch die Strafbarkeit des Herstellens von Bildaufnahmen zugleich vor der Preisgabe der in den Bildaufnahmen enthaltenen personenbezogenen Daten.203 Allerdings zielt nur der sehr eingeschränkt anwendbare § 203 Abs. 2 S. 2 StGB originär auf den Schutz der informationellen Selbstbestimmung.204 Im Übrigen sind primär andere Rechtsgüter geschützt, die zwar gewisse Überschneidungen mit dem informationellen Selbstbestimmungsrecht aufweisen, aber nicht „funktionell austauschbar“205 mit diesem sind. Das Datenschutzrecht geht gerade über den Geheim- und Privatsphärenschutz der §§ 201 ff. StGB hinaus. Es soll vor Gefährdungen schützen, denen der traditionelle Geheim- und Privatsphärenschutz nicht mehr begegnen kann. Damit ergibt sich aus dem Gleichstellungsgebot keine unionsrechtliche Notwendigkeit eines strafrechtlichen Schutzes vor Verstößen gegen die EG-Datenschutzrichtlinie. 201 EuGH v. 21. September 1989, Rs. 68/88, Slg. 1989, I-2965 – Griechischer Mais; EuGH v. 10. Juli 1990, Rs. 326/88, Slg. 1990, I-2911 – Hansen; vgl. zu zivilrechtlichen Sanktionen schon EuGH v. 10. April 1984, Rs. 14/1983, Slg. 1984, I-1891 – Colson und Kamann. 202 Vgl. Hecker, § 7 Rn. 28. 203 Vgl. dazu oben § 5 III. 3. 204 Dazu oben Erster Teil § 2 II. 2. b). 205 Vgl. Satzger, S. 365.
§ 6 Notwendigkeit der Pönalisierung
109
Ferner könnte die Anforderung, dass Sanktionen „wirksam, verhältnismäßig und abschreckend“ sein müssen, den Einsatz des Strafrechts zum Schutz der informationellen Selbstbestimmung nach europäischem Recht notwendig machen. Ähnlich wie nach den Kriterien des Verhältnismäßigkeitsgrundsatzes im nationalen Verfassungsrecht gilt allerdings bezüglich der einzelnen Merkmale jeweils ein weiter Einschätzungsspielraum der Mitgliedsstaaten.206 Um wirksam und abschreckend zu sein, müssen Sanktionsnormen geeignet sein, das europäische Recht zu schützen und dazu eine ausreichende Präventionswirkung entfalten.207 Nicht nur die Möglichkeiten der Sanktionierung, sondern auch der Vollzug der Sanktionen müssen zu einer solchen Präventionswirkung beitragen.208 Da sich die Präventionswirkung von Sanktionen im Einzelnen kaum exakt bemessen lässt, haben die Mitgliedsstaaten hierbei einen weiten Einschätzungsspielraum.209 Abstrakt lässt sich hiernach nicht bestimmen, ob das Strafrecht als wirksames und abschreckendes Mittel notwendig ist, um Verstöße gegen die EG-Datenschutzrichtlinie zu sanktionieren. Grundsätzlich lassen sich auch über Schadensersatzregelungen und Bußgeldandrohungen weitreichende präventive Wirkungen erzielen. Genauer kann die Frage, ob das Strafrecht als wirksame und abschreckende Sanktion notwendig ist, allerdings nur im Zusammenhang mit einem konkreten Sanktionssystem beantwortet werden. Nach dem Kriterium der Verhältnismäßigkeit müssen Sanktionen im Verhältnis zu den Verstößen bzw. Rechtsverletzungen, auf die sie sich beziehen, angemessen sein („Gebot der Androhung angemessener Sanktionen“).210 Bei der Beurteilung der Angemessenheit bleibt den Mitgliedsstaaten ein weiter Spielraum.211 Bei der Frage, ob das Strafrecht als Sanktionsmittel eingesetzt werden muss, sind das „Gewicht des verletzten Rechtsguts, der Art des Verstoßes, und des gesamten Verhaltens des Täters“212 zu berücksichtigen.213 Vor dem Hintergrund der weiten gesetzgeberischen Einschätzungsprärogative lässt sich nach diesen Kriterien kein Verstoß gegen die Regelungen der Datenschutzrichtlinie erkennen, dessen Ahndung nur mit strafrechtlichen Mitteln angemessen erfolgen könnte. c) Ausblick: Datenschutz-Grundverordnung Derzeit ist eine Reform des Datenschutzrechts auf europäischer Ebene im Gange, die auch die Regelung der Sanktionen für Datenschutzverstöße betrifft. Im November 2010 hat die Kommission in einer Mitteilung zum „Gesamtkonzept für den Datenschutz in der Europäischen Union“ angekündigt, zu „untersuchen, ob die bestehenden Sanktionsregelungen verschärft werden sollten, beispielsweise durch strafrechtliche Sanktionen bei
206
Satzger, S. 368 ff.; vgl. auch MK-StGB/Radtke, 2. Aufl., Vor §§ 38 ff. Rn. 7. Gröblinghoff , S. 25 f.; Hecker, § 7 Rn. 63; Satzger, S. 368. 208 Hecker, § 7 Rn. 63; Satzger, S. 369. 209 Satzger, S. 369. 210 Gröblinghoff , S. 26; Hecker, § 7 Rn. 65; Satzger, S. 372. Die Verhältnismäßigkeit in diesem Sinne ist nicht gleichbedeutend mit dem deutschen Verhältnismäßigkeitsgrundsatz; Satzger, S. 371. 211 Hecker, § 7 Rn. 65. 212 Satzger, S. 372. 213 Vgl. auch Hecker, § 7 Rn. 65. 207
110
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
ernsten Datenschutzverletzungen, damit die Sanktionen mehr Wirkung zeigen.“214 Dabei betonte die Kommission, dass es „[f]ür eine wirksame Durchsetzung der Datenschutzvorschriften [ . . . ] wirksamer Bestimmungen über Rechtsbehelfe und Sanktionen“215 bedürfe. Regelungen zur Sanktionierung von Datenschutzverstößen sind auch im VIII. Kapitel des Kommissionsentwurfes einer Datenschutzgrundverordnung vom Januar 2012 vorgesehen.216 Ähnlich wie die EG-Datenschutzrichtlinie belässt der Verordnungsentwurf den Mitgliedstaaten hierbei zunächst einen weiten Spielraum. Gemäß Art. 78 Abs. 1 S. 1 DSGVO-E haben die Mitgliedstaaten festzulegen „welche Sanktionen bei einem Verstoß gegen diese Verordnung zu verhängen sind, und treffen die zu ihrer Durchsetzung erforderlichen Maßnahmen“.217 Art. 78 Abs. 1 S. 2 DSGVO-E hält entsprechend der EuGHRechtsprechung zur mitgliedstaatlichen Regelung von Sanktionen fest, dass die Sanktionen „wirksam, verhältnismäßig und abschreckend sein“ müssen.218 Gemäß Art. 78 Abs. 3 DSGVO-E haben die Mitgliedsstaaten der Kommission die von ihnen geregelten Sanktionsvorschriften und Änderungen dieser mitzuteilen. Art. 79 DSGVO-E enthält eine Sonderregelung für Verwaltungssanktionen, die durch datenschutzrechtliche Aufsichtsbehörden verhängt werden können. Die Aufsichtsbehörden sind demnach dazu verpflichtet, bestimmte Verstöße gegen die Verordnung mit Geldbußen zu ahnden.219 Die Geldbußen sollen sich gemäß Art. 79 Abs. 2 S. 2 DSGVO-E in ihrer Höhe nach „Art, Schwere und Dauer des Verstoßes, seinem vorsätzlichen oder fahrlässigen Charakter, dem Grad der Verantwortung der natürlichen oder juristischen Person und früheren Verstößen dieser Person, den nach Artikel 23 eingeführten technischen und organisatorischen Maßnahmen und Verfahren und dem Grad der Zusammenarbeit mit der Aufsichtsbehörde zur Abstellung des Verstoßes“ bestimmen.220 In Art. 79 Abs. 4–6 DSGVO-E ist ein Katalog von Verstößen gegen formelle und materielle Vorschriften der Verordnung aufgeführt, die bei vorsätzlicher oder fahrlässiger Begehung mit Geldbußen von bis zu 1.000.000 Euro oder im Fall eines Unternehmens bis in Höhe von 2 % seines weltweiten Jahresumsatzes geahndet werden können. In einer vor der offiziellen Vorstellung des Kommissionsentwurfs am 25. Januar bekannt gewordenen Fassung des Verordnungsentwurfes waren für Unternehmen sogar Geldbußen in Höhe von bis zu 5 % ihres weltweiten Jahresumsatzes vorgesehen gewesen.221 Auch die Änderungsvorschläge des
214 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 4. November 2010, KOM(2010) 609 endg., S. 10. 215 KOM(2010) 609 endg., S. 10. 216 Allgemein zum DSGVO-E oben Erster Teil § 3 V. 2. 217 Ähnlich Erwägungsgrund 119 DSGVO-E: „Gegen jede – privatem oder öffentlichem Recht unterliegende – Person, die gegen diese Verordnung verstößt, sollten Sanktionen verhängt werden. Die Mitgliedstaaten sollten dafür sorgen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind, und alle Maßnahmen zu ihrer Anwendung treffen.“ 218 Zu diesen Kriterien oben b). 219 KOM(2012) 11 endg., S. 17. 220 Vgl. auch Erwägungsgrund 120 DSGVO-E. 221 Die vorab bekannt gewordene Entwurfsfassung vom 29. November 2011 ist abrufbar unter http://statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf, zuletzt abgerufen am 1. Juni 2015; vgl. auch LfDI Bremen, Bericht 2012, S. 19.
§ 7 Zulässigkeit strafrechtlichen Schutzes
111
LIBE zum Kommissionsentwurf sehen Sanktionen in Höhe von bis zu 5 % des Jahresumsatzes eines Unternehmens bzw. bis zu 100.000.000 Euro vor.222 Diese Verwaltungssanktionen in Form von Bußgeldern sind damit die schärfsten Sanktionen, die der Entwurf der Datenschutzverordnung vorschreibt. Er geht damit in der Harmonisierung der Sanktionen über die EG-Datenschutzrichtlinie hinaus. Die in Art. 79 DSGVO-E vorgesehenen Verwaltungssanktionen dürften bei Verabschiedung der Datenschutzverordnung an die Stelle der nunmehr in § 43 BDSG geregelten Ordnungswidrigkeiten treten.223 Der Gedanke einer Harmonisierung von strafrechtlichen Vorschriften zum Datenschutz, der von der Kommission im November 2010 geäußert wurde,224 ist anscheinend nicht weiter verfolgt worden. Der Entwurf der Verordnung lässt keine weiteren Schlüsse auf die Ausgestaltung des mitgliedsstaatlichen Datenschutzstrafrechts zu als Art. 24 EG-Datenschutzrichtlinie. Daher kann auch die Frage, ob und inwieweit eine Harmonisierung des Datenschutzrecht nach dem europäischen Primärrecht derzeit überhaupt zulässig wäre, hier offenbleiben.225
§ 7 Zulässigkeit strafrechtlichen Schutzes Nachdem festgestellt wurde, dass eine Pflicht zur strafrechtlichen Sanktionierung von Datenschutzverstößen nicht besteht, ist im Folgenden ist zu untersuchen, in welchem Umfang das Recht auf informationelle Selbstbestimmung vor dem Hintergrund verfassungsrechtlicher Vorgaben durch das Strafrecht geschützt werden kann. Dabei ist auf der einen Seite zu beachten, dass der Gesetzgeber zu seinem Schutz das Instrumentarium der gesamten Rechtsordnung ausschöpfen kann. Er verfügt dabei grundsätzlich über einen weiten Entscheidungsspielraum. Der Gesetzgeber ist „bei der Entscheidung, ob er ein bestimmtes Rechtsgut, dessen Schutz ihm wesentlich erscheint, gerade mit den Mitteln des Strafrechts verteidigen und wie er dies gegebenenfalls tun will, grundsätzlich frei.“226 Andererseits darf das Strafrecht als in seinen Folgen einschneidenstes Schutzmittel nur herangezogen werden, wenn andere Mittel keine entsprechende Wirkung entfalten. Dies ergibt sich aus dem Prinzip der Verhältnismäßigkeit.227 Man spricht insofern von der „ultima ratio“-Funktion des Strafrechts im Rahmen seiner Aufgabe des subsidiären Rechtsgüterschutzes.228
222 LIBE, Bericht über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 22. November 2013, A7-0402/2013, S. 203 ff. Änderungsantrag 188. 223 Für eine Integration der Verwaltungssanktionen in das deutsche Straf- und Ordnungswidrigkeitenrecht Sieber, in: 69. DJT, S. C 9, C 94. 224 KOM(2010) 609 endg., S. 10. 225 Vgl. Barnitzke, MMR-Aktuell 2010, 311218. Festgehalten werden kann jedoch zumindest, dass eine strafrechtliche Harmonisierung durch das Regelungsinstrument der Verordnung nicht zulässig wäre. Die für den Bereich des Datenschutzes in Betracht kommenden strafrechtlichen Regelungskompetenzen der EU gemäß Art. 83 Abs. 1 und 2 AEUV beschränken sich auf den Erlass von Richtlinien. 226 BVerfGE 120, S. 224, 240. 227 Roxin, AT I, § 2 Rn. 98. 228 BVerfGE 88, S. 203, 258; BVerfGE 120, S. 224, 239 f.; Roxin, AT I, § 2 Rn. 97.
112
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
Aus diesen beiden Maßgaben ergibt sich ein Spannungsfeld, in dem nur schwerlich präzise Kriterien dafür gefunden werden können, wann das Strafrecht zum Einsatz kommen darf und wann nicht.229 Dies ist dem Umstand geschuldet, dass die tatsächlichen Wirkungen von Strafbewehrungen, die insbesondere für die Prüfung der Geeignetheit und Erforderlichkeit von Regelungen entscheidend sind, – insbesondere vor Normerlass – kaum zuverlässig überprüft werden können. Hinzu kommt die Komplexität des Zusammenspiels der unterschiedlichen Möglichkeiten, die dem Gesetzgeber zur Erreichung des Rechtsgüterschutzes zur Verfügung stehen.230 Die gesetzgeberischen Möglichkeiten zur Pönalisierung der Verletzung des informationellen Selbstbestimmungsrechtes können hier also nicht etwa auf einen abschließenden Katalog möglicher Straftatbestände heruntergebrochen werden. Es soll jedoch versucht werden, anhand der Kriterien des Prinzips der Verhältnismäßigkeit einige Leitlinien zur möglichen Strafgesetzgebung im Datenschutzrecht herauszuarbeiten. Der Verhältnismäßigkeitsgrundsatz setzt voraus, dass Strafvorschriften als Freiheitsbeschränkungen geeignet, erforderlich und verhältnismäßig im engeren Sinne sind, um den Schutz eines Rechtsgutes zu bewirken.231 Nach dem Prinzip der Verhältnismäßigkeit ist ein Mittel geeignet, wenn es den Schutz eines Rechtsgutes als gewünschten Erfolg fördern kann.232 Es ist erforderlich, wenn kein anderes, die betroffenen Grundrechte „weniger fühlbar einschränkendes Mittel“233 hätte gewählt werden können. Eine Angemessenheit bzw. Verhältnismäßigkeit im engeren Sinne liegt vor, wenn bei einer „Gesamtabwägung zwischen der Schwere des Eingriffs und dem Gewicht sowie der Dringlichkeit der ihn rechtfertigenden Gründe“ die „Grenze der Zumutbarkeit noch gewahrt“234 ist und der Betroffene nicht übermäßig belastet wird. Nach diesen Maßgaben müssen auch Strafvorschriften zum Schutz des Rechtes auf informationelle Selbstbestimmung geeignet, erforderlich und angemessen sein, um dieses Ziel zu erreichen.
I. Geeignetheit Das Strafrecht muss zunächst dazu geeignet sein, das Recht auf informationelle Selbstbestimmung zu schützen. Nach dem BVerfG ist der Einsatz des Strafrechts zur Zweckerreichung „bereits dann geeignet, wenn mit seiner Hilfe der gewünschte Erfolg gefördert werden kann.“235 Es sei „nicht erforderlich, dass der Erfolg in jedem Einzelfall auch tatsächlich erreicht wird oder jedenfalls erreichbar ist“236 . Nach dieser niedrigen Schwelle begründen etwa auch erhebliche Defizite im Vollzug von strafrechtlichen Regelungen kei-
229 Appel, S. 174 f.; Bunzel, in: Die Rechtsgutstheorie, S. 96, 101 f.; Tiedemann, Verfassungsrecht und Strafrecht, S. 30 f. 230 Hassemer, Strafrecht, S. 88 f. 231 BVerfGE 67, S. 157, 173; BVerfGE 120, S. 224, 239 ff.; Hefendehl, JA 2011, S. 401, 404 f. 232 BVerfGE 33, S. 171, 187; BVerfGE 67, S. 157, 173. 233 BVerfGE 33, S. 171, 187; BVerfGE 67, S. 157, 176. 234 BVerfGE 33, S. 171, 187 f.; BVerfGE 67, S. 157, 178. 235 BVerfGE 120, S. 224, 240. 236 BVerfGE 120, S. 224, 240.
§ 7 Zulässigkeit strafrechtlichen Schutzes
113
nen Zweifel an deren Eignung zur Zweckerreichung, wenn zumindest eine geringe generalpräventive Wirkung angenommen werden kann.237 Hier kommt auch die erwähnte grundsätzlich weitgehende Einschätzungsprärogative des Gesetzgebers zum Tragen.238 Da die Möglichkeit einer (zumindest minimalen) besonderen generalpräventiven Wirkung einer strafrechtlichen Regelung kaum je mit Sicherheit wird widerlegt werden können,239 lassen sich aus dem Kriterium der Geeignetheit kaum negative Schlüsse für den möglichen Einsatz des Strafrechts zum Schutz der informationellen Selbstbestimmung ziehen. Eine Grenze lässt sich dort ziehen, wo durch den Erlass einer Strafvorschrift der Schutz eines Rechtsguts erschwert würde.240 So wäre zum Schutz der informationellen Selbstbestimmung beispielsweise eine Vorschrift ungeeignet, die es mit Strafe bedrohen würde, eigene personenbezogene Informationen an andere zu übermitteln. Denn zur Verwirklichung der informationellen Selbstbestimmung gehört auch die positive Entscheidung, personenbezogene Daten preiszugeben.241 Im Ergebnis begrenzt das Kriterium der Geeignetheit die Zulässigkeit des Einsatzes des Strafrechts zum Schutz der informationellen Selbstbestimmung nur insofern, als dass der Erlass von Strafvorschriften, die die Erreichung dieses Ziels eindeutig erschweren würden, dadurch ausgeschlossen ist.
II. Erforderlichkeit Die Frage nach der Erforderlichkeit strafrechtlicher Regelungen steht in einem engen Zusammenhang mit der „ultima ratio“-Funktion des Strafrechts und seiner Aufgabe subsidiären Rechtsgüterschutzes.242 Demnach muss unter mehreren gleich wirksamen Mitteln das mildeste eingesetzt werden, um ein Rechtsgut zu schützen. Auch hier ist nach der Rechtsprechung des BVerfG in erster Linie die Einschätzung des Gesetzgebers entscheidend.243 Der Mangel an gesicherten Erkenntnissen über die Wirkung von Strafvorschriften im Verhältnis zu sonstigen Schutzmitteln macht es schwer, diese mit jenen zu vergleichen.244 Die besondere generalpräventive Wirkungskraft von Strafvorschriften kann, ähnlich wie bei der Frage der Geeignetheit, allgemein als kaum zu widerlegendes Argument angeführt werden, um den Einsatz des Strafrechts zu begründen. Nach Roxin ist das Subsidiaritätsprinzip daher eher ein „kriminalpolitisches Postulat als eine bindende Regel.“245 Auch für die Erforderlichkeit des Strafrechts zum Schutz des Persönlichkeitsrechtes wird auf dessen bewusstseinsprägende bzw. sozialpädagogische Funktion verwiesen.246 Angesichts neu auftretender Gefährdungssachverhalte des Persönlichkeitsrechtes sei das Straf237 238 239 240 241 242 243 244 245 246
Appel, S. 175; Hesel, S. 409. Hefendehl, JA 2011, S. 401, 404 m. w. N. Vgl. BVerfGE 120, S. 224, 249. Lee, S. 94. Vgl. dazu auch unten Dritter Teil § 10 V. 2. d). Vgl. Appel, S. 177. BVerfGE 90, S. 145, 183; kritisch hierzu Appel, S. 178 f. Hefendehl, JA 2011, S. 401, 404 f.; vgl. auch NK/Villmow, Vor §§ 38 ff. Rn. 76. Roxin, AT I, § 2 Rn. 101 m. w. N. Peglau, ZRP 1998, S. 249, 250.
114
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
recht das richtige Instrument, um eine Wertsetzung bezüglich der sozialen Verwerflichkeit bestimmter Verhaltensweisen zu leisten.247 Ein Fokus der weiteren Untersuchung richtet sich auf die Frage, ob und inwieweit strafrechtliche Regelungen zum Schutz des Rechtes auf informationelle Selbstbestimmung neben weiteren Sanktionsmöglichkeiten im Ordnungswidrigkeitenrecht, Verwaltungsrecht und Zivilrecht notwendig und sinnvoll sind.248 Die Untersuchung der verfassungsrechtlichen Erforderlichkeit kann aufgrund der weiten Einschätzungsprärogative des Gesetzgebers allerdings nur einen ersten Hinweis auf die Antwort geben. Hier gilt es, erste Leitlinien zu entwickeln. Diese können später im Zusammenhang mit der Untersuchung der bestehenden Sanktionsnormen herangezogen werden, um eine konkretere Antwort zu finden.249 1. Ordnungswidrigkeitenrecht An der Seite oder anstelle des Strafrechts kann zum Schutz des Rechts auf informationelle Selbstbestimmung zunächst das Ordnungswidrigkeitenrecht eingesetzt werden. Sowohl das BDSG als auch die meisten Landesdatenschutzgesetze enthalten Bußgeldvorschriften.250 Das Ordnungswidrigkeitenrecht ist weniger eingriffsintensiv als das Strafrecht. Als Sanktionsmittel kommen Geldbußen und keine Strafen zum Einsatz. Ein wichtiger Unterschied ergibt sich daraus, dass das Ordnungswidrigkeitenrecht anders als das Strafrecht auch Sanktionen gegenüber juristischen Personen bereithält (§ 30 OWiG). Während das Strafrecht elementare Werte des Gemeinschaftslebens zu schützen hat, soll das Ordnungswidrigkeitenrecht Verhaltensweisen mit Sanktionen bedrohen, die von einem geringeren Unrechtsgehalt, also weniger sozialgefährlich, sind.251 Entsprechend der geringeren Sozialgefährlichkeit der erfassten Verhaltensweisen ist das mit der Verhängung eines Bußgeldes verbundene sozial-ethische Unwerturteil geringer als bei Verhängung einer Strafe.252 Eine trennscharfe Abgrenzung zwischen Straf- und Ordnungswidrigkeitenrecht ist indes nicht möglich.253 Die letzte Entscheidung darüber, ob das Strafrecht oder das Ordnungswidrigkeitenrecht zur Sanktionierung eines Verhaltens eingesetzt wird, liegt beim Gesetzgeber.254 Die Grenze der Zuordnung zu Ordnungswidrigkeiten- oder Strafrecht ist oftmals fließend.255 Dies gilt auch im Datenschutzrecht. Im BDSG sind Ordnungswidrigkeiten- und Straftatbestände in den §§ 43, 44 BDSG eng miteinander verknüpft als „un-
247
Gallas, ZStW 75 (1963), S. 16, 20 f. Darüber hinaus zu den Möglichkeiten alternativer Kontrollsysteme vgl. Sieber, ZStW 119 (2007), S. 1, 40 f. 249 Dazu unten Dritter Teil §§ 10 ff. 250 Dazu unten Dritter Teil § 11. 251 BVerfGE 27, S. 18, 29; Roxin, AT I, § 2 Rn. 130. 252 BVerfGE 27, S. 18, 29; Roxin, AT I, § 2 Rn. 130; vgl. auch BVerfGE 8, S. 197, 207. 253 BVerfGE 27, S. 18, 29 f.; Roxin, AT I, § 2 Rn. 130. Kritisch zur Heranziehung des Kriteriums der Strafwürdigkeit bzw. Strafbedürftigkeit KK/Bohnert, Einleitung Rn. 103 m. w. N. 254 BVerfGE 27, S. 18, 30; vgl. auch KK/Bohnert, Einleitung Rn. 93. 255 NK/Hassemer/Neumann, Vor § 1 Rn. 236 f. 248
§ 7 Zulässigkeit strafrechtlichen Schutzes
115
echte Mischtatbestände“ geregelt.256 Ehemals strafbare Verhaltensweisen wurden durch die Novellierung des BDSG im Jahre 2001 zu Ordnungswidrigkeiten herabgestuft. Eine Möglichkeit zur Abgrenzung von Ordnungswidrigkeiten und Straftaten ist es, Verstöße gegen formelle Vorschriften dem Ordnungswidrigkeitenrecht und materielle Verstöße dem Strafrecht zuzuordnen.257 Eine solche Differenzierung zwischen Verfahrensverstößen und materiellen Verstößen liegt auch den Regelungen des BDSG zugrunde.258 Es ist verfassungsrechtlich nicht zwingend vorgegeben, aber im Sinne des Prinzips der Verhältnismäßigkeit, die Verstöße gegen Verfahrensvorschriften des Datenschutzrechts nicht als Kriminalunrecht zu ahnden. Als Leitlinie zur Abgrenzung von Ordnungswidrigkeiten und Straftatbeständen im Datenschutzrecht empfiehlt es sich daher im Ergebnis, im Sinne des Kriteriums der Geeignetheit zwischen formellen und materiellen Datenschutzverstößen zu differenzieren. 2. Weitere verwaltungsrechtliche Sanktionen Neben Bußgeldern kommen auch weitere Sanktionen aus dem Bereich des Verwaltungsrechtes zum Schutz der informationellen Selbstbestimmung in Betracht. So haben datenschutzrechtliche Aufsichtsbehörden beispielsweise die Möglichkeit, Datenschutzverstöße zu beanstanden und deren Beseitigung anzuordnen.259 Bei den sonstigen verwaltungsrechtlichen Sanktionen stellt sich noch stärker als beim Ordnungswidrigkeitenrecht die Grundsatzfrage, inwiefern sie strafrechtliche Vorschriften in ihrer Wirkung ersetzen können.260 Die verwaltungsrechtlichen Sanktionen sind mit jenen des Strafrechts kaum zu vergleichen. Dies zeigt sich etwa an dem Streit um die Frage, ob verwaltungsrechtliche Sanktionen im Verhältnis zum Strafrecht als grundsätzlich milderes Mittel angesehen werden können.261 So können nach Tiedemann für alle Adressaten anzuwendende verwaltungsrechtliche Anmeldungs-, Bewilligungs- und Kontrollpflichten eine höhere Belastung als strafrechtliche Regelungen darstellen, denen die Adressaten nur bei rechtswidrigem Verhalten ausgesetzt wären.262 Ein solcher Vergleich des repressiven Strafrechts mit präventiven Maßnahmen mit den unterschiedlichen Faktoren Eingriffsbreite und Eingriffstiefe ist allerdings nicht zielführend. Eine Präventionsmaßnahme von großer Eingriffsweite muss eigenständig auf ihre Verhältnismäßigkeit hin überprüft werden.263 Vor allem im Datenschutzrecht gilt es sicherzustellen, dass strafrechtliche und verwaltungsrechtliche Sanktionen in einem ausgeglichenes Gesamtsystem zum Schutze der informationellen Selbstbestimmung wirken. Durch die Verfügbarkeit sonstiger verwaltungsrechtlicher Sanktionen kann ein Einsatz des Strafrechts jedenfalls nicht von vornherein ausgeschlossen werden. In den Datenschutzgesetzen besteht eine zum Verwaltungsrecht 256 257 258 259 260 261 262 263
Dazu oben Erster Teil § 3 IV. 2. Vgl. KK/Bohnert, Einleitung Rn. 93. BT-Drs. 7/1027, S. 31; Gola/Schomerus, § 43 Rn. 16. Dazu unten Dritter Teil § 12 I. Vgl. Hesel, S. 408 m. w. N. Roxin, AT I, § 2 Rn. 97 ff. Tiedemann, in: FS Stree/Wessels 1993, S. 527, 530 f. So auch Hefendehl, JA 2011, S. 401, 405.
116
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
akzessorische Strafrechtsregelung. Dadurch, dass das moderne Datenschutzrecht im Verwaltungsrecht wurzelt und seine Strafvorschriften an verwaltungsrechtliche Verhaltensnormen anknüpfen, ist die Grenze zwischen Verwaltungsunrecht und strafwürdigem Unrecht vom Ausgangspunkt nicht leicht zu bestimmen.264 Im Ergebnis ist im Sinne der Geeignetheit vor allem zu beachten, dass die Sanktionen des Strafrechts aufgrund ihrer erhöhten Eingriffsschärfe neben gleichzeitig verfügbaren Verwaltungssanktionen nicht zum Standardinstrument bei einfachen Datenschutzverstößen werden.265 3. Zivilrechtliche Sanktionen Schließlich kommen als gegenüber dem Strafrecht milderes Mittel zivilrechtliche Sanktionen in Betracht. Vor allem Ansprüche auf den Ersatz immaterieller Schäden durch Datenschutzverstöße könnten die Erforderlichkeit strafrechtlicher Regelungen zum Schutz des Rechtes auf informationelle Selbstbestimmung in Frage stellen. Zwar könnten Schadensersatzansprüche grundsätzlich eine präventive Wirkung zum Schutz der informationellen Selbstbestimmung entfalten. Die Möglichkeit, bei einer Verletzung des allgemeinen Persönlichkeitsrechtes bzw. des Rechtes auf informationelle Selbstbestimmung Schmerzensgeld zu verlangen, basiert auf einem Gedanken der Prävention.266 Allerdings ist fraglich, ob sich die Folgen von Verletzungen der informationellen Selbstbestimmung regelmäßig als Schäden von einem zivilrechtlichen Sanktionssystem greifen lassen. Wenn dies nicht der Fall ist und derjenige, der Datenschutzvorschriften verletzt, kaum Schadensersatzansprüche fürchten muss, kann das Zivilrecht nicht an die Stelle einer strafrechtlichen Regelung treten. Ein weiterer Aspekt, der dagegen sprechen könnte, dass das Strafrecht neben zivilrechtlichen Sanktionen zum Schutz der informationellen Selbstbestimmung überflüssig sein könnte, ist die Durchsetzung der Sanktionen. Während der von einem Datenschutzverstoß Betroffene das Kostenrisiko einer Strafanzeige bzw. eines Strafantrages nicht trägt, ist die Durchsetzung eines Schadensersatzanspruches diesbezüglich stärker von seinem individuellen Willen und seinen finanziellen Möglichkeiten abhängig.267 Aufgrund dieser Faktoren können im Ergebnis zivilrechtliche Sanktionen als grundsätzlich milderes Mittel – ebenso wie Ordnungswidrigkeiten und weitere verwaltungsrechtliche Sanktionsmöglichkeiten – den Einsatz des Strafrechts zum Schutz der informationellen Selbstbestimmung nicht bereits abstrakt ausschließen. Inwiefern es geboten und zweckmäßig ist, den Einsatz des Strafrechts aufgrund bestehender zivilrechtlicher Sanktionsmöglichkeiten zu beschränken, hängt im Ergebnis von dem konkret bestehenden zivilrechtlichen Sanktionssystem und dessen praktischer Durchsetzungsfähigkeit ab.268 264
Vgl. NK/Hassemer/Neumann, Vor § 1 Rn. 236 f. Wobei diese Gefahr angesichts der praktischen Bedeutung der Straftatbestände der Datenschutzgesetze aktuell nicht akut ist; vgl. dazu unten Dritter Teil § 10 X. 266 BGH NJW 1995, S. 861, 865 m. w. N.; Arzt, S. 333. Die Grundsatzfrage, ob das Zivilrecht strafrechtliche Funktionen übernehmen kann und ob das zulässig und sinnvoll ist, soll hier nicht behandelt werden; vgl. hierzu nur Honsell, in: FS Westermann 2008, S. 315 ff. m. w. N.; im Zusammenhang mit der informationellen Selbstbestimmung auch Buchner, S. 312. 267 Vgl. Hesel, S. 405 m. w. N. 268 Vgl. zu den bestehenden zivilrechtlichen Sanktionsmöglichkeiten unten Dritter Teil § 12 II. 265
§ 7 Zulässigkeit strafrechtlichen Schutzes
117
III. Angemessenheit Schließlich müssen strafrechtliche Regelungen im Verhältnis zu dem von ihnen verfolgten Zweck verhältnismäßig im engeren Sinne sein. Es gilt die Grenze des strafrechtlichen Übermaßverbotes.269 Durch das Kriterium der Angemessenheit soll ein mögliches „Missverhältnis zwischen der Schwere des Eingriffs [in die Rechte des Adressaten der Strafnorm] und dem Wert des zu realisierenden Erfolgs“270 korrigiert werden. Eine Strafvorschrift zum Schutz des Rechtes auf informationelle Selbstbestimmung darf demnach im Verhältnis zur Verbesserung des Schutzes nicht zu übermäßigen Grundrechtsbeeinträchtigungen führen. Eine Strafbewehrung von Verletzungen des Rechtes auf informationelle Selbstbestimmung könnte insbesondere aufgrund der Abstraktheit des Rechtsgutes Gefahr laufen, gegen das Übermaßverbot zu verstoßen. Der missbräuchliche Umgang mit personenbezogenen Daten umfasst potentiell eine Vielzahl von teilweise alltäglichen Verhaltensweisen, die als reine Bagatellen nicht als strafwürdig erscheinen – so beispielsweise die Weitergabe einer Telefonnummer an einen Bekannten ohne vorherige Zustimmung des Inhabers der Telefonnummer. Welche Verhaltensweisen angemessenerweise Gegenstand einer Pönalisierung sein können, muss im Einzelnen anhand der konkreten Strafvorschriften geprüft werden.271 Eine allgemeine „Bagatellgrenze“ ist schon deshalb kaum exakt zu bestimmen, weil dem Gesetzgeber auch bei der Beurteilung der Strafwürdigkeit einzelner Verhaltensweisen eine Einschätzungsprärogative zukommt. Hinzu kommt, dass zur Wahrung der Konformität von Regelungen mit dem Übermaßverbot nach dem BVerfG nicht nur materiell-rechtliche, sondern auch prozessuale Lösungen herangezogen werden können.272 So steht es dem Gesetzgeber frei, „einem geringen Unrechts- und Schuldgehalt bestimmter Taten vorwiegend durch eine Einschränkung des Verfolgungszwangs Rechnung zu tragen“273 , etwa durch die Regelung von erweiterten Möglichkeiten zur Einstellung von Strafverfahren. Diese Lösung erscheint jedoch als sehr fragwürdig. Gesetzgebungstechnisch ist es unsauber, Strafnormen bewusst zu weit zu fassen und dann auf Möglichkeiten zur Einstellung des Strafverfahrens zu verweisen. Zudem kann nicht nur eine Bestrafung, sondern auch schon das strafrechtliche Ermittlungsverfahren eine unzulässige Belastung für die Adressaten der Strafnormen sein. Im Ergebnis steht das Übermaßverbot einer weitreichenden Pönalisierung von Datenschutzverstößen im persönlichen bzw. privaten Bereich entgegen. Es wird daher zu untersuchen sein, inwiefern dieser Bereich im Einzelnen den Straftatbeständen der Datenschutzgesetze unterfällt. Hierbei ist im geltenden Recht vor allem die Ausnahme vom Anwendungsbereich des BDSG für persönliche oder familiäre Tätigkeiten in § 1 Abs. 2 Nr. 3 a. E. BDSG zu beachten.274
269 270 271 272 273 274
BVerfGE 90, S. 145, 183; BVerfGE 120, S. 224, 252 f.; Hefendehl, JA 2011, S. 401, 405. Lee, S. 101. Vgl. BVerfGE 92, S. 277, 327; Hesel, S. 409. BVerfGE 90, 145, 189 ff. BVerfGE 90, 145, 191. Vgl. dazu näher unten Dritter Teil § 9 IV. 3.
118
2. Teil: Das Rechtsgut und Grenzen strafrechtlichen Schutzes
§ 8 Zwischenfazit Das Recht auf informationelle Selbstbestimmung erweist sich vom Ausgangspunkt seiner verfassungsrechtlichen Entwicklung her als kaum konkret greifbares Gebilde. Obwohl es im Gegensatz zum allgemeinen Persönlichkeitsrecht kein „Quellrecht“ als Basis für die Schaffung weiter Rechte ist, weist es einen weiten Schutzumfang auf, der zum Teil in andere Bereiche des Persönlichkeitsschutzes hineinragt. Es lässt sich daher in seiner verfassungsrechtlichen Weite unter Beachtung des Bestimmtheitsgebots nicht ohne Weiteres in das System des strafrechtlichen Rechtsgüterschutzes einordnen. Unter Wahrung des strafrechtlichen Bestimmtheitsgebotes kann der strafrechtliche Schutz der informationellen Selbstbestimmung nur fragmentarisch geregelt werden. Auf einfachgesetzlicher Ebene ist eine Fassung möglichst präziser Tatbestände mit der Regelung einzelner Schutzobjekte und Schutzgüter notwendig, um deren Verfassungskonformität zu sichern. Was die verfassungsrechtlichen Möglichkeiten eines strafrechtlichen Schutzes der informationellen Selbstbestimmung angeht, ist es nicht möglich, konkrete Ober- und Untergrenzen für die Schaffung entsprechender Vorschriften festzumachen. Im Rahmen seines weiten Gestaltungsspielraums hat der Gesetzgeber die Möglichkeit, das Strafrecht als „ultima ratio“ neben weiteren Sanktionsinstrumenten einzusetzen. Gerade im Bereich des Datenschutzrechts stehen Regelungsinstrumente aus verschiedenen Rechtsgebieten in einem engen Zusammenhang, wodurch die gesetzgeberische Verantwortung zur Schaffung eines angepassten Gesamtsystems zur Erfüllung des Schutzzwecks besonders groß ist. Auch die bestehenden völker- und europarechtlichen Vorgaben zum Datenschutzsanktionsrecht lassen kaum Schlüsse auf die Ausgestaltung des Datenschutzstrafrechts zu. Dass der strafrechtliche Schutz der informationellen Selbstbestimmung bei internationalen Regelungen wie der Cybercrime Konvention kaum eine Rolle gespielt hat, überrascht etwas. Gerade vor dem Hintergrund der internationalen Gefährdung der informationellen Selbstbestimmung im Internet wäre eine stärkere internationale Auseinandersetzung mit der Materie angebracht.275 Die Erkenntnisse zum geschützten Rechtsgut geben Anlass zur Untersuchung der konkreten strafrechtlichen Regelungen und der weiteren Sanktionsnormen des BDSG. Darüber hinaus können sie als Ausgangspunkt für eine kriminalpolitische Untersuchung des Datenschutzstrafrechts dienen – nach der Feststellung des weiten Rahmens verfassungsrechtlicher Zulässigkeit drängt sich die Frage nach einer möglichst zweckmäßigen Ausgestaltung des Datenschutzstrafrechts auf.
275
So auch Sieber, in: Europäisches Strafrecht, Rn. 31.
3. Teil
Die Sanktionierung von Datenschutzverstößen nach dem BDSG, insbesondere durch das Strafrecht Um die Frage zu beantworten, welche Rolle das Strafrecht beim Schutz der informationellen Selbstbestimmung einnehmen kann und soll, ist das konkrete Gefüge der bestehenden Sanktionsnormen im Datenschutzrecht zu untersuchen. Dies soll im Folgenden anhand der Regelungen des BDSG geschehen. Wo die Sanktionsnormen der Landesdatenschutzgesetze Abweichungen vorsehen, die für die Gesamtuntersuchung von Interesse sind, werden auch diese mit einbezogen. Die folgende Untersuchung der Sanktionierung von Datenschutzverstößen konzentriert sich auf materielle Datenschutzverstöße in Form des rechtswidrigen Erhebens, Verarbeitens und Nutzens von Daten. Im BDSG lassen sich, wie auch allgemein, Verhaltensnormen und Sanktionsnormen voneinander abgrenzen.1 Während Verhaltensnormen ihren Adressaten gegenüber Verhaltensgebote und -verbote enthalten, ordnen Sanktionsnormen bei Nichtbeachtung der Verhaltensnormen nachteilige Reaktionen für den Adressaten an. Dies können nicht nur Strafen (im engeren Sinne), sondern auch Bußgelder, zivilrechtliche Ansprüche oder verwaltungsrechtliche Eingriffe sein.2 Verhaltensnormen und Sanktionsnormen können regelungstechnisch entweder in unterschiedlichen Vorschriften geregelt sein oder in einer gemeinsamen Vorschrift zusammentreffen. Im BDSG sind die Verhaltensnormen von den Sanktionsnormen grundsätzlich getrennt. So ergibt sich aus den §§ 4 und 28 ff. BDSG etwa, unter welchen Umständen im privaten Bereich personenbezogenen Daten verarbeitet werden dürfen. Es handelt sich bei diesen Vorschriften um Verhaltensnormen. Nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG können bestimmte Vorgänge strafbar sein, die unbefugt oder entgegen dort bezeichneter Vorschriften des Gesetzes vorgenommen werden. §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG beschreiben das verbotene Verhalten dabei nicht umfänglich selbst, sondern knüpfen negative Reaktionen an Verhaltensweisen an, die bereits durch die bezeichneten Verhaltensnormen verboten werden.3 Anders verhält es sich etwa bei den §§ 201 ff. StGB. Die dort geregelten Strafvorschriften sind Sanktionsnormen und Verhaltensnormen zugleich. So enthält § 202 Abs. 1 Nr. 1 StGB durch seine Sanktionsandrohung implizit auch das Verbot, verschlossene Briefe oder andere verschlossene Schriftstücke, die nicht zur eigenen Kenntnis bestimmt sind, zu öffnen. Als Sanktionsnormen des BDSG werden im Folgenden dessen Straftatbestände, Ordnungswidrigkeitentatbestände, verwaltungsrechtliche Sanktionsbefugnisse der Aufsichtsbehörden sowie zivilrechtliche Schadensersatzansprüche untersucht. Keine Sanktions1 2 3
In diesem Sinne bereits Binding, S. 23 ff. Vgl. Alexander, S. 14 f. Näher dazu unten § 10 V. 2.–3.
120
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
norm in Sinne der Untersuchung ist § 42a BDSG.4 § 42a BDSG greift ein, wenn bei bestimmten Stellen gespeicherte sensible Daten auf irgendeine Weise – und sei es ohne Verschulden der betreffenden Stelle – unrechtmäßig übermittelt werden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangen. Bei potentiell schwerwiegenden Folgen ist dies den Betroffenen bzw. der Öffentlichkeit und den Aufsichtsbehörden mitzuteilen. Die Mitteilungspflicht kann zum Beispiel greifen, wenn bei einem Angriff auf den Server eines Online-Shops die Kreditkartendaten all seiner Kunden an Hacker übermittelt werden. Hier kann die Befolgung der Verhaltenspflicht zu einer faktischen Sanktionswirkung führen: Durch die Mitteilung der „Datenpanne“ an die Betroffenen oder die Mitteilung des Vorfalls in einer Zeitungsanzeige5 kann das Ansehen der betreffenden Stelle erheblich geschädigt werden.6 Diese Sanktionswirkung steht aber nicht notwendigerweise im Zusammenhang mit einem verbotenen Verhalten der verantwortlichen Stelle. Zudem ist zu beachten, dass auch außerhalb des BDSG Möglichkeiten bestehen, um Verstöße gegen den Datenschutz zu ahnden. Von Teilen der Literatur wird den Normen des BDSG eine verbraucherschützende Funktion zugeschrieben, so dass Verstöße gegen diese nach dem UWG verfolgt werden könnten.7 Im Arbeitsrecht führen Datenschutzverstöße nicht selten zu Kündigungen und Abmahnungen.8 Schließlich kann auch die Gewerbeaufsicht Datenschutzverstöße ahnden. Gemäß § 38 Abs. 7 BDSG bleibt die Gewerbeordnung neben den Vorschriften des BDSG anwendbar. In schweren Fällen sollen Datenschutzverstöße zur Gewerbeuntersagung wegen Unzuverlässigkeit nach § 35 GewO führen können.9 All diese Möglichkeiten sind nicht Gegenstand der vorliegenden Untersuchung. Es wird jedoch perspektivisch genau zu beobachten sein, welche Rolle insbesondere das Wettbewerbsrecht bei der Sanktionierung von Datenschutzverstößen spielen wird. Zuletzt wurden mehrfach wettbewerbsrechtliche Mittel vorgeschlagen, um Rechtsbefolgungsdefizite im Datenschutzrecht zu beseitigen.10 Mittlerweile befindet sich zudem der „Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“11 im Gesetzgebungsverfahren, durch den unter anderem mit Änderung des UKlaG12 gewisse Vorschriften zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten ausdrücklich zu Verbraucherschutzgesetzen im Sinne von § 2 Abs. 1 UKlaG erklärt werden sollen. Durch diese Änderung würden nach § 3 UKlaG berechtigte Stellen eine weitreichende Möglichkeit er-
4
Zur Rolle dieser Vorschrift im Sanktionssystem des BDSG Simitis/Ehmann, § 43 Rn. 8. § 42a S. 5 BDSG. 6 Vgl. Bohnen, S. 256. Ein solcher Image-Schaden kann ein Unternehmen durchaus empfindlicher treffen als ein Schadensersatzanspruch; vgl. v. Lewinski, PinG 2013, S. 12, 14. 7 Gola/Schomerus, § 1 Rn. 4; ULD, Erhöhung, S. 165; vgl. auch Kühling/Sivridis/Schwuchow/ Burghardt, DuD 2009, S. 335, 342. 8 Mit diversen Beispielen aus der Gerichtspraxis Gola/Schomerus, § 1 Rn. 5, § 5 Rn. 3; Tinnefeld, 2005, S. 673. 9 Gola/Schomerus, § 38 Rn. 36. 10 Gola/Klug, NJW 2011, S. 2484, 2490; Kühling/Sivridis/Schwuchow/Burghardt, DuD 2009, S. 335, 342; Spindler, GRUR 2013, S. 996. 1002 m. w. N.; vgl. auch v. Lewinski, PinG 2013, S. 12, 14 f. 11 BR-Drs. 55/15. 12 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen vom 27. August 2002 (BGBl. I S. 3422, 4346). 5
§ 9 Anwendungsbereich des BDSG
121
halten, Unterlassungs- und Beseitigunsansprüche bei Datenschutzverstößen im Wege der Verbandsklage geltend zu machen. Die Untersuchung der Sanktionsnormen des BDSG erfolgt vor dem Hintergrund der verbreiteten These, dass im Datenschutzrecht ein Defizit bei der Befolgung der bestehenden Verhaltensnormen besteht, das unter anderem auf einem Sanktionsdefizit beruht. Ein Ziel der Untersuchung ist es, die Frage, ob ein Sanktionsdefizit besteht und wo mögliche rechtliche Ursachen hierfür liegen, anhand der einzelnen Sanktionsnormen zu überprüfen. Dies wird zu der Frage überleiten, ob und inwiefern gerade strafrechtliche Mittel zur Beseitigung eines möglichen Sanktionsdefizits beitragen können.13
§ 9 Anwendungsbereich des BDSG Zunächst werden die Möglichkeiten, Verstöße gegen Verhaltensnormen des BDSG zu sanktionieren durch den Anwendungsbereich des Gesetzes insgesamt abgesteckt. Wo die konkreten Grenzen des Anwendungsbereichs der Sanktionsnormen verlaufen, ist im jeweiligen Zusammenhang zu klären. Vorab soll im Folgenden der allgemeine Anwendungsbereich des BDSG dargestellt werden. Grundsätzlich ist der Anwendungsbereich des BDSG in § 1 Abs. 2 BDSG festgelegt. Damit das BDSG anwendbar ist, müssen zunächst personenbezogene Daten betroffen sein. Geregelt wird sowohl der Umgang im öffentlichen als auch im privaten Bereich. Für Bundesbehörden gilt das BDSG grundsätzlich immer, für Landesbehörden nur eingeschränkt.14 Im öffentlichen Bereich ist jede Form der Datenerhebung, -verarbeitung und -nutzung vom Anwendungsbereich umfasst. Im privaten Bereich hingegen ist die Anwendbarkeit auf bestimmte Formen der Datenerhebung, -verarbeitung und -nutzung eingeschränkt. Um den grundsätzlichen Anwendungsbereich des BDSG zu bestimmen, ist auch der Kreis der Normadressaten zu berücksichtigen, der sich aus der Zusammenschau mehrerer Vorschriften ergibt. Schließlich ist die Subsidiarität des BDSG zu bereichsspezifischen Regelungen nach § 1 Abs. 3 BDSG zu beachten.
I. Personenbezogene Daten Damit das BDSG anwendbar ist, muss zunächst eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten gegeben sein. Im Folgenden wird der Begriff der personenbezogenen Daten erläutert, die Begriffe der Erhebung, Verarbeitung und Nutzung werden in ihrer Funktion als Tathandlungen der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG näher untersucht.15 Gemäß § 3 Abs. 1 BDSG sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Diese Definition ist grundsätzlich weit zu verstehen.16
13
Dazu unten Vierter Teil. Im Übrigen gelten für diese die Landesdatenschutzgesetze, die nicht für den privaten Bereich gelten; zu den Landesdatenschutzgesetzen näher oben Erster Teil § 3 VII. 15 Unten § 10 IV. 1.–3. 16 Auernhammer/Eßer, § 3 Rn. 8; Taeger/Gabel/Buchner, § 3 Rn. 3. 14
122
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Einzelangaben können Informationen jeder Art, in jeder Form sein. Auch Fotografien und andere Bildnisse von Personen, die gleichzeitig durch das Recht am eigenen Bild geschützt werden, enthalten beispielsweise regelmäßig Einzelangaben.17 Einzelangaben müssen nicht in physischen Gegenständen verkörpert sein. Allerdings muss eine Einzelangabe ein „finales, auf Vermittlung oder Aufbewahrung gerichtetes Element“18 haben. So sind die Papillarleisten an der Unterseite der Fingerkuppe eines Menschen noch kein personenbezogenes Datum, sehr wohl aber ein konservierter Fingerabdruck.19 Die Einzelangaben müssen sich auf eine identifizierbare natürliche Person beziehen oder es möglich machen, einen Bezug zu dieser herzustellen. Für die Bestimmbarkeit kommt es darauf an, ob ein Personenbezug mit den „normalerweise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßigen Aufwand“20 hergestellt werden kann. Je nachdem, welche zusätzlichen Informationen zur Verfügung stehen, kann eine Information für einen Rezipienten Personenbezug haben, für einen anderen aber nicht (Relativität des Personenbezugs).21 So mag ein Internet-Provider herausfinden können, welchem seiner Kunden eine gewisse dynamische IP-Adresse zugeordnet ist. Einem WebsiteBetreiber hingegen wird dies ohne einen erheblichen zusätzlichen Aufwand regelmäßig nicht möglich sein.22 In diesem Fall ist die dynamische IP-Adresse für den InternetProvider ein personenbezogenes Datum, nicht aber für den Website-Betreiber. Die Einbeziehung von Einzelangaben sowohl über persönliche als aus über sachliche Verhältnisse verdeutlicht, dass nicht nur menschliche Eigenschaften (A hat Schuhgröße 44 und grüne Augen) als personenbezogene Daten erfasst sind.23 Auch Angaben über das Verhältnis von Personen zu Sachen (A ist Eigentümer eines roten Automobils) oder ihrer Umgebung (A gilt in seinem Heimatort als miserabler Autofahrer) können personenbezogene Daten sein. Zudem gehören auch Werturteile (A ist ein Schlamper) zu den umfassten Einzelangaben, da auch diese „der Darstellung persönlicher und sachlicher Verhältnisse einer Person“24 dienen.25 Für die Einordnung als personenbezogenes Datum kommt es nicht darauf an, ob eine Information einen Bezug zu einer besonders schützenswerten Persönlichkeitssphäre hat.26 Dies entspricht der Feststellung des BVerfG im Volkszählungsurteil, dass es „unter den
17 Simitis/Dammann, § 3 Rn. 4 f.; zur Überschneidung des informationellen Selbstbestimmungsrechts mit dem Recht am eigenen Bild oben Zweiter Teil § 5 III. 3. 18 Simitis/Dammann, § 3 Rn. 5. 19 Vgl. Simitis/Dammann, § 3 Rn. 5; Taeger/Gabel/Buchner, § 3 Rn. 15. 20 Gola/Schomerus, § 3 Rn. 10; vgl. auch Simitis/Dammann, § 3 Rn. 25; Taeger/Gabel/Buchner, § 3 Rn. 12. 21 Zur Möglichkeit eines absoluten Personenbezugs, der nach rein objektiven Maßstäben und nicht relativ bestimmt wird, Meyerdierks, MMR 2009, S. 8, 9; Taeger/Gabel/Buchner, § 3 Rn. 13. 22 Vgl. Gola/Schomerus, § 3 Rn. 10. 23 Gola/Schomerus, § 3 Rn. 5. 24 Simitis/Dammann, § 3 Rn. 12. 25 BGH NJW 2009, S. 2888, 2890; Gola/Schomerus, § 3 Rn. 6; Schaffland/Wiltfang, § 3 Rn. 6 jeweils m. w. N. 26 In § 3 Abs. 9 BDSG werden jedoch einige Arten von besonders sensiblen personenbezogenen Daten genannt.
§ 9 Anwendungsbereich des BDSG
123
Bedingungen der automatischen Datenverarbeitung kein ‚belangloses‘ Datum mehr“27 gibt.28
II. Normadressaten Der Kreis der Normadressaten des BDSG ergibt sich neben § 1 Abs. 2 BDSG auch aus den §§ 5 und 11 BDSG. 1. Verantwortliche Stellen § 1 Abs. 2 BDSG legt fest, dass das BDSG grundsätzlich für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen gilt. Die Begriffe öffentliche und nicht-öffentliche Stellen werden in § 2 BDSG näher bestimmt. Gemeinsam werden diese in § 3 Abs. 7 BDSG als „verantwortliche Stellen“ bezeichnet und definiert als „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“. Als nicht-öffentliche Stellen können auch Privatpersonen gelten. Dies ergibt sich aus § 2 Abs. 4 S. 1 BDSG, nach dem „natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts“ nicht-öffentliche Stellen sind, soweit sie nicht bereits als öffentliche Stellen im Sinne der Abs. 1–3 gelten. Nach § 1 Abs. 2 Nr. 3 a. E. BDSG fällt die Erhebung, Verarbeitung oder Nutzung von Daten ausschließlich für persönliche oder familiäre Tätigkeiten zwar nicht in den Anwendungsbereich des BDSG. Dies umfasst aber nicht alle Tätigkeiten von Privatpersonen.29 2. Verantwortliche Stellen im Ausland Gemäß § 1 Abs. 5 BDSG sind verantwortliche Stellen im Ausland nur eingeschränkt Adressaten des BDSG. Nach S. 1 dieser Vorschrift findet das BDSG keine Anwendung „sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland“. Diese Regelung beruht auf Art. 4 Abs. 1 EG-Datenschutzrichtlinie. Demnach gilt innerhalb der EU grundsätzlich das Sitzlandprinzip, wonach sich verantwortliche Stellen nur nach dem Datenschutzrecht am Ort ihrer Niederlassung(en) zu richten haben.30 Auf verantwortliche Stellen, „die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen“ sind findet das BDSG gemäß § 1 Abs. 5 S. 2 BDSG jedoch grundsätzlich Anwendung, wenn sie im Inland personenbezogene Daten erheben, verarbeiten oder nutzen. 27 28 29 30
BVerfGE 65, S. 1, 45. Näher zum Volkszählungsurteil oben Erster Teil § 3 III. 1. Vgl. Gola/Schomerus, § 2 Rn. 19. Näher dazu unten IV. 3. Dazu näher Taeger/Gabel/Gabel, § 1 BDSG Rn. 49.
124
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
3. Andere Adressaten Zu beachten ist, dass die Vorschriften des BDSG auch für Adressaten gelten können, die keine verantwortlichen Stellen i. S. d. § 3 Abs. 7 BDSG sind. So ist es gemäß § 5 S. 1 BDSG den bei der Datenverarbeitung beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Damit sind auch die bei den verantwortlichen Stellen beschäftigten Personen in den Anwendungsbereich des Gesetzes mit einbezogen.31 § 11 BDSG trifft eine Sonderregelung für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Eine solche liegt beispielsweise vor, wenn ein Marktforschungsinstitut nach den Weisungen eines Unternehmens Haushaltsbefragungen durchführt und deren Ergebnisse auswertet.32 Verantwortliche Stelle ist hierbei nur der Auftraggeber (§ 3 Abs. 7 BDSG). Gemäß § 11 Abs. 4 BDSG hat jedoch auch der Auftragnehmer bestimmte Vorschriften des BDSG zu beachten. Vor diesem Hintergrund erweist sich § 1 Abs. 2 BDSG eher als sachliche Beschränkung auf Datenverarbeitungsvorgänge bei den verantwortlichen Stellen, denn als personelle Beschränkung des Anwendungsbereiches des Gesetzes auf diese. Welche Bedeutung die einzelnen Sanktionsnormen für die bei der Datenverarbeitung beschäftigten Personen, die Auftragsdatenverarbeiter und außenstehende Dritte haben, wird im jeweiligen Zusammenhang zu klären sein.
III. Geltung im öffentlichen Bereich Das BDSG gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im öffentlichen Bereich durch Stellen des Bundes und Stellen der Länder, soweit sie Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt (§ 1 Abs. 2 Nr. 1 und Nr. 2 BDSG).33 Es kommt dabei nicht darauf an, ob die Datenerhebung, -verarbeitung und -nutzung automatisiert, in oder aus nicht-automatisierten Dateien oder auf sonstige Weise erfolgt.
IV. Geltung im nicht-öffentlichen Bereich Anders als im öffentlichen Bereich gilt das BDSG im privaten Bereich nicht für jede Form der Datenerhebung, -verarbeitung und -nutzung. Der Anwendungsbereich des BDSG ist also im öffentlichen und privaten Sektor asymmetrisch geregelt.34 Im nichtöffentlichen Bereich gilt das BDSG nur für den Umgang mit personenbezogenen Daten unter Einsatz von Datenverarbeitungsanlagen sowie in oder aus nicht-automatisierten Dateien. 31
Vgl. Simitis/Ehmann, § 5 Rn. 5. Taeger/Gabel/Gabel, § 11 Rn. 17. 33 Im übrigen kommt das BDSG für öffentliche Stellen der Länder nicht gemäß § 1 Abs. 2 Nr. 2 BDSG zur Anwendung, da sämtliche Länder eigene Datenschutzgesetze verabschiedet haben; Gola/ Schomerus, § 1 Rn. 19a. 34 Zu der unterschiedlichen Entwicklung der Regelung des BDSG für den öffentlichen und nichtöffentlichen Bereich oben Erster Teil § 3 II.–IV. 32
§ 9 Anwendungsbereich des BDSG
125
Daraus ergibt sich der Unterschied, dass das BDSG im öffentlichen Bereich auch für Akten gilt, die nicht nach persönlichen Merkmalen strukturiert sind, im nicht-öffentlichen Bereich aber nicht.35 So befände sich zum Beispiel eine Akte zu einem Bauvorhaben, an der sich an einer Stelle persönliche Informationen zu den Bauherren befinden, im öffentlichen Bereich im Anwendungsbereich des BDSG, nicht aber im nicht-öffentlichen Bereich. 1. Automatisierte Verarbeitung Für den privaten Bereich gilt das BDSG stets, wenn personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden (§ 1 Abs. 2 Nr. 3 BDSG). Gemäß § 3 Abs. 2 S. 1 BDSG ist als automatisierte Verarbeitung „die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen“ zu verstehen. Voraussetzung für eine solche ist stets, dass sie eine automatisierte Auswertung der Daten nach bestimmten Merkmalen ermöglicht.36 Eine automatisierte Auswertung ist beispielsweise schon dann möglich, wenn Texte in Textverarbeitungssystemen am Computer gespeichert werden. Ein Merkmal kann dabei eine Angabe über persönliche oder sachliche Verhältnisse einer Person enthalten (z. B. Geschlecht, Geburtsdatum) oder der Zuordnung von Angaben zu einer Person dienen (z. B. Personenkennziffer).37 2. Nicht-automatisierte Dateien Bei der Verarbeitung und Nutzung von personenbezogenen Daten in oder aus nichtautomatisierten Dateien bzw. ihrer Erhebung dafür gilt das BDSG ebenfalls im privaten Bereich (§ 1 Abs. 2 Nr. 3 BDSG). Nach § 3 Abs. 2 S. 2 BDSG ist eine nicht-automatisierte Datei „jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann“. Dies ist etwa bei einer manuell angelegten Personalkartei der Fall. Keine nichtautomatisierte Datei ist etwa eine Liste auf Papier mit den Namen der Teilnehmer einer Veranstaltung, da es dieser an einer Mehrzahl von Sortiermerkmalen fehlt – es ist keine Strukturierung vorhanden, die den Zugriff auf die enthaltenen personenbezogenen Daten erleichtert.38 Für das Vorliegen einer nicht-automatisierten Datei nicht erforderlich ist, dass Daten mit Bezug zu mehreren Personen enthalten sind – die Sammlung von Angaben zu einer einzelnen Person reicht aus.39 So kann z. B. die Krankenakte einer Person eine nicht-automatisierte Datei sein. 3. Ausnahme für persönliche oder familiäre Tätigkeiten Nicht anwendbar ist das BDSG im privaten Bereich jedoch, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten 35 36 37 38 39
Taeger/Gabel/Schmidt, § 1 Rn. 22. Gola/Schomerus, § 3 Rn. 15a. Vgl. die Differenzierung zwischen Erhebungs- und Hilfsmerkmalen in § 10 Abs. 1 BStatG. Erbs/Kohlhaas/Ambs, § 3 BDSG Rn. 12; Taeger/Gabel/Schmidt, § 1 Rn. 22. Gola/Schomerus, § 3 Rn. 19.
126
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
erfolgt (§ 1 Abs. 2 Nr. 3 a. E. BDSG).40 Dieses Privileg gilt nur für natürliche Personen.41 Der privat-persönliche Umgang mit personenbezogenen Daten findet seinerseits in einem geschützten Bereich statt und soll nicht Gegenstand der Regelungen des BDSG sein.42 Dies beruht auch darauf, dass die rechtlichen Regelungen des Datenschutzes zur Konfliktlösung in diesem Bereich kaum geeignet sind.43 Es wird allerdings eine restriktive Auslegung dieser Ausnahme des Anwendungsbereiches gefordert.44 Dies wird damit begründet, dass die Europäische Datenschutzkonvention45 , aus der die Bundesrepublik Deutschland verpflichtet ist, keine Ausnahme des Datenschutzes für persönliche oder familiäre Tätigkeiten vorsieht.46 Auch der EuGH hat zuletzt geurteilt, dass die § 1 Abs. 2 Nr. 3 a. E. BDSG zugrunde liegende Regelung in Art. 3 Abs. 2 zweiter Gedankenstrich EG-Datenschutzrichtlinie im Licht der Charta der Grundrechte der Europäischen Union eng auszulegen sei.47 Dass der Datenumgang ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt, setzt voraus, dass dies „mit allen seinen Bestandteilen und während der gesamten Dauer“48 der Fall ist. Vermengt sich also der persönlich-familiäre Umgang mit personenbezogenen Daten mit einem geschäftlichen Zweck, greift § 1 Abs. 2 Nr. 3 a. E. nicht mehr.49 Dies ist beispielsweise der Fall, wenn Telefonnummern oder Adressen von Freunden und Familienmitgliedern für Werbezwecke verwendet werden.50 Was unter persönlichen oder familiären Tätigkeiten im Einzelnen zu verstehen ist, soll nach der Verkehrsauffassung bestimmt werden.51 Klar als persönliche oder familiäre Tätigkeit einzuordnen ist etwa der Umgang mit personenbezogenen Daten für private Adressbücher,52 nicht erfasst sind aber Tätigkeiten von Freiberuflern oder Tätigkeiten innerhalb von karitativen Einrichtungen oder Vereinen.53 In vielen Einzelfällen fällt es dabei schwer, 40 Zur Entstehung dieser Ausnahme im Rahmen des dritten BDSG durch Umsetzung der EGDatenschutzrichtlinie oben Erster Teil § 3 IV. 1. 41 Simitis/Dammann, § 1 Rn. 153; Taeger/Gabel/Schmidt, § 1 Rn. 29. 42 Schaffland/Wiltfang, § 1 Rn. 22; Simitis/Dammann, § 1 Rn. 149; Taeger/Gabel/Schmidt, § 1 Rn. 30; vgl. auch Erwägungsgrund 10 der EG-Datenschutzrichtlinie; EuGH v. 11. Dezember 2014, Rs. C-212/13 – Rynes. 43 Auernhammer/v. Lewinski, § 1 Rn. 15; v. Lewinski, Matrix, S. 9 ff. 44 Balzer/Nugel, NJW 2014, S. 1622, 1625; Simitis/Dammann, § 1 Rn. 148; Taeger/Gabel/ Schmidt, § 1 Rn. 30. 45 Dazu näher oben Zweiter Teil § 6 II. 1. a). 46 Simitis/Dammann, § 1 Rn. 148; Taeger/Gabel/Schmidt, § 1 Rn. 30. 47 EuGH v. 11. Dezember 2014, Rs. C-212/13 – Rynes. Der EuGH urteilte in diesem Zusammenhang, dass eine Videoüberwachung, die sich „auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten auf diese Weise verarbeitet, [ . . . ] nicht als eine ausschließlich ‚persönliche oder familiäre‘ Tätigkeit im Sinne von Art. 3 Abs. 2 zweiter Gedankenstrich der Richtlinie 95/46 angesehen werden“ kann. 48 Simitis/Dammann, § 1 Rn. 150. 49 Reibach, DuD 2015, S. 157; Taeger/Gabel/Schmidt, § 1 Rn. 29. 50 Simitis/Dammann, § 1 Rn. 150. 51 Simitis/Dammann, § 1 Rn. 151 (mit zahlreichen Beispielen); Taeger/Gabel/Schmidt, § 1 Rn. 31; für eine „verobjektivierte subjektive Sichtweise“ Auernhammer/v. Lewinski, § 1 Rn. 18. 52 Vgl. Erwägungsgrund 12 der EG-Datenschutzrichtlinie. 53 Gola/Schomerus, § 27 Rn. 12. Für kleine Vereine, in denen sämtliche Mitglieder untereinander eine persönliche Beziehung haben, kann allerdings anderes gelten; Auernhammer/v. Lewinski, § 1 Rn. 23.
§ 9 Anwendungsbereich des BDSG
127
den persönlichen und familiären Bereich nach diesem sozial-normativen Kriterium abzugrenzen. Dies kann auf den Eigenschaften der technischen Hilfsmittel beruhen, derer sich Menschen auch im privaten Bereich bedienen.54 So können Tätigkeiten im Online-Bereich, durch die personenbezogene Daten einem unbegrenzten Personenkreis zugänglich gemacht werden, grundsätzlich nicht dem persönlichen oder familiären Bereich zugeordnet werden.55 Schwierig zu beurteilen ist vor diesem Hintergrund etwa, ob und unter welchen Bedingungen die Kommunikation von Privatpersonen innerhalb sozialer Netzwerke im Internet der persönlichen oder familiären Sphäre zugehörig ist.56 Dies ist jedenfalls dann zu verneinen, wenn die Kommunikation für sämtliche Nutzer eines sozialen Netzwerks offen zugänglich ist.57 Fraglich bleibt, ob eine persönliche oder familiäre Tätigkeit auch dann ausgeschlossen ist, wenn der Umgang mit personenbezogenen Daten auf einen bestimmten Kreis von „Freunden“ oder „Followern“ beschränkt ist.58 Diese Frage lässt sich wohl nur anhand der Umstände des Einzelfalles beantworten. So ist zu berücksichtigen, welche Hürden bestehen, um in den Kreis der „Freunde“ oder „Follower“ einer Person aufgenommen zu werden und wie sich dieser konkret zusammensetzt. Auch die natürliche Vermischung des privaten und beruflichen Bereichs kann zu Schwierigkeiten bei der Anwendung des § 1 Abs. 2 Nr. 3 a. E. BDSG führen. Wenn etwa Kontaktdaten von Arbeitskollegen in einem privaten digitalen Adressbuch gespeichert werden, ist nicht eindeutig, ob es sich um eine Verarbeitung ausschließlich für persönliche oder familiäre Tätigkeiten handelt.59 Da ein klarer Bezug zur beruflichen-geschäftlichen Sphäre vorliegt, muss man bei einer restriktiven Auslegung der Vorschrift ablehnen, dass § 1 Abs. 2 Nr. 3 a. E. BDSG einschlägig ist – auch wenn die Adressspeicherung zu privaten Zwecken erfolgt, etwa um den Kollegen Weihnachtskarten zu schicken. Im Ergebnis ist festzuhalten, dass § 1 Abs. 2 Nr. 3 a. E. BDSG stets ausgeschlossen ist, wenn ein klarer Bezug einer Tätigkeit zum beruflichen bzw. geschäftlichen Bereich besteht sowie wenn geplant ist, personenbezogene Daten über den engeren Familien- und Freundeskreis hinaus zu offenbaren bzw. weiterzugeben. 4. Teilweise Erweiterung Zum Teil wird der sachliche Anwendungsbereich des BDSG im nicht-öffentlichen Bereich über den Rahmen des § 1 Abs. 2 BDSG hinaus erweitert. So gelten gemäß § 27 Abs. 2 BDSG die Vorschriften des dritten Abschnitts des BDSG auch für den Umgang mit Daten, „die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind“. So gelten die Anforderung an den Umgang mit personenbezogenen Daten der §§ 28 ff. BDSG etwa nicht nur für einen Computerausdruck mit personenbezogenen 54
Vgl. Gola/Schomerus, § 27 Rn. 12; ULD, Verkettung, S. 143. EuGH v. 6. November 2003, Rs. C-101/01, Slg. 2003, I-12971 — Lindqvist. 56 Vgl. Reibach, DuD 2015, S. 157, 158. 57 Ohr/Schwartmann, in: Schwartmann, Rn. 75. 58 So Simitis/Dammann, § 1 Rn. 151, der für die Einschlägigkeit von § 1 Abs. 2 Nr. 3 BDSG bei der Kommunikation in sozialen Netzwerken im Internet die Voraussetzung aufstellt, dass „der Datenzugang stabil auf einen engen Familien- oder Freundeskreis begrenzt ist“. 59 Dafür Gola/Schomerus, § 27 Rn. 11. 55
128
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Daten, sondern auch für handschriftliche Aufzeichnungen, die erkennbar das Ergebnis dieser Datenverarbeitung festhalten.60 § 27 Abs. 2 BDSG schützt letztlich vor der Umgehung datenschutzrechtlicher Anforderungen.61 § 32 Abs. 2 BDSG erklärt § 32 Abs. 1 BDSG auf jede Erhebung, Verarbeitung und Nutzung von Daten für anwendbar. Damit wird der Anwendungsbereich des Datenschutzes in Beschäftigungsverhältnissen ausgeweitet.62
V. Subsidiarität (§ 1 Abs. 3 BDSG) Nach § 1 Abs. 3 BDSG gehen andere Rechtsvorschriften des Bundes, soweit sie auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, jenen des BDSG vor. Das BDSG ist also gegenüber Vorschriften, die den Umgang mit Daten bereichsspezifisch regeln, subsidiär.63 Ein Vorrang bereichsspezifischer Regelungen wird jedoch nach dem Wortlaut des § 1 Abs. 3 BDSG („Soweit“) nur insofern angenommen, „als sie den gleichen Bereich betreffen wie die Bestimmungen des BDSG.“64 Bei der Frage, ob die Regelungen die Anwendung des BDSG für bestimmte Bereiche ausschließen, ist auch der Zweck der Sonderregelung zu berücksichtigen.65 Die Anwendung des BDSG kann auch lückenfüllend erfolgen.66 Es fragt sich, welche Folgen dies für die Sanktionsnormen des BDSG hat. Eine Sanktionsnorm des BDSG kann jedenfalls dann keine Anwendung finden, wenn eine bereichsspezifische Regelung eine Sanktionsnorm gleicher Art (z. B. einen Straftatbestand) bereits vorsieht. Hier existiert eindeutig eine zur Sanktion des BDSG kongruente Regelung für bereichsspezifische Verstöße. Auch klarstellende Vorschriften können den Anwendungsbereich der Sanktionsnormen des BDSG gegenüber bereichsspezifischen Vorschriften festlegen.67 Erklärt beispielsweise eine Vorschrift einer bereichsspezifischen Datenschutzregelung, die keine eigene Bußgeldvorschrift hat, § 43 BDSG für entsprechend anwendbar, erübrigt sich die Frage, ob ein Rückgriff auf § 43 BDSG mit § 1 Abs. 3 BDSG zu vereinbaren wäre. Schwierig zu beurteilen ist die Anwendbarkeit von Sanktionsnormen aus dem BDSG vor allem, wenn die bereichsspezifische Regelung entweder keine Sanktionsnorm gleicher Art oder allgemein keine Sanktionsnormen enthält. Es fragt sich in diesen Fällen, ob die Anwendung der Sanktionsnormen des BDSG hier „lückenfüllend“68 erfolgen kann. Diese Frage soll im Zusammenhang mit den einzelnen Sanktionsnormen geklärt werden. Das TMG beispielsweise enthält einen Ordnungswidrigkeitentatbestand (§ 16 TMG), in dem einzelne Verstöße gegen Datenschutzvorschriften des Gesetzes mit Bußgeld bedroht
60 61 62 63 64 65 66 67 68
Simitis/Simitis, § 27 Rn. 33. Simitis/Simitis, § 27 Rn. 29. Vgl. Simitis/Simitis, § 32 Rn. 14. Gola/Schomerus, § 1 Rn. 23. Erbs/Kohlhaas/Ambs, § 1 BDSG Rn. 17. Erbs/Kohlhaas/Ambs, § 1 BDSG Rn. 17. Gola/Schomerus, § 1 Rn. 24. Vgl. Simitis/Dix, § 1 Rn. 160. Vgl. Gola/Schomerus, § 1 Rn. 24.
§ 10 Straftatbestände
129
werden.69 Einen Straftatbestand enthält das TMG allerdings nicht. Fraglich ist, ob ein Rückgriff auf §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG möglich ist.
§ 10 Straftatbestände Verstöße gegen die Verhaltensvorschriften des BDSG können nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG strafbar sein. Hauptsächlich ist das Erheben, Verarbeiten und teilweise das Nutzen von personenbezogenen Daten, die nicht allgemein zugänglich sind, mit Strafe bedroht, wenn es gegen Entgelt oder mit Schädigungs- oder Bereicherungsabsicht erfolgt. Auch die Landesdatenschutzgesetze – mit Ausnahme der schleswig-holsteinischen Regelung70 – sehen Strafvorschriften vor, die den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG im Wesentlichen ähneln.
