Datenschutz-Grundverordnung und das Strafrecht

Die europäische Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG) wird vom 25. Mai 2018 unmittelbar geltendes Recht darstellen. Der deutsche Gesetzgeber hat zur Anpassung des nationalen Rechts aus diesem Anlass ein entsprechendes Bundesgesetz erlassen (Datenschutz-Anpassungs- und Umsetzungsgesetz EU; BGBl. I 2097). Dieses enthält im Wesentlichen eine Neufassung des Bundesdatenschutzgesetzes und damit auch eine Neuregelung der dortigen Straf- und Ordnungswidrigkeitenvorschriften.

1. Neuregelung des Datenschutzrechts

Die Datenschutz-Grundverordnung ist mit erheblichen Änderungen im Recht des Datenschutzes verbunden. Die Verordnung soll insbesondere der Schaffung eines europaweit einheitlichen Niveaus des Datenschutzes dienen. Die im Einzelnen getroffenen Neuregelungen können an dieser Stelle nicht näher erörtert werden. Im Einzelnen sind sie zu vielfältig und – insbesondere im Detail – kaum zu überblicken.

Der Verordnung kommt Anwendungsvorrang zu. Sofern sie Regelungen trifft, findet nationales Recht keine Anwendung. In weiten Bereichen regelt sie damit das materielle Datenschutzrecht unabhängig von nationalen Rechtsvorschriften.

2. Straf- und Bußgeldvorschriften

Eine  unionsrechtliche Gesetzgebungskompetenz auf dem Gebiet des Strafrechts besteht jedoch nicht. Die Datenschutz-Grundverordnung enthält allerdings in Art. 84 die Berechtigung und Verpflichtung der Mitgliedstaaten, wirksame Sanktionen für Verstöße gegen die Vorschriften der Verordnung vorzusehen. Dem kommt der Bundesgesetzgeber insbesondere durch den neu gefassten § 42 BDSG nach. Dieser lautet nunmehr wie folgt:

§ 42 BDSG

1. Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,

1. einem Dritten übermittelt oder

2. auf andere Art und Weise zugänglich macht  

und hierbei gewerbsmäßig handelt.

2. Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,

1. ohne hierzu berechtigt zu sein, verarbeitet oder

2. durch unrichtige Angaben erschleicht

und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

3. Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte und die Aufsichtsbehörde.

[…]

 § 43 BDSG-Neu sieht dagegen folgende Ordnungswidrigkeiten vor:

1. Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. entgegen § 30 Absatz 1 ein Auskunftsverlangen nicht richtig behandelt oder

2. entgegen § 30 Absatz 2 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet.

2. Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.

3. Gegen Behörden und sonstige öffentliche Stellen im Sinne des  § 2 Absatz 1 werden keine Geldbußen verhängt.

[…]

Dies bedeutet eine vollständige Neufassung der Bußgeld- und Strafvorschriften, die schon in der Regelungstechnik deutlich von dem bisherigen Rechtsstand abweicht. So enthält § 43 BDSG der bislang geltenden Fassung einen Katalog einzelner Verstöße (Abs. 1), welcher durch den allgemeiner gefassten Abs. 2 ergänzt wird. § 44 BDSG enthält für qualifizierte Verstöße gegen diese Vorschrift (noch) eine Strafvorschrift. Demgegenüber sind sowohl die Strafvorschrift des § 42 BDSG n.F. als auch die Bußgeldvorschrift des § 43 BDSG n.F. abstrakter und weniger einzelfallbezogen gefasst. Ob dies allerdings zu einer wesentlich häufigeren Anwendung der Strafnormen führen wird, bleibt abzuwarten.

In Bezug auf die neu geschaffene Strafvorschrift wird insbesondere das Merkmal der fehlenden Berechtigung („ohne hierzu berechtigt zu sein“) zentrale Bedeutung besitzen. Problematisch dürfte insofern insbesondere sein, dass auf diese Weise die europäischen Vorschriften zum materiellen Datenschutz inzident zu berücksichtigen sein werden. Angesichts der oftmals schwierig zu überblickenden Reichweite dieser Vorschriften belastet dies den Tatbestand mit erheblichen Unsicherheiten. Ein solches Zusammenspiel des deutschen Strafrechts mit europäischen Normen ist zwar nicht ungewöhnlich, aber nie unproblematisch. Zudem stellen sich Fragen nach dem Anwendungsbereich von Irrtümern in diesem Bereich. Es sprechen gute Gründe dafür, einen Rechtsirrtum in Bezug auf das europäische Datenschutzrecht auch als echten Tatbestandsirrtum anzusehen.

3. Ausblick

Die Datenschutz-Grundverordnung führt zu einer Neufassung und Neuordnung des Datenschutzrechts. Dies hat auch für das Straf- und Ordnungswidrigkeitenrecht Bedeutung, da die entsprechenden Vorschriften das europäische Recht in Bezug nehmen. Die praktischen Auswirkungen sind gegenwärtig noch in keiner Weise absehbar; mit Inkrafttreten der Neufassung des BDSG wird sich dies zeitnah ändern. Für die Verteidigung gegen entsprechende Vorwürfe bieten sich allein aufgrund der Regelungstechnik zahlreiche Anhaltspunkte.