Datenschutzverletzungen können strafbar sein. Als Geschäftsführer, Mitarbeiter oder Externer wähnt man sich persönlich auf der sicheren Seite, denn Datenschutz ist vermeintlich nur Sache des verantwortlichen Unternehmens. Aber auch abweichend von diesem Grundsatz gibt es einige persönliche Anknüpfungspunkte, die Datenschutz auch für einzelne Personen strafrechtlich relevant werden lassen.
Wir erläutern Ihnen, worauf Sie achten müssen, um keiner persönlichen Strafverfolgung ausgesetzt zu sein.
Strafrechtlicher Anknüpfungspunkt
Man muss nicht gleich „Hacker“ sein, um für Datenschutzverletzungen auch persönlich in die Haftung genommen zu werden. So können auch Mitarbeiter mit Bereicherungs- oder Schädigungsabsicht, Geschäftsinhaber, aber auch Whistleblower bei Rechtsverletzungen in Bezug auf „Daten“ ins Blickfeld von Behörden geraten.
Festzustellen ist, dass die Datenschutzbehörden nach Abflauen der Corona-Pandemie durchaus mehr Eigeninitiative zeigen. Allein in Baden-Württemberg hat sich die Zahl der Kontrollen im Vergleich zum Vorjahr verdoppelt. Nun mögen 71 Kontrollen vor Ort noch eine verhältnismäßig geringe Wahrscheinlichkeit für das einzelne Unternehmen bedeuten. Beschwerden oder Datenpannen bilden aber beispielsweise einen Anlass für eine solche Untersuchung. Hierbei ist die Datenschutzbehörde sogar zur Ermittlung verpflichtet (Art. 57 Abs. 1 lit. a, e, f DSGVO).
Den Datenschutzbehörden sind dann auch Verarbeitungstätigkeiten aufzuschlüsseln (Art. 30 Abs. 4 DSGVO), was die ständige Pflege von Verarbeitungsverzeichnissen unbedingt erforderlich macht. Andernfalls droht hier übrigens auch ein Bußgeld.
Zwar ist auch im Datenschutzrecht niemand verpflichtet, sich selbst zu belasten, das Unternehmen an sich ist jedoch verpflichtet, den Behörden Unterlagen wie die Datenschutzdokumentation offenzulegen. Zusätzlich sind auch Durchsuchungen, Sicherstellungen und Beschlagnahmen sowie Bestandsdatenauskünfte bei Telemediendiensteanbietern denkbar.
Straftatbestände im Überblick
Dabei kommen unterschiedlichste Straftatbestände in Betracht, wenn es um personenbezogene Daten geht.
Das Ausspähen und Abfangen von Daten gemäß §§ 202a ff. StGB ist so ein Straftatbestand. Er schützt den berechtigten Zugang zu Daten. Im Fokus könnten hier EDV-Geräte im Homeoffice sein, zu denen sich Dritte unberechtigt Zugang verschaffen. Auch eine Kaltakquisemaßnahme eines IT-Sicherheitsunternehmens würde hierunter fallen, wenn sich der Mitarbeiter ohne Auftrag Zugang zu Unternehmensdaten verschaffen würde, um auf Sicherheitslücken hinzuweisen. Auch kann unter diesen Tatbestand das Dekompilieren eines Objektcodes fallen, wenn hierdurch Passwörter aufgedeckt werden.
Aber auch neben den klassischen Straftatbeständen des StGB findet sich im Bundesdatenschutzgesetz ein weiterer wichtiger Straftatbestand. § 42 BDSG normiert, dass sich insbesondere der ehemalige Mitarbeiter strafbar macht, der Kundendaten zum neuen Arbeitgeber mitnimmt und verwertet. Entsprechend sieht es auch das Geschäftsgeheimnisgesetz in § 23 GeschGehG.
Darüber hinaus erwähnenswert ist, dass der Betriebsinhaber, der vorsätzlich oder fahrlässig gebotene Aufsichtsmaßnahmen unterlässt, selbst – also persönlich – ordnungswidrig handelt und somit im Rahmen des Gesetzes über Ordnungswidrigkeiten zur Verantwortung gezogen werden kann (§ 130 OWiG). Dies ist insbesondere auf Organisationsverstöße im Bereich des Datenschutzrechts anwendbar.
Selbst Whistleblower müssen Konsequenzen fürchten, wenn sie investigativ vorgehen und sich Zugang zu Daten verschaffen, um Sachverhalte aufzudecken. Denn durch den Schutz des Whistleblowers soll keine interne Überwachung durch Unbeteiligte stattfinden. Auch für diesen ist der unberechtigte Zugriff auf Daten also grundsätzlich tabu.
Die fehlende Einführung eines Meldekanals kann hingegen auch für den Betriebsinhaber ein Bußgeld nach sich ziehen. Bei Bedarf unterstützen wir Sie beispielsweise mit unserer Einstiegslösung für nur 50 € pro Monat. Sprechen Sie uns jederzeit telefonisch oder per E-Mail an. Weitere Informationen hierzu finden Sie auch in unserem Beitrag aus Dezember 2023.