I. § 44 Abs. 1 BDSG als Blanketttatbestand Wann eine Strafbarkeit nach § 44 Abs. 1 BDSG vorliegt, lässt sich nicht aus der Vorschrift allein bestimmen. § 44 Abs. 1 BDSG bestimmt lediglich, dass sich strafbar macht, „[w]er eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht“. Durch den Verweis bezüglich der tatbestandlichen Handlungen auf die Ordnungswidrigkeitennorm des § 43 Abs. 2 BDSG stellt § 44 Abs. 1 BDSG nicht nur einen unechten Mischtatbestand,71 sondern auch ein Blankettstraftatbestand dar. Als Blankettstraftatbestände lassen sich Strafbestimmungen verstehen, „welche zwar eine Strafandrohung enthalten, das verbotene Verhalten jedoch nicht selbst, sondern durch eine Verweisung auf andere (öffentlich-rechtliche oder zivilrechtliche) Normen oder aber Verwaltungsakte beschreiben.“72 Es handelt sich hierbei um ein weites Verständnis des Begriffs. Nach einem engeren Verständnis liegt ein Blankettstraftatbestand nur vor, wenn seine Ergänzung „von einer anderen Stelle und zu einer anderen Zeit selbstständig vorgenommen wird.“73 Diesem engeren Begriff des Blankettstraftatbestandes unterfällt § 44 Abs. 1 BDSG nicht, weil das verbotene Verhalten sich zwar aus einer anderen Norm ergibt, nicht aber von einer anderen Stelle, sondern dem gleichen Gesetzgeber festgelegt wurde. Im Hinblick auf das strafrechtliche Bestimmtheitsgebot gemäß Art. 103 Abs. 2 GG wirft der Verweis des § 44 Abs. 1 BDSG auf den benachbarten § 43 Abs. 2 BDSG allein keine Probleme auf, da er sich für die Normadressaten ohne Weiteres nachvollziehen lässt.74 69
Näher zu den Datenschutzvorschriften des TMG oben Erster Teil § 3 VI. 2. a). Dazu oben Erster Teil § 3 VII. 71 Dazu oben Erster Teil § 3 IV. 2. 72 So die Definition von Sieber, in: Hoeren/Sieber 2014, Rn. 11. Der Begriff des Blankettstrafgesetzes geht auf Binding, S. 72 zurück. 73 BGH NJW 1954, S. 970, 972; vgl. auch Dietmeier, S. 7 f., 41 f. m. w. N. 74 Vgl. zum allgemeinen Problem Enderle, S. 177; Maunz/Dürig/Schmidt-Aßmann, Art. 103 Abs. 2 Rn. 207. 70
130
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
II. Anwendungsbereich Der Anwendungsbereich der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG bestimmt sich in sachlicher wie in personeller Hinsicht in Abhängigkeit von den in Bezug genommenen Verhaltensnormen und den allgemeinen Regelungen zum Anwendungsbereich des BDSG. 1. Festlegung durch Verhaltensnormen Soweit sich §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG auf konkrete Verhaltensnormen des BDSG beziehen, bestimmt sich der Anwendungsbereich der Straftatbestände in persönlicher und sachlicher Hinsicht zunächst durch deren Anwendungsbereich. So kann z. B. eine Tat nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 5b BDSG nur von einer verantwortlichen Stelle im nicht-öffentlichen Bereich begangen werden, für die § 28 Abs. 4 S. 1 BDSG gilt. Taugliches Tatobjekt sind gemäß § 27 Abs. 2 BDSG auch personenbezogene Daten, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind.75 2. Einschränkung durch Adressatenkreis des BDSG Problematisch ist, ob der Anwendungsbereich der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG darüber hinaus durch den allgemeinen Adressatenkreis des BDSG eingeschränkt wird. Diese Frage stellt sich bei den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1–4 BDSG, die keine konkreten Verhaltensnormen des BDSG in Bezug nehmen. Nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG macht sich etwa strafbar, wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, „unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet“. Damit nehmen die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG durch das akzessorische Merkmal „unbefugt“ grundsätzlich sämtliche Rechtssätze in Bezug, die die Zulässigkeit der Erhebung und Verarbeitung personenbezogener Daten betreffen.76 Die Frage, ob die Reichweite der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1–4 BDSG durch den allgemeinen Anwendungsbereich des BDSG eingeschränkt wird, ist von Relevanz für datenverarbeitende Stellen mit Niederlassung im europäischen Ausland (aber ohne Niederlassung in Deutschland), die in Deutschland personenbezogene Daten erheben, verarbeiten oder nutzen. Diese Stellen sind gemäß § 1 Abs. 5 S. 1 BDSG grundsätzlich vom Adressatenkreis des Gesetzes ausgeschlossen, wenn sie keinen Sitz in Deutschland haben.77 Fraglich ist, ob die verantwortlichen Personen sich dennoch gemäß §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1–4 BDSG strafbar machen können. Die Problematik veranschaulicht der folgende Beispielsfall.
75
Insofern abweichend von § 1 Abs. 2 BDSG; vgl. oben § 9 IV. 4. Näher zur Reichweite der Verweisung unten V. 2. 77 Dazu oben § 9 II. 2. Weniger relevant ist die Frage für Personen und verantwortliche Stellen mit Sitz in Deutschland, da diese ohnehin umfassend vom Adressatenkreis des BDSG erfasst werden. Praktische Bedeutung hat sie allerdings für die Geltung der Ausnahmevorschrift § 1 Abs. 2 Nr. 3 a. E. BDSG; vgl. dazu oben § 9 IV. 3. 76
§ 10 Straftatbestände
131
Fall 1: Daten nach Dublin Der deutsche Staatsbürger D betreibt von Dublin aus unter der Domain www.kochbook.de ein deutschsprachiges soziales Netzwerk, das sich speziell an Gastronomen richtet. Mitglieder des Netzwerkes haben unter anderem die Möglichkeit, individuelle Profilseiten zu erstellen, sich über ein Nachrichtensystem und Diskussionsforen mit anderen Nutzern auszutauschen und aktuelle Nachrichten aus der Gastronomen-Szene nachzulesen. Die Mitglieder können sich kostenfrei bei dem Dienst des D registrieren, müssen aber diverse Angaben über ihre berufliche Tätigkeit sowie persönliche Interessen machen. Von Anfang an verfolgt der D das Ziel, die auf diese Weise erlangten personenbezogenen Daten an Adresshändler und weitere Interessenten weltweit zu verkaufen, um aus dem sozialen Netzwerk Gewinn zu schöpfen. D wirbt in diversen Fachpublikationen in Deutschland für sein soziales Netzwerk. Zahlreiche deutsche Gastronomen registrieren sich daraufhin mit ihren Angaben für den Dienst des D. Eine Einwilligung für eine kommerzielle Verwendung ihrer personenbezogenen Daten geben sie dabei nicht ab.
Unter der Annahme, dass die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1–4 BDSG trotz der bereichsspezifischen Regelung für Telemedien anwendbar sind,78 könnte sich D nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG strafbar gemacht haben, indem er das soziale Netzwerk betrieb. Eine Erhebung personenbezogener Daten gemäß § 43 Abs. 2 Nr. 1 Var. 1 BDSG durch D liegt vor. Durch das Bereitstellen des Netzwerkes hat er sich zielgerichtet die Registrierungsdaten seiner Nutzer verschafft.79 D handelte mit Bereicherungsabsicht, da er durch die Verwertung der erhobenen Daten finanzielle Vorteile erzielen wollte.80 Die Erhebung müsste auch unbefugt erfolgt sein. Gemäß § 1 Abs. 5 S. 1 BDSG findet das BDSG auf den vorliegenden Fall grundsätzlich keine Anwendung, da das Unternehmen des D in Irland als einem anderen Mitgliedsstaat der EU belegen ist und von dort aus personenbezogene Daten in Deutschland erhebt ohne eine Niederlassung in Deutschland zu haben. Die datenschutzrechtliche Zulässigkeit der Tätigkeit des D richtet sich also nach irischem Recht. Das irische Datenschutzrecht beruht ebenso wie das BDSG auf der EG-Datenschutzrichtlinie, die einen Rahmen der Zulässigkeit für die Erhebung personenbezogener Daten in ihrem Art. 7 festlegt. Da es im vorliegenden Fall an einer Einwilligung fehlte, hätte die Datenerhebung gemäß Art. 7 lit. f) EG-Datenschutzrichtlinie nur zur Verwirklichung eines berechtigten Interesses, dem nicht ein Interesse der betroffenen Person überwiegt, zulässig sein können. Über Art. 7 lit. f) EG-Datenschutzrichtlinie hinaus kann auch das irische Datenschutzrecht keine Zulässigkeit der Datenerhebung in diesem Fall vorsehen. Für ein überwiegendes Interesse des D bestehen im vorliegenden Fall keine Anhaltspunkte. Wenn man für die Prüfung des Merkmals „unbefugt“ die Richtlinie zugrunde legt, ist dieses also erfüllt. Auch nach irischem Datenschutzrecht ist kein anderes Ergebnis möglich. Der Tatbestand der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG wäre damit ebenfalls erfüllt. Auch vom allgemeinen Anwendungsbereich des deutschen Strafrechts kann man den Fall als erfasst ansehen. Zwar ist es umstritten, wann das deutsche Strafrecht gemäß 78 Zum Verhältnis der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zu bereichsspezifischen Datenschutzregeln unten 3. a). 79 Näher zum Begriff der Erhebung unten IV. 1. 80 Näher zu dem Merkmal der Bereicherungsabsicht unten VI. 2.
132
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
§§ 3 i. V. m. 9 StGB in Fällen Anwendung findet, in denen eine Handlung vom Ausland aus vorgenommen wird, die sich über das Internet in Deutschland auswirkt.81 Der vorliegende Fall bietet jedenfalls genügend objektive Anknüpfungspunkte, um eine Anwendung deutschen Strafrechts zu legitimieren: Das Angebot und damit auch das deliktische Verhalten des deutschen Staatsbürgers D zielt fast ausschließlich auf deutsches Territorium bzw. den deutschsprachigen Raum. Somit kommt es für die Strafbarkeit des D entscheidend darauf an, ob die Anwendbarkeit der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG durch den allgemeinen Anwendungsbereich des BDSG ausgeschlossen ist. Im Schrifttum wird angenommen, dass die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG durch den allgemeinen Adressatenkreis des BDSG nicht beschränkt werden.82 Die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG würden einen „Jedermann“-Straftatbestand bilden.83 Dafür wird zunächst der Wortlaut von § 44 Abs. 1 BDSG angeführt. Demnach kann allgemein Täter sein, „[w]er eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung [ . . . ] begeht“. Hieraus ergebe sich keine personelle Einschränkung.84 Speziell im Hinblick auf die Anwendung auf verantwortliche Stellen mit Sitz im Ausland wird auf Erwägungsgrund 21 der EG-Datenschutzrichtlinie hingewiesen. Nach diesem berühren die Regelungen der Richtlinie „nicht die im Strafrecht geltenden Territorialitätsregeln“. Daraus wird gefolgert, „dass der Straftatbestand des § 44 BDSG auch dann anwendbar sein kann, wenn das BDSG im Übrigen nicht gilt.“85 Im Hinblick auf das strafrechtliche Bestimmtheitsgebot erscheint es jedoch zweifelhaft, ob der Anwendungsbereich der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG weiter gefasst werden kann als der allgemeine Anwendungsbereich des Gesetzes in § 1 BDSG. Das strafrechtliche Bestimmtheitsgebot erfordert, dass der Anwendungsbereich eines Straftatbestandes für seinen Normadressaten erkennbar bzw. durch Auslegung ermittelbar ist.86 Die Bestimmtheit eines Straftatbestandes ist dabei in seinem gesetzlichen Gesamtzusammenhang zu beurteilen.87 Der Regelungszusammenhang des BDSG legt nahe, dass § 1 BDSG den Anwendungsbereich des gesamten Gesetzes mit einer Klammerwirkung festlegt. Dass die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG davon ausgenommen sein sollen, wird an keiner Stelle deutlich. Dass in § 43 Abs. 2 BDSG durch die Verwendung des Wörtchens „wer“ der Anwendungsbereich der Straf- und Bußgeldregelung ausgedehnt werden könnte, ist für den Normadressaten nicht erkennbar. Nach Erwägungsgrund 21 der EG-Datenschutzrichtlinie sollen die Regelungen der Richtlinie die im Strafrecht geltenden Territorialitätsregeln zwar nicht berühren. Dadurch ist aber nicht vorgegeben, dass die Strafvorschriften der nationalen 81 Vgl. dazu nur Cornelius, in: Leupold/Glossner, Rn. 51 ff.; LK/Werle/Jeßberger, 12. Aufl., § 9 Rn. 73 ff. jeweils m. w. N. 82 Deutlich DKWW/Klebe, § 44 Rn. 2: „Die Strafdrohung richtet sich gegen jede natürliche Person und nicht nur gegen den Normadressaten des BDSG“. 83 Bestmann, K&R 2003, S. 496, 497; Gola/Schomerus, § 43 Rn. 17; Hantschel, S. 4; Schneider, B Rn. 1509; Simitis/Ehmann, § 43 Rn. 22. 84 Simitis/Ehmann, § 43 Rn. 22. 85 Taeger/Gabel/Gabel, § 1 BDSG Rn. 51; ähnlich Gola/Schomerus, § 1 Rn. 31. 86 BVerfGE 126, S. 170, 195 m. w. N. 87 Vgl. Schönke/Schröder/Eser/Hecker, § 1 Rn. 20.
§ 10 Straftatbestände
133
Datenschutzgesetze auch über ihren allgemeinen Anwendungsbereich hinaus nach den allgemeinen Territorialitätsregeln gelten sollen. Dem nationalen Gesetzgeber ist bei der Regelung strafrechtlicher Sanktionen im Datenschutzrecht bewusst ein großer Spielraum gelassen worden.88 Durch Erwägungsgrund 21 sollte verhindert werden, dass das allgemeine Sitzortprinzip im Datenschutzrecht (Art. 4 Abs. 1 EG-Datenschutzrichtlinie) die Freiheit der Mitgliedsstaaten bei der strafrechtlichen Regelung einschränkt. Im Rahmen dieser Freiheit war es den nationalen Gesetzgebern nach der EG-Datenschutzrichtlinie aber auch möglich, akzessorische Straftatbestände zu regeln, die nur an die Verletzung des nationalen Datenschutzrechts, nicht aber an Verstöße gegen ausländischen Datenschutzrechts anknüpfen. So sind auch die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zu verstehen. Hätte der Gesetzgeber die Straftatbestände über den allgemeinen Anwendungsbereich des BDSG erstrecken wollen, hätte er dies durch einen einfachen Hinweis im Gesetz oder eine Regelung außerhalb des BDSG erreichen können. Eine beispielhafte Regelung für eine solche Technik findet sich etwa in den Strafvorschriften des Wertpapierhandelsgesetzes (WpHG). Gemäß § 38 Abs. 5 WpHG kann sich auch strafbar machen, wer ausländischen Verbotsvorschriften entgegen handelt, die Verboten der deutschen Regelung entsprechen.89 Im Ergebnis ist festzuhalten, dass nur Normadressaten des BDSG Täter der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1–4 BDSG sein können. Der D hat sich demnach nicht nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 strafbar gemacht, da diese nicht anwendbar waren. 3. Subsidiarität (§ 1 Abs. 3 BDSG) Das Verhältnis der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zu bereichsspezifischen Strafvorschriften richtet sich nach § 1 Abs. 3 BDSG. Demnach gehen andere Rechtsvorschriften des Bundes, soweit sie auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, jenen des BDSG vor.90 a) Verhältnis zu bereichsspezifischem Datenschutz Hieraus folgt, dass §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG nicht zur Anwendung kommen, wenn bereichsspezifische Gesetze eigene Strafvorschriften für ihren Regelungsbereich vorsehen.91 Dies ist etwa im Sozialdatenschutz der Fall, wo mit § 85a SGB X eine eigene Strafvorschrift existiert.92 Klar ist die Lage auch, wenn in den betreffenden Gesetzen die Weitergeltung der §§ 43, 44 BDSG festgelegt oder ausgeschlossen wird.93 Problematisch bleibt die Frage des Anwendungsbereiches der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG hingegen bei bereichsspezifischen Gesetzen, die keine eigenen Straf- oder Bußgeldvorschriften regeln. So etwa beim TMG, das zwar eine eigene Bußgeldvorschrift auch für Datenschutzverstöße, aber keine eigene Strafvorschrift enthält.94 88
Dazu oben Zweiter Teil § 6 II. 2. a). Dazu Popp, wistra 2011, S. 169, 175. 90 Dazu näher oben § 9 V. 91 Bär, in: Roßnagel, Rn. 22. 92 Zu den Datenschutzregeln des SGB X oben Erster Teil § 3 VI. 3. 93 So nennt § 37 BKAG etwa ausdrücklich die Normen des BDSG, die bei der Erfüllung der Aufgaben des Bundeskriminalamtes nicht gelten sollen. §§ 43, 44 BDSG sind hiervon nicht umfasst. 94 Vgl. oben § 9 V. sowie Erster Teil § 3 VI. 2. a). 89
134
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Die Problematik veranschaulicht Fall 1,95 wenn man annimmt, der D würde das soziale Netzwerk von einem Ort in Deutschland aus betreiben. Im Verhältnis zwischen D und den Nutzern des sozialen Netzwerkes gelten grundsätzlich die Regelungen des TMG. Es handelt sich bei dem sozialen Netzwerk um einen elektronischen Informations- und Kommunikationsdienst, der weder Telekommunikationsdienst noch telekommunikationsgestützer Dienst ist.96 Der D erhebt durch die Bereitstellung personenbezogene Daten. Gemäß § 12 Abs. 1 TMG ist die Erhebung personenbezogener Daten zur Bereitstellung von Telemedien durch den Diensteanbieter nur zulässig, soweit das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Eine Einwilligung wurde im vorliegenden Fall für kommerzielle Zwecke nicht erteilt, auch ein Erlaubnistatbestand kommt – insbesondere nach den §§ 14, 15 TMG – nicht in Betracht. Vor diesem Hintergrund ist das Verhalten des D eine Ordnungswidrigkeit gemäß § 16 Abs. 2 Nr. 4 TMG. Fraglich ist jedoch, ob auch eine Strafbarkeit nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG in Betracht kommt. D handelte jedenfalls unbefugt und mit Bereicherungsabsicht.97 Die Strafbarkeit hängt also entscheidend davon ab, ob der Straftatbestand des BDSG neben der bereichsspezifischen Regelung des TMG zur Anwendung kommen kann. Hierbei könnte man darauf abstellen, ob die bereichsspezifischen Vorschriften den Datenschutz bewusst nur fragmentarisch oder mit einem umfassenden Anspruch regeln.98 Bei punktuellen Regelungen, die nur einzelne Befugnisse zur Datenverarbeitung betreffen, bliebe es bei der Anwendbarkeit der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG. Dies würde auch gelten, wenn kein expliziter Hinweis auf ihre Geltung erfolgte. Bei umfassenden Regelungsansätzen könnten §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG hingegen keine Anwendung finden, auch wenn die bereichsspezifischen Regelungen keine eigenen Strafvorschriften vorsähen. Nach diesem Ansatz wären die Straftatbestände des BDSG im Anwendungsbereich des TMG in keinem Fall anwendbar. D wäre nicht strafbar. Andererseits wird vertreten, dass die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG stets anwendbar sind, wenn bereichsspezifische Gesetze keine Straf- und Ordnungswidrigkeitentatbestände regeln.99 Demnach hätte sich D nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG strafbar gemacht. Ein Argument für letztere Ansicht ist, dass aus dem Fehlen von Strafvorschriften in bereichsspezifischen Regelungen nicht gefolgert werden kann, „dass jegliche Sanktion unterbleiben soll und der Täter auf eine Strafbarkeitslücke vertrauen kann.“100 Für die Anwendbarkeit der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG lässt sich auch vorbringen, dass dies der ursprünglichen Intention des Gesetzgebers entsprechen dürfte. Die Begründung des ersten Regierungsentwurfes des BDSG ging davon aus, dass die Strafvorschrift des Gesetzes nicht nur ein Zuwiderhandeln gegen Vorschriften des BDSG sanktionieren soll, 95
Oben 2. Zum Anwendungsbereich des TMG näher oben Erster Teil § 3 VI. 2. a). 97 Dazu oben 2. 98 Zum Unterschied zwischen punktuellen und umfassenden Regelungsansätzen bei den bereichsspezifischen Vorschriften oben Erster Teil § 3 VI. 1. 99 Bär, in: Roßnagel, Rn. 21; differenzierend hingegen Auernhammer/v. Lewinski, Vor. zu § 43 Rn. 27. 100 Simitis/Ehmann, § 43 Rn. 19. 96
§ 10 Straftatbestände
135
sondern dass auch eine Verletzung einschlägiger bereichsspezifischer Vorschriften durch sie unter Strafe gestellt wird.101 Allerdings enthielt das BDSG in seinem RegE sowie seiner ersten Fassung 1977 keine dem heutigen § 1 Abs. 3 BDSG entsprechende Subsidiaritätsregel. Auch die Ausformung eines weitläufigen Systems bereichsspezifischen Datenschutzes war zu diesem Zeitpunkt noch nicht erfolgt. Aus dem strafrechtlichen Bestimmtheitsgebotes folgt, dass der Anwendungsbereich der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG nicht weiter gehen kann als der Anwendungsbereich des BDSG insgesamt. Wo die Regelungen des BDSG durch bereichsspezifische Vorschriften nicht nur punktuell ergänzt werden, sondern ein umfassendes Gefüge spezifischer Verhaltensnormen vorhanden ist, müssen daher auch Strafvorschriften als ergänzendes Sekundärrecht eigens geregelt werden.102 Wenn Strafvorschriften nicht vorgesehen sind, stellt das aus dem Horizont des Normadressaten eine gesetzgeberische Entscheidung dar, die nicht durch die Anwendung der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG konterkariert werden darf.103 Im Ergebnis sind die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG damit nicht anwendbar, wenn eine umfassende bereichsspezifische Datenschutzregelung vorliegt, die keinen Hinweis auf die Weitergeltung der Straftatbestände des BDSG enthält. D konnte sich also nicht nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG strafbar machen. Praktisch mag dieses Ergebnis zu Wertungswidersprüchen führen. So greift im Anwendungsbereich des TMG weder eine eigene Strafnorm für Datenschutzverstöße, noch die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG, obwohl gerade von Telemediendiensten ein erhöhtes Risiko für das informationelle Selbstbestimmungsrecht ausgeht.104 Diese Folge setzt aber nicht das strafrechtliche Bestimmtheitsgebot außer Kraft. Eine mögliche Strafbarkeit nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ist für die Adressaten des TMG nicht ersichtlich. So war selbst den datenschutzrechtlichen Aufsichtsbehörden nicht klar, ob sie auf die Ordnungswidrigkeitentatbestände des BDSG zurückgreifen konnten, bevor eine Bußgeldvorschrift für den Bereich des Telemediendatenschutzes ausdrücklich geregelt wurde.105 Durch ein gesetzgeberisches Tätigwerden können mögliche Strafbarkeitslücken leicht geschlossen und Wertungswidersprüche beseitigt werden. b) Verhältnis zu Vorschriften des Kernstrafrechts § 1 Abs. 3 BDSG betrifft auch das Verhältnis der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zu den Vorschriften des Kernstrafrechts, soweit diese als Rechtsvorschriften des Bundes „auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind“.106 So hat der 1. Strafsenat des BGH in einem Urteil im Oktober 2002 angenommen, dass § 203 Abs. 2 S. 2 StGB einer Bußgeldvorschrift aus dem SächsDSG nach dem damaligen § 2 Abs. 4 SächsDSG vorgehe, weil § 203 Abs. 2 S. 2 StGB „sich für die 101
BT-Drs. 7/1027, S. 31; näher zum RegE oben Erster Teil § 3 II. 3. d). So auch Heghmanns, in: Achenbach, Rn. 87; ähnlich Cornelius, in: Leupold/Glossner, Rn. 255. 103 Heghmanns, in: Achenbach, Rn. 87. 104 Vgl. oben Erster Teil § 3 VI. 2. a). 105 BT-Drs. 14/1191, S. 16. 106 Vgl. Lackner/Kühl, § 203 Rn. 29; anders Simitis/Ehmann, § 43 Rn. 53. 102
136
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
vorliegende Fallgestaltung in ihrem Anwendungsbereich mit § 32 I Nr. 1c SächsDSG“107 überschneide.108 § 2 Abs. 4 SächsDSG entspricht als Subsidiaritätsvorschrift inhaltlich weitgehend § 1 Abs. 3 BDSG.109 Die für eine Subsidiarität nach § 1 Abs. 3 BDSG erforderliche Deckungsgleichheit ist jedoch nicht immer schon dann gegeben, wenn sich ein Straftatbestand des BDSG in seinem Anwendungsbereich mit einem Tatbestand des Kernstrafrechts überschneidet. Es ist hierfür zumindest erforderlich, dass der StGB-Tatbestand ebenfalls personenbezogene Daten betrifft und auf den Schutz der informationellen Selbstbestimmung zielt.110 In diesem Fall kann die Norm die Strafvorschriften des BDSG insoweit verdrängen, als eine Überschneidung (etwa bezüglich der Verarbeitungsphase der Übermittlung) vorliegt.111 Dies kann – wie der BGH richtig angenommen hat – im Verhältnis der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zu § 203 Abs. 2 S. 2 StGB der Fall sein.112 Im Übrigen bleiben die Straftatbestände des BDSG durch die Subsidiaritätsregel in § 1 Abs. 3 BDSG vom Kernstrafrecht unberührt, da keine weiteren Tatbestände existieren, die spezifisch personenbezogene Daten betreffen und auf den Schutz der informationellen Selbstbestimmung zielen. All dies ändert nichts daran, dass die Straftatbestände des BDSG weiterhin nach den allgemeinen strafrechtlichen Konkurrenzregeln durch Tatbestände aus dem Kernstrafrecht verdrängt werden können. So treten beispielsweise §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 2 BDSG hinter § 203 Abs. 1, Abs. 5 StGB zurück, wenn ein Arzt eine elektronische Gesundheitsakte an eine Privatdetektei verkauft. Das typischerweise mitverwirklichte Datenschutzdelikt wird von § 203 Abs. 1, Abs. 5 StGB konsumiert, der das Unrecht schärfer beschreibt.113 4. Kritische Würdigung Der Anwendungsbereich der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ist in seiner Unklarheit sowie in seiner potentiellen Weite problematisch. a) Unklarheit des Anwendungsbereiches Praktisch herrscht keine Klarheit darüber, ob die Straftatbestände des BDSG bei Normadressaten außerhalb des BDSG zur Anwendung kommen können. Es ist auch unklar, 107 BGH RDV 2003, S. 139, 141. In § 32 Abs. 1 Nr. 1c SächsDSG wurde das unbefugte Abrufen oder Sich-Verschaffen von personenbezogenen Daten als Ordnungswidrigkeit erfasst; vgl. § 42 Abs. 2 Nr. 3 BDSG. 108 Zustimmend Gola/Schomerus, § 44 Rn. 2; Taeger/Gabel/Mackenthun, § 44 Rn. 4. 109 § 2 Abs. 4 S. 1 SächsDSG lautete zum Zeitpunkt der Entscheidung ebenso wie heute: „Soweit besondere Rechtsvorschriften des Freistaates Sachsen oder des Bundes den Schutz personenbezogener Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor.“ 110 Vgl. Auernhammer/v. Lewinski, Vor. zu § 43 Rn. 28; Heghmanns, in: Achenbach, Rn. 111. 111 Vgl. Simitis/Dix, § 1 Rn. 170. 112 So auch Lackner/Kühl, § 203 Rn. 29. 113 So auch Heghmanns, in: Achenbach, Rn. 111; anders Bär, in: Roßnagel, Rn. 68, der aufgrund des eigenen Unrechtsgehalts der Datenschutzdelikte grundsätzlich Tateinheit zwischen § 203 StGB und Tathandlungen nach § 43 BDSG annimmt.
§ 10 Straftatbestände
137
ob sie anwendbar sind, wenn eine bereichsspezifische Regelung ohne eigene Strafvorschrift einschlägig ist. Vor allem letzterer Fall ist in der Praxis aufgrund des weiten Anwendungsbereiches des TMG nicht selten. Gleich, ob man für oder – wie hier – gegen die Anwendbarkeit der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG argumentiert, ist die Situation unbefriedigend. Erachtet man die Straftatbestände des BDSG als anwendbar, bleiben massive Bedenken im Zusammenhang mit dem strafrechtlichen Bestimmtheitsgebot. Für den Täter ist die Anwendbarkeit der Strafvorschriften nicht ausreichend vorhersehbar. Nimmt man aber an, dass die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG nicht anwendbar sind, entstehen kaum zu erklärende Strafbarkeitslücken.114 Gerade im Telemedien- und Telekommunikationsbereich, wo ein erhöhtes Risiko des Missbrauchs personenbezogener Daten besteht, würde das Datenschutzstrafrecht in vielen Konstellationen nicht greifen. Diese Problematik kann letztlich nur durch einen klarstellenden Eingriff des Gesetzgebers behoben werden. Dabei wäre es einerseits möglich, in den einzelnen bereichsspezifischen Datenschutzgesetzen die Geltung oder Nicht-Geltung der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zu regeln. Eine andere, wohl weniger aufwändige, Möglichkeit wäre, die Geltung einer zentralen Datenschutzstrafvorschrift unbeschadet der Subsidiaritätsregelung des § 1 Abs. 3 BDSG festzulegen. Eine solche Regelung könnte im BDSG, aber auch im StGB115 verankert werden. b) Weite des Anwendungsbereiches Der reale Anwendungsbereich der datenschutzrechtlichen Strafvorschriften hat sich mit dem Anwendungsbereich des gesamten BDSG schleichend ausgedehnt. Das Datenschutzrecht umfasste zunächst lediglich Datenverarbeitungsvorgänge, die nur in der öffentlichen Verwaltung und später auch im unternehmerischen Bereich möglich waren.116 Es blieb zudem explizit auf Vorgänge im öffentlichen Bereich sowie im privaten Bereich auf den Umgang mit personenbezogenen Daten zu beruflichen und gewerblichen Zwecken begrenzt.117 Diese Begrenzung wurde jedoch aufgehoben.118 In Verbindung mit der technischen Entwicklung, die es jedermann ermöglicht, automatisierte Datenverarbeitungsvorgänge an privaten Heimcomputern und mobilen Endgeräten vorzunehmen, sind das BDSG und seine Sanktionsnormen damit heute im Prinzip auf den Großteil der Bevölkerung anwendbar. Vor allem bei Handlungen im privaten Bereich kann es jedoch fragwürdig sein, ob das Datenschutzstrafrecht greifen sollte. In vielen Fällen können hier Verhaltensweisen als möglicherweise strafbar erfasst werden, die keine ernsthafte Bedrohung der Persönlichkeit und ihrer Rechte begründen. In einem solchen Bagatellbereich dürfte der Einsatz des Strafrechts regelmäßig unangemessen sein.119
114 115 116 117 118 119
Vgl. in diesem Sinne schon Herb, S. 190 f. Zu dieser Möglichkeit näher unten Vierter Teil § 16 I. Vgl. oben Erster Teil § 3 I. Dazu oben Erster Teil § 3 III. 2. a). Dazu oben Erster Teil § 3 IV. 1. Dazu schon oben Zweiter Teil § 7 III.
138
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
III. Nicht allgemein zugängliche Daten Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die allgemein zugänglich sind, ist grundsätzlich nicht strafbar. So ist es beispielsweise kein Fall der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG, wenn Adressen und Telefonnummern aus den Gelben Seiten erhoben, verarbeitet und genutzt werden. Ausdrücklich aus dem Gesetzeswortlaut ergibt sich der Ausschluss der Strafbarkeit bei der Verwendung allgemein zugänglicher Daten in § 43 Abs. 2 Nr. 1–4 BDSG. Schon aus dem Volkszählungsurteil des BVerfG ergibt sich, dass Informationen aus offenen Quellen nicht uneingeschränkt dem Schutz des informationellen Selbstbestimmungsrechtes unterliegen können.120 So ist auch im Hinblick auf die übrigen Ziffern des § 43 Abs. 2 BDSG, soweit sie den Umgang mit personenbezogenen Daten betreffen, Voraussetzung für die Sanktionierung, dass die Daten nicht allgemein zugänglich sind.121 Ähnlich sind auch von § 203 Abs. 2 S. 2 StGB offenkundige Daten nicht als Tatobjekt umfasst.122 Auch im Entwurf des Bundesrates für einen Straftatbestand der Datenhehlerei (§ 202d StGB-E) sollte die Verwendung allgemein zugänglicher Daten von der Strafbarkeit ausgeschlossen sein.123 1. Begriff der allgemeinen Zugänglichkeit Das Merkmal der allgemeinen Zugänglichkeit findet sich neben § 43 Abs. 2 Nr. 1–4 BDSG auch in verschiedenen anderen Vorschriften des BDSG. So ist unter anderem nach den §§ 14 Abs. 2 Nr. 5, 28 Abs. 1 S. 1 Nr. 3, Abs. 3 S. 2 Nr. 1 und 29 Abs. 1 Nr. 2 BDSG die Verwendung von allgemein zugänglichen bzw. aus allgemein zugänglichen Quellen entnommenen personenbezogenen Daten unter geringeren Voraussetzungen zulässig als in den übrigen Befugnisnormen. Das Merkmal der allgemeinen Zugänglichkeit wird hierbei in enger Anlehnung an die Informationsfreiheit gemäß Art. 5 Abs. 1 S. 1 Hs. 2 GG ausgelegt, wonach jeder das Recht hat, „sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten“.124 Nach dem verfassungsrechtlichen Verständnis liegt eine allgemein zugängliche Quelle dann vor, wenn sie „technisch geeignet und bestimmt ist, der Allgemeinheit, d. h. einem individuell nicht bestimmbaren Personenkreis, Informationen zu verschaffen.“125 Als Beispiele für allgemein zugängliche Quellen nennt das BVerfG „Zeitungen und andere Massenkommunikationsmittel“126 . Ähnlich dem verfassungsrechtlichen Verständnis sind nach der Legaldefinition des § 10 Abs. 5 S. 2 BDSG solche personenbezogenen Daten allgemein zugänglich, „die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann“.
120
BVerfGE 65, S. 1, 44 ff.; dazu näher oben Erster Teil § 3 III. 1. Cornelius, in: Leupold/Glossner, Rn. 257; Heghmanns, in: Achenbach, Rn. 93. 122 Dazu oben Erster Teil § 2 II. 2. b) bb). 123 Dazu oben § 2 II. 5. c) aa). 124 Vgl. Gola/Schomerus, § 14 Rn. 19, § 28 Rn. 32; Simitis/Simitis, § 28 Rn. 150 ff.; Taeger/ Gabel/Taeger, § 28 BDSG Rn. 81. 125 BVerfGE 27, S. 71, 83. 126 BVerfGE 27, S. 71, 83. 121
§ 10 Straftatbestände
139
Die allgemeine Zugänglichkeit von personenbezogenen Daten soll dann entfallen, wenn rechtliche Voraussetzungen bestehen, nach denen nur noch ein beschränkter Personenkreis Zugang erhalten kann.127 a) Einschränkung durch berechtigtes Interesse So gelten personenbezogene Daten aus öffentlichen Registern, deren Einsicht von einem berechtigten Interesse abhängt, nicht als allgemein zugänglich.128 Der 1. Strafsenat des BGH hat dazu ausgeführt, dass es mit dem Sprachgebrauch nicht vereinbar wäre, „solche öffentlichen Register als ‚allgemein zugänglich‘ einzuordnen, auf die der Informationsbedürftige – von Öffnungszeiten, Gebühren, Anmeldung usw. abgesehen – nicht uneingeschränkt zugreifen kann.“129 Ob eine allgemeine Zugänglichkeit bei der Zugangsvoraussetzung eines berechtigten Interesses gegeben ist, war bezüglich des zuvor in § 43 BDSG verwendeten Kriteriums der „Offenkundigkeit“ noch umstritten gewesen.130 Das Kriterium der allgemeinen Zugänglichkeit war im dritten BDSG an die Stelle der Offenkundigkeit getreten.131 So hatte die Rechtsprechung Daten in öffentlichen Registern, die bei Darlegung eines berechtigten Interesses eingesehen werden konnten, zunächst als offenkundig angesehen.132 Durch das neue Kriterium der allgemeinen Zugänglichkeit sollte sichergestellt werden, dass nur Handlungen von der Ordnungswidrigkeit und Strafbarkeit ausgenommen werden, die sich auf Daten beziehen, „die von jedermann zur Kenntnis genommen werden können, ohne dass der Zugang aus Gründen des Persönlichkeitsschutzes rechtlich beschränkt ist.“133 Zwar sollte durch die Ersetzung der Begrifflichkeiten kein Bedeutungswandel, wohl aber eine Klarstellung erfolgen.134 b) Sonstige rechtliche Zugangsbeschränkungen Jüngst hat der 1. Strafsenat des BGH zu den §§ 43, 44 BDSG entschieden, dass jede rechtliche Beschränkung des Zugangs zu Daten deren allgemeine Zugänglichkeit ausschließt.135 Dabei käme es nicht darauf an, dass die Zugangsbeschränkung aus Gründen des Persönlichkeitsschutzes bestehe. Im zugrunde liegenden Fall waren die Positionsdaten 127
Vgl. Taeger/Gabel/Taeger, § 28 Rn. 81. Gola/Schomerus, § 28 Rn. 32; Simitis/Simitis, § 28 Rn. 153; Taeger/Gabel/Taeger, § 28 Rn. 85. 129 BGH RDV 2003, S. 139, 140 zur allgemeinen Zugänglichkeit personenbezogener Daten aus dem Fahrzeugregister. 130 Bär, in: Roßnagel, Rn. 26; Pätzel, NJW 1999, S. 3246 f.; Weichert, NStZ 1999, S. 490 ff. 131 Dazu oben Erster Teil § 3 IV. 2. 132 Zu aus Fahrzeugregistern abrufbaren Fahrzeug- und Halterdaten als offenkundige Daten HansOLG Hamburg NStZ 1998, S. 358 f.; BayObLG NJW 1999, S. 1727; ähnlich BGH NStZ 2000, S. 596, 597; anders dann aber BGH RDV 2003, S. 139, 140; BGH NJW 2013, S. 2530, 2533. 133 BT-Drs. 14/4329, S. 59; dazu BGH NJW 2013, S. 2530, 2533 m. w. N. 134 BT-Drs. 14/5793, S. 64; Bär, in: Roßnagel, Rn. 25. 135 BGH NJW 2013, S. 2530, 2533: „Allgemein zugänglich sind diejenigen Daten, die von jedermann zur Kenntnis genommen werden können, ohne dass der Zugang zu den Daten rechtlich beschränkt ist [ . . . ]. Rechtliche Schranken jedweder Art des Zugangs zu den Daten, auch wenn die rechtlichen Hürden nicht besonders hoch sind und mittels Falschangaben einfach umgangen werden können, schließen die allgemeine Zugänglichkeit aus.“ 128
140
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
eines Fahrzeugs mittels eines GPS-Empfängers erhoben worden. Der BGH stellte auf die notwendigerweise mit einer Eigentumsverletzung verbundene Anbringung des GPSEmpfängers an das Fahrzeug ab, um die allgemeine Zugänglichkeit der Daten abzulehnen.136 Zu beachten ist, dass das Bezugsobjekt der allgemeinen Zugänglichkeit die einem personenbezogenen Datum innewohnende Information und nicht etwa eine bestimmte Quelle ist.137 Wer etwa durch eine Anfrage bei einem öffentlichen Register durch falsche Angaben das Geburtsdatum einer Schlagersängerin in Erfahrung bringt, das auch im PromiGeburtstagskalender einer am Kiosk erhältlichen Illustrierten vermerkt ist, erhebt hierdurch trotz Überwindung einer Zugangsbeschränkung lediglich ein allgemein zugängliches Datum. Unter diesem Gesichtspunkt fragt sich, ob in dem vom BGH entschiedenen Fall die Positionsdaten des Fahrzeuges tatsächlich nicht allgemein zugänglich waren. Denn zumindest hinsichtlich der Bewegung im öffentlichen Straßenverkehr wäre es einem uneingeschränkten Personenkreis grundsätzlich ohne Überwindung rechtlicher Hürden möglich gewesen, die Bewegungen des Fahrzeugs nachzuverfolgen. Der BGH sah die betroffenen Daten dennoch nicht als allgemein zugänglich an, sondern betrachtete die „Anbringung eines GPS-Empfängers als notwendige technische Voraussetzung für die Gewinnung der Personenbezug aufweisenden Geodaten“138 . Im Ergebnis ist dies überzeugend. Auch wenn man die Zielpersonen im Straßenverkehr beobachten und ihnen nachfahren konnte, so wäre eine präzise Erhebung der Standortinformationen nicht auf die gleiche Weise möglich gewesen wie durch den angebrachten GPS-Empfänger. Eine punktgenaue Beschattung rund um die Uhr wird je nach Einzelfall kaum zu bewerkstelligen sein. Es ist überaus wahrscheinlich, dass bei einer umfassenden Beschattung Situationen entstehen, in denen der Standort des Zielobjektes nicht präzise und zuverlässig bestimmt werden kann. 2. Kritische Würdigung Der Tatbestandsausschluss bei Vorliegen von allgemein zugänglichen Daten ist von erheblicher Bedeutung für das Spektrum der strafbaren Handlungen insgesamt. Der 1. Strafsenat des BGH betonte zuletzt, dass über dieses Merkmal der „Informationsfreiheit desjenigen Rechnung getragen werden [solle], der Daten erhebt und verarbeitet.“139 Das Merkmal ist vor dem Hintergrund der „Spannungslage zwischen Individuum und Gemeinschaft im Sinne der Gemeinschaftsbezogenheit und -gebundenheit der Person“140 und ihrer Daten zu betrachten.
136
BGH NJW 2013, S. 2530, 2534. BGH NJW 2013, S. 2530, 2533; Bär, in: Roßnagel, Rn. 25; Simitis/Ehmann, § 43 Rn. 54; vgl. auch BVerfGE 103, S. 44, 60. 138 BGH NJW 2013, S. 2530, 2533 f. 139 BGH NJW 2013, S. 2530, 2533; vgl. auch Klas, S. 10 ff. 140 So die Formulierung in BGH NJW 2009, S. 2888, 2891. 137
§ 10 Straftatbestände
141
So wie es für die strafbare Beschaffung von Informationen bei den §§ 201 ff. StGB charakteristisch ist, dass diese unter der Überwindung von gewissen Hindernissen erfolgt,141 ist bei §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG die fehlende allgemeinen Zugänglichkeit Voraussetzung. Aufgrund dieser Parallele verwundert es nicht, dass das frühere Merkmal der Offenkundigkeit mit dem „quasi-räumlichen Schutzverständnis“142 der Sphärentheorie143 in Verbindung gebracht wurde. Die Voraussetzung der fehlenden allgemeinen Zugänglichkeit (bzw. früher Offenkundigkeit) setzt gerade dort an, wo bei den §§ 201 ff. StGB die Überwindung von (räumlichen) Sphären des Privaten notwendig ist. Mit seiner Feststellung, dass „[r]echtliche Schranken jedweder Art des Zugangs zu den Daten“ die allgemeine Zugänglichkeit ausschließen, hat der BGH die Höhe der zu überwindenden Hürden für eine Strafbarkeit im Datenschutzrecht zuletzt niedrig angesetzt.144 Ein Eingriff in die Privatsphäre ist danach nicht erforderlich. Gleichwohl kann der private Bereich einer Person rechtliche Zugangshürden mit sich bringen, deren Überwindung die allgemeine Zugänglichkeit von Daten entfallen lässt.
IV. Erfasste Tathandlungen Die strafbedrohten Handlungen ergeben sich aus dem Katalog bußgeldbedrohter materiell-rechtlicher Datenschutzverstöße in § 43 Abs. 2 BDSG. Um das Spektrum der Handlungen leichter überblicken zu können, sollen diese hier anhand der grundlegenden Datenverarbeitungsphasen nach dem BDSG dargestellt werden: Der Erhebung (§ 3 Abs. 3 BDSG), Verarbeitung (§ 3 Abs. 4 BDSG) und Nutzung (§ 3 Abs. 5 BDSG) personenbezogener Daten. Die strafbedrohten Handlungen in § 43 Abs. 2 Nr. 1–5 und Nr. 5b BDSG lassen sich diesen Kategorien zuordnen. Am weitesten geht hierbei § 43 Abs. 2 Nr. 1 BDSG, der das unbefugte Erheben und Verarbeiten personenbezogener Daten vollständig umfasst.145 Aufgrund der großen Reichweite des § 43 Abs. 2 Nr. 1 BDSG lassen sich die weiteren Ziffern des § 43 Abs. 2 BDSG, die an den missbräuchlichen Umgang mit Daten anknüpfen, weitgehend als Spezialfälle dieser Vorschrift verstehen. Zudem sind in § 43 Abs. 2 Nr. 2, Nr. 5a, Nr. 6 und Nr. 7 BDSG Handlungen mit Sanktionen bedroht, die sich nicht unter die Kategorien Erhebung, Verarbeitung und Nutzung fassen lassen. Diese werden daher gesondert behandelt. 1. Erheben Das Erheben von Daten wird in § 43 Abs. 2 Nr. 1 Var. 1, Nr. 3 und Nr. 4 BDSG als Tathandlung erfasst. 141 LK/Schünemann, 12. Aufl., Vor §§ 201 Rn. 6; vgl. auch oben Erster Teil § 2 II. 2. a). Beispiele für diese Hindernisse sind die besondere Sicherung gegen unberechtigten Zugang in § 202a Abs. 1 StGB und die Grenzen der Wohnung oder eines gegen Einblick besonders geschützten Raums in § 201a Abs. 1 Nr. 1 StGB. 142 Weichert, NStZ 1999, S. 490. 143 Vgl. zum Schutz von Persönlichkeitsrechten anhand sozialer Sphärenmodelle v. Lewinski, Matrix, S. 35 ff. 144 BGH NJW 2013, S. 2530, 2533. 145 Zur Ausweitung der Vorschrift durch das dritte BDSG oben Erster Teil § 3 IV. 2.
142
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
a) Allgemein § 43 Abs. 2 Nr. 1 Var. 1 BDSG umfasst das Erheben von personenbezogenen Daten im Allgemeinen. Unter Erheben ist gemäß § 3 Abs. 3 BDSG das „Beschaffen von Daten über den Betroffenen“ zu verstehen. Der tatbestandliche Erfolg besteht darin, dass „die erhebende Stelle Kenntnis von den betreffenden Daten erhält oder Verfügung über diese begründet.“146 Auf die Form der Beschaffung kommt es hierbei nicht an. Bereits die geistige Aufnahme von Informationen etwa durch Einsicht von Unterlagen ist ausreichend.147 Bei der Beschaffung muss die verantwortliche Stelle willentlich und zielgerichtet tätig sein.148 Es reicht für eine Erhebung daher nicht aus, wenn personenbezogene Informationen etwa lediglich durch einen beiläufigen Blick auf einen Computerbildschirm wahrgenommen und geistig aufgenommen werden.149 Auch eine unaufgeforderte, praktisch aufgedrängte, Zusendung von personenbezogenen Daten an eine verantwortliche Stelle bedeutet keine Erhebung durch diese.150 Sehr wohl eine Erhebung ist es aber, wenn personenbezogene Daten zielgerichtet für einen bestimmten Zweck entgegengenommen werden.151 So ist es beispielsweise eine Erhebung von personenbezogenen Daten, wenn eine Steuerbehörde gezielt Datenträger mit Informationen über die Kunden von Schweizer Banken ankauft.152 Daher liegt auch in Fall 1153 eine Erhebung personenbezogener Daten durch den D vor, der das Zielpublikum seines sozialen Netzwerkes dazu auffordert, sich zur registrieren und in der Folge die personenbezogenen Daten der Nutzer entgegennimmt. Keine Voraussetzung für eine Erhebung ist die weitere Nutzung der beschafften Daten. Die Erhebung von Daten ist unabhängig von ihrer etwaigen Speicherung zu beurteilen.154 b) Sonderfall Verschaffen § 43 Abs. 2 Nr. 3 Var. 2 BDSG umfasst das Verschaffen von personenbezogenen Daten aus automatisierten Verarbeitungen oder nicht automatisierten Dateien für sich oder einen anderen. Es handelt sich um einen Unterfall des Erhebens, wie schon aus der Definition des Erhebens in § 3 Abs. 3 BDSG („Beschaffen von Daten über den Betroffenen“) deutlich wird.155
146
Simitis/Dammann, § 3 Rn. 102. Gola/Schomerus, § 3 Rn. 24; Simitis/Dammann, § 3 Rn. 106. 148 Plath/Plath/Schreiber, § 3 Rn. 30; Schaffland/Wiltfang, BDSG § 3 Rn. 105; Simitis/Dammann, § 3 Rn. 102. 149 Simitis/Dammann, § 3 Rn. 110. 150 Wolff/Brink/Schild, § 3 Rn. 52. 151 Taeger/Gabel/Buchner, § 3 Rn. 26; vgl. auch Simitis/Ehmann, § 43 Rn. 65; Wolff/Brink/ Holländer, § 43 Rn. 52. 152 Anders Klengel/Gans, ZRP 2013, S. 13, 17, die in dem Ankauf der Datenträger kein selbstständiges Tätigwerden der verantwortlichen Stelle sehen. 153 Oben II. 2. 154 Simitis/Dammann, § 3 Rn. 106. 155 Vgl. Cornelius, in: Leupold/Glossner, Rn. 266. 147
§ 10 Straftatbestände
143
Das Merkmal des Verschaffens ist nicht gesetzlich definiert. Nach Ehmann fällt darunter das Zur-Kenntnis-Nehmen von personenbezogenen Daten oder die „Herstellung eines Zustandes, der es dem Täter erlaubt, die Daten später zur Kenntnis zu nehmen, sie zu nutzen oder sonst über sie zu verfügen, ohne dass die verantwortliche Stelle ihn daran noch hindern kann.“156 Ebenso wie bei der Erhebung wird hier ein zielgerichtetes und willentliches Handeln der verantwortlichen Stelle vorausgesetzt.157 Wie aus diesen Definitionen hervorgeht, umfasst das Verschaffen von Daten keinen weiteren Fall als das Erheben. Im Gegensatz zum Erheben wird der Begriff des Verschaffens von Daten auch im StGB verwendet. Dort bezieht er sich jedoch nicht auf personenbezogene Daten, sondern auf Daten im Sinne des § 202a Abs. 2 StGB.158 Nach § 202b StGB wird bestraft, „[w]er unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft“. Für ein Verschaffen in diesem Sinne soll, ähnlich wie bei § 43 Abs. 2 Nr. 3 Var. 2 BDSG, die Kenntnisnahme von Daten ausreichen.159 § 202a Abs. 1 StGB stellt (insofern anders als § 43 Abs. 2 Nr. 3 Var. 2 BDSG) über die Kenntnisnahme hinaus das Verschaffen von Zugang zu Daten unter Strafe, die nicht für den Täter bestimmt und die gegen unberechtigten Zugang besonders gesichert sind. c) Sonderfall Abruf § 43 Abs. 2 Nr. 3 Var. 1 BDSG umfasst das Abrufen von personenbezogenen Daten. Der Begriff des Abrufs ist im Gesetz ebenfalls nicht definiert.160 Es handelt sich um einen Spezialfall des gezielten Sich-Verschaffens von Daten, die in einer automatischen Datenverarbeitungsanlage gespeichert sind mit Hilfe technischer Mittel.161 Dementsprechend ergibt sich die Definition des Abrufens aus der Ergänzung dieser Elemente. Nach Ehmann liegt ein Abruf vor, wenn „Daten, die in einer automatischen Datenverarbeitungsanlage gespeichert sind, durch Eingabe oder Aktivierung von Programmbefehlen“162 durch den Empfänger unmittelbar wahrnehmbar gemacht oder auf eine Weise in die eigene Verfügungsgewalt gebracht werden, dass sie später wahrgenommen oder genutzt werden können.163
156
Simitis/Ehmann, § 43 Rn. 64; ähnlich Taeger/Gabel/Mackenthun, § 43 Rn. 56. Simitis/Ehmann, § 43 Rn. 65; DKWW/Klebe, § 43 Rn. 17. 158 Vgl. zur strafbaren Verschaffung von Informationen auch §§ 202 Abs. 1 Nr. 2, Abs. 2, 206 Abs. 2 Nr. 1 StGB. 159 Entwurf der Bundesregierung eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität vom 30. November 2006, BT-Drs. 16/3656, S. 11: „Es ist nicht erforderlich, dass die maßgeblichen Daten abgespeichert oder aufgezeichnet werden. Vielmehr genügen zum Beispiel bei Telefongesprächen das Mithören und bei E-Mails die bloße Kenntnisnahme.“; vgl. dazu Schönke/ Schröder/Eisele, § 202b Rn. 7. 160 § 3 Abs. 4 S. 2 Nr. 2 lit. b) BDSG erwähnt jedoch in der Definition des Übermittelns das Abrufen. 161 Heghmanns, in: Achenbach, Rn. 102; Simitis/Ehmann, § 43 Rn. 60. 162 Simitis/Ehmann, § 43 Rn. 61. 163 Ähnlich Wolff/Brink/Holländer, § 43 Rn. 51. 157
144
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
aa) Vorverlagerung des Abrufs Das OLG Bamberg hat es zuletzt nicht als Voraussetzung für den Abruf personenbezogener Daten angesehen, dass diese zur Kenntnis genommen werden oder Verfügungsgewalt über diese begründet wird. Ein Abruf sei bereits mit der Ausführung einer Abfrage von Daten vollendet, auch wenn dies nicht zu einer Verschaffung dieser führe.164 Den Begriff des Abrufs so weit auszudehnen, dass er schon bei einer erfolglosen Anfrage erfüllt ist, ist aber mit dem Wortsinn von § 43 Abs. 2 Nr. 3 Var. 1 BDSG (wie auch von Art. 37 Abs. 1 Nr. 3 BayDSG) nicht vereinbar. Dass ein Abruf eine erfolgreiche Abfrage voraussetzt, ergibt sich auch im Umkehrschluss aus § 3 Abs. 4 S. 2 Nr. 2 lit. b) BDSG: Demnach ist ein Abruf die Voraussetzung einer erfolgreichen Übermittlung. Zudem entspricht es dem Schutzzweck der Norm, vor dem Erfolg des Missbrauchs personenbezogener Daten zu schützen. Der Gesetzgeber hat auf die Normierung einer Versuchsstrafbarkeit gerade verzichtet. Wo keine personenbezogenen Daten in die Sphäre des Täters gelangen, kann also auch kein Abruf erfolgen. Im Gegensatz zu den allgemeineren Begriffen des Erhebens und Verschaffens ist der Abruf notwendigerweise durch einen aktiven Eingriff in die Datenverarbeitung gekennzeichnet, durch den personenbezogene Daten „in Bewegung versetzt“165 werden.166 bb) Voraussetzung einer Abrufeinrichtung In der Literatur ist umstritten, ob es Voraussetzung eines Abrufs ist, dass die betreffenden Daten über eine dafür vorgesehene Einrichtung zum Abruf bereit stehen.167 Ein unbefugter Abruf über eine dafür vorgesehene Einrichtung kann beispielsweise dann vorliegen, wenn eine nicht autorisierte Person sich Adressdaten über die Abfrage eines digitalen Melderegisters verschafft. Ein Abruf auf dafür nicht vorgesehenem Wege erfasst etwa Hacker-Angriffe, die Sicherheitslücken ausnutzen, um an Daten aus nicht zur Abfrage vorgesehenen Systemen zu gelangen. Man kann die Sanktionsbedrohung des Abrufs als Gegenstück zu jener des unbefugten Bereithaltens zum Abruf in § 43 Abs. 2 Nr. 2 BDSG168 ansehen. Begrifflich setzt ein „Abruf“ dennoch kein Bereithalten durch einen anderen in diesem Sinne voraus.169 Dies wird deutlich, wenn man ihn im Zusammenhang mit dem weiten Überbegriff des Sich-Verschaffens liest. Dass der Abruf als Tathandlung in § 43 Abs. 2 BDSG mit einbezogen ist, beruht auf der „spezifischen Gefährdung der in EDV-Anlagen gespeicherten Daten“170 . Um dieser Gefährdung gerecht zu werden, muss er auch auf Handlungen bezogen sein, die sich nicht in der Überschreitung der Befugnis zum Abruf aus einer dafür prinzipiell vorhergesehenen Einrichtung erschöpfen. Im Ergebnis kann daher für einen Abruf nicht Voraussetzung sein, dass die betreffenden Daten über eine dafür vorgesehene Einrichtung zum Abruf bereit stehen. 164
OLG Bamberg NStZ-RR 2011, S. 27, 28 (zu Art. 37 Abs. 1 Nr. 3 BayDSG). Simitis/Ehmann, § 43 Rn. 62. 166 Vgl. auch Hagemeier, HRRS 2011, S. 72, 78. 167 Dagegen Simitis/Ehmann, § 43 Rn. 61; Taeger/Gabel/Mackenthun, § 43 Rn. 55; Wolff/Brink/ Holländer, § 43 Rn. 51; dafür Heghmanns, in: Achenbach, Rn. 101. 168 Dazu unten 3. d). 169 So auch Simitis/Ehmann, § 43 Rn. 61. 170 Simitis/Ehmann, § 43 Rn. 61. 165
§ 10 Straftatbestände
145
d) Sonderfall Erschleichen § 43 Abs. 2 Nr. 4 BDSG betrifft das Erschleichen der Übermittlung von personenbezogenen Daten durch unrichtige Angaben. Dies würde etwa den Fall umfassen, dass ein Betrüger sich bei einem Telefonanruf als Vertreter einer Kreditkartenfirma ausgibt, um so von seinem Gesprächspartner dessen Kreditkartennummer zu erfahren. Die Voraussetzung des Erschleichens durch unrichtige Angaben umfasst Täuschungen jeglicher Art.171 Die Erregung eines Irrtums bei einem menschlichen Gegenüber ist dadurch nicht Voraussetzung. So ist der Tatbestand bereits erfüllt, wenn der Täter der verantwortlichen Stelle durch seine Angaben konkludent eine falsche Identität oder eine nicht vorhandene Zugriffsberechtigung vorspiegelt.172 Dies ist etwa der Fall, wenn Hacker sich mit dem korrekten Passwort, aber ohne persönlich dazu befugt zu sein, Zugriff auf ein Computersystem verschaffen.173 Letztlich bringt der Täter auch durch das Erschleichen nach § 43 Abs. 2 Nr. 4 BDSG personenbezogene Daten in seine Verfügungsgewalt, so dass es sich um einen Spezialfall des Erhebens bzw. Sich-Verschaffens von Daten handelt.174 Bei ihrer Einführung war die Vorschrift als Handhabe für die Handlungen insbesondere von Hackern begründet worden.175 e) Kritische Würdigung Die Regelung der Strafbarkeit des Erhebens von personenbezogenen Daten in §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1, Nr. 3 und Nr. 4 BDSG ist übermäßig kompliziert. Letztlich lassen sich § 43 Abs. 2 Nr. 3 und Nr. 4 als Formen des Erhebens von personenbezogenen Daten unter § 43 Abs. 2 Nr. 1 Var. 1 BDSG subsumieren. Die gesonderte Regelung des Erschleichens der Übermittlung personenbezogener Daten wird zurecht als „symbolisch“176 bzw. „plakativ“177 angesehen. Durch die redundante Regelung der Strafbarkeit der Erhebung personenbezogener Daten verliert der Katalog strafbarer Handlungen an Übersichtlichkeit. Er sollte daher perspektivisch gekürzt werden.178 2. Verarbeiten Die Verarbeitung von personenbezogenen Daten wird in § 43 Abs. 2 Nr. 1 Var. 2 und Nr. 5b BDSG als Tathandlung erfasst.
171 Gola/Schomerus, § 43 Rn. 23. Ähnlich weit wird der Begriff des Erschleichens i. S. d. § 265a Abs. 1 StGB als „Herbeiführung eines Erfolgs auf unrechtmäßigem, unlauterem oder unmoralischem Wege“ durch eine täuschungsähnliche Handlung verstanden; vgl. BGH NJW 2009, S. 1091. 172 Wolff/Brink/Holländer, § 43 Rn. 53. 173 Bär, in: Roßnagel, Rn. 56; Gola/Schomerus, § 43 Rn. 23. 174 So auch Heghmanns, in: Achenbach, Rn. 100, 103; Simitis/Ehmann, § 43 Rn. 66; Wolff/Brink/ Holländer, § 43 Rn. 52.2. 175 BT-Drs. 11/4306, S. 55; dazu auch oben Erster Teil § 3 III. 2. b). 176 Heghmanns, in: Achenbach, Rn. 103. 177 Simitis/Ehmann, § 43 Rn. 66. 178 Dazu näher unten Dritter Teil § 16 III.
146
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
a) Allgemein § 43 Abs. 2 Nr. 1 Var. 2 BDSG umfasst als Tathandlung das Verarbeiten von personenbezogenen Daten im Allgemeinen. Verarbeiten ist gemäß § 3 Abs. 4 S. 1 BDSG „das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten“. Diese Begrifflichkeiten werden im Einzelnen in § 3 Abs. 4 S. 2 BDSG definiert. aa) Speichern Speichern ist „das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung“ (§ 3 Abs. 4 S. 2 Nr. 1 BDSG). Darunter fällt etwa das schriftliche Festhalten von Daten auf Papier als Datenträger, ihre Fixierung durch verschiedene Aufnahmetechniken wie Tonband und Video und auch das Vorrätighalten von bereits festgehaltenen Daten.179 Keine Speicherung von Daten ist eine bloße menschliche Gedächtnisleistung, also etwa das Memorieren von Daten.180 bb) Verändern Verändern ist „das inhaltliche Umgestalten gespeicherter personenbezogener Daten“ (§ 3 Abs. 4 S. 2 Nr. 2 BDSG). Ob die Daten in elektronischer oder sonstiger Form vorliegen ist gleichgültig, solange der Anwendungsbereich des BDSG einschlägig ist. Es kommt nicht entscheidend darauf an, ob die äußere Form der Daten geändert wird, sondern ob sich ihr Informationswert ändert.181 Auch durch die Verknüpfung von Daten kann eine Veränderung dadurch erfolgen, dass ein neuer Informationswert entsteht.182 Die Begriffsbestimmung des § 3 Abs. 4 S. 2 Nr. 2 BDSG wird im Übrigen auch zur Definition des Begriffs der Veränderung von Daten gemäß § 303a Abs. 1 StGB herangezogen.183 Ein Beispiel für das Verändern von personenbezogenen Daten ist das Ableiten von Prognosen für das zukünftige Verhalten einer Person aus Informationen über das vergangene Verhalten dieser Person, etwa im Rahmen von Scoring.184 Durch die Verknüpfung verschiedener Informationen über eine Person wird ein neuer Informationswert erzeugt, der etwa Aufschluss über die (mutmaßliche) Kreditwürdigkeit der Person gibt. cc) Übermitteln Übermitteln ist „das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Drit179 Gola/Schomerus, § 3 Rn. 26 f. Für nicht-öffentliche Stellen ist hier die Beschränkung des Anwendungsbereichs des Gesetzes auf automatisierte Datenverarbeitung und nicht automatisierte Dateien gemäß § 1 Abs. 2 Nr. 3 BDSG zu beachten; dazu näher oben § 9 IV. Eine Fixierung von Daten auf einem Blatt Papier würde hier also nicht ausreichen. 180 Tinnefeld, 2012, S. 231. 181 Gola/Schomerus, § 3 Rn. 30; Tinnefeld, 2012, S. 231. 182 Gola/Schomerus, § 3 Rn. 30. 183 NK/Zaczyk, § 303a Rn. 10. 184 Auernhammer/Eßer, § 3 Rn. 54; Taeger/Gabel/Buchner, § 3 Rn. 32; vgl. auch unten Vierter Teil § 16 II. 1.
§ 10 Straftatbestände
147
ten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft“ (§ 3 Abs. 4 S. 2 Nr. 3 BDSG). Als Weitergabe ist „jede Handlung, durch die die in den Daten enthaltenen Informationen in den Bereich des Adressaten gelangen, gleichgültig, wie dies im einzelnen geschieht“ zu verstehen.185 Auch die Einsicht in oder der Abruf von bereit gehaltenen Daten setzt voraus, dass der Empfänger Kenntnis von diesen oder Verfügungsmacht über diese erhält. Dies ergibt sich schon aus der Voraussetzung des Bekanntgebens in § 3 Abs. 4 S. 2 Nr. 2 BDSG. Zudem ergibt sich dies im Umkehrschluss aus § 43 Abs. 2 Nr. 2 BDSG, der als Vorfelddelikt das Bereithalten von Daten zum Abruf sanktioniert, ohne dass ein Abruf tatsächlich erfolgen muss. Diese Regelung ist nur vor dem Hintergrund sinnvoll, dass im Falle der Übermittlung nach § 43 Abs. 2 Nr. 1 BDSG die Begründung der Verfügungsmacht oder das Erlangen von Kenntnis vorausgesetzt ist. Auch die Bekanntgabe von Daten an einen unbestimmten Personenkreis ist eine Übermittlung.186 Von einer Übermittlung dieser Art handelt der folgende Fall. Fall 2: Akten im Abfall A arbeitet in einer privaten Agentur für Arbeitsvermittlung. Da sich die Regale der Agentur unter der Last vieler Akten biegen, beschließt A, die Unterlagen einiger Arbeitssuchender, von denen er länger nichts mehr gehört hat, zu entsorgen. Die betreffenden Akten enthalten geordnete Angaben zu den Qualifikationen, bisherigen Tätigkeiten und Vermittlungspräferenzen der Arbeitssuchenden sowie eine Dokumentation der bisherigen Vermittlungsversuche durch die Agentur. A möchte ein Datenvernichtungsunternehmen beauftragen, um die Akten loszuwerden. Als er aber die Preise für die Datenvernichtung eines Anbieters liest, nimmt er von dem Vorhaben Abstand. Dieses Geld möchte er lieber sparen. Er nimmt daher die Akten, stopft sie in einen blauen Sack und wirft sie nach Feierabend auf dem Heimweg in einen offenen Müllcontainer auf der Straße. Am nächsten Tag findet dort der O den Sack mit den Akten und nimmt ihn mit zu sich nach Hause.
Die Akten enthielten personenbezogene Daten. Diese gab der A bekannt, indem er sie unsachgemäß in einem öffentlichen Müllbehälter entsorgte, wo sie von dem O als einem Dritten gefunden wurden.187 Eine Übermittlung war in dem vorliegenden Fall spätestens damit gegeben, dass der O als Unbeteiligter die Akten auffand.188 Dadurch wurde er zu einem Adressaten, in dessen Bereich die Daten gelangten. dd) Sperren und Löschen Sperren ist „das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken“ (§ 3 Abs. 4 S. 2 Nr. 4 BDSG). Löschen ist „das Unkenntlichmachen gespeicherter personenbezogener Daten“ (§ 3 Abs. 4 S. 2 Nr. 5 BDSG). Voraussetzung ist, dass die in den Daten enthaltene Information nach der Löschung der verantwortlichen Stelle nicht mehr zur Verfügung steht, sie also unwiederbringlich verloren ist.189 Wie beim Verändern wird das entsprechende Merkmal des 185
KG Berlin BeckRS 1998, 15395 Rn. 15; Simitis/Dammann, § 3 Rn. 146. BVerfG NVwZ 1990, S. 1162; OVG Lüneburg NJW 1992, S. 192, 195: „intensivste Form einer Übermittlung“; Gola/Schomerus, § 3 Rn. 33. 187 Vgl. LfDI RP, Bericht 2010/2011, S. 87; Gola/Schomerus, § 43 Rn. 20. 188 LDA Bayern, Bericht 2011/2012, S. 97. 189 Gola/Schomerus, § 3 Rn. 40. 186
148
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
§ 303a Abs. 1 StGB an die Terminologie des BDSG angelehnt.190 Zum Teil können das Sperren und Löschen von Daten mit einer Veränderung i. S. d. § 3 Abs. 4 S. 2 Nr. 2 BDSG einhergehen.191 So kann eine Sperrung eines Datensatzes bedeuten, dass die Berechtigung einer Person, eine Leistung zu erhalten, entfällt, für die die Verarbeitung dieser Daten erforderlich wäre. Auch eine Löschung kann den Informationswert eines Datums berühren.192 b) Werbung, Markt- und Meinungsforschung § 43 Abs. 2 Nr. 5b BDSG umfasst als Tathandlung die Verarbeitung von personenbezogenen Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, obwohl der Betroffene dem gegenüber der verantwortlichen Stelle gemäß § 28 Abs. 4 S. 1 BDSG widersprochen hat. Damit liegt ein spezieller Tatbestand einer unbefugten Verarbeitung vor. c) Kritische Würdigung Bei der Untersuchung der Strafbarkeit der Verarbeitung von personenbezogenen Daten fällt die Vielzahl der umfassten Handlungen auf. So kann beispielsweise die Entsorgung von Bewerbungsunterlagen im Hausmüll eine straf- bzw. zumindest bußgeldbedrohte Handlung sein.193 Für einen datenschutzrechtlichen Laien wird sich dies aus der Lektüre der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG nicht auf Anhieb ergeben.194 Erst die Bestimmung des Begriffs der Datenverarbeitung in § 3 Abs. 4 BDSG gibt Aufschluss über die Weite des Begriffs.195 Eine deutlichere und eigenständigere Umschreibung der umfassten Tathandlungen ist vor diesem Hintergrund angezeigt.196 3. Nutzen Die Nutzung personenbezogener Daten ist nach § 43 Abs. 2 Nr. 5, Nr. 5b und Nr. 2 BDSG sanktionsbedroht. a) Allgemein Im Gegensatz zur Erhebung und Verarbeitung von personenbezogenen Daten steht ihre unbefugte Nutzung nicht umfänglich unter Bußgeld- und Strafandrohung. Eine entsprechende Änderung des § 43 Abs. 2 Nr. 1 BDSG war im Vorfeld der Novellierung des BDSG 2009 diskutiert worden. Die Bundesregierung hatte eine umfassende Bedrohung 190
NK/Zaczyk, § 303a Rn. 7. Erbs/Kohlhaas/Ambs, § 3 BDSG Rn. 22. 192 Gola/Schomerus, § 3 Rn. 31 nennt als Beispiel die Löschung der Angabe der Religionszugehörigkeit im Melderegister, die gleichzeitig besagt, dass die Kirchensteuerpflicht des Betroffenen entfällt. 193 Zur Bußgeldpraxis diesbezüglich unten Dritter Teil § 11 VI. 2. a). 194 Vgl. Herb, S. 183 ff. 195 Näher zu der impliziten Verweisung auf die Legaldefinition unten V. 1. 196 Dazu näher unten Vierter Teil §§ 15 III. 2. und 16 III. 191
§ 10 Straftatbestände
149
der Nutzung in § 43 Abs. 2 Nr. 1 BDSG mit Bußgeld (und unter den Voraussetzungen des § 44 Abs. 1 BDSG mit Strafe) jedoch als unverhältnismäßig abgelehnt.197 Gemäß § 3 Abs. 5 BDSG ist Nutzen „jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt“. Wie aus dieser Formulierung hervorgeht, hat der Begriff des Nutzens von Daten gegenüber der Verarbeitung dieser eine Auffangfunktion – ein Nutzen ist anzunehmen „wenn die Verwendung der Daten keiner der Phasen der Verarbeitung von Daten zugewiesen werden kann.“198 Erfasst sein soll in diesem Rahmen „jeder zweckbestimmte ‚Gebrauch‘“199 von Daten wie z. B. ihre Zurkenntnisnahme und Auswertung, wenn sie bereits bei der verantwortlichen Stelle gespeichert sind.200 Auch die Vervielfältigung von Daten und ihre Weitergabe an Auftragsdatenverarbeiter fallen unter den Begriff der Nutzung.201 Die Nutzung personenbezogener Daten ist ebenso wie ihre Erhebung und Verarbeitung gemäß § 4 Abs. 1 BDSG grundsätzlich unzulässig. b) Zweckwidrige Nutzung § 43 Abs. 2 Nr. 5 BDSG erfasst die zweckwidrige Nutzung personenbezogener Daten in bestimmten Fällen. Dies knüpft an den datenschutzrechtlichen Zweckbindungsgrundsatz an.202 Die Sanktionsdrohung betrifft denjenigen, dem Daten mit der Bindung an bestimmte Zwecke übermittelt wurden, wenn er diese zu anderen als den bestimmten Zwecken nutzt. Wenn derjenige, der die Daten übermittelt hat, diese selbst zweckwidrig nutzt, begründet dies keine Ordnungswidrigkeit oder Strafbarkeit. Eine zweckwidrige Nutzung gemäß § 43 Abs. 2 Nr. 5 BDSG liegt beispielsweise in folgendem Fall vor: Ein Privatunternehmen übermittelt einer Forschungseinrichtung gemäß § 28 Abs. 2 Nr. 3 BDSG personenbezogenen Daten zu Forschungszwecken. Statt mit den Daten zu forschen werten Mitarbeiter der Forschungseinrichtung die Daten aus, um verschiedenen Personen Spendenbeiträge abzunötigen. Es liegt ein Verstoß gegen § 28 Abs. 5 S. 1 BDSG durch die Mitarbeiter der Einrichtung vor, der nach § 43 Abs. 2 Nr. 5 sanktionsbedroht ist. Kein Bußgeldtatbestand wäre für das Privatunternehmen einschlägig, das die Daten befugt übermittelt hat. Auch eine zweckwidrige Nutzung der Daten durch das Unternehmen selbst wäre nicht strafbar, wenn es diese nicht selbst zweckgebunden übermittelt bekommen hat. Von § 43 Abs. 2 Nr. 5 BDSG erfasst ist die Zweckbindung von Daten, die von einer öffentlichen an eine nicht-öffentliche Stelle übermittelt wurden (§ 16 Abs. 4 S. 1 BDSG), die im nicht-öffentlichen Bereich für eigene oder fremde Geschäftszwecke übermittelt wurden (§§ 28 Abs. 5 S. 1, 29 Abs. 4 BDSG), die einem Berufs- oder besonderen Amtsgeheimnis unterliegen oder von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt wurden (§ 39 Abs. 1 S. 1 BDSG) und die für Zwecke der wissenschaftlichen Forschung erhoben oder gespeichert worden sind (§ 40 Abs. 1 BDSG). Nicht umfasst ist die zweckwidrige Nutzung von personen197 198 199 200 201 202
BT-Drs. 16/12011, S. 52; näher dazu oben Erster Teil § 3 V. 1. Gola/Schomerus, § 3 Rn. 42; ähnlich Tinnefeld, 2012, S. 232. Gola/Schomerus, § 3 Rn. 42. Ansonsten könnte in der Zurkenntnisnahme bereits eine Erhebung liegen, dazu oben 1. a). Gola/Schomerus, § 3 Rn. 42a. Dazu oben Erster Teil § 3 III. 1. und 2.; Zweiter Teil § 5 II. 2.
150
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
bezogenen Daten durch öffentliche Stellen, denen diese von anderen öffentlichen Stellen übermittelt wurden.203 c) Werbung, Markt- und Meinungsforschung § 43 Abs. 2 Nr. 5b BDSG umfasst neben der Verarbeitung204 auch die Nutzung von Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, obwohl der Betroffene dem gegenüber der verantwortlichen Stelle gemäß § 28 Abs. 4 S. 1 BDSG widersprochen hat. d) Zum Abruf bereithalten Auch das Bereithalten von personenbezogenen Daten zum Abruf ist eine Nutzung dieser Daten. Es handelt sich um einen Gebrauch von personenbezogenen Daten, der keiner Phase der Datenverarbeitung zugeordnet werden kann – für eine Übermittlung wäre gemäß § 3 Abs. 4 Nr. 3 lit. b) BDSG ein erfolgter Abruf erforderlich. § 43 Abs. 2 Nr. 2 BDSG bedroht das Bereithalten von personenbezogenen Daten zum Abruf mittels automatisierter Verfahren mit einer entsprechenden Sanktion. Die Einrichtung eines entsprechenden Verfahrens ist damit Voraussetzung für die Tatbegehung. Kennzeichnend für automatisierte Abrufverfahren ist es, „dass sie eine Übermittlung personenbezogener Daten durch Abruf ermöglichen und zwar ohne dass dem jeweiligen Abruf eine Prüfung der Zulässigkeit der Datenübermittlung vorgeschaltet ist.“205 Ein automatisiertes Abrufverfahren sieht beispielsweise das Zentrale Verkehrs-Informationssystem (ZEVIS) des deutschen Kraftfahrt-Bundesamtes vor, über das etwa Straßenverkehrsbehörden Fahrzeug- und Halterdaten abfragen können.206 Wann ein automatisiertes Abrufverfahren zulässig ist, richtet sich nach § 10 Abs. 1 BDSG. Dies ist dann der Fall, „soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist“. Es sind also mit dem Verfahren verbundene Gefährdungen von Persönlichkeitsrechten und der Bedarf nach der Einrichtung des Verfahrens gegeneinander abzuwägen.207 Anders als die mit dem Verfahren ermöglichten Übermittlungsvorgänge ist die Einrichtung des Verfahrens damit nicht grundsätzlich unzulässig.208 Das Verbot mit Erlaubnisvorbehalt in § 4 Abs. 1 BDSG gilt für die Einrichtung automatisierter Abrufverfahren nicht. Wie aus § 3 Abs. 4 S. 2 Nr. 3 b) BDSG deutlich wird, handelt es sich bei dem Bereithalten von Daten zum Abruf um eine Handlung im Vorfeld der Übermittlung von personenbezogenen Daten. Dass eine missbräuchliche Verarbeitung der personenbezogenen Daten tatsächlich stattfindet, ist nicht Voraussetzung. Daher ist § 43 Abs. 2 Nr. 2 BDSG ein
203 204 205 206 207 208
Vgl. Simitis/Ehmann, § 43 Rn. 72. Dazu oben 2. b). Tinnefeld, 2012, S. 252. Der Abruf im automatisierten Verfahren ist hierfür in § 30a StVG speziell geregelt. Gola/Schomerus, § 10 Rn. 11. Anders ist dies nach verschiedenen Landesgesetzen, Gola/Schomerus, § 10 Rn. 1 und 19.
§ 10 Straftatbestände
151
abstraktes Gefährdungsdelikt.209 Dass die Tatbestandsmäßigkeit hier bereits im Vorfeld einer Verarbeitungshandlung vorliegt, hängt damit zusammen, dass „die bereithaltende Stelle das ihrerseits Erforderliche bereits getan hat“210 , damit es zu einer Verarbeitung kommt und die Daten durch das Bereithalten „praktisch offengelegt werden“211 . Ob es konkret zu Abrufen kommen kann, wird im Einzelfall möglicherweise nicht feststellbar sein.212 e) Kritische Würdigung Aufgrund der Auffangfunktion des Merkmals des Nutzens erschiene es bedenklich, auch diese Form des unbefugten Umgangs mit Daten umfänglich mit Strafe zu bedrohen. Erstens würde sich so das Risiko erhöhen, Bagatellfälle zu erfassen, in denen das Strafrecht als „ultima ratio“ nicht greifen sollte. Zweitens wäre ein Konflikt mit dem strafrechtlichen Bestimmtheitsgebot vorprogrammiert. Unter den Straftatbeständen, die die unbefugte Nutzung von personenbezogenen Daten erfassen, ist vor allem §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 2 BDSG problematisch. Zunächst sind die konkreten Bedingungen der Strafbarkeit des Bereithaltens von Daten zum Abruf wenig klar. Wenn § 10 Abs. 1 BDSG zur Beurteilung der Zulässigkeit eines Abrufverfahrens auf dessen Angemessenheit unter Berücksichtigung der schutzwürdigen Interessen abstellt, ist fraglich, ob dies bestimmt genug ist, um als Basis für eine Strafbarkeit zu dienen. Auf diese Problematik soll im Zusammenhang mit dem Merkmal „unbefugt“ näher eingegangen werden.213 Zudem ist fraglich, ob eine vorverlagerte Sanktionsdrohung im Verhältnis zu der ohnehin schon bußgeld- und strafbedrohten Übermittlung erforderlich ist. Es ist zu bedenken, dass der Schutz der informationellen Selbstbestimmung bereits einen Vorfeldschutz gegenüber anderen Rechtsgütern bedeutet,214 so dass jede weitere Vorverlagerung besonders problematisch ist. De lege ferenda sollte daher von einer Strafandrohung des Bereithaltens personenbezogener Daten zum Abruf abgesehen werden. 4. Andere Tathandlungen § 43 Abs. 2 Nr. 5a, Nr. 6 und Nr. 7 BDSG erfassen weitere Tathandlungen, die sich nicht in die Kategorien von Erheben, Verarbeiten und Nutzen einordnen lassen. Diese sollen nur kurz im Überblick dargestellt werden.
209 So auch Auernhammer/v. Lewinski, § 43 Rn. 41; Bär, in: Roßnagel, S. 912, 935; Erbs/ Kohlhaas/Ambs, § 43 BDSG Rn. 20; Gola/Schomerus, § 43 Rn. 21; Sieber, in: Hoeren/Sieber 2000, Rn. 561. 210 Simitis/Ehmann, § 43 Rn. 59. 211 Gola/Schomerus, § 43 Rn. 21 212 Gola/Schomerus, § 43 Rn. 21. 213 Unten V. 2. c) cc). 214 Dazu oben Zweiter Teil § 5 II. 2.
152
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
a) Verstoß gegen das Koppelungsverbot § 43 Abs. 2 Nr. 5a BDSG droht eine Sanktion für den Fall an, dass der Abschluss eines Vertrages davon abhängig gemacht wird, dass der Betroffene eine Einwilligung zur Verarbeitung und Nutzung personenbezogener Daten erteilt, „wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist“ (§ 28 Abs. 3b BDSG). Hiermit werden Verstöße gegen das so genannte Koppelungsverbot erfasst. Dieses soll die Freiheit der Entscheidung des Betroffenen bei der Einwilligung in den Umgang mit seinen personenbezogenen Daten sichern.215 b) De-Anonymisieren § 43 Abs. 2 Nr. 6 BDSG erfasst den Fall, dass anonymisierte Daten mit Merkmalen zusammengeführt werden, die den Personenbezug dieser Daten wiederherstellen. Da ein Personenbezug erst nach der De-Anonymisierung wieder besteht, handelt es sich nicht um einen Fall des missbräuchlichen Umgangs mit personenbezogenen Daten. Die Vorschrift nimmt ausdrücklich Bereiche in Bezug, in denen eine Anonymisierung von Daten gesetzlich vorgesehen und die De-Anonymisierung nur ausnahmsweise zulässig ist: Die geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form (§ 30 BDSG), die geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung (§ 30a BDSG) und die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung (§ 40 Abs. 2 BDSG). c) Verletzung der Mitteilungspflicht aus § 42a BDSG § 43 Abs. 2 Nr. 7 BDSG umfasst die Verletzung der Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten gemäß § 42a S. 1 BDSG. § 42a S. 1 BDSG verpflichtet nicht-öffentliche Stellen (§ 2 Abs. 4 BDSG) und öffentlich-rechtliche Wettbewerbsunternehmen (§ 27 Abs. 1 Nr. 2 BDSG), wenn bestimmte bei ihnen gespeicherte, besonders sensible Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Drohen durch einen solchen Vorgang schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen,216 müssen die Stellen dies der zuständigen Aufsichtsbehörde und den Betroffenen mitteilen. Bei §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 7 BDSG handelt es sich um ein echtes Unterlassungsdelikt. 5. Aus den den Landesdatenschutzgesetzen Die Mehrzahl der Straftatbestände der Landesdatenschutzgesetze enthält dem § 43 Abs. 2 Nr. 1–5 und Nr. 6 BDSG entsprechende Tathandlungen. Von sämtlichen Straftatbeständen ist jedenfalls das unbefugte Übermitteln (bzw. Weitergeben) und Verändern 215
Auernhammer/Kramer, § 4a Rn. 8 ff.; Scheja/Haag, in: Leupold/Glossner, Rn. 83. Zurecht kritisch hinsichtlich der Bestimmtheit dieser Voraussetzung im straf- und ordnungswidrigkeitenrechtlichen Kontext Auernhammer/v. Lewinski, § 43 Rn. 55. 216
§ 10 Straftatbestände
153
von Daten erfasst. Die wichtigsten Unterschiede bei den erfassten Tathandlungen werden im Folgenden beschrieben. a) Nutzen Die Regelungen von Baden-Württemberg, Brandenburg, Bremen, Hamburg, Niedersachsen, Rheinland-Pfalz, dem Saarland, Sachsen-Anhalt und Thüringen gehen insoweit weiter als die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG, als dass auch das unbefugte Nutzen bzw. Verwenden von personenbezogenen Daten umfänglich als Tathandlung erfasst ist.217 Die genannten Landesgesetze verstehen unter dem Nutzen im gleichen Sinne wie das BDSG die sonstige Verwendung von personenbezogenen Daten. Zum Teil wird die Nutzung dabei als Teil der Verarbeitung eingeordnet,218 zum Teil davon abgegrenzt.219 Damit ist nach den einschlägigen Landesdatenschutzgesetzen beispielsweise die Weitergabe von personenbezogenen Daten innerhalb von Landesbehörden sanktionsbedroht. b) Weitere Tathandlungen Vereinzelt erfassen die Straftatbestände der Landesdatenschutzgesetze auch weitere Tathandlungen, die über den Umfang der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG hinaus gehen. aa) Datenschutzgesetz Mecklenburg-Vorpommern So ist gemäß §§ 43 Abs. 1 i. V. m. 42 Abs. 2 Nr. 1 DSG M-V das unbefugte Verschaffen des Zugriffs auf die Zuordnungsfunktion bei pseudonymisierten Daten nach § 34 Abs. 1 S. 2 DSG M-V strafbar, wenn es gegen Entgelt, mit Schädigungs- oder Bereicherungsabsicht geschieht. § 34 DSG M-V ist eine Sonderregelung für die Datenverarbeitung bei wissenschaftlicher Forschung. Nach Abs. 1 S. 2 der Vorschrift kann die Verarbeitung nicht anonymisierter, aber pseudonymisierter Daten in der Wissenschaft ausnahmsweise erlaubt sein, wenn einer Anonymisierung wissenschaftliche Gründe entgegen stehen und der mit der Forschung befasste Personenkreis oder die empfangende Stelle oder Person keinen Zugriff auf die Zuordnungsfunktion hat. Bei §§ 43 Abs. 1 i. V. m. 42 Abs. 2 Nr. 1 DSG M-V handelt es sich um ein abstraktes Gefährdungsdelikt, das bereits die Verschaffung der Möglichkeit eines Missbrauchs personenbezogener Daten mit Strafe bedroht. bb) Sächsisches Datenschutzgesetz Zudem sieht insbesondere das sächsische Datenschutzgesetz eine Reihe strafbarer Tathandlungen vor, die über den Umfang der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG hinaus-
217 §§ 41 S. 1 i. V. m. 40 Abs. 1 Nr. 1 a) LDSG BW, § 38 Abs. 3 i. V. m. Abs. 1 Nr. 1 BbgDSG, § 37 S. 1 Nr. 1 BremDSG, § 32 Abs. 1 Nr. 3 HmbDSG, § 28 Abs. 1 S. 1 Nr. 1 NDSG, § 37 Abs. 1 Nr. 1 LDSG RP, § 35 Abs. 1 Nr. 1 SDSG, § 31 Abs. 1 Nr. 1 DSG LSA, § 43 Abs. 1 Nr. 1, Abs. 3 ThürDSG. 218 § 3 Abs. 2 S. 2 Nr. 5 LDSG BW, § 3 Abs. 2 S. 2 Nr. 7 BbgDSG, § 2 Abs. 2 S. 2 Nr. 7 BremDSG, § 4 Abs. 2 S. 2 Nr. 7 HmbDSG, § 3 Abs. 2 S. 2 Nr. 7 NDSG, § 3 Abs. 2 S. 2 Nr. 3 LDSG RP, § 3 Abs. 2 S. 2 Nr. 7 SDSG. 219 § 2 Abs. 6 DSG LSA, § 3 Abs. 4 ThürDSG.
154
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
gehen.220 Im Folgenden werden einige Beispiele genannt. Zu beachten ist, dass ebenso wie im BDSG sämtliche Strafbarkeiten nach dem SächsDSG von dem Vorliegen eines Handelns gegen Entgelt oder Bereicherungs- oder Schädigungsabsicht abhängen. Nach §§ 39 S. 1 i. V. m. 38 Abs. 1 Nr. 3a, 10 Abs. 3 S. 1 SächsDSG ist es strafbar, wenn eine datenverarbeitende Stelle dem Sächsischen Datenschutzbeauftragten vor dem erstmaligen Einsatz eines automatisierten Verarbeitungsverfahrens das Verzeichnis der bei ihr eingesetzten automatisierten Verarbeitungsverfahren nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig zuleitet. Es handelt sich um einen Fall der strafrechtlichen Sanktionierung eines datenschutzrechtlichen Verfahrensverstoßes. Die Verletzung der Meldepflicht mit Strafe zu bedrohen ist bedenklich, da sie in keinem direkten Zusammenhang mit einer Beeinträchtigung der informationellen Selbstbestimmung steht. Höchst fraglich ist auch, in welchen Fällen der Verletzung der Meldepflicht überhaupt ein Handeln gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht angenommen werden kann. Nach §§ 39 S. 1 i. V. m. 38 Abs. 1 Nr. 4 SächsDSG macht sich strafbar, wer den Datenschutzbeauftragten einer öffentlichen Stelle wegen der Erfüllung seiner Aufgaben benachteiligt. Zudem kann sich nach §§ 39 S. 1 i. V. m. 38 Abs. 1 Nr. 8 SächsDSG strafbar machen, wer „einen anderen benachteiligt oder maßregelt, weil er von seinem Recht auf Anrufung des Sächsischen Datenschutzbeauftragten Gebrauch gemacht hat“. Auch hier liegt kein direkter Bezug zum missbräuchlichen Umgang mit personenbezogenen Daten vor. Die Delikte zielen weniger direkt auf den Schutz der informationellen Selbstbestimmung als auf die Funktionsfähigkeit des Amts des öffentlichen Datenschutzbeauftragten. Nach §§ 39 S. 1 i. V. m. 38 Abs. 1 Nr. 5 SächsDSG macht sich ein Datenschutzbeauftragter einer öffentlichen Stelle strafbar, wenn er seine Verschwiegenheitspflicht nach § 11 Abs. 5 Satz 1 SächsDSG verletzt. Dies gilt jedoch nur, wenn die Verletzung nicht anderweitig mit Strafe bedroht ist. Aufgrund der Regelung des § 203 Abs. 2a StGB dürfte es § 38 Abs. 1 Nr. 5 SächsDSG daher an einem Anwendungsbereich fehlen.221
V. Akzessorische Merkmale in § 43 Abs. 2 BDSG § 43 Abs. 2 BDSG enthält mehrere Merkmale, deren konkrete Bedeutung sich erst im Zusammenhang mit weiteren Vorschriften des Datenschutzrechts ergibt. Erstens verwenden die Tatbestände Begriffe, die in anderen Vorschriften des BDSG legaldefiniert sind. So ergibt sich etwa der Begriff des Erhebens von personenbezogenen Daten aus § 3 Abs. 3 BDSG.222 Zweitens sind die in § 43 Abs. 2 Nr. 1–3 BDSG beschriebenen Handlungen nur sanktionsbedroht, wenn sie unbefugt erfolgen. Zur Bestimmung dieses Merkmals sind ebenfalls weitere gesetzliche Vorschriften heranzuziehen. Drittens sind nach § 43 Abs. 2 Nr. 5–7 BDSG die dort genannten Handlungen nur sanktionsbedroht, wenn sie entgegen bestimmter dort benannter datenschutzrechtlicher Vorschriften erfolgen.
220 221 222
Kritisch dazu GBNMD/Naumann, § 39 Rn. 6. So auch GBNMD/Naumann, § 38 Rn. 11. Dazu oben IV. 1.
§ 10 Straftatbestände
155
Generell fragt sich im Hinblick auf diese Merkmale, wie weit ihre Akzessorietät reicht, also ob sich ihre Auslegung an den „in Bezug genommenen Vorschriften orientieren oder eigenständig vorgenommen werden soll“223 . Unter den akzessorischen Elementen des § 43 Abs. 2 BDSG wirft vor allem die Auslegung des Merkmals „unbefugt“ Fragen auf, die für die Reichweite und Anwendung der Norm von erheblicher Bedeutung sind. Zu untersuchen ist, welche Funktion die einzelnen akzessorischen Merkmale in § 43 Abs. 2 BDSG erfüllen und wie sie vor dem Hintergrund des strafrechtlichen Bestimmtheitsgebots auszulegen sind. Dieses gilt für § 43 Abs. 2 BDSG sowohl in seiner Funktion als Element eines Blankettstraftatbestands224 als auch in seiner Funktion als eigener Ordnungswidrigkeitentatbestand225 . 1. Definitionsnormen Zunächst enthält § 43 Abs. 2 BDSG Begriffe, die an anderer Stelle im BDSG legaldefiniert sind. Dies sind etwa die Begriffe der personenbezogenen Daten (§ 3 Abs. 1 BDSG), des Erhebens (§ 3 Abs. 3 BDSG) und Verarbeitens (§ 3 Abs. 4 BDSG) und der allgemeinen Zugänglichkeit (§ 10 Abs. 5 S. 2 BDSG). Die vom Gesetzgeber in den Begriffsbestimmungen des Gesetzes (§ 3 BDSG) selbst definierten Tatbestandsmerkmale sind im Hinblick auf die Art und Reichweite ihrer Verweisung, ihre inhaltliche Bedeutung und ihre Bestimmtheit nach Art. 103 Abs. 2 GG grundsätzlich nicht weiter problematisch.226 Im Bezug auf das Merkmal der allgemeinen Zugänglichkeit ist die Auslegung des Merkmals im strafrechtlichen Kontext auch für die allgemeine Bedeutung des Merkmals nach § 10 Abs. 5 S. 2 BDSG zu übernehmen. Der 1. Strafsenat des BGH hat jüngst zu den §§ 43, 44 BDSG entschieden, dass jede rechtliche Beschränkung des Zugangs zu personenbezogenen Daten deren allgemeine Zugänglichkeit ausschließt.227 Dabei bezog sich der Senat ausdrücklich auf die einheitliche Verwendung des Merkmals innerhalb des BDSG.228 2. Unbefugt § 43 Abs. 2 Nr. 1–3 BDSG setzen voraus, dass die dort beschriebenen Handlungen „unbefugt“ vorgenommen werden, um eine Ordnungswidrigkeit (oder i. V. m. § 44 Abs. 1 BDSG eine Straftat) zu begründen. Ein unbefugtes Handeln ist dabei nach allgemeinem Verständnis immer dann gegeben, wenn nicht Rechtssätze dieses erlauben oder eine Einwilligung des Betroffenen vorliegt.229 Der Begriff „unbefugt“ legt den Maßstab fest, nach dem die beschriebenen Handlungen (z. B. das Erheben oder Verarbeiten von Daten in § 43 Abs. 2 Nr. 1 BDSG) sanktioniert 223 So Tiedemann, Wirtschaftsstrafrecht AT, Rn. 222. zu der allgemeinen Problematik der Akzessorietät im Wirtschaftsstrafrecht. 224 Vgl. Enderle, S. 129; Maunz/Dürig/Schmidt-Aßmann, Art. 103 Abs. 2 Rn. 201. 225 Vgl. BVerfG NJW 2010, S. 754; BVerfG NStZ 1990, S. 394. 226 Vgl. Höft, S. 39; Tiedemann, Tatbestandsfunktionen, S. 210. Zum Bedeutungsgehalt der Merkmale im Einzelnen oben §§ 9 I. und 10 III., IV. 1–3. 227 BGH NJW 2013, S. 2530, 2533; dazu näher oben III. 228 BGH NJW 2013, S. 2530, 2533. 229 BGH NJW 2013, S. 2530, 2354; Sieber, in: Hoeren/Sieber 2000, Rn. 574; Wolff/Brink/ Holländer, § 43 Rn. 47.
156
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
werden können. Er verweist hierfür konkludent auf datenschutzrechtliche Verhaltensnormen, aus denen sich letztlich bestimmt, wann die betreffenden Verhaltensweisen „unbefugt“ sind. Hierdurch wird eine Akzessorietät des Ordnungswidrigkeitentatbestandes gegenüber diesen Normen hergestellt. Um die von § 43 Abs. 2 Nr. 1–3 BDSG sanktionsbedrohten Verhaltensweisen bestimmen zu können, ist das Merkmal „unbefugt“ näher zu untersuchen. Dabei muss in erster Linie beleuchtet werden, welche Vorschriften es in Bezug nimmt und wie diese im Kontext von Ordnungswidrigkeiten- und Straftatbestand auszulegen sind. Hierfür ist zunächst seine Einordnung im Deliktsaufbau und seine dogmatische Funktion zu klären. Auf dieser Grundlage ist es vor dem Hintergrund des strafrechtlichen Bestimmtheitsgebotes auszulegen. a) Tatbestands- oder Rechtswidrigkeitsmerkmal Es wird unterschiedlich beurteilt, ob dem Begriff „unbefugt“ in § 43 Abs. 2 Nr. 1–3 BDSG die Rolle eines Tatbestandsmerkmals zukommt230 oder ob es sich um einen bloßen Hinweis auf das allgemeine Deliktsmerkmal der Rechtswidrigkeit231 handelt. Auch in anderen Straftatbeständen, die das Merkmal „unbefugt“ enthalten,232 ist seine Zuordnung umstritten.233 Teilweise wird es in einer „Doppelfunktion“ sowohl der Ebene des Tatbestandes als auch der Ebene der Rechtswidrigkeit zugeordnet.234 Die Zuordnung des Merkmals im Rahmen des § 43 Abs. 2 BDSG soll hier auf der Grundlage der Annahme erfolgen, dass der Tatbestand einer Strafnorm ein typisiertes Unrecht abbildet.235 Demnach kann das Merkmal „unbefugt“ nur Bestandteil des Tatbestandes sein, wenn dieser für sich ein an sich ein wertneutrales bzw. sozialadäquates Verhalten beschreibt.236 Andernfalls wäre es als Teil des Tatbestandes überflüssig und lediglich als klarstellender Hinweis auf das Erfordernis der Rechtswidrigkeit zu verstehen.237 § 43 Abs. 2 Nr . 1 und Nr. 3 BDSG nennen als Tathandlungen das Erheben und Verarbeiten personenbezogener Daten bzw. das Abrufen oder Sich-Verschaffen solcher Daten aus automatisierten Verarbeitungen oder nicht automatisierten Dateien. Gemäß § 4 Abs. 1 BDSG sind diese Handlungen grundsätzlich unzulässig. Diese Vorschrift verbietet das Verarbeiten wie auch das Erheben238 von personenbezogenen Daten. Es handelt sich um eine „präventive Zulässigkeitsschranke“239 , die ein an sich sozialadäquates Verhalten ver-
230 So Auernhammer/v. Lewinski, § 43 Rn. 37; Heghmanns, in: Achenbach, Rn. 95; Sieber, in: Hoeren/Sieber 2000, Rn. 572. 231 So Binder, RDV 1995, S. 116, 121; Plath/Becker, § 43 Rn. 11. 232 Mit diversen Beispielen Dietmeier, S. 56. 233 MK-StGB/Gericke, 2. Aufl., § 238 Rn. 41; Schönke/Schröder/Eisele, Vorbem. §§ 13 ff. Rn. 65; zu § 203 StGB oben Erster Teil § 2 II. 2. a). 234 So teilweise bei § 203; vgl. Schönke/Schröder/Lenckner/Eisele, § 203 Rn. 21. 235 Vgl. nur Lackner/Kühl, Vor § 13 Rn. 15. 236 Dietmeier, S. 56; Heghmanns, Grundzüge, S. 175; MK-StGB/Gericke, 2. Aufl., § 238 Rn. 42. 237 Zum unzutreffenden pauschalen Verständnis des Begriffs „unbefugt“ als Rechtswidrigkeitsmerkmal Heghmanns, Grundzüge, S. 174. 238 Unter das Erheben fallen auch der Abruf und das Sich-Verschaffen; dazu oben III. 1. 239 VG Oldenburg ZD 2013, S. 296, 297.
§ 10 Straftatbestände
157
bietet.240 Die Verarbeitung von nicht allgemein zugänglichen personenbezogenen Daten ist in vielen Fällen allgemein nützlich und erwünscht. Sie leistet einen wichtigen Beitrag zu der Funktionsfähigkeit von Wirtschaft und öffentlicher Verwaltung.241 Dieses Grundverständnis des Datenschutzes belegen unter anderem die Erwägungen zur EG-Datenschutzrichtlinie als europäischer Grundlage des geltenden Datenschutzrechts.242 So soll die Datenverarbeitung nach Erwägungsgrund 2 EG-Datenschutzrichtlinie „im Dienste des Menschen“ stehen und „zum wirtschaftlichen und sozialen Fortschritt, zur Entwicklung des Handels sowie zum Wohlergehen der Menschen beizutragen“. Nach Erwägungsgrund 3 ist es „[f]ür die Errichtung und das Funktionieren des Binnenmarktes [ . . . ] erforderlich, daß personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaat übermittelt werden“. Dieses Verständnis des Datenschutzes drückt sich auch in Erwägungsrund 2 des Kommissionsentwurfes einer Europäischen Datenschutzverordnung aus.243 Für die Zuordnung des Merkmals „unbefugt“ in Tatbestand oder Rechtswidrigkeit lässt sich zudem die allgemeine strafrechtliche – vor allem im Nebenstrafrecht bedeutsame – (Streit-)Frage heranziehen, ob das Vorliegen einer behördlichen Genehmigung den Tatbestand eines Deliktes ausschließt oder ein Rechtfertigungsgrund ist.244 Diese Frage stellt sich beispielsweise im Waffenstrafrecht, wo der Umgang mit Kriegswaffen ohne Genehmigung unter anderem gem. § 22a Abs. 1 KrWaffG in bestimmten Fällen als Verbrechen strafbar ist.245 Im Kernstrafrecht ist diese Frage im Zusammenhang mit den §§ 324 ff. StGB relevant.246 Zur Beantwortung ist zu differenzieren, ob Grundlage des Genehmigungserfordernisses ein präventives Verbot mit Erlaubnisvorbehalt oder ein repressives Verbot mit Befreiungsvorbehalt ist.247 Im ersten Falle schließt die Genehmigung bereits den Tatbestand aus, da ein sozialadäquates Verhalten durch das präventive Verbot lediglich unter staatliche Kontrolle gestellt wird, um möglicherweise entstehende Gefahren im
240 Auernhammer/v. Lewinski, § 43 Rn. 37; Bull, NJW 2006, S. 1617, 1618; Roßnagel/Pfitzmann/ Garstka, S. 248; Sieber, in: Hoeren/Sieber 2000, Rn. 572; so auch bereits Höft, S. 34; Tiedemann, NJW 1981, S. 945, 947. 241 So bereits Tiedemann, NJW 1981, S. 945, 947. 242 Dazu näher oben Erster Teil § 3 IV. 243 Dieser lautet: „Die Verarbeitung personenbezogener Daten steht im Dienste des Menschen; die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ungeachtet der Staatsangehörigkeit oder des gewöhnlichen Aufenthaltsorts der natürlichen Personen deren Grundrechte und Grundfreiheiten und insbesondere deren Recht auf Schutz personenbezogener Daten gewahrt bleiben. Die Datenverarbeitung sollte zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarktes sowie zum Wohlergehen der Menschen beitragen.“ Näher zum DSGVO-E oben Erster Teil § 3 V. 2. 244 Vgl. nur NK/Paeffgen, Vor §§ 32 ff Rn. 201; Schönke/Schröder/Lenckner/Sternberg-Lieben, Vorbem. §§ 32 ff. Rn. 61 jeweils m. w. N. 245 Umfasst sind etwa die Herstellung und die Beförderung von Kriegswaffen; vgl. hierzu im Einzelnen MK-StGB/Heinrich, 2. Aufl., § 22a KrWaffG Rn. 1 ff. 246 Vgl. nur MK-StGB/Schmitz, 2. Aufl., Vor §§ 324 ff. Rn. 51 ff. 247 NK/Paeffgen, Vor §§ 32 ff Rn. 201; Schönke/Schröder/Lenckner/Sternberg-Lieben, Vorbem. §§ 32 ff. Rn. 61; vgl. auch im Zusammenhang mit § 22a KrWaffG MK-StGB/Heinrich, 2. Aufl., § 22a KrWaffG Rn. 27 f.
158
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Blick zu haben.248 Im zweiten Fall soll die Genehmigung erst die Rechtswidrigkeit entfallen lassen, da ein an sich unerwünschtes Verhalten verboten wird, das nur ausnahmsweise zugelassen werden soll.249 Wie sich aus der vorherigen Darstellung ergibt, dient das grundsätzliche Verbot der Erhebung, Verarbeitung und Nutzung personenbezogener Daten in § 4 Abs. 1 BDSG klar präventiven Zwecken, betrifft es doch ein grundsätzlich sozialadäquates bzw. sogar erwünschtes Verhalten. § 4 Abs. 1 BDSG wird in diesem Sinne regelmäßig auch als Verbot mit Erlaubnisvorbehalt bezeichnet.250 Diese Bezeichnung ist für § 4 Abs. 1 BDSG jedoch nicht vollkommen treffend, da keine behördliche Prüfung und Genehmigung erfolgen muss, bevor eine Datenerhebung, -verarbeitung oder -nutzung stattfinden darf, sondern deren Zulässigkeit sich nach dem Vorliegen einer Einwilligung des Betroffenen oder der Voraussetzungen einer gesetzlichen Befugnis richtet.251 Da dem Verbot in § 4 Abs. 1 BDSG aber ebenso präventive Erwägungen zugrunde liegen wie einem „klassischen“ präventiven Verbot mit Erlaubnisvorbehalt, ist – wie im Falle des Vorliegens einer behördlichen Genehmigung bei entsprechenden Delikten – bei den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG bei Vorliegen einer Befugnis der Tatbestand ausgeschlossen. Der Begriff „unbefugt“ bei § 43 Abs. 2 Nr. 1 und Nr. 3 BDSG ist daher im Ergebnis ein Tatbestandsmerkmal und weist nicht lediglich auf die Prüfung der Rechtswidrigkeit hin. Dies gilt erst recht für das gleichlautende Merkmal in § 43 Abs. 2 Nr. 2 BDSG. Das Bereithalten von personenbezogenen Daten zum Abruf mittels automatisierter Verfahren (§ 43 Abs. 2 Nr. 2 BDSG) ist nach dem BDSG zudem nicht grundsätzlich unzulässig252 und stellt ebenfalls eine sozialadäquate und wertneutrale Handlung dar. b) Blankettmerkmal oder normatives Merkmal Neben der Einordnung im Deliktsaufbau ist es für das Verständnis des Merkmals „unbefugt“ von Bedeutung, ob es sich um ein Blankettmerkmal oder ein normatives Tatbestandsmerkmal handelt. Grundsätzlich lassen sich akzessorische Tatbestandsmerkmale nach diesen beiden Kategorien unterscheiden.253 Diese Einordnung ist für die Bestimmung der verfassungsrechtlichen Anforderungen und für die Auslegung des Begriffs bedeutsam.254 Wenn man das Merkmal „unbefugt“ als Blankettmerkmal einordnet, könnte eine verfassungskonforme Auslegung vor dem Hintergrund des strafrechtlichen Bestimmtheitsgebots eher notwendig sein als wenn man es als ein normatives Tatbestandsmerkmal begreift. Dies beruht auf den unterschiedlichen Anforderungen an die Bestimmtheit von norma248 NK/Paeffgen, Vor §§ 32 ff Rn. 201; Schönke/Schröder/Lenckner/Sternberg-Lieben, Vorbem. §§ 32 ff. Rn. 61. 249 NK/Paeffgen, Vor §§ 32 ff Rn. 201; Schönke/Schröder/Lenckner/Sternberg-Lieben, Vorbem. §§ 32 ff. Rn. 61. 250 Vgl. nur Auernhammer/v. Lewinski, Einleitung Rn. 104; Gola/Schomerus, § 4 Rn. 3; Helfrich, in: Hoeren/Sieber 2014, Rn. 36; Spindler/Schuster/Spindler/Nink, § 4 BDSG Rn. 4. 251 So auch Simitis/Scholz/Sokol, § 4 Rn. 3. 252 Dazu oben IV. 3. d). 253 Hohmann, ZIS 2007, S. 38, 40. 254 Darüber hinaus hat sie auch Bedeutung für die Einordnung von Irrtümern; vgl. Hohmann, ZIS 2007, S. 38, 41; die Lehre der normativen Tatbestandsmerkmale in diesem Zusammenhang ablehnend Heinrich, in: FS Roxin 2011, S. 449, 456 ff.
§ 10 Straftatbestände
159
tiven Tatbestandsmerkmalen und Blankettmerkmalen. Während bei der Verwendung von Blankettmerkmalen sowohl der Straftatbestand als auch die auffüllende(n) Vorschrift(en) den Anforderungen des strafrechtlichen Bestimmtheitsgebots aus Art. 103 Abs. 2 GG genügen müssen, gilt dies bei normativen Tatbestandsmerkmalen nur für die eigentliche Strafvorschrift.255 Die in Bezug genommenen Vorschriften müssen in diesem Fall lediglich den Anforderungen des allgemeinen rechtsstaatlichen Bestimmtheitsgebots genügen.256 Wenn beispielsweise ein Privatdetektiv mittels eines GPS-Empfängers die Bewegungsdaten einer Zielperson erhebt, steht eine Strafbarkeit gemäß §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG im Raum.257 Für die Frage, ob diese Datenerhebung unbefugt ist, kommt es unter anderem darauf an, ob sie gemäß § 28 Abs. 1 Nr. 2 BDSG als Datenerhebung für eigene Geschäftszwecke zulässig ist. Nach dieser Vorschrift ist dies der Fall, soweit die Erhebung „zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Ordnet man das Merkmal „unbefugt“ nun als Blankettbegriff ein, fragt sich, ob der Erlaubnistatbestand des § 28 Abs. 1 Nr. 2 BDSG nach Art. 103 Abs. 2 GG bestimmt genug ist, um die Grenzen der Strafbarkeit festzulegen. Bedenken begegnen dem unbestimmten Merkmal des berechtigten Interesses. So könnte eine verfassungskonforme Auslegung des Merkmals zugunsten der verantwortlichen Stelle geboten sein, um eine Vereinbarkeit mit dem Bestimmtheitsgebot herzustellen.258 Anders, wenn man „unbefugt“ als ein normatives Tatbestandsmerkmal einordnet: In diesem Fall gelten die strengen Anforderungen des strafrechtlichen Bestimmtheitsgebotes nicht direkt für § 28 Abs. 1 Nr. 2 BDSG. Die Einordnung des Merkmals „unbefugt“ i. S. d. § 43 Abs. 2 Nr. 1–3 BDSG erfolgt uneinheitlich.259 Um eine Abgrenzung von normativen Tatbestandsmerkmalen und Blankettmerkmalen vorzunehmen werden eine Vielzahl von Ansätzen vorgeschlagen.260 Zum Teil wird die Einordnung dabei nach rein formalen Kriterien vorgenommen.261 Es wird vertreten, dass konkludente Verweisungen prinzipiell der Gruppe der normativen Tatbestandsmerkmale zuzuordnen seien.262 Dadurch, dass das Merkmal „unbefugt“ die in Bezug genommenen Befugnisnormen nicht ausdrücklich benennt, handelt es sich auch hierbei um eine konkludente Verweisung. Die pauschale Einordnung von konkludenten Verweisungen als normative Tatbestandsmerkmale ist jedoch nicht sinnvoll. Die Folgen, die sich aus der Zuordnung in die Kategorien normativer Tatbestandsmerkmale und Blankettmerkmale ergeben, basieren auf der inhaltlichen Funktion dieser Begriffe innerhalb eines
255
Enderle, S. 128 f. BVerfGE 126, S. 170, 196; Enderle, S. 152. 257 Vgl. BGH NJW 2013, S. 2350; dazu näher unten X. 3. b) bb). 258 Vgl. dazu unten c) cc). 259 Für die Einordnung als normatives Tatbestandsmerkmal Tiedemann, NJW 1981, S. 945, 946; für ein Blankettmerkmal Erbs/Kohlhaas/Ambs, § 43 BDSG Rn. 18; Zielinski, in: Kilian/Lenk/ Steinmüller, S. 129, 147 (zu § 32 BDSG RefE). 260 Einen weitreichenden Überblick gibt Enderle, S. 79 ff.; vgl. auch Heghmanns, Grundzüge, S. 82 f.; Heinrich, in: FS Roxin 2011, S. 449, 460 f.; Hohmann, ZIS 2007, S. 38, 40 ff. 261 Dazu Enderle, S. 82 ff. 262 Vgl. Enderle, S. 87; Hohmann, ZIS 2007, S. 38, 42 m. w. N. 256
160
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Tatbestandes. Die gesetzgeberische Form kann ein Indiz für eine Funktion bilden, dieses Kriterium aber nicht vollständig ersetzen. Zur Abgrenzung normativer Tatbestandsmerkmale von Blankettmerkmalen kommt es vielmehr entscheidend auf die Struktur der Norm an, die das Merkmal enthält. Es fragt sich, ob das verbotene Verhalten in der Norm selbst beschrieben ist oder sich erst aus einer anderen Vorschrift ergibt. So enthält beispielsweise § 1 Abs. 1 Nr. 1 WiStrG263 1954 ein echtes Blankettmerkmal. Strafbar ist demnach, wer „eine Zuwiderhandlung nach § 18 des Wirtschaftssicherstellungsgesetzes begeht“. Das Begehen einer solchen Zuwiderhandlung ist ein Blankettmerkmal, da die Norm keine eigene Beschreibung des strafbaren Verhaltens enthält. § 43 Abs. 2 Nr. 1–3 BDSG hingegen enthalten eigene Handlungsbeschreibungen. § 43 Abs. 2 Nr. 1 BDSG umfasst das Erheben und Verarbeiten, Nr. 2 den Abruf mittels automatisierten Verfahrens und Nr. 3 das Abrufen und Sich-Verschaffen von Daten. Diese Form der Handlungsbeschreibung reicht aus, um abzulehnen, dass es sich bei dem Begriff „unbefugt“ um ein Blankettmerkmal handelt. Dies lässt sich aus dem Kriterium der „Vollständigkeit“ des Tatbestandes herleiten, das das BVerfG bei der Negativabgrenzung von Blankettstrafgesetzen zugrunde legt.264 Zwar beziehen sich die Ausführungen des BVerfG auf Blankettstraftatbestände und nicht auf Blankettmerkmale als Teile solcher, sie lassen sich aber auf die Abgrenzung von Blankettmerkmalen und normativen Tatbestandsmerkmalen übertragen, da es hier entscheidend auf die Normstruktur ankommt. Kein Blankettstrafgesetz liegt nach dem BVerfG vor, wenn der Tatbestand „das mit Strafe bedrohte Verhalten vollständig und ohne Bezugnahme auf andere Bestimmungen“265 beschreibt. Ähnlich versteht Heghmanns unter einem Blankettstrafgesetz eine Bestimmung „bei welcher die Norm ohne Blankettergänzung unvollständig bleibt, es also noch ihrer Definition oder wenigstens ihrer Vervollständigung bedarf, bevor überhaupt erst von einer subsumtionsfähigen Strafrechtsnorm gesprochen werden kann.“266 Zu den Charakteristika eines Straftatbestandes gehört es nach der Rechtsprechung des BVerfG auch, dass aus diesem der durch ihn geschützte Wert, das Verbot bestimmter Verhaltensweisen und die staatliche Reaktion auf die Zuwiderhandlung zu erkennen ist.267 Dies ist bei §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1–3 BDSG der Fall. Aus § 43 Abs. 2 Nr. 1–3 BDSG geht über die Anknüpfung an den Umgang mit personenbezogenen Daten (bzw. eine Vorfeldhandlung in § 43 Abs. 2 Nr. 2 BDSG) hervor, dass das Recht auf informationelle Selbstbestimmung geschützt werden soll. Die in den einzelnen Ziffern enthaltenen Handlungsbeschreibungen zeigen, welches Verhalten grundsätzlich sanktionsbedroht ist. Die Verbotsmaterie wird damit bereits in ihren Grundzügen umschrieben268 und ein sinnvoller Tatbestand gebildet, unter den sich Sachverhalte strafrechtlich subsumieren lassen. Das Merkmal „unbefugt“ hat die Funktion eines Maßstabs, um zu konkretisieren, wann
263 Wirtschaftsstrafgesetz 1954 in der Fassung der Bekanntmachung vom 3. Juni 1975 (BGBl. I, S. 1313). 264 BVerfGE 78, S. 205, 213. 265 BVerfGE 78, S. 205, 213. 266 Heghmanns, Grundzüge, S. 83. 267 BVerfG NJW 1977, S. 1815; Enderle, S. 124 m. w. N. 268 Vgl. BVerfG NJW 1989, S. 1663.
§ 10 Straftatbestände
161
das in § 43 Abs. 2 Nr. 1–3 BDSG beschriebene Verhalten im Einzelnen ordnungswidrig (bzw. i. V. m. § 44 Abs. 1 BDSG) strafbar ist. c) Bestimmtheitsgebot und Auslegung Die konkrete Bedeutung des normativen Tatbestandmerkmals „unbefugt“ ist vor dem Hintergrund des strafrechtlichen Bestimmtheitsgebots zu ermitteln. Dieses wirkt sich darauf aus, welche Normen durch das Merkmal in Bezug genommen werden und wie diese zu verstehen sind. aa) Allgemein Das strafrechtliche Bestimmtheitsgebot verpflichtet den Gesetzgeber, „die Voraussetzungen der Strafbarkeit so konkret zu umschreiben, dass Tragweite und Anwendungsbereich der Straftatbestände zu erkennen sind und sich durch Auslegung ermitteln lassen.“269 Wann ein Verhalten mit Strafe bedroht ist, muss für den Normadressaten vorhersehbar sein.270 Bei der Verwendung normativer Tatbestandsmerkmale räumt das BVerfG dem Gesetzgeber grundsätzlich einen weiten Spielraum ein.271 Ihre Vereinbarkeit mit dem Bestimmtheitsgebot kann durch eine restriktive Auslegung gesichert werden.272 Die Rechtsprechung ist dazu gehalten, „verbleibende Unklarheiten über den Anwendungsbereich einer Norm durch Präzisierung und Konkretisierung im Wege der Auslegung nach Möglichkeit auszuräumen“.273 Dieses „Präzisierungsgebot“ ergibt sich aus Art. 103 Abs. 2 GG. Es steht in einem Spannungsverhältnis zu dem ebenfalls in Art. 103 Abs. 2 GG verankerten strafrechtlichen Gesetzesvorbehalt.274 Die Bedeutung des Merkmals „unbefugt“ ist jedenfalls insoweit bestimmt, als dass es voraussetzt, dass hinsichtlich der in § 43 Abs. 2 Nr. 1–3 BDSG beschriebenen Handlungen keine Einwilligung des Betroffenen vorliegt und keine Befugnisnorm greifen darf. Diese abstrakten Voraussetzungen ergeben sich aus dem Regelungskontext im BDSG.275 Es ist zu beachten, dass im strafrechtlichen Kontext nur förmliche Gesetze als Normen zur Auslegung des Merkmals „unbefugt“ herangezogen werden können, was das Vorliegen einer rechtlichen Befugnis oder die Voraussetzungen für das Vorliegen einer wirksamen datenschutzrechtlichen Einwilligung betrifft. Andernfalls stünde die Auslegung im Widerspruch zu Art. 104 Abs. 1 GG, wonach die Freiheit der Person nur auf Grund eines förmlichen Gesetzes beschränkt werden kann. Daraus folgt, dass „der Gesetzgeber beim Erlaß einer Strafvorschrift, die Freiheitsstrafe androht, mit hinreichender Deutlichkeit selbst zu bestimmen [hat], was strafbar sein soll“276 . Würde mit dem Merkmal „unbefugt“ der entscheidende Maßstab für die Strafbarkeit bzw. Ordnungswidrigkeit 269
BVerfGE 126, S. 170, 195 m. w. N. BVerfGE 92, S. 1, 12; vgl. auch BVerfGE 126, S. 170, 210; Tiedemann, Wirtschaftsstrafrecht AT, Rn. 213. 271 Vgl. BVerfGE 126, S. 170, 200 ff.; Enderle, 147 ff. 272 BVerfGE 126, S. 170, 197 m. w. N.; vgl. auch Tiedemann, Wirtschaftsstrafrecht AT, Rn. 214. 273 BVerfGE 126, S. 170, 198. 274 Enderle, S. 139 f. 275 Vgl. BGH NJW 2013, S. 2530, 2354. 276 BVerfGE 75, S. 329, 342. 270
162
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
bestimmter Verhaltensweisen nicht durch förmliche Gesetze ausgefüllt, läge darin ein Verstoß gegen Art. 104 Abs. 1 GG. Problematisch ist die Bestimmtheit des Merkmals „unbefugt“ vor allem im Zusammenhang mit den in Bezug genommenen Vorschriften. Der Normadressat muss im Einzelfall erschließen können, ob eine Befugnisnorm oder Einwilligung ein tatbestandliches Verhalten ausschließt. Dafür muss er die hierfür relevanten Vorschriften auffinden und ihre Bedeutung für den jeweiligen Fall ermitteln können.277 bb) In Bezug genommene Befugnisnormen Bei der Prüfung des Merkmals „unbefugt“ in § 43 Abs. 2 Nr. 1 BDSG sind zunächst sämtliche Vorschriften maßgeblich, die im Rahmen des Anwendungsbereichs der §§ 43, 44 BDSG die Erhebung und Verarbeitung von personenbezogenen Daten zulassen. Bei § 43 Abs. 2 Nr. 3 BDSG sind sämtliche Befugnisnormen, die das Sich-Verschaffen und den Abruf (und damit auch solche, die das Erheben insgesamt) betreffen, zu beachten. Erlaubnisse oder Anordnungen zur Erhebung und Verarbeitung von personenbezogenen Daten können sich dabei nicht nur aus dem BDSG, sondern auch aus anderen Rechtsvorschriften ergeben.278 Die Befugnisnormen außerhalb des BDSG, die für die Auslegung des Merkmals „unbefugt“ bei § 43 Abs. 2 Nr. 1 und Nr. 3 BDSG eine Rolle spielen können, sind allerdings aufgrund des begrenzten Anwendungsbereichs der §§ 43, 44 BDSG nur punktuelle Regelungen, die einzelne Befugnisse betreffen.279 Diese Sonderbefugnisse betreffen bestimmte datenverarbeitende Stellen und finden sich in für diese als Adressaten geltenden Spezialregelwerken. Da bei der Bestimmtheit eines Gesetzes nach Art. 103 Abs. 2 GG auch der betroffene Adressatenkreis zu berücksichtigen ist,280 ist es hiermit vereinbar, dass durch das Merkmal „unbefugt“ im Rahmen des Anwendungsbereich der §§ 43, 44 BDSG auch diese punktuellen Spezialregelungen außerhalb des BDSG in Bezug genommen werden. Denn grundsätzlich dürften diese Regelwerke für ihre Adressaten auffindbar sein. So ist beispielsweise davon auszugehen, dass eine Aufsichtsbehörde nach dem TierSchG über die grundlegenden Regelungen zu ihren Befugnissen im Bilde ist und in diesem Rahmen auch die Spezialnorm des § 16 Abs. 6 TierSchG zur Zulässigkeit der Erhebung und Verwendung personenbezogener Daten auffinden kann. In § 43 Abs. 2 Nr. 2 BDSG schließlich nimmt das Merkmal „unbefugt“ lediglich auf Vorschriften Bezug, die das Bereithalten von personenbezogenen Daten zum Abruf mittels automatisierten Verfahrens regeln. Innerhalb des BDSG betrifft dies nur § 10 BDSG. Das Bezugsspektrum des Merkmals „unbefugt“ ist damit in diesem Falle klar abgesteckt. Problematisch bleibt nur die inhaltliche Bedeutung der Bezugsvorschrift.
277
BVerfGE 126, S. 170, 204 f. BGH NJW 2013, S. 2530, 2534; Heghmanns, in: Achenbach, Rn. 96; Wolff/Brink/Holländer, § 43 Rn. 47. 279 Dazu oben II. 3. a). 280 BVerfGE 126, S. 170, 196 m. w. N. 278
§ 10 Straftatbestände
163
cc) Notwendigkeit extensiver Auslegung Schwieriger als das Auffinden der relevanten Vorschriften gestaltet sich für den Betroffenen und den Rechtsanwender die Ermittlung ihrer Bedeutung für den jeweiligen Fall. Diverse datenschutzrechtliche Befugnisnormen sind von Vagheiten geprägt, die es nicht möglich machen, die Fälle, in denen eine Datenerhebung, Datenverarbeitung oder die Einrichtung eines Abrufverfahrens unbefugt ist, klar zu bestimmen.281 Regelmäßig kommt es auf eine Abwägung der Interessen der Beteiligten im Einzelfall an, um die Rechtmäßigkeit einer Datenerhebung oder -verarbeitung zu bestimmen.282 So regelt etwa § 28 Abs. 1 BDSG die Zulässigkeit des Erhebens, Speicherns und Veränderns oder Übermittelns personenbezogener Daten für eigene Geschäftszwecke. Unter anderem ist dies nach § 28 Abs. 1 S. 1 Nr. 2 BDSG zulässig, „soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Aufgrund seiner Weite wurde § 28 Abs. 1 S. 1 Nr. 2 BDSG auch schon als datenschutzrechtliche Generalklausel bezeichnet.283 Nur manche Befugnisnormen lassen eindeutig Bereiche erkennen, in denen eine Datenerhebung oder -verarbeitung nicht erlaubt ist. So legt etwa § 28 Abs. 3 BDSG der Zulässigkeit der Verarbeitung von Daten für Zwecke des Adresshandels oder der Werbung enge Grenzen auf. Ähnliches gilt für das Erheben und Verarbeiten von besonderen Arten personenbezogener Daten gemäß § 28 Abs. 6–9 BDSG. Wie schwierig es sein kann, zu ermitteln, ob eine Verwendung von personenbezogenen Daten unbefugt erfolgt ist, zeigt auch die jüngste Entscheidung des 1. Strafsenates des BGH zu den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG.284 Zentral beschäftigte sich der BGH dabei mit der Frage, ob das Erheben von Bewegungsdaten mittels eines GPS-Empfängers durch Privatdetektive in diversen Fällen als unbefugt einzuordnen war.285 Im Ergebnis verwies der BGH die Sache teilweise an das vorinstanzliche Gericht zurück, da dieses in mehreren Fällen „bei der Beurteilung, ob die Handlungen der Angeklagten unbefugt waren, nicht von einem zutreffenden rechtlichen Maßstab ausgegangen“286 sei. Bei seiner rechtlichen Einschätzung legte der BGH die datenschutzrechtlichen Befugnisse der Privatdetektive extensiv aus, indem er die gegenüber den Normen des BDSG weitere europarechtliche Grundlage des Art. 7 lit. f) EG-Datenschutzrichtlinie heranzog.287 Als Befugnisnormen für die Datenerhebung durch die Detektive kamen in dem vorliegenden Fall § 28 Abs. 1 S. 1 Nr. 2 BDSG und § 29 Abs. 1 S. 1 Nr. 1 BDSG in Betracht.288 Welche dieser Befugnisnormen nach deutschem Recht konkret einschlägig wäre, ließ der entscheidende Senat jedoch offen, da diese auf einer gemeinsamen europarechtli281
Auernhammer/v. Lewinski, Vor. zu § 43 Rn. 9. Spickhoff , in: Leible/Lehmann/Zech, S. 233, 239 f. 283 v. Lewinski, RDV 2003, S. 122, 125; Ventura-Heinrich, JA 2013, S. 130, 133; anders Taeger/ Gabel/Taeger, § 28 Rn. 54; vgl. auch Simitis/Simitis, § 28 Rn. 99. 284 BGH NJW 2013, S. 2530 ff. 285 BGH NJW 2013, S. 2530, 2354; vgl. dazu auch unten X. 3. b) bb). 286 BGH NJW 2013, S. 2530, 2534. 287 BGH NJW 2013, S. 2530, 2534 f. 288 Zur Abgrenzung dieser Befugnisnormen BGH NJW S. 2530, 2534. 282
164
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
chen Grundlage beruhten.289 Diese Grundlage ist Art. 7 lit. f) EG-Datenschutzrichtlinie, nach dem die aus der Richtlinie verpflichtete Mitgliedsstaaten vorsehen können, „die Verarbeitung personenbezogener Daten auch auf der Basis einer Abwägung der berührten Interessen zu erlauben“290 . Der BGH legte für die Befugnis der Privatdetektive zur Erhebung der Bewegungsdaten nur Art. 7 lit. f) EG-Datenschutzrichtlinie als Maßstab an.291 „Das nationale Recht“, so der BGH, dürfe „jedenfalls im Verhältnis zwischen dem auf der Grundlage von § 44 BDSG (möglicherweise) strafenden Staat und dem von Strafe bedrohten ‚Datenverarbeiter‘ nicht hinter den durch Art. 7 lit. f der Datenschutzrichtlinie gewährten Befugnissen zur Verarbeitung personenbezogener Daten der Betroffenen zurückbleiben.“292 Art. 7 lit. f) EG-Datenschutzrichtlinie geht jeweils weiter als § 28 Abs. 1 S. 1 Nr. 2 BDSG und § 29 Abs. 1 S. 1 Nr. 1 BDSG. Gegenüber § 28 Abs. 1 S. 1 Nr. 2 BDSG ist die Vorschrift der Richtlinie insofern weiter, als dass neben den Interessen der für die Datenverwendung verantwortlichen Stelle auch die Interessen Dritter (z. B. Empfänger von Daten) mit einbezogen werden können.293 Dieser Unterschied kann sich bei der Beurteilung der Zulässigkeit der Ermittlungstätigkeit und damit der Strafbarkeit zugunsten der Privatdetektive auswirken. Denn nach Art. 7 lit. f) EG-Datenschutzrichtlinie wäre eine stärkere Berücksichtigung der Interessen der Mandanten der Detektive möglich. Gegenüber § 29 Abs. 1 S. 1 Nr. 1 BDSG erlaubt Art. 7 lit. f) EG-Datenschutzrichtlinie eine stärkere Gewichtung der Interessen der verantwortlichen Stelle und der Interessen Dritter gegenüber jenen des Betroffenen. Während bei § 29 Abs. 1 S. 1 Nr. 1 BDSG der Grund zur Annahme eines schutzwürdigen Interesses des Betroffenen an dem Ausschluss der Datenverwendung diese unzulässig macht, müssen nach Art. 7 lit. f) EGDatenschutzrichtlinie die Interessen des Betroffenen überwiegen. Nach § 29 Abs. 1 S. 1 Nr. 1 BDSG ist eine Zulässigkeit der Verwendung der Daten in jedem Fall schon „bei Gleichrangigkeit der Interessen“294 von Betroffenem und verarbeitender Stelle ausgeschlossen. Auch hier kann eine Strafbarkeit der Detektive durch Anwendung von Art. 7 lit. f) EG-Datenschutzrichtlinie eher ausgeschlossen werden. Denn insbesondere bei einer verdeckten Datenerhebung – wie im vorliegenden Fall mittels einem heimlich an einem Fahrzeug angebrachten GPS-Empfänger – liegt ein Anhaltspunkt für ein schutzwürdiges Interesse des Betroffenen vor, der die Zulässigkeit der Datenerhebung ausschließt.295 Aus der Entscheidung des BGH wird durch die Hinzuziehung des sehr allgemein gefassten Art. 7 lit. f) EG-Datenschutzrichtlinie die Notwendigkeit einer ausführlichen und komplexen Interessenabwägung deutlich, um eine Strafbarkeit nach den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zu beurteilen.296 Im Bezug auf die zu beurteilenden Fälle hat der BGH jedoch immerhin eine Leitlinie der Strafbarkeit festgelegt: Die heimliche Überwachung von Personen mittels eines GPS-Empfängers soll grundsätzlich strafbar sein.297 289 290 291 292 293 294 295 296 297
BGH NJW S. 2530, 2354 f. Dammann/Simitis, Art. 7 Rn. 12. BGH NJW 2013, S. 2530, 2535. BGH NJW 2013, S. 2530, 2535. BGH NJW 2013, S. 2530, 2535; Dammann/Simitis, Art. 7 Rn. 12. Taeger/Gabel/Taeger, § 29 Rn. 29 m. w. N. Taeger/Gabel/Taeger, § 29 Rn. 30. Vgl. Balzer/Nugel, NJW 2013, S. 3397, 3402. So deutlich BGH, Pressemitteilung Nr. 96/13 vom 4. Juni 2013.
§ 10 Straftatbestände
165
„[L]ediglich bei Vorliegen eines starken berechtigten Interesses an dieser Datenerhebung“ könne die vorzunehmende allgemeine Interessenabwägung „ausnahmsweise (etwa in notwehrähnlichen Situationen) ergeben, dass das Merkmal des unbefugten Handelns bei diesen Einsätzen von GPS-Empfängern zu verneinen ist.“298 Im Übrigen ist auch bei der Beurteilung der Rechtmäßigkeit der Einrichtung automatisierter Abrufverfahren nach § 10 BDSG – und damit auch für die Sanktionierung nach § 43 Abs. 2 Nr. 2 BDSG – stets eine Interessenabwägung im Einzelfall entscheidend. In § 10 Abs. 1 S. 1 BDSG heißt es: „Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist.“ Die Beurteilung der Zulässigkeit wird hier der einzelfallbezogenen Einschätzung der verantwortlichen Stelle überlassen. Das Fehlen schärferer Konturen in den Zulässigkeitsnormen ist auch der abstrakten Natur des Rechtes auf informationelle Selbstbestimmung geschuldet. Es handelt sich insofern um eine Eigenart des Datenschutzes. Diese beruht aber nicht etwa auf einer sich dauernd wandelnden wissenschaftlichen oder technischen Erkenntnisbasis,299 sondern auf der fehlenden Konturiertheit des zugrunde liegenden Rechtsguts. Dies rechtfertigt es nicht, als wesentlichen Maßstab für die Ordnungswidrig- oder Strafbarkeit einer bestimmten, an sich sozialadäquaten Verhaltensweise, lediglich auf eine allgemeine Interessenabwägung im Einzelfall zu verweisen. Im Gegenteil erhöht die Unkonturiertheit des Rechtsguts die Anforderungen an den Gesetzgeber, um die Bereiche des Zulässigen und des Unzulässigen zu bestimmen.300 Nicht sämtliche Adressaten im weiten Anwendungsbereich der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG bringen die fachlichen Kenntnisse und die adäquaten Situationseinschätzungen mit, um das Vorliegen einer Befugnis auf dieser Grundlage zu bewerten.301 Die Befugnistatbestände des BDSG und andere bereichsspezifische Vorschriften liefern dem Normanwender keinen ausreichenden Orientierungsmaßstab, um festzustellen, ob eine von ihm vorgenommene Handlung unbefugt und damit sanktionsbedroht ist.302 Daher ist eine extensive Auslegung der datenschutzrechtlichen Befugnisnormen im Zusammenhang mit dem Merkmal „unbefugt“ erforderlich, die gleichbedeutend mit einer restriktiven Auslegung der Strafbarkeit ist.303 Neben der extensiven Auslegung könnte die Bestimmtheitsproblematik im Zusammenhang mit den Befugnisnormen über die Irrtumsregelung gelöst werden. Auch das BVerfG 298
BGH, Pressemitteilung Nr. 96/13 vom 4. Juni 2013. Damit ließe sich ein niedrigerer Maßstab an die Bestimmtheitsanforderungen begründen; vgl. BVerfGE 48, S. 89, 136 f. 300 Hoffmann-Holland/Singelnstein, in: Kunig/Nagata, S. 155, 161; vgl. auch oben Zweiter Teil § 5 V. 301 Vgl. Auernhammer/v. Lewinski, Vor. zu § 43 Rn. 10; Simitis/Ehmann, § 43 Rn. 7. 302 Vgl. Simitis/Ehmann, § 43 Rn. 7, Ventura-Heinrich, JA 2013, S. 130, 136. So auch schon zu früheren Fassungen des BDSG Arzt, in: Schimmelpfeng, S. 127, 135; Zielinski, in: Kilian/Lenk/ Steinmüller, S. 129, 147: „Dem Orientierungshinweise für sein Verhalten suchenden Rechtsgenossen werden hier Steine statt Brot gegeben.“ 303 So auch Auernhammer/v. Lewinski, Vor. zu § 43 Rn. 12, § 43 Rn. 45, der allerdings noch weiter geht und § 43 Abs. 2 Nr. 1–3 BDSG als verfassungswidrig einstuft. 299
166
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
hat ausgeführt, dass in Grenzfällen der Bestimmtheit im Strafrecht angemessene Lösungen über die Irrtumsregelung ermöglicht werden.304 Vorrangig soll hier jedoch zunächst die Möglichkeit einer restriktiven Auslegung des Merkmals „unbefugt“ durch extensive Auslegung der datenschutzrechtlichen Befugnisnormen behandelt werden. dd) Kriterien extensiver Auslegung Eine extensive Auslegung der Befugnisnormen kann dergestalt erfolgen, dass bei Vornahme einer einzelfallbezogenen Interessenabwägung ein unbefugter Umgang mit Daten nur angenommen wird, wenn die schutzwürdigen Interessen des Betroffenen jenen der verantwortlichen Stelle evident überwiegen und eine gegenteilige Auffassung eindeutig unvertretbar ist.305 Es ist im Strafrecht nicht unüblich, akzessorische Tatbestandsmerkmale eng auszulegen und auf Fälle evident bzw. eindeutig rechtswidrigen Handelns zu beschränken.306 So ist beispielsweise das Merkmal der Pflichtwidrigkeit beim Tatbestand der Untreue (§ 266 Abs. 1 StGB) nach dem BVerfG so auszulegen, dass die Strafbarkeit „auf evidente und schwerwiegende Verstöße“307 gegen die Vermögensbetreuungspflicht beschränkt ist. Um zu bestimmen, wann ein Umgang mit Daten evident unzulässig ist, können verschiedene objektive Kriterien herangezogen werden. So kann berücksichtigt werden, welcher Persönlichkeitssphäre308 die personenbezogenen Daten zuzuordnen sind und wie schwer der Eingriff wiegt. So wird auch bei den Abwägungen im Rahmen der allgemeinen Zulässigkeitstatbestände darauf abgestellt, welche Sphäre des Betroffenen berührt ist.309 Auch der BGH hat in seiner jüngsten Entscheidung zu den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ausgeführt, dass es bei der Beurteilung der Zulässigkeit der Erhebung von Bewegungsdaten mittels GPS-Empfängern zu berücksichtigen sei, auf welche Art und Weise die Datenerhebung stattfinde.310 Dabei komme es unter anderem darauf an, ob mit der Datenerhebung ein „Eindringen in befriedetes Besitztum des zu Observierenden verbunden“311 sei. Wer beispielsweise in die Garage des Betroffenen einbreche, um einen GPS-Empfänger an seinem Auto anzubringen, handele eher unbefugt als derjenige, der dies auf offener Straße tue.312 Hier kommt der Gedanke der Berücksichtigung der betroffenen Persönlichkeitssphäre klar zum Ausdruck. Es kann auch berücksichtigt werden, ob besonders sensible Daten i. S. d. § 3 Abs. 9 BDSG betroffen sind. In eine ähnliche Richtung geht der Vorschlag, im Rahmen einer extensiven Auslegung der Befugnistatbestände im strafrechtlichen Kontext stets das Vor-
304
BVerfGE 75, S. 329, 343; dazu Gaede, HRRS 2013, 449, 451. Ähnlich Tiedemann, NJW 1981, S. 945, 946. 306 Tiedemann, Wirtschaftsstrafrecht AT, Rn. 215 ff. mit diversen Beispielen; zum Merkmal des Sittenverstoßes bei § 226a a. F. BGH NJW 1953, S. 473, 475. 307 BVerfGE 126, S. 170, 218. 308 Zur Unterscheidung der Sphären oben Erster Teil § 2 I. 309 BGH NJW 2009, S. 2888, 2892; Gola/Schomerus, § 4 Rn. 8; Schneider, B Rn. 17. 310 BGH NJW 2013, S. 2530, 2537. 311 BGH NJW 2013, S. 2530, 2537. 312 Vgl. BGH NJW 2013, S. 2530, 2537. 305
§ 10 Straftatbestände
167
liegen einer schwerwiegenden Persönlichkeitsverletzung zu verlangen, um ein unbefugtes Handeln anzunehmen.313 Zudem sieht das BDSG bereits Befugnistatbestände vor, nach denen die Verwendung personenbezogener Daten nur bei einem offensichtlich überwiegenden Interesse des Betroffenen unzulässig ist. Dies ist bei den §§ 14 Abs. 2 Nr. 5, 15 Abs. 5, 28 Abs. 1 S. 1 Nr. 3, 28a Abs. 2 S. 1, 29 Abs. 1 S. 1 Nr. 2, 30 Abs. 2 Nr. 2, 30a Abs. 1 S. 1 Nr. 2 BDSG der Fall. Die Auslegung dieser Befugnistatbestände kann Anhaltspunkte dafür geben, wann ein Umgang mit personenbezogenen Daten evident unbefugt ist. Es wird angenommen, dass das Interesse des Betroffen offensichtlich überwiegt, wenn es so klar zu Tage tritt, „dass eine andere Entscheidung [als zugunsten des Betroffenen] praktisch nicht möglich ist.“314 Zur Veranschaulichung der extensiven Auslegung der Befugnisnormen des BDSG dient der folgende Fall. Fall 3: Die Vermietergesellschaft315 Die private Berliner Vermietergesellschaft V hat eine „Warndatei“ entwickelt, um darin Fehlverhalten ihrer Mieter zu dokumentieren. In der Datei wird vermerkt, wenn Mieter mehre Monate in Folge in Zahlungsrückstand kommen. Der Landesdatenschutzbeauftragte, zugleich zuständige Datenschutzaufsichtsbehörde, erfährt von der Warndatei. Er fordert die V auf, keine Daten mehr in der Warndatei zu speichern. Die V dokumentiert jedoch wie gehabt Zahlungsrückstände ihrer Mieter. Nach ihrer Ansicht besteht ein berechtigtes Interesse daran, sich und andere Vermietergesellschaften durch das System vor „Mietnomaden und Chaoten“ zu schützen. Ein überwiegendes Interesse der Mieter, deren Daten betroffen sind, sieht sie nicht. Der Landesdatenschutzbeauftragte verhängt in der Folge in seiner Funktion als Bußgeldbehörde ein Bußgeld nach § 43 Abs. 2 Nr. 1 Var. 2 BDSG wegen unbefugter Speicherung von personenbezogenen Daten.
Fraglich ist, ob die Speicherung personenbezogener Daten in diesem Fall unbefugt i. S. d. § 43 Abs. 2 Nr. 1 BDSG erfolgte. Eine Einwilligung der Mieter lag nicht vor. Die Speicherung könnte aber nach § 28 Abs. 1 S. 2 Nr. 2 BDSG zulässig gewesen sein. Ob die Erhebung der Daten der Mieter durch die V nach § 28 Abs. 1 S. 2 Nr. 2 BDSG zulässig war, lässt sich nur anhand aller Umstände des Einzelfalles beurteilen. Jedenfalls ist zu beachten, dass „im Hinblick auf die Bedeutung der Wohnung für die Lebensgestaltung die schutzwürdigen Belange der Mietinteressierten in besonderer Weise zu berücksichtigen sind.“316 Ihnen stehen die ökonomischen Interessen der Vermieter gegenüber. Vor allem besteht von deren Seite ein berechtigtes Interesse, Mietausfallrisiken zu vermeiden.317 Es ist daher naheliegend, zumindest die Dokumentation solcher Verhalten zu gestatten, die konkrete Hinweise auf Mietausfallrisiken begründen. Ob dies bei Zahlungsrückständen von mindestens zwei Monaten der Fall ist, ist fragwürdig. Nach der gängigen Abgrenzung in der Rechtsprechung zur Zulässigkeit der Verwendung harter und weicher Bonitätsdaten dürfte die Erhebung der Mieterdaten durch V als 313 So Höft, S. 36 in Anlehnung an das Erfordernis beim immateriellen Schadensersatz; dazu unten § 12 II. 314 Gola/Schomerus, § 15 Rn. 28. 315 Vgl. zu Warndateien in der Wohnungsvermietung LfDI NRW, Bericht 2005/2006, S. 73 ff. 316 LfDI NRW, Bericht 2005/2006, S. 74; vgl. auch Reif , RDV 2007, S. 4, 7. 317 Vgl. LfDI NRW, Bericht 2005/2006, S. 74.
168
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
unzulässig anzusehen sein.318 Denn ein Zahlungsrückstand von zwei Monaten belegt die Zahlungsunwilligkeit oder -unfähigkeit eines Mieters noch nicht klar und eindeutig. Es handelt sich nicht um ein „hartes Bonitäsdatum“, das ein überwiegendes Interesse des Vermieters nahelegt. Dementsprechend fällt die Interessenabwägung zugunsten des Mieters aus. Das Verhalten der V war demnach im außerstrafrechtlichen Kontext als unbefugt anzusehen. Fraglich ist, ob das Verhalten der V auch im straf- bzw. ordnungswidrigkeitenrechtlichen Kontext als unbefugt anzusehen war.319 Hierfür müsste das Interesse des Mieters auch bei extensiver Auslegung der Befugnisnorm überwiegen. Das Interesse der Mieter müsste dem der V demnach evident überwiegen. In dem vorliegenden Fall standen sich zwei grundsätzlich berechtigte Interessen gegenüber. Die Erhebung betraf keine besonders sensiblen Daten im Sinne des § 3 Abs. 9 BDSG. V musste auch nicht in einen geschützten Bereich seiner Mieter eindringen, um die Daten zu Erheben und abzuspeichern. Im Ergebnis überwog das Interesse der Mieter zwar im konkretem Fall dem Interesse der V am Schutz vor Zahlungsausfallrisiken, evident war dies aber nicht. Bei einer extensiven Auslegung der Befugnisnorm § 28 Abs. 1 S. 2 Nr. 2 BDSG im straf- und ordnungswidrigkeitenrechtlichen Kontext war das Verhalten des V also nicht als unbefugt anzusehen. Der Bußgeldbescheid auf Grundlage des § 43 Abs. 2 Nr. 1 Var. 2 BDSG ist also im Ergebnis als rechtswidrig anzusehen, da die Voraussetzungen des Ordnungswidrigkeitentatbestandes nicht vorlagen. ee) Mögliche Konsequenz der Normspaltung Legt man die einschlägigen Befugnisnormen im Zusammenhang mit dem Merkmal „unbefugt“ in § 43 Abs. 2 BDSG extensiv aus, stellt sich die Frage, inwieweit sich diese Auslegung auf die sonstige Anwendung der Befugnisnormen auswirkt. Es besteht entweder die Möglichkeit, die extensive Auslegung auf die Anwendung der Befugnisnormen im Übrigen zu übertragen oder eine selbstständige Auslegung für die §§ 43 und 44 BDSG vorzunehmen.320 Letzteres würde zu einer „Normspaltung“ führen.321 So wird im Bezug auf die abwägungsoffenen Befugnistatbestände des BDSG im außerstrafrechtlichen Kontext zum Teil explizit eine restriktive Auslegung vertreten.322 Die Problematik der Normspaltung stellt sich in vielen Bereichen des akzessorischen Strafrechts.323 Eine eindeutige Tendenz, ob und wenn ja, unter welchen Bedingungen die 318
Vgl. Wolff/Brink/Wolff , § 28 BDSG Rn. 77.1. Im Bezug auf § 43 Abs. 2 BDSG als Ordnungswidrigkeitennorm muss das Merkmal „unbefugt“ ähnlich restriktiv gehandhabt werden wie im Bezug auf §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG als Strafnorm, da auch für das Ordnungswidrigkeitenrecht das Bestimmtheitsgebot des Art. 103 Abs. 2 GG gilt; BVerfG NJW 2010, S. 754; BVerfG NStZ 1990, S. 394. 320 Tiedemann, NJW 1981, S. 945. 321 Zum Teil wird auch der Begriff „Normambivalenz“ verwendet, vgl. Popp, wistra 2011, S. 169, 174 m. w. N.; Tiedemann, in: FS Schaffstein 1975, S. 195 ff.; Tiedemann, Wirtschaftsstrafrecht AT, Rn. 209, 222. 322 Zu § 28 Abs. 1 Nr. 2 BDSG Simitis/Simitis, § 28 Rn. 98; Taeger/Gabel/Taeger, § 28 Rn. 54 m. w. N. 323 Vgl. etwa O˘ glakcıo˘glu, ZIS 2012, S. 431, 435 (zum Urheberstrafrecht); Popp, wistra 2011, S. 169, 175 (zum WpHG). Erstmals stellte sich die Problematik im Kartellordnungswidrigkeiten319
§ 10 Straftatbestände
169
Konsequenz einer Normspaltung angenommen werden kann, existiert allerdings weder in der Lehre noch in der Rechtsprechung. In einer Entscheidung hatte sich das BVerfG mit der Auslegung des Merkmales „einem ordnungsmäßigen Geschäftsgang entsprechenden Zeit“ in § 39 Abs. 2 HGB a. F. im strafrechtlichen Kontext zu befassen.324 § 240 Abs. 1 Nr. 4 KO a. F.325 stellte es unter Strafe, es unter bestimmten Bedingungen „gegen die Bestimmung des Handelsgesetzbuchs“ zu unterlassen, in der vorgeschriebenen Zeit die Bilanz seines Vermögens zu ziehen.326 Dadurch nahm die Vorschrift Bezug auf § 39 Abs. 2 S. 2 HGB a. F., der das Gebot enthielt, die Jahresbilanz „innerhalb der einem ordnungsmäßigen Geschäftsgang entsprechenden Zeit“ aufzustellen.327 Nach dem BVerfG verlieh der Verweis in der Strafvorschrift der Bezugsnorm § 39 Abs. 2 HGB „im Umfang jener Bezugnahme den Charakter einer Strafnorm“.328 Daraus folgerte das BVerfG, dass „das Tatbestandsmerkmal der ‚einem ordnungsmäßigen Geschäftsgang entsprechenden Zeit‘ nunmehr, soweit eine Bestrafung nach § 240 I Nr. 4 KO a. F. in Frage steht, unter strafrechtlichen Gesichtspunkten und nach den Maßstäben zu würdigen“ sei, „die für die Auslegung von Strafgesetzen gelten.“329 In Anbetracht der Tatsache, dass § 240 Abs. 1 Nr. 4 KO a. F. „die verspätete Bilanzziehung nicht schlechthin, sondern nur für den Fall mit Strafe [bedrohte], daß die Unterlassung im Zusammenhang mit einem Bankrott stand“ sei „das Tatbestandsmerkmal der ‚einem ordnungsmäßigen Geschäftsgang entsprechenden Zeit‘, soweit es Bestandteil der genannten Strafvorschrift ist, eng auszulegen.“330 Durch diese zwischen strafrechtlichem und außerstrafrechtlichem Kontext differenzierenden Ausführungen zur Auslegung des Merkmals scheint das BVerfG in der Entscheidung eine Normspaltung nahezulegen.331 Eindeutig ist diese Konsequenz jedoch nicht. Zudem hatte sich das BVerfG im Bezug auf einen bürgerlichen Rechtsstreit in einer früheren Entscheidung gegen eine erweiternde Auslegung einer Vorschrift des Rabattgesetzes ausgesprochen, weil eine solche schon angesichts der Strafbestimmung des Gesetzes (die diese Vorschrift in Bezug nahm) „nicht angängig“332 sei. Die Rechtsprechung des BVerfG zu der Frage der Normspaltung wird daher zu Recht als „ambivalent“333 beschrieben.
recht; vgl. Möhring, GRUR 1968, S. 541 ff.; Schröder, S. 391; Tiedemann, Wirtschaftsstrafrecht AT, Rn. 209 f., 222 ff. m. w. N. 324 BVerfG NJW 1978, S. 1423. 325 Der Vorschrift entspricht heute § 283 Abs. 1 Nr. 7 lit. b) StGB. 326 § 240 Abs. 1 Nr. 4 KO lautete in der für die Entscheidung maßgeblichen Fassung: „Schuldner, welche ihre Zahlungen eingestellt haben oder über deren Vermögen das Konkursverfahren eröffnet worden ist, werden wegen einfachen Bankrotts mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft, wenn sie es gegen die Bestimmung des Handelsgesetzbuchs unterlassen haben, die Bilanz ihres Vermögens in der vorgeschriebenen Zeit zu ziehen.“ 327 Vgl. heute § 264 Abs. 1 S. 4 HGB. 328 BVerfG NJW 1978 S. 1423, 1424. 329 BVerfG NJW 1978 S. 1423, 1424 (Hervorhebung im Original). 330 BVerfG NJW 1978 S. 1423, 1424. 331 Vgl. Otto, Jura 2005, S. 538, 539. 332 BVerfG NJW 1967, 1459, 1462. 333 Schröder, S. 392.
170
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Auch der BGH hat sich in seiner Rechtsprechung zu der Problematik der Normspaltung noch nicht eindeutig geäußert.334 In seiner „Teerfarben“-Entscheidung ließ der Kartellsenat des BGH offen, ob die für das Ordnungswidrigkeitenrecht erforderliche enge Auslegung des Begriffes des Vertrages im damaligen § 1 GWB auch auf das allgemeine zivilrechtliche Verständnis zu übertragen sei.335 In einer späteren Entscheidung führte der I. Zivilsenat des BGH jedoch im Bezug auf § 1 Abs. 3 ZugabeVO aus, „daß in Fällen, in denen an ein und denselben objektiven Tatbestand sowohl zivilrechtliche als auch strafrechtliche Sanktionen geknüpft werden, eine einheitliche Beurteilung der Analogiefrage geboten erscheint und im Interesse der Rechtssicherheit und Rechtseinheit unerläßlich“336 sei. In seiner jüngsten Entscheidung zu den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG hat der 1. Strafsenat des BGH wiederum angedeutet, dass eine gespaltene Auslegung der Befugnisnormen des BDSG im strafrechtlichen und außerstrafrechtlichen Kontext erforderlich sein könnte.337 Er führte aus, dass jedenfalls für das Strafrecht der gegenüber den Befugnisnormen des BDSG für weitergehende Art. 7 lit. f) EG-Datenschutzrichtlinie für die Zulässigkeit der Datenerhebung maßgeblich sein müsse.338 Die Aussage, dass das nationale Recht „jedenfalls im Verhältnis zwischen dem auf der Grundlage von § 44 BDSG (möglicherweise) strafenden Staat und dem von Strafe bedrohten ‚Datenverarbeiter‘ nicht hinter den durch Art. 7 lit. f der Datenschutzrichtlinie gewährten Befugnissen zur Verarbeitung personenbezogener Daten der Betroffenen zurückbleiben“339 dürfe, legt nahe, dass die Befugnisnormen des BDSG außerhalb des strafrechtlichen Kontextes nach Ansicht des BGH durchaus strenger ausgelegt werden können. Die vom I. Zivilsenat des BGH in seiner Entscheidung zu § 1 Abs. 3 ZugabeVO geäußerten Gesichtspunkte der Rechtssicherheit und Rechtseinheit sprechen zunächst für eine einheitliche Auslegung von Verhaltensnormen im strafrechtlichen und außerstrafrechtlichen Kontext.340 Eine gespaltene Auslegung kann in der Praxis in der Tat zu nicht leicht nachvollziehbaren Ergebnissen führen. Dies veranschaulicht die folgende Abwandlung von Fall 3:341 Der Landesdatenschutzbeauftragte ordnet gemäß § 38 Abs. 5 S. 1 BDSG gegenüber V an, keine personenbezogenen Daten mehr in der „Warndatei“ zu speichern. Nach Ablauf der Widerpruchsfrist wird diese Anordnung vollziehbar. Der Landesdatenschutzbeauftragte verhängt in der Folge in seiner Funktion als Bußgeldbehörde ein Bußgeld (1.) nach § 43 Abs. 2 Nr. 1 Var. 2 BDSG wegen unbefugter Speicherung von personenbezogenen Daten und (2.) gemäß § 43 Abs. 1 Nr. 11 BDSG wegen Handelns entgegen einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 BDSG.
Wie bereits geprüft, erfolgte die Speicherung der Informationen zu den Zahlungsrückständen nicht unbefugt i. S. d. § 43 Abs. 2 Nr. 1 BDSG, weshalb der Bußgeldbescheid dies-
334 335 336 337 338 339 340 341
Vgl. Schröder, S. 391. BGH NJW 1971, S. 521, 524. BGH NJW 1978, S. 1856. BGH NJW 2013, S. 2530, 2535; vgl. dazu oben cc). BGH NJW 2013, S. 2530, 2535. BGH NJW 2013, S. 2530, 2535. BGH NJW 1978, S. 1856; vgl. auch Popp, wistra 2011, S. 169, 175; Schröder, S. 393. Oben dd).
§ 10 Straftatbestände
171
bezüglich rechtswidrig war. Fraglich ist aber, ob der Bußgeldbescheid nach § 43 Abs. 1 Nr. 11 BDSG rechtswidrig war. Voraussetzung des § 43 Abs. 1 Nr. 11 BDSG ist zunächst das Zuwiderhandeln gegenüber einer vollziehbaren Anordnung nach § 38 Abs. 5 S. 1 BDSG. Eine solche vollziehbare Anordnung lag hier vor. Des Weiteren ist – ausgehend von der Annahme, dass § 43 Abs. 1 Nr. 11 BDSG das Sachinteresse der informationellen Selbstbestimmung schützt – vorauszusetzen, dass eine vollziehbare Anordnung jedenfalls materiell rechtmäßig sein muss, um das Zuwiderhandeln als Ordnungswidrigkeit sanktionieren zu können.342 Die Speicherung der personenbezogenen Daten in der Warndatei war im außerstrafrechtlichen Kontext als unbefugt zu beurteilen. Daher war die Anordnung zur Beseitigung dieses Verstoßes gemäß § 38 Abs. 5 S. 1 BDSG materiell rechtmäßig. Daher war der Bußgeldbescheid nach § 43 Abs. 1 Nr. 11 BDSG rechtmäßig. Im Ergebnis führt hier die unterschiedliche Beurteilung der Rechtmäßigkeit des Verhaltens der V im verwaltungsrechtlichen und ordnungswidrigkeitenrechtlichen Kontext zu einem Widerspruch: Es kann zwar keine Sanktionierung aufgrund einer ordnungswidrigen Datenverarbeitung nach § 43 Abs. 2 Nr. 1 Var. 2 BDSG, aber dennoch eine Sanktionierung nach § 43 Abs. 1 Nr. 11 BDSG aufgrund einer verwaltungsrechtswidrigen Datenverarbeitung erfolgen. Wenn man nicht davon ausgeht, dass § 43 Abs. 1 Nr. 11 BDSG einen Schutz vor bloßem Verwaltungsungehorsam bezweckt, erscheint dieses Ergebnis nicht als folgerichtig. Zudem wird für eine einheitliche Auslegung die Vermutung angeführt, dass „der Gesetzgeber bei einer Zusammenfassung der Strafnorm mit der außerstrafrechtlichen Regelung in einem Gesetz den Vorschriften dort, wo sie sich terminologisch überschneiden, den gleichen Anwendungsbereich und Aussagegehalt zuschreiben wollte“343 . Allerdings kann nicht in allen Fällen davon ausgegangen, dass eine einheitliche Auslegung der unterschiedlichen Vorschriften vor dem Hintergrund des strafrechtlichen Bestimmtheitsgebotes im Endeffekt auch dem gesetzgeberischen Willen entspricht. Es besteht durchaus die Möglichkeit, dass eine einheitlich restriktive Auslegung von strafrechtlichen und außerstrafrechtlichen Vorschriften dem Willen des Gesetzgebers gerade widersprechen würde. So kann die Anpassung des „verwaltungsrechtlichen Norminhalts an den strafrechtlichen Tatbestand und seine rechtsstaatlichen Erfordernisse“ nach Tiedemann „zahlreiche Erscheinungen, die der Gesetzgeber jedenfalls außerstrafrechtlich bekämpfen will, die aber nicht völlig eindeutig unter das Gesetz fallen, von der Geltung des Gesetzes überhaupt ausnehmen“344 . Gerade im Datenschutzrecht ist dieser Einwand zu beachten. Denn würde man die datenschutzrechtlichen Befugnisnormen in Anlehnung an die gebotene extensive Interpretation im Zusammenhang mit dem Merkmal „unbefugt“ auch 342 Ob die Rechtmäßigkeit der vollziehbaren Anordnung Voraussetzung für die Verhängung eines Bußgeldes ist, ist im Zusammenhang mit § 43 Abs. 1 Nr. 11 BDSG nicht geklärt. Sie stellt sich hier ähnlich wie bei zahlreichen anderen Ordnungswidrigkeitentatbeständen, die das Handeln entgegen einer vollziehbaren Anordnung mit Bußgeld bedrohen; vgl. nur Mitsch, JA 2008, S. 241, 244. Das Problem betrifft ein allgemeines Spannungsfeld zwischen Ordnungswidrigkeiten- sowie Strafrecht und dem Verwaltungsrecht, das hier nicht ausführlich behandelt werden soll; vgl. dazu nur Petersohn, S. 140 ff. 343 Schröder, S. 393; vgl. auch Möhring, GRUR 1968, S. 541, 543; Tiedemann, in: FS Schaffstein 1975, S. 195, 197. 344 Tiedemann, in: FS Schaffstein 1975, S. 195, 198.
172
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
außerhalb des Ordnungswidrigkeiten- und Strafrechts weit auslegen, könnte dies grundlegenden Schutzgedanken des Datenschutzrechts entgegenlaufen. Das Recht auf informationelle Selbstbestimmung soll den Betroffenen gerade vor informationellen Ungleichgewichten schützen, die sich nicht in einer Privatsphärenverletzung im klassischen Sinne ausdrücken.345 Würde man im Rahmen einer extensiven Auslegung der Befugnisnormen verstärkt auf die Verletzung einer bestimmten Sphäre abstellen,346 könnte gerade dieser Schutz ausgehöhlt werden. Dem Datenschutzrecht liegt der Gedanke zugrunde, dass es „unter den Bedingungen der automatischen Datenverarbeitung kein ‚belangloses‘ Datum mehr“347 gibt. Würde man bei einer extensiven Auslegung der Befugnisse auch im außerstrafrechtlichen Kontext verstärkt darauf abstellen, ob besonders sensible Daten betroffen sind, könnte auch dieser Schutzgedanke unterlaufen werden. Eine durchgehend extensive Auslegung der Befugnisnormen des BDSG liefe auch dem grundlegenden „Regel-Ausnahme-Mechanismus“348 des Datenschutzrechts entgegen. Dieses geht von der „Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“349 aus. Entsprechend ist im BDSG ein grundsätzliches Verbot der Datenverarbeitung geregelt (§ 4 Abs. 1 BDSG). Angesichts dessen besteht grundsätzlich die Neigung zu einer restriktiven Auslegung der datenschutzrechtlichen Befugnisnormen.350 Während der Schutz des Persönlichkeitsrechtes des Einzelnen vor einem missbräuchlichen Umgang mit seinen personenbezogenen Daten eine restriktive Auslegung der Befugnisnormen erfordert, führt das strafrechtliche Bestimmtheitsgebot gerade zu einer gegenteiligen Konsequenz.351 Vor dem Hintergrund dieses – im Regelungsmodell des BDSG verankerten – Grundverständnisses ist eine einheitliche extensive Auslegung der Befugnistatbestände kaum möglich. Um sowohl dem Schutzbedürfnis des informationellen Selbstbestimmungsrechtes nachzukommen als auch den verfassungsrechtlichen Anforderungen an die Bestimmtheit von Straf- und Ordnungswidrigkeitentatbeständen zu genügen, muss eine gespaltene Auslegung der Befugnisnormen des BDSG erfolgen. In einzelnen Fällen schwierig nachvollziehbare Ergebnisse im Hinblick auf Ordnungswidrigkeiten und Strafbarkeiten müssen dabei in Kauf genommen werden. Das Ergebnis der beschriebenen Abwandlung von Fall 3 ist in der Konsequenz, dass das nach § 43 Abs. 2 Nr. 1 Var. 2 BDSG wegen unbefugter Speicherung von personenbezogenen Daten verhängte Bußgeld zwar rechtswidrig ist, das gemäß § 43 Abs. 1 Nr. 11 BDSG wegen Handelns entgegen einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 BDSG verhängte Bußgeld allerdings rechtmäßig. Bedenkt man die von der Anordnung ausgehende Signalwirkung, erscheint dieses Ergebnis auch für die betroffene V hinnehmbar.
345
Vgl. BVerfGE 65, S. 1, 45. Dazu oben dd). 347 BVerfGE 65, S. 1, 45. 348 Helfrich, in: Hoeren/Sieber 2014, Rn. 35. 349 BVerfGE 65, S. 1, 43. 350 Vgl. Helfrich, in: Hoeren/Sieber 2014, Rn. 35. 351 Eine ähnliche Problemkonstellation besteht im Urheberrecht, wo die Schrankenregelungen als Befugnisnormen zur Nutzung geschützter Werke ebenfalls grundsätzlich restriktiv ausgelegt werden, während im strafrechtlichen Kontext eine weitere Auslegung erforderlich ist; vgl. O˘glakcıo˘glu, ZIS 2012, S. 431, 435. 346
§ 10 Straftatbestände
173
d) Einwilligung Aus der Zuordnung des Merkmals „unbefugt“ in den Tatbestand ergibt sich, dass das Vorliegen einer datenschutzrechtlichen Einwilligung nach § 4 Abs. 1 BDSG bereits den Tatbestand der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 –3 BDSG ausschließt und nicht erst auf der Ebene der Rechtswidrigkeit zu prüfen ist.352 Zudem ergibt sich dies aus dem geschützten Rechtsgut der informationellen Selbstbestimmung: Wenn ein Umgang mit personenbezogenen Daten dem erklärten Willen des Betroffenen entspricht, dann ist seine Einwilligung in diesen gerade Ausdruck seines Selbstbestimmungsrechtes.353 Dem konsensualen Umgang mit den personenbezogenen Daten durch die verantwortliche Stelle fehlt es in diesem Fall von Vornherein an einem deliktischen Charakter.354 Aus diesem Grund schließt eine datenschutzrechtliche Einwilligung im Rahmen der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG auch die Tatbestände aus, die einen Umgang mit personenbezogenen Daten betreffen, aber nicht das Merkmal „unbefugt“ enthalten – so etwa § 43 Abs. 2 Nr. 5 BDSG, der die zweckwidrige Nutzung personenbezogener Daten entgegen bestimmter Vorschriften mit Sanktionen bedroht. Bei einer datenschutzrechtlichen Einwilligung handelt es sich im strafrechtlichen Kontext der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG demnach streng genommen nicht um eine Einwilligung, sondern um ein tatbestandsausschließendes Einverständnis.355 Die Wirksamkeitsvoraussetzungen des tatbestandsausschließenden Einverständnisses ergeben sich dabei aus dem Regelungskontext der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG.356 In erster Linie ist also § 4a BDSG maßgeblich. Es fragt sich jedoch, ob dessen Anforderungen an die datenschutzrechtliche Einwilligung uneingeschränkt für das tatbestandausschließende Einverständnis auf strafrechtlicher Ebene gelten können. aa) Freiwilligkeit Inhaltliche Anforderungen an die datenschutzrechtliche Einwilligung ergeben sich vor allem aus dem Prinzip der Freiwilligkeit. Gemäß § 4a Abs. 1 S. 1 BDSG ist die Einwilligung „nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht“. Eine Einwilligung kann nur dann eine freie Entscheidung sein, wenn sie informiert erfolgt, dem Betroffenen also die Umstände der Einwilligung klar sind.357 Vor diesem Hintergrund regelt § 4a Abs. 1 S. 2 BDSG die Voraussetzung, den Einwilligenden „auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den
352 So auch Höft, S. 40; Tiedemann, NJW 1981, S. 945, 948; anders Cornelius, in: Leupold/ Glossner, Rn. 264. 353 Geiger, NVwZ 1989, S. 35, 37; vgl. auch Gola/Schomerus, § 4a Rn. 2; Riesenhuber, RdA 2011, S. 257 f.; Taeger/Gabel/Taeger, § 4a Rn. 5. 354 Vgl. Schönke/Schröder/Lenckner/Sternberg-Lieben, Vorbem. §§ 32 ff. Rn. 31. 355 Riesenhuber, RdA 2011, S. 257 f. schlägt die Bezeichnung als tatbestandsausschließendes Einverständnis für die datenschutzrechtliche Einwilligung auch im außerstrafrechtlichen Kontext vor. Vgl. zu der traditionellen Unterscheidung zwischen Einwilligung und tatbestandsausschließendem Einverständnis nur MK-StGB/Schlehofer, 2. Aufl., Vor §§ 32 ff. Rn. 124 ff. 356 Vgl. dazu allgemein MK-StGB/Schlehofer, 2. Aufl., Vor §§ 32 ff. Rn. 125; Schönke/Schröder/ Lenckner/Sternberg-Lieben, Vorbem. §§ 32 ff. Rn. 32 ff. 357 Eisele, S. 90; Gola/Schomerus, § 4a Rn. 25; Taeger/Gabel/Taeger, § 4a Rn. 52.
174
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen“. Auch für Einwilligungen gilt der Grundsatz der Zweckbindung,358 eine pauschale Einwilligung in den Umgang mit personenbezogenen Daten ist unzulässig.359 Eine weitere Voraussetzung für eine freie Entscheidung bei der datenschutzrechtlichen Einwilligung ist die Einsichtsfähigkeit des Betroffenen.360 Obwohl beim Umgang mit personenbezogenen Daten auch Vermögensinteressen berührt sein können, ist die Geschäftsfähigkeit nicht generell Voraussetzung für die Einwilligungsfähigkeit.361 Insgesamt hat die Beurteilung, ob eine Einwilligung auf der freien Entscheidung des Betroffenen beruhte, einzelfallabhängig zu erfolgen.362 Praktisch bereitet es erhebliche Schwierigkeiten, die Freiwilligkeit einer Einwilligung nach den beschriebenen Kriterien zu prüfen. Oftmals ist zweifelhaft, ob die Betroffenen (nach eigenem Empfinden) tatsächlich eine Wahl haben, ob sie eine Einwilligung erteilen.363 Gerade im modernen elektronischen Geschäftsverkehr besteht die Gefahr, dass datenschutzrechtliche Einwilligungen von Verbrauchern als „notwendiges Übel“ angesehen und flüchtig erteilt werden, ohne eine freie Entscheidungsmöglichkeit tatsächlich anzunehmen.364 Buchner merkt in diesem Zusammenhang zu Recht an, dass das Leitbild vom mündigen Verbraucher möglicherweise eher ein „Traumbild“ ist.365 Ein anderer Bereich, in dem die Freiwilligkeit datenschutzrechtlicher Einwilligungen regelmäßig in Frage steht, sind Arbeitsverhältnisse.366 Dadurch, dass der Arbeitnehmer in einem Abhängigkeitsverhältnis zum Arbeitgeber steht und bei der Ablehnung einer Einwilligung möglicherweise Nachteile zu befürchten hat bzw. sogar seine Beschäftigung aufs Spiel setzt, kann seine Entscheidungsfreiheit enorm beeinträchtigt sein.367 Zum Teil wird daher die Möglichkeit einer freien Entscheidung bei der Abgabe einer datenschutzrechtlichen Einwilligung im Arbeitsverhältnis insgesamt in Frage gestellt.368 Für die vorliegende Untersuchung stellt sich die Frage, inwiefern die beschriebenen Voraussetzungen an die Freiwilligkeit auf das tatbestandsausschließende Einverständnis im strafrechtlichen Kontext der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG angewandt werden können. Dies könnte deshalb problematisch sein, weil bei verschiedenen Straftatbeständen ein tatbestandsausschließendes Einverständnis auch dann als wirksam erteilt gilt,
358
Dazu oben Erster Teil § 3 III. 1. und 2.; Zweiter Teil § 5 II. 2. Beisenherz/Tinnefeld, DuD 2011, S. 110; Taeger/Gabel/Taeger, § 4a Rn. 30 m. w. N. 360 Gola/Schomerus, § 4a Rn. 25; Simitis/Simitis, § 4a Rn. 20; Taeger/Gabel/Taeger, § 4a Rn. 29 jeweils m. w. N. 361 Erbs/Kohlhaas/Ambs, § 4a BDSG Rn. 4; Gola/Schomerus, § 4a Rn. 25; Taeger/Gabel/Taeger, § 4a Rn. 29 m. w. N. 362 Eisele, S. 91; Zscherpe, MMR 2004, S. 723, 727; vgl. auch Taeger/Gabel/Taeger, § 4a Rn. 52. 363 Simitis/Simitis, § 4a Rn. 3 m. w. N.; vgl. auch Auernhammer/Kramer, § 4a Rn. 3. 364 Vgl. Spindler, GRUR 2013, S. 996, 997 f. 365 Buchner, DuD 2010, S. 39, 42. 366 Auernhammer/Kramer, § 4a Rn. 6 f.; Simitis/Simitis, § 4a Rn. 3 f. 367 Kock/Francke, NZA 2009, S. 646, 647 m. w. N.; Simitis/Simitis, § 4a Rn. 62; Tinnefeld/Petri/ Brink, MMR 2010, S. 727, 729; vgl. auch BVerfG NZA 1992, S. 270, 273. 368 Vgl. nur Riesenhuber, RdA 2011, S. 257, 261 m. w. N., der diese Möglichkeit aber im Ergebnis als eröffnet ansieht. 359
§ 10 Straftatbestände
175
wenn es etwa durch eine Täuschung erlangt wurde.369 Dies wäre mit den beschriebenen Voraussetzungen der datenschutzrechtlichen Einwilligung nicht zu vereinbaren.370 Allerdings lässt sich die Wirksamkeit des tatbestandsausschließendes Einverständnisses trotz täuschungsbedingter Erlangung nicht bei sämtlichen Tatbeständen annehmen, bei denen ein ausschließendes Einverständnis in Betracht kommt. Da sich die Möglichkeit eines tatbestandsausschließenden Einverständnisses auf unterschiedliche Weise aus den jeweiligen Tatbeständen ergibt, sind auch seine Anforderungen in Abhängigkeit vom jeweiligen Tatbestand festzustellen.371 Im Falle der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG würde die Annahme eines wirksamen Einverständnisses trotz Täuschung gerade der Schutzrichtung der Vorschriften entgegenlaufen. Das Opfer soll durch das Datenschutz(straf)recht vor einem wissensbedingten Machtungleichgewicht geschützt werden; die informierte und freiwillige Einwilligung in den Umgang mit personenbezogenen Daten ist hierbei eine der Säulen des Schutzsystems. Daher müssen die Voraussetzungen an die datenschutzrechtliche Einwilligung aus § 4a BDSG uneingeschränkt auch für das tatbestandsausschließende Einverständnis im strafrechtlichen Kontext gelten. Das Prinzip der Freiwilligkeit der datenschutzrechtlichen Einwilligung harmoniert im Übrigen mit den Voraussetzungen der Freiwilligkeit und Ernstlichkeit der strafrechtlichen Einwilligung.372 Aufgrund der Geltung dieser Voraussetzungen könnte man im Zusammenhang mit den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG auch von einer „tatbestandsausschließenden Einwilligung“ anstelle eines tatbestandsausschließenden Einverständnisses sprechen.373 bb) Formelle Anforderungen Formell gilt, dass die datenschutzrechtliche Einwilligung höchstpersönlich sowie grundsätzlich ausdrücklich374 und schriftlich erklärt werden muss.375 Ähnlich wie im Zusammenhang mit den Anforderungen an die Freiwilligkeit376 sind die spezifisch datenschutzrechtlichen Anforderungen an die Kundgabe und Form der Einwilligung grundsätzlich auch im strafrechtlichen Kontext der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG für das tatbestandsausschließende Einverständnis zu beachten. Auch diesbezüglich hängen die Anforderungen an das tatbestandsausschließende Einverständnis vom jeweiligen Tat369 So etwa beim Diebstahl gem. § 242 Abs. 1 StGB, wo eine Wegnahme auch dann nicht vorliegt, wenn das Einverständnis hierzu irrtumsbedingt erteilt wurde; vgl. nur BeckOK-StGB/Wittig, § 242 Rn. 23. 370 Vgl. Auernhammer/Kramer, § 4a Rn. 12; Gola/Schomerus, § 4a Rn. 22. 371 Lackner/Kühl, Vor § 32 Rn. 11; LK/Rönnau, 12. Aufl., Vor § 32 Rn. 157a; MK-StGB/ Schlehofer, 2. Aufl., Vor §§ 32 ff. Rn. 253; Roxin, AT I, § 13 Rn. 32; Schönke/Schröder/ Lenckner/Sternberg-Lieben, Vorbem. §§ 32 ff. Rn. 32 ff. jeweils m. w. N. So erfordert etwa das tatbestandsausschließende Einverständnis bei der Untreue gem. § 266 Abs. 1 StGB die Freiheit von Willensmängeln; vgl. BeckOK-StGB/Wittig, § 266 Rn. 21; MK-StGB/Dierlamm, 2. Aufl., § 266 Rn. 144; Schönke/Schröder/Perron, § 266 Rn. 21 jeweils m. w. N. 372 Eisele, S. 90; vgl. zur Freiwilligkeit und Ernstlichkeit der strafrechtlichen Einwilligung BGH NJW 1953, S. 912; BGH NJW 1964, S. 1190, 1192; Lackner/Kühl, § 228 Rn. 5 ff. 373 Vgl. im Zusammenhang mit § 266 Abs. 1 StGB OLG Dresden NZG 2000, S. 259, 261. 374 Zur Möglichkeit einer konkludenten Einwilligung Auernhammer/Kramer, § 4a Rn. 33 ff. m. w. N. 375 Vgl. Helfrich, in: Hoeren/Sieber 2014, Rn. 56 ff. 376 Dazu oben aa).
176
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
bestand ab und können nicht pauschal für sämtliche Tatbestände, bei denen ein solches Einverständnis in Betracht kommt, formuliert werden.377 So kann auch nicht in allen Fällen die bloß „innere Zustimmung“378 oder eine konkludente Erklärung für ein Einverständnis ausreichen.379 Fraglich ist allerdings, ob im Kontext der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG das grundsätzliche Erfordernis der Schriftform für das tatbestandsausschließende Einverständnis im Einzelfall abgeschwächt werden muss. Gemäß § 4a Abs. 1 S. 3 BDSG bedarf eine datenschutzrechtliche Einwilligung der Schriftform i. S. d. § 126 Abs. 1 BGB, „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Besondere Umstände, die eine Einwilligung in elektronischer Form genügen lassen, werden teilweise bei Kommunikation per Telefon oder über das Internet angenommen.380 Im Einzelnen ist allerdings umstritten, wann besondere Umstände in diesen Bereichen anzunehmen sind.381 Insgesamt kann das Vorliegen besonderer Umstände, das eine Abweichung in der Form zulässt, nur anhand der Umstände des Einzelfalles beurteilt werden. Im Folgenden soll untersucht werden, ob die fehlende Einhaltung der Schriftform bei einer datenschutzrechtlichen Einwilligung allein dazu führen kann, dass ein Verhalten unbefugt und damit strafbar ist. Zur Illustration dienen soll der folgende Fall. Fall 4: Der Adresshändler Der Adresshändler A verschickt einen dreiseitigen Fragebogen mit einem Begleitschreiben an 6000 deutsche Haushalte. Der Bogen enthält vor allem detaillierte Fragen zu den finanziellen Verhältnissen der Befragten. So werden unter anderem Einkommen, Steueraufkommen, einzelne Vermögenswerte und Schulden abgefragt. Die Befragten sollen dabei ihren vollen Namen und ihr Geburtsdatum angeben und den Fragebogen in einem vorfrankierten Umschlag an A zurücksenden. Das Begleitschreiben ist mit einer fotokopierten Unterschrift des A versehen. Er erklärt in dem Schreiben, dass er die Informationen auswerten möchte, um sie einer Reihe ausgewählter „Premium-Unternehmen“ zur Verfügung zu stellen, die mit diesen Direktmarketing für ihre Produkte betreiben werden. Die betreffenden Unternehmen werden im Anhang des Schreibens aufgelistet. A erhält von den Unternehmen eine Vergütung für jeden Datensatz, der den vorher festgesetzten Anforderungen der Unternehmen entspricht. Weiter heißt es in dem Schreiben, dass die Angaben selbstverständlich freiwillig seien. Die Befragten hätten zudem die Möglichkeit, der Verwendung ihrer Daten jederzeit zu widersprechen. Schließlich werde unter allen Rücksendern ein Hotelgutschein im Wert von 200 Euro verlost. Eine Einverständniserklärung mit Unterschriftenzeile ent377 Schönke/Schröder/Lenckner/Sternberg-Lieben, Vorbem. §§ 32 ff. Rn. 32, 32c; vgl. auch LK/ Rönnau, 12. Aufl., Vor § 32 Rn. 157a ff; Roxin, § 13 Rn. 32. 378 MK-StGB/Schlehofer, 2. Aufl., Vor §§ 32 ff. Rn. 142. 379 Dies ist aber etwa beim Diebstahl gem. § 242 Abs. 1 StGB der Fall, wo keine Kundgabe des Einverständnisses erforderlich ist, um das Tatbestandsmerkmal der Wegnahme beim Vorliegen eines entsprechenden Willens des Gewahrsamsinhabers abzulehnen; vgl. nur BeckOK-StGB/Wittig, § 242 Rn. 21. 380 Gola/Schomerus, § 4a Rn. 29; Taeger/Gabel/Taeger, § 4a Rn. 37; Zscherpe, MMR 2004, S. 723, 726. 381 So bezeichnet es etwa Plath/Frey, BB 2009, S. 1762, 1766 für den Online-Bereich als „geradezu grotesk“, wenn Anbieter nach § 4a Abs. 1 S. 3 BDSG verpflichtet sein sollten, gesondert schriftliche Einwilligungen einzuholen. Simitis/Simitis, § 4a Rn. 44 hingegen tritt dafür ein, die Ausnahme bei besonderen Umständen nur „möglichst restriktiv“ anzuwenden. Vgl. zur Möglichkeit einer einfachen elektronischen Einwilligung auch Schaar, MMR 2001, S. 644, 647.
§ 10 Straftatbestände
177
halten allerdings weder der Fragebogen noch das Begleitschreiben. Wenige Wochen nach dem Versand erhält A 20 ausgefüllte Fragebögen mit ausführlichen Antworten zurück.
A könnte sich durch sein Verhalten gemäß §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG strafbar gemacht haben. Er erhob personenbezogene Daten, indem er Namen, Geburtsdaten und Angaben zu finanziellen Verhältnissen erfolgreich abfragte. Dadurch, dass er das Ziel verfolgte, für die erhobenen Daten Vergütungen zu erhalten, handelte er mit Bereicherungsabsicht. Fraglich ist, ob das Handeln des A befugt war. Eine Befugnisnorm des BDSG ist nicht einschlägig. Insbesondere war das Verhalten des A nicht nach § 29 Abs. 1 Nr. 1 BDSG zulässig, da durchaus Gründe zu der Annahme bestanden, dass die Betroffenen Interesse an dem Ausschluss der Erhebung ihrer Daten hatten. Schließlich handelte es sich um ausführliche Finanz- und Vermögensdaten, die grundsätzlich von einer gewissen Sensibilität sind.382 A könnte jedoch aufgrund einer datenschutzrechtlichen Einwilligung der Befragten befugt gewesen sein, die personenbezogenen Daten zu erheben. Aus dieser könnte sich ein wirksames tatbestandsausschließendes Einverständnis ergeben. In dem Begleitschreiben informierte A die Befragten über den Zweck der Erhebung und Nutzung sowie über die Freiwilligkeit der Befragung. Allerdings erteilten die Rücksender A keine schriftliche Einwilligung gemäß § 4a Abs. 1 S. 3 BDSG zur Erhebung der Daten. Fragebogen und Begleitschreiben enthielten keine zu unterschreibende Einverständniserklärung. Eine solche wurde auch nicht durch die Befragten selbstständig angefertigt. Fraglich ist, ob gemäß § 4a Abs. 1 S. 3 Hs. 2 BDSG wegen besonderer Umstände eine andere Form angemessen war. So könnte eine formlose Einwilligung durch das Ausfüllen und Rücksenden in Betracht kommen. Dagegen spricht aber die von A gewählte Form der Kommunikation. Er schloss sein eigenes Schreiben mit einer (wenn auch fotokopierten) Unterschrift ab.383 Es wäre ihm im Rahmen der Befragung auch ohne Weiteres möglich gewesen, mittels eines beigefügten Formulars eine schriftliche Einwilligung einzuholen. Demnach hätte sich A gemäß §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG strafbar gemacht, wenn das Schriftformerfordernis uneingeschränkt für die datenschutzrechtliche Einwilligung als tatbestandsausschließendes Einverständnis im strafrechtlichen Kontext gelten würde. Dies ist jedoch umstritten. Zum Teil wird die Geltung des Schritformerfordernisses im strafrechtlichen Kontext abgelehnt – eine Strafbarkeit nur aufgrund Nichtbeachtung der schriftlichen Form könne nicht begründet werden.384 Dafür spricht, dass auch in einer nicht-schriftlichen Einwilligung der Wille des Betroffenen eindeutig zum Ausdruck kommen kann. Auch im Zusammenhang mit § 203 StGB sieht die h. M. die Erfüllung von Formerfordernissen für die Wirksamkeit eines Einverständnisses im strafrechtlichen Kontext nicht als erforderlich an.385
382
Kilian/Scheja, RDV 2002, S. 177, 187. Eine fotokopierte Unterschrift genügt mangels Eigenhändigkeit nicht dem Schriftformerfordernis; es ist jedoch anerkannt, dass sie im Massenrechtsverkehr an die Stelle einer eigenhändigen Unterschrift treten kann; MK-BGB/Einsele, 6. Aufl., § 126 Rn. 14 f. 384 Cornelius, in: Leupold/Glossner, Rn. 264; Erbs/Kohlhaas/Ambs, § 4a BDSG Rn. 2; Hilgendorf/Valerius, Rn. 741. 385 Vgl. nur MK-StGB/Cierniak/Pohlit, 2. Aufl., § 203 Rn. 61 m. w. N. 383
178
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Nach Sieber hingegen gelten die datenschutzrechtlichen Anforderungen an die Einwilligung – einschließlich des Schriftformerfordernisses – voll auch im strafrechtlichen Kontext.386 Zu diesem Ergebnis führe die „vom Gesetzgeber gewollte Verschränkung“ zwischen der Strafvorschrift und den in Bezug genommenen Erlaubnisnormen und die „Tatsache, daß das BDSG den Schutz des Rechts auf informationelle Selbstbestimmung [ . . . ] auch durch die Einhaltung von Formalvorschriften des Datenschutzrechts sichern“387 wolle.388 Zwar sind auch Formvorschriften für den Schutz der informationellen Selbstbestimmung von Bedeutung, allerdings sollte eine Ahndung von Verstößen gegen Formvorschriften im Kontext des BDSG nicht über das Strafrecht, sondern das Ordnungswidrigkeitenrecht erfolgen.389 Gegen die durchgängig strenge Anwendung des Schriftformerfordernisses für die Einwilligung im Datenschutzrecht spricht auch der europäische Kontext: Die EG-Datenschutzrichtlinie schreibt die Schriftform für die Einwilligung nicht vor.390 Für die strafrechtliche Bedeutung der datenschutzrechtlichen Einwilligung sollte ihr Sinn und Zweck maßgeblich sein. Dass die Einwilligung grundsätzlich schriftlich zu erteilen ist, soll vor allem dazu dienen, dass sich der Betroffene der potentiellen Gefahr bewusst wird, die von der Preisgabe seiner personenbezogenen Daten ausgeht.391 Er soll vor übereiltem Handeln geschützt und gewarnt werden.392 Wenn der Betroffene trotz der fehlenden Einhaltung der Form aber bewusst und „in voller Verantwortung“393 die Entscheidung zur Einwilligung trifft, kann keine Strafbarkeit begründet werden, weil keine Gefährdung der informationellen Selbstbestimmung vorlag. Daher ist im Ergebnis der Ansicht zu folgen, dass auch eine nicht-schriftliche Einwilligung die Tatbestandsmäßigkeit ausschließt, wenn „der Formmangel nicht zugleich die bewusste Willensentscheidung berührt.“394 In ihrer Funktion als tatbestandsausschließendes Einverständnis hat bei der datenschutzrechtlichen Einwilligung also eine teleologische Reduktion des Schriftformerfordernisses aus § 4a Abs. 1 S. 2 BDSG zu erfolgen. In Fall 4 sprechen alle Umstände dafür, dass hier trotz des Formmangels eine bewusste Willensentscheidung der Befragten vorlag. Bereits die Notwendigkeit des postalischen Rückversands schützte die Betroffenen vor einer übereilten Preisgabe ihrer Daten. A hat sich im Ergebnis daher nicht gemäß §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG strafbar gemacht.
386 Sieber, in: Hoeren/Sieber 2000, Rn. 588 zu § 43 BDSG 1990; vgl. auch Simitis/Simitis, § 4a Rn. 35. 387 Sieber, in: Hoeren/Sieber 2000, Rn. 588. 388 Vgl. auch Eisele, S. 94. 389 Vgl. oben Zweiter Teil § 7 II. 1. 390 Beisenherz/Tinnefeld, DuD 2011, S. 110, 111. 391 Taeger/Gabel/Taeger, § 4a Rn. 33. 392 Eisele, S. 93; Zscherpe, MMR 2004, S. 723, 726. 393 So zu den allgemeinen Anforderungen an das Einverständnis Schönke/Schröder/Lenckner/ Sternberg-Lieben, Vorbem. §§ 32 ff. Rn. 43. 394 Eisele, S. 93.
§ 10 Straftatbestände
179
3. Handeln entgegen bestimmter Vorschriften Die dritte Gruppe akzessorischer Merkmale findet sich in § 43 Abs. 2 Nr. 5–7 BDSG. Diese Tatbestände umfassen Handlungen, die „entgegen“ bestimmter Vorschriften des BDSG vorgenommen werden. Das Handeln entgegen bestimmter Vorschriften ist als normatives Tatbestandsmerkmal zu verstehen. Die Verbotsmaterie wird in ihren Grundzügen umschrieben und ein „sinnvoller“ Tatbestand gebildet, ohne das die Vorschriften, gegen die verstoßen wird, herangezogen werden müssen.395 Die explizite Bezugnahme auf bestimmte Vorschriften gestaltet sich hier im Hinblick auf die Bestimmtheit der Tatbestände weniger problematisch als die Bezugnahme durch das Merkmal „unbefugt“ in § 43 Abs. 2 Nr. 1–3 BDSG.396 Hinsichtlich der Bedeutung der einzelnen Verweisungen wird auf die Ausführungen zu den erfassten Tathandlungen verwiesen.397 Auch bei den von § 43 Abs. 2 Nr. 5–7 BDSG in Bezug genommenen Verhaltensnormen ist im Zusammenhang mit der Bußgeld- und Strafdrohung zum Teil eine restriktive Auslegung geboten. Konkret ist eine restriktive Auslegung vonnöten, soweit die Verhaltensnormen unbestimmte Merkmale enthalten, für die kein hinreichender Orientierungsmaßstab existiert. Ein Beispiel ist das Merkmal „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ in § 42a BDSG, der von § 43 Abs. 2 Nr. 7 BDSG in Bezug genommen wird.398 Eine wirksame datenschutzrechtliche Einwilligung schließt auch im Rahmen von § 43 Abs. 2 Nr. 5–7 BDSG den Tatbestand aus, soweit dieser das Erheben, Verarbeiten oder Nutzen von Daten betrifft.399 Auch hier ist die Einwilligung gerade Ausdruck des informationellen Selbstbestimmungsrechtes desjenigen, mit dessen Daten umgegangen wird. Eine sanktionsbedrohte Verletzung kann daher nicht angenommen werden, wenn der Umgang in seinem Willen geschieht. Bei § 43 Abs. 2 Nr. 5a BDSG (Verstoß gegen das Koppelungsverbot) und § 43 Abs. 2 Nr. 7 BDSG (Verletzung der Mitteilungspflicht nach § 42a BDSG) ist eine Einwilligung aufgrund der Schutzrichtung der Tatbestände nicht möglich. § 43 Abs. 2 Nr. 5a BDSG schützt die Freiheit der Entscheidung des Betroffenen bei der Einwilligung in den Umgang mit seinen personenbezogenen Daten und greift daher im Vorfeld einer möglichen Einwilligung.400 Die Sanktionierung der Verletzung der Mitteilungspflicht aus § 42a S. 1 BDSG gemäß § 43 Abs. 2 Nr. 7 BDSG kann schon deshalb nicht durch eine Einwilligung ausgeschlossen werden, weil sie auch gegenüber der zuständigen Aufsichtsbehörde besteht.401
395
Vgl. BVerfG NJW 1989, S. 1663; Enderle, S. 241. Vgl. Dietmeier, S. 44. 397 Oben IV. 398 Eckhardt/P. Schmitz, DuD 2010, S. 390, 395; Taeger/Gabel/Mackenthun, § 43 Rn. 66. Näher zu dem Begriff der schwerwiegenden Beeinträchtigung im Datenschutzrecht unten § 12 II. 399 Vgl. oben V 2. d). 400 Dazu oben IV. 4. a). 401 Dazu oben IV. 4. c). 396
180
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
VI. Merkmale des § 44 Abs. 1 BDSG Nach § 44 Abs. 1 BDSG ist Voraussetzung für die Strafbarkeit, dass die genannten Tathandlungen „gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen“ begangen werden. Diese Merkmale enthält wortgleich und mit weitestgehend gleicher inhaltlicher Bedeutung auch § 203 Abs. 5 StGB als Qualifikation von § 203 Abs. 1 und Abs. 2 StGB.402 Sie wurden als alternative Voraussetzungen jeder strafbaren Handlung mit der Novelle des Jahres 2001 in § 44 Abs. 1 BDSG eingeführt. Zuvor waren sie wie in § 203 Abs. 5 StGB als Voraussetzungen für eine Qualifikation der Straftatbestände im BDSG vorgesehen gewesen.403 Auch die Entwürfe eines Tatbestandes zur Datenhehlerei sehen ein Handeln mit Bereicherungs- oder Schädigungsabsicht als Tatbestandsvoraussetzung vor.404 Die Merkmale der Entgeltlichkeit, Bereicherungs- oder Schädigungsabsicht in § 203 Abs. 5 StGB beruhen auf dessen Vorgängervorschrift § 300 Abs. 3 StGB, in der sie durch das Dritte Strafrechtsänderungsgesetz vom 4. August 1953405 erstmals eingeführt wurden. Zur Begründung des qualifizierten Tatbestandes mit den benannten Merkmalen wurde seinerzeit lediglich auf den „stärkeren Schutz des notwendigen Vertrauens der leidenden oder rechtssuchenden Bevölkerung“406 verwiesen. 1. Gegen Entgelt Nach § 11 Abs. 1 Nr. 9 StGB ist ein Entgelt „jede in einem Vermögensvorteil bestehende Gegenleistung“. Diese Legaldefinition gilt gemäß Art. 1 Abs. 1 EGStGB auch im Rahmen des BDSG. Durch das Erfordernis eines Vermögensvorteils erfasst der Begriff des Entgelts keine immateriellen Vorteile.407 Aus dem Begriff Gegenleistung folgt, dass der Vermögensvorteil einen „synallagmatischen Charakter“408 im Verhältnis zur Begehung der Tat haben muss.409 Da die Strafbarkeit bei den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG auf der Entgeltlichkeit gründet, ist Voraussetzung, dass der Vermögensvorteil „intentional für die Ausführung der Tat zugewendet“410 wird. Man muss sich also gerade für eine Handlung nach § 43 Abs. 2 BDSG „bezahlen lassen“411 , um Täter zu sein.
402 Vgl. LG Aachen BeckRS 2011, 20917. Im Übrigen enthalten auch zahlreiche Qualifikationen nebenstrafrechtlicher Tatbestände diese Merkmale, so etwa §§ 403 Abs. 2 AktG, 150 Abs. 2 GenG, 314 Abs. 2 UmwG. 403 § 43 Abs. 3 BDSG 1990. 404 Dazu oben Erster Teil § 2 II. 5. 405 BGBl. I, S. 735 ff. 406 Entwurf der Bundesregierung eines Dritten Strafrechtsänderungsgesetzes vom 29. September 1952, BT-Drs. I/3713, S. 43. 407 BT-Drs. IV/650, S. 120. 408 MK-StGB/Radtke, 2. Aufl., § 11 Rn. 132. 409 Schönke/Schröder/Eser/Hecker, § 11 Rn. 60. 410 So MK-StGB/Radtke, 2. Aufl., § 11 Rn. 132 zu § 203 Abs. 5 StGB; ähnlich Schönke/Schröder/ Eser/Hecker, § 11 Rn. 60. 411 Wybitul/Reuling, CR 2010, S. 829, 831.
§ 10 Straftatbestände
181
Gegen Entgelt handelt beispielsweise ein Privatdetektiv, der von seinen Auftraggebern dafür vergütet wird, die Bewegungsdaten einer Zielperson mit einem GPS-Empfänger zu erheben und daraufhin zu verarbeiten.412 Schwieriger zu beurteilen ist, ob auch ein angestellter Detektiv gegen Entgelt handelt, der den gleichen Vorgang durchführt, aber nicht konkret an der Vergütung des Auftraggebers partizipiert, sondern einen festen Arbeitslohn für seine Tätigkeit erhält.413 Dafür spricht, dass auch der angestellte Detektiv vergütet wird. Auch der Unrechtsgehalt der beiden Konstellationen erscheint vergleichbar, wenn der Angestellte die personenbezogenen Daten letztlich erhebt, um seinen Monatslohn zu erhalten. Das Kriterium der Entgeltlichkeit nach § 11 Abs. 1 Nr. 9 StGB verlangt jedoch gerade die Zuwendung eines Vermögensvorteils intentional für die Ausführung einer konkreten Tat. Daran fehlt es bei einem Angestellten, der keine über seinen festen Lohn hinausgehende Vergütung erhält.414 Eine erweiternde Auslegung ist nicht zulässig, auch wenn das beschriebene Verhalten eines Angestellten mit anderen, strafbaren Konstellationen vergleichbar sein mag. Dass das Entgelt auch tatsächlich geleistet wird, ist nicht Voraussetzung.415 Eine Einigung darüber, dass ein Entgelt geleistet werden soll, ist hinreichende, aber auch notwendige Bedingung.416 Auf die rechtliche Wirksamkeit der Vereinbarung kommt es dabei nicht an.417 Auch eine Bereicherung des Täters nach Saldierung muss durch das Entgelt nicht eintreten.418 Ein Handeln gegen Entgelt kann also auch vorliegen, wenn die Aufwendungen des Täters für die Begehung der Tat gleich dem (verabredeten) Vermögensvorteil sind oder diesen sogar übersteigen. Daher sind auch Fälle vorstellbar, in denen zwar ein Handeln gegen Entgelt, aber ohne Bereicherungsabsicht vorliegt. Zur Veranschaulichung dient der folgende Fall. Fall 5: Der GPS-Rollator Die 80 Jahre alte Frau F wohnt in einem privaten Seniorenheim. Mit fortschreitendem Alter leidet sie zunehmend an Orientierungslosigkeit. Ihre Tochter T ist besorgt, dass F sich auf einem ihrer ausgedehnten Spaziergänge verlaufen könnte. Sie möchte deshalb, dass F stets einen GPSEmpfänger bei sich trägt, damit das Personal des Seniorenheims im Notfall ihren Standort herausfinden kann. F weigert sich allerdings vehement; sie fühle sich auch schon so übermäßig kontrolliert. Deswegen bittet T den Pfleger P, unauffällig einen GPS-Empfänger am Rollator der F zu befestigen. Sie gibt P 100 Euro als Ersatz seiner Unkosten dafür, ein entsprechendes Gerät zu beschaffen. Einen möglicherweise überschüssigen Betrag könne der P „für seine Bemühungen“ behalten. 412
BGH NJW 2013, S. 2350, 2353. So LG Mannheim BeckRS 2013, 12634; anders Cornelius, NJW 2013, S. 3340, 3341; Cornelius, in: Leupold/Glossner, Rn. 260; Wybitul/Reuling, CR 2010, S. 829, 831; offen gelassen von BGH NJW 2013, S. 2530, 2533; vgl. auch Walther, CCZ 2013, S. 254, 257. 414 So auch Cornelius, NJW 2013, S. 3340, 3341; Cornelius, in: Leupold/Glossner, Rn. 260; Spindler/Schuster/Nink, § 44 BDSG Rn. 4; Wybitul/Reuling, CR 2010, S. 829, 831. Ausnahmsweise könnte ein Handeln gegen Entgelt möglich sein, wenn eine Anstellung und die Zahlung eines Monatslohns vorrangig oder ausschließlich zur Begehung von Datenschutzverstößen erfolgt. 415 MK-StGB/Radtke, 2. Aufl., § 11 Rn. 133. 416 Bär, in: Roßnagel, Rn. 72; zu § 203 Abs. 5 StGB: BGH NStZ 1993, S. 538, 539; LK/ Schünemann, 12. Aufl., § 203 Rn. 162; NK/Kargl, § 203 Rn. 82. 417 NK/Saliger, § 11 Rn. 69. 418 MK-StGB/Radtke, 2. Aufl., § 11 Rn. 133; NK/Saliger, § 11 Rn. 69; Schönke/Schröder/ Eser/Hecker, § 11 Rn. 62. 413
182
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
P willigt ein. Weil es ihm nicht darauf ankommt, Geld zu verdienen, sondern er nur der T helfen will, kauft P einen GPS-Empfänger für genau 100 Euro. Er bringt diesen an dem Rollator der F an und verknüpft das Gerät mit einem PC an seinem Arbeitsplatz. Der Standort des Rollators wird nun laufend an den PC am Arbeitsplatz des P übermittelt.
Die 100 Euro, die P von T für den Kauf des GPS-Empfängers erhält, stellen einen Vermögensvorteil dar, der dem P gerade für die Ausführung der Tat zufließt. Dass die Geldsumme als reiner Ersatz der Kosten für den Kauf des GPS-Empfängers nach der Tat im Saldo nicht mehr vorhanden ist, ändert nichts daran, dass P ein Vermögensvorteil „intentional für die Ausführung der Tat zugewendet“419 wurde. P handelte also gegen Entgelt. 2. Bereicherungsabsicht Das Vorliegen von Bereicherungsabsicht setzt voraus, dass das Handeln des Täters auf das Erlangen eines Vermögensvorteils (für ihn oder einen Dritten) gerichtet ist.420 Es muss ihm gerade auf die Bereicherung ankommen, erforderlich ist also dolus directus 1. Grades.421 Im Gegensatz zum Merkmal der Entgeltlichkeit setzt das Merkmal der Bereicherungsabsicht zwingend voraus, dass der Täter einen Vorteil im Vermögenssaldo nach der Tat erstrebt.422 Davon umfasst sind auch Vorteile, die erst durch weitere Verwertungshandlungen erlangt werden.423 Ein erstrebter Vermögensvorteil, der die Bereicherungsabsicht begründen kann, ist auch die Ersparnis wirtschaftlicher Aufwendungen.424 So handelte etwa A in Fall 2 425 mit Bereicherungsabsicht, da er die Akten mit der Absicht in einem öffentlich zugänglichen Müllcontainer entsorgte, die wirtschaftlichen Aufwendungen für eine professionelle Datenvernichtung zu umgehen. Oftmals liegen ein Handeln mit Bereicherungsabsicht und ein Handeln gegen Entgelt gemeinsam vor. Allerdings sind auch unterschiedliche Fälle vorstellbar, in denen nur eines der Merkmale erfüllt ist. Ein Handeln gegen Entgelt aber ohne Bereicherungsabsicht liegt in Fall 5 vor, da der P im Saldo durch die Begehung der Tat keinen Vermögensvorteil erstrebte. Mit Bereicherungsabsicht, aber nicht gegen Entgelt handelt zum Beispiel, wer sich mit Hilfe von Hacker-Tools personenbezogene Daten verschafft, um diese später gewinnbringend an einen Dritten zu verkaufen, ohne zuvor eine Abrede über den Verkauf getroffen zu haben. Auch wenn lediglich die Absicht der Bereicherung eines Dritten vorliegt, liegt bei Bereicherungsabsicht kein Handeln gegen Entgelt vor. Uneinheitlich wird beurteilt, ob der bei § 44 Abs. 1 BDSG beabsichtigte Vermögensvorteil rechtswidrig sein muss.426 Bei § 203 Abs. 5 StGB wird dies für die Bereiche419
MK-StGB/Radtke, 2. Aufl., § 11 Rn. 132. Schneider, B Rn. 1507. 421 Cornelius, in: Leupold/Glossner, Rn. 261; Wybitul/Reuling, CR 2010, S. 829, 831. 422 Heghmanns, in: Achenbach, Rn. 108. 423 Heghmanns, in: Achenbach, Rn. 108. 424 Vgl. BGH NJW 1987, S. 2243, 2244 zu § 272 StGB a. F. 425 Oben IV. 2. a) cc). 426 So Erbs/Kohlhaas/Ambs, § 44 Rn. 2; Schneider, B Rn. 1507; Spindler/Schuster/Nink, § 44 BDSG Rn. 5; anders Cornelius, in: Leupold/Glossner, Rn. 262; Heghmanns/Niehaus, wistra 2008, S. 161, 162. 420
§ 10 Straftatbestände
183
rungsabsicht nach ganz herrschender Ansicht nicht verlangt.427 Dies wird zunächst damit begründet, dass der Tatbestand der Vorschrift die Voraussetzung der Rechtswidrigkeit einmal explizit vorsah428 und diese nun weggefallen sei.429 Zudem schütze § 203 StGB Persönlichkeitsrechte und nicht das Vermögen.430 Auch bei § 44 Abs. 1 BDSG könnte die Rechtswidrigkeit des Vermögensvorteils als Voraussetzung entbehrlich sein. Ebenso wie der Grund für die Qualifikation des § 203 Abs. 5 BDSG nicht in der Vermögensschädigung des Opfers, sondern „in der verwerflichen Zweck-Mittel-Relation zwischen beabsichtigtem Vermögensnachteil und Eingriff in das immaterielle Rechtsgut“431 liegt, liegt die Begründung der Strafbarkeit in § 44 Abs.1 BDSG darin, dass um die Mehrung des eigenen Vermögens willens materielle Datenschutzvorschriften verletzt werden.432 Folglich ist entsprechend § 203 Abs. 5 StGB eine Rechtswidrigkeit des Vermögensvorteils nicht zu verlangen. Ein Fall rechtmäßiger Bereicherungsabsicht kann beispielsweise vorliegen, wenn ein Adresshändler personenbezogene Daten zum Zwecke ihres (legalen) Weiterverkaufs erhebt.433 3. Schädigungsabsicht Das Vorliegen von Schädigungsabsicht setzt voraus, dass das Handeln des Täters auf die Hinzufügung eines materiellen oder immateriellen Nachteils gerichtet ist.434 Zum Teil wird die Berücksichtigung immaterieller Nachteile beim Merkmal der Schädigungsabsicht bei § 203 Abs. 5 StGB abgelehnt.435 Bei der Schädigungsabsicht gemäß § 44 Abs. 1 BDSG müssen immaterielle Nachteile allerdings berücksichtigt werden. Es ist kein Anhaltspunkt dafür zu erkennen, dass eine Strafwürdigkeit von Datenschutzdelikten erst gegeben ist, wenn eine wirtschaftliche Gefährdungslage entsteht. Die Vorschriften des BDSG zielen gerade auf den Schutz vor Persönlichkeitsrechtsverletzungen.436 Ein immaterieller Nachteil kann etwa in einer Ehrverletzung bzw. Bloßstellung liegen.437 So ist Schädigungsabsicht gegeben, wenn personenbezogene Daten verwendet werden, um Personen zu diskreditieren.438 Das LG Aachen hat in einem Fall die Schä427
BGH NStZ 1993, S. 538, 539; Lackner/Kühl, § 203 Rn. 28; NK/Kargl, § 203 Rn. 83. § 300 Abs. 3 S. 1 StGB a. F. 429 NK/Kargl, § 203 Rn. 83. 430 NK/Kargl, § 203 Rn. 83 m. w. N. 431 NK/Kargl, § 203 Rn. 83 f.; ähnlich LK/Schünemann, 12. Aufl., § 203 Rn. 163. 432 So auch Cornelius, in: Leupold/Glossner, Rn. 262; Heghmanns/Niehaus, wistra 2008, S. 161, 162. 433 Vgl. Fall 4 oben V. 2. d) bb). 434 LG Aachen BeckRS 2011, 20917; Heghmanns, in: Achenbach, Rn. 109; Schneider, B Rn. 1507; Spindler/Schuster/Nink, § 44 BDSG Rn. 7; zu § 203 Abs. 5 StGB: Lackner/Kühl, § 203 Rn. 28; Schönke/Schröder/Lenckner/Eisele, § 203 Rn. 74. 435 Bock/Wilms, JuS 2011, S. 24, 28; NK/Kargl, § 203 Rn. 82; ähnlich zu § 403 Abs. 2 AktG Hölters/Müller-Michaels, § 403 Rn. 24 m. w. N. 436 Vgl. § 1 Abs. 1 BDSG. 437 LG Aachen BeckRS 2011, 20917; Erbs/Kohlhaas/Ambs, § 44 BDSG Rn. 2; Spindler/Schuster/ Nink, § 44 BDSG Rn. 7. Näher zu immateriellen Beeinträchtigungen durch Datenschutzverstöße unten § 12 II. 438 AG Marburg, Urteil v. 1. Juni 2006 – Az.: 2 Js 17479/04-51 Ls., abrufbar unter www. datenschutz.eu/urteile/Amtsgericht-Marburg-20060601/, zuletzt abgerufen am 1. Juni 2015. 428
184
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
digungsabsicht des Täters damit begründet, dass er das „Ziel verfolgte, [ . . . ] Personen einzuschüchtern und bei ihnen das Gefühl der ständigen Überwachtheit zu erregen.“439 Der Täter in dem zugrunde liegenden Fall hatte mittels eines GPS-Trackers die Bewegungsdaten des PKWs des neuen Lebensgefährten seiner früheren Ehefrau erhoben, um ihr nachzufahren und Begegnungen mit ihr im Straßenverkehr herbeizuführen. Hier einen immateriellen Nachteil anzunehmen ist überzeugend: Das Gefühl des Überwachtseins und der Einschüchterung kann die Handlungsfreiheit des Opfers erheblich beeinträchtigen. Wem es gerade darauf ankommt, dies zu erreichen, der handelt mit der Absicht, das Opfer zu schädigen. Ein Nachteil, der zu der Annahme einer Schädigungsabsicht führt, kann jedoch nur ein solcher sein, der über den mit der Verwirklichung des jeweils einschlägigen Tatbestandes des § 43 Abs. 2 BDSG zwangsläufig verbundenen Nachteil hinausgeht.440 Ansonsten wäre § 44 Abs. 1 BDSG stets mit § 43 Abs. 2 BDSG zusammen erfüllt.441 Es ist nicht Voraussetzung, dass sich der beabsichtigte Nachteil auch gegen den von dem Datenschutzverstoß Betroffenen richtet.442 Hätte beispielsweise der Täter in dem vom LG Aachen entschiedenen Fall per GPS-Empfänger unbefugt die Bewegungsdaten seiner ehemaligen Ehefrau erhoben und diese ausschließlich dafür genutzt, um ihren neuen Lebenspartner einzuschüchtern, wäre gleichwohl Schädigungsabsicht zu bejahen gewesen. 4. Aus den Landesdatenschutzgesetzen Den Straftatbeständen der Landesdatenschutzgesetze ist es weitestgehend gemein, dass eine Strafbarkeit ebenso wie nach dem BDSG davon abhängt, dass der Täter gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht handelt. Eine Ausnahme bildet lediglich § 32 BlnDSG, der im wesentlichen § 41 BDSG 1977 entspricht.443 Er stellt das unbefugte Übermitteln, Verändern, Abrufen und Sich-Verschaffen aus verschlossenen Dateien von Daten unter Strafe. Der qualifizierte Tatbestand des Abs. 2 ist bei Vornahme dieser Handlungen gegen Entgelt, mit Bereicherungs- oder Schädigungsabsicht erfüllt. 5. Kritische Würdigung Die Merkmale des § 44 Abs. 1 sind für die Strafbarkeit nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG von großer Bedeutung. Erstens sind sie entscheidend für die Differenzierung zwischen strafbarem und lediglich ordnungswidrigem Verhalten.444 Zweitens kön-
439
LG Aachen BeckRS 2011, 20917. Cornelius, in: Leupold/Glossner, Rn. 263; Heghmanns, in: Achenbach, Rn. 108; Taeger/Gabel/ Mackenthun, § 44 Rn. 4; zu § 203 Abs. 5 StGB LK/Schünemann, 12. Aufl., § 203 Rn. 164. 441 Dabei ist zu beachten, dass eine unbefugte Datenerhebung nicht stets mit einem Gefühl des Überwachtseins seitens des Opfers verbunden sein muss. 442 Cornelius, in: Leupold/Glossner, Rn. 263; Erbs/Kohlhaas/Ambs, § 44 BDSG Rn. 2; zu § 203 Abs. 5 StGB: LK/Schünemann, 12. Aufl., § 203 Rn. 164; NK/Kargl, § 203 Rn. 82. 443 Zum BDSG 1977 oben Erster Teil § 3 II. 3. 444 Vgl. Cornelius, NJW 2013, S. 3340, 3343. 440
§ 10 Straftatbestände
185
nen sie dazu dienen, den Straftatbeständen schärfere Konturen zu verleihen und damit die Problematik seiner Unbestimmtheit abzumildern.445 Einen rechtswidrigen Umgang mit personenbezogenen Daten in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen als strafbar einzuordnen, ist zunächst plausibel. Schwierig ist es jedoch, ein solches Verhalten auch festzustellen. Tendenziell ist es mühsamer, das Vorliegen subjektiver Tatbestandsmerkmale nachzuweisen als das Vorliegen objektiver Tatbestandsmerkmale.446 Es stellt sich daher die Frage, ob den Straftatbeständen der Datenschutzgesetze neben diesen subjektiven Kriterien durch weitere objektive Kriterien schärfere Konturen verliehen werden sollten.447 Bezüglich des Handelns gegen Entgelt bestehen Bedenken, ob sich durch dieses Kriterium strafwürdige Fälle sachgerecht bestimmen lassen. Grundsätzlich ist der Ansatz sinnvoll, für die Bestimmung der Strafwürdigkeit von Verletzungen der informationellen Selbstbestimmung bei der verwerflichen Motivation des Täters anzusetzen, um eines wirtschaftlichen Vorteils willen das Rechtsgut zu verletzen. Allerdings ist diese verwerfliche Zweck-Mittel-Relation bereits durch das Merkmal der Bereicherungsabsicht erfasst. In den Fällen, in denen Entgeltlichkeit, aber keine Bereicherungsabsicht vorliegt, ist es fragwürdig, ob überhaupt ein strafwürdiges Verhalten gegeben ist. Dies veranschaulicht Fall 5.448 P hat sich gemäß §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG wegen der unbefugten Erhebung personenbezogener Daten gegen Entgelt strafbar gemacht. Der Pfleger erhob durch die Installation des GPS-Empfängers an dem Rollator und die anschließende Übermittlung der Bewegungsdaten an seinen Computer personenbezogene Daten der F. Das Interesse der F am Schutz ihrer Bewegungsdaten überwiegt dem Interesse an deren Erhebung aus Sicherheitsgründen. Die personenbezogenen Daten sind auch nicht allgemein zugänglich, da sie durch eine Eigentumsverletzung in Gestalt der Anbringung des GPS-Empfängers am Rollator erlangt werden.449 Durch die Vereinbarung der Annahme der 100 Euro für den Kauf des GPS-Empfängers und die Ausführung der Tat handelte P gegen Entgelt. Eine verwerfliche Zweck-Mittel-Relation in der Motivation seines Handelns lag allerdings nicht vor. Hätte die T dem P nicht 100 Euro, sondern einen GPS-Empfänger ausgehändigt, läge keine Strafbarkeit vor. Sachlich würde sich diese Konstellation von dem vorliegenden Fall nur dadurch unterscheiden, dass P von Vornherein keine Möglichkeit hätte, im Saldo einen Vermögensvorteil zu ziehen und T sicher wüsste, dass P dies nicht tut. Im vorliegenden Fall hatte P zwar die Möglichkeit, einen Vermögensvorteil zu ziehen, indem er einen billigeren GPS-Empfänger erworben hätte. Dadurch, dass er sich bewusst dagegen entschied, erscheint sein Verhalten sogar weniger strafwürdig als in dem Fall, dass T ihm den Empfänger unmittelbar ausgehändigt hätte. Problematisch ist am Merkmal der Entgeltlichkeit auch, dass es den Eindruck erweckt, dass jeglicher unbefugter Umgang mit personenbezogenen Daten gegen Bezahlung potentiell strafbedroht ist. Aus dieser Annahme würde sich ein generelles Strafbarkeitsrisiko 445 446 447 448 449
Vgl. Büermann, § 35 LDSG RP Rn. 6 zu § 35 LDSG RP a. F. Hassemer, Strafrecht, S. 81; Hoffmann-Holland/Singelnstein, in: Kunig/Nagata, S. 155, 161. Vgl. Wybitul/Reuling, CR 2010, S. 829, 832; dazu näher unten Vierter Teil §§ 15 III. und 16 II. Oben VI. 1. Vgl. BGH NJW 2013, S. 2530, 2534.
186
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
für die Angehörigen diverser Berufsgruppen ergeben, die typischerweise mit der Verarbeitung personenbezogener Daten betraut sind – neben Privatdetektiven beispielsweise auch Personalvermittler, Mitarbeiter in Compliance-Abteilungen450 oder Administratoren von kommerziellen Onlinecommunitys.451 Zwar wird in der Literatur ein synallagmatisches Verhältnis zwischen dem unbefugten Datenumgang und der vermögenswerten Gegenleistung gefordert. Damit wäre der berufliche Umgang mit personenbezogenen Daten nicht generell als entgeltlicher von der Strafbarkeit mit umfasst.452 Jedoch hat zumindest der BGH offen gelassen, ob durch ein Festgehalt im Angestelltenverhältnis ein Entgelt für eine Datenverarbeitung vorliegt.453 Es sollte im Ergebnis davon abgesehen werden, die Linie der Strafwürdigkeit durch das Merkmal der Entgeltlichkeit zu ziehen. Das Merkmal „gegen Entgelt“ sollte aus § 44 Abs. 1 BDSG gestrichen werden. Die besondere Verwerflichkeit einer Verletzung des Rechtes auf informationelle Selbstbestimmung zu ökonomischen Zwecken ist bereits durch das Merkmal der Bereicherungsabsicht ausreichend erfasst. Auch im Entwurf des Bundesrates für einen Straftatbestand der Datenhehlerei wurde auf die Entgeltlichkeit als Ansatzpunkt für eine Strafbarkeit verzichtet. Zurecht wurde zur Begründung der Strafwürdigkeit des Datenhehlers auf die Rechtsgutsverletzung mit Bereicherungs- oder Schädigungsabsicht abgestellt.454
VII. Versuchsstrafbarkeit Der Versuch einer Tat nach den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ist nicht strafbar. Die Strafvorschriften einiger Landesdatenschutzgesetze sehen allerdings die Strafbarkeit des Versuches vor; in acht Ländern ist eine solche geregelt.455 Die Regelung der Strafbarkeit des Versuches ist beim Umgang mit personenbezogenen Daten kritisch zu betrachten. Der Schutz der informationellen Selbstbestimmung greift regelmäßig als eine Art Vorfeldschutz.456 Wenn bereits die unbefugte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten „im Vorfeld konkreter Bedrohungen benennbarer Rechtsgüter“457 stattfindet, dann müsste erst ein berechtigtes Interesse daran aufgezeigt werden, durch die Regelung einer Versuchsstrafbarkeit auch das Vorfeld dieses Vorfeldes in den strafrechtlichen Schutz mit einzubeziehen.
450
Vgl. Walther, CCZ 2013, S. 254, 257. Soweit letztere vom Anwendungsbereich des Datenschutzstrafrechts erfasst werden. Zum Verhältnis von §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zum einschlägigen TMG oben II. 3. a). 452 Es ist jedoch zu beachten, dass bei Datenschutzverstößen im beruflichen Kontext Drittbereicherungsabsicht zugunsten des Arbeitgebers vorliegen kann; Auernhammer/v. Lewinski, § 44 Rn. 15. 453 BGH NJW 2013, S. 2530, 2533. 454 BT-Drs. 17/14362, S. 12 f.; vgl. oben Erster Teil § 2 II. 5. 455 § 41 S. 2 LDSG BW, § 37 S. 2 BremDSG, § 32 Abs. 2 HmbDSG, § 28 Abs. 2 NDSG, § 33 Abs. 1 S. 3 DSG NRW, § 37 Abs. 2 LDSG RP, § 35 Abs. 1 S. 2 SDSG, § 39 S. 2 SächsDSG. 456 Vgl. dazu oben Zweiter Teil § 5 V. 2. und unten Vierter Teil § 15 II. 2. 457 BVerfG NJW 2008, S. 822, 826. 451
§ 10 Straftatbestände
187
VIII. Antragserfordernis Nach § 44 Abs. 2 S. 1 BDSG werden Taten nach den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG nur auf Antrag verfolgt. Antragsberechtigt sind gemäß § 44 Abs. 2 S. 2 „der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde“. Im Übrigen gelten für den Strafantrag die allgemeinen Regeln der §§ 77 ff. StGB. Acht der Strafvorschriften in den Landesdatenschutzgesetzen sehen ein Antragserfordernis vor.458 Im Übrigen handelt es sich um Offizialdelikte. Zum Teil sind neben dem Betroffenen, ähnlich wie nach § 44 Abs. 2 S. 2 BDSG, auch der Landesbeauftragte für den Datenschutz,459 die verarbeitende Stelle460 und die zuständige Aufsichtsbehörde461 antragsberechtigt. In Sachsen-Anhalt kann die Strafverfolgungsbehörde wegen besonderen öffentlichen Interesses an der Strafverfolgung ausnahmsweise auch ohne Antrag einschreiten (§ 31 Abs. 3 DSG LSA). Das Antragserfordernis in § 44 Abs. 2 S. 1 BDSG wird als eine Ursache für die geringe praktische Bedeutung der Straftatbestände des BDSG gesehen.462
IX. Rechtsfolge Straftaten nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG werden mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Auch im Strafmaß entsprechen die Vorschriften der Landesdatenschutzgesetze weitestgehend dem § 44 Abs. 1 BDSG. 14 Landesregelungen sehen ein Strafmaß von bis zu zwei Jahren oder Geldstrafe vor.463 In Berlin gilt dies jedoch nur für den qualifizierten Tatbestand, der das Vorliegen von Entgeltlichkeit, Bereicherungs- oder Schädigungsabsicht verlangt (§ 32 Abs. 2 BlnDSG). Der Grundtatbestand, der nicht an diese Merkmale gebunden ist, sieht ein Strafmaß von bis zu einem Jahr oder Gelstrafe vor (§ 32 Abs. 1 BlnDSG). Lediglich der Straftatbestand des Landes Rheinland-Pfalz regelt für alle Fälle ein geringeres Strafmaß von bis zu einem Jahr Freiheitsstrafe oder Geldstrafe (§ 37 Abs. 1 LDSG RP).
X. Praktische Bedeutung Die praktische Bedeutung der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG sowie auch der Straftatbestände der Landesdatenschutzgesetze ist gering. Dies ergibt sich aus den veröffentlichten Fallzahlen sowie bekannt gewordenen Gerichtsurteilen. 458 Art. 37 Abs. 3 S. 2 BayDSG, § 32 Abs. 3 S. 1 BlnDSG, § 38 Abs. 3 S. 2 BbgDSG, § 32 Abs. 3 HmbDSG, § 43 Abs. 2 S. 1 DSG M-V, § 43 Abs. 3 S. 2 ThürDSG, § 31 Abs. 3 DSG LSA. 459 Art. 37 Abs. 3 S. 3 BayDSG, § 32 Abs. 3 S. 2 BlnDSG, § 38 Abs. 3 S. 3 BbgDSG, § 43 Abs. 2 S. 2 DSG M-V, § 43 Abs. 3 S. 3 ThürDSG. 460 Art. 37 Abs. 3 S. 3 BayDSG, § 38 Abs. 3 S. 3 BbgDSG, § 43 Abs. 2 S. 2 DSG M-V. 461 § 43 Abs. 2 S. 2 DSG M-V. 462 Dazu näher unten § 13 II. 1. a). 463 § 41 LDSG BW, § 32 Abs. 2 BlnDSG, Art. 37 Abs. 3 BayDSG, § 38 Abs. 3 BbgDSG, § 37 BremDSG, § 32 Abs. 1 HmbDSG, § 40 Abs. 1 HDSG, § 43 Abs. 1 DSG M-V, § 28 Abs. 1 NDSG, § 33 Abs. 1 DSG NRW, § 35 Abs. 1 SDSG, § 39 SächsDSG, § 31 Abs. 1 und 2 DSG LSA, § 43 Abs. 3 ThürDSG.
188
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
1. Polizeiliche Kriminalstatistik In der Polizeilichen Kriminalstatistik (PKS) werden Straftaten gegen das BDSG und die Landesdatenschutzgesetze unter dem Schlüssel 728000 aufgeführt. Für das Jahr 2013 wurden insgesamt 640 Taten in diesem Bereich erfasst,464 für das Vorjahr 479.465 Die Zahl der erfassten Taten nach den Datenschutzgesetzen466 war seit dem Jahr 2009, in dem 823 Taten erfasst wurden,467 bis zum Jahr 2012 rückläufig. Im Vergleich mit kernstrafrechtlichen Delikten, die sich auf den unbefugten Umgang mit Daten beziehen, spielen die Straftatbestände der Datenschutzgesetze in der PKS nur eine unbedeutende Rolle. So wurden für das Jahr 2013 12.766 Taten (2012: 10.857) der Datenveränderung und Computersabotage nach den §§ 303a, 303b StGB (Schlüssel 674200) und 15.909 Taten (2012: 16.794) im Bereich des Ausspähens und Abfangens von Daten einschließlich Vorbereitungshandlungen nach den §§ 202a, 202b, 202c StGB (Schlüssel 678000) erfasst.468 Nach der Zahl der erfassten Fälle vergleichbar sind die Straftaten nach den Datenschutzgesetzen jedoch mit der Verletzung von Privatgeheimnissen nach § 203 StGB (Schlüssel 670018, 545 Taten im Jahr 2013) und der Verwertung fremder Geheimnisse nach § 204 StGB (Schlüssel 670019, 10 Taten im Jahr 2013).469 2. Strafverfolgung Auch in der gerichtlichen Praxis sind Straftaten nach §§ 44 i. V. m. 43 Abs. 2 BDSG eher von geringer Bedeutung. Die Anzahl strafgerichtlicher Entscheidungen, die sich zentral mit den Vorschriften beschäftigten, ist überschaubar.470 Noch dünner gesät sind Verurteilungen wegen entsprechender Taten.471 In der Strafverfolgungsstatistik des Statistischen Bundesamtes werden Delikte nach dem BDSG seit dem Jahr 2007 erfasst.472 Die Anzahl der abgeurteilten Fälle bewegt sich 464
PKS 2013, S. 301. PKS 2012, S. 305. 466 Also dem BDSG und den Landesdatenschutzgesetzen. 467 PKS 2009, S. 44. 468 PKS 2013, S. 265; PKS 2012, S. 270. 469 PKS 2013, S. 296. 470 So etwa aus jüngerer Zeit, nach Fallgruppen geordnet: BGH NJW 2013, S. 2530 ff.; LG Mannheim BeckRS 2013, 12634; LG Lüneburg NJW 2011, S. 2225 ff.; LG Aachen BeckRS 2011, 20917 (zur Erhebung von Bewegungsdaten mittels GPS-Sendern); LG Wuppertal MMR 2011, S. 65 f.; AG Wuppertal NStZ 2008, S. 161 f.; AG Wuppertal BeckRS 2010, 19628 (zur unbefugten Nutzung unverschlüsselter drahtloser Computernetzwerke); LG Marburg, Beschluss v. 22. Oktober 2007 – Az.: 4 Qs 54/07, abrufbar unter www.aufrecht.de/urteile/delikt-strafr/strafbarkeit-der-veroeffentlichungpersoenlicher-daten-im-internet-lg-marburg-beschluss-vom-22102007-az-4-qs-5407.html, zuletzt abgerufen am 1. Juni 2015; LG Marburg, Urteil v. 24. November 2006 – Az.: 8 Ns 2 Js 17479/04, abrufbar unter www.datenschutz.eu/urteile/Landgericht-Marburg-20061124/, zuletzt abgerufen am 1. Juni 2015; AG Marburg, Urteil v. 1. Juni 2006 – Az.: 2 Js 17479/04-51 Ls., abrufbar unter www.datenschutz.eu/urteile/Amtsgericht-Marburg-20060601/, zuletzt abgerufen am 1. Juni (zur unbefugten Veröffentlichung personenbezogener Daten im Internet). 471 Vgl. Hoeren, in: Greipl, S. 135, 136; Weichert, NStZ 1999, S. 492. 472 Statistisches Bundesamt, Rechtspflege Strafverfolgung, Fachserie 10, Reihe 3, abrufbar unter www.destatis.de/DE/Publikationen/Thematisch/Rechtspflege/StrafverfolgungVollzug/ Strafverfolgung.html, zuletzt abgerufen am 1. Juni 2015. 465
§ 10 Straftatbestände
189
Tabelle 1 Straftaten gegen die Datenschutzgesetze in der PKS Jahr 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Gesamt 158 194 232 311 239 260 238 366 441 324 353 274 211 414 307 683 823 748 571 479 640
Versuch1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
BDSG unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. 515 517 357 306 375
2
LDSGe
Aufklärung
unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. unb. 308 231 214 173 265
65,8 % 63,9 % 72,8 % 75,2 % 74,5 % 73,5 % 70,6 % 40,2 % 77,1 % 70,4 % 74,8 % 74,1 % 65,9 % 80,7 % 69,1 % 75,0 % 76,4 % 65,0 % 70,4 % 69,5 % 74,8 %
1 Nach dem BDSG ist der Versuch eines Datenschutzdelikts nicht strafbar, nach einigen landesrechtlichen Regelungen ist dies allerdings der Fall; vgl. oben VII. 2 Bis zum Jahre 2009 wurde in der Statistik nicht zwischen Straftaten nach dem BDSG und den Landesdatenschutzgesetzen unterschieden.
seitdem zwischen zwei und 21 Fällen jährlich. Von insgesamt 60 abgeurteilten Angeklagten wurden 34 zu Geldstrafen, keiner aber bislang zu einer Haftstrafe verurteilt. Auch im Zusammenhang mit den Straftatbeständen der Landesdatenschutzgesetze sind nur einzelne strafgerichtliche Entscheidungen473 bzw. Verurteilungen474 bekannt. Straftaten nach den Landesdatenschutzgesetzen werden von der Strafverfolgungsstatistik des Statistischen Bundesamtes nicht erfasst. Überschaubar ist zudem die Anzahl der Strafanträge durch die datenschutzrechtlichen Aufsichtsbehörden, soweit diese aus deren Tätigkeitsberichten hervorgehen. So berichtete der Berliner Datenschutzbeauftragte von insgesamt 19 Strafanträgen in den Jahren 2011, 2012 und 2013,475 der Hamburger Beauftragte für Datenschutz und Informationsfreiheit 473
Z. B. OLG Koblenz NJW 2008, S. 2794 f. So verweist die Disziplinarkammer des VG Berlin in mehreren ihrer Entscheidungen (VG Berlin BeckRS 2012, 56716; VG Berlin BeckRS 2012, 60511) auf unveröffentlichte Strafurteile des Amtsgerichts Tiergarten auf der Grundlage von § 32 BlnDSG. 475 LfDI Berlin, Bericht 2011, S. 154; LfDI Berlin, Bericht 2012, S. 139; LfDI Berlin, Bericht 2013, S. 163. Im Jahr 2014 allein stellte der Berliner LfDI dann allerdings 17 Strafanträge; LfDI Berlin, Bericht 2014, S. 133. 474
190
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG Tabelle 2 Verfolgung von Straftaten nach dem BDSG nach der Strafverfolgungsstatistik Jahr
Abgeurteilt
2007 2008 2009 2010 2011 2012 2013
6 2 6 7 8 10 21
Verurteilt 6 2 3 5 4 4 11
Geldstrafe
Haftstrafe
6 2 3 5 4 4 11
0 0 0 0 0 0 0
von insgesamt drei Strafanträgen in den Jahren 2010 bis einschließlich 2013,476 ebenso wie das Bayerische Landesamt für Datenschutzaufsicht für die Jahre 2011 und 2012.477 Die Brandenburgische Landesbeauftragte für den Datenschutz und das Recht auf Akteneinsicht stellte in den Jahren 2010 und 2011 insgesamt nur einen Strafantrag.478 Ebenso berichtete der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit für die Jahre 2012 und 2013 von nur einem Strafantrag.479 In den Jahren 2012 und 2013 berichtete die brandenburgische LfD von weiteren Einzelfällen, die sie an die Staatsanwaltschaft abgab, ohne genaue Auskunft über die Anzahl der gestellten Strafanträge zu geben.480 Der hessische LfD stellte im Jahr 2013 zwei Strafanträge,481 der LfD Sachsen im Zeitraum von Januar 2011 bis März 2013 insgesamt acht Strafanträge.482 3. Einzelne Fallgruppen Aus der gerichtlichen Praxis wie auch aus den Berichten der Aufsichtsbehörden geht hervor, dass die Straftatbestände der Datenschutzgesetze in den letzten Jahren in zwei Fallgruppen vermehrt angewandt worden sind: Zum einen beim Abruf von Daten aus Informationssystemen zu privaten Zwecken, zum anderen bei der Erhebung von Standortbzw. Bewegungsdaten mit Hilfe von GPS-Trackern. a) Abruf aus Informationssystemen Der unbefugte Abruf von personenbezogenen Daten aus Informationssystemen erfüllt den Tatbestand des § 43 Abs. 2 Nr. 3 Var. 1 BDSG.483 Informationssysteme, aus denen unbefugte Abrufe erfolgen, existieren im öffentlichen wie im privaten Bereich. Im öffentlichen Bereich sind mehrere Fälle des unbefugten Abrufs von Daten durch Polizeibeamte 476 477 478 479 480 481 482 483
LfDI Hamburg, Bericht 2010/2011, S. 198; LfDI Hamburg, Bericht 2012/2013, S. 250. LDA Bayern, Bericht 2011/2012, S. 12. LfD Brandenburg, Bericht 2010/2011, S. 158. LfDI Thüringen, Bericht 2012/2013: Nicht-öffentlicher Bereich, S. 99. LfD Brandenburg, Bericht 2012/2013, S. 134 f. LfD Hessen, Bericht 2013, S. 25. LfD Sachsen, Bericht 2011–2013, S. 117. Zudem ist auch § 43 Abs. 2 Nr. 1 BDSG erfüllt.
§ 10 Straftatbestände
191
aus Informationssystemen der Polizei wie INPOL-neu bekannt.484 In einem Fall des OLG Koblenz hatte etwa ein Polizeihauptkommissar eine Anfrage über die Vorstrafen des neuen Freundes seiner von ihm getrennt lebenden Ehefrau durchgeführt, um sie und ihre Familie mit dem Abfrageergebnis zu konfrontieren und sie zu der Trennung von ihrem neuen Freund zu bewegen.485 Ebenfalls bekannt sind diverse Fälle von unbefugten Abrufen zu privaten Zwecken aus dem Melderegister.486 Im privaten Bereich ist etwa die unbefugte Abfrage von Daten bei der Schufa von Bedeutung. b) GPS-Tracking Das unbefugte Erheben von Daten mittels GPS-Trackern erfüllt § 43 Abs. 2 Nr. 1 Var. 1 BDSG. In zwei Fällen kam es zuletzt zu strafgerichtlichen Verurteilungen. aa) Fall des LG Aachen Im Februar 2011 wurde gegen eine Privatperson wegen strafbarer Handlungen nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG und § 4 Gewaltschutzgesetz in Tateinheit (§ 52 StGB) vom LG Aachen auf eine Freiheitsstrafe von sechs Monaten erkannt.487 Der Angeklagte hatte mittels eines GPS-Trackers die Bewegungsdaten des PKWs des neuen Lebensgefährten seiner früheren Ehefrau erhoben. Diese Daten hatte er genutzt, um seiner Ex-Frau nachzufahren und immer wieder Begegnungen mit ihr im Straßenverkehr herbeizuführen. Während eine Erhebung von personenbezogenen Daten in dem vorliegenden Fall durch das beschriebene Verhalten unproblematisch gegeben war, waren vor allem die Einschlägigkeit des Anwendungsbereiches des BDSG, die fehlende allgemeine Zugänglichkeit der Daten sowie das Vorliegen eines strafbarkeitsbegründenden Merkmals nach § 44 Abs. 1 BDSG problematisch. Das LG Aachen diskutierte kurz, ob der Anwendungsbereich des BDSG im vorliegenden Fall gem. § 1 Abs. 2 Nr. 3 a. E. BDSG aufgrund einer Datenerhebung ausschließlich für persönliche oder familiäre Tätigkeiten ausgeschlossen sei.488 Es lehnte dies mit der Begründung ab, dass es das Ziel der Datenerhebung war, „nicht nur den jeweiligen Aufenthaltsorts des Pkw’s des Zeugen A zu kennen, sondern auch diesem Fahrzeug nachzufahren und insoweit immer wieder Begegnungen mit dem Zeugen A und der Nebenklägerin im Straßenverkehr herbeizuführen.“489 Das Gericht sah § 1 Abs. 2 Nr. 3 a. E. BDSG damit aufgrund der deliktischen Absicht des Täters nicht als einschlägig an. Auch wenn die Begründung knapp ausfiel, weiß dies zu überzeugen. Der Täter wollte die erhobenen Daten nicht lediglich in seiner Sphäre nutzbar machen, sondern mit ihnen nach außen treten, 484 OLG Bamberg NStZ-RR 2011, S. 27 f.; VG Berlin BeckRS 2012, 56716; VG Berlin BeckRS 2012, 60511; LfDI Berlin, Bericht 2012, S. 53 f.; vgl. auch LfD Brandenburg, Bericht 2010/2011, S. 158. 485 OLG Koblenz NJW 2008, S. 2794 f. 486 LfDI Berlin, Bericht 2012, S. 58. 487 LG Aachen BeckRS 2011, 20917. Insgesamt wurde der Angeklagte aufgrund weiterer Taten zu einer Gesamtfreiheitsstrafe von sieben Monaten auf Bewährung verurteilt. 488 LG Aachen BeckRS 2011, 20917. 489 LG Aachen BeckRS 2011, 20917.
192
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
um seine Ex-Frau zu schädigen. Damit hat er den von § 1 Abs. 2 Nr. 3 a. E. geschützten Bereich verlassen.490 Als personenbezogene Daten waren die Bewegungsdaten der Ex-Frau des Angeklagten betroffen. Diesbezüglich hätte diskutiert werden können, ob Bewegungsdaten im öffentlichen Straßenverkehr als allgemein zugänglich gelten können. Das Gericht problematisierte dies allerdings nicht. Nach der hier vertretenen Ansicht müssen auch Bewegungsdaten im öffentlichen Straßenverkehr als nicht allgemein zugänglich gelten, wenn sie durch die „Anbringung eines GPS-Empfängers als notwendige technische Voraussetzung für die Gewinnung der Personenbezug aufweisenden Geodaten“491 erhoben wurden.492 Insofern ist die Beurteilung, dass die Bewegungsdaten aus dem Straßenverkehr, die durch die mit einer Eigentumsverletzung verbundene Anbringung eines GPS-Empfängers erhoben wurden, nicht allgemein zugänglich waren, richtig. Im Hinblick auf die Schädigungsabsicht des Täters führte das Gericht zunächst – übereinstimmend mit der hier vertretenen Auffassung493 – aus, dass eine Schädigungsabsicht auch hinsichtlich immaterieller Nachteile bestehen kann.494 Eine materielle Schädigungsabsicht kam im vorliegenden Fall nicht in Betracht. Die Annahme das Gerichts, dass eine Schädigungsabsicht in dem Fall dadurch bestand, dass der Täter das „Ziel verfolgte, [ . . . ] Personen einzuschüchtern und bei ihnen das Gefühl der ständigen Überwachtheit zu erregen“495 weiß nach den hier entwickelten Kriterien zur Schädigungsabsicht zu überzeugen.496 Die rechtliche Subsumtion des Falles unter die §§ 44 Abs. 2 i. V. m. 43 Abs. 2 Nr. 1 BDSG entspricht damit vollständig den zuvor dargestellten und untersuchten Kriterien. Der Fall veranschaulicht dabei insbesondere, in welch weitem Maße Privatpersonen (als verantwortliche Stellen i. S. d. § 3 Abs. 7 BDSG) vom Anwendungsbereich des BDSG und seinen Strafvorschriften erfasst sind.497 Im Übrigen kam im Fall des LG Aachen auch eine Strafbarkeit nach § 238 Abs. 1 Nr. 1 StGB in Betracht, die vom Gericht nicht geprüft wurde.498 Demnach macht sich wegen Nachstellung strafbar, „[w]er einem Menschen unbefugt nachstellt, indem er beharrlich seine räumliche Nähe aufsucht und dadurch seine Lebensgestaltung schwerwiegend beeinträchtigt“. Der Verurteilte hatte im Fall des LG Aachen die Absicht verfolgt, seine ehemalige Ehefrau durch die wiederholten Begegnungen im Straßenverkehr einzuschüchtern und bei ihr das Gefühl der ständigen Überwachtheit zu erregen. Ob dieser gewünschte Erfolg eingetreten ist, geht aus dem Feststellungen des Gerichts zum Sachverhalt nicht hervor. Sollte dies aber der Fall gewesen sein, könnte darin eine schwerwiegende Beeinträchtigung der Lebensgestaltung gelegen haben. 490
Dazu näher oben § 9 IV. 3. BGH NJW 2013, S. 2530, 2533 f. 492 Dazu näher oben III. 1. 493 Oben VI. 3. 494 LG Aachen BeckRS 2011, 20917. 495 LG Aachen BeckRS 2011, 20917. 496 Näher zu diesem Aspekt der Entscheidung oben VI. 3. 497 Zur Anwendbarkeit des BDSG auf Privatpersonen oben § 9 II. 498 Deren Verfolgung aufgrund des relativen Antragserfordernisses in § 238 Abs. 4 StGB in der Regel von einem Strafantrag abhängig ist. 491
§ 10 Straftatbestände
193
bb) Fall des LG Mannheim Zuletzt wurden im Oktober 2012 zwei Privatdetektive vom LG Mannheim wegen Straftaten nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG zu Freiheitsstrafen von anderthalb Jahren bzw. acht Monaten auf Bewährung verurteilt.499 Die Detektive hatten in diversen Fällen mit GPS-Peilsendern Bewegungsdaten von Fahrzeugen erhoben, daraus automatisiert Bewegungsprotokolle erstellen lassen und diese entgeltlich an ihre Auftraggeber weitergegeben. Eine Revisionsentscheidung des 1. Strafsenates des BGH im Juni 2013 führte zu einer teilweisen Aufhebung des Urteils und einer Rückverweisung an das LG Mannheim.500 Die teilweise Rückverweisung wurde damit begründet, dass das LG Mannheim in mehreren Fällen „bei der Beurteilung, ob die Handlungen der Angeklagten unbefugt waren, nicht von einem zutreffenden rechtlichen Maßstab ausgegangen“501 sei. Hierbei bezog sich der BGH vor allem auf die rechtliche Beurteilung des Merkmals „unbefugt“ in den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG.502 Anhand von Art. 7 lit. f) EG-Datenschutzrichtlinie als Grundlage der einschlägigen Befugnisnormen des BDSG legte er die gesetzlichen Befugnisse der Privatdetektive zur Erhebung personenbezogener Daten in dem vorliegenden Fall weit aus.503 Durch die Aussage, dass „[d]as nationale Recht [ . . . ] jedenfalls im Verhältnis zwischen dem auf der Grundlage von § 44 BDSG (möglicherweise) strafenden Staat und dem von Strafe bedrohten ‚Datenverarbeiter‘ nicht hinter den durch Art. 7 lit. f der Datenschutzrichtlinie gewährten Befugnissen zur Verarbeitung personenbezogener Daten der Betroffenen zurückbleiben“504 dürfe, hat der BGH ein Schlaglicht auf die Prüfung der Befugnis zum Umgang mit personenbezogenen Daten geworfen. Die Entscheidung legt in dieser Hinsicht eine gespaltene Auslegung der Befugnisnormen im strafrechtlichen und außerstrafrechtlichen Kontext nahe – im Rahmen des Merkmals „unbefugt“ dürften die Befugnistatbestände des Datenschutzrechts großzügiger auszulegen sein als in anderen Zusammenhängen.505 Die Entscheidung des BGH beschäftigte sich zudem mit den Merkmalen der allgemeinen Zugänglichkeit506 sowie der Entgeltlichkeit507 . Die Voraussetzung der fehlenden allgemeinen Zugänglichkeit der betroffenen personenbezogenen Daten würdigte der BGH zunächst zutreffend in seiner Bedeutung für die Wahrung der Informationsfreiheit.508 Durch die Annahme, dass „[r]echtliche Schranken jedweder Art des Zugangs zu den Daten“ die allgemeine Zugänglichkeit ausschließen hat der BGH die Voraussetzungen an die fehlende allgemeine Zugänglichkeit relativ hoch angesetzt.509 Zu begrüßen ist allerdings, dass der Begriff der allgemeinen Zugänglichkeit eine neue (im strafrechtlichen Kontext dringend benötigte) Klarheit erlangt hat. 499 500 501 502 503 504 505 506 507 508 509
LG Mannheim BeckRS 2013, 12634. BGH NJW 2013, S. 2530 f. BGH NJW 2013, S. 2530, 2534. Zu diesem Aspekt der Entscheidung näher oben V. 2. c) cc). BGH NJW 2013, S. 2530, 2535; vgl. im Einzelnen oben V. 2. c) cc). BGH NJW 2013, S. 2530, 2535. Dazu oben V. 2. c) ee). Dazu oben III. Dazu oben VI. 1. BGH NJW 2013, S. 2530, 2533; vgl. dazu auch oben III. 2. Zu diesem Aspekt der Entscheidung näher oben III. 2.
194
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Im Bezug auf die Entgeltlichkeit stellte der BGH fest, dass ein Privatdetektiv, der von seinen Auftraggebern dafür vergütet wird, die Bewegungsdaten einer Zielperson mit einem GPS-Empfänger zu erheben und daraufhin zu verarbeiten, gegen Entgelt handelt.510 Dies ist naheliegend und entspricht dem Erkenntnisstand zum Merkmal der Entgeltlichkeit. Die in diesem Zusammenhang interessanteren Frage, ob in der im Übrigen gleichen Konstellation auch ein angestellter Detektiv gegen Entgelt handelt, der einen festen Arbeitslohn erhält, hat der BGH bedauerlicherweise in seiner Entscheidung offen gelassen.511 Nach der hier vertretenen Ansicht liegt in einem solchen Fall kein Handeln gegen Entgelt vor.512 Die Entscheidung des BGH wurde in der Literatur als wichtiger Impuls mit praktischer Bedeutung für das Datenschutzstrafrecht eingeordnet.513 Cornelius etwa bezeichnete sie „Meilenstein auf dem Weg zu einem wehrhaften Datenschutz“514 . In der Tat dürfte die Entscheidung den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG durchaus neue Aufmerksamkeit beschert haben. Die praktische Anwendung der Straftatbestände der Datenschutzgesetze könnte sich vor diesem Hintergrund in kommender Zeit erhöhen. c) Veröffentlichung von Daten im Internet Im Juni 2006 verurteilte das AG Marburg einen Privatmann wegen der unbefugten Veröffentlichung personenbezogener Daten im Internet nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 und Nr. 2 BDSG zu einer Gesamtgeldstrafe von 50 Tagessätzen zu je 15,00 Euro.515 Die Berufung wurde vom LG Marburg verworfen.516 Der Angeklagte hatte auf einer selbst erstellten Website einen Auszug aus dem Bundeszentralregister eines jungen Mannes, mit dem er sich in einem Rechtsstreit befunden hatte, veröffentlicht. Den Bundeszentralregisterauszug hatte er durch Einsicht in eine Ermittlungsakte der Staatsanwaltschaft in einem vorherigen Verfahren fehlerhafterweise erhalten. Der Angeklagte kommentierte den Auszug auf seiner Internetseite unter anderem mit den Worten „Der Polizistensohn genießt Protektion durch Polizei und Justiz“ und „Die für einen Burschenschaftsführer unentbehrliche Qualifikation hat er schon im zartem Alter erworben“. Der Betroffene war offenbar Mitglied einer Burschenschaft in Marburg. Die rechtliche Bewertung des Falles im Hinblick auf die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ist nicht zu beanstanden. Dadurch, dass der Angeklagte den Betroffenen durch die Veröffentlichung der Daten diskreditieren wollte, lag Schädigungsabsicht vor.517 Eine mögliche Strafbarkeit nach den §§ 185 ff. StGB prüfte das AG Marburg nicht – möglicherweise fehlte ein entsprechender Strafantrag. Gerade in dem vorliegenden Fall fragt sich aber, ob eine Anwendung des Datenschutzstrafrechts notwendig war, da eine Bloßstellung des Betroffenen vorlag. Wie das AG Marburg zutreffend feststelle, diskreditierte der An510
BGH NJW 2013, S. 2350, 2353. BGH NJW 2013, S. 2350, 2353. 512 Dazu oben VI. 1. 513 Vgl. Brodowski, JR 2014, S. 87; Cornelius, NJW 2013, S. 3340, 3343; Neuhöfer, jurisPRCompl 1/2014 Anm. 3; Schoene, GRUR-Prax 2013, S. 452. 514 Cornelius, NJW 2013, S. 3340, 3343. 515 AG Marburg, Urteil v. 1. Juni 2006 – Az.: 2 Js 17479/04-51 Ls. 516 LG Marburg Urteil v. 24. November 2006 – Az.: 8 Ns 2 Js 17479/04. 517 Dazu oben VI. 3. 511
§ 11 Bußgeldtatbestände
195
geklagte den Betroffenen jedenfalls durch die Kommentierung der Veröffentlichung.518 Es blieb nicht bei der Absicht einer Schädigung, wie sie für §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG Voraussetzung ist. Eine Schädigung trat durch die Diskreditierung des Betroffenen tatsächlich ein. Eine strafbare Beleidigung gemäß § 185 StGB ist in diesem Zusammenhang anzunehmen. Diese würde die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 und Nr. 2 BDSG bei einem entsprechenden Strafantrag als mitbestrafte Vortat konsumieren.
§ 11 Bußgeldtatbestände Das BDSG enthält wie auch die meisten Landesdatenschutzgesetze519 eine Reihe von Ordnungswidrigkeitentatbeständen. Die Untersuchung der Ordnungswidrigkeiten nach dem BDSG soll – wie auch der Kern der Untersuchung der Straftaten – auf die Tatbestände beschränkt bleiben, die eine Ahndung von materiellen Datenschutzverstößen in Form des unbefugten Erhebens, Verarbeitens und Nutzens von Daten vorsehen.
I. Anwendungsbereich Der Anwendungsbereich der Bußgeldtatbestände des § 43 BDSG ist entsprechend jenem der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zu bestimmen.520 Da das Bestimmtheitsgebot aus Art. 103 Abs. 2 GG auch für Ordnungswidrigkeitentatbestände gilt,521 gilt in personeller Hinsicht eine Beschränkung des Adressatenkreises auf die Adressaten der Verhaltensnormen des BDSG. Für den Auftragnehmer einer Auftragsdatenverarbeitung nach § 11 BDSG gelten nach § 11 Abs. 4 BDSG nur die Bußgeldtatbestände § 43 Abs. 1 Nr. 2, 10 und 11 BDSG. Wenn bereichsspezifische datenschutzrechtliche Regelungen mit einem umfassenden Regelungsansatz einschlägig sind, findet § 43 BDSG grundsätzlich keine Anwendung.
II. Erfasste Tathandlungen Die ordnungswidrigen Handlungen ergeben sich aus § 43 Abs. 1 und 2 BDSG. Bezüglich der Tatbestände des § 43 Abs. 2 BDSG ist auf die Ausführungen zu §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zu verweisen.522 In § 43 Abs. 1 BDSG werden hauptsächlich Verstöße gegen datenschutzrechtliche Verfahrensregeln und Formvorschriften mit Sank-
518 Das AG Marburg, Urteil v. 1. Juni 2006 – Az.: 2 Js 17479/04-51 Ls führte hierzu aus: „Aus der Hinzufügung eines Begleittextes mit sarkastischer Wortwahl ergibt sich ein verlässlicher Hinweis auf den Wunsch des Angeklagten, (. . . ) [das Opfer] in Misskredit zu bringen: Der Satz ‚Die für einen Burschenschaftsführer unentbehrliche Qualifikation hat er schon im zarten Alter erworben‘ stellt den Geschädigten bewusst in die Nähe des Naziführers Adolf Hitler und beschreibt Alkohol und Rechtsbruch als Qualifikation nach dem Motto ‚Früh übt sich, wer ein Meister werden will‘.“ 519 Eine Ausnahme bilden die Landesdatenschutzgesetze von Berlin und Rheinland-Pfalz, dazu oben Erster Teil § 3 VII. 520 Dazu oben § 10 II. 521 BVerfG NJW 2010, S. 754; BVerfG NStZ 1990, S. 394. 522 Oben § 10 IV.
196
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
tionen bedroht.523 Von dem Fokus auf die Sanktionierung des Erhebens, Verarbeitens und Nutzens von personenbezogene Daten ausgehend soll auf die Ahndungsmöglichkeiten dieser Verfahrens- und Formverstöße hier nicht näher eingegangen werden. Nur § 43 Abs. 1 Nr. 4, Nr. 6 und Nr. 9 BDSG berühren die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten. 1. Zweckwidrige Übermittlung und Nutzung Nach § 43 Abs. 1 Nr. 4 BDSG ist die Übermittlung und Nutzung personenbezogener Daten entgegen § 28 Abs. 5 S. 2 BDSG sanktionsbedroht. Nach § 28 Abs. 5 S. 2 BDSG dürfen verantwortliche Stellen personenbezogene Daten nur in Ausnahmefällen für andere als die Zwecke verarbeiten und nutzen, zu deren Erfüllung sie übermittelt worden sind. Es handelt sich, ähnlich wie bei § 43 Abs. 2 Nr. 5 BDSG, um eine Sanktionierung einer Verletzung des Zweckbindungsprinzips.524 Ebenso wie bei § 43 Abs. 2 Nr. 5 BDSG betrifft die Sanktionsbedrohung nach § 43 Abs. 1 Nr. 4 BDSG denjenigen, dem Daten mit der Bindung an bestimmte Zwecke übermittelt worden sind, wenn er diese zu anderen als den bestimmten Zwecken nutzt.525 Sie betrifft nicht denjenigen, der die Daten übermittelt hat. In dem zur Erläuterung des § 43 Abs. 2 Nr. 5 BDSG angeführten Fallbeispiel526 greift auch § 43 Abs.1 Nr. 4 BDSG: Wenn ein Privatunternehmen einer Forschungseinrichtung gemäß § 28 Abs. 2 Nr. 3 BDSG personenbezogenen Daten zu Forschungszwecken übermittelt, die Mitarbeiter der Forschungseinrichtung diese Daten aber verwenden, um Spenden einzutreiben, dann verstoßen die verantwortlichen Mitarbeiter der Einrichtung dadurch gegen § 28 Abs. 5 S. 2 BDSG. Wie aus dem Beispiel bereits ansatzweise hervorgeht, ist § 43 Abs. 1 Nr. 4 BDSG als Bußgeldtatbestand neben § 43 Abs. 2 Nr. 5 BDSG praktisch überflüssig. Nach § 43 Abs. 2 Nr. 5 BDSG kann die Nutzung von personenbezogenen Daten entgegen § 28 Abs. 5 S. 1 BDSG sanktioniert werden. § 43 Abs. 1 Nr. 4 BDSG erfasst die Nutzung entgegen § 28 Abs. 5 S. 2 BDSG. Inhaltlich besteht jedoch in dem Verstoß gegen die beiden in Bezug genommenen Sätze des § 28 Abs. 5 kein Unterschied. § 28 Abs. 5 S. 1 und 2 BDSG lauten: „Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nicht-öffentlichen Stellen nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14 Abs. 2 erlaubt.“
§ 28 Abs. 5 S. 2 BDSG normiert lediglich eine Ausnahme von der in S. 1 enthaltenen Verbotsnorm. Die Ausnahmeregelung impliziert zugleich, dass eine Nutzung in anderen als den zugelassenen Fällen verboten ist. Ein Unterschied bei der Inbezugnahme von § 28 Abs. 5 S. 1 BDSG besteht lediglich darin, dass das Vorliegen eines Falles nach § 28 523 524 525 526
Vgl. Plath/Becker, § 43 Rn. 8; Simitis/Ehmann, § 43 Rn. 27. Vgl. oben § 10 IV. 3. b). Vgl. Simitis/Ehmann, § 43 Rn. 38. Oben § 10 IV. 3. b).
§ 11 Bußgeldtatbestände
197
Abs. 5 S. 2 BDSG, der die Nutzung zulässig macht, nicht bereits den Tatbestand der Ordnungswidrigkeit ausschließt, sondern ihre Rechtswidrigkeit entfallen lässt. § 43 Abs. 1 Nr. 4 BDSG geht nur insofern über § 43 Abs. 2 Nr. 5 BDSG hinaus, als dass er nicht nur die Nutzung, sondern auch die Übermittlung von personenbezogenen Daten betrifft. Eine Übermittlung von Daten entgegen § 28 Abs. 5 S. 2 BDSG stellt allerdings bereits eine unbefugte Verarbeitung dar, die nach § 43 Abs. 2 Nr. 1 Var. 2 BDSG ordnungswidrig ist.527 Im Ergebnis erfasst § 43 Abs. 1 Nr. 5 BDSG daher keinen Fall, der nicht bereits nach § 43 Abs. 2 Nr. 1 Var. 2 und Nr. 5 BDSG als Ordnungswidrigkeit erfasst ist. 2. Aufnahme in Verzeichnisse Fall 6: Ungewollt im Telefonbuch Die Privatperson P schließt einen Vertrag über Bereitstellung eines Festnetz-Telefonanschlusses mit einem Telekommunikationsanbieter ab. P gibt dabei ausdrücklich an, dass sie eine Eintragung der ihr zugewiesenen Telefonnummer ausschließlich in das Kommunikationsverzeichnis der Deutschen Telekom („Telekom-Verzeichnis“), nicht aber in weitere gedruckte oder elektronische Telefonbüchern oder ähnliche Verzeichnisse wünscht. Der Eintrag im Telekom-Verzeichnis erfolgt und wird dort dementsprechend in einer Tabellenspalte mit einem Sternchen gekennzeichnet. Der Adressbuchverlag A möchte ein neues gedrucktes Telefonbuch erstellen und bedient sich dabei der Angaben aus dem Telekom-Verzeichnis. Er übernimmt die Rufnummer der P trotz der Kennzeichnung in sein Telefonbuch.
Nach § 43 Abs. 1 Nr. 6 BDSG handelt ordnungswidrig, wer „entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt“. Nach § 29 Abs. 3 S. 1 BDSG hat die Aufnahme personenbezogener Daten in die genannten Verzeichnisse „zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist“. Diese Regelung steht im Zusammenhang mit § 104 TKG, wonach Teilnehmer von öffentlich zugänglichen Telekommunikationsdiensten528 bestimmen dürfen, ob persönliche Angaben über sie in öffentliche gedruckte oder elektronische Verzeichnisse eingetragen werden. In dem geschilderten Fall 6 ist § 43 Abs. 1 Nr. 6 BDSG unproblematisch einschlägig. A hat die Rufnummer des P trotz einer entgegenstehenden Kennzeichnung in sein gedrucktes Rufnummernverzeichnis aufgenommen. Zu beachten ist, dass die Aufnahme von personenbezogenen Daten in Verzeichnisse keine eigenständige Form der Verwendung von Daten nach § 3 Abs. 3–5 BDSG ist.529 Sie geht aber regelmäßig mit einer Verarbeitung von personenbezogenen Daten i. S. d. § 3 Abs. 4 S. 2 BDSG einher. Die Fixierung von personenbezogenen Daten in einem Verzeichnis ist eine Speicherung gemäß § 3 Abs. 4 Nr. 1 BDSG.530 Es handelt sich um ein Erfassen von personenbezogenen Daten zum Zweck ihrer weiteren Verarbeitung (§ 3 Abs. 4 S. 2 527
Dazu näher oben § 10 IV. 2. a) cc). Nach § 3 Nr. 20 TKG ist Teilnehmer im Sinne des Gesetzes „jede natürliche oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat“. 529 Vgl. Erbs/Kohlhaas/Ambs, § 29 BDSG Rn. 19. 530 Dazu näher oben § 10 IV. 2. a) aa). 528
198
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Nr. 1 BDSG). Die bezeichnete weitere Verarbeitung der personenbezogenen Daten ist dabei ihre Veröffentlichung, die eine Übermittlung i. S. d. § 3 Abs. 4 Nr. 3 lit. a) BDSG darstellt.531 3. Übermittlung ohne Gegendarstellung Nach § 43 Abs. 1 Nr. 9 BDSG ist es ordnungswidrig, entgegen § 35 Abs. 6 S. 3 BDSG Daten ohne Gegendarstellung zu übermitteln. Nach § 35 Abs. 6 S. 3 BDSG dürfen personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wurde nicht ohne eine Gegendarstellung übermittelt werden, wenn der Betroffene die Beifügung einer solchen Gegendarstellung bei der verantwortlichen Stelle, die die Daten übermitteln möchte, verlangt hat. Bei der Gegendarstellung handelt es sich um „eine vom Betroffenen formulierte Version des Geschehens oder der Dinge.“532 Durch das Unterlassen der Beifügung einer Gegendarstellung wird die Übermittlung selbst gemäß § 35 Abs. 6 S. 3 BDSG zu einer unbefugten. Insofern handelt es sich bei § 43 Abs. 1 Nr. 9 BDSG nicht bloß um die Sanktionierung eines Formverstoßes.533 Die unbefugte Übermittlung von Daten wird in diesem Fall ebenfalls von § 43 Abs. 2 Nr. 1 Var. 2 BDSG erfasst.
III. Fahrlässige Begehung Während ein strafbares Verhalten gemäß § 44 Abs. 1 BDSG stets eine vorsätzliche Handlung voraussetzt, ist nach § 43 Abs. 1 und Abs. 2 BDSG auch fahrlässiges Handeln tatbestandsmäßig. Ein alltäglicher Fall der fahrlässigen unbefugten Verarbeitung von Daten gemäß § 43 Abs. 2 Nr. 1 Var. 2 BDSG ist beispielswiese der Versand von E-Mails mit versehentlich sichtbaren Empfängerlisten.534 Wenn eine E-Mail-Adresse namentlich zuzuordnen ist (etwa durch das übliche Format [email protected]), handelt es sich hierbei um ein personenbezogenes Datum.535 Wer also namentlich zuzuordnende Adressen bei dem Versand einer Verteiler-E-Mail nicht in das Feld „Blindkopie (BCC)“, sondern in das Feld „An“ oder „Einfache Kopie (CC)“ einträgt, übermittelt damit unbefugt personenbezogene Daten, wenn nicht die Empfänger in diese Form des Versands eingewilligt haben.536 Auch wenn dies nicht vorsätzlich erfolgt, ist es im Rahmen der verkehrsüblichen Sorgfalt beim Versand von E-Mails an eine Vielzahl von Empfängern zu verlangen, dass die Unterdrückung der Empfängerliste sichergestellt wird.
IV. Verweisungen Die Ausführungen zu den akzessorischen Elementen des § 43 Abs. 2 BDSG als Straftatbestand i. V. m. § 44 Abs. 1 BDSG gelten für seine Funktion als Ordnungswidrigkeiten531
Vgl. oben § 10 IV. 2. a) cc). Simitis/Ehmann, § 43 Rn. 49. Der Begriff der Gegendarstellung ist hierbei nicht identisch mit dem presserechtlichen Begriff. 533 So aber Simitis/Ehmann, § 43 Rn. 28. 534 Vgl. LfDI Hamburg, Bericht 2012/2013, S. 247 f. 535 Vgl. LfD Hessen, Bericht 2013, S. 186 f. 536 LfDI Hamburg, Bericht 2012/2013, S. 247 f.; LfD Hessen, Bericht 2013, S. 185 ff. 532
§ 11 Bußgeldtatbestände
199
norm entsprechend.537 Auch in § 43 Abs. 1 Nr. 1–10 BDSG sind die umfassten Tathandlungen durch das Handeln „entgegen“ bestimmter Vorschriften beschrieben. Diese Verweisungsform ist gleich den entsprechenden Verweisungen in § 43 Abs. 2 BDSG zu behandeln.538
V. Rechtsfolge Nach § 43 Abs. 3 S. 1 BDSG können Ordnungswidrigkeiten „im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden“. Die Vorschrift wurde im Rahmen der zweiten BDSG-Novelle des Jahres 2009 angepasst: Der Bußgeldrahmen für Ordnungswidrigkeiten nach Abs. 1 wurde von 25.000 auf 50.000 Euro, der für Ordnungswidrigkeiten nach Abs. 2 von 250.000 auf 300.000 Euro erhöht. Dies wurde mit der wachsenden wirtschaftlichen Bedeutung und dem gesteigerten Missbrauchspotential personenbezogener Daten begründet.539 Bei der konkreten Festlegung des Bußgeldes haben die zuständigen Stellen einen weiten Ermessensspielraum.540 Zu berücksichtigen sind die wirtschaftlichen Verhältnisse des ordnungswidrig Handelnden.541 Im Übrigen ist die Höhe des festgesetzten Bußgelds stark einzelfallabhängig.542 Gemäß § 43 Abs. 3 S. 2 BDSG soll die Geldbuße „den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen“. Wenn die vorgesehenen Beträge dafür nicht ausreichen, so können sie nach S. 3 der Vorschrift überschritten werden. § 43 Abs. 3 S. 2 und 3 BDSG wurden durch die zweite BDSG-Novelle des Jahres 2009 in das Gesetz eingeführt.543 Es handelt sich um klarstellende Regelungen, da die Abschöpfung des wirtschaftlichen Vorteils bereits allgemein in § 17 Abs. 4 OWiG festgelegt ist.544
VI. Praktische Bedeutung Allgemein wird den Ordnungswidrigkeitentatbeständen des BDSG ähnlich wie den Straftatbeständen eine eher geringe praktische Bedeutung zugeschrieben.545 Seit den Anfängen des Datenschutzrechts bis in die Mitte des letzten Jahrzehnts wurden nur wenige Bußgeldbescheide wegen Datenschutzverstößen erlassen. Bis Mitte der 1980er-Jahre war die Anzahl der geahndeten Ordnungswidrigkeiten sogar verschwindend gering. So hat537
Vgl. oben § 10 V. Vgl. oben § 10 V. 3. 539 BT-Drs. 16/12011, S. 35. 540 Gola/Schomerus, § 43 Rn. 29. 541 Erbs/Kohlhaas/Ambs, § 43 BDSG Rn. 29. 542 Vgl. zu den Höhen der Bußgelder in der Praxis unten VI. 543 Vgl. BT-Drs. 16/12011, S. 36. 544 Hanloser, MMR 2009, S. 594, 598; Holländer, RDV 2009, S. 215, 216. 545 Vgl. nur DKWW/Klebe, § 43 Rn. 24; Lindhorst, S. 41 f.; Tinnefeld, 2005, S. 674. Ähnliches gilt für die Bußgeldtatbestände bei Datenschutzverstößen nach dem TMG; vgl. Taeger/Gabel/Moos, § 16 TMG Rn. 18. 538
200
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
ten etwa die Bußgeldbehörden in Rheinland-Pfalz und Schleswig-Holstein bis zum Jahr 1984 noch keine einzige Geldbuße verhängt.546 Die Zahl der eingeleiteten Verfahren und geahndeten Ordnungswidrigkeiten stieg bis Mitte der 1990er-Jahre etwas, blieb aber insgesamt weiterhin gering.547 Von September 2004 bis August 2006 wurden bundesweit 91 Bußgeldbescheide durch die datenschutzrechtlichen Aufsichtsbehörden erlassen.548 1. Aktuelle Tendenzen Aktuelle Angaben lassen darauf schließen, dass die praktische Bedeutung der Ordnungswidrigkeitentatbestände mittlerweile gestiegen ist. Die Bewertungsgesellschaft XAMIT hat für das Jahr 2011 aus den Angaben von sieben Aufsichtsbehörden 66 Fälle ermittelt, in denen Bußgelder von zusammen 219.395 Euro verhängt wurden.549 Für das Jahr 2012 ermittelte XAMIT ebenfalls 66 verhängte Bußgelder, jedoch eine im Vergleich zum Vorjahr geringere Gesamtsumme i. H. v. 188.168,50 Euro.550 Bei der Anzahl der bekanntgewordenen Bußgelder besteht in der Statistik von XAMIT bis zum Jahr 2011 eine steigende Tendenz.551 Die Höhe der öffentlich bekannt gewordenen Bußgeldzahlungen sei jedoch seit 2009 im Vergleich zum Vorjahr jeweils gesunken.552 Dies ist unter anderem den „Datenskandalen“ um die Unternehmen Lidl und Deutsche Bahn in den Jahren 2008 und 2009 geschuldet. Im Jahre 2008 wurden gegen die 35 Vertriebsgesellschaften des Unternehmens Lidl in Deutschland wegen der Überwachung von Mitarbeitern Bußgelder in der Höhe von insgesamt 1,462 Millionen Euro verhängt.553 Im Oktober 2009 verhängte der Berliner LfDI gegen die Deutsche Bahn ein Bußgeld in Höhe von 1.123.503,50 Euro.554 Das Unternehmen hatte eine Reihe von Datenschutzverstößen begangen und unter anderem die E-Mail-Kommunikation vieler seiner Mitarbeiter überwacht.555 Eine noch höhere Geldbuße setzte in einem einzelnen Ordnungswidrigkeitenverfahren wegen eines Datenschutzverstoßes nur der LfDI Rheinland-Pfalz fest: Am 29. Dezember 2014 wurde der Debeka-Krankenversicherungsverein a. G. zur Zahlung eines Bußgeldes in Höhe von 1,3 Millionen Euro verpflichtet.556 In dem zugrunde liegenden Fall hatten Mitarbeiter der Debeka „weisungswidrig Datensätze zu Anwärtern im öffentlichen Dienst erworben und genutzt“557 . Durch diese Informationen wurden „in einigen Fällen unter Missachtung des Datenschutzes Neukunden für die Debeka“558 gewonnen. 546
Höft, S. 81. Vgl. Simitis/Ehmann, § 43 Rn. 80; Wind, S. 146. 548 Seiffert, S. 20 ff. 549 XAMIT, Datenschutzbarometer 2012, S. 31. 550 XAMIT, Datenschutzbarometer 2013, S. 36. 551 XAMIT, Datenschutzbarometer 2012, S. 32. 552 XAMIT, Datenschutzbarometer 2012, S. 32; XAMIT, Datenschutzbarometer 2013, S. 37. 553 ULD, Pressemitteilung vom 11. September 2008, abrufbar unter www.datenschutzzentrum. de/presse/20080911-lidl-bussgeldverfahren.html, zuletzt abgerufen am 1. Juni 2015. Kritisch zur Öffentlichkeitsarbeit der Aufsichtsbehörden in diesem Kontext Simitis/Ehmann, § 43 Rn. 83. 554 LfDI Berlin, Pressemitteilung vom 23. Oktober 2009, abrufbar unter www.datenschutz-berlin. de/attachments/627/PE_DB_AG.pdf?1256283223, zuletzt abgerufen am 1. Juni 2015. 555 LfDI Berlin, Pressemitteilung vom 23. Oktober 2009. 556 LfDI Rheinland Pfalz, Pressemitteilung vom 29. Dezember 2014, abrufbar unter www. datenschutz.rlp.de/de/presseartikel.php?pm=pm2014122901, zuletzt abgerufen am 1. Juni 2015. 557 LfDI Rheinland Pfalz, Pressemitteilung vom 29. Dezember 2014. 558 LfDI Rheinland Pfalz, Pressemitteilung vom 29. Dezember 2014. 547
§ 11 Bußgeldtatbestände
201
Der Debeka selbst wurden dabei Aufsichtspflichtverletzungen vorgeworfen.559 Im Übrigen sind Bußgelder im sechsstelligen oder höheren Bereich für Datenschutzverstöße eher selten.560 Die Tendenz, dass mehr Bußgeldverfahren eingeleitet und Bußgelder verhängt werden, zeigt sich auch in einzelnen Berichten der Aufsichtsbehörden, soweit diese einen detaillierten Überblick über ihre Sanktionstätigkeit liefern. Das Bayerische LDA hat in den Jahren 2011 und 2012 „insgesamt 174 Ordnungswidrigkeitenverfahren eröffnet“561 , „wobei 39 Bußgeldbescheide über insgesamt ca. 37.000 EUR erlassen [ . . . ] wurden.“562 Die Behörde stellte dabei einen „sprunghaften Anstieg“563 der Anzahl der erlassenen Bußgeldbescheide fest. Der Hamburgische LfDI leitete in den Jahren 2010 und 2011 zusammen 13 Ordnungswidrigkeitenverfahren ein und verhängte in allen Fällen Bußgelder in Höhe von insgesamt 222.700 Euro.564 Auch hier wurde von einem starken Anstieg der Ahndung von Ordnungswidrigkeiten berichtet.565 In den Jahren 2012 und 2013 ahndete der Hamburgische LfDI „in 12 Fällen Datenschutzverstöße mit Bußgeldern“.566 Der Berliner LfDI hat in den Jahren 2011 und 2012 zusammen 18 Bußgeld- oder Verwarnungsbescheide erlassen und Geldbußen i. H. v. insgesamt 30.440 Euro festgesetzt.567 Im Jahr 2013 waren es 16 Bußgeld- oder Verwarnungsbescheide und Geldbußen i. H. v. insgesamt 44.235 Euro.568 Im Jahr 2014 steigerte sich die Anzahl der Bußgeld- oder Verwarnungsbescheide auf 25 und die Höhe der Geldbußen auf insgesamt 88.205 Euro.569 Der Hessische LfD bearbeitete im Jahr 2012 32 Bußgeldverfahren, wovon acht zu einer rechtskräftigen Verhängung von Bußgeldern in einer Gesamthöhe von 3.900 Euro führten.570 Im Jahr 2013 schlos der Hessische LfD 34 Bußgeldverfahren ab, wobei in fünf Fällen Bußgelder in einer Gesamthöhe von 12.250 Euro verhängt wurden.571 Die LfD Brandenburg berichtete in den Jahren 2012 und 2013 von 19 Ordnungswidrigkeitenver559
LfDI Rheinland Pfalz, Pressemitteilung vom 29. Dezember 2014. Mit diversen Beispielen Simitis/Ehmann, § 43 Rn. 84; vgl. auch Seiffert, S. 21 ff. 561 Davon 30 im Jahre 2011 und 144 im Jahre 2012; LDA Bayern, Bericht 2011/2012, S. 9. Größtenteils wurden Verfahren jedoch nicht wegen Ordnungswidrigkeiten nach dem BDSG, sondern nach dem TMG (Unbefugte Datenübermittlung durch Nutzung von Google Analytics) eingeleitet; LDA Bayern, Bericht 2011/2012, S. 96. 562 LDA Bayern, Bericht 2011/2012, S. 12. 563 LDA Bayern, Bericht 2011/2012, S. 12. 564 LfDI Hamburg, Bericht 2010/2011, S. 198. In zwei Fällen wurde dabei Einspruch eingelegt und das Verfahren eingestellt (Bußgelder i. H. v. insgesamt 2.500 Euro), in einem Fall wurde das Bußgeld nach Einspruch von 1.000 Euro auf 500 Euro reduziert. Ein Bußgeld von 200.000 Euro wurde in einem Fall gegen die Hamburger Sparkasse verhängt; LfDI Hamburg, Bericht 2010/2011, S. 185 ff. 565 LfDI Hamburg, Bericht 2010/2011, S. 197: „Die Anzahl der Datenschutzverstöße, die mit einem Bußgeld geahndet wurden, hat sich mehr als verdoppelt.“ 566 LfDI Hamburg, Bericht 2010/2011, S. 249. 567 Davon elf Bescheide und Geldbußen i. H. v. 22.705 Euro im Jahr 2011; LfDI Berlin, Bericht 2011, S. 154 sowie sieben Bescheide und Geldbußen i. H. v. 7.735 Euro im Jahr 2012; LfDI Berlin, Bericht 2012, S. 139. 568 LfDI Berlin, Bericht 2013, S. 163. 569 LfDI Berlin, Bericht 2014, S. 133. 570 LfD Hessen, Bericht 2012, S. 160, 163 f. Ein Vergleich zum Vorjahr ist hier nicht möglich, da der Hessische LfD 2012 erstmals für ein volles Jahr zuständig für die Verfolgung von Ordnungswidrigkeiten nach dem BDSG war. 571 LfD Hessen, Bericht 2013, S. 178, 181. 560
202
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
fahren, die in 17 Fällen zur Festsetzung von Bußgeldern i. H. v. insgesamt 10.300 Euro führten.572 Der LfD Sachsen berichtete von Januar 2011 bis März 2013 von der Einleitung von 79 Bußgeldverfahren und dem Verhängung von Bußgeldern in 36 Fällen i. H. v. insgesamt 54.095 Euro.573 Aus diesen unterschiedlichen Angaben der verschiedenen Behörden lässt sich bereits erahnen, dass die Ahndungspraxis der Datenschutzbehörden voneinander abweicht.574 2. Einzelne Fallgruppen Die Ahndung materieller Datenschutzverstöße als Ordnungswidrigkeiten erfolgt fast ausschließlich über § 43 Abs. 2 BDSG. Die einzelnen Tatbestände des § 43 Abs. 1 BDSG, die das Erheben, Verarbeiten und Nutzen von Daten betreffen, spielen praktisch kaum eine Rolle.575 Die größte Rolle in der Ahndungspraxis spielt der weite Tatbestand des § 43 Abs. 2 Nr. 1 BDSG.576 In der Ordnungswidrigkeitenpraxis sind zahlreiche Fälle bekannt, in denen wegen der unbefugten Erhebung oder Verarbeitung von Daten nach § 43 Abs. 2 Nr. 1 BDSG Bußgelder verhängt wurden.577 In Fällen des unbefugten Erhebens, Verarbeitens und Nutzens von Daten werden tendenziell höhere Bußgelder festgelegt als bei Verstößen gegen Verfahrens- und Formvorschriften. So finden sich Bußgelder ab dem mittleren fünfstelligen Bereich lediglich in Fällen, in denen das Erheben, Verarbeiten oder Bereithalten zum Abruf von personenbezogenen Daten geahndet wurde.578 a) Verarbeiten: Insbesondere Übermitteln In der Tatbestandsvariante der unbefugten Verarbeitung nach § 43 Abs. 2 Nr. 1 Var. 2 BDSG hat ein Großteil der bekannten Praxisfälle die Übermittlung von Daten (als Form der Verarbeitung gemäß § 3 Abs. 4 Nr. 3 BDSG) zum Gegenstand.579 Einzelne Fallgruppen tauchen dabei in den Berichten der Bußgeldbehörden besonders häufig auf. Diverse Bußgeldbehörden berichteten zuletzt von Fällen, in denen verantwortliche Stellen Dokumente, die personenbezogene Daten enthielten, unsachgemäß entsorgten.580 Die Ablage 572
LfD Brandenburg, Bericht 2012/2013, S. 131. LfD Sachsen, Bericht 2011–2013, S. 114 f. 574 Dazu näher unten § 13 II. 1. b) bb). 575 Vgl. Seiffert, S. 21 f.; eine Ausnahme bildete die Verhängung von zwei Bußgeldern nach § 43 Abs. 1 Nr. 4 BDSG durch die LR Hessen, Bericht 2010, S. 7. 576 Vgl. Seiffert, S. 23. 577 Vgl. nur LfDI Hamburg, Bericht 2010/2011, S. 198; Seiffert, S. 23 f.; Wolff/Brink/Holländer, § 43 Rn. 48.2. 578 Vgl. LfDI Hamburg, Unzulässige GPS-Ortung von Mietwagen – Pressemitteilung vom 17. Juli 2012, abrufbar unter www.datenschutz-hamburg.de/news/detail/article/unzulaessige-gpsortung-von-mietwagen.html, zuletzt abgerufen am 1. Juni 2015; LfDI Hamburg, Bericht 2010/2011, S. 186 f.; LfDI NRW, Bericht 2011/2012, S. 19. Zu den „Datenskandalen“ bei Lidl und der Deutschen Bahn oben 1. 579 Vgl. Wolff/Brink/Holländer, § 43 Rn. 48.2. 580 LDA Bayern, Bericht 2011/2012, S. 97 (Unterlagen aus Lohnbuchhaltungsbüro); LfDI Berlin, Bericht 2013, S. 163 (Patientenakten); LfD Brandenburg, Bericht 2012/2013, S. 132 f. (Bewerbungsunterlagen); LfD Niedersachsen, Bericht 2009/2010, S. 63 (Bewerbungsunterlagen und Patienten573
§ 11 Bußgeldtatbestände
203
der Daten in öffentlich zugänglichen Abfallcontainern ist eine Bekanntgabe der Daten an einen unbestimmten Personenkreis und damit eine Übermittlung.581 Auch die Veröffentlichung von Daten über das Internet war mehrfach Ursache für die Verhängung eines Bußgeldes wegen unbefugter Datenübermittlung.582 b) Erheben Zudem wurde die Erhebung von personenbezogenen Daten gemäß § 43 Abs. 2 Nr. 1 Var. 1 BDSG in vielen Fällen geahndet. Ebenso wie im Zusammenhang mit §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG sind hier mehrere Fälle bekannt, in denen Bewegungsdaten mittels GPS-Sendern erhoben wurden.583 Auch die Erhebung von Daten von Arbeitnehmern bildet eine Gruppe von Bußgeldfällen von relativ hoher praktischer Relevanz.584 Ebenso von verhältnismäßig hoher praktischer Relevanz sind die Bußgeldtatbestände § 43 Abs. 2 Nr. 3 und Nr. 4 BDSG. § 43 Abs. 2 Nr. 3 BDSG kommt vor allem in seiner Variante 1 zum Tragen, die den Abruf von personenbezogenen Daten aus automatisierten Informationssystemen erfasst.585 Die verbreitetsten Praxisfälle betreffen unter anderem Abfragen aus polizeilichen Datenbanken586 und Schufa-Abfragen.587 § 43 Abs. 2 Nr. 4 BDSG kam in diversen Fällen zur Anwendung, in denen unter falschen Angaben Auskünfte bei Auskunfteien eingeholt wurden.588 c) Nutzen Die unbefugte Nutzung von personenbezogenen Daten wurde in der Bußgeldpraxis nur in wenigen Einzelfällen geahndet.589 Am ehesten ist unter den bußgeldbedrohten Nutzungen das Bereithalten von personenbezogenen Daten zum Abruf gemäß § 43 Abs. 2 Nr. 2 BDSG praktisch relevant.590
akten); LfDI RP, Bericht 2010/2011, S. 87 (Unterlagen mit Patientendaten). Mit mehr Beispielen dieser „Müllfälle“ Wolff/Brink/Holländer, § 43 Rn. 48.2; vgl. auch Gola/Schomerus, § 43 Rn. 20; Seiffert, S. 24. 581 Vgl. oben § 10 IV. 2. a) cc). 582 LfDI Berlin, Bericht 2012, S. 139; http://heise.de/-203635 (Bußgeld gegen meinprof.de), zuletzt abgerufen am 1. Juni 2015. Mit weiteren Fallbeispielen Wolff/Brink/Holländer, § 43 Rn. 48.2. 583 LDA Bayern, Bericht 2011/2012, S. 96; LfDI Hamburg, Unzulässige GPS-Ortung von Mietwagen – Pressemitteilung vom 17. Juli 2012. Zu den Fällen im strafbaren Bereich oben § 10 X. 3. b). 584 Vgl. LfDI Hamburg, Bericht 2010/2011, S. 198; Wolff/Brink/Holländer, § 43 Rn. 48.2. 585 Dazu auch oben § 10 X. 3. a). 586 LfD Brandenburg, Bericht 2010/2011, S. 158. 587 Simitis/Ehmann, § 43 Rn. 64; Wolff/Brink/Holländer, § 43 Rn. 52.4; vgl. auch LfDI Hamburg, Bericht 2010/2011, S. 198; LfD Niedersachsen, Bericht 2009/2010, S. 63 f. 588 LDA Bayern, Bericht 2011/2012, S. 97; LfDI Berlin, Bericht 2012, S. 139; LfD Niedersachsen, Bericht 2009/2010, S. 63 f.; mit weiteren Beispielfällen Wolff/Brink/Holländer, § 43 Rn. 53.2. 589 LR Hessen, Bericht 2010, S. 7 (§ 43 Abs. 1 Nr. 4 BDSG); LDA Bayern, Bericht 2011/2012, S. 97; LfDI Berlin, Bericht 2010, S. 154; LfDI Hamburg, Bericht 2012/2013, S. 249 (alle § 43 Abs. 2 Nr. 5b BDSG). 590 Vgl. LfDI Hamburg, Bericht 2010/2011, S. 186 f.; Wolff/Brink/Holländer, § 43 Rn. 48.2.
204
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
d) Weitere Verstöße Bislang ohne ersichtliche praktische Relevanz geblieben sind die § 43 Abs. 1 Nr. 6 BDSG (Aufnahme in Verzeichnisse) und § 43 Abs. 1 Nr. 9 BDSG (Übermittlung ohne Gegendarstellung).
§ 12 Außerstrafrechtliche Sanktionsmöglichkeiten Die unbefugte Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten kann nicht nur als Straftat oder Ordnungswidrigkeit, sondern auch mit Mitteln des Verwaltungs- und Zivilrechts geahndet werden. Diese Möglichkeiten sind für die vorliegende Untersuchung von Interesse, da sich im Datenschutzrecht im besonderen Maße die Frage stellt, ob und inwieweit der Einsatz des Strafrechts vor dem Hintergrund anderweitiger Sanktionsmöglichkeiten erforderlich ist.591 Daher sollen die außerstrafrechtlichen Möglichkeiten zu der Ahndung des unbefugten Umgangs mit personenbezogenen Daten im Folgenden überblicksartig dargestellt werden, um später der Frage nachgehen zu können, ob im Rahmen des BDSG nach derzeitiger Rechtslage ein Sanktionsdefizit besteht, das möglicherweise auch unter Einsatz des Strafrechts geschlossen werden könnte.592
I. Verwaltungsrechtliche Sanktionen Aufsichtsbehörden und öffentliche Datenschutzbeauftragte können einzelne Datenschutzverstöße in ihren Tätigkeitsberichten erwähnen, formell beanstanden und Anordnungen nach § 38 Abs. 5 BDSG treffen. All diese Maßnahmen können die verantwortlichen Stellen zumindest faktisch als Sanktionen treffen. So kann die Erwähnung eines Verstoßes in dem gesetzlich vorgeschriebenen593 öffentlichen Tätigkeitsbericht einer Datenschutzbehörde unter Benennung der verantwortlichen Stelle „Prangerwirkung“594 haben. Datenschutzbehörden dürfen ihre Tätigkeitsberichte jedoch nicht primär und zielgerichtet als Sanktionsinstrumente gegen „Datenschutzsünder“ nutzen.595 Dies würde dem gesetzlich vorgeschriebenen Zweck der Berichte widersprechen – der Information über die eigene Tätigkeit und Entwicklungen im Datenschutz.596 Ähnlich verhält es sich mit der Möglichkeit der Beauftragten für den Datenschutz im öffentlichen Bereich und der Aufsichtsbehörden, Verstöße gegen das Datenschutzrecht formell zu beanstanden.597 Die Beanstandung eines unbefugten Umgangs mit personenbezogenen Daten erfolgt grundsätzlich bei der Stelle, die gegenüber der für den Verstoß ver591 592 593 594
Dazu oben Zweiter Teil § 7 II. Dazu unten § 13. Vgl. Art. 28 Abs. 5 EG-Datenschutzrichtlinie, § 26 Abs. 1 BDSG, § 38 Abs. 1 S. 7 BDSG. Gola/Schomerus, § 26 Rn. 2; Weichert, RDV 2005, S. 1, 2; Wolff/Brink/Schiedermair, § 26
Rn. 3. 595
So auch Auernhammer/v. Lewinski, § 26 Rn. 15; Plath/Plath, § 38 Rn. 32. Zu den Funktionen der Tätigkeitsberichte im Einzelnen v. Lewinski, RDV 2004, S. 163, 164 m. w. N. 597 Vgl. § 25 Abs. 1 BDSG 596
§ 12 Außerstrafrechtliche Sanktionsmöglichkeiten
205
antwortlichen Stelle weisungsbefugt ist. Sie entfaltet jedoch keine unmittelbare materielle Rechtswirkung gegenüber der datenverarbeitenden Stelle oder ihrem Adressaten,598 sondern ist „nur eine negative Beurteilung“599 . Formelle Beanstandungen von Datenschutzverstößen können damit grundsätzlich nur dann Sanktionscharakter haben, wenn sie öffentlich geschehen. Wie bei einer Erwähnung in einem Tätigkeitsbericht darf es allerdings nicht primärer Zweck der Veröffentlichung einer Beanstandung sein, die verantwortliche Stelle „an den Pranger zu stellen“ und dadurch faktisch zu sanktionieren. Eher als Erwähnungen in Tätigkeitsberichten und formelle Beanstandungen sind Anordnungen nach § 38 Abs. 5 BDSG dazu geeignet, Datenschutzverstöße gezielt zu ahnden und die Verhaltensnormen des Datenschutzrechts durchzusetzen. Die Aufsichtsbehörden im nicht-öffentlichen Bereich können nach S. 1 der Vorschrift Anordnungen erlassen, um per Verwaltungsakt die Beseitigung von Datenschutzverstößen mit dem Mittel ihrer Wahl zu verlangen.600 Diese Eingriffsbefugnis soll es den Aufsichtsbehörden unter anderem ermöglichen, bei der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten „wirksam präventiv tätig zu werden“601 und dazu dienen, Lücken beim Vollzug des BDSG zu schließen.602 Nach § 38 Abs. 5 S. 2 BDSG hat die Aufsichtsbehörde ferner die Befugnis, die Erhebung, Verarbeitung oder Nutzung von Daten oder den Einsatz einzelner Datenverarbeitungsverfahren per Verwaltungsakt zu untersagen.603 Schließlich kann eine Aufsichtsbehörde nach § 38 Abs. 5 S. 3 BDSG durch einen Verwaltungsakt die Abberufung des betrieblichen Datenschutzbeauftragten verlangen, „wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt“.604 In der Praxis erwecken vor allem die Berichte der Aufsichtsbehörden den Eindruck, dass von den Eingriffsmöglichkeiten nach § 38 Abs. 5 BDSG im Hinblick auf materielle Datenschutzverstöße nur in wenigen Einzelfällen Gebrauch gemacht wird.605
598
Simitis/Dammann, § 25 Rn. 2. Wolff/Brink/Schiedemair, § 25 Rn. 10; ähnlich Auernhammer/v. Lewinski, § 25 Rn. 24; Plath/ Hullen, § 25 Rn. 6. Folge gegenüber dem Adressaten ist gemäß § 25 Abs. 1 S. 1 i. V. m. Abs. 3 BDSG lediglich die Pflicht, Stellung zu der Beanstandung zu nehmen. 600 Bohnen, S. 210 f.; Plath/Plath, § 38 Rn. 62. DKWW/Weichert, § 38 Rn. 31 hingegen ist der Ansicht, dass der verantwortlichen Stelle „die Entscheidung über die konkret zu ergreifenden Maßnahmen überlassen“ bleibt. Dies widerspricht jedoch dem Wortlaut der Vorschrift. 601 Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften vom 2. Januar 2009, BR-Drs. 4/09(B), S. 18. 602 Gola/Schomerus, § 38 Rn. 25; Taeger/Gabel/Grittmann, § 38 Rn. 36 spricht insofern von einem Paradigmenwechsel für die Aufsichtsbehörden. 603 Das Verhältnis der Untersagungsverfügung gem. § 38 Abs. 5 S. 2 zur Anordnung nach S. 1 der Vorschrift ist dabei nicht vollends geklärt; vgl. OVG Schleswig-Holstein CR 2011, S. 359, 364; Gola/Schomerus, § 38 Rn. 26; Simitis/Petri, § 38 Rn. 73. 604 Vgl. § 4f Abs. 2 S. 1 BDSG. 605 Vgl. auch Ehmann, ZD 2014, S. 493, 494, der bemerkt, „dass sich die Zahl entsprechender Anordnungen [ . . . ] nach wie vor sehr in Grenzen hält.“ 599
206
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
II. Schadensersatz Zivilrechtlich haben Betroffene die Möglichkeit, wegen der rechtswidrigen Erhebung, Verarbeitung und Nutzung personenbezogener Daten Schadensersatz zu verlangen.606 Schadensersatzansprüche wegen Verstößen gegen das BDSG können unter anderem nach §§ 7, 8 BDSG und § 823 Abs. 2 BGB entstehen.607 Nach § 7 S. 1 BDSG entsteht ein Ersatzanspruch des Betroffenen, wenn die verantwortliche Stelle ihm durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zufügt. § 8 BDSG trifft eine Sonderregelung für den Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen i. S. d. § 2 Abs. 1 BDSG. Diese sind gemäß § 8 Abs. 1 BDSG, ähnlich wie nichtöffentliche Stellen nach § 7 S. 1 BDSG, zum Ersatz verpflichtet, wenn sie dem Betroffenen durch eine unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zufügen. Im Gegensatz zu § 7 BDSG sind damit Verstöße bei der manuellen Datenverarbeitung nicht erfasst. Nach § 7 S. 2 BDSG entfällt die Ersatzpflicht, „soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat“. Hieraus ergibt sich, dass eine Ersatzpflicht ohne Nachweis des Verschuldens der verarbeitenden Stelle zunächst angenommen wird. Bei § 7 BDSG handelt sich also um einen Schadensersatzanspruch, der von einem Verschulden der verantwortlichen Stelle abhängig ist, bei dem die Beweislast aber zu Gunsten des Betroffenen umgekehrt ist.608 Nur wenn die verarbeitende Stelle die „nach den Umständen des Falles gebotene Sorgfalt“ beachtet hat, kann sie sich exkulpieren. § 8 greift im Gegensatz zu § 7 BDSG unabhängig von einem Verschulden (§ 8 Abs. 1 a. E. BDSG) und sieht keine Exkulpationsmöglichkeit vor – es handelt sich um eine reine Gefährdungshaftung. Nach § 823 Abs. 2 S. 1 BGB ist derjenige, der vorsätzlich oder fahrlässig gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet. Die Verhaltensnormen des BDSG werden jedenfalls als Schutzgesetze in diesem Sinne angesehen, soweit sie die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten betreffen.609 Ihr individualschützender Charakter geht aus § 1 Abs. 1 BDSG deutlich hervor, wonach es Zweck des Gesetzes ist, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“. 606 Unter den in Betracht kommenden zivilrechtlichen Ansprüchen bei Datenschutzverstößen hat der deliktische Schadensersatz am ehesten Sanktionscharakter und könnte sich eignen, die Verhaltensnormen des BDSG durchzusetzen; vgl. Kosmides, S. 8 f.; Schneider, B Rn. 31. Neben den Schadensersatzansprüchen kommen auch Unterlassungsansprüche aus § 1004 BGB analog und § 7 BDSG in Betracht. Diese decken sich in ihren Tatbestandsvoraussetzungen weitgehend mit den Schadensersatzansprüchen. 607 Weitere Schadensersatzansprüche wegen Datenschutzverstößen kommen einerseits im vertraglichen und vorvertraglichen Bereich nach § 280 BGB, andererseits deliktsrechtlich etwa nach den §§ 823 Abs. 1, 826 und 839 BGB in Betracht; vgl. Auernhammer/Eßer, § 7 Rn. 29 ff.; Niedermeier/ Schröcker, RDV 2002, S. 217, 219. Auch in den Landesdatenschutzgesetzen sind den §§ 7 und 8 BDSG ähnliche Schadensersatzvorschriften geregelt. 608 Scheja/Haag, in: Leupold/Glossner, Rn. 364; Spickhoff , in: Leible/Lehmann/Zech, S. 233 f. 609 Gola/Schomerus, § 1 Rn. 3; MK-BGB/Wagner, 6. Aufl., § 823 Rn. 424; Spickhoff , in: Leible/ Lehmann/Zech, S. 233, 238 m. w. N.; vgl. auch Schaffland/Wiltfang, BDSG, § 7 Rn. 3.
§ 12 Außerstrafrechtliche Sanktionsmöglichkeiten
207
Insbesondere das grundsätzliche Verbot der Erhebung, Verarbeitung und Nutzung personenbezogener Daten in § 4 Abs. 1 BDSG ist Schutzgesetz i. S. d. § 823 Abs. 2 BGB.610 Die Tatbestandsvoraussetzungen der §§ 823 Abs. 2 BGB i. V. m. 4 Abs. 1 BDSG sind bei einer zumindest fahrlässigen rechtswidrigen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten grundsätzlich erfüllt. Rechtsfolge der Ansprüche aus §§ 7 und 8 BDSG sowie § 823 BGB Abs. 2 ist der Ersatz des durch die jeweilige Verletzung entstandenen Schadens. Davon sind zunächst alle materiellen Schäden umfasst. Ein materieller und konkret bezifferbarer Schaden wird im Fall einer Verletzung des informationellen Selbstbestimmung aber oftmals nicht vorliegen.611 Zudem dürften materielle Schäden bei Verletzungen des abstrakten Rechtes auf informationelle Selbstbestimmung, selbst wenn sie vorliegen, regelmäßig schwer zu beweisen sein.612 Typische Folge von Datenschutzverletzungen ist das Entstehen immaterieller Schäden. Dies beruht auf der Natur des informationellen Selbstbestimmungsrechtes, das vor Verletzungen bereits im Vorfeld materiell spürbarer Beeinträchtigungen schützt.613 Die Wirksamkeit des Schutzes der informationellen Selbstbestimmung durch das Zivilrecht ist daher stark davon abhängig, ob die Haftungsgrundlagen als Rechtsfolge immateriellen Schadensersatz vorsehen. Während immaterielle Schäden von § 823 Abs. 2 BGB und § 8 BDSG klar umfasst sind, ist umstritten ob § 7 BDSG in der Rechtsfolge immaterielle Schäden umfasst.614 Während gegen die Erfassung immaterieller Schäden vor allem der Umkehrschluss aus § 8 Abs. 2 BDSG spricht,615 wird für ihre Erfassung Art. 23 EG-Datenschutzrichtlinie herangezogen, der als europarechtliche Grundlage der zivilrechtlichen Haftung für Datenschutzverstöße keine unterschiedliche Haftung im öffentlichen und privaten Bereich vorsieht.616 Einigkeit besteht hingegen darin, dass Betroffene den Ersatz immaterieller Schäden auch von nicht-öffentlichen Stellen jedenfalls nach § 823 Abs. 1 BGB verlangen können, soweit § 7 BDSG nicht greift. Denn letztlich kritisieren auch diejenigen, die immaterielle Schäden in der Rechtsfolge nicht von § 7 BDSG umfasst sehen, dieses Ergebnis.617 Immaterielle Schäden bei Datenschutzverstößen sollen demnach nach den allgemeinen Grundsätzen des immateriellen Schadensersatzes bei einer Verletzung des allgemeinen Persönlichkeits610
OLG Hamburg ZUM 2012, S. 405; vgl. auch BGH NJW 2009, S. 2888, 2893. Buchner, S. 304 f.; Schild, MMR 2008, S. XII; so auch schon Arzt, in: Schimmelpfeng, S. 127, 132. Ein Beispiel für einen materiellen Schaden durch einen Datenschutzverstoß ist es, wenn eine belastende Informationen über einen Arbeitnehmer unbefugt an dessen Arbeitgeber übermittelt wird und dies die Kündigung des Arbeitnehmers und damit einen Verdienstausfall zur Folge hat. Des Weiteren können bei der Verfolgung von Datenschutzverstößen Rechtsanwaltskosten entstehen, die als materieller Schaden ersatzfähig sind; vgl. OLG Zweibrücken BeckRS 2013, 03840; AG Celle MMR 2013, S. 322, 323. 612 Arzt, in: Schimmelpfeng, S. 127, 132; Weichert, NJW 2001, S. 1463, 1465 f. 613 Vgl. dazu oben Zweiter Teil § 5 II. 2. 614 Dagegen OLG Zweibrücken BeckRS 2013, 03840; Auernhammer/Eßer, § 7 Rn. 24; Buchner, S. 304; Gola/Schomerus, § 7 Rn. 12; Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 31 f.; Simitis/Simitis, § 7 Rn. 32 m. w. N.; dafür Niedermeier/Schröcker, RDV 2002, S. 217, 224; Scheja/ Haag, in: Leupold/Glossner, Rn. 366. 615 OLG Zweibrücken BeckRS 2013, 03840 m. w. N. 616 Niedermeier/Schröcker, RDV 2002, S. 217, 223 f.; Schild, MMR 2008, S. XII f. 617 Simitis/Simitis, § 7 Rn. 32: „Für die Betroffenen mach es keinen Unterschied, ob die Verarbeitung bei einer Bank oder einer Meldebehörde erfolgt ist.“; vgl. auch Buchner, S. 304; Schild, MMR 2008, S. XII. 611
208
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
rechtes ersetzt werden können.618 Voraussetzung für den immateriellen Schadensersatz ist danach, dass eine schwerwiegende Persönlichkeitsbeeinträchtigung gegeben ist619 und die Einbuße des Betroffenen nicht auf andere Weise auszugleichen ist („ultima ratio“Funktion).620 Zentral ist für den Ersatz immaterieller Schäden dabei die Voraussetzung einer schweren Beeinträchtigung der Persönlichkeit. Diese begründete der VI. Zivilsenat des BGH damit, dass aufgrund der Unbestimmtheit des allgemeinen Persönlichkeitsrechtes die „Gefahr [besteht], daß unbedeutende Beeinträchtigungen in unangemessener Weise ausgenutzt werden, um daran zu verdienen.“621 Als Kriterien für das Vorliegen einer schweren Beeinträchtigung des Persönlichkeitsrechtes allgemein anerkannt sind in erster Linie die Bedeutung und Tragweite des Eingriffs, Anlass und Beweggrund des Handelnden und der Grad seines Verschuldens.622 In jedem Fall sind die Umstände des Einzelfalls zu betrachten, um festzustellen, wann bei einem missbräuchlichen Umgang mit personenbezogenen Daten eine schwere Beeinträchtigung anzunehmen ist.623 Wann diese Kriterien bei Verletzungen der informationellen Selbstbestimmung erfüllt sind und wie die Besonderheiten des Datenschutzrechts hierbei zu berücksichtigen sind, ist allerdings weitgehend offen.624 So findet sich zwar das Kriterium der „schwerwiegenden Persönlichkeitsbeeinträchtigung“ auch in den Vorschriften des BDSG wieder,625 allerdings hat sich auch in diesem Zusammenhang noch keine klare Handhabe in Literatur und Rechtsprechung herausgebildet. Die Gesetzesbegründung zu § 42a BDSG nennt als Beispiel schwerwiegender immaterieller Beeinträchtigungen lediglich „soziale Nachteile einschließlich des Identitätsbetrugs“626 . Konkretere Anhaltspunkte enthielt ein Gesetzentwurf zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht („Rote-Linie-Gesetz“), den der damalige Bundesinnenminister de Maizière am 1. Dezember 2010 vorstellte,627 der aber später nicht weiterverfolgt wurde.628 In Anlehnung an die Rechtsprechung zum Schutz des Persönlichkeitsrechts vor besonders schweren Eingriffen wurde in einem Normvorschlag zur unzulässigen Veröffentlichung von personenbezogenen Daten in Telemedien (§ 38b BDSG-E) konkretisiert, wann ein besonders schwerer Eingriff in das Persönlich618 Die Anwendung von § 823 Abs. 1 BGB neben § 7 BDSG soll nur ausgeschlossen sein, soweit sich ein Anspruch auf Ersatz des konkreten Schadens bereits aus § 7 BDSG ergibt; Simitis/Simitis, § 7 Rn. 60 m. w. N. 619 Für § 8 BDSG ergibt sich dies aus dessen Abs. 2, für § 823 BGB wurde dieses Kriterium von der Rechtsprechung entwickelt; BGHZ 35, S. 363, 368 f. 620 BVerfGE 34, S. 269, 286; BGHZ 35, S. 363, 369. Sind Ausgleich des immateriellen Schadens und Genugtuung auch ohne Bemühung des Entschädigungsanspruchs möglich und ausreichend, tritt dieser demnach zurück; Soergel/Beater, 13. Aufl., § 823 Anh IV Rn. 246. 621 BGHZ 35, S. 363, 368. 622 BGHZ 35, S. 363, 369; BGH NJW 1996, S. 1131, 1134; Soergel/Beater, 13. Aufl., § 823 Anh IV Rn. 245 m. w. N. 623 So auch LG Deggendorf NJW-RR 1993, S. 410; Buchner, S. 305 f.; Simitis/Simitis, § 8 Rn. 18. 624 Vgl. Oberwetter, NZA 2009, S. 1120, 1122. 625 Vgl. §§ 42a S. 1, 14 Abs. 2 Nr. 8, 38 Abs. 5 S. 2 BDSG. 626 BT-Drs. 16/12011, S. 34. 627 BMI, Datenschutz im Internet – Gesetzentwurf des BMI zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht, abrufbar unter www.bmi.bund.de/SharedDocs/ Kurzmeldungen/DE/2010/11/Datenschutzkodex_RoteLinie.html, zuletzt abgerufen am 1. Juni 2015. 628 Die Überlegungen hierzu sollen Eingang in die Diskussion um die europäische DatenschutzGrundverordnung finden; BT-StenBer 17/183, S. 21854.
§ 13 Sanktionsdefizit
209
keitsrecht bei Datenschutzverstößen vorliegen sollte.629 Hierbei wurde unter anderem die Bildung und Veröffentlichung von „Persönlichkeitsprofilen“ als schwerer Eingriff in das Persönlichkeitsrecht genannt.630 Der Begriff des „Persönlichkeitsprofils“ ist zwar für sich genommen zunächst unbestimmt, könnte aber als Ausgangspunkt dienen, um zentrale Risiken für und schwere Eingriffe in das informationelle Selbstbestimmungsrecht zu identifizieren.631 In der Praxis sind Schadensersatzansprüche wegen Verstößen gegen das BDSG nur von geringer Bedeutung.632 Insbesondere sind nur wenige Beispiele bekannt, in denen immaterielle Schadensersatzansprüche wegen schwerwiegender Beeinträchtigungen des informationellen Selbstbestimmungsrechtes angenommen wurden.633
§ 13 Sanktionsdefizit Im Datenschutzrecht wird allgemein ein Defizit bei der Befolgung der bestehenden Verhaltensnormen angenommen.634 In ihrem „Gutachten zur Modernisierung des Datenschutzrechts“ bezeichneten Roßnagel, Pfitzmann und Garstka die Effektivität des Datenschutzrechts als eine der Kernaufgaben seiner Modernisierung.635 Als Ursachen für die mangelnde Befolgung der Verhaltensnormen des Datenschutzrechts werden regelmäßig ihre mangelnde Bestimmtheit und das Fehlen wirksamer Sanktionen bzw. die mangelnde Durchsetzung solcher Sanktionen genannt. Verstöße gegen das Datenschutzrecht würden „in der Regel nur sehr schwach, wenn überhaupt, geahndet.“636 Da das Problem der Bestimmtheit der Regelungen des BDSG sich in der Anwendung seiner Sanktionsnormen fortsetzt,637 soll es im Zusammenhang mit dieser erläutert werden. Das Bestehen wirksamer Sanktionsmechanismen wird allgemein als entscheidende Voraussetzung dafür gesehen, dass materielle Verhaltensnormen eingehalten werden.638 Ein Sanktionsdefizit kann entweder dadurch bedingt sein, dass keine ausreichenden Sanktionsmöglichkeiten vorhanden sind, oder dadurch, dass diese praktisch nicht ausge-
629
BMI, Datenschutz im Internet, S. 2 f. § 38b S. 2 Nr. 1 BDSG-E. 631 Dazu näher unten Vierter Teil § 16 II. 632 Vgl. Auernhammer/Eßer, § 7 Rn. 3; Gola/Schomerus, § 8 Rn. 1; v. Lewinski, PinG 2013, S. 12, 14; Schneider, B. Rn. 360 f.; Spickhoff , in: Leible/Lehmann/Zech, S. 233. 633 So etwa BAG, Urteil v. 19. Februar 2015 – 8 AZR 1007/13 (1.000 Euro Schmerzensgeld für Observation eines Arbeitnehmers mit heimlichen Videoaufnahmen); LAG Hessen MMR 2011, S. 346 ff. (7.000 Euro Schmerzensgeld für Videoüberwachung am Arbeitsplatz); ArbG Frankfurt am Main RDV 2001, S. 190 (1.300 DM Schmerzensgeld für Videoüberwachung am Arbeitsplatz). 634 Bergt, NJW 2011, S. 3752, 3756; Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 31; Kühling/Sivridis/Schwuchow/Burghardt, DuD 2009, S. 335 ff.; Schneider, B Rn. 14; Spindler, GRUR 2013, S. 1001 f.; Weichert, RDV 2005, S. 1; anders Bull, NJW 2006, S. 1617. 635 Roßnagel/Pfitzmann/Garstka, S. 34. Das Gutachten entstand aus der Modernisierungsdiskussion um den Datenschutz um die Jahrtausendwende; dazu oben Erster Teil § 3 V.; vgl. auch BfDI, Bericht 2009/2010, S. 21. 636 Schneider, B Rn. 14; ähnlich Buchner, S. 299; Hoeren, in: Greipl, S. 135, 136; Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 27, 31; ULD, Erhöhung, S. 151. 637 Hoeren, in: Greipl, S. 135, 136. 638 Dörner, JuS 1987, S. 522, 524; Raiser, S. 253. 630
210
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
schöpft werden.639 Im Folgenden wird anhand der untersuchten Sanktionsnormen des BDSG beleuchtet, inwiefern die für ein Sanktionsdefizit genannten Ursachen zutreffen.
I. Sanktionsmöglichkeiten Es stellt sich zunächst die Frage, inwieweit im Rahmen des BDSG ein Mangel an Sanktionsmöglichkeiten besteht. Zum Teil werden „sanktionsfreie Räume“640 bemängelt. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder forderte im Zusammenhang mit der Modernisierung des Datenschutzrechts am 18. März 2010 die Erweiterung des datenschutzrechtlichen Sanktionssystems, weil dieses lückenhaft sei. So seien etwa „wichtige Datenschutzvorschriften nicht bußgeldbewehrt“641 . Neben der fehlenden Möglichkeit einer Sanktionierung an sich kann auch ein unzureichender Rahmen von möglichen Rechtsfolgen ein Sanktionsdefizit begründen. Dies ist der Fall, wenn die möglichen Rechtsfolgen den Adressaten nicht zu einer Befolgung der sanktionsbedrohten Verhaltensnormen bewegen können. Daher sind neben der Reichweite der Sanktionsnormen auch deren Rechtsfolgen zu untersuchen. 1. Strafrecht Die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG erfassen ein weites Spektrum von Tathandlungen. Unbefugte Datenerhebungen und -verarbeitungen sind grundsätzlich strafbedroht, wenn diese gegen Entgelt, mit Bereicherungs- oder Schädigungsabsicht geschehen. Zum Teil wird jedoch kritisiert und als Ursache für ein Rechtsbefolgungsdefizit im Datenschutzrecht genannt, dass Lücken bei der strafrechtlichen Erfassung von Datenschutzverstößen bestünden. So ist etwa vom Bundesrat im Rahmen der BDSG-Novellen 2009 vorgeschlagen worden, die unbefugte Nutzung personenbezogener Daten unter den zusätzlichen Voraussetzungen des § 44 Abs. 1 BDSG umfassend mit Strafe zu bedrohen.642 Von der Konferenz der Datenschutzbeauftragten wird eine Erweiterung des § 43 Abs. 2 BDSG auf jedes unbefugte Nutzen von Daten weiterhin gefordert.643 Dies wäre aber nicht nur unverhältnismäßig, weil die Nutzung „auch Verhaltensweisen erfasst, die das informationelle Selbstbestimmungsrecht des Betroffenen nur vergleichsweise geringfügig beeinträchtigen“644 . Es ist auch nicht anzunehmen, dass eine vollumfängliche Strafbedrohung der unbefugten Nutzung von Daten im gegenwärtigen System der Straftatbestände des BDSG das Umsetzungsdefizit seiner Verhaltensvorschriften
639
Alexander, S. 74; vgl. auch Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 31. Bohnen, S. 255. 641 Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 31; ähnlich ULD, Erhöhung, S. 151. 642 BT-Drs. 16/10529, S. 29 f.; näher dazu oben Erster Teil § 3 V. 1. 643 Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 32. 644 So die zutreffende Begründung der Bundesregierung für die Ablehnung des Vorschlags des Bundesrats; BT-Drs. 16/12011, S. 52; vgl. auch Gola/Schomerus, § 43 Rn. 1 sowie Simitis/Ehmann, § 43 Rn. 11, der eine Strafbarkeit der Nutzung ablehnt, weil „Nutzungsvorgänge in der Regel rein intern ablaufen“. 640
§ 13 Sanktionsdefizit
211
verringern könnte. Dies zeigt sich etwa durch einen Vergleich mit den zahlreichen Strafvorschriften in Landesdatenschutzgesetzen, die unbefugte Nutzungen tatbestandlich umfassen.645 Auch diese sind kaum von praktischer Bedeutung. Im Übrigen hat die Erweiterung der von den Straftatbeständen des BDSG umfassten Handlungen bisher nicht zu einer Erhöhung ihrer praktischen Bedeutung geführt. Bezüglich des Sanktionsrahmens der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ist anzumerken, dass dieser bislang in keinem der bekannten Fälle auch nur annähernd ausgeschöpft wurde. Verurteilungen führten fast ausschließlich zu Geldstrafen.646 Es ist daher kein Sanktionsdefizit durch den zur Verfügung stehenden Strafrahmen anzunehmen. 2. Ordnungswidrigkeitenrecht Das Ordnungswidrigkeitenrecht erfasst das rechtswidrige Erheben, Verarbeiten und Nutzen von personenbezogenen Daten in einem etwas weiteren Umfang als das Strafrecht. Ein Mehr an Sanktionsmöglichkeiten besteht vor allem dadurch, dass die Sanktionierung nicht das Vorliegen von Handeln gegen Entgelt, mit Schädigungs- oder Bereicherungsabsicht voraussetzt. Darüber hinaus sind zusätzliche Sanktionsmöglichkeiten kaum vorhanden: Während § 43 Abs. 1 Nr. 4 BDSG im Vergleich zu den Tatbeständen in § 43 Abs. 2 BDSG keine zusätzliche Sanktionsmöglichkeit bietet, sind § 43 Abs. 1 Nr. 6 und Nr. 9 BDSG bisher den Nachweis ihrer praktischen Relevanz schuldig geblieben. Ebensowenig wie im Strafrecht ist im Ordnungswidrigkeitenrecht zu beklagen, dass das rechtswidrige Erheben, Verarbeiten und Nutzen personenbezogener Daten nicht ausreichend sanktioniert werden könnte. Nennenswerte Sanktionslücken sind bei § 43 Abs. 1 BDSG wie bei § 43 Abs. 2 BDSG nicht zu erkennen.647 Da die bestehenden Ordnungswidrigkeitenkataloge praktisch kaum ausgeschöpft werden, kann auch von einer Unterregulierung648 keine Rede sein. Ein Mangel an Ahndungsmöglichkeiten ist daher nicht die Ursache für ein mögliches Sanktionsdefizit bei den Ordnungswidrigkeiten des BDSG.649 3. Aufsichtsbehördliche Maßnahmen Durch das Instrument der Anordnung nach § 38 Abs. 5 S. 1 BDSG stehen Aufsichtsbehörden für den nicht-öffentlichen Bereich weitreichende Möglichkeiten zur Verfügung, um die Verhaltensnormen des BDSG durchzusetzen.650 Die Möglichkeiten hierzu wurden mit den BDSG-Novellen von 2009 wesentlich erweitert – so haben die Aufsichtsbehörden die Möglichkeit, bei einer unbefugten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten deren Beseitigung mit Mitteln ihrer Wahl anzuordnen.
645 646 647 648 649 650
Dazu oben § 10 IV. 5. a). Vgl. oben § 10 X. So auch Simitis/Ehmann, § 43 Rn. 11. ULD, Erhöhung, S. 162. Ähnlich LfDI Berlin, Bericht 2012, S. 139. Dazu oben § 12 I.
212
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Zum Teil werden jedoch weitergehende Eingriffsbefugnisse für die Aufsichtsbehörden gefordert.651 Gegenstand der Kritik ist unter anderem das dreistufige Verfahren in § 38 Abs. 5 BDSG, wonach eine Aufsichtsbehörde zunächst eine Anordnung nach § 38 Abs. 5 S. 1 BDSG erlassen und ein Zwangsgeld verhängen muss, bevor sie „die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren“ nach § 38 Abs. 5 S. 2 BDSG untersagen kann.652 Auch bei einer offeneren Eingriffsregelung würde es jedoch der Verhältnismäßigkeitsgrundsatz den Aufsichtsbehörden gebieten, vor der Untersagung eines Datenverarbeitungsverfahrens als milderes, aber gleich wirksames Mittel die Beseitigung der Fehler in diesem Verfahren anzuordnen, wenn das Verfahren auch rechtmäßig durchgeführt werden kann. Wenn ein Datenverarbeitungsverfahren hingegen nicht rechtmäßig durchgeführt werden kann, dürfte die Aufsichtsbehörde auch nach jetziger Rechtslage nicht starr verpflichtet sein, die Beseitigung von Fehlern anzuordnen. Wenn die Beseitigung von Fehlern nicht zur Herstellung eines rechtmäßigen Zustandes führen kann, so ist es legitim, unmittelbar auf die Untersagung der Datenverarbeitung als „ultima ratio“ zurückzugreifen. Im Ergebnis ist auf der Grundlage des § 38 Abs. 5 BDSG kein Defizit bezüglich der Möglichkeiten der Aufsichtsbehörden, Anordnungen zu treffen, zu erkennen. Die Regelung lässt sich ohne Weiteres so auslegen, dass den Aufsichtsbehörden durch die Anordnungsbefugnis ein sachgerechtes Mittel zur Durchsetzung von Datenschutzvorschriften zur Verfügung steht. Sollte sich in Rechtsprechung und Praxis eine übermäßig restriktive Auslegung durchsetzen, könnte allerdings perspektivisch ein klarstellender gesetzgeberischer Eingriff erforderlich werden. 4. Schadensersatz Nach §§ 7, 8 BDSG, 823 Abs. 2 BGB besteht die Möglichkeit, bei jeder rechtswidrigen Erhebung, Verarbeitung und Nutzung personenbezogener Daten Schadensersatz zu verlangen. Sowohl gegenüber öffentlichen als auch privaten Stellen ist es prinzipiell möglich, auch immaterielle Schäden ersetzt zu verlangen. Für den Schadensersatz gegenüber öffentlichen Stellen ergibt sich dies aus § 8 Abs. 2 BDSG. Gegen private Stellen im Anwendungsbereich des BDSG ist ein Ersatz immaterieller Schäden – je nach Rechtsauffassung – entweder direkt nach § 7 BDSG oder nach § 823 Abs. 1 BDSG möglich. Die genaueren Voraussetzungen für den Ersatz immaterieller Schäden bei Datenschutzverstößen sind dabei jedoch weitgehend unklar. Während also die „abstrakte Möglichkeit eines Schadensersatzes“ gegeben ist, ist eine „reelle Chance, einen echten Ausgleich
651 Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 29; Simitis/Petri, § 38 Rn. 6; vgl. jüngst auch Entschließung der 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 8. und 9. Oktober 2014 in Hamburg, Unabhängige und effektive Datenschutzaufsicht für Grundrechtsschutz unabdingbar, abrufbar unter www.datenschutz.sachsenanhalt.de/konferenzen/nationale-datenschutzkonferenz/entschliessungen/entschliessungender-88-datenschutzkonferenz-8-9-oktober-2014-in-hamburg/unabhaengige-und-effektivedatenschutzaufsicht-fuer-grundrechtsschutz-unabdingbar/, zuletzt abgerufen am 1. Juni 2015. 652 So fordert Hanloser, MMR 2009, S. 594, 598 eine „sicherheitsrechtliche Generalklausel“, nach der Datenschutzaufsichtsbehörden alle notwendigen Maßnahmen ohne Durchführung eines gestuften Verfahrens unmittelbar durchführen können sollen.
§ 13 Sanktionsdefizit
213
zu erhalten“653 nicht unbedingt gegeben.654 Es muss genauer geklärt werden, wann eine schwerwiegende Beeinträchtigung des Persönlichkeitsrechtes als Voraussetzung des immateriellen Schadensersatzes vorliegt, um eine real befriedigende Sanktionsmöglichkeit annehmen zu können. Hierfür bietet es sich an, die Bildung von Fallgruppen schwerwiegender Persönlichkeitsrechtsverletzungen voranzutreiben sowie vorhandene Ansätze der Rechtsprechung zur Gewährung immateriellen Schadensersatzes bei Persönlichkeitsrechtsverletzungen aufzugreifen und für das Datenschutzrecht fortzuentwickeln.
II. Vollzug Die zweite mögliche Ursache eines Sanktionsdefizits ist die defizitäre praktische Anwendung der Sanktionsnormen. Ein solches Vollzugsdefizit der Sanktionsnormen kann unterschiedliche Ursachen haben, die auf rechtlicher sowie auf tatsächlicher Ebene bestehen und sich gegenseitig bedingen können.655 Im Folgenden soll und kann lediglich untersucht werden, ob und inwiefern eine mangelnde Durchsetzung der Sanktionsnormen rechtlich veranlagt ist. Zu untersuchen ist dabei insbesondere die Rolle der Betroffenen und der zuständigen Sanktionsinstanzen bei der Durchsetzung der Sanktionen.656 1. Mangelndes Verfolgungsinteresse Wenn ein Datenschutzverstoß bekannt wird, kann ein Grund für seine Nichtverfolgung in der fehlenden Bereitschaft von Betroffenen und berechtigten Stellen liegen, Verfahren, die zu einer Sanktionierung führen können, in die Wege zu leiten. Von Seiten des Verletzten kann vor allem dann ein „rationales Desinteresse“657 an der Verfolgung bestehen, wenn ihm dadurch mehr Aufwand entsteht als er Nutzen ziehen kann bzw. glaubt ziehen zu können.658 Datenschutzverstöße werden regelmäßig nicht als gewichtig genug empfunden, um rechtlich gegen sie vorzugehen, wenn sie nicht gleichzeitig etwa finanzielle Interessen gefährden oder innerhalb „sensibler Bereiche“659 wie dem eigenen Arbeitsplatz stattfinden. Es ist charakteristisch für die Gefährdungslage, der das Recht auf informationelle Selbstbestimmung begegnen soll, dass unmittelbar spürbare Konsequenzen für den Betroffenen bei seiner Verletzung nur selten entstehen.660 Von Seite der Sanktionsinstanzen können vor allem deren gesetzlicher Auftrag bzw. ihre rechtliche Funktion und Organisation Faktoren sein, die sich auf die Durchsetzung von Sanktionen auswirken.
653
Simitis/Simitis, § 7 Rn. 7. Vgl. auch Hoeren, in: Greipl, S. 135, 136. 655 Vgl. Alexander, S. 74. 656 Vgl. Raiser, S. 257. 657 So Alexander, S. 74 im Zusammenhang mit dem Lauterkeits- und Kartellrecht. 658 v. Lewinski/Köppen, RDV 2009, S. 267, 268; v. Lewinski, PinG 2013, S. 12; v. Lewinski, Matrix, S. 75 („rationale Apathie“). Dieses Phänomen wurde jüngst auch in der Begründung zum „Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ beschrieben; BR-Drs. 55/15, S. 8. 659 Hoeren, in: Greipl, S. 135, 136. 660 Dazu oben Zweiter Teil § 5 II. 2.; vgl. auch XAMIT, Datenschutzbarometer 2012, S. 37. 654
214
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
a) Antragserfordernis im Strafrecht Im Zusammenhang mit den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG kann sich ein mangelndes Verfolgungsinteresse vor allem im Zusammenhang mit dem Strafantragserfordernis des § 44 Abs. 2 BDSG auswirken. Insbesondere ein mögliches rationales Desinteresse des Betroffenen an der Einleitung eines staatsanwaltschaftlichen Verfahrens ist zu beachten.661 Zudem können sich Betroffene an der Stellung des Strafantrags dadurch gehindert sehen, dass sie in einem Abhängigkeitsverhältnis zum Täter stehen.662 Wer Opfer eines Datenschutzverstoßes durch seinen Arbeitgeber (etwa durch Video- oder Computerüberwachung) geworden ist, wird sich oftmals hüten, eine Strafanzeige zu stellen, wenn die Konsequenzen, die durch den Arbeitgeber drohen, als größeres Übel erscheinen als die Duldung des Datenschutzverstoßes. Neben dem von dem Datenschutzverstoß Betroffenen dürften in erster Linie die Aufsichtsbehörden als Antragssteller in Betracht kommen, da diese am ehesten von entsprechenden Datenschutzverstößen Kenntnis erlangen und ein Interesse an ihrer Verfolgung haben können. Bis zu einem gewissen Grad können die Aufsichtsbehörden ein Desinteresse des Betroffenen an der strafrechtlichen Verfolgung von Datenschutzverstößen durch ihr Antragsrecht auffangen. Sie dürfen jedoch ihr Ermessen grundsätzlich nicht dergestalt ausüben, dass sie einen Strafantrag stellen, wo dieser vom Betroffenen ausdrücklich nicht gewünscht ist.663 Es ist zudem zu berücksichtigen, dass das Selbstverständnis der Aufsichtsbehörden und ihr kooperativer Arbeitsansatz der strafrechtlichen Sanktionierung von Datenschutzverstößen entgegenstehen kann.664 Vom Bundesrat wurde im Zuge der BDSG-Novellen 2009 die Ausgestaltung des § 44 BDSG als relatives Antragsdelikt und eine entsprechende Anpassung des § 44 Abs. 2 BDSG vorgeschlagen.665 Demnach wäre es den Strafverfolgungsbehörden bei Vorliegen eines besonderen öffentlichen Interesses möglich gewesen, von Amts wegen einzuschreiten. Dies lehnte die Bundesregierung jedoch ab. Ein Bedürfnis hierfür sei „nicht erkennbar, da bereits die Aufsichtsbehörden von Amts wegen einschreiten“666 könnten. Darüber hinaus sollten Verletzungen des Rechtes auf informationelle Selbstbestimmung als höchstpersönlichem Recht nur auf Antrag des Betroffenen verfolgt werden können.667 Gerade bei Datenschutzverstößen, die eine Mehrzahl von Personen betreffen, die für die einzelnen Betroffenen aber von (scheinbar) geringer Tragweite sind, könnte aber die geltende Regelung des Antragsrechts im Einzelfall einer gebotenen Sanktionierung entgegenstehen. Aufgrund des ihrer Arbeitsweise zugrunde liegenden kooperativen Ansatzes ist nicht in jedem Fall davon auszugehen, dass Datenschutzaufsichtsbehörden Strafanträge stellen, wenn eine strafrechtliche Sanktionierung geboten wäre. Die Möglichkeit einer Strafverfolgung von Amts wegen wäre daher zu begrüßen. 661
Hoeren, in: Greipl, S. 135, 136. Weichert, NStZ 1999, S. 490, 492. 663 Gola/Schomerus, § 38 Rn. 11. 664 Dazu unten b) bb). 665 BT-Drs. 16/10529, S. 30; Entsprechendes fordert auch die Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 33. Für die völlige Abschaffung des Antragserfordernisses Weichert, NStZ 1999, S. 490, 492. 666 BT-Drs. 16/12011, S. 53. 667 BT-Drs. 16/12011, S. 53. 662
§ 13 Sanktionsdefizit
215
Das absolute Antragserfordernis des § 44 Abs. 2 BDSG ist im Ergebnis hinderlich für eine effiziente strafrechtliche Verfolgung von Datenschutzverstößen. Vorzugswürdig wäre die Regelung eines relativen Antragserfordernisses, bei dem die Staatsanwaltschaft bei Vorliegen eines besonderen öffentlichen Interesses von sich aus einschreiten kann.668 b) Sanktionsinstanzen im Ordnungswidrigkeitenrecht Der Durchsetzung des Ordnungswidrigkeitenrechts könnten vor allem die rechtliche Funktion und Organisation der zuständigen Sanktionsinstanzen entgegenstehen. aa) Zuständige Sanktionsinstanzen Die sachliche Zuständigkeit für die Ahndung von Ordnungswidrigkeiten nach dem BDSG richtet sich zunächst nach § 36 OWiG.669 Nach dessen Abs. 1 Nr. 1 sind grundsätzlich die durch Gesetz bestimmten Verwaltungsbehörden zuständig. Wenn keine gesetzliche Bestimmung vorliegt, sind gemäß Abs. 1 Nr. 2 die fachlich zuständigen obersten Landesbehörde (lit. a)) oder, soweit das Gesetz von Bundesbehörden ausgeführt wird, das fachlich zuständige Bundesministerium (lit. b)) zuständig. Gemäß § 36 Abs. 2 S. 1 OWiG können die Landesregierungen die Zuständigkeit nach § 36 Abs. 1 Nr. 2 lit. a) OWiG durch Rechtsverordnung auf andere Behörden oder sonstige Stellen übertragen. Eine entsprechende Befugnis haben nach Abs. 3 auch die nach Abs. 1 Nr. 2 lit. b) zuständigen Bundesministerien. In allen Ländern außer Baden-Württemberg sind für die Ahndung von Ordnungswidrigkeiten nach dem BDSG sachlich dieselben Stellen zuständig, die auch als Aufsichtsbehörden für den nicht-öffentlichen Bereich fungieren.670 Zum Teil existieren die Zuständigkeiten der Landesdatenschutzbeauftragten zur Verfolgung und Ahndung von Ordnungswidrigkeiten erst seit kurzer Zeit.671 Damit ist die von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder erhobene Forderung, die Zuständigkeit für die Verfolgung und Ahndung von Ordnungswidrigkeiten auf die Aufsichtsbehörden zu konzentrieren, zumindest auf Landesebene erfüllt worden.672 In den meisten Ländern673 sind die Landesbeauftragten für den Datenschutz nun Aufsichts- und Bußgeldbehörden. In Bayern ist das Landesamt für Datenschutzaufsicht, in Schleswig-Holstein der Vorstand des Unabhängigen Landeszentrums für Datenschutz zuständig. In Baden-Württemberg ist gemäß §§ 40 Abs. 3 LDSG BW i. V. m. 4 Abs. 2 Nr. 4 OWiZuVO BW das Regierungspräsidium Karlsruhe für die Ahndung von Ordnungswid668
So im Ergebnis auch Herb, S. 217 f. Vgl. Gola/Schomerus, § 43 Rn. 28. 670 Eine Übersicht der Aufsichtsbehörden für den nicht-öffentlichen Bereich findet sich unter www.bfdi.bund.de/bfdi_wiki/index.php/Aufsichtsbehörden_und_Landesdatenschutzbeauftragte, zuletzt abgerufen am 1. Juni 2015. 671 So in Brandenburg seit dem 1. Juni 2010 (vgl. LfD Brandenburg, Bericht 2010/2011, S. 157), in Hessen seit dem 1. Juli 2011 (vgl. LfD Hessen, Bericht 2012, S. 160) und im Saarland seit dem 2. Juli 2011 (vgl. UDS, Bericht 2011/2012, S. 12). 672 Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 32 f.; vgl. dazu Bohnen, S. 259. 673 Berlin, Brandenburg, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, NRW, Rheinland-Pfalz, dem Saarland, Sachsen, Sachsen-Anhalt und Thüringen. 669
216
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
rigkeiten nach § 43 BDSG zuständig.674 Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich ist nach § 31 Abs. 1 LDSG BW aber der Landesbeauftragte für den Datenschutz. Zum Teil wurde die Zuständigkeit für die Verfolgung der Ordnungswidrigkeiten dabei in Verordnungen über Zuständigkeiten im Ordnungswidrigkeitenrecht festgelegt,675 zum Teil in den jeweiligen Landesdatenschutzgesetzen geregelt.676 In Baden-Württemberg und Niedersachsen ergibt sich die Zuständigkeit aus dem Landesdatenschutzgesetz und der Zuständigkeitenverordnung gemeinsam.677 Im Bundesland Hamburg wurde die Zuständigkeit durch eine Anordnung nach § 36 Abs. 2 S. 1 OWiG auf den Landesbeauftragten für Datenschutz und Informationsfreiheit übertragen.678 In Berlin und Rheinland-Pfalz ergibt sich die Zuständigkeit aus § 36 Abs. 1 Nr. 2 lit. a) OWiG in Verbindung mit der Stellung der Landesdatenschutzbeauftragten als oberste Landesbehörden.679 Auf Bundesebene ist gemäß § 36 Abs. 2 Nr. 2 lit. b) OWiG das jeweils fachlich zuständige Ministerium für die Ahndung der Ordnungswidrigkeiten zuständig. Eine den Regelungen in den Ländern entsprechende Zuständigkeitszuzweisung an den Bundesbeauftragten für den Datenschutz existiert nicht.680 Dies wird unter anderem von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder kritisiert.681 bb) Zielkonflikte bei Tätigkeit als Aufsichts- und Bußgeldbehörde Die meisten Sanktionsinstanzen trennen bei der Verfolgung von Ordnungswidrigkeiten nicht strikt zwischen ihrer Tätigkeit als Aufsichts- und Bußgeldbehörde.682 Eine solche Trennung nimmt ausdrücklich vor allem das Bayerische LDA vor.683 Diese Doppelrolle führt zu einem Zielkonflikt. Die Aufsichtsbehörden werden grundsätzlich in kooperativen und beratenden Funktionen tätig, die etwa in § 38 Abs. 1 S. 2 BDSG auch gesetzlich verankert sind. Die Ausübung einer beratenden und kooperativen Tätigkeit der Aufsichtsbehörden setzt allerdings ein Vertrauensverhältnis zu den datenverarbeitenden Stellen voraus, das „sich nicht mit der latenten Drohung hoheitlicher Sanktionen“684 verträgt. So wird 674
Kritisch hierzu LfD BW, Bericht 2010/2011, S. 14. So in Bayern (§ 11a ZuVOWiG), Schleswig-Holstein (§ 1 ZuVOWiG i. V. m. Nr. 3.5.2 des angehängten Zuständigkeitenverzeichnisses) und Sachsen (§ 13 Abs. 1 S. 1 ZuVOWiG). In Bremen existiert eine eigene Verordnung über die Zuständigkeit für die Verfolgung und Ahndung von Ordnungswidrigkeiten nach dem Bundesdatenschutzgesetz und dem Bremischen Datenschutzgesetz. 676 § 23 Abs. 8 S. 1 BbgDSG, § 24 Abs. 4 Nr. 2 lit. a) HDSG, § 42 Abs. 4 S. 2 DSG M-V, § 34 Abs. 3 lit. b) DSG NW, § 28a Abs. 1 S. 1 SDSG, § 22 Abs. 2a DSG LSA, § 42 Abs. 1 ThürDSG. 677 §§ 40 Abs. 3 LDSG BW i. V. m. 4 Abs. 2 Nr. 4 OWiZuVO BW, §§ 1 Abs. 4 OWiZuVO Nds. i. V. m. 22 NDSG. 678 Anordnung über Zuständigkeiten für die Verfolgung von Ordnungswidrigkeiten vom 2. September 1975, Amtl. Anz., S. 1337. 679 § 22 Abs. 2 BlnDSG, § 23 Abs. 3 DSG RP. 680 Vgl.Gola/Schomerus, § 43 Rn. 28. 681 Konferenz der Datenschutzbeauftragten, Eckpunkte, S. 4, 32 f. 682 Vgl. LfD Niedersachsen, Bericht 2009/2010, S. 62; ULD, Pressemitteilung vom 11. September 2008, abrufbar unter www.datenschutzzentrum.de/presse/20080911-lidl-bussgeldverfahren.html, zuletzt abgerufen am 1. Juni 2015; Simitis/Ehmann, § 43 Rn. 19d. 683 LDA Bayern, Bericht 2011/2012, S. 94; vgl. zu der Trennung der Tätigkeiten in BadenWürttemberg und Berlin Simitis/Ehmann, § 43 Rn. 19d. 684 Weichert, RDV 2005, S. 1, 5. 675
§ 13 Sanktionsdefizit
217
das Ermessen der Bußgeldbehörden bei der Verfolgung von Ordnungswidrigkeiten nach § 47 Abs. 1 S. 1 OWiG von ihrer Tätigkeit als Aufsichtsbehörde beeinflusst.685 Daraus folgt eine tendenziell zurückhaltende Einstellung der Bußgeldbehörden bei der Anwendung der Ordnungswidrigkeitentatbestände.686 Viele Aufsichtsbehörden sehen ihre Aufgabe eher darin, in Kooperation mit den datenverarbeitenden Stellen Datenschutzverstöße zu verhindern als darin, Sanktionen zu verhängen.687 So gibt beispielsweise das LVerwA Sachsen-Anhalt an, dass für es als Aufsichtsbehörde die Durchführung von Bußgeldverfahren nicht im Vordergrund stünde. Es bestünde „mehr Interesse daran, durch Aufklärung und Beratung das datenschutzgerechte Verhalten der verantwortlichen Stellen zukünftig sicherzustellen, als Verstöße in der Vergangenheit zu ahnden.“688 Eine vergleichbare Einstellung lässt sich auch aus den Angaben der Aufsichtsbehörden in Hamburg,689 Nordrhein-Westfalen,690 Rheinland-Pfalz691 und Schleswig-Holstein692 erkennen. Eine andere Linie verfolgt ausdrücklich der Berliner Beauftragte für Datenschutz und Informationsfreiheit, der in seinem Tätigkeitsbericht für das Jahr 2009693 angab, das Bußgeldverfahren als Instrument zum Schutz der informationellen Selbstbestimmung stärker nutzen zu wollen.694 In seiner Erklärung heißt es: „Zum Jahresbeginn haben wir unsere bußgeldrechtliche Ahndungspraxis grundsätzlich umgestellt. Aufgrund der zunehmenden Anzahl bekannt gewordener massiver Datenschutzverstöße haben wir die in den letzten Jahren eher restriktive Handhabung von Bußgeldverfahren als letztes Mittel aufgegeben.“695
Mit dieser Tendenz zu einer strengeren Ahndungspraxis steht die Berliner Behörde nicht ganz alleine da: Auch der LfD Niedersachsen stellte in seinem Tätigkeitsbericht für die Jahre 2009 und 2010 trotz der Betonung eines kooperativen Ansatzes696 fest, dass eine „nachdrücklichere Ahndung von Datenschutzverstößen angezeigt“ sei und gewisse Datenschutzverstöße als Ordnungswidrigkeiten „nun deutlich strenger verfolgt“697 würden. Jüngst reagierte der LfDI Rheinland-Pfalz auf die „Forderung, Rechtsverletzungen nicht nur abzustellen, sondern mit spürbaren Sanktionen zu ahnden“, die ihm gegenüber 685
Vgl. Simitis/Ehmann, § 43 Rn. 87. Plath/Becker, § 43 Rn. 4 mit einer Sammlung von Belegen aus den Tätigkeitsberichten; ähnlich Lindhorst, S. 42; Seiffert, S. 20; Simitis/Ehmann, § 43 Rn. 87 ff. 687 Bestmann, K&R 2003, S. 496, 501 f.; Simitis/Ehmann, § 43 Rn. 87. 688 LVerwA Sachsen-Anhalt, Bericht 2009–2011, S. 33. 689 LfDI Hamburg, Bericht 2010/2011, S. 197: „Im Vordergrund unserer aufsichtsbehördlichen Tätigkeit steht [ . . . ] nicht, Bußgelder zu verhängen“. 690 LfDI NRW, Bericht 2011/2012, S. 19. 691 LfDI RP, Bericht 2007–2009, S. 49: „Besonders zu betonen ist dabei, dass die Aufsichtsbehörde zur Einleitung von Ordnungswidrigkeitenverfahren nur dann schreitet, wenn festgestellte Datenschutzverstöße gemeinsam mit der verantwortlichen Stelle nicht geklärt und nicht freiwillig beseitigt werden konnten.“ 692 ULD, Bericht 2013, S. 24. 693 Im gleichen Jahr verhängte die Aufsichtsbehörde ein Bußgeld i. H. v. 1.123.503,50 Euro gegen die Deutsche Bahn AG; dazu oben § 11 VI. 1. 694 LfDI Berlin, Bericht 2009, S. 86; vgl. dazu Simitis/Ehmann, § 43 Rn. 89. 695 LfDI Berlin, Bericht 2009, S. 85. 696 LfD Niedersachsen, Bericht 2009/2010, S. 62, 64. 697 LfD Niedersachsen, Bericht 2009/2010, S. 62 f. 686
218
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
von Unternehmen und betrieblichen Datenschutzbeauftragten erhoben worden war, „mit der Einrichtung einer eigenen Bußgeldstelle [ . . . ], die sich auf die Ahndung von Datenschutzverstößen konzentriert.“698 „Zielvorgabe dieser Bußgeldstelle“ sei es, „aus der Vielzahl ahndbarer Datenschutzverstöße jedes Jahr etwa ein Dutzend Vorfälle auszusondern, bei denen eine Sanktionierung besonders naheliegt und exemplarische Wirkung verspricht.“699 Der LfDI Rheinland-Pfalz betonte hierbei ausdrücklich die bewusstseinsbildende Funktion einer solchen gezielten Sanktionierung.700 Perspektivisch gibt es Anzeichen für eine vereinheitlichte Ahndungspraxis bei Ordnungswidrigkeiten.701 Im Düsseldorfer Kreis als Gremium der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich702 wurde unter der Leitung des Berliner LfDI eine Arbeitsgruppe Sanktionen gegründet.703 Dort sind „Maßnahmen zur Sicherstellung einer einheitlichen Handhabung und Abstimmung mit den anderen Aufsichtsbehörden“ für „das Einleiten und Betreiben von Ordnungswidrigkeitenverfahren sowie andere Sanktionsund Meldungsregelungen nach dem BDSG“704 ergriffen worden. Jüngst berichtete beispielsweise auch der LfD Hessen, dass in seiner Dienststelle „die organisatorischen Vorgaben wie auch die Maßnahmen zur Sicherstellung einer einheitlichen Handhabung“ für „das Einleiten und Betreiben von Ordnungswidrigkeitenverfahren sowie andere Sanktionsund Meldungsregelungen nach dem BDSG“ verfeinert worden seien.705 Um Zielkonflikte zwischen den Funktionen als Bußgeld- und Aufsichtsbehörde zu vermeiden, sollten die zuständigen Stellen nach dem Vorbild des Bayerischen LDA zumindest intern zwischen diesen Tätigkeiten unterscheiden.706 Die strikte personelle Trennung zwischen der Tätigkeit als Bußgeldbehörde von der übrigen aufsichtsbehördlichen Tätigkeit erscheint als Mindestvoraussetzung.707 Eine solche personelle Trennung gestaltet sich praktisch aber deshalb als schwierig, weil es jedenfalls teilweise an der erforderlichen Ausstattung fehlt. So wird bei der LfD Brandenburg die Aufgabe der Verfolgung von Ordnungswidrigkeiten von einer einzelnen Mitarbeiterin wahrgenommen.708 Die mangelnde personelle Ausstattung wird auch allgemein als Grund für die geringe praktische Anwendung der Bußgeldvorschriften angeführt.709 Mit einer stärkeren personellen Ausstattung bzw. einer eigenen Ausstattung für Sanktionsaufgaben könnte die Tätigkeit der zuständigen Stellen als Bußgeldbehörden
698
LfDI RP, Bericht 2012/2013, S. 98. LfDI RP, Bericht 2012/2013, S. 98. 700 LfDI RP, Bericht 2012/2013, S. 98. 701 Vgl. Holländer, RDV 2009, S. 215, 222; Plath/Becker, § 43 Rn. 4. 702 Zur Tätigkeit des Düsseldorfer Kreises www.datenschutz.de/aufsicht_privat/, zuletzt abgerufen am 1. Juni 2015. 703 LfDI Berlin, Bericht 2011, S. 153. 704 LfD Hessen, Bericht 2012, S. 33. 705 LfD Hessen, Bericht 2013, S. 24. 706 Vgl. LDA Bayern, Bericht 2011/2012, S. 94. 707 Vgl. Holländer, RDV 2009, S. 215, 222; Weichert, RDV 2005, S. 1, 6; ähnlich Simitis/ Ehmann, § 43 Rn. 19c ff. 708 LfD Brandenburg, Bericht 2010/2011, S. 158. 709 Holländer, RDV 2009, S. 215; Simitis/Ehmann, § 43 Rn. 87; Weichert, RDV 2005, S. 1; vgl. auch LfDI RP, Bericht 2007–2009, S. 49. 699
§ 13 Sanktionsdefizit
219
an Gewicht gewinnen.710 Eine klare rechtliche Trennung von Sanktionsaufgaben von Aufsichtstätigkeiten könnte so leichter realisiert werden. Zu beachten ist dabei, dass der Ausstattung und Wirkungsmacht der Datenschutzbehörden bei ihrer Sanktionstätigkeit durch das Demokratieprinzip Grenzen gesetzt sind.711 Nach europarechtlicher Vorgabe müssen die Datenschutzbehörden ihre Aufgaben „in völliger Unabhängigkeit“712 wahrnehmen. Damit ist es nach der Rechtsprechung des EuGH nicht vereinbar, wenn die Datenschutzbehörden unter staatliche Aufsicht gestellt werden.713 Durch das Unabhängigkeitserfordernis werden die Datenschutzbehörden anders als etwa Staatsanwaltschaften und andere (Aufsichts-)Behörden „jeder politisch-parlamentarischen oder ministeriellen Kontrolle entzogen.“714 Dies ist aufgrund der Befugnis der Behörden gegenüber Privaten, unter anderem durch die Verhängung von Bußgeldern, staatliche Macht auszuüben, bedenklich.715 c) Aufsichtsbehördliche Maßnahmen Da die Möglichkeit, aufgrund materieller Datenschutzverstöße Anordnungen nach § 38 Abs. 5 S. 1 BDSG zu treffen, noch relativ neu ist, lassen sich kaum sichere Aussagen dazu treffen, ob und inwiefern ihre Durchsetzung an einer mangelnden Bereitschaft der Aufsichtsbehörden leidet. Ob die Anordnungsbefugnis „bei der Bekämpfung von Missbrauch von personenbezogenen Daten“ zukünftig „das wichtigste und vorrangigste Instrument der Datenschutzaufsichtsbehörden werden“716 wird, wird sich noch zeigen müssen.717 d) Schadensersatz Anders als bei den übrigen Sanktionsinstrumenten hängt die Durchsetzung der Schadensersatzansprüche vollständig von der Initiative der Betroffenen ab. Hier fällt ein fehlendes Verfolgungsinteresse der Betroffenen also besonders ins Gewicht. Ein Sanktionsdefizit kann insbesondere bei „Streuschäden“ entstehen, wenn ein Datenschutzverstoß stattfindet, von dem zwar zahlreiche Menschen betroffen sind, bei jedem Einzelnen aber nur ein geringer Schaden entsteht.718 Für die einzelnen Betroffenen erscheint die Rechtsdurchsetzung in diesem Fall nicht lohnenswert, obwohl in der Breite ein beträchtlicher Schaden entstanden ist, der eine Sanktionierung verlangt. Tinnefeld nennt als typisches Beispiel für einen „Streuschaden“ den unbefugten Adresshandel, bei dem Sätze mit personenbezogenen Daten massenhaft an übermittelt werden.719 Das Phänomen der „Streuschäden“ wurde jüngst auch in der Begründung zum „Entwurf eines Gesetzes zur Verbesserung 710
Vgl. Plath/Becker, § 43 Rn. 4; LfD Niedersachsen, Bericht 2009/2010, S. 62. v. Lewinski, PinG 2013, S. 12, 16. 712 Art. 28 Abs. 1 S. 2 EG-Datenschutzrichtlinie. 713 EuGH v. 9. März 2010, Rs. C-518/07, Slg. 2010, I-1885 – Europäische Kommission ./. Bundesrepublik Deutschland; vgl. dazu nur Gola/Schomerus, § 38 Rn. 30 ff. 714 Masing, NJW 2012, S. 2305, 2311. 715 v. Lewinski, PinG 2013, S. 12, 16; ähnlich Masing, NJW 2012, S. 2305, 2311. 716 So die Vermutung von Holländer, RDV 2009, S. 215, 221. 717 Dagegen jedenfalls die Einschätzung von Ehmann, ZD 2014, S.493, 494. 718 Buchner, S. 311; Tinnefeld, S. 288. 719 Tinnefeld, S. 288. 711
220
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ beschrieben720 und als Argument für die Notwendigkeit der Einführung eines Klagerechtes nach dem UKlaG bei Datenschutzverstößen mit Verbraucherbezug angeführt. 2. Unbestimmtheit der Normen Eine weitere mögliche Ursache für die mangelhafte Durchsetzung der Sanktionen des BDSG, die Betroffene wie auch Sanktionsinstanzen berührt, liegt in der Unbestimmtheit des Gesetzes. Ein Mangel der Bestimmtheit der Verhaltensnormen eines Gesetzes kann sich nicht nur unmittelbar negativ auf deren Befolgung auswirken,721 sondern auch eine zurückhaltende Anwendung der Sanktionen zur Folge haben, die an eine Verletzung der Verhaltensnormen anknüpfen. Ob eine datenschutzrechtliche Sanktion verhängt werden kann, hängt stets davon ab, ob zumindest in objektiver Hinsicht ein Verstoß gegen eine Verhaltensnorm angenommen werden kann. Auf der Grundlage des grundsätzlichen Verbotes der Erhebung, Verarbeitung und Nutzung personenbezogener Daten722 sind hierfür die Befugnisnormen der Datenschutzgesetze sowie die Vorschriften über die Einwilligung maßgeblich. Bereits in seinen Anfangszeiten waren das BDSG und die darin geregelten Befugnisse zur Nutzung von Daten der Kritik ausgesetzt, es mangele ihnen an Bestimmtheit.723 Diese Kritik hat sich an den folgenden Fassungen des Gesetzes fortgesetzt.724 Insbesondere die Befugnisnormen gelten als sowohl strukturell unübersichtlich als auch auf Normebene als zu unbestimmt.725 Die relevanten Vorschriften finden sich neben dem BDSG in diversen bereichsspezifischen Regelwerken.726 Einzelne Befugnisnormen machen die Zulässigkeit eines Datenverarbeitungsvorganges häufig von einer einzelfallbezogenen Interessenabwägung abhängig.727 Hierdurch wird die Beurteilung der Rechtmäßigkeit des Umgangs mit Daten und der Einschlägigkeit von Sanktionsnormen nicht nur für den Betroffenen, sondern auch für Gerichte, Staatsanwaltschaften, Bußgeld- und Aufsichtsbehörden in vielen Fällen problematisch. a) Strafrecht Die schwierige Bestimmbarkeit der Voraussetzungen der Strafbarkeit und die komplizierten Strukturierung der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG könnte sich auf ihre Durchsetzung auswirken.728 Unbestimmt ist durch Verwendung des Merkmals „unbefugt“ vor allem § 43 Abs. 2 Nr. 1–3 BDSG. Da die in § 43 Abs. 2 Nr. 1–3 BDSG beschriebenen Tathandlungen den Kernbestand der praktisch vorkommenden und potentiell strafbaren 720 721 722 723 724 725 726 727 728
BR-Drs. 55/15, S. 8. Raiser, S. 257. Vgl. § 4 Abs. 1 BDSG. Rissing-van Saan, S. 18; Tiedemann/Sasse, S. 121 ff. Hoeren, in: Greipl, S. 135 f.; Lindhorst, S. 35; ULD, Erhöhung, S. 153. Simitis, in: Sokol 1999, S. 5, 33; ULD, Erhöhung, S. 153; dazu näher oben § 10 V. 2. c). Zu den Regelungen des bereichsspezifischen Datenschutzes oben Erster Teil § 3 VI. Dazu näher oben § 10 V. 2. c) cc). Bär, in: Roßnagel, Rn. 81; Bestmann, K&R 2003, S. 496, 497; so auch schon Höft, S. 1.
§ 13 Sanktionsdefizit
221
Handlungen umfassen, fällt die Unbestimmtheit dieser Vorschriften besonders schwer ins Gewicht. Ob ein Verhalten strafbedroht ist, ist auch hier letztlich regelmäßig durch eine einzelfallbezogene Interessenabwägung zu klären. Dadurch sind die Normadressaten und Betroffenen kaum in der Lage abzulesen, wann ein Verhalten mit strafrechtlicher Sanktion bedroht ist.729 Die Unbestimmtheit kann auch ein Hindernis für die Stellung eines Strafantrages nach § 44 Abs. 2 BDSG sein. Die Unbestimmtheit könnte zudem die Arbeit der Sanktionsinstanzen erschweren. Eine möglicherweise mangelhafte Bereitschaft zur Sanktionierung von Datenschutzverstößen bei Staatsanwaltschaften und Gerichten730 könnte ihre Gründe in der schwierigen Anwendbarkeit der Norm haben.731 Zudem könnte die Vagheit der datenschutzrechtlichen Befugnisnormen zu begründeten Zweifeln an der Verfassungsmäßigkeit der Sanktionsnormen im Hinblick auf den Bestimmtheitsgrundsatz und damit zu ihrer Nichtanwendung führen.732 Allerdings ist zu beachten, dass es an empirischen Untersuchungen und Befunden fehlt, um zu belegen, dass die beschriebenen Phänomene in der Praxis durch die Unbestimmtheit der Normen bedingt sind. Sie lassen sich daher an dieser Stelle nicht mit Sicherheit als Ursachen für ein Sanktionsdefizit feststellen, sondern lediglich als mutmaßliche Ursachen für ein solches. b) Ordnungswidrigkeiten Das Problem der Unbestimmtheit des § 43 Abs. 2 BDSG und der von der Vorschrift in Bezug genommenen Verhaltensnormen besteht auch bei der Anwendung der Vorschrift als Ordnungswidrigkeitenvorschrift.733 Fraglich ist, ob sich die Unbestimmtheit der Norm bei ihrer Anwendung als Bußgeldvorschrift weniger gravierend auswirkt als bei §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG, weil hier in der Regel zunächst Datenschutzbehörden und nicht Staatsanwaltschaften und Richter beurteilen, ob ein Verstoß gegen Datenschutzvorschriften vorliegt. Dafür müsste man jedoch unterstellen, dass die Datenschutzbehörden generell eher befähigt sind, das Vorliegen eines Datenschutzverstoßes zu beurteilen und § 43 Abs. 2 BDSG anzuwenden. Es fehlt zunächst an empirischen Erkenntnissen, um diese Aussage zu belegen. Sie ist auch nicht logisch zwingend. Denn auch wenn man Datenschutzbehörden zunächst – eher als Staatsanwaltschaften und Gerichten – spezifische Kenntnisse im Umgang mit dem Datenschutzrecht unterstellt, bleibt zu berücksichtigen, dass sich bei der Anwendung der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG Schwierigkeiten stellen, die in zahlreichen Bereichen des Ordnungswidrigkeiten- und Strafrechts – und dabei insbesondere des Nebenstrafrechts – ebenfalls auftauchen. Es kann daher nicht ohne Weiteres davon ausgegangen werden, dass sich die Unbestimmtheit des § 43 Abs. 2 BDSG bei seiner Anwendung durch Datenschutz729
Wybitul/Reuling, CR 2010, S. 829, 832. Vgl. ULD Schleswig-Holstein, Pressemitteilung vom 11. September 2008, abrufbar unter www.datenschutzzentrum.de/presse/20080911-lidl-bussgeldverfahren.html, zuletzt abgerufen am 1. Juni 2015; Weichert, NStZ 1999, S. 492. 731 So auch schon Herb, S. 183 ff. 732 Vgl. ULD, Erhöhung, S. 152. 733 Vgl. ULD, Erhöhung, S. 152. 730
222
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
behörden im Kontext des Ordnungswidrigkeitenrechts weniger gravierend auswirkt als im strafrechtlichen Kontext. c) Aufsichtsbehördliche Maßnahmen Bei den Befugnissen nach § 38 Abs. 5 BDSG könnte der Faktor Unbestimmtheit ebenso eine Rolle spielen und ihre Anwendung beeinträchtigen. Auch hier fehlt es aber – wie in allen Bereichen – an klaren empirischen Belegen. d) Schadensersatz Beim immateriellen Schadensersatz könnten die bestehenden rechtlichen Unklarheiten und Hürden eine Geltendmachung entsprechender Ansprüche in vielen Fällen verhindern.734 Insbesondere hier kann der Betroffene durch die Unbestimmtheit der datenschutzrechtlichen Verhaltensnormen gehemmt sein, Ansprüche geltend zu machen, da er nur schwer beurteilen kann, ob diese begründet sind – denn er trägt das Kostenrisiko eines Zivilprozesses.735 Bei einer Strafanzeige oder einer Meldung eines mutmaßlichen Datenschutzverstoßes bei einer Aufsichtsbehörde stellt sich dieses Problem für das Opfer nicht, da es das Kostenrisiko nicht trägt. Neben der Rechtswidrigkeit einer Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist speziell bei Schadensersatzansprüchen das Vorliegen der Voraussetzungen für den Ersatz immaterieller Schäden schwer zu beurteilen. Da sich Verletzungen der informationellen Selbstbestimmung oftmals nicht in materiellen Schäden auswirken, kommt es bei den Schadensersatzansprüchen jedoch entscheidend auf diese Beurteilung an. Zunächst ist für den Rechtsanwender kaum klar, ob und wie Betroffene wegen Datenschutzverstößen durch nicht-öffentliche Stellen im Anwendungsbereich des BDSG immateriellen Schadensersatz verlangen können. Nach genauer Betrachtung der Rechtslage steht fest, dass ein immaterieller Schadensersatzanspruch gegen private Stellen im Anwendungsbereich des BDSG entweder nach § 7 BDSG oder § 823 Abs. 1 BDSG möglich sein muss. Allerdings geht dies aus den Gesetzen nicht deutlich hervor. §§ 7 und 8 BDSG legen eher nahe, dass eine entsprechende Möglichkeit nicht besteht. Diese Unklarheit könnte ein Grund dafür sein, dass entsprechende Ansprüche selten geltend gemacht werden.736 Daher sollte in § 7 BDSG die Möglichkeit immateriellen Schadensersatzes ausdrücklich verankert werden, um dem Rechtsanwender den Weg zum gleichen Ergebnis über komplizierte Hilfskonstruktionen zu ersparen.737 Selbst wenn ein Datenschutzverstoß feststeht, bereitet die Prüfung Probleme, wann eine schwerwiegende Beeinträchtigung des Persönlichkeitsrechtes als entscheidende Vor734
So auch Schneider, B Rn. 361. Vgl. Hoeren, in: Greipl, S. 135, 136. 736 Vgl. Schneider, B Rn. 361. 737 So auch Bohnen, S. 248 f.; Kühling/Bohnen, JZ 2010, S. 600, 609. Die Schaffung eines neuen Anspruchs für den Ersatz immaterieller Schäden im nicht-öffentlichen Bereich wurde auch im Entwurf des Gesetzes zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht angekündigt; BMI, Datenschutz im Internet, S. 5. 735
§ 14 Zwischenfazit
223
aussetzung des immateriellen Schadensersatzanspruchs vorliegt.738 Das Vorliegen dieser Voraussetzung wird von Gerichten kaum angenommen. Es würde zur praktischen Anwendbarkeit der Schadensersatzansprüche beitragen, Kriterien und Fallgruppen zu identifizieren, die die Prüfung des Vorliegens einer schwerwiegenden Beeinträchtigung erleichtern. 3. Unbekanntheit der Normen Schließlich könnte auch in der mangelnden Bekanntheit der Normen eine Ursache für ein Sanktionsdefizit liegen. Sowohl Betroffene als auch Sanktionsinstanzen können durch Unkenntnis der Sanktionsnormen daran gehindert sein, auf deren Vollzug hinzuwirken. Vor allem die geringe Bekanntheit von Schutzvorschriften unter den von Verstößen Betroffenen ist im Datenschutzrecht kein Einzelphänomen.739 Das Problem der Unbekanntheit könnte – ähnlich wie das Problem der Unbestimmtheit – die Durchsetzung der Strafund Schadensersatzvorschriften der Datenschutzgesetze erschweren. Im Gegensatz dazu kann im Zusammenhang mit den datenschutzrechtlichen Bußgeldtatbeständen sowie Anordnungsbefugnissen gemäß § 38 Abs. 5 BDSG davon ausgegangen werden, dass diese den zuständigen Sanktionsinstanzen als Fachbehörden bekannt sind. Vor allem im Zusammenhang mit den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG wird ein geringer Bekanntheitsgrad bei Betroffenen und Rechtspraktikern als Hindernis für ihre Durchsetzung gesehen.740 Der Vorwurf, dass die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG durch ihre Stellung im BDSG „im strafrechtlichen Abseits“741 stehen, ist naheliegend. Sie sind den Sanktionsinstanzen wie den Betroffenen dadurch weniger bekannt als es eine entsprechende Regelung im StGB wäre. Eine Möglichkeit zur Abhilfe könnte dementsprechend darin liegen, den strafrechtlichen Schutz der informationellen Selbstbestimmung in das StGB zu verlagern, um die Anwendung der Strafvorschriften und damit auch ihre präventive Wirkung zu steigern.742
§ 14 Zwischenfazit Es ist nach dem BDSG auf mehreren Ebenen möglich, das unbefugte Erheben, Verarbeiten und Nutzen von personenbezogenen Daten zu sanktionieren. Strafen und Bußgelder können vor allem für das unbefugte Erheben und Verarbeiten von Daten verhängt werden. Das unbefugte Nutzen von Daten ist dabei nur in wenigen Fällen erfasst. Alle materiellen Datenschutzverstöße können Schadensersatzansprüche oder aufsichtsbehördliche Maßnahmen zur Folge haben. Die Möglichkeiten zur Ahndung von Datenschutzverstößen sind damit auf den ersten Blick weitreichend. Schwierigkeiten bestehen vor allem bei der praktischen Handhabe der Vorschriften. Auf sämtlichen Ebenen bestehen Hürden für die tatsächliche Anwendung der Sanktionen. Die 738 739 740 741 742
Schneider, B Rn. 375. Vgl. LfD Niedersachsen, Bericht 2009/2010, S. 64. Bär, in: Roßnagel, Rn. 3; Hoeren, in: Greipl, S. 135, 136. Weichert, NStZ 1999, S. 490, 492; ähnlich Gola, RDV 2004, S. 215, 217. Dazu näher unten Vierter Teil § 16 I.
224
3. Teil: Die Sanktionierung von Datenschutzverstößen nach dem BDSG
Schwierigkeiten beginnen bei der gesetzlichen Bestimmtheit der Vorschriften. Die Unbestimmtheit ist vor allem ein Problem der Straftatbestände und Ordnungswidrigkeiten nach den §§ 43, 44 BDSG, betrifft aber auch Schadensersatzansprüche und aufsichtsbehördliche Maßnahmen. Die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG sind zunächst in ihrem Anwendungsbereich unbestimmt. Wenn eine bereichsspezifische Regelung einschlägig ist, die keine eigenen Straf- oder Bußgeldvorschriften vorsieht, ist nicht klar, ob und, wenn ja, inwieweit die Normen des BDSG angewandt werden können. Dies ist besonders problematisch, da die Rechtsunklarheit auch in Bereichen herrscht, die besondere Risiken für das informationelle Selbstbestimmungsrecht bergen – so etwa im Anwendungsbereich des TMG, das Onlinedienste wie z. B. soziale Netzwerke erfasst.743 Auch die Tatbestandsvoraussetzungen der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG sind undurchsichtig. Einzelne Merkmale bereiten erhebliche Auslegungsschwierigkeiten. Welche konkreten Tathandlungen unter den Begriff des Verarbeitens von Daten i. S. d. § 43 Abs. 2 Nr. 1 Var. 2 BDSG fallen, ist nicht für jedem Normadressaten verständlich. Umfasst ist beispielsweise auch die Entsorgung von Dokumenten, die personenbezogene Daten enthalten, in öffentlichen Mülleimern.744 Besonders problematisch ist das normative Tatbestandsmerkmal „unbefugt“, das die Befugnistatbestände des BDSG in Bezug nimmt, wodurch die Strafbarkeit in vielen Fällen im Wesentlichen nur auf eine Interessenabwägung im konkreten Einzelfall gestützt werden kann. Dass infolge des strafrechtlichen Bestimmtheitsgebotes eine gespaltene Auslegung der Befugnisnormen im strafrechtlichen und außerstrafrechtlichen Kontext notwendig wird, bereitet zusätzliche Schwierigkeiten bei der Prüfung.745 Schließlich enthält § 43 Abs. 2 BDSG zahlreiche Redundanzen, worunter die Verständlichkeit der Norm weiter leidet. Eine mangelnde Durchsetzung der Sanktionsnormen dürfte auf Seiten der Datenschutzbehörden unter anderem organisatorische und personelle Ursachen haben. Zunächst wird ein Mangel an personeller Ausstattung zur Verfolgung von Datenschutzverstößen beklagt, der allerdings nicht mit rechtlichen Mitteln behoben werden kann. Eine weiteres Hindernis für die Durchsetzung von Sanktionen für Datenschutzverstöße liegt im Selbstverständnis der Datenschutzbehörden sowie der Vermengung ihrer Tätigkeiten als Aufsichts- und Bußgeldbehörden. Die Angaben der Behörden zu ihrer Ahndungspraxis liefern allerdings kein vollständiges Bild. So lässt sich nicht genau bestimmen, inwiefern die derzeitige Ahndungspraxis sach- und interessengerecht ist. Jüngere Bestrebungen zur Entwicklung eines gemeinsamen Standpunktes der Datenschutzbehörden zum Einsatz von Sanktionsmitteln sind vor diesem Hintergrund zu begrüßen. In ihrer praktischen Bedeutung bleiben die Straftatbestände und die Ansprüche auf immateriellen Schadensersatz hinter den von den Datenschutzbehörden durchzusetzenden Verwaltungssanktionen zurück. Für die überwiegende Anzahl der in § 43 Abs. 2 BDSG aufgeführten Tatbestände sind keinerlei Anwendungsfälle als Straftatbestand bekannt. Die Anzahl der strafrechtlichen Verurteilungen nach den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG bewegt sich in einem überaus niedrigen Bereich. 743 744 745
Vgl. oben Erster Teil § 3 VI. 2. a). Vgl. oben § 10 IV. 2. a) cc). Dazu oben § 10 V. 2. c) ee).
§ 14 Zwischenfazit
225
Den wenigen strafrechtlichen Verfahren im Zusammenhang mit den Straftatbeständen des BDSG dürfte eine große Anzahl unentdeckter und ungeahndeter Verstöße gegenüberstehen.746 Es ist stark zu bezweifeln, dass die §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG angesichts ihrer geringen Anwendung eine effektive Präventivwirkung entfalten können. Erfolgreiche Begehren immateriellen Schadensersatzes nach den §§ 7 und 8 BDSG sowie § 823 Abs. 2 BGB sind kaum bekannt. Dies muss für sich noch nicht bedeuten, dass diese Sanktionsnormen völlig untauglich sind, um eine Umsetzung der Verhaltensnormen zu fördern.747 Es legt aber den Schluss nahe, dass sie die gewünschte Wirkung verfehlen.
746 747
Vgl. Herb, S. 185 ff. Vgl. Weichert, RDV 2005, S. 1, 2.
4. Teil
Perspektiven des Datenschutzstrafrechts In diesem abschließenden Teil der Untersuchung geht es darum, wie das Strafrecht de lege ferenda effizient zum Schutz des Rechtes auf informationelle Selbstbestimmung eingesetzt werden könnte. Die Untersuchung beschränkt sich in Anlehnung an die vorangegangene Betrachtung auf die Sanktionierung des Erhebens, Verarbeitens und Nutzens personenbezogener Daten i. S. d. § 3 Abs. 3–5 BDSG.1 Durch die Synthese der bisher gewonnenen Erkenntnisse werden die zentralen Herausforderungen des Datenschutzstrafrechts auf normativer Ebene benannt und ein konkreter Regelungsvorschlag als Möglichkeit zu ihrer Lösung erarbeitet.
§ 15 Zentrale Herausforderungen Damit das Strafrecht bestmöglich zum Schutz des Rechtes auf informationelle Selbstbestimmung beitragen kann, müssen die datenschutzrechtlichen Straftatbestände einer sachgerechten und hinreichend bestimmten Regelung zugeführt werden, die auch praktisch durchsetzbar ist. Die bestehenden Schwierigkeiten, Gefährdungen der informationellen Selbstbestimmung durch das Strafrecht normativ habhaft zu werden, sind der Komplexität der zugrunde liegenden Gefahrenlage geschuldet. Das Datenschutzstrafrecht kann daher als Erscheinung des Risikostrafrechts begriffen werden. Ein Beitrag zum Schutz der informationellen Selbstbestimmung könnte darin liegen, seinen Einsatz auf einen Kernbereich präzise umrissener Risiken zu reduzieren.
I. Datenschutz als diffuses Interesse Das Problem der mangelnden Bestimmtheit zieht sich wie ein roter Faden durch die Regelungen des Datenschutzrechts – es betrifft sowohl Verhaltens- als auch Sanktionsnormen.2 Die Unbestimmtheit ist dem Umstand geschuldet, dass es sich als überaus schwierig erwiesen hat, die Gefahrenlage, der das Datenschutzrecht begegnen soll, präzise zu beschreiben. Zurecht wurde der Datenschutz von Hoffmann-Riem daher als ein „diffuses Interesse in der Risikogesellschaft“3 bezeichnet.4 Der Begriff der Risikogesellschaft wurde in den 1980er-Jahren durch den Soziologen Ulrich Beck geprägt.5 Er bezeichnete damit eine „Epoche, in der die Schattenseiten des Fortschritts mehr und mehr die gesell1 2 3 4 5
Zu diesen Begriffen oben Dritter Teil § 10 IV. 1.–3. Dazu oben Dritter Teil § 13 II. 2. Hoffmann-Riem, in: FS Reich 1997, S. 777 ff. Vgl. auch Di Martino, S. 16 ff.; Tinnefeld, 2012, S. 12. Beck, S. 1 ff.
§ 15 Zentrale Herausforderungen
227
schaftlichen Auseinandersetzungen bestimmen.“6 Der Begriff verweist darauf, „dass in hoch entwickelten Industriegesellschaften inzwischen mehr (soziale, ökologische, individuelle und politische) Risiken entstanden sind und laufend entstehen, als die bestehenden Sicherungsmechanismen und Kontrolleinrichtungen des Staates bewältigen können“7 . Die Gefährdung von Persönlichkeitsrechten durch die automatisierte Datenverarbeitung ist ein solches Risiko, das erst durch jüngere technische Entwicklungen entstanden ist.8 Die Computertechnik hat es möglich gemacht, personenbezogene Daten in zuvor unbekannten Dimensionen massenhaft zu sammeln und auszuwerten. Diese Möglichkeiten können sich für die Persönlichkeit und ihre Rechte als folgenreich erweisen. So lassen sich durch die Verknüpfung von scheinbar belanglosen Informationen Schlüsse auf die Lebenssituation von Personen ziehen, die gravierende Auswirkungen haben können. Wenn sich beispielsweise aus dem Einkaufsverhalten einer Person anhand von Korrelationen auf eine Schwangerschaft schließen lässt,9 kann dies für die Betroffene durchaus gefährlich werden. Erwirbt etwa eine Frau eine vielsagende Produktpalette und bewirbt sich dann auf eine Stelle bei einem mit der Supermarktkette verbundenen Unternehmen, so könnte es sein, dass sie eben aus diesem Grund nicht zum Bewerbungsgespräch eingeladen wird. Durch die zunehmende Technisierung und Digitalisierung des Alltags entstehen vergleichbare Risiken für fast jeden Menschen. Das Individuum ist in der modernen Informationsgesellschaft besonders verletzlich geworden.10 Bei der Nutzung moderner Informationstechnologie werden laufend zahllose personenbezogene Informationen erhoben. So können beispielsweise durch Software auf Smartphones Verhaltensweisen und Bewegungen der Benutzer problemlos nachverfolgt und dokumentiert werden. Die Regelungen des Datenschutzes zielen angesichts neuerer technologischer Entwicklungen darauf, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“11 Die Defizite bei der Durchsetzung der Verhaltensnormen des Datenschutzrechts zeigen, dass diese Problematik durch staatliche Regulierung allerdings nicht in dem vom Gesetzgeber gewünschten Umfang bewältigt worden ist.12 Wie bereits eingangs erwähnt, kann der Schutz der informationellen Selbstbestimmung auch nicht exklusiv oder primär mit rechtlichen Mitteln erreicht werden.13 Das Potential technischer, organisatorischer und personeller Maßnahmen zum Schutz vor einem Missbrauch personenbezogener Daten ist hoch einzuschätzen.14 Dass eine umfassende rechtliche Erfassung der Risiken der informationellen Selbstbestimmung nicht möglich ist, zeigen auch die bislang erfolglosen Versuche, der informationellen Selbstbestimmung als Rechtsgut genauere Konturen zu verleihen.15 Risiken für die informationelle Selbst6
Beck, in: Politik in der Risikogesellschaft, S. 9, 10. K. Schubert/Klein, Stichwort Risikogesellschaft. 8 Dazu oben Erster Teil § 2 I. und § 3 I. 9 Von einem solchen Fall im Zusammenhang mit dem US-amerikanischen Einzelhändler Target berichtet Duhigg, S. 182 ff. 10 Vgl. Sieber, ZStW 119 (2007), S. 1, 17. 11 § 1 Abs. 1 BDSG. 12 Vgl. oben Dritter Teil § 13. 13 Dazu oben Einleitung § 1 I. 14 Vgl. Sieber, in: 69. DJT, S. C 9, C 11; ULD, Erhöhung, S. 162; Vetter, S. 168 ff. 15 Dazu oben Zweiter Teil § 5 II. und V. 7
228
4. Teil: Perspektiven des Datenschutzstrafrechts
bestimmung sind der heutigen Informationsgesellschaft immanent. Wie Hoffmann-Riem richtig festgestellt hat, ist die „Informationsgesellschaft eine Form der Risikogesellschaft, in der es keine Rückversicherung gegen Gefahren aller Art geben kann, sondern nur das Bemühen um Schutz vor erheblichen Gefährdungen“16 . Das Datenschutzrecht muss sich daher auf möglichst passgenaue Regelungen beschränken, um sein Regelungsziel zu erreichen. Dabei sollte ein besonderer Wert auf „Übersichtlichkeit und Präzision“17 gelegt werden.
II. Datenschutzstrafrecht als Risikostrafrecht Die Notwendigkeit einer Präzisierung der gesetzlichen Regelung ergibt sich erst recht für die strafrechtliche Komponente des Datenschutzes. Noch stärker als die verwaltungsrechtliche Regelung muss die strafrechtliche Regelung präzise Szenarien vor Augen haben, in denen sie eingreift. Eine zu allgemeine strafrechtliche Regelung läuft Gefahr, nicht effektiv zum Schutz schwer greifbarer Interessen beizutragen zu können. Die Straftatbestände der Datenschutzgesetze in ihrer bestehenden Form lassen sich als Erscheinung des Risikostrafrechts begreifen. Der erläuterte Begriff der Risikogesellschaft ist im Strafrecht aufgegriffen und dafür herangezogen worden, Entwicklungen des Strafrechts hinsichtlich Erscheinungen der Risikogesellschaft kritisch zu untersuchen.18 Der Begriff des Risikostrafrechts fasst bestehende Bedenken zusammen, inwiefern das Strafrecht als Mittel dienen kann, um modernen Lebensrisiken entgegenzuwirken.19 Das Risikostrafrecht wird typischerweise durch drei Eigenschaften gekennzeichnet: Eine Tendenz zur Expansion des Strafrechts, zur Senkung der Grenzen der Vorwerfbarkeit und Vorverlagerung des strafrechtlichen Schutzes sowie zum Erlass symbolischer Regelungen.20 Im Folgenden soll kurz erörtert werden, ob und inwiefern diese Charakteristika auf das Datenschutzstrafrecht zutreffen. 1. Expansion Die Tendenz zur Expansion manifestiert sich in der Neuregelung von strafbaren Verhaltensweisen, also in einer zunehmenden Kriminalisierung.21 Es werden neue Rechtsgüter strafrechtlich sanktioniert; insbesondere die Sanktionierung von universellen bzw. überindividuellen Rechtsgütern gilt als ein Merkmal des Risikostrafrechts.22 Das Datenschutzstrafrecht ist insofern „expansives Strafrecht“, als dass es mit dem Recht auf informationelle Selbstbestimmung ein Rechtsgut schützt, das der Rechtsordnung vor der Entwicklung der modernen Datenverarbeitung unbekannt war. Wie die historische Untersuchung gezeigt hat, war ein mit den Straftatbeständen der Datenschutzgesetze ver16 17 18 19 20 21 22
Hoffmann-Riem, in: FS Reich 1997, S. 777, 782. Simitis, in: Sokol 1999, S. 5, 31. Prittwitz, in: Neumann/Prittwitz, S. 131, 134 f. Roxin, AT I, § 2 Rn. 71 f. Prittwitz, in: Neumann/Prittwitz, S. 131, 135 f. Hassemer, ZRP 1992, S. 378, 381. Hassemer, ZRP 1992, S. 378, 381; Hesel, S. 334; Sieber, in: Hoeren/Sieber 2014, Rn. 3.
§ 15 Zentrale Herausforderungen
229
gleichbarer strafrechtlicher Schutz vor deren Erlass – wenn überhaupt – nur in Ansätzen vorhanden.23 Allerdings ist das Recht auf informationelle Selbstbestimmung kein universelles oder überindividuelles Rechtsgut. Es handelt sich um eine Weiterentwicklung des Persönlichkeitsrechtes angesichts technologischen Fortschritts. Eine Anpassung auch des strafrechtlichen Persönlichkeitsschutzes in dieser Richtung muss sich nicht allgemein dem Vorwurf einer Überkriminalisierung aussetzen.24 Die Anpassung des Strafrechts angesichts neu entstehender Risiken muss weiterhin möglich sein.25 Sie muss jedoch mit Augenmaß erfolgen. 2. Vorverlagerung Weiter wird das Risikostrafrecht dadurch charakterisiert, dass die Grenzen der Vorwerfbarkeit sinken und tendenziell präventive Regelungen erlassen werden.26 Insbesondere würden vermehrt abstrakte Gefährdungsdelikte eingeführt.27 Die Straftatbestände der Datenschutzgesetze sehen kaum abstrakte Gefährdungsdelikte vor.28 Allerdings ist Datenschutz bereits strukturell Vorfeldschutz.29 Gefährdungen des informationellen Selbstbestimmungsrechtes können, wie es das BVerfG ausgedrückt hat, „bereits im Vorfeld konkreter Bedrohungen benennbarer Rechtsgüter entstehen, insbesondere wenn personenbezogene Informationen in einer Art und Weise genutzt und verknüpft werden können, die der Betroffene weder überschauen noch verhindern kann.“30 Führt eine Beeinträchtigung der informationellen Selbstbestimmung zu einer weiteren Rechtsgutsverletzung, so braucht es regelmäßig keines Datenschutzstraftatbestandes um diese strafrechtlich angemessen zu ahnden. Wer beispielsweise personenbezogene Daten unbefugt in einem bloßstellenden Kontext veröffentlicht und dadurch den Betroffenen in seiner Ehre verletzt, kann schon gemäß § 185 StGB (gegebenenfalls i. V. m. § 192 StGB)31 bestraft werden.32 Auch eine Nachstellung gemäß § 238 StGB kann mit einem unbefugten Umgang mit personenbezogenen Daten einhergehen.33 Der Gesetzgeber hat dies in § 238 Abs. 1 Nr. 3 StGB zum Ausdruck gebracht. Demnach ist es strafbar, beharrlich „unter missbräuchlicher Verwendung von dessen personenbezogenen Daten Bestellungen von Waren oder Dienstleistungen“ für einen Menschen aufzugeben oder Dritte zu veranlassen, mit diesem Kontakt aufzunehmen und dadurch seine Lebensgestaltung schwerwiegend zu beeinträchtigen. 23
Dazu oben Erster Teil § 2. Vgl. Sieber, CR 1995, S. 110, 112. 25 Vgl. Reus, S. 76. 26 Hassemer, ZRP 1992, S. 378, 380; Prittwitz, in: Neumann/Prittwitz, S. 131, 135 f.; Sieber, in: Hoeren/Sieber 2014, Rn. 3. 27 Hesel, S. 334. 28 Zu § 43 Abs. 2 Nr. 2 BDSG als abstraktem Gefährdungsdelikt oben Dritter Teil § 10 IV. 3. d). 29 Dazu ausführlich v. Lewinski, Matrix, S. 78 ff. 30 BVerfG NJW 2008, S. 822, 826. 31 Vgl. zur Strafbarkeit einer wahren Tatsachenbehauptung als (Formal-)Beleidigung oben Erster Teil § 2 II. 4. b) cc). 32 Vgl. zu AG Marburg, Urteil v. 1. Juni 2006 – Az.: 2 Js 17479/04-51 Ls. oben Dritter Teil § 10 X. 3. c). 33 Vgl. oben Dritter Teil § 10 X. 3. b) aa). 24
230
4. Teil: Perspektiven des Datenschutzstrafrechts
3. Symbolische Regelung Eine Tendenz zum Erlass symbolischer Regelungen kann sich dadurch ergeben, dass strafrechtliche Regelungen zur scheinbaren Lösung von Problemen erlassen werden.34 Es besteht dann zwar ein legitimer Schutzzweck, allerdings kann dieser durch den Einsatz des Strafrechts nicht verwirklicht werden.35 Der Einsatz des Strafrechts lässt sich in diesen Fallen dadurch erklären, dass es sich um ein öffentlichkeitswirksames Instrument handelt, um den in der Risikogesellschaft entstehenden Kontrollbedürfnissen zu begegnen.36 So führt der symbolische Erlass von strafrechtlichen Regeln tendenziell zu Defiziten bei deren Vollzug.37 Der Erlass symbolischer Regelungen, die nicht vollzogen würden, könne schließlich dazu führen, dass das Strafrecht „seine realen Funktionen letztlich verlieren wird.“38 Dass der Schutz der informationellen Selbstbestimmung nur in einem gewissen Maße mit rechtlichen Mitteln erreicht werden kann, ist auch im Strafrecht stärker zu beachten. Eine „Verstrafrechtlichung“ des Datenschutzes, die nur scheinbar Abhilfe für reale Gefahren schafft, ist alles andere als wünschenswert. Die §§ 43, 44 BDSG und ihre Vorgängernormen wurden von der ersten Stunde an als eine Art notwendige Begleiterscheinung der Verhaltensnormen des Gesetzes mitgeregelt. Die umfassende Sanktionierung von Verstößen gegen die Verhaltensnormen des BDSG ist zuletzt im Rahmen der BDSG Novellen von 2009 gefordert worden.39 Im gleichen Zug wurde der Katalog der Bußgeld- und Straftatbestände auch erweitert. Einige der neu eingeführten Tatbestände sind dabei bis heute ohne öffentlich bekannte Anwendungsfälle geblieben. Eine Tendenz zur symbolischen Regelung zeigt sich auch in den Redundanzen, die in den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG bestehen. Mehrere Tatbestände erweisen sich neben der weitreichenden Sanktionsandrohung für das unbefugte Erheben und Verarbeiten von personenbezogenen Daten in §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG als überflüssig.40 So ist etwa die Sanktionsandrohung des Erschleichens der Übermittlung personenbezogener Daten von Heghmanns zurecht als „symbolisch“41 bezeichnet worden. In der Lehre des Risikostrafrechts wird der Begriff des „symbolischen Strafrechts“ zur Kritik eingesetzt.42 Es ist jedoch zu beachten, dass ein öffentlichkeitswirksamer Einsatz des Strafrechts durchaus sinnvoll sein kann. Der Staat kann eine positive Generalprävention bezwecken und das Rechtsbewusstsein stärken, indem er sich durch das Strafrecht zu bestimmten Rechtsgütern bekennt.43 In diesem Sinne unterscheidet Hassemer zwischen
34 35 36 37 38 39 40 41 42 43
Hassemer, Strafrecht, S. 96. Prittwitz, in: Neumann/Prittwitz, S. 131, 137. Hassemer, Strafrecht, S. 97 f.; Hesel, S. 333. Hassemer, ZRP 1992, S. 378, 382; F. Herzog, in: Neumann/Prittwitz, S. 117. Hassemer, ZRP 1992, S. 378, 382. Dazu oben Erster Teil § 3 V. 1. Dazu oben Dritter Teil § 10 IV. 1. e). Heghmanns, in: Achenbach, Rn. 103; ähnlich Simitis/Ehmann, § 43 Rn. 66. Vgl. nur Hassemer, ZRP 1992, S. 378, 382. Roxin, AT I, § 2 Rn. 38; vgl. auch Hassemer, Strafrecht, S. 108.
§ 15 Zentrale Herausforderungen
231
dem kritischen Begriff des symbolischen Strafrechts und dem „kommunikativen Strafrecht“.44 Gerade im Datenschutzstrafrecht kann die „bewusstseinsbildende“ oder „kommunikative“ Funktion des Strafrechts von Bedeutung sein. Dies beruht auf der Komplexität der Risiken der modernen Datenverarbeitung. Riskante Vorgänge spielen sich hier zu großen Teilen auf eine Weise ab, die für die Mehrzahl der potentiell Betroffenen nicht durchschaubar ist. Indem der Gesetzgeber besonders riskante Verhaltensweisen und gravierende Verstöße in Straftatbeständen klar und deutlich umschreibt, kann er einen Beitrag zum allgemeinen Datenschutzbewusstsein leisten.
III. Konzentrierung und Präzisierung Einige Vertreter der Lehre des Risikostrafrechts fordern eine Rückführung strafrechtlicher Regelungen auf ein einen „Kernbestand“.45 Auch im Datenschutzstrafrecht könnte eine Konzentrierung und Präzisierung der vorhandenen Tatbestände angezeigt sein. So wurde auch bereits von verschiedenen Stimmen eine Rückführung des Datenschutzstrafrechts auf einen Kernbestand strafbarer Verhaltensweisen gefordert.46 Durch eine Präzisierung und Beschränkung könnten strafwürdige Verletzungen der informationellen Selbstbestimmung genauer von solchen Verletzungen getrennt werden, die durch die übrigen Sanktionsinstrumente des Datenschutzrechts bereits ausreichend geahndet werden können. Zudem könnte sie die Verständlichkeit der Strafnormen verbessern, was ihre Anwendbarkeit erleichtern, die Abgrenzung von anderen Formen der Verletzung von Persönlichkeitsrechten verdeutlichen und sich gleichzeitig positiv auf die Befolgung der Strafnormen auswirken könnte. 1. Abgrenzung strafwürdiger Fälle Im derzeitigen Sanktionsinstrumentarium des BDSG kann das unbefugte Erheben, Verarbeiten und Nutzen von Daten weitreichend zivilrechtlich sowie durch Bußgelder und verwaltungsrechtliche Anordnungen geahndet werden.47 Ausgehend von diesem Sanktionssystem erscheint es sinnvoll, den Einsatz des Strafrechts zum Schutz der informationellen Selbstbestimmung auf Fälle zu begrenzen, die sich in ihrem Unrechtsgehalt von einfachen Verstößen gegen datenschutzrechtliche Verhaltensnormen abheben. Für weitere Fälle einer unrechtmäßigen Verwendung personenbezogener Daten steht vor allem das Ordnungswidrigkeitenrecht als Sanktionsinstrument zur Verfügung. Datenschutzbehörden können Verstöße nach § 43 BDSG mit empfindlichen Geldbußen ahnden. In den letzten Jahren ist von der Möglichkeit, Bußgelder zu verhängen, vermehrt Gebrauch gemacht worden. Aktuelle Entwicklungen lassen darauf schließen, dass die Daten-
44 45 46 47
Hassemer, Strafrecht, S. 104 f. Albrecht, S. 236; Hassemer, ZRP 1992, S. 378, 383; vgl. auch Hesel, S. 394 ff. Haft, NJW 1979, S. 1194; Sieber, CR 1995, S. 100, 107; Sieber, in: 69. DJT, C 9, C 94. Näher dazu oben Dritter Teil §§ 10–13.
232
4. Teil: Perspektiven des Datenschutzstrafrechts
schutzbehörden sich dieser Möglichkeit bewusster geworden sind und von ihr nötigenfalls stärker Gebrauch machen werden.48 Die geltenden Ordnungswidrigkeitentatbestände sollten allerdings nicht das schärfste Mittel zur Ahndung von Datenschutzverstößen sein. Daneben sollte auch ein zielgerichteter Einsatz des Strafrechts erfolgen, um dem erhöhten Unrechtsgehalt bestimmter Fälle gerecht zu werden. Zudem ist die derzeitige Praxis zur Ahndung von Ordnungswidrigkeiten nicht geeignet, um Fälle gravierender Datenschutzverstöße zu behandeln. Für die Staatsanwaltschaft gilt gemäß § 152 Abs. 2 StPO das Legalitätsprinzip, wonach sie verpflichtet ist, „wegen aller verfolgbaren Straftaten einzuschreiten, sofern zureichende tatsächliche Anhaltspunkte vorliegen“. Im Gegensatz dazu steht das Opportunitätsprinzip gemäß § 47 OWiG, wonach die Verfolgung von Ordnungswidrigkeiten im pflichtgemäßen Ermessen der Verfolgungsbehörde liegt. Im Datenschutzrecht ist die Ausübung des Ermessens bei der Verfolgung von Ordnungswidrigkeiten geprägt von dem kooperativen Arbeitsansatz der Datenschutzbehörden in ihrer Funktion als Aufsichtsbehörden. Viele Kontrollstellen trennen nicht entschieden zwischen ihren Tätigkeiten als Aufsichts- und Bußgeldbehörden.49 Zwar ermöglicht das Opportunitätsprinzip keine behördliche Willkür bei der Verfolgung von Ordnungswidrigkeiten: Das Ermessen der Behörden ist beim Vorliegen gravierender Verstöße eingeschränkt, sie können auch zur Verfolgung verpflichtet sein. Dennoch ist eine sachgerechte Verfolgung und Ahndung gravierender Datenschutzverstöße im gegenwärtigen System nicht garantiert. Es ist auch zweifelhaft, ob alle Datenschutzbehörden organisatorisch in der Lage sind, in einer Mehrzahl komplexerer Fälle von Datenschutzverstößen zu ermitteln und diese zu sanktionieren.50 Die Verfolgung und Ahndung von Datenschutzverstößen sollte also keinesfalls umfänglich den Datenschutzbehörden überlassen bleiben. Auch durch zivilrechtliche Sanktionen kann der Einsatz des Strafrechts bei gravierenden Datenschutzverstößen nicht obsolet gemacht werden. Die Ermittlung von Täter und Tatumständen stellen die Kläger im Zivilprozess vor noch größere Schwierigkeiten als die Aufsichtsbehörden bei der Verfolgung und Ahndung von Datenschutzverstößen. Zudem haben die zivilrechtlichen Instrumente nach der derzeitigen Rechtslage und Rechtssprechungspraxis im Vergleich zum Ordnungswidrigkeiten- und Strafrecht nur eine geringe Sanktionswirkung.51 Ansprüche auf immateriellen Schadensersatz haben vor Gericht kaum Erfolgsaussichten; die Voraussetzungen hierfür sind unklar und werden praktisch selten angenommen.52 In der Konsequenz werden sachgerechte und griffige Kriterien zu bestimmen sein, um einen strafwürdigen missbräuchlichen Umgang mit personenbezogenen Daten von übrigen Fällen rechtswidrigen Handelns zu unterscheiden, die auch ohne Hinzuziehung des Strafrechts befriedigend gelöst werden können.
48 49 50 51 52
Dazu oben Dritter Teil §§ 11 VI. 1. und 13 II. 1. b) bb). Dazu oben Dritter Teil § 13 II. 1. b) bb). Vgl. Bär, in: Roßnagel, Rn. 84. So auch Plath/Becker, § 43 Rn. 1. Dazu oben Dritter Teil §§ 12 II. und 13 II. 2. d).
§ 15 Zentrale Herausforderungen
233
2. Verständlichkeit und Anwendbarkeit Eine Konzentrierung und Präzisierung des Datenschutzstrafrechts könnte dessen Anwendbarkeit wesentlich erleichtern. Dies zeigt sich schon aus der Untersuchung der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG. Durch das weite Spektrum potentiell strafbarer Handlungen ist die Rechtslage unübersichtlich. Insbesondere bei der Prüfung, ob eine Handlung gemäß § 43 Abs. 2 Nr. 1–3 BDSG unbefugt ist, bestehen zudem erhebliche Auslegungsschwierigkeiten. Die allgemeinen datenschutzrechtlichen Befugnisnormen sind nicht bestimmt genug, um für die Strafbarkeit maßgeblich zu sein. Wenn sie es sind, läuft dies regelmäßig auf eine Bestimmung der Strafbarkeit anhand einer Interessenabwägung hinaus.53 Diesen Schwierigkeiten könnten durch eine Präzisierung des Datenschutzstrafrechts begegnet werden. Durch eine genauere und eigenständigere Fassung der Tatbestände könnte die Strafbarkeit vorhersehbarer und die Anwendbarkeit einfacher werden. Es ist daher eine Regelung in den Blick zu nehmen, die nicht in erster Linie von den weiten Befugnisnormen des BDSG abhängt, sondern auf eigene Kriterien der Strafbarkeit zurückgreifen kann.54 Gleichzeitig müsste eine solche Regelung allerdings weniger differenziert und weitreichend ausfallen als die bestehenden akzessorischen Tatbestände des BDSG. Wie bereits gezeigt, ist eine derart detaillierte Regelung wie in den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG zur Erfassung einen Kernbereiches strafwürdigen Unrechts im Datenschutzrecht auch gar nicht erforderlich. Gerade im Datenschutzrecht überwiegt das Interesse daran, „das in Frage stehende Unrecht unmittelbar einsichtig zu machen“55 , dem Interesse an einer umfassenden Pönalisierung. Grund dafür ist, dass das Datenschutzrecht den Schutz der persönlichen Freiheit vor einem diffusen Risiko bezwecken soll, dessen genaue Bedeutung nicht ohne Weiteres verständlich ist. Strafrechtliche und andere gesetzliche Regelungen können nur einen beschränkten Beitrag zum Schutz der informationellen Selbstbestimmung leisten. Daher ist es umso wichtiger, dass sie zentrale Risiken erfassen und kommunizieren.56 3. Abgrenzung von weiterem strafrechtlichen Persönlichkeitsschutz Eine Konkretisierung und Präzisierung des Datenschutzstrafrechts würde auch zu seiner Abgrenzung von weiteren Gefährdungen von Persönlichkeitsrechten und ihres strafrechtlichen Schutzes beitragen. Dieser Aspekt steht in einem engen Zusammenhang mit der Steigerung der Verständlichkeit des Datenschutzstrafrechts. Dieses ist insbesondere vom allgemeinen Indiskretionsschutz sowie vom Schutz der Privat- und Intimsphäre abzugrenzen.
53 In diesem Sinne schon Schünemann, ZStW 90 (1978), S. 11, 26; näher dazu oben Dritter Teil § 10 V. 2. c) cc). 54 So auch Wybitul/Reuling, CR 2010, S. 829, 832. 55 So Tiedemann, in: FS Stree/Wessels 1993, S. 529 allgemein zum Vorzug autonomer strafrechtlicher Verbote. 56 Dazu auch oben II. 3.
234
4. Teil: Perspektiven des Datenschutzstrafrechts
a) Kein allgemeiner Indiskretionsschutz Das Datenschutzstrafrechtrecht soll nicht umfassend vor den Risiken schützen, die dadurch entstehen, dass wahre Tatsachen gegen den Willen des Betroffenen öffentlich werden. Die Frage, ob die öffentliche Bloßstellung ein Problem des Strafrechts ist, kann von der Regelung des Datenschutzstrafrechts weitestgehend getrennt werden. Sie wurde im Zusammenhang mit der geplanten Regelung eines allgemeinen Indiskretionsdelikts diskutiert.57 Der Indiskretionsschutz ist ein Aspekt des Persönlichkeitsschutzes, der nicht auf den Risiken der modernen Datenverarbeitung beruht. Eine öffentliche Bloßstellung kann zwar vor allem über moderne Kommunikationsmittel erfolgen; über die öffentliche Breitenwirkung erhöhen sich zudem die mit ihr verbundenen Risiken. Die Indiskretion erfasst aber nicht spezifisch neuen Risiken, die durch die Verknüpfbarkeit scheinbar belangloser Daten und die Ausschöpfung großer Datenmengen entstehen, sondern das Risiko der Bekanntgabe besonders sensibler Daten. b) Keine Beschränkung auf Privat- und Intimsphäre Das Datenschutzstrafrecht kann sich nicht auf den Schutz von Informationen aus bestimmten Persönlichkeitssphären beschränken. Es soll gerade vor den Risiken schützen, die durch die Kombinierbarkeit scheinbar belangloser Daten entstehen. Hier hat es seine eigenständige Bedeutung gegenüber dem strafrechtlichen Schutz der Privat- und Intimsphäre. Würde man also durch das Datenschutzstrafrecht nur personenbezogene Daten schützen, die dem innersten Lebensbereich zugehörig sind, wäre damit der Schutz der informationellen Selbstbestimmung verfehlt. Es wird sich jedoch nicht vermeiden lassen, den Schutz personenbezogener Daten in Anlehnung an die Beeinträchtigung weiterer Schutzgüter zu regeln. Dies ist deshalb der Fall, weil das Recht auf informationelle Selbstbestimmung als Rechtsgut an sich zu unbestimmt ist, um einem umfassenden strafrechtlichen Schutz unterstellt zu werden.58 Dennoch sollte aus einer strafrechtlichen Regelung zum Schutz der informationellen Selbstbestimmung die spezifische Gefährdungslage deutlich werden. 4. Beseitigung von Durchsetzungsdefiziten Eine Präzisierung und Reduktion könnte auch dem Durchsetzungsdefizit der Straftatbestände der Datenschutzgesetze entgegenwirken. Wie bereits untersucht, ist die tatbestandliche Unbestimmtheit der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ein Faktor, der ihrer Durchsetzung entgegensteht.59 Zudem können Vollzugsdefizite „ein Anzeichen dafür [sein], daß das Strafrecht auf Gebieten eingesetzt, mit Instrumenten bestückt und um Funktionen erweitert wird, die ihm fremd sind“60 . So könnte auch das Defizit bei der Durchsetzung der Datenschutzdelikte 57 58 59 60
Dazu oben Erster Teil § 2 II. 4. Dazu oben Zweiter Teil § 5 V. Dazu oben Dritter Teil § 13 II. 2. a). Hassemer, ZRP 1992, S. 378, 382.
§ 16 Konkreter Lösungsansatz
235
damit zu tun haben, dass durch die bestehenden Normen eine sachgerechte Beschreibung der strafwürdigen Risiken im Datenschutzstrafrecht noch nicht gelungen ist. Durch das Verringern des Durchsetzungsdefizites würde sich im Ergebnis die Geltungschance der datenschutzrechtlichen Verhaltensnormen erhöhen.61
§ 16 Konkreter Lösungsansatz Ein Ansatz zur Lösung der genannten Herausforderungen wird im Folgenden anhand eines konkreten Regelungsvorschlages einer Datenschutzstrafvorschrift im StGB beleuchtet. Eine solche Vorschrift könnte folgendermaßen gefasst werden: § 207 StGB-E – Verletzung der informationellen Selbstbestimmung (1) Wer sich oder einem anderen unbefugt personenbezogene Daten verschafft, die nicht allgemein zugänglich und dazu geeignet sind, die Leistungen einer Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort oder ihren Gesundheitszustand systematisch zu analysieren oder vorauszusagen, um sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) 1 Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält. 2 Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde.
§ 44 Abs. 1 BDSG, die Strafvorschriften der Landesdatenschutzgesetze sowie § 203 Abs. 2 S. 2 StGB könnten in Folge der Regelung aus dem Gesetz gestrichen werden.
I. Stellung der Regelung im StGB Vorgeschlagen wird die Regelung einer zentralen Datenschutzstrafnorm im StGB.62 Eine solche könnte unter anderem dazu geeignet sein, dem Durchsetzungsdefizit der Strafvorschriften im Datenschutzrecht entgegenzuwirken. 1. Grundsätzliche Möglichkeit der Regelung im StGB Aus verfassungsrechtlicher Sicht bestehen keine Bedenken, eine datenschutzrechtliche Strafvorschrift in das StGB aufzunehmen. So liegt es nach dem BVerfG „in der Gestaltungsfreiheit des Bundesgesetzgebers, ob er Strafsanktionen für Verstöße gegen Bundesgesetze im jeweiligen Fachgesetz, d. h. im Nebenstrafrecht, oder etwa zur Betonung ihrer besonderen Bedeutung für das Wohl der Allgemeinheit [ . . . ] im Strafgesetzbuch vorsieht.“63 Es handelt sich in erster Linie um eine rechtssystematische und rechtspolitische Frage, ob ein Straftatbestand im Kern- oder Nebenstrafrecht geregelt wird.64 Bei der Fra-
61 Als Geltungschance versteht man „die Prognose darüber, in welchem Ausmaß eine Vorschrift künftig voraussichtlich befolgt werden wird oder durchgesetzt werden kann“; Raiser, S. 242. 62 So auch Herb, S. 207 ff.; Naucke, § 4 Rn. 19; Sieber, in: 69. DJT, S. C 9, C 94. 63 BVerfGE 75, S. 329, 343. 64 NK/Hassemer/Neumann, Vor § 1 Rn. 230; Triffterer, ZStW 91 (1979), S. 309, 333.
236
4. Teil: Perspektiven des Datenschutzstrafrechts
ge, ob ein Straftatbestand aus dem Nebenstrafrecht in das Kernstrafrecht übernommen wird, kann der Gesetzgeber nach Erwägungen der Zweckmäßigkeit entscheiden.65 Bereits mehrfach sind nebenstrafrechtliche Straftatbestände in das StGB aufgenommen worden.66 Derzeit wird auf verschiedenen Teilgebieten des Immaterialgüterrechts eine Übernahme von nebenstrafrechtlichen Tatbeständen in das StGB diskutiert. Das gilt zunächst für die Tatbestände des Urheberstrafrechts.67 Auch im Markenstrafrecht wird zum Teil eine Übernahme von Strafvorschriften in das StGB gefordert.68 Bei der Überführung von Nebenstrafgesetzen in das StGB besteht grundsätzlich entweder die Möglichkeit, die nebenstrafrechtliche Regelung vollständig durch eine kernstrafrechtliche zu ersetzen oder nur einzelne Bestandteile zu überführen und es im Übrigen bei einer Regelung im Nebenstrafrecht zu belassen.69 § 207 StGB-E ist konzipiert, um die Straftatbestände des BDSG und der Landesdatenschutzgesetze vollständig zu ersetzen. Daneben könnten bei Bedarf angesichts bereichsspezifischer Risiken besondere Straftatbestände in spezielle Datenschutzregelungen wie dem TMG oder dem TKG beibehalten bzw. aufgenommen werden.70 Die vollständige Ablösung der Strafvorschriften der allgemeinen Datenschutzgesetze durch eine Regelung im BDSG ist vor dem Hintergrund des Ziels sinnvoll, die Regelungen des Datenschutzstrafrechts konsequent auf strafwürdige Fälle zu beschränken, die durch andere Sanktionsmittel nicht angemessen behandelt werden können. Eine einheitliche Regelung dieser Fälle im StGB bringt ihren erhöhten Unrechtsgehalt gegenüber sonstigen Verstößen gegen die Vorschriften des BDSG auch durch die Systematik der Regelung zum Ausdruck. Zur Übersichtlichkeit der Rechtslage würde es nicht beitragen, ein „Datenschutzstrafrecht zweiter Klasse“ in den allgemeinen Datenschutzgesetzen beizubehalten. Für eine komplette Überführung des allgemeinen Datenschutzstrafrechts in das StGB spricht auch die europäischen Perspektive des Datenschutzrechts. Durch die Verabschiedung und das Inkrafttreten einer allgemeinen europäischen Datenschutzverordnung könnten die allgemeinen Datenschutzvorschriften des BDSG und weiterer Gesetze in den nächsten Jahren größtenteils verdrängt werden.71 Dies gilt auch für ihre zivil- und verwaltungsrechtlichen Sanktionsnormen einschließlich der Ordnungswidrigkeitentatbestände. In Art. 79 DSGVO-E sind weitreichende Befugnisse der Datenschutzaufsichtsbehörden
65
NK/Hassemer/Neumann, Vor § 1 Rn. 232 ff. So etwa § 299 StGB (ehemals geregelt in § 12 UWG) und diverse Vorschriften des Umweltstrafrechts; vgl. Beschlußempfehlung und Bericht des Rechtsausschusses zu dem von der Bundesregierung eingebrachten Entwurf eines Sechzehnten Strafrechtsänderungsgesetzes, BT-Drs. 8/3633, S. 1 ff. 67 Schack, Rn. 846 etwa möchte, dass diese „aus dem Dornröschenschlaf des Nebenstrafrechts befreit und in das StGB eingegliedert werden“; ausführlich zu der Möglichkeit der Aufnahme der Strafvorschriften des Urheberstrafrechts in das StGB Heinrich, in: FS Wandtke 2013, S. 413, 415 ff. 68 Böxler, S. 560 ff.; Markenverband, Positionspapier Strafrecht verschärfen – Schutz geistigen Eigentums verbessern, S. 8 f., abrufbar unter www.markenverband.de/publikationen/Positionen/ Strafrecht, zuletzt abgerufen am 1. Juni 2015. 69 Vgl. Heinrich, in: FS Wandtke 2013, S. 413, 415. 70 Vgl. zu bestehenden bereichsspezifischen Strafvorschriften oben Erster Teil § 3 VI. 71 Dazu oben Erster Teil § 3 V. 2. 66
§ 16 Konkreter Lösungsansatz
237
vorgesehen, Geldbußen zu verhängen.72 Dies könnte die Regelung des § 43 BDSG obsolet machen. Würde man es in diesem Fall bei einer Regelung des Datenschutzstrafrecht im Kontext der Datenschutzgesetze belassen, könnten die Strafvorschriften der Datenschutzgesetze zu „verwaisten“ Normen werden. Ihnen würde neben den Regelungen der europäischen Verordnung als Strafnormen weitgehend unanwendbarer nationaler Gesetze noch weniger Aufmerksamkeit zu Teil werden als es ohnehin schon der Fall ist. Damit würde auch ihre Tauglichkeit zur praktischen Anwendung weiter sinken. Dem würde eine zentrale Regelung im StGB entgegenwirken. 2. Bekanntheit und Bewusstseinsbildung Es wird allgemein angenommen, dass die Straftatbestände des StGB der Bevölkerung besser bekannt und stärker in ihrem Bewusstsein verankert sind als jene des Nebenstrafrechts.73 Das BVerfG hat in diesem Sinne festgestellt, dass die „Kenntnis der Regelungen im Strafgesetzbuch, das die wesentlichen Straftatbestände zusammenfaßt [ . . . ] im allgemeinen erwartet werden“74 dürfe. So ist das Bedürfnis, die besondere Bedeutung eines Rechtsgutes für das Wohl der Allgemeinheit zu betonen, ein Aspekt, der die Übernahme einer Strafnorm in das StGB zweckmäßig machen kann.75 Auch in der Vergangenheit wurden Strafvorschriften vor allem deshalb aus dem Nebenstrafrecht in das StGB überführt, um die Rechtslage zu verdeutlichen und Normadressaten „vor Augen zu führen, welches Gewicht“76 entsprechende Verstöße haben. Insbesondere die Überführung diverser Straftatbestände des Umweltrechts wurde damit begründet, dass die „Stellung der Vorschriften im Nebenstrafrecht [ . . . ] den sozialschädlichen Charakter von Umweltstraftaten nicht genügend zum Ausdruck“77 bringe.78 Auch bei der Entstehung des BDSG tauchte der Gedanke auf, die Straftatbestände des Gesetzes „wegen ihrer allgemeinen Bedeutung“79 in das StGB zu integrieren. Die Bundesregierung kündigte an, eine entsprechende Möglichkeit zu prüfen.80 Ob eine entsprechende Prüfung stattgefunden hat und wenn ja, mit welchem Ergebnis, ist nicht bekannt. In jedem Fall ist die ursprüngliche Überlegung, das Datenschutzstrafrecht aufgrund seiner allgemeinen Bedeutung in das StGB zu überführen, auch aufgrund der aktuellen Umstände wieder aufzugreifen. Der Schutz der Persönlichkeit unter dem Aspekt der informationellen Selbstbestimmung hat in den letzten Jahren aufgrund technologischer und gesellschaftlicher Entwicklungen an Bedeutung gewonnen. Der Schutz des eigenen Profils 72
Dazu oben Zweiter Teil § 6 II. 2. c). Böxler, S. 565 ff.; Heinrich, in: FS Wandtke 2013, S. 413, 415 f. m. w. N.; vgl. auch Umweltbericht der Bundesregierung vom 14. Juli 1976, BT-Drs. 7/5684, S. 23; Herb, S. 209 f.; Triffterer, ZStW 91 (1979), S. 309, 334. 74 BVerfGE 75, S. 329, 343. 75 Vgl. BVerfGE 75, S. 329, S. 330. 76 So die Formulierung in BVerfGE 75, S. 329, 343 f.; vgl. auch Heinrich, in: FS Wandtke 2013, S. 413, 415 f. 77 BT-Drs. 8/3633, S. 1, 19. 78 Vgl. auch BT-Drs. 7/5684, S. 23; Entwurf der Bundesregierung eines Sechzehnten Strafrechtsänderungsgesetzes – Gesetz zur Bekämpfung der Umweltkriminalität vom 13. Dezember 1978, BT-Drs. 8/2382, S. 10. 79 BMI, Dokumentation, S. 413. 80 BT-Drs. 7/1027, S. 31; dazu im Einzelnen oben Erster Teil § 3 II. 3. b). 73
238
4. Teil: Perspektiven des Datenschutzstrafrechts
steht in seiner Bedeutung beispielsweise nicht hinter dem Schutz des eigenen Wortes oder Bildes zurück. Angesichts der diesbezüglichen Regelungen in den §§ 201 ff. StGB ist es folgerichtig, auch einen angepassten strafrechtlichen Schutz der informationellen Selbstbestimmung an dieser Stelle zu verankern und nicht als „Außenseiter“ des Persönlichkeitsschutzes in einer nebenstrafrechtlichen Regelung zu belassen. Dies deutet auch die aktuelle Diskussion um die Einführung eines Straftatbestandes der Datenhehlerei an.81 Das erhöhte Bewusstsein und die Bekanntheit einer Sanktionsandrohung im StGB wäre zudem für die Lösung der Herausforderungen des Datenschutzstrafrechts in zweierlei Hinsicht zweckmäßig: Erstens könnte es unmittelbar zu einer stärkeren Beachtung der sanktionsbedrohten Verhaltensnormen führen (generalpräventiver Aspekt). Zweitens würde es die Chance der praktischen Anwendung des Datenschutzstrafrechts steigern. a) Generalpräventiver Aspekt Eine Regelung des Datenschutzstrafrechts im StGB könnte ihre Adressaten eher dazu veranlassen, sich regelungskonform zu verhalten als die gleiche Regelung im Nebenstrafrecht. Dies ist zunächst logische Folge des höheren Bekanntheitsgrades kernstrafrechtlicher Normen: Wenn mehr Menschen eine Vorschrift kennen, steigt auch die Chance, dass sich mehr Personen an sie halten.82 Da der geringe Bekanntheitsgrad der Vorschriften des BDSG als Hindernis für ihre Befolgung gelten kann,83 wäre eine Regelung des Datenschutzstrafrechts im StGB unter diesem Gesichtspunkt sinnvoll. Zudem besteht bei nebenstrafrechtlichen Regelungen – auch wenn diese bekannt sind – das Risiko, dass sie als „Kavaliersdelikte“ betrachtet werden, „die weniger ‚ernst‘ genommen werden müssen als die zentralen Vorschriften“84 des StGB.85 Zwar lässt sich das genaue Risiko, dass eine Regelung als „Kavaliersdelikt“ nicht ausreichend ernst genommen wird, kaum konkret einschätzen; in jedem Fall würde eine Regelung im StGB ein solches Risiko für das Datenschutzstrafrecht aber tendenziell verringern. Zu beachten ist, dass es unter generalpräventiven Aspekten in Ausnahmefällen aber auch sinnvoller sein kann, eine Strafvorschrift in dem Nebengesetz zu belassen, anstatt sie in das StGB zu übernehmen, wenn sie sich nur an einen eingeschränkten Adressatenkreis richtet. In diesem Fall ist es durchaus möglich, dass beispielsweise speziell von einem Straftatbestand adressierte Berufsgruppenträger „über die sie betreffenden Spezialgesetze [ . . . ] besser informiert sind als über das StGB insgesamt“86 und diese auch aufmerksamer beachten. Im allgemeinen Datenschutzrecht ist eine solche Situation allerdings nicht gegeben. Die Verhaltensnormen des BDSG, wie auch die §§ 43, 44 BDSG, richten sich an einen weiten Adressatenkreis. Erfasst sind neben Privatmenschen praktisch sämtliche Personen, die moderne Informationstechnologien nutzen, wenn nicht ein Spezialgesetz greift.87 81 82 83 84 85 86 87
Dazu oben Erster Teil § 2 II. 5. Vgl. Heinrich, in: FS Wandtke 2013, S. 413, 417. Oben Dritter Teil § 13 II. 3. Heinrich, in: FS Wandtke 2013, S. 413, 417 f. m. w. N. Vgl. auch AE StGB, S. 49; Backes, JZ 1973, S. 337, 339. Maurach/Schroeder/Maiwald, BT 2, § 58 Rn. 6. Vgl. oben Dritter Teil § 10 II.
§ 16 Konkreter Lösungsansatz
239
b) Höhere Anwendung Durch die größere Bekanntheit eines im StGB geregelten Straftatbestandes erhöht sich gegenüber dem gleichen Tatbestand im Nebenstrafrecht die Chance, dass Verstöße von Strafverfolgungsbehörden, Gerichten und auch Betroffenen rechtlich als solche eingeordnet und auch verfolgt werden.88 Da der geringe Bekanntheitsgrad der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG nicht nur ein Hindernis bei ihrer Befolgung, sondern auch bei ihrer praktischen Anwendung ist,89 ist die Regelung im Kernstrafrecht insofern von Vorteil und könnte zur Beseitigung des Sanktionsdefizits im Datenschutzrecht beitragen. 3. Auflösung der strengen Akzessorietät Durch ihre Überführung in das StGB würden die Straftatbestände der allgemeinen Datenschutzgesetze formell aus dem Regelungszusammenhang des allgemeinen Datenschutzrechts entkoppelt. Allgemein birgt die Lösung von Strafvorschriften aus ihrem spezialgesetzlichen Zusammenhang zugleich Chancen und Risiken. Ein Risiko besteht darin, dass Strafvorschriften durch eine Aufnahme in das Kernstrafrecht „aus dem Kontext der Spezialtatbestände herausgerissen werden und für sich gesehen dadurch kaum mehr verständlich sind.“90 Andererseits besteht die Chance, Probleme zu beseitigen, die durch die enge Anbindung an weitere Vorschriften in Spezialgesetzen bestehen. a) Lösung von Befugnisnormen Im geltenden Datenschutzstrafrecht ist problematisch, dass die Strafvorschriften gerade durch ihre Bindung an die Befugnisnormen kaum verständlich sind. Die Verbindung von verwaltungsrechtlichen und strafrechtlichen Regelungen erschwert die Auslegung der Straftatbestände.91 Die Beurteilung der Strafbarkeit eines Verhaltens ist im Einzelfall teilweise kaum möglich. Die Präzisierung und Konzentration des Datenschutzstrafrechts erfordert aber, dass eine Strafbarkeit nicht mehr im Wesentlichen davon abhängt, ob eine der teilweise sehr vagen Befugnisnormen des BDSG einschlägig ist. Durch die Regelung des § 207 StGB-E als zentralem Datenschutzstraftatbestand wird gesetzestechnisch nahegelegt, dass keine strenge tatbestandliche Akzessorietät zum verwaltungsrechtlichen Datenschutzrecht und seinen weiten Befugnisnormen besteht. Ähnlich wie etwa bei den Vorschriften des Insolvenzstrafrechts im StGB könnte bei einer Datenschutzstrafnorm im StGB anstatt einer strikten Akzessorietät zu den weiteren datenschutzrechtlichen Normen von einer gelockerten, „funktionalen Akzessorietät“92 ausgegangen werden, die spezifischen strafrechtlichen Anforderungen Rechnung trägt. So müssten beispielsweise bei der Auslegung des Merkmals „unbefugt“ stärker als bisher die „ultima ratio“-Funktion des Strafrechts sowie das strafrechtliche Bestimmtheitsgebot berücksichtigt werden. 88
Böxler, S. 567; Heinrich, in: FS Wandtke 2013, S. 413, 416 f. Oben Dritter Teil § 13 II. 3. 90 Heinrich, in: FS Wandtke 2013, S. 413, 421; ähnlich Herrmann, ZStW 91 (1979), S. 281, 297; vgl. auch BT-Drs. 8/3633, S. 21. 91 Dazu im Zusammenhang mit der Auslegung des Merkmals „unbefugt“ oben Dritter Teil § 10 V. 2. c). 92 So Schönke/Schröder/Heine/Schuster, § 283 Rn. 50a m. w. N. zu § 283 StGB. 89
240
4. Teil: Perspektiven des Datenschutzstrafrechts
Gleichzeitig könnten auch bei der Aufnahme eines Datenschutzstraftatbestandes in das StGB normative Zusammenhänge mit den Vorschriften des BDSG gewahrt werden. Dies gilt vor allem für die Verwendung einzelner spezifisch datenschutzrechtlicher Begriffe, die durch § 3 BDSG bestimmt werden.93 Dass eine solche teilweise Akzessorietät einer Datenschutznorm im StGB zu den Vorschriften der allgemeinen Datenschutzgesetze ohne Weiteres möglich wäre, zeigen bereits geltende Tatbestände im StGB, die mit Begriffen aus dem BDSG operieren. So stellt beispielsweise § 303a Abs. 1 StGB unter anderem das rechtswidrige Löschen und Verändern von Daten unter Strafe. Die Begriffe des Löschens und Veränderns werden hierbei in Anlehnung an die Begriffsdefinitionen in § 3 Abs. 4 S. 2 Nr. 2 und Nr. 5 BDSG verstanden.94 Auch der Begriff der „personenbezogenen Daten“ im Straftatbestand der Nachstellung (§ 238 Abs. 1 Nr. 3 StGB) wird in Anlehnung an das BDSG verstanden.95 b) Festlegung und Erweiterung des Anwendungsbereichs Durch die Regelung im Kernstrafrecht werden die Unklarheiten des Anwendungsbereichs der §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ausgeräumt.96 Insbesondere wäre § 207 StGB-E anwendbar, auch wenn bereichsspezifische Datenschutzregeln einschlägig sind.97 Die Subsidiaritätsregel des § 1 Abs. 3 BDSG würde nicht gelten. So würde ein bereichsübergreifender strafrechtlicher Standard für strafbare Datenschutzverstöße gesetzt. Dadurch würden die nach dem geltenden Recht bestehenden Strafbarkeitslücken bei der Einschlägigkeit bereichsspezifischer Regelungen geschlossen werden.98 In bereichsspezifischen Regelwerken könnten für einzelne Bereiche weiterhin strengere Regelungen vorgesehen werden.
II. Eingeschränktes Tatobjekt Ebenso wie bei den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG sind als Tatobjekte gemäß § 207 Abs. 1 StGB-E nur nicht allgemein zugängliche personenbezogene Daten umfasst. Darüber hinaus müssen die Daten anders als bei der bisherigen Regelung dazu geeignet sein, die Leistungen einer Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort oder ihren Gesundheitszustand systematisch zu analysieren oder vorauszusagen. Diese Beschränkung dient dazu, den Risiken, vor denen § 207 StGB-E schützen soll, klarere Konturen zu verleihen und eine „Uferlosigkeit“ der Strafbarkeit zu vermeiden. Sie ist angelehnt an das Risiko der Bildung von Persönlichkeitsprofilen, das als „Obergrenze“99 für den unbefugten Umgang mit personenbezogenen Daten verstanden wird.100
93
Dazu oben Dritter Teil § 10 V. 1. Lackner/Kühl, § 303a Rn. 3; NK/Zaczyk, § 303a Rn. 7 und 10. 95 MK-StGB/Gericke, 2. Aufl., § 238 Rn. 26; Schönke/Schröder/Eisele, § 238 Rn. 17. 96 Vgl. oben Dritter Teil § 10 II. 4. a). 97 Vgl. Sieber, in: 69. DJT, C 9, C 94 und oben Dritter Teil § 10 II. 3. a). 98 Vgl. oben Dritter Teil § 10 II. 4. a). In diesem Sinne auch schon Herb, S. 208 f. 99 v. Lewinski, RDV 2003, S. 122, 123; Schaar, Datenschutz, Rn. 135; Schaar, DuD 2001, S. 383. 100 Zur Begrenzung des Datenschutzstrafrechts anhand der Gefahr der Bildung von Persönlichkeitsprofilen vgl. auch Haft, NJW 1979, S. 1194, 1197; Herb, S. 206. 94
§ 16 Konkreter Lösungsansatz
241
1. Risiko der Bildung von Persönlichkeitsprofilen Bereits in den Datenschutzdebatten der 1960er- und 1970er-Jahre spielte der Begriff des Persönlichkeitsprofils als Risikobeschreibung eine wichtige Rolle.101 Auch in der Rechtsprechung des BVerfG fand die Gefahr der Bildung von Persönlichkeitsprofilen Ausdruck.102 In seinem Mikrozensus-Beschluss führte das BVerfG aus, dass es mit der Menschenwürde nicht zu vereinbaren wäre, „wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren“103 . Diese Wertung lässt sich auf den privaten Bereich übertragen.104 Auch im Volkszählungsurteil betonte das BVerfG unter anderem die Gefahr, dass personenbezogene Daten durch automatische Datenverarbeitung „mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden“105 könnten.106 In weiteren jüngeren Entscheidungen verwendete das BVerfG den Begriff des Persönlichkeitsprofils um Risiken im Zusammenhang mit der Nutzung moderner Kommunikationsmittel und Überwachung zu beschreiben.107 Trotz der relativ langen Tradition seiner Verwendung herrscht über die genaue Bedeutung des Begriffs des Persönlichkeitsprofils im Datenschutzrecht keine Einigkeit.108 Es existieren diverse Definitionsansätze, keiner von diesen ist jedoch allgemein anerkannt.109 Da dem Begriff des Persönlichkeitsprofils eine gewisse Unbestimmtheit anhaftet, ist es zumindest fragwürdig, ob er sich als gesetzliches Tatbestandsmerkmal eignen würde.110 Typischerweise werden als Merkmal eines Persönlichkeitsprofils seine Aussagekraft über bestimmte Eigenschaften oder Verhaltensweisen einer Person verstanden.111 Er wird zum Teil auch in seiner Aussagekraft und damit in seiner Tauglichkeit als Risikobeschreibung kritisiert.112 Kritisch äußerte etwa Ladeur, dass die „gern beschworene Gefahr der Möglichkeit der Erstellung von ‚Bewegungsbildern‘ oder gar von ‚Persönlichkeitsprofilen‘
101
Dazu oben Erster Teil § 3 I. Dazu v. Lewinski, RDV 2003, S. 122, 123; Schaar, Datenschutz, Rn. 136 f. 103 BVerfGE 27, S. 1, 6; näher zum Mikrozensus-Beschluss oben Erster Teil § 3 II. 1. a). 104 Weichert, in: Kilian/Heussen 2008, Kap. 130 Rn. 35. 105 BVerfGE 65, S. 1, 42. 106 Näher zum Volkszählungsurteil oben Erster Teil § 3 III. 1. Zur Figur des Persönlichkeitsprofils als wesentliche Begründungslinie des Volkszählungsurteils v. Lewinski, RDV 2003, S. 122, 123. 107 BVerfGE 109, S. 279, 323; BVerfGE 115, S. 166, 190; BVerfGE 130, S. 1, 24 108 v. Lewinski, RDV 2003, S. 122, 123. 109 Nach Peifer, JZ 2013, S. 853, 858 beispielsweise liegt ein Persönlichkeitsprofil dann vor, „wenn verschiedene Informationstypen mit einer individualisierten oder individualisierbaren Person so verknüpft werden, dass hieraus ein Bild über ihre Biographie, ihr Charakterbild, ihre Vorlieben und Interessen, ihren Gesundheitszustand, aber auch ihre Konsumgewohnheiten erstellt wird.“ 110 Vgl. Dammann/Simitis, Art. 15 Rn. 6; Gola/Schomerus, § 6a Rn. 7. Er wurde im „Rote-LinieGesetz“ jedoch als Merkmal des § 38b S. 2 BDSG-E vorgeschlagen (dazu oben Dritter Teil § 12 II.) und findet sich auch in dem aktuellen „Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ als Merkmal in § 2 Abs. 2 Nr. 11 UKlaG-E wieder (BR-Drs. 55/15, S. 2). Vgl. außerdem Herb, S. 217, der „Persönlichkeitsbilder“ als gesetzliches Tatbestandsmerkmal vorschlägt. 111 Vgl. Baeriswyl, RDV 2000, S. 6, 7; Peifer, JZ 2013, S. 853, 858; mit einem konsumorientierten Ansatz Wittig, RDV 2000, S. 59. 112 Vgl. Bull, NVwZ 2011, S. 257, 262; Ladeur, DuD 2000, S. 13; Trute, in: Roßnagel, Rn. 26. 102
242
4. Teil: Perspektiven des Datenschutzstrafrechts
von Individuen [ . . . ] die mangelnde Substanz eines Schutzbereichs des Rechts auf informationelle Selbstbestimmung nicht kompensieren“113 könne. Um die Gefahr der Bildung von Persönlichkeitsprofilen präziser zu fassen, müssen die konkreten Risiken in den Blick genommen werden, die durch die Sammlung und Auswertung ausführlicher Informationen über eine (natürliche) Person für diese drohen. Hierfür lässt sich vor allem die jüngere Diskussion im europäischen Datenschutzrecht heranziehen, in der die Bildung und Nutzung von Persönlichkeitsprofilen vor allem unter dem Stichwort „Profiling“ im Zusammenhang mit der Auswertung großer Datenmengen („Big Data“) thematisiert wird.114 Ein zentrales Risiko für das informationelle Selbstbestimmungsrecht liegt heute in der „rapide abnehmenden Datenherrschaft über das eigene Profil“115 . Durch die Sammlung und Auswertung eines umfassenden Datenbestandes über eine Person kann es möglich sein, deren zukünftiges Verhalten vorauszusagen.116 So werden etwa beim Scoring verschiedene Parameter herangezogen, um die Zahlungsfähigkeit oder andere Eigenschaften einer Person zu bewerten.117 Beispielsweise kann anhand der Wohnlage, Ausbildung und beruflicher Tätigkeit sowie bisherigem Zahlungsverhalten ein Wahrscheinlichkeitswert dafür ermittelt werden, ob die Person bestimmte Zahlungsverpflichtungen erfüllen wird. Der ermittelte Wert wird bei der Entscheidung herangezogen, ob ein Vertrag mit der betroffenen Person getroffen wird.118 Freilich lassen sich absolut sichere Zukunftsprognosen durch derartige Einstufungsmodelle nicht treffen. Werden sie aber bei wichtigen Entscheidungen zugrunde gelegt, besteht die Gefahr, „dass die Vergangenheit prägend für die Zukunft eines Menschen wird“119 . Dadurch können Menschen der Möglichkeit beraubt werden, sich auf unterschiedliche Weisen zu entfalten und verschiedene gesellschaftliche Rollen auszufüllen.120 Methoden wie Scoring und die mit ihnen verbundenen Risiken sind auch nicht vollkommen neu. Durch die heute verfügbaren personenbezogenen Daten gewinnen sie allerdings eine neue Dimension. Während früher nur wenige Stellen Datenbestände auswerten konnten, um aussagekräftige Informationen über einzelne Personen daraus abzuleiten, steht diese Möglichkeit heute theoretisch beinahe jedermann offen. Massen von wertvollen Informationen zu einzelnen Personen finden sich beispielsweise in sozialen Netzwerken im Internet. Auch Mittel, um sie auszuwerten, werden zunehmend der breiten Öffentlichkeit zugänglich.121 113
Ladeur, DÖV 2009, S. 45, 52. Vgl. Article 29 Working Party, Advice paper on essential elements of a definition and a provision on profiling within the EU General Data Protection Regulation vom 13. Mai 2013; Weichert, ZD 2013, S. 251, 255. 115 Heckmann, NJW 2012, S. 2631, 2633. 116 Article 29 Working Party, Advice paper on essential elements of a definition and a provision on profiling within the EU General Data Protection Regulation vom 13. Mai 2013, S. 2; Härting, Annex Datenschutz im 21. Jahrhundert Rn. 40. 117 Zum Begriff des Scoring Weichert, ZD 2013, S. 251, 255. 118 Vgl. Polenz, in: Kilian/Heussen 2013, Kap. 132 Rn. 87. 119 Weichert, ZD 2013, S. 251, 255. 120 Vgl. Weichert, ZD 2013, S. 251, 255. 121 Vgl. Golla, PinG 2014, S. 61 f.; Mayer-Schönberger/Cukier, S. 117 ff. 114
§ 16 Konkreter Lösungsansatz
243
In der aktuellen Debatte kursieren Definitionen des Begriffs Profiling, die an die beschriebenen Risiken anknüpfen. Nach einer Empfehlung des Ministerkomitees des Europarates soll unter Profiling ein „Verfahren der automatisierten Verarbeitung von Daten“ zu verstehen sein, „das darin besteht, einer natürlichen Person ein ‚Profil‘ zuzuordnen, um insbesondere Entscheidungen in Bezug auf ihre Person zu treffen oder um ihre persönlichen Vorlieben, Verhaltensweisen und Einstellungen zu analysieren oder vorherzusagen“122 . Der Begriff „Profil“ wird definiert als ein „Datensatz, der eine bestimmte Gruppe von Menschen charakterisiert und auf eine Einzelperson angewendet werden soll“123 . Die Definition des Europarates wurde von der Artikel 29 Datenschutzgruppe der EU aufgegriffen und weiter konkretisiert.124 Durch die Definition der Artikel 29 Datenschutzgruppe abgedeckt werden sollten etwa Bewegungsprofile aus den Standortdaten von Mobilgeräten, Profile in sozialen Netzwerken und Nutzungsprofile, die durch Web AnalyseWerkzeuge erstellt werden.125 In einer leicht abgewandelten Form wurde die Definition der Datenschutzgruppe in einen Vorschlag des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlamentes zur Änderung des Entwurfes der allgemeinen Datenschutzverordnung aufgenommen.126 So sollte nach dem Vorschlag in Art. 4 Abs. 3a der allgemeinen Datenschutzverordnung „Profiling“ definiert werden als „jede Form automatisierter Verarbeitung personenbezogener Daten, die zu dem Zweck vorgenommen wird, bestimmte personenbezogene Aspekte, die einen Bezug zu einer natürlichen Person haben, zu bewerten oder insbesondere die Leistungen der betreffenden Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort, ihre Gesundheit, ihre persönlichen Vorlieben, ihre Zuverlässigkeit oder ihr Verhalten zu analysieren oder vorauszusagen“.127 2. Übertragung auf das Strafrecht Die Definition des „Profiling“ im Entwurf der allgemeinen Datenschutzverordnung lässt sich als Ausgangspunkt für eine Eingrenzung des Tatobjektes anhand des Risikos der Bildung von Persönlichkeitsprofilen heranziehen. So könnten als taugliche personenbezogene Daten nur noch solche in Betracht kommen, die nicht allgemein zugänglich und unmittelbar dazu geeignet sind, die Leistungen einer Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort, ihre Gesundheit, ihre persönlichen Vorlieben, ihre Zuverlässigkeit oder ihr Verhalten zu analysieren oder vorauszusagen. Allerdings bliebe 122 Ministerkomitee, Empfehlung CM/Rec(2010)13 über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten im Zusammenhang mit Profiling, Anhang 1. e. 123 Ministerkomitee, Empfehlung CM/Rec(2010)13 über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten im Zusammenhang mit Profiling, Anhang 1. d. 124 Article 29 Working Party, Advice paper on essential elements of a definition and a provision on profiling within the EU General Data Protection Regulation vom 13. Mai 2013, S. 2 f. 125 Article 29 Working Party, Advice paper on essential elements of a definition and a provision on profiling within the EU General Data Protection Regulation vom 13. Mai 2013, S. 2; Article 29 Working Party, Opinion 01/2012 on the data protection reform proposals vom 23. März 2012, S. 14. 126 Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), Bericht über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) vom 22. November 2013, A7-0402/2013. 127 LIBE, Bericht, A7-0402/2013, S. 75.
244
4. Teil: Perspektiven des Datenschutzstrafrechts
auch durch diese Beschränkung noch ein überaus weites Spektrum personenbezogener Daten einbezogen. So kommen als personenbezogene Daten, die geeignet sind, die persönlichen Vorlieben einer Person, ihre Zuverlässigkeit oder ihr Verhalten zu analysieren weiterhin eine unbestimmte Vielzahl von Informationen in Betracht. Die Kriterien der persönlichen Vorlieben, der Zuverlässigkeit oder des Verhaltens allgemein sind derart vage, dass sie kaum eine Einschränkung bieten. Sie eigen sich daher vor den Hintergrund des strafrechtlichen Bestimmtheitsgebotes und des Verhältnismäßigkeitsgrundsatzes nicht zur Eingrenzung des Tatobjektes. Dagegen bietet die Eignung von personenbezogenen Daten zur Analyse oder Vorhersage der Leistungen einer Person bei der Arbeit, ihrer wirtschaftliche Situation, ihres Aufenthaltsortes oder ihrer Gesundheit konkrete Anhaltspunkte zur Eingrenzung anhand greifbarer Risiken. Ein Beispielfall soll veranschaulichen, inwiefern durch die Einschränkung des Tatobjektes die Strafbarkeit einschränkt wird. Fall 7: Das Fenster zum Hof Der O wohnt im Seitenflügel des Hinterhofes eines Berliner Altbaus. Jeden Abend nach der Tagesschau setzt er sich an seinen Schreibtisch und schaut aus dem Fenster hinüber zur anderen Seite des Hofes. Regelmäßig erblickt er dort hinter einem hell erleuchteten Fenster im dritten Stock die ihm bekannte Frau F, die sich vor einem Spiegel gründlich die Haare kämmt. Eines Tages beginnt O, sich die genauen Zeiten des Erscheinens und Haarekämmens der F in einer Tabelle in einem Excel-Dokument auf seinem Computer zu notieren. Auf der Weihnachtsfeier seiner Stammkneipe – so sein Plan – wird er die Liste den anwesenden Gästen präsentieren, um sich darüber lustig zu machen, wie eitel seine Nachbarin sei.
Nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 Var. 1 BDSG ist das Verhalten des O strafbar. Durch die Eintragung der Zeiten des Erscheinens und Haarekämmens der F erhebt er als nicht-öffentliche Stelle unter Einsatz einer Datenverarbeitungsanlage personenbezogene Daten. Die Angabe, wann und wie lange sich F die Haare kämmt, ist ein personenbezogenes Datum, das – da das Kämmen in ihrer Wohnung im dritten Stock stattfindet – auch nicht allgemein zugänglich ist. Auf eine Befugnis kann sich O, der kein berechtigtes Interesse an der Erhebung der Daten hat, nicht berufen. Damit greift das grundsätzliche Verbot des § 4 Abs. 1 BDSG und sein Handeln ist als unbefugt anzusehen. Sein Plan, die F anhand der erhobenen Daten zu diskreditieren begründet schließlich Schädigungsabsicht. Da der O die Daten einem weiteren Personenkreis zugänglich machen und zur Diskreditierung nutzen möchte, ist auch die Ausnahme von Anwendungsbereich des BDSG für den Umgang mit personenbezogenen Daten ausschließlich für persönliche oder familiäre Tätigkeiten gem. § 1 Abs. 2 Nr. 3 a. E. BDSG hier nicht einschlägig.128 Anders verhält es sich nach § 207 Abs. 1 StGB-E: Da das Verhalten der F zwar Rückschlüsse auf ihre persönlichen Vorlieben, aber nicht über ihre Leistungen bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort oder ihren Gesundheitszustand zulässt, taugen Informationen hierüber nicht als Tatobjekt des Straftatbestandes. Strafbar machen kann sich O in diesem Fall erst, wenn er die F tatsächlich diskreditiert – in diesem Fall können die §§ 185 ff. StGB greifen. Dieses Ergebnis erscheint eher sachgerecht als die Strafbarkeit nach geltendem Recht. So erscheinen das Verhalten und das Vorhaben des O nicht als gravierend genug, um über das Datenschutzstrafrecht eine Vorfeldstrafbarkeit zu begründen. 128
Dazu näher oben Dritter Teil § 9 IV. 3. und § 10 X. 3. b) aa).
§ 16 Konkreter Lösungsansatz
245
III. Tathandlung: Verschaffen Gegenüber §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG ist der Katalog der tauglichen Tathandlungen in § 207 Abs. 1 StGB-E wesentlich reduziert. Wie bereits dargestellt, ist der Katalog erfasster Tathandlungen bei den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG überaus weit,129 für den Normadressaten nicht in allen Fällen verständlich und von Redundanzen geprägt.130 Für das informationelle Selbstbestimmungsrecht ist insbesondere ein Umgang mit personenbezogenen Daten gefährlich, der zu einem Kontrollverlust des Betroffenen führt. Personenbezogene Daten lassen sich aufgrund ihrer immateriellen Natur leicht vervielfältigen und weitergeben.131 Werden personenbezogene Informationen einmal rechtswidrig verwendet bzw. geraten sie – beispielsweise über das Internet – unbefugt an die Öffentlichkeit, ist es für die Betroffenen in vielen Fällen faktisch kaum möglich, diese Folgen wieder zu beseitigen. Auch zivilrechtliche Ansprüche können hier nur bedingt Abhilfe schaffen.132 Das Strafrecht kann dementsprechend dort ansetzen, wo ein solcher Kontrollverlust begründet wird. Knüpft man an die derzeit geregelten Phasen des Umgangs mit Daten – das Erheben, Verarbeiten und Nutzen – an, ergibt sich das Risiko des Kontrollverlusts insbesondere auf der Ebene der Erhebung sowie der Übermittlung von Daten als Form der Verarbeitung. Anders ausgedrückt: Besonders risikoträchtig und strafrechtlich relevant sind solche Vorgänge, bei denen eine andere Person (oder eine Mehrzahl von Personen) Kenntnis von personenbezogenen Daten oder Verfügungsgewalt über diese erlangt. Durch das Verschaffen als Tathandlung werden sowohl die Erhebung von Daten als „sich verschaffen“ als auch die Übermittlung an einen anderen als „einem anderen verschaffen“ erfasst. Das (sich oder einem anderen) Verschaffen von Daten ist als Tathandlung im StGB begrifflich geläufig133 und daher den Begriffen des Erhebens und der Übermittlung vorzuziehen. Inhaltlich erfasst das Verschaffen als Zurkenntnisnahme von Daten oder die „Herstellung eines Zustandes, der es dem Täter erlaubt, die Daten später zur Kenntnis zu nehmen, sie zu nutzen oder sonst über sie zu verfügen, ohne dass die verantwortliche Stelle ihn daran noch hindern kann“134 . Diese kompaktere Fassung der Tathandlungen gegenüber den §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG erleichtert nicht nur das Verständnis der Vorschrift, sondern auch ihre Auslegung im Zusammenhang mit weiteren Straftatbeständen des StGB.
IV. Unbefugtes Handeln Ebenso wie §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG sieht § 207 Abs. 1 StGB-E vor, dass eine Handlung unbefugt erfolgen muss, um tatbestandsmäßig zu sein. Die Notwendigkeit, die datenschutzrechtlichen Befugnisnormen im strafrechtlichen Kontext extensiv 129 130 131 132 133 134
So auch Simitis/Ehmann, § 43 Rn. 11. Näher dazu oben Dritter Teil § 10 IV. 1. e) und 2. c). Vgl. Dreier, S. 61 f.; Weidner-Braun, S. 357. Vgl. Nolte, ZRP 2011, S. 236, 238 ff. Vgl. §§ 202b, 202c Abs. 1 StGB. Simitis/Ehmann, § 43 Rn. 64; dazu näher oben Dritter Teil § 10 IV. 1. b).
246
4. Teil: Perspektiven des Datenschutzstrafrechts
auszulegen,135 bleibt damit bestehen. Durch die Verankerung der Norm im StGB ist die Notwendigkeit einer eigenständigen Auslegung anhand spezifischer strafrechtlicher Kriterien jedoch leichter ersichtlich als zuvor.
V. Bereicherungs- oder Schädigungsabsicht Anders als §§ 44 Abs. 1 i. V. m. 43 Abs. 2 BDSG setzt § 207 Abs. 1 StGB-E zwar alternativ Bereicherungs- oder Schädigungsabsicht voraus, lässt aber eine Begehung gegen Entgelt nicht für ein strafbares Handeln ausreichen. Das Merkmal „gegen Entgelt“ wurde gestrichen, da es keine strafwürdigen Fälle erfasst, in denen nicht bereits Bereicherungsabsicht anzunehmen ist.136 Zudem werden durch die Streichung Unklarheiten bei den Normadressaten vermieden, was die Strafbarkeit von Handlungen betrifft, die im Rahmen eines Beschäftigungsverhältnisses durchgeführt werden.137
VI. Strafmaß Da das bestehende Strafmaß praktisch bisher nicht annähernd ausgeschöpft wurde und auch keine klaren Anhaltspunkte dafür bestehen, dass unter generalpräventiven Aspekten ein höheres Strafmaß notwendig ist, orientiert sich das Strafmaß des § 207 Abs. 1 StGB-E an der bisherigen Regelung in § 44 Abs. 1 BDSG.
VII. Relatives Antragserfordernis Ebenso wie § 44 Abs. 2 BDSG enthält § 207 Abs. 2 StGB-E ein Strafantragserfordernis. Dieses wurde jedoch im Gegensatz zu § 44 Abs. 2 BDSG als relatives Antragserfordernis ausgestaltet, um vor allem bei Datenschutzverstößen, die eine Mehrzahl von Personen betreffen, die für die einzelnen Betroffenen aber von (scheinbar) geringer Tragweite sind, eine effiziente strafrechtliche Verfolgung zu ermöglichen.138
135 136 137 138
Dazu oben Dritter Teil § 10 V. 2. c) cc). Dazu oben Dritter Teil § 10 VI. 5. Dazu oben Dritter Teil § 10 VI. 5. Dazu oben Dritter Teil § 13 II. 1. a).
Zusammenfassende Thesen 1. a) Das moderne Datenschutzrecht hat seine Wurzeln im Schutz der Geheim- und Privatsphäre. Es entwickelte sich aufgrund neuer Risiken, die durch die elektronische Datenverarbeitung für die Persönlichkeit und ihre Rechte entstanden. Die Geheim- und Privatsphäre werden auch durch das StGB geschützt. Als das Datenschutzrecht entstand, wurde seine strafrechtliche Komponente allerdings kaum in Beziehung zu den Regelungen zum Schutz des persönlichen Lebens- und Geheimbereiches im StGB gebracht. 1. b) Eine Ausnahme bildet § 203 Abs. 2 S. 2 StGB als kernstrafrechtliches Datenschutzdelikt. Allerdings entspricht die Vorschrift nicht den geltenden Grundprinzipien des Datenschutzrechts und hat praktisch kaum einen Anwendungsbereich. 1. c) Eine weitere Verankerung des strafrechtlichen Schutzes der informationellen Selbstbestimmung im Kernstrafrecht wäre allerdings sinnvoll. In die Richtung einer solchen geht die aktuelle Diskussion um die Einführung eines Straftatbestandes der Datenhehlerei. 2. Das verfassungsrechtlich geschützte Recht auf informationelle Selbstbestimmung bildet die Basis des Datenschutzrechts. Das im Volkszählungsurteil vom BVerfG erstmals formulierte Recht hat allerdings keine klaren Konturen und lässt sich teilweise nur schwer von anderen Bestandteilen des allgemeinen Persönlichkeitsrechts abgrenzen. Es wäre daher mit dem strafrechtlichen Bestimmtheitsgebot nicht vereinbar, das informationelle Selbstbestimmungsrecht umfassend durch einen Straftatbestand zu schützen. Gleichwohl könnte ein angepasster Schutz der informationellen Selbstbestimmung durch das Strafrecht sachgerecht sein. Ein Aspekt, der für die Ausgestaltung des strafrechtlichen Schutzes zu berücksichtigen ist, ist die steigende kommerzielle Bedeutung personenbezogener Daten. 3. Der Gesetzgeber hat grundsätzlich einen weiten Spielraum, um das Strafrecht zum Schutz der informationellen Selbstbestimmung einzusetzen. Weder aus der Verfassung, noch aus europäischen oder völkerrechtlichen Vorgaben ergibt sich eine zwingende Notwendigkeit, bestimmte Datenschutzverstöße durch das Strafrecht zu sanktionieren. Wenn auch eine Verpflichtung, Datenschutzverstöße strafrechtlich zu sanktionieren, nicht erforderlich ist, wäre doch eine gemeinsame Verständigung über Grundlagen des Datenschutzstrafrechts auf völkerrechtlicher Ebene wünschenswert. 4. a) Von Beginn der Datenschutzgesetzgebung an flankierten Strafvorschriften die Verhaltensnormen der Datenschutzgesetze. Strafbare Handlungen sind seit der Regelung des ersten BDSG von 1977 in erster Linie verschiedene Formen des unbefugten Umgangs mit personenbezogenen Daten. Die enge Anbindung der Strafvorschriften an die Verhaltensnormen ist Grundlage der Annahme einer weitgehenden Akzessorietät der Straftatbestände der Datenschutzgesetze zu den weiteren Regelungen der Gesetze, die für ihre Auslegung und Anwendung problematische Konsequenzen hat.
248
Zusammenfassende Thesen
4. b) Ein problematischer Aspekt ist die Bindung der Sanktionsnormen an den Anwendungsbereich des BDSG. So ist im Zusammenhang mit den §§ 43, 44 BDSG gegenwärtig unklar, ob deren Adressatenkreis durch den Adressatenkreis des BDSG insgesamt beschränkt wird. Dazu ist unklar und umstritten, wann die §§ 43, 44 BDSG anwendbar sind, wenn gleichzeitig bereichsspezifische Datenschutzregelungen ohne entsprechende Sanktionsnormen existieren. Es ist das strafrechtliche Bestimmtheitsgebot zu beachten, das der Anwendung der Straf- und Bußgeldvorschriften über den Anwendungsbereich der Verhaltensnormen des Gesetzes hinaus Grenzen setzt. Dadurch sind die §§ 43, 44 BDSG unanwendbar, wenn eine bereichsspezifische Regelung mit umfassendem Regelungsansatz einschlägig ist. Praktisch befriedigend ist dieses Ergebnis allerdings nicht, denn es drohen Strafbarkeitslücken und Wertungswidersprüche – so beispielsweise im Anwendungsbereich des TMG, das eine umfassende Datenschutzregelung für einen besonders riskanten Bereich, aber keine eigene Strafnorm vorsieht. 4. c) Des Weiteren stellt das normative Tatbestandsmerkmal „unbefugt“ in § 43 Abs. 2 Nr. 1–3 BDSG Rechtsanwender und Adressaten der Norm vor Schwierigkeiten. Es stellt einen Bezug der Strafbarkeit bzw. des ordnungswidrigen Verhaltens zu den Befugnisnormen des BDSG zum Umgang mit personenbezogenen Daten her. In vielen Fällen kann dabei nur anhand einer allgemeinen Interessenabwägung festgestellt werden, ob ein Umgang mit personenbezogenen Daten befugt geschieht. Dass eine solche allgemeine Interessenabwägung maßgeblich für die Erfüllung des objektiven Tatbestandes ist, steht im Konflikt mit dem strafrechtlichen Bestimmtheitsgebot. Die Befugnistatbestände des BDSG müssen im strafrechtlichen Kontext extensiv ausgelegt werden, damit datenverarbeitende Stellen ihre mögliche Strafbarkeit durch eine unbefugte Erhebung oder Verarbeitung personenbezogener Daten vorhersehen können. Dies führt zu einer gespaltenen Auslegung der Befugnisnormen im strafrechtlichen und außerstrafrechtlichen Kontext, da in letzterem eine extensive Auslegung nicht sachgerecht ist. 4. d) Ein ähnliches Problem besteht im Zusammenhang mit den Anforderungen der datenschutzrechtlichen Einwilligung, die ebenfalls im Zusammenhang mit dem Merkmal „unbefugt“ für die Strafbarkeit zu berücksichtigen sind. Das grundsätzliche Schriftformerfordernis gemäß § 4a Abs. 1 S. 3 BDSG bedarf im strafrechtlichen Kontext einer teleologischen Reduktion. Wenn die Einwilligung nicht schriftlich, aber eindeutig bewusst und freiwillig erfolgte, kann auf der fehlenden Schriftlichkeit keine Strafbarkeit begründet werden. 5. Vor allem angesichts der „ultima ratio“-Funktion des Strafrechts ist das Verhältnis des Strafrechts zu weiteren Sanktionen aus dem Ordnungswidrigkeiten-, Verwaltungsund Zivilrecht zu beachten, um einen sachgerechten und effizienten Einsatz des Strafrechts sicherzustellen. Im bestehenden Sanktionssystem ist das Potential zivilrechtlicher und verwaltungsrechtlicher Sanktionen sehr begrenzt. Im Zivilrecht ist dies unter anderem auf die Schwierigkeit zurückzuzuführen, Ersatz für immaterielle Schäden bei Datenschutzverstößen zu erlangen. Im Verwaltungsrecht ist die Möglichkeit, bei der unbefugten Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufsichtsbehördliche Anordnungen gemäß § 38 Abs. 5 BDSG als Sanktionen zu erlassen, praktisch erst wenig erprobt. 6. a) Eher als das Zivilrecht und eher als die aufsichtsbehördlichen Maßnahmen kann das Ordnungswidrigkeitenrecht zur effektiven Sanktionierung von Datenschutzverstößen
Zusammenfassende Thesen
249
dienen. Eine Ahndung des unbefugten Erhebens und Verarbeitens von personenbezogenen Daten ist nach § 43 Abs. 2 BDSG umfassend möglich. 6. b) Durch die gesetzlich vorgesehenen Geldbußen kann das Ordnungswidrigkeitenrecht zur Befolgung der Verhaltensnormen des BDSG beitragen. Allerdings bestehen aufgrund der Regelung der Zuständigkeit zur Verfolgung von Ordnungswidrigkeiten Bedenken, die Sanktionierung von Datenschutzverstößen im Wesentlichen dem Ordnungswidrigkeitenrecht zu überlassen. Die unabhängigen Datenschutzbehörden sind ebenso Bußgeldbehörden wie Aufsichtsbehörden. Ihre Arbeit ist von einem kooperativen Ansatz geprägt, der sich auch auf die Sanktionstätigkeit auswirkt. Dies führt zu Zielkonflikten, die der angemessenen Verfolgung gravierender Datenschutzverstöße entgegenstehen könnten. Hinzu kommt, dass die Sanktionstätigkeit der Datenschutzbehörden einer demokratisch legitimierten Kontrolle zunächst entzogen ist. 6. c) Von besonderer Bedeutung ist vor diesem Hintergrund die Abgrenzung von Ordnungswidrigkeiten- und Strafrecht zur Sanktionierung von Datenschutzverstößen. Im BDSG und den Datenschutzgesetzen vieler Länder sind Straftaten und Ordnungswidrigkeiten verknüpft miteinander geregelt. Im Jahre 2001 wurde das Spektrum der strafbedrohten Handlungen im BDSG durch die Einführung der Voraussetzung eines Handelns mit Entgelt oder der Absicht zur Schädigung oder Bereicherung mit dem Ziel einer „Entkriminalisierung“ eingeschränkt. So entstand die Regelung des heutigen § 44 Abs. 1 BDSG als unechter Mischtatbestand. 6. d) Die Merkmale des § 44 Abs. 1 BDSG sind dabei nur mit Einschränkungen dazu geeignet, eine Abgrenzung des strafwürdigen Unrechts vom ordnungswidrigen Verhalten zu leisten. Die subjektiven Merkmale der Absicht zur Schädigung oder Bereicherung sind schwieriger nachzuweisen und tragen weniger zur Konturiertheit der Tatbestände bei als objektive Merkmale dies vermögen. Das Merkmal der Entgeltlichkeit ist neben dem Merkmal der Bereicherungsabsicht nicht geeignet, weitere strafwürdige Fälle zu erfassen. 7. a) Auch angesichts der weitreichenden Sanktionsmöglichkeiten des Ordnungswidrigkeitenrechts ist es möglich und angebracht, den Einsatz des Strafrechts auf einen Kernbestand von Datenschutzverstößen zu begrenzen. 7. b) Die Risiken, die für die Persönlichkeit durch dem missbräuchlichen Umgang mit personenbezogenen Daten drohen, sind abstrakt. Daher kommt im Datenschutzstrafrecht die „bewusstseinsbildende Funktion“ des Strafrechts besonders zum Tragen. Es kommt darauf an, dem strafwürdigen Unrecht klare Konturen zu verleihen und die besonderen Risiken von Datenschutzverstößen zu illustrieren. 7. c) Einen Ansatzpunkt für die Beschränkung des Datenschutzstrafrechts auf einen Kernbestand bietet das Risiko der Bildung von Persönlichkeitsprofilen als eine Art „Obergrenze“ des Datenschutzrechts. Die Zusammenführung von Daten zur systematischen Analyse und Vorhersage des Verhaltens von Personen beschreibt eine zentrale Gefahr. Eine Einschränkung des Datenschutzstrafrechts anhand dieser Gefahr ist durch die Einschränkung des tauglichen Tatobjektes auf nicht allgemein zugängliche personenbezogene Daten möglich, die dazu geeignet sind, die Leistungen einer Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort oder ihren Gesundheitszustand systematisch zu analysieren oder vorauszusagen.
250
Zusammenfassende Thesen
8. a) Neben der Rückführung des Datenschutzstrafrechts auf einen Kernbestand ist auch die Einführung eines zentralen Datenschutzstraftatbestandes im StGB angemessen. Eine solche Regelung würde an Stelle der Straftatbestände des BDSG und der Landesdatenschutzgesetze treten. Auch § 203 Abs. 2 S. 2 StGB könnte in der Folge gestrichen werden. 8. b) Die Regelung im StGB würde zu einer höheren Bekanntheit der Norm im Vergleich zu den bisherigen Straftatbeständen der Datenschutzgesetze und einem geschärftem Bewusstsein der Strafbarkeit führen. Dadurch könnte die Beachtung des Datenschutzrechts gestärkt und die Anwendung der Strafvorschrift erhöht werden. 8. c) Zudem wäre die Regelung im StGB geeignet, wesentlichen Probleme der Akzessorietät der Straftatbestände der Datenschutzgesetze aufzulösen. Erstens würden die Unklarheiten im Anwendungsbereich der §§ 43, 44 BDSG beseitigt: Ein kernstrafrechtlicher Tatbestand wäre auch anwendbar, wenn bereichsspezifische Datenschutzregeln einschlägig sind und nicht durch den Anwendungsbereich des BDSG beschränkt. Zweitens könnte die Annahme einer engen Bindung an die Verhaltensnormen der Datenschutzgesetze zugunsten einer „funktionalen Akzessorietät“ aufgegeben werden. Die eigenständige Regelung im StGB würde auch eine eigenständige, strafrechtsspezifische Auslegung des Merkmals „unbefugt“ nahelegen.
Literaturverzeichnis Ahrens, Heinrich: Naturrecht, oder Philosophie des Rechts und des Staates, Auf dem Grund des ethischen Zusammenhangs von Recht und Cultur, Wien 1871. Albers, Marion: Informationelle Selbstbestimmung, Baden-Baden 2005. Albrecht, Peter-Alexis: Der Weg in die Sicherheitsgesellschaft, Auf der Suche nach staatskritischen Absolutheitsregeln, Berlin 2010. Alexander, Christian: Schadensersatz und Abschöpfung im Lauterkeits- und Kartellrecht, Privatrechtliche Sanktionsinstrumente zum Schutz individueller und überindividueller Interessen im Wettbewerb, Tübingen 2010. Alternativ-Entwurf eines Strafgesetzbuches: Besonderer Teil, Straftaten gegen die Person, Zweiter Halbband, Tübingen 1971 (zitiert: AE StGB). Appel, Ivo: Verfassung und Strafe, Zu den verfassungsrechtlichen Grenzen staatlichen Strafens, Berlin 1998. Arzt, Gunther: Der strafrechtliche Schutz der Intimsphäre, Vom zivilrechtlichen Persönlichkeitsschutz aus betrachtet, Tübingen 1970. – Die Ahndung von Verstößen gegen den Datenschutz, in: Schimmelpfeng GmbH (Hrsg.): Aktuelle Beiträge über den Datenschutz, Frankfurt am Main 1977, S. 127–136 (zitiert: Arzt, in: Schimmelpfeng). Arzt, Gunther/Weber, Ulrich/Heinrich, Bernd/Hilgendorf, Eric: Strafrecht Besonderer Teil, Lehrbuch, 2. Aufl., Bielefeld 2009. Auernhammer, Herbert: BDSG, Bundesdatenschutzgesetz und Nebengesetze, herausgegeben von Eßer, Martin; Kramer, Philipp; von Lewinski, Kai, 4. Aufl., Köln 2014 (zitiert: Auernhammer/ Bearbeiter). Austermühle, Gisa: Zur Entstehung und Entwicklung eines persönlichen Geheimsphärenschutzes vom Spätabsolutismus bis zur Gesetzgebung des Deutschen Reiches, Berlin 2002. Backes, Otto: Umweltstrafrecht, in: JZ, 1973, S. 337–342. Baeriswyl, Bruno: Data Mining und Data Warehousing, Kundendaten als Ware oder geschütztes Gut? in: RDV, 2000, S. 6–11. Balthasar, Stephan: Der Schutz der Privatsphäre im Zivilrecht, Eine historisch-vergleichende Untersuchung zum deutschen, französischen und englischen Recht vom ius commune bis heute, Tübingen 2006. Balzer, Thomas/Nugel, Michael: Observierungen und Datenschutz, Rechtliche Grenzen und Verwertbarkeit von Ermittlungsergebnissen, in: NJW, 2013, S. 3397–3403. – Minikameras im Straßenverkehr, Datenschutzrechtliche Grenzen und zivilprozessuale Verwertbarkeit der Videoaufnahmen, in: NJW, 2014, S. 1622–1628. Bär, Wolfgang: Straftaten und Ordnungswidrigkeiten gegen den Datenschutz, in: Roßnagel, Alexander (Hrsg.): Handbuch Datenschutzrecht, München 2003, S. 912–948 (zitiert: Bär, in: Roßnagel). Barnitzke, Benno: EU-Kommission: Vorschläge zur Novellierung der Datenschutzrichtlinie, in: MMR-Aktuell, 2010, 311218. Bayerisches Landesamt für Datenschutzaufsicht: Tätigkeitsbericht 2011/2012, Ansbach 2013 (zitiert: LDA Bayern, Bericht 2011/2012). Beck, Ulrich: Risikogesellschaft, Auf dem Weg in eine andere Moderne, Frankfurt am Main 1986.
252
–
Literaturverzeichnis
Einleitung, in: Beck, Ulrich (Hrsg.): Politik in der Risikogesellschaft, Frankfurt am Main 1991, S. 9–29 (zitiert: Beck, in: Politik in der Risikogesellschaft). Beck’scher Online-Kommentar StGB: herausgegeben von Heintschel-Heinegg, Bernd von, 25. Aufl., München 2014 (zitiert: BeckOK-StGB/Bearbeiter). Beisenherz, Gerhard/Tinnefeld, Marie-Theres: Aspekte der Einwilligung, Zivil- und strafrechtliche Bezüge der Einwilligung im Datenschutzrecht, in: DuD, 2011, S. 110–115. Beling, Ernst: Wesen, Strafbarkeit und Beweis der üblen Nachrede, Dogmatisch-kritische Erörterungen zum Kapitel des Ehrenschutzes mit besonderer Berücksichtigung des Entwurfs einer Novelle zum Strafgesetzbuch, Tübingen 1909. Benda, Ernst: Das Recht auf informationelle Selbstbestimmung und die Rechtsprechung des Bundesverfassungsgerichts zum Datenschutz, in: DuD, 1984, S. 86–90. Bendrath, Ralf: Der „gläserne Bürger“ und der vorsorgliche Staat, Zum Verhältnis von Überwachung und Sicherheit in der Informationsgesellschaft, in: kommunikation@gesellschaft, 2007, Beitrag 7. Bergt, Matthias: Schutz personenbezogener Daten bei der E-Mail-Bestätigung von Online-Bestellungen, in: NJW, 2011, S. 3752–3758. Berliner Beauftragter für Datenschutz und Informationsfreiheit: Datenschutz und Informationsfreiheit, Bericht 2009, Berlin 2010 (zitiert: LfDI Berlin, Bericht 2009). – Datenschutz und Informationsfreiheit, Bericht 2010, Berlin 2011 (zitiert: LfDI Berlin, Bericht 2010). – Datenschutz und Informationsfreiheit, Bericht 2011, Berlin 2012 (zitiert: LfDI Berlin, Bericht 2011). – Datenschutz und Informationsfreiheit, Bericht 2012, Berlin 2013 (zitiert: LfDI Berlin, Bericht 2012). – Datenschutz und Informationsfreiheit, Bericht 2013, Berlin 2014 (zitiert: LfDI Berlin, Bericht 2013). – Datenschutz und Informationsfreiheit, Bericht 2014, Berlin 2015 (zitiert: LfDI Berlin, Bericht 2014). Berlinghoff, Marcel: Computerisierung und Privatheit, Historische Perspektiven, in: APuZ, 2013, S. 14–19. Bestmann, Sylle: „Und wer muss zahlen?“, Datenschutzrecht im Internet, die Bußgeldvorschriften, in: K&R, 2003, S. 496–502. Binder, Jörg: Strafbarkeit intelligenten Ausspähens von programmrelevanten DV-Informationen, Marburg 1994. – Computerkriminalität und Datenfernübertragung, Teil II, in: RDV, 1995, S. 116–123. Binding, Karl: Die Normen und ihre Übertretung, Eine Untersuchung über die rechtmässige Handlung und die Arten des Delikts, Leipzig 1872. Bock, Dennis/Wilms, Stephan: Die Verletzung von Privatgeheimnissen (§ 203 StGB), in: JuS, 2011, S. 24–28. Bohnen, Simon: Die BDSG-Novellen 2009/2010, Kritische Bestandsaufnahme und weiterer Reformbedarf, Berlin, Münster 2011. Böxler, Bernhard: Markenstrafrecht, Tübingen 2013. Brodowski, Dominik: Anmerkung zu BGH, Urteil v. 4.6.2013 – 1 StR 32/13, in: JR, 2014, S. 87–93. Buchner, Benedikt: Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006. – Die Einwilligung im Datenschutzrecht, vom Rechtfertigungsgrund zum Kommerzialisierungsinstrument, in: DuD, 2010, S. 39–43. Büermann, Wulf: Landesdatenschutzgesetz Rheinland-Pfalz, Kommentar, 2. Aufl., Mainz 1995.
Literaturverzeichnis
253
Bull, Hans Peter: Zweifelsfragen um die informationelle Selbstbestimmung, Datenschutz als Datenaskese? in: NJW, 2006, S. 1617–1624. – Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, in: NVwZ, 2011, S. 257–263. Büllesbach, Alfred: Das neue Bundesdatenschutzgesetz, in: NJW, 1991, S. 2593–2600. Bundeskriminalamt: Polizeiliche Kriminalstatistik 1993 –2013, Bundesrepublik Deutschland, Wiesbaden 1994–2014 (zitiert: BKA, PKS [Jahr]). Bundesminister des Inneren: Dokumentation einer Anhörung zum Referentenentwurf eines BundesDatenschutzgesetzes vom 7. bis 9. November 1972, Bonn 1973 (zitiert: BMI, Dokumentation). Bunzel, Michael: Die Potenz des verfassungsrechtlichen Verhältnismäßigkeitsprinzips als Grenze des Rechtsgüterschutzes in der Informationsgesellschaft, in: Hefendehl, Roland/Hirsch, Andrew von/Wohlers, Wolfgang (Hrsg.): Die Rechtsgutstheorie, Baden-Baden 2003, S. 96–119 (zitiert: Bunzel, in: Die Rechtsgutstheorie). Canaris, Claus-Wilhelm: Grundrechte und Privatrecht, in: AcP, 184 (1984), S. 201–246. Cornelius, Kai: Besonderheiten des Straf- und Strafprozessrechts, in: Leupold, Andreas/Glossner, Silke (Hrsg.): Münchener Anwaltshandbuch IT-Recht, München 2013, S. 965–1084 (zitiert: Cornelius, in: Leupold/Glossner). – Schneidiges Datenschutzrecht: Zur Strafbarkeit einer GPS-Überwachung, in: NJW, 2013, S. 3340–3343. Dammann, Ulrich: Das neue Bundesdatenschutzgesetz, in: NVwZ, 1991, S. 640–643. Dammann, Ulrich/Simitis, Spiros: EG-Datenschutzrichtlinie, Kommentar, Baden-Baden 1997. Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo: Bundesdatenschutzgesetz, Kompaktkommentar zum BDSG, 4. Aufl., Frankfurt am Main 2014 (zitiert: DKWW/Bearbeiter). Degenhart, Christoph: Das allgemeine Persönlichkeitsrecht, Art. 2 Abs. 1 i.V. mit Art. 1 Abs. 1 GG, in: JuS, 1992, S. 361–368. Der Bayerische Landesbeauftragte für den Datenschutz: 25. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, abrufbar unter www.datenschutz-bayern.de/tbs/tb25/tb25.pdf, OnlinePublikation 2013 (zitiert: LfD Bayern, Bericht 2011/2012). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): 25 Jahre Volkszählungsurteil, Datenschutz – Durchstarten in die Zukunft! Rheinbach 2009 (zitiert: BfDI, 25 Jahre Volkszählungsurteil). – Tätigkeitsbericht zum Datenschutz für die Jahre 2009 und 2010, 23. Tätigkeitsbericht, Bonn 2011 (zitiert: BfDI, Bericht 2009/2010). – Tätigkeitsbericht zum Datenschutz für die Jahre 2011 und 2012, 24. Tätigkeitsbericht, Bonn 2013 (zitiert: BfDI, Bericht 2011/2012). Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Datenschutz Tätigkeitsbericht 2010 2011, Hamburg 2012 (zitiert: LfDI Hamburg, Bericht 2010/2011). – Datenschutz Tätigkeitsbericht 2012/2013, Hamburg 2014 (zitiert: LfDI Hamburg, Bericht 2012/ 2013). Der hessische Datenschutzbeauftragte: 41. Tätigkeitsbericht 2012, Wiesbaden 2013 (zitiert: LfD Hessen, Bericht 2012). – 42. Tätigkeitsbericht 2013, Wiesbaden 2014 (zitiert: LfD Hessen, Bericht 2013). Der Landesbeauftragte für den Datenschutz Niedersachsen: XX. Tätigkeitsbericht, des Landesbeauftragten für den Datenschutz Niedersachsen für die Jahre 2009–2010, Hannover 2011 (zitiert: LfD Niedersachsen, Bericht 2009/2010). Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz: Datenschutzbericht 2008/2009, Zweiundzwanzigster Tätigkeitsbericht nach § 29 Abs. 2 Landesdatenschutzgesetz (LDSG) für die Zeit vom 1. Oktober 2007 bis 30. September 2009, Mainz 2010 (zitiert: LfDI RP, Bericht 2007–2009).
254
Literaturverzeichnis
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz: Datenschutzbericht 2010/2011, Dreiundzwanzigster Tätigkeitsbericht nach § 29 Abs. 2 Landesdatenschutzgesetz (LDSG) für die Zeit vom 1. Oktober 2009 bis 31. Dezember 2011, Mainz 2012 (zitiert: LfDI RP, Bericht 2010/2011). – Datenschutzbericht 2012/2013, Mainz 2014 (zitiert: LfDI RP, Bericht 2012/2013). Deutscher Juristentag e.V.: Beschlüsse des 69. Deutschen Juristentags 2012, Bonn 2012 (zitiert: 69. DJT, Beschlüsse). Di Martino, Alessandra: Datenschutz im europäischen Recht, Baden-Baden 2005. Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen: 35. Jahresbericht der Landesbeauftragten für Datenschutz, Berichtsjahr 2012, Bremen 2013 (zitiert: LfDI Bremen, Bericht 2012). Dietmeier, Frank: Blankettstrafrecht, Ein Beitrag zur Lehre vom Tatbestand, Marburg 2002. Dix, Alexander: Persönlichkeits- und Datenschutz im Internet, Anforderungen und Grenzen einer Regulierung, in: DuD, 2013, S. 44–45. Dörner, Heinrich: Zur Dogmatik der Schutzgesetzverletzung, Entscheidungsrezension BGH, NJW 1982, 1037 und NJW 1985, 134, in: JuS, 1987, S. 522–528. Dreier, Thomas: Kompensation und Prävention, Rechtsfolgen der unerlaubten Handlung im Bürgerlichen, Immaterial-, Güter- und Wettbewerbsrecht, Tübingen 2002. Duhigg, Charles: The Power of Habit, Why We Do What We Do, and How to Change, New York 2012. Dworatschek, Sebastian: Grundlagen der Datenverarbeitung, Einschliesslich Mikrocomputer, 7. Aufl., Berlin 1986. Eberle, Carl-Eugen: Organisation der automatisierten Datenverarbeitung in der öffentlichen Verwaltung, Eine Untersuchung unter besonderer Berücksichtigung organisationsrechtlicher Fragen, Berlin 1976. Eckhardt, Jens/Kramer, Rudi/Mester, Britta Alexandra: Auswirkungen der geplanten EU-DS-GVO auf den deutschen Datenschutz, in: DuD, 2013, S. 623–630. Eckhardt, Jens/Schmitz, Peter: Informationspflicht bei „Datenschutzpannen“, in: DuD, 2010, S. 390–397. Ehmann, Eugen: Bußgelder, behördliche Anordnungen, Verbandsklagen – wie lässt sich Datenschutz am besten durchsetzen? Editorial, in: ZD, 2014, S. 493–494. Ehmann, Eugen/Helfrich, Marcus: EG Datenschutzrichtlinie, Kurzkommentar, Köln 1999. Eifert, Martin: Informationelle Selbstbestimmung im Internet, Das BVerfG und die OnlineDurchsuchungen, in: NVwZ, 2008, S. 521–523. Eisele, Jörg: Compliance und Datenschutzstrafrecht, Strafrechtliche Grenzen der Arbeitnehmerüberwachung, Baden-Baden 2012. Enderle, Bettina: Blankettstrafgesetze, Verfassungs- und strafrechtliche Probleme von Wirtschaftsstraftatbeständen, Frankfurt am Main 2000. Erbs, Georg/Kohlhaas, Max: Strafrechtliche Nebengesetze, herausgegeben von Ambs, Friedrich, 200. Aufl., München 2014 (zitiert: Erbs/Kohlhaas/Bearbeiter). Feuerbach, Paul Johann Anselm von: Lehrbuch des gemeinen in Deutschland gültigen peinlichen Rechts, Gießen 1847. Friedlaender, Adolph: Die Verletzung des Briefgeheimnisses, in: ZStW, 16 (1896), S. 756–789. Frisch, Wolfgang: An den Grenzen des Strafrechts, in: Küper, Wilfried/Welp, Jürgen (Hrsg.): Beiträge zur Rechtswissenschaft, Heidelberg 1993, S. 69–106 (zitiert: Frisch, in: FS Stree/Wessels 1993). Gaede, Karsten: Der unvermeidbare Verbotsirrtum des anwaltlich beratenen Bürgers – eine Chimäre? in: HRRS, 2013, S. 449–464.
Literaturverzeichnis
255
Gallas, Wilhelm: Der Schutz der Persönlichkeit im Entwurf eines Strafgesetzbuches (E 1962), in: ZStW, 75 (1963), S. 16–42. Geiger, Andreas: Die Einwilligung in die Verarbeitung von persönlichen Daten als Ausübung des Rechts auf informationelle Selbstbestimmung, in: NVwZ, 1989, S. 35–38. – Datenschutzrechtliche Ansätze im deutschen Konstitutionalismus des 19. Jahrhunderts, in: NVwZ, 1994, S. 662–664. Genz, Alexander: Datenschutz in Europa und den USA, Eine rechtsvergleichende Untersuchung unter besonderer Berücksichtigung der Safe-Harbor-Lösung, Wiesbaden 2004. Geppert, Martin/Schütz, Raimund: Beck’scher TKG-Kommentar, Telekommunikationsgesetz, 4. Aufl., München 2013 (zitiert: Geppert/Schütz/Bearbeiter). Gierke, Otto von: Deutsches Privatrecht, Erster Band. Allgemeiner Teil und Personenrecht. Leipzig 1895. Giesen, Thomas/Bannasch, Bernhard/Naumann, Tino/Mauersberger, Thomas/Dehoust, Thomas: Kommentar zum Sächsischen Datenschutzgesetz, Münster 2011 (zitiert: GBNMD/Bearbeiter). Gola, Peter: Zwei Jahre neues Bundesdatenschutzgesetz, Zur Entwicklung des Datenschutzrechts seit 1991, in: NJW, 1993, S. 3109–3118. – Die Entwicklung des Datenschutzrechts in den Jahren 1999/2000, in: NJW, 2000, S. 3749–3757. – Der neue strafrechtliche Schutz vor unbefugten Bildaufnahmen im Lichte der Zulässigkeits- und Straftatbestände des BDSG, in: RDV, 2004, S. 215–217. Gola, Peter/Klug, Christoph: Die Entwicklung des Datenschutzrechts in den Jahren 2008/2009, in: NJW, 2009, S. 2577–2583. – Die Entwicklung des Datenschutzrechts in den Jahren 2010/2011, in: NJW, 2011, S. 2484–2491. Gola, Peter/Klug, Christoph/Körffer, Barbara/Schomerus, Rudolf: Bundesdatenschutzgesetz, BDSG; Kommentar, 12. Aufl., München 2015 (zitiert: Gola/Schomerus). Golla, Sebastian J.: Abgenickt von Algorithmik, Aktuelles zum Verbot automatisierter Entscheidungen, in: PinG, 2014, S. 61–65. Golla, Sebastian J./Mühlen, Nicolas von zur: Der Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei, Zur Legitimation und Zweckmäßigkeit eines allgemeinen Perpetuierungsdeliktes im Informationsstrafrecht, in: JZ, 2014, S. 668–674. Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin: Das Recht der Europäischen Union, herausgegeben von Nettesheim, Martin, 40. Aufl., München 2009 (zitiert: Grabitz/Hilf/Bearbeiter). Gröblinghoff, Stefan: Die Verpflichtung des deutschen Strafgesetzgebers zum Schutz der Interessen der Europäischen Gemeinschaften, Heidelberg 1996. Gurlit, Elke: Verfassungsrechtliche Rahmenbedingungen des Datenschutzes, in: NJW, 2010, S. 1035–1041. Haft, Fritjof: Zur Situation des Datenschutzstrafrechts, in: NJW, 1979, S. 1194–1197. – Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität (2. WiKG), Teil 2: Computerdelikte, in: NStZ, 1987, S. 6–10. Hagemeier, Stefanie: Das Google WLAN-Scanning aus straf- und datenschutzrechlicher Sicht, in: HRRS, 2011, S. 72–79. Hanloser, Stefan: Die BDSG-Novelle II: Neuregelungen zum Kunden- und Arbeitnehmerdatenschutz, in: MMR, 2009, S. 594–599. Hantschel, Sascha Piere: Die strafrechtliche Unterlassungsverantwortlichkeit eines betrieblichen Datenschutzbeauftragten, Hamburg 2015. Härting, Niko: Internetrecht, 5. Aufl., Köln 2014. Hasse, Irina: Strafrechtlicher Schutz zur Gewährleistung der Datensicherheit, in: Neue Justiz, 1989, S. 97–99.
256
Literaturverzeichnis
Hassemer, Winfried: Theorie und Soziologie des Verbrechens, Ansatz zu einer praxisorientierten Rechtsgutslehre, Frankfurt am Main 1980 (zitiert: Hassemer, Theorie). – Kennzeichen und Krisen des modernen Strafrechts, in: ZRP, 1992, S. 378–383. – Strafrecht. Sein Selbstverständnis, seine Welt, Berlin 2008 (zitiert: Hassemer, Strafrecht). Hecker, Bernd: Europäisches Strafrecht, 4. Aufl., Berlin, Heidelberg 2012. Heckmann, Dirk: Anonymität der IT-Nutzung und permanente Datenverknüpfung als Herausforderungen für Ehrschutz und Profilschutz, in: NJW, 2012, S. 2631–2635. Hefendehl, Roland: Der fragmentarische Charakter des Strafrechts, in: JA, 2011, S. 401–406. Heghmanns, Michael: Grundzüge einer Dogmatik der Straftatbestände zum Schutz von Verwaltungsrecht oder Verwaltungshandeln, Berlin 2000 (zitiert: Heghmanns, Grundzüge). – Strafrecht für alle Semester, Besonderer Teil, Grund- und Examenswissen kritisch vertieft, Berlin 2009 (zitiert: Heghmanns, Strafrecht). – Straftaten gegen die betriebliche Datenverarbeitung, in: Achenbach, Hans (Hrsg.): Handbuch Wirtschaftsstrafrecht, Heidelberg 2012 (zitiert: Heghmanns, in: Achenbach). Heghmanns, Michael/Niehaus, Holger: Datenschutz und strafrechtliche Risiken beim Outsourcing durch private Versicherungen, in: wistra, 2008, S. 161–167. Heinrich, Bernd: Die Entgegennahme von raubkopierter Software als Hehlerei? in: JZ, 1994, S. 938–945. – Der Irrtum über normative Tatbestandsmerkmale, in: Heinrich, Manfred/Jäger, Christian/Achenbach, Hans/Amelung, Knut/Bottke, Winfried/Haffke, Bernhard/Schünemann, Bernd/ Wolter, Jürgen (Hrsg.): Festschrift für Claus Roxin zum 80. Geburtstag am 15. Mai 2011, Berlin, New York 2011, S. 449–465 (zitiert: Heinrich, in: FS Roxin 2011). – Aufnahme der Strafvorschriften des Urheberstrafrechts ins StGB? in: Bullinger, Winfried/ Wöhrn, Kirsten-Inger/Grunert, Eike/Ohst, Claudia (Hrsg.): Festschrift für Artur-Axel Wandtke zum 70. Geburtstag am 26. März 2013, Berlin, Boston 2013, S. 413–429 (zitiert: Heinrich, in: FS Wandtke 2013). Helfrich, Marcus: Teil 16.1. Einführung und Grundbegriffe des Datenschutzes, in: Hoeren, Thomas/ Sieber, Ulrich/Holznagel, Bernd (Hrsg.): Handbuch Multimedia-Recht, München 2014 (zitiert: Helfrich, in: Hoeren/Sieber 2014). Henke, Ferdinand: Die Datenschutzkonvention des Europarates, Frankfurt am Main 1986. Henkel, Heinrich: Der Strafschutz des Privatlebens gegen Indiskretion, Gutachten für den 42. Deutschen Juristentag, in: Ständige Deputation des Deutschen Juristentages (Hrsg.): Verhandlungen des 42. Deutschen Juristentags, Band 2, Tübingen 1959, S. D 59–D 145 (zitiert: Henkel, in 42. DJT). Herb, Armin: Verweisungsfehler im Datenschutz-Strafrecht, Eine empirische Untersuchung der Datenschutz-Kriminalität mit Reformvorschlägen, Braunschweig 1986. Herrmann, Joachim: Die Rolle des Strafrechts beim Umweltschutz in der Bundesrepublik Deutschland, in: ZStW, 91 (1979), S. 281–308. Herzog, Felix: Risikogesellschaft, Risikostrafrecht, Risikoregulierung, Über das Strafrecht hinausweisende Perspektiven, in: Neumann, Ulfrid/Prittwitz, Cornelius (Hrsg.): Kritik und Rechtfertigung des Strafrechts, Frankfurt am Main, New York 2005, S. 117–130 (zitiert: F. Herzog, in: Neumann/Prittwitz). Herzog, Roman/Rothert, Hans-Joachim: Der Mensch des technischen Zeitalters in Recht und Theologie, in: Evangelisches Staatslexikon (Hrsg.): herausgegeben von Kunst, Hermann; Grundmann, Siegfried; Schneemelcher, Wilhelm; Herzog, Roman, Stuttgart 1966, S. XXI–LXIV (zitiert: R. Herzog/Rothert, in: Evangelisches Staatslexikon). Hesel, Gerd Johannes: Untersuchungen zur Dogmatik und den Erscheinungsformen „modernen“ Strafrechts, Marburg 2004.
Literaturverzeichnis
257
Hessischer Datenschutzbeauftragter: Erster Tätigkeitsbericht, vorgelegt zum 31. März 1972, Wiesbaden 1972 (zitiert: LfD Hessen, Bericht 1971/1972). Hilgendorf, Eric/Valerius, Brian: Computer- und Internetstrafrecht, Ein Grundriss, 2. Aufl., Heidelberg, Dordrecht, London, New York 2012. Hoeren, Thomas: Das neue Computerstrafrecht der DDR, in: CR, 1989, S. 1109–1112. –
Datenschutz als Wettbewerbsvorteil, Überlegungen zur aktuellen Facebook-Diskussion, in: Greipl, Erich (Hrsg.): 100 Jahre Wettbewerbszentrale, Frankfurt am Main 2012, S. 135–145 (zitiert: Hoeren, in: Greipl).
Hoffmann-Holland, Klaus/Singelnstein, Tobias: Rechtsgut und Bestimmtheit im strafrechtlichen Persönlichkeitsschutz am Beispiel der §§ 201a, 238 StGB, in: Kunig, Philip/Nagata, Makoto (Hrsg.): Persönlichkeitsschutz und Eigentumsfreiheit in Japan und Deutschland, Köln and München 2009, S. 155–166 (zitiert: Hoffmann-Holland/Singelnstein, in: Kunig/Nagata). Hoffmann-Riem, Wolfgang: Datenschutz als Schutz eines diffusen Interesses in der Risikogesellschaft, in: Krämer, Ludwig/Micklitz, Hans-W/Tonner, Klaus/Reich, Norbert (Hrsg.): Law and diffuse interests in the European legal order, Liber amicorum Norbert Reich, Baden-Baden 1997, S. 777–788 (zitiert: Hoffmann-Riem, in: FS Reich 1997). Höft, Hinrich: Straf- und Ordnungswidrigkeitenrecht im Bundesdatenschutzgesetz, Köln 1986. Hohmann, Olaf: Gedanken zur Akzessorietät des Strafrechts, in: ZIS, 2007, S. 38–48. Hohn, Hans-Willy: „Big Science“ als angewandte Grundlagenforschung, Probleme der informationstechnischen Großforschung im Innovationssystem der „langen“ siebziger Jahre, in: Ritter, Gerhard Albert/Szöllösi-Janze, Margit/Trischler, Helmuth (Hrsg.): Antworten auf die amerikanische Herausforderung, Frankfurt, New York 1999, S. 50–81 (zitiert: Hohn, in: Ritter/Szöllösi-Janze/ Trischler). Holländer, Corinna: Datensündern auf der Spur, Bußgeldverfahren ungeliebtes Instrument der Datenschutzaufsichtsbehörden? in: RDV, 2009, S. 215–222. Hölters, Wolfgang: Aktiengesetz, Kommentar, 2. Aufl., München 2014 (zitiert: Hölters/Bearbeiter). Honig, Richard: Die Einwilligung des Verletzten, Teil I. Die Geschichte des Einwilligungsproblems und die Methodenfrage. Mannheim, Berlin, Leipzig 1919. Honsell, Heinrich: Der Strafgedanke im Zivilrecht – ein juristischer Atavismus, in: Westermann, Harm Peter/Aderhold, Lutz (Hrsg.): Festschrift für Harm Peter Westermann zum 70. Geburtstag, Köln 2008, S. 315–336 (zitiert: Honsell, in: FS Westermann 2008). Hornung, Gerrit: Eine Datenschutz-Grundverordnung für Europa, Licht und Schatten im Kommissionsentwurf vom 25.1.2012, in: ZD, 2013, S. 99–106. Hubmann, Heinrich: Der zivilrechtliche Schutz der Persönlichkeit gegen Indiskretion, in: JZ, 1957, S. 521–528. Jakobs, Günther: Strafrecht Allgemeiner Teil, Die Grundlagen und die Zurechnungslehre, Berlin, New York 1993. Jarass, Hans D.: Das allgemeine Persönlichkeitsrecht im Grundgesetz, in: NJW, 1989, S. 857–862. Kamlah, Ruprecht: Datenschutz im Spiegel der anglo-amerikanischen Literatur, in: BT-Drs. VI/ 3826, S. 195–211 (zitiert: Kamlah, Datenschutz). –
Right Of Privacy, Das allgemeine Persönlichkeitsrecht in amerikanischer Sicht unter Berücksichtigung neuer technologischer Entwicklungen, Köln, Berlin, Bonn, München 1969 (zitiert: Kamlah, Right Of Privacy).
–
Datenüberwachung und Bundesverfassungsgericht, in: DÖV, 1970, S. 361–364.
Karlsruher Kommentar zum Gesetz über Ordnungswidrigkeiten: herausgegeben von Senge, Lothar, 4. Aufl., München 2014 (zitiert: KK/Bearbeiter). Kienapfel, Diethelm: Privatsphäre und Strafrecht, Frankfurt am Main 1969.
258
Literaturverzeichnis
Kilian, Wolfgang: Informationelle Selbstbestimmung und Marktprozesse, Zur Notwendigkeit der Modernisierung des Modernisierungsgutachtens zum Datenschutzrecht, in: CR, 2002, S. 921–929. Kilian, Wolfgang/Scheja, Gregor: Freier Datenfluss im Allfinanzkonzern? in: RDV, 2002, S. 177–188. Kim, Young-Whan: Verhaltensdelikte versus Rechtsgutsverletzungen: Zur aktuellen Diskussion um einen materiellen Verbrechensbegriff, in: ZStW, 124 (2012), S. 591–611. Klas, Benedikt: Grenzen der Erhebung und Speicherung allgemein zugänglicher Daten, Edewecht 2012. Klengel, Jürgen Detlef/Gans, Tobias: Datenhehlerei – Über die Notwendigkeit eines neuen Straftatbestands, in: ZRP, 2013, S. 13–20. Kock, Martin/Francke, Julia: Mitarbeiterkontrolle durch systematischen Datenabgleich zur Korruptionsbekämpfung, in: NZA, 2009, S. 646–651. Kohler, Josef: Das Autorrecht, eine zivilistische Abhandlung, zugleich ein Beitrag zur Lehre vom Eigenthum, vom Miteigenthum, vom Rechtsgeschäft und vom Individualrecht, Jena 1880. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Ein modernes Datenschutzrecht für das 21. Jahrhundert, Eckpunkte, Stuttgart 2010 (zitiert: Konferenz der Datenschutzbeauftragten, Eckpunkte). König, Mark Michael: Das Computerprogramm im Recht, Technische Grundlagen, Urheberrecht und Verwertung, Überlassung und Gewährleistung, Köln 1991. Kosmides, Timoleon: Zivilrechtliche Haftung für Datenschutzverstöße, Eine Studie zu Art. 23 EGDatenschutzrichtlinie und Art. 23 griechisches Datenschutzgesetz unter Berücksichtigung des deutschen Rechts, München 2010. Kühl, Kristian: Punktuelle Ergänzungen des Persönlichkeitsschutzes im Strafgesetzbuch, in: Dölling, Dieter/Götting, Bert/Meier, Bernd-Dieter/Verrel, Torsten (Hrsg.): Verbrechen – Strafe – Resozialisierung: Festschrift für Heinz Schöch zum 70. Geburtstag am 20. August 2010, 2010, S. 419–438 (zitiert: Kühl, in: FS Schöch 2010). Kühling, Jürgen/Bohnen, Simon: Zur Zukunft des Datenschutzrechts, Nach der Reform ist vor der Reform, in: JZ, 2010, S. 600–1610. Kühling, Jürgen/Sivridis, Anastasios/Schwuchow, Mathis/Burghardt, Thorben: Das datenschutzrechtliche Vollzugsdefizit im Bereich der Telemedien, ein Schreckensbericht, in: DuD, 2009, S. 335–342. Kurz, Constanze/Rieger, Frank: Die Datenfresser, Wie Internetfirmen und Staat sich unsere persönlichen Daten einverleiben und wie wir die Kontrolle darüber zurückerlangen, Frankfurt am Main 2011. Kutscha, Martin: Grundrechtlicher Persönlichkeitsschutz bei der Nutzung des Internet, Zwischen individueller Selbstbestimmung und staatlicher Verantwortung, in: DuD, 2011, S. 461–464. Lackner, Karl/Kühl, Kristian: Strafgesetzbuch, Kommentar, bearbeitet von Kühl, Kristian; Heger, Martin, 28. Aufl., München 2014. Ladeur, Karl-Heinz: Datenschutz – vom Abwehrrecht zur planerischen Optimierung von Wissensnetzwerken, Zur „objektiv-rechtlichen Dimension“ des Datenschutzes, in: DuD, 2000, S. 12–19. – Das Recht auf informationelle Selbstbestimmung: Eine juristische Fehlkonstruktion? in: DÖV, 2009, S. 45–55. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: Achtzehnter Datenschutz- und Informationsfreiheitsbericht, für die Zeit vom 1. Januar 2005 bis zum 31. Dezember 2006, Düsseldorf 2007 (zitiert: LfDI NRW, Bericht 2005/2006). Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg: Tätigkeitsbericht zum 31. Dezember 2011, Kleinmachnow 2012 (zitiert: LfD Brandenburg, Bericht 2010/ 2011).
Literaturverzeichnis
–
259
Tätigkeitsbericht zum 31. Dezember 2013, Kleinmachnow 2014 (zitiert: LfD Brandenburg, Bericht 2012/2013). Landesbeauftragter für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: Einundzwanzigster Datenschutz- und Informationsfreiheitsbericht, für die Zeit vom 1. Januar 2011 bis zum 31. Dezember 2012, Düsseldorf 2013 (zitiert: LfDI NRW, Bericht 2011/2012). Landesbeauftragter für den Datenschutz Baden-Württemberg: 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, Datenschutz für unsere Bürger, Stuttgart 2012 (zitiert: LfD BW, Bericht 2010/2011). Landesregierung Hessen: Vierundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, veröffentlicht als Hess LT-Drs. 18/4569, Wiesbaden 2011 (zitiert: LR Hessen, Bericht 2010). Landesverwaltungsamt Sachsen-Anhalt: Fünfter Tätigkeitsbericht, der Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich des Landes Sachsen-Anhalt, Berichtszeitraum 01.06.2009–30.09.2011, Halle 2012 (zitiert: LVerwA Sachsen-Anhalt, Bericht 2009–2011). Lee, Won-Sang: Die Verhältnismäßigkeit im Cyberstrafrecht, Überprüfung des Strafrechtseingriffs im Cyberspace anhand des Verhältnismäßigkeitsgrundsatzes, Band 24, Berlin 2010. Leipziger Kommentar: StGB, herausgegeben von Jähnke, Burkhard; Laufhütte, Heinrich Wilhelm; Odersky, Walter, 11. Aufl., Berlin 2003 ff. (zitiert: LK/Bearbeiter, 11. Aufl.). – StGB, herausgegeben von Laufhütte, Wilhelm; Rissing-van Saan; Tiedemann, Klaus, 12. Aufl., Berlin 2006 ff. (zitiert: LK/Bearbeiter, 12. Aufl.). Lewinski, Kai von: Datenschutz: Ein Fach ohne (Rechts-)Geschichte? Zugleich Besprechung von Gisa Austermühle, „Zur Entstehung und Entwicklung eines Geheimsphärenschutzes vom Spätabsolutismus bis zur Gesetzgebung des Deutschen Reiches“, Duncker&Humblot, Berlin 2002, in: DuD, 2003, S. 61–62. – Persönlichkeitsprofile und Datenschutz bei CRM, in: RDV, 2003, S. 122–132. – Tätigkeitsberichte im Datenschutz, in: RDV, 2004, S. 163–168. – Geschichte des Datenschutzrechts von 1600 bis 1977, in: 48. Assistententagung Öffentliches Recht: Freiheit – Sicherheit – Öffentlichkeit, herausgegeben von Arndt, Felix; Betz, Nicole; Farahat, Anuscheh; Goldmann, Matthias; Huber, Matthias; Keil, Rainer; Lea Láncos, Petra; Schaefer, Jan; Smrkolj, Maja; Sucker, Franziska; Valta, Stefanie Baden-Baden, Basel 2009, S. 196–220 (zitiert: v. Lewinski, in: 48. Assistententagung ÖR). – Datenschutzrecht, Skript, abrufbar unter http://s6.rewi.hu-berlin.de/jura/etc/lwk/DOK/ Datenschutz.pdf, Berlin 2012 (zitiert: v. Lewinski, Datenschutzrecht). – Zur Geschichte von Privatsphäre und Datenschutz, Eine rechtshistorische Perspektive, in: Schmidt, Jan-Hinrik/Weichert, Thilo (Hrsg.): Datenschutz, Bonn 2012, S. 23–33 (zitiert: v. Lewinski, in: Schmidt/Weichert). – Zwischen rationaler Apathie und rationaler Hysterie, Die Durchsetzung des Datenschutzes, in: PinG, 2013, S. 12–17. – Die Matrix des Datenschutzes, Besichtigung und Ordnung eines Begriffsfeldes, Tübingen 2014 (zitiert: Lewinski, Matrix). Lewinski, Kai von/Köppen, Hajo: Tätigkeitsberichte der Datenschutzbehörden, Neuer Zugang zu sprudelnden Quellen, in: RDV, 2009, S. 267–273. Liedtke, Werner: Das Bundesdatenschutzgesetz, Eine Fallstudie zum Gesetzgebungsprozess, München 1980. Limbach, Jutta: Datenschutz als Grundrecht, in: Hassemer, Winfried/Möller, Klaus Peter (Hrsg.): 25 Jahre Datenschutz, Baden-Baden 1996, S. 44–50 (zitiert: Limbach, in: Hassemer/Möller). Lindhorst, Matthias: Sanktionsdefizite im Datenschutzrecht, Frankfurt am Main 2010. Luch, Anika D.: Das neue „IT-Grundrecht“, Grundbedingung einer „Online-Handlungsfreiheit“, in: MMR, 2011, S. 75–79.
260
Literaturverzeichnis
Lutterbeck, Bernd: 20 Jahre Dauerkonflikt, Die Novellierung des Bundesdatenschutzgesetzes, in: Sokol, Bettina (Hrsg.): 20 Jahre Datenschutz, Düsseldorf 1998, S. 7–35 (zitiert: Lutterbeck, in: Sokol 1998). Münchener Kommentar zum Bürgerlichen Gesetzbuch: herausgegeben von Säcker, Franz Jürgen; Rixecker, Roland, 6. Aufl., München 2012 ff. (zitiert: MK-BGB/Bearbeiter, 6. Aufl.). Münchener Kommentar zum Strafgesetzbuch: herausgegeben von Joecks, Wolfgang; Miebach, Klaus, 2. Aufl., München 2011 ff. (zitiert: MK-StGB/Bearbeiter, 2. Aufl.). Masing, Johannes: Herausforderungen des Datenschutzes, in: NJW, 2012, S. 2305–2312. Matt, Holger/Renzikowski, Joachim: Strafgesetzbuch, Kommentar, München 2013 (zitiert: Matt/ Renzikowski/Bearbeiter). Maunz, Theodor/Dürig, Günter: Grundgesetz, Kommentar, herausgegeben von Herzog, Roman; Scholz, Rupert; Herdegen, Matthias; Klein, Hans H. 72. Aufl., München 2014 (zitiert: Maunz/ Dürig/Bearbeiter). Maurach, Reinhart/Schroeder, Friedrich-Christian/Maiwald, Manfred: Strafrecht Besonderer Teil, Teilband 1: Straftaten gegen Persönlichkeits- und Vermögenswerte, 10. Aufl., Heidelberg, München, Landsberg, Frechen, Hamburg 2009 (zitiert: Maurach/Schroeder/Maiwald, BT 1). – Strafrecht Besonderer Teil, Teilband 2: Straftaten gegen Gemeinschaftswerte, 10. Aufl., Heidelberg, München, Landsberg, Frechen, Hamburg 2012 (zitiert: Maurach/Schroeder/Maiwald, BT 2). Mayer-Schönberger, Viktor/Cukier, Kenneth: Big Data, Die Revolution, die unser Leben verändern wird, München 2013. Mester, Britta Alexandra: Selbstbestimmung in einer Welt der Netze, in: DuD, 2011, S. 679. Meyerdierks, Per: Sind IP-Adressen personenbezogene Daten? in: MMR, 2009, S. 8–13. Michael, Lothar: Die drei Argumentationsstrukturen des Grundsatzes der Verhältnismäßigkeit, Zur Dogmatik des Über- und Untermaßverbotes und der Gleichheitssätze, in: JuS, 2001, S. 148–155. Mitsch, Wolfgang: Grundzüge des Ordnungswidrigkeitenrechts (Teil 1), in: JA, 2008, S. 241–246. Mohl, Robert von: Die Geschichte und Literatur der Staatswissenschaften, In Monographien dargestellt, Band 3, Erlangen 1858. Möhring, Philipp: Die Analogie im Kartellrecht, in: GRUR, 1968, S. 541–545. Müller-Dietz, Heinz: Zur Problematik verfassungsrechtlicher Pönalisierungsgebote, in: Jescheck, Hans Heinrich/Lüttger, Hans (Hrsg.): Festschrift für Eduard Dreher zum 70. Geburtstag, Berlin, New York 1977, S. 97–116 (zitiert: Müller-Dietz, in: FS Dreher 1977). Naucke, Wolfgang: Strafrecht, Eine Einführung, 10. Aufl., Neuwied 2002. Neuhöfer, Daniel: Anmerkung zu BGH 1. Strafsenat, Urteil vom 04.06.2013 – 1 StR 32/13, in: jurisPR-Compl, 2014 Nr. 1, Anm. 3. Niedermeier, Robert/Schröcker, Stefan: Ersatzfähigkeit immaterieller Schäden aufgrund rechtswidriger Datenverarbeitung, in: RDV, 2002, S. 217–224. Nolte, Norbert: Zum Recht auf Vergessen im Internet, Von digitalen Radiergummis und anderen Instrumenten, in: ZRP, 2011, S. 236–240. Nomos-Großkommentar: Strafgesetzbuch, herausgegeben von Kindhäuser, Urs; Neumann, Ulfrid; Paeffgen, Hans-Ullrich, 4. Aufl., Baden-Baden 2013 (zitiert: NK/Bearbeiter). Oberwetter, Christian: Überwachung und Ausspähung von Arbeitnehmern am Arbeitsplatz – alles ohne Entschädigung? in: NZA, 2009, S. 1120–1123. O˘glakcıo˘glu, Mustafa Temmuz: Der Videostream und seine urheberstrafrechtliche Bewertung, in: ZIS, 2012, S. 431–440. Ohr, Sara/Schwartmann, Rolf: 11. Kapitel Rechtsfragen beim Einsatz sozialer Medien, in: Schwartmann, Rolf (Hrsg.): Praxishandbuch Medien-, IT- und Urheberrecht, Heidelberg, Landsberg, Frechen, Hamburg 2014 (zitiert: Ohr/Schwartmann, in: Schwartmann).
Literaturverzeichnis
261
Otto, Harro: Die Auslegung von Blankettstraftatbeständen, in: Jura, 2005, S. 538–539. Papier, Hans-Jürgen: Das Volkszählungsurteil des Bundesverfassungsgerichts, Festvortrag zur Veranstaltung aus Anlass des 25. Jahrestages der Verkündung des Volkszählungsurteils des Bundesverfassungsgerichts, in: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): 25 Jahre Volkszählungsurteil, Rheinbach 2009 (zitiert: BfDI, 25 Jahre Volkszählungsurteil), S. 13–25 (zitiert: Papier, in: 25 Jahre Volkszählungsurteil). Pätzel, Claus: Zur Offenkundigkeit von Halterdaten, in: NJW, 1999, S. 3246–3247. Peglau, Jens: Der Schutz des allgemeinen Persönlichkeitsrechts durch das Strafrecht, Frankfurt am Main, Berlin 1997. – Plädoyer für einen stärkeren strafrechtlichen Persönlichkeitsschutz, in: ZRP, 1998, S. 249–251. Peifer, Karl-Nikolaus: Eigenheit oder Eigentum – Was schützt das Persönlichkeitsrecht? in: GRUR, 2002, S. 495–500. – Persönlichkeitsrechte im 21. Jahrhundert – Systematik und Herausforderungen, in: JZ, 2013, S. 853–864. Petersohn, Nadine: Die Abhängigkeit von Geldbußtatbeständen von einer Einzelentscheidung der Verwaltungsbehörden, Göttingen, Osnabrück 2006. Plath, Kai-Uwe: BDSG, Kommentar zum BDSG sowie den Datenschutzbestimmungen von TMG und TKG, Köln 2013 (zitiert: Plath/Bearbeiter). Plath, Kai-Uwe/Frey, Anna-Mirjam: Direktmarketing nach der BDSG-Novelle: Grenzen erkennen, Spielräume optimal nutzen, in: BB, 2009, S. 1762–1768. Podlech, Adalbert: Datenschutz im Bereich der öffentlichen Verwaltung, Entwürfe eines Gesetzes zur Änderung des Grundgesetzes (Art. 75 GG) zur Einführung einer Rahmenkompetenz für Datenschutz und eines Bundesdatenschutz-Rahmengesetzes, Beiheft 1 zu Datenverarbeitung im Recht (DVR) 1973, Berlin 1973. Polenz, Sven: Teil 13. Datenschutz, in: Kilian, Wolfgang/Heussen, Benno (Hrsg.): ComputerrechtsHandbuch, München 2013, Kap. 130–138 (zitiert: Polenz, in: Kilian/Heussen 2013). Popp, Andreas: Das Rätsel des § 38 Abs. 5 WpHG, Transnationales Regelungsbedürfnis und Gesetzgebungstechnik im Nebenstrafrecht, in: wistra, 2011, S. 169–176. Prittwitz, Cornelius: Risikogesellschaft und Strafrecht, in: Neumann, Ulfrid/Prittwitz, Cornelius (Hrsg.): Kritik und Rechtfertigung des Strafrechts, Frankfurt am Main, New York 2005, S. 131–174 (zitiert: Prittwitz, in: Neumann/Prittwitz). Raiser, Thomas: Grundlagen der Rechtssoziologie, 6. Aufl., Tübingen 2013. Reibach, Boris: Private Dashcams & Co. – Household Exemption ade? Können sich Betreiber von privaten Minikameras noch auf die Ausnahme der Household Exemption berufen? in: DuD, 2015, S. 157–160. Reif, Yvette: Warnsysteme der Wirtschaft und Kundendatenschutz, in: RDV, 2007, S. 4–9. Reus, Katharina: Das Recht in der Risikogesellschaft, Der Beitrag des Strafrechts zum Schutz vor modernen Produktgefahren, Berlin 2010. Riesenhuber, Karl: Die Einwilligung des Arbeitnehmers im Datenschutzrecht, in: RdA, 2011, S. 257–265. Rissing-van Saan, Ruth: Privatsphäre und Datenverarbeitung, Ein strafrechtlicher Beitrag zum Datenschutz, Bochum 1978. Roeder, Hermann: Wahrheitsbeweis und Indiskretionsdelikt, nach deutschem und österreichischem Strafgesetzentwurf, in: Maurach, Reinhart/Schroeder, Friedrich-Christian/Zipf, Heinz (Hrsg.): Festschrift für Reinhart Maurach zum 70. Geburtstag, Karlsruhe 1972, S. 347–374 (zitiert: Roeder, in: FS Maurach 1972). Rogall, Klaus: Informationseingriff und Gesetzesvorbehalt im Strafprozeßrecht, in: ZStW, 103 (1991), S. 907–956.
262
–
Literaturverzeichnis
Die Verletzung von Privatgeheimnissen (§ 203 StGB), Aktuelle Probleme und ungelöste Fragen, in: NStZ, 1983, S. 1–8. – Beleidigung und Indiskretion, in: Weigend, Thomas/Küpper, Georg (Hrsg.): Festschrift für Hans Joachim Hirsch, Berlin, New York 1999, S. 665–692 (zitiert: Rogall, in: FS Hirsch 1999). Roßnagel, Alexander: Die Novellen zum Datenschutzrecht, Scoring und Adresshandel, in: NJW, 2009, S. 2716–2722. Roßnagel, Alexander/Pfitzmann, Andreas/Garstka, Hansjürgen: Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern, 2001. Roxin, Claus: Strafrecht, Allgemeiner Teil, Band I: Grundlagen; Der Aufbau der Verbrechenslehre, 4. Aufl., München 2006 (zitiert: Roxin, AT I). Rudolphi, Hans-Joachim: Die verschiedenen Aspekte des Rechtsgutsbegriffs, in: Juristische Fakultät der Georg-August-Universität Göttingen (Hrsg.): Festschrift für Richard M. Honig, Göttingen 1970, S. 151–167 (zitiert: Rudolphi, in: FS Honig 1970). Sächsischer Datenschutzbeauftragter: Schutz des Persönlichkeitsrechts im nicht-öffentlichen Bereich, 6. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, Berichtszeitraum: 1. Januar 2011 bis 31. März 2013 (veröffentlicht als Sächs LT-Drs. 5/13032), Dresden 2013 (zitiert: LfD Sachsen, Bericht 2011–2013). Satzger, Helmut: Die Europäisierung des Strafrechts, Eine Untersuchung zum Einfluß des Europäischen Gemeinschaftsrechts auf das deutsche Strafrecht, Köln, Berlin, Bonn, München 2001. Satzger, Helmut/Schluckebier, Wilhelm/Widmaier, Gunter: StGB, Strafgesetzbuch, Kommentar, 2. Aufl., Köln 2014 (zitiert: SSW/Bearbeiter). Schaar, Peter: Datenschutzrechtliche Einwilligung im Internet, in: MMR, 2001, S. 644–648. – Persönlichkeitsprofile im Internet, in: DuD, 2001, S. 383–388. – Datenschutz im Internet, Die Grundlagen, München 2002 (zitiert: Schaar, Datenschutz). Schack, Haimo: Urheber- und Urhebervertragsrecht, 6. Aufl., Tübingen 2013. Schaffland, Hans-Jürgen/Wiltfang, Noeme: Bundesdatenschutzgesetz, Ergänzbarer Kommentar nebst einschlägigen Rechtsvorschriften, 6. Aufl., Berlin 2014. Scheja, Gregor/Haag, Christian: Datenschutzrecht, in: Leupold, Andreas/Glossner, Silke (Hrsg.): Münchener Anwaltshandbuch IT-Recht, München 2013, S. 511–603 (zitiert: Scheja/Haag, in: Leupold/Glossner). Schild, Hans-Hermann: Schadensersatz oder Gewerbeuntersagung als mögliche Folgen bei Lidl und der Telekom? in: MMR, 2008, S. XII–XIII. Schmidt, Gerhard: Zur Problematik des Indiskretionsdelikts, in: ZStW, 79 (1967), S. 741–816. Schmitz, Roland: Verletzung von (Privat)geheimnissen, Qualifikationen und ausgewählte Probleme der Rechtfertigung, in: JA, 1996, S. 949–955. Schneider, Jochen: Datenschutz und Neue Medien, in: NJW, 1984, S. 390–398. – Handbuch des EDV-Rechts, IT-Vertragsrecht (Rechtsprechung, AGB-Recht, Vertragsgestaltung), Datenschutz, Rechtsschutz, 4. Aufl., Köln 2009. Schoene, Volker: BDSG-Verstoß eines wegen Betriebsspionage ermittelnden Privatdetektivs kann gerechtfertigt sein, in: GRUR-Prax, 2013, S. 452. Schönke, Adolf/Schröder, Horst: Strafgesetzbuch, Kommentar, 29. Aufl., München 2014 (zitiert: Schönke/Schröder/Bearbeiter). Schröder, Christian: Europäische Richtlinien und deutsches Strafrecht, Eine Untersuchung über den Einfluß europäischer Richtlinien gemäß Art. 249 Abs. 3 EGV auf das deutsche Strafrecht, Berlin 2002. Schubert, Klaus/Klein, Martina (Hrsg.): Das Politiklexikon, Begriffe, Fakten, Zusammenhänge, 5. Aufl., Bonn 2011.
Literaturverzeichnis
263
Schubert, Werner (Hrsg.): Protokolle der Kommission für die Reform des Strafgesetzbuches (1911– 1913), Besonderer Teil des Vorentwurfs in 1. Lesung; §§ 212–310 des Vorentwurfs, Protokolle 141–207, Frankfurt am Main 1990 (zitiert: W. Schubert, Protokolle). –
Quellen zur Reform des Straf- und Strafprozeßrechts, I. Abteilung, Band 3, 3. Teil, Berlin and New York 1997 (zitiert: W. Schubert, Quellen).
Schulze-Heiming, Ingeborg: Der strafrechtliche Schutz der Computerdaten gegen die Angriffsformen der Spionage, Sabotage und des Zeitdiebstahls, Münster, New York 1995. Schünemann, Bernd: Der strafrechtliche Schutz von Privatgeheimnissen, in: ZStW, 90 (1978), S. 11–63. Seidel, Ulrich: Persönlichkeitsrechtliche Probleme der elektronischen Speicherung privater Daten, in: NJW, 1970, S. 1581–1583. –
Datenbanken und Persönlichkeitsrecht, unter besonderer Berücksichtigung der amerikanischen Computer Privacy, Köln 1972.
Seiffert, Evelyn: Datenschutzprüfung durch die Aufsichtsbehörden, Frechen 2007. Sieber, Ulrich: Grenzen des Strafrechts, Grundlagen und Herausforderungen des neuen strafrechtlichen Forschungsprogramms am Max-Planck-Institut für ausländisches und internationales Strafrecht, in: ZStW, 119 (2007), S. 1–68. –
Information technology crime, National legislations and international initiatives, Köln, Berlin, Bonn, München 1994 (zitiert: Sieber, Information technology crime).
–
Computerkriminalität und Informationsstrafrecht, Entwicklungen in der internationalen Informations- und Risikogesellschaft, in: CR, 1995, S. 100–113.
–
Teil 19 Strafrecht und Strafprozessrecht, in: Hoeren, Thomas/Sieber, Ulrich (Hrsg.): Handbuch Multimedia-Recht, München 2000 (zitiert: Sieber, in: Hoeren/Sieber 2000).
–
Computerkriminalität, in: – /Brüner, Franz-Hermann/Satzger, Helmut/Heintschel-Heinegg, Bernd von (Hrsg.): Europäisches Strafrecht, Baden-Baden 2011, S. 387–415 (zitiert: Sieber, in: Europäisches Strafrecht).
–
Gutachten C zum 69. Deutschen Juristentag: Straftaten und Strafverfolgung im Internet, in: Deutscher Juristentag e.V. (Hrsg.): Verhandlungen des 69. Deutschen Juristentages, München 2012, S. C 9–C 157 (zitiert: Sieber, in: 69. DJT).
–
Teil 19. Strafrecht und Strafprozessrecht, in: Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd (Hrsg.): Handbuch Multimedia-Recht, München 2014 (zitiert: Sieber, in: Hoeren/Sieber 2014).
Simitis, Spiros: Die informationelle Selbstbestimmung, Grundbedingung einer verfassungskonformen Informationsordnung, in: NJW, 1984, S. 394–405. –
Die EU-Datenschutzrichtlinie, Stillstand oder Anreiz? in: NJW, 1997, S. 281–288.
–
Die Erosion des Datenschutzes, Von der Abstumpfung der alten Regelungen und den Schwierigkeiten, neue Instrumente zu entwickeln, in: Sokol, Bettina (Hrsg.): Neue Instrumente im Datenschutz, Düsseldorf 1999, S. 5–40 (zitiert: Simitis, in: Sokol 1999).
–
Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014 (zitiert: Simitis/Bearbeiter).
Soergel, Hans-Theodor: Bürgerliches Gesetzbuch, mit Einführungsgesetzen und Nebengesetzen, 13. Aufl., Stuttgart 1999 ff. (zitiert: Soergel/Bearbeiter, 13. Aufl.). Spickhoff, Andreas: Der Schutz von Daten durch das Deliktsrecht, in: Leible, Stefan/Lehmann, Matthias/Zech, Herbert (Hrsg.): Unkörperliche Güter im Zivilrecht, Tübingen 2011, S. 233–245 (zitiert: Spickhoff , in: Leible/Lehmann/Zech). Spies, Axel: USA: Neue Datenschutzvorschriften auf dem Prüfstand, Mehr Schutz für die Privacy der Bürger durch Gesetz oder durch Selbstverpflichtung der Industrie? in: ZD, 2011, S. 12–16. Spindler, Gerald: Datenschutz- und Persönlichkeitsrechte im Internet, der Rahmen für Forschungsaufgaben und Reformbedarf, in: GRUR, 2013, S. 996–1004.
264
Literaturverzeichnis
Spindler, Gerald/Schuster, Fabian: Recht der elektronischen Medien, Kommentar, 3. Aufl., München 2015. Statistisches Bundesamt: Fachserie / 10 / 3, 10, Rechtspflege. 3, Strafverfolgung 2007–2013, Wiesbaden 2009–2015. Steinmüller, Wilhelm: Das Volkszählungsurteil des Bundesverfassungsgerichts, in: DuD, 1984, S. 91–96. Steinmüller, Wilhelm/Lutterbeck, Bernd/Mallmann, Christoph/Harbort, U./Kolb, Gerhard/Schneider, Jochen: Grundfragen des Datenschutzes, Gutachten im Auftrag des Bundesministeriums des Inneren, in: BT-Drs. VI/3826, S. 5–193. Sturm, Gabriele: Zahlen für (Haupt-)Stadt und Staat, Anmerkungen zum Umfeld bei der Einrichtung des unabhängigen Statistischen Bureaus der Stadt Berlin 1862, in: ZfaS BBB, 2012, S. 48–53. Swoboda, Sabine: Die Lehre vom Rechtsgut und ihre Alternativen, in: ZStW, 122 (2010), S. 24–50. Systematischer Kommentar zum Strafgesetzbuch: herausgegeben von Wolter, Jürgen, 8. Aufl., Köln: Carl Heymanns 2012 (zitiert: SK/Bearbeiter). Taeger, Jürgen/Gabel, Detlev: Kommentar zum BDSG, und zu den Datenschutzvorschriften des TKG und TMG, 2. Aufl., Frankfurt am Main 2013 (zitiert: Taeger/Gabel/Bearbeiter). Thüringer Landesbeauftragter für den Datenschutz: 9. Tätigkeitsbericht, Berichtszeitraum: 1. Januar 2010 bis 31. Dezember 2011, Erfurt 2012 (zitiert: LfD Thüringen, Bericht 2010/2011). Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit: 1. Tätigkeitsbericht zum Datenschutz, Nicht-öffentlicher Bereich, Erfurt 2014 (zitiert: LfDI Thüringen, Bericht 2012/ 2013: Nicht-öffentlicher Bereich). Tiedemann, Klaus: Tatbestandsfunktionen im Nebenstrafrecht, Untersuchungen zu einem rechtsstaatlichen Tatbestandsbegriff, entwickelt am Problem des Wirtschaftsstrafrechts, Tübingen 1969 (zitiert: Tiedemann, Tatbestandsfunktionen). –
Straftatbestand und Normambivalenz, am Beispiel der Geschäftsberichtsfälschung, in: Grünwald, Gerald/Miehe, Olaf/Rudolphi, Hans-Joachim/Schreiber, Hans-Ludwig (Hrsg.): Festschrift für Friedrich Schaffstein, Göttingen 1975, S. 195–210 (zitiert: Tiedemann, in: FS Schaffstein 1975).
–
Datenübermittlung als Straftatbestand, in: NJW, 1981, S. 945–952.
–
Verfassungsrecht und Strafrecht, Heidelberg 1991 (zitiert: Tiedemann, Verfassungsrecht und Strafrecht).
–
Strafrecht in der Marktwirtschaft, in: Küper, Wilfried/Welp, Jürgen (Hrsg.): Beiträge zur Rechtswissenschaft, Heidelberg 1993, S. 527–543 (zitiert: Tiedemann, in: FS Stree/Wessels 1993).
–
Wirtschaftsstrafrecht, Einführung und allgemeiner Teil, 4. Aufl., München 2014 (zitiert: Tiedemann, Wirtschaftsstrafrecht AT).
Tiedemann, Klaus/Sasse, Christoph: Delinquenzprophylaxe, Kreditsicherung und Datenschutz in der Wirtschaft, Köln, Berlin, Bonn, München 1973. Tinnefeld, Marie-Theres: Die Novellierung des BDSG im Zeichen des Gemeinschaftsrechts, in: NJW, 2001, S. 3078–3083. Tinnefeld, Marie-Theres/Buchner, Benedikt/Petri, Thomas: Einführung in das Datenschutzrecht, Datenschutz und Informationsfreiheit in europäischer Sicht, 5. Aufl., München 2012 (zitiert: Tinnefeld, 2012). Tinnefeld, Marie-Theres/Ehmann, Eugen/Gerling, Rainer W.: Einführung in das Datenschutzrecht, Datenschutz und Informationsfreiheit in europäischer Sicht, 4. Aufl., München 2005 (zitiert: Tinnefeld, 2005). Tinnefeld, Marie-Theres/Petri, Thomas/Brink, Stefan: Aktuelle Fragen um ein Beschäftigtendatenschutzgesetz, Eine erste Analyse und Bewertung, in: MMR, 2010, S. 727–735.
Literaturverzeichnis
265
Triffterer, Otto: Die Rolle des Strafrechts beim Umweltschutz in der Bundesrepublik Deutschland, in: ZStW, 91 (1979), S. 309–348. Trute, Hans-Heinrich: Verfassungsrechtliche Grundlagen, in: Roßnagel, Alexander (Hrsg.): Handbuch Datenschutzrecht, München 2003, S. 156–187 (zitiert: Trute, in: Roßnagel). Ullmann, Elke: Persönlichkeitsrechte in Lizenz? in: AfP, 1999, S. 209–214. Unabhängiges Datenschutzzentrum Saarland: 24. Tätigkeitsbericht 2011/2012, Saarbrücken 2013 (zitiert: UDS, Bericht 2011/2012). Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Erhöhung des Datenschutzniveaus zugunsten der Verbraucher, Studie im Auftrag des Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft, Schlussbericht April 2006, Kiel 2006 (zitiert: ULD, Erhöhung). – Verkettung digitaler Identitäten, Kiel 2007 (zitiert: ULD, Verkettung). – Tätigkeitsbericht 2013, Kiel 2013 (zitiert: ULD, Bericht 2013). Unseld, Florian: Die Kommerzialisierung personenbezogener Daten, München 2010. van Rienen, Wolfgang: Frühformen des Datenschutzes? Die historische Entwicklung der Amtsverschwiegenheit vom Beginn der Neuzeit bis zur Datenschutzgesetzgebung als Beispiel einer Beschränkung der vewaltungsinternen Informationsweitergabe, Bonn 1984. Ventura-Heinrich, Denise: Einführung in das Datenschutzrecht der betrieblichen Praxis, in: JA, 2013, S. 130–137. Vetter, Jan: Gesetzeslücken bei der Internetkriminalität, Hamburg 2003. Vogt, Winold: Datenschutz in Geschichte und Gegenwart, in: Kirchner, Hildebert/Dietz, Wolfgang/ Pannier, Dietrich (Hrsg.): Festschrift für Hildebert Kirchner zum 65. Geburtstag, München 1985, S. 385–391 (zitiert: Vogt, in: FS Kirchner 1985). Vormbaum, Thomas/Rentrop, Kathrin (Hrsg.): Reform des Strafgesetzbuchs, Sammlung der Reformentwürfe, Band 1: 1909 bis 1919, Berlin 2008. Wächter, Karl Georg von: Lehrbuch des römisch-teutschen Strafrechts, Stuttgart 1826. Walther, Felix: Dürfen Compliance-Organisationen deliktisch erlangte Bankdaten ankaufen? in: CCZ, 2013, S. 254–259. Weichert, Thilo: Datenschutzstrafrecht – ein zahnloser Tiger? in: NStZ, 1999, S. 490–493. – Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung, in: NJW, 2001, S. 1463–1469. – Regulierte Selbstregulierung – Plädoyer für eine etwas andere Datenschutzaufsicht, in: RDV, 2005, S. 1–6. – Teil 13. Datenschutz, in: Kilian, Wolfgang/Heussen, Benno (Hrsg.): Computerrechts-Handbuch, München 2008, Kap. 130–138 (zitiert: Weichert, in: Kilian/Heussen 2008). – Big Data und Datenschutz, Chancen und Risiken einer neuen Form der Datenanalyse, in: ZD, 2013, S. 251–259. Weidner-Braun, Ruth: Der Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung, am Beispiel des personenbezogenen Datenverkehrs im WWW nach deutschem öffentlichen Recht, Berlin, Erlangen-Nürnberg 2012. Wessels, Johannes/Hillenkamp, Thomas: Strafrecht, Besonderer Teil 2, Straftaten gegen Vermögenswerte, 36. Aufl., Heidelberg, München, Landsberg, Frechen, Hamburg 2013 (zitiert: Wessels/ Hillenkamp, BT 2). Wind, Irene: Die Kontrolle des Datenschutzes im nicht-öffentlichen Bereich, Eine Untersuchung über die Tätigkeit der Datenschutz-Aufsichtsbehörden, Baden-Baden 1994. Wittig, Petra: Die datenschutzrechtliche Problematik der Anfertigung von Persönlichkeitsprofilen zu Marketingzwecken, in: RDV, 2000, S. 59–62.
266
Literaturverzeichnis
Wolff, Heinrich Amadeus/Brink, Stefan: Datenschutzrecht, in Bund und Ländern, Grundlagen, Bereichsspezifischer Datenschutz, BDSG, München 2013 (zitiert: Wolff/Brink/Bearbeiter). Wollenteit, Ulrich: Informationsrechte des Forschers im Spannungsfeld von Transparenzforderungen und Datenschutz, Zum Datenzugang für Forschungszwecke in den USA und in der Bundesrepublik Deutschland, Berlin 1993. Wybitul, Tim/Reuling, Hendrik: Umgang mit § 44 BDSG im Unternehmen, Die weitreichenden zivilrechtlichen Folgen einer unscheinbaren Strafnorm, in: CR, 2010, S. 829–832. XAMIT Bewertungsgesellschaft mbH: Datenschutzbarometer 2012, Papiertiger Datenschutz? Düsseldorf 2012 (zitiert: XAMIT, Datenschutzbarometer 2012). – Datenschutzbarometer 2013, Bewährungsprobe für den Datenschutz, Düsseldorf 2014 (zitiert: XAMIT, Datenschutzbarometer 2013). Zielinski, Diethart: Das legislatorische Problem „Datenschutz“ aus strafrechtlicher Sicht, in: Kilian, Wolfgang/Lenk, Klaus/Steinmüller, Wilhelm (Hrsg.): Datenschutz, Darmstadt 1973, S. 129–154 (zitiert: Zielinski, in: Kilian/Lenk/Steinmüller). Zscherpe, Kerstin A.: Anforderungen an die datenschutzrechtliche Einwilligung im Internet, in: MMR, 2004, S. 723–727.
Sachverzeichnis Kursiv gesetzte Stichworte bezeichnen politische Einheiten, Institutionen und Personen. Abfall 147–148, 182, 203, 224 Abfangen von Daten 51, 143, 188 Abstraktes Gefährdungsdelikt 32, 151, 153, 229 Abwehrrecht 27, 94, 104 Adresshändler 131, 163, 176–177, 183, 219 Akten 27, 69, 125, 147 Akzessorietät 116, 130, 133, 155–156, 158, 166, 168, 179, 198, 233, 239–240 Allgemein zugänglich 34, 50, 73, 74, 138–141, 155, 192–193, 240 Allgemeine Handlungsfreiheit 90, 93, 184 Allgemeines Indiskretionsdelikt 37–45, 234 Allgemeines Persönlichkeitsrecht 26, 27, 43, 45, 67, 85, 87–91, 95–96, 98, 102–104, 116, 208 Amtsträgerdelikt 29, 31–33 Amtsverschwiegenheit 27, 29–31, 55, 149 Anonymisierung 153 Anonymität 58 Anordnung 170–172, 205, 211–212, 219 Antike 26 Anwendungsbereich – der §§43, 44 BDSG 130–133, 136–137, 240 – Subsidiarität, 133–137 – des BDSG 63, 66, 69, 71–72, 121–128, 191–192, 244 – Subsidiarität, 79, 121, 128–129 – des StGB 131–132 – des TKG 81 – des TMG 79 Arbeitsrecht 120 Arbeitsverhältnis 79, 81, 128, 174, 181, 186, 194, 203, 207, 209, 214, 246 Aufklärung 27 Aufsichtsbehörde 69, 80, 110, 135, 162, 167, 179, 187, 189, 200, 201, 204, 205, 211, 212, 214–219, 222 Auftragsdatenverarbeitung 79, 124, 149, 195 Auskunftei 76, 203
Ausspähen von Daten 32, 51, 143, 188 Bande 52, 75 Beanstandung 204–205 Beck, Ulrich 226 Beleidigung 38–40, 42–43, 195, 229, 244 – Formalbeleidigung 43 Bereicherungsabsicht 30, 54, 64, 65, 70, 73–75, 98, 131, 154, 177, 180, 182–185, 246 Berufsgeheimnis 30, 31 Bestimmtheit 32, 35, 41–42, 50, 73, 91, 101– 102, 129, 132–133, 135, 137, 151, 155, 156, 158–159, 161–172, 179, 185, 195, 208, 209, 220–223, 226, 233, 234, 241, 244 Betriebsgeheimnis 98 Betrug 29 Beweislast 70, 206 Bewerbung 148, 227 Bewusstseinsbildung 45, 113, 218, 231, 237–239 Big Data 242 Blankettmerkmal 158–161 Blankettstraftatbestand 129, 155, 160 Blog 44 Bloßstellung 37, 38, 40, 42, 43, 183, 194, 229, 234 Bonität 98, 146, 167 Briefgeheimnis 27, 30, 31, 39, 119 Bundesdatenbank 55–56 Bundeszentralregister 194 Bußgeldbehörde 167, 170, 202, 215–219, 224, 232 Compliance 186 Computergrundrecht siehe Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Computerkriminalität 106 Computersabotage 97, 188 Cybercrime Konvention 106
268
Sachverzeichnis
Datenhehlerei 46–54, 85, 101, 138, 186, 238 Datenschutzbeauftragter 59, 66, 69, 82, 154, 167, 170, 204, 215 – betrieblich 205 Datenschutzbewusstsein 68, 231 Datensicherheit 63 Datensparsamkeit 72 Datenveränderung 100, 146, 148, 188, 240 Datenvermeidung 72 De-Anonymisierung 70, 152 Debeka 200 Demokratieprinzip 219 Deutsche Bahn 200 Deutsche Demokratische Republik 36–37 Diffuses Interesse 226–228 Dolus directus 182 Durchsetzungsdefizit siehe Vollzugsdefizit Düsseldorfer Kreis 218 E-Mail 47, 52, 54, 81, 143, 198, 200 Ehre 29, 38, 39, 41–43, 229 Eigentum 92, 98–99, 140, 185, 192 Einsichtsfähigkeit 174 Einwilligung 76, 152, 158, 173, 179 – Form 175–178 – Freiwilligkeit 173–175 Entgelt, Handeln gegen 64, 70, 73–75, 98, 154, 180–182, 184–186, 193–194, 246 Entkriminalisierung 70, 73, 83 Entwurf – des BDSG – Alternativentwurf, 64–65 – Interparlamentarische Arbeitsgruppe, 60–62, 65 – Referentenentwurf, 62–65 – Regierungsentwurf, 65–66, 69, 73, 74, 134, 135 – des StGB – Alternativentwurf, 40, 42 – 1909, 38, 39, 41 – 1913, 39, 41 – 1927, 39 – 1962, 28, 31, 37, 39–42 Europäisches Datenschutzrecht 61, 157, 243 – Datenschutzkonvention 71, 105–106 – Datenschutzverordnung 77–78, 109–111, 236–237, 243 – EG-Datenschutzrichtlinie 71–72, 107–109, 123, 131, 132, 163, 164 Expansion des Strafrechts 228–229
Facebook siehe Soziales Netzwerk Fahrlässigkeit 59, 80, 110, 198, 207 Fahrzeugregister 139 Falsum 28, 29 Fälschung technischer Aufzeichnungen 64 Fernmeldegeheimnis 29, 32, 60, 95 Fotografie 96, 122 Friedrich, Ariane 44 Gegendarstellung 198 Geheimsphäre 25–32, 39, 41, 85, 108 Generalklausel 33, 101, 163, 212 Generalprävention 113, 230, 238, 246 Geschäftsfähigkeit 174 Gesetzgebungskompetenz 59, 82–83, 111 Gesetzlichkeitsprinzip 91, 101 Gewerbeaufsicht 120 Gewerbsmäßigkeit 52, 69, 72, 137 v. Gierke, Otto 88 Globales Positionsbestimmungssystem 140, 159, 163–166, 181–182, 184, 185, 191–193, 202, 203 Hacker 70, 120, 144, 145, 182 Haushaltsausnahme 72, 117, 123, 125–127, 191–192, 244 Identitätsbetrug 208 Immaterialgüterrecht 51, 99, 100, 236 Immaterieller Schaden 62, 89, 116, 183–184, 192, 207–209, 212, 222 Informationsfreiheit 50, 138, 140, 193 Informationsgesellschaft 105, 227, 228 Injurie 29, 88 INPOL-neu 191 Interessenabwägung 49–50, 73, 150, 164–166, 168, 220, 221, 233 Internet-Provider 122 Intimsphäre 38, 41, 43, 44, 57, 233–234 IP-Adresse 122 Irrtum 158, 165–166 – Verbotsirrtum 50 Juristische Person 34, 50, 54, 63, 114 Kohler, Josef 88 Konkurrenzen 136 Koppelungsverbot 152, 179 Kreditkarte 47, 54, 120, 145
Sachverzeichnis
Lebensschutz 104 Legalitätsprinzip 232 Lidl 200 Markenstrafrecht 236 Marktforschung 98, 124, 148, 150 Medienkonvergenz 81 Melderegister 144, 148, 191 Menschenwürde 58, 90, 104 Mikrozensus 57–58, 61, 90, 241 Mitteilungspflicht 76, 120, 152, 179, 208 Müll siehe Abfall Nachstellung 103, 192, 229, 240 Normambivalenz siehe Normspaltung Normatives Tatbestandsmerkmal 158–161, 179 Normspaltung 168–172 Offenbaren 31, 33–35, 37 Offenkundig siehe Allgemein zugänglich Offizialdelikt 64, 187 Online-Durchsuchung 96 Opportunitätsprinzip 232 Organisatorischer Datenschutz 65, 227 Orwell, George 57 Personenbezogene Daten 25, 26, 29, 34, 48, 50, 54, 55, 60, 63, 80–82, 87, 92, 95–97, 121–123, 130, 152, 155, 166, 192, 240, 244, 245 – Besondere Arten 41, 45, 72, 107, 120, 122, 152, 163, 166, 168, 172, 234 – Gesundheitsdaten, 240 – Bestandsdaten 80 – Bewegungsdaten 159, 163, 164, 166, 181, 184, 185, 190–194, 203 – Erheben 36, 131, 134, 140–142, 145, 164, 203, 244, 245 – Abruf, 143–145, 190–191, 203 – Erschleichen, 70, 145, 230 – Verschaffen, 51–52, 70, 74, 142–144, 245 – Geodaten 140, 192 – Kommerzialisierung 48, 98–101 – Nutzen 76–77, 148–151, 153, 196–197, 203, 210–211 – Zum Abruf bereithalten, 70, 150–151, 165, 203 – Nutzungsdaten 80 – Standortdaten 81, 139, 140, 190, 243
269
– Verarbeiten 35, 59, 63, 65, 125, 145–146, 148, 153, 197, 224 – Löschen, 63, 65, 147–148, 240 – Speichern, 70, 93, 142, 146, 167, 170–172, 197 – Sperren, 147–148 – Übermitteln, 35, 52, 54, 59, 61, 63, 64, 70, 117, 143, 146–147, 149, 150, 152, 196–198, 202–203, 245 – Verändern, 64, 146, 240 – Verkehrsdaten 81 Persönlichkeitsprofil 56, 93, 98, 209, 237, 240–244 Personenkennzeichen 55–56 Phasenorientierter Datenschutz 63 Phishing 21 Podlech, Adalbert 64–65 Polizei 191, 194, 203 Pönalisierungsgebot 103–105 Postgeheimnis 27, 29, 32, 60, 95 Präzisierungsgebot 161 Preußisches Allgemeines Landrecht 30 Privacy 56, 88 Privatdetektiv 136, 159, 163, 164, 181, 186, 193, 194 Privatsphäre 25–32, 38, 39, 41–44, 56, 57, 62–64, 85, 87, 91, 95–96, 98, 108, 126, 141, 172, 233–234 Profiling 242–243 Qualifikation 52, 180, 184, 187 Rationales Desinteresse 213–214 Recht am eigenen Bild 96, 102, 108, 122, 238 Recht am eigenen Wort 96, 238 Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 91, 95–97 Recht auf informationelle Selbstbestimmung 47–48, 63, 67, 87–88, 91–94, 97–105, 118, 165, 172–173, 213, 228–229, 234, 242 Rechtsgut 91, 97, 101, 104, 228–229, 234 – Bestimmtheit 101–102 – der Datenhehlerei 48 – der Straftatbestände der Datenschutzgesetze 86–88, 102–103 – des § 303a StGB 100 – des allgemeinen Indiskretionsdelikts 38 Redundanz 145, 224, 230, 245 Relativität des Personenbezugs 122 Religionsfreiheit 97
270
Sachverzeichnis
Risikogesellschaft 226–228, 230 Risikostrafrecht 226, 228–231 Römisches Recht 26, 28 Rote Armee Fraktion 55 Rote-Linie-Gesetz 208–209, 241 Sanktionsdefizit 204, 209–210, 239 Schadensersatz 61, 69–70, 72, 82, 89, 116, 206–209, 212–213, 219–220, 222–223 Schädigungsabsicht 30, 36, 41, 54, 64, 65, 70, 73–75, 154, 180, 183–185, 192, 194, 244, 246 Scheidungsakten 58–59, 61, 90 Schmerzensgeld 45, 116 Schufa 191, 203 Schutzpflicht 94, 103–105 Schwangerschaft 227 Schwangerschaftsabbruch 104 Schwerwiegende Persönlichkeitsverletzung 89, 152, 167, 179, 192, 208–209, 213, 222, 223 Scoring 146, 242 Selbstdarstellung 87, 96 Sitzlandprinzip 123, 133 Smartphone 227 Soraya 89 Sozialdatenschutz 82, 133 Soziales Netzwerk 44, 47, 54, 127, 131, 134, 142, 224, 242, 243 Sozialgeheimnis 82 Staatsanwaltschaft 194, 215, 232 Stalking siehe Nachstellung Steinmüller, Wilhelm 62–64 Steuer-CD 142 Steuergeheimnis 27 Straßenverkehr 140, 184, 191, 192 Strafantrag 37, 54, 64, 70, 73, 77, 187, 190, 192, 194, 214–215, 221, 246 Strafanzeige 116, 214, 222 Strafbarkeitslücke 46, 53–54, 134, 135, 137, 210, 240 Strafmaß 64, 187, 246 Strafprozess 27, 43 Streuschaden 219 Subsidiarität – des Strafrechts 111, 113–114 – formelle 60, 70 Suchmaschine 79, 93 Symbolisches Strafrecht 145, 230–231 Tätigkeitsbericht 189–190, 201–202, 204 Täuschung 175
Tatbestandsausschließendes Einverständnis 173–178 Technischer Datenschutz 65, 72, 227 Telefonbuch 197 Telekom-Verzeichnis 197 Telekommunikationsdienst 81, 197 Telekommunikationsgestützter Dienst 81 Telemediendienst 79–80, 134, 208 Tierschutz 78, 79, 162 Transparenz 71, 76 Überlassen 52 Übermaßverbot 117 Überwachung 57, 126, 164, 184, 192, 200, 209, 214, 241 Üble Nachrede 38, 39 Ultima ratio 45, 111, 113, 118, 151, 212, 239 Umweltstrafrecht 157, 236, 237 Unbefugt 32, 50, 130, 131, 151, 155–179, 193, 220, 233, 239, 245–246 Unechter Mischtatbestand 74, 84, 115, 129 Unterlassen 80, 152, 198 Unterlassungsanspruch 121, 206 Untermaßverbot 103–104 Untersagungsverfügung 205, 212 Untreue 166, 175 Urheberrecht 51, 168, 172, 236 Urkundenfälschung 29 Verantwortliche Stelle 123–124, 192 Verbotsprinzip 35, 59, 61, 66, 80, 149, 150, 156–158, 172, 244 Verbraucher 76, 120, 174, 220 Verbreiten 52 Verfassungskonforme Auslegung 158, 159 Verhältnismäßigkeit 58, 73, 77, 103, 109, 112, 149, 210, 212, 244 – Angemessenheit 109, 117, 137 – Erforderlichkeit 43–45, 113–116, 204 – Geeignetheit 44, 112–113 Vermögensschutz 30, 47–48, 88, 98–101, 183 Verschwiegenheit 26, 27, 60–62, 154 Versicherung 93, 200 Versuch 53, 70, 186 Verwaltungsakt 129, 205 Verwertungsrecht 98–100 Volkszählungsurteil 35–36, 54, 63, 66–68, 78, 87, 92, 94, 99, 122, 138 Vollzugsdefizit 107, 213–223, 227, 234–235 Vorfeldschutz 62, 92, 97, 105, 147, 151, 186, 207, 229, 244
Sachverzeichnis
271
Vorratsdatenspeicherung 47
Wohnung 95, 141, 167, 244
Waffenstrafrecht 157 Warndatei 167, 170–171 Website 52, 122, 194 Werbung 98, 148, 150, 163 Werturteil 122 Wettbewerbsrecht 120 Wissenschaftliche Forschung 149–150, 153, 196
ZEVIS 150 Zivilprozess 222, 232 Zugänglichmachen 52 Zuständigkeit 215–216 Zweckbindung 59, 67, 69–70, 72, 80, 93–94, 149–150, 174, 196