16. April 2012
Datenschutz-Straftaten
Datenschutzrecht

Initiative zur Betreuung vernachlässigter Gesetze – heute: Datenschutz-Straftaten

Im Anschluss an die Presseschau der Vorwoche sahen wir uns übers Wochenende genötigt, nun doch die „Initiative zur Betreuung vernachlässigter Gesetze (IBVG)″ zu gründen. Als satzungsgemäßes Ziel haben wir uns die Aufklärung der Öffentlichkeit über die Existenz von Rechtsnormen auf die Fahnen geschrieben, die (oft genug völlig zu Unrecht) auch von professionellen Rechtsanwendern und -gestaltern unberücksichtigt gelassen werden. Schon vor längerer Zeit hatten wir über das Damoklesschwert des Strafrechts jenseits von Mord und Totschlag berichtet, jetzt gibt es angesichts der Gesetzgebungspläne zur sog. „Datenhehlerei″ erneut Anlass für einen kritischen Zwischenruf.

Schon Ende März hatte der hessische Justizminister Jörg-Uwe Hahn (aktuell Vorsitzender der Justizministerkonferenz) erstmals angekündigt, auf Länderebene für die Einführung eines neuen Straftatbestandes der „Datenhehlerei″ werben zu wollen, mit dem der Umgang mit illegal ausgespähte Daten von Kreditkarten oder Zugangscodes für Online-Dienste sanktioniert werden soll. Am letzten Donnerstag setzte die „Süddeutsche Zeitung″ das Thema mit einem Bericht auf der Titelseite ihrer Printausgabe nochmals auf die Agenda. Hahn ließ sich mit den markigen Worten

„Wenn man die persönlichen Daten anderer für seine eigenen finanziellen Interessen missbraucht und massiv in ihre Persönlichkeitsrechte eingreift, dann muss dies unter Strafe stehen.″

zitieren und meint weiter:

  ″Das Strafrecht muss mit der Digitalisierung Schritt halten″.

Zur Begründung verweist er auf eine vermeintliche Strafbarkeitslücke („Was bei einem gestohlenen Mobiltelefon oder Fahrrad strafbar ist, muss auch für Datensätze gelten″) und auf Klagen von Ermittlern, die gegen Datenhändler angeblich oft machtlos seien: Die Verkäufer der Daten seien nicht unbedingt zugleich die Täter, die das Material zuvor illegal beschafft hätten, und die Käufer wiederum seien nicht in jedem Fall die Täter, die diese Daten am Ende betrügerisch einsetzten.

Herrn Hahn ist dabei möglicherweise entgangen, dass auch das Strafrecht der Digitalisierung wesentlich näher auf den Fersen ist als es auf den ersten Blick scheint. Und damit sind wir schon mitten im Bereich der vernachlässigten Gesetze, konkret der zahlreichen Bestimmungen des Nebenstrafrechts. Diese über eine erkleckliche Vielzahl von Gesetzen versprengten Regelungen zählt auch das „Datenschutzstrafrecht″ (§ 44 BDSG) und die Strafbestimmungen zum Schutz von Betriebs- und Geschäftsgeheimnissen in §§ 17, 18 UWG. Unmittelbar nach dem ersten Bericht über die Hahn’schen „Datenhehlerei″-Pläne hatte Jens Ferner als erster zutreffend darauf hingewiesen, dass die vermeintliche Strafbarkeitslücke in vielen Fällen so nicht existieren dürfte (dafür gibt es eine IBVG-Ehrenmitgliedschaft - wir waren am nämlichen Tage vornehmlich mit dem gelungenen TelepolisTelemedicus-Aprilscherz befasst…).

Diesem Votum schließen wir uns von ganzem Herzen an.

Denn in den von Jörg-Uwe Hahn beschriebenen Fällen dürfte es weit überwiegend um „personenbezogene Daten″ im Sinne von § 3 Abs. 1 BDSG gehen, deren unbefugte Erhebung und Verarbeitung über § 43 Abs. 2 Nr. 1 BDSG in Bereichungs- oder Schädigungsabsicht nach § 44 Abs. 1 BDSG mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe bedroht ist. Dies gilt jedenfalls dann, wenn man (wie die meisten Aufsichtsbehörden) der Lehre vom „absoluten Personenbezug″ folgt. Ist danach der Anwendungsbereich des BDSG eröffnet, wird jedenfalls ein erheblicher Anteil der „Datenhehlerei″-Fälle von der Datenschutzstrafnorm in § 44 Abs. 1 BDSG erfasst sein. Denn bereits die unbefugte Beschaffung eines Datensatzes stellt eine Erhebung (§ 3 Abs. 3 BDSG) dar, die „Verarbeitung″ umfasst nach § 3 Abs. 4 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten. Damit sind wohl sämtliche relevanten Aspekte des (technischen) Umgangs mit einem Datensatz beschrieben – auch wenn §§ 44 Abs. 1, 43 Abs. 2 BDSG die unbefugte „Nutzung″ (also jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung″ handelt) im Hinblick auf das Bestimmtheitsgebot nicht erwähnt. Und anders als in vielen „Alltagsfällen″ dürfte auch der oft so diffizile Nachweis der von § 44 Abs. 1 BDSG geforderten Schädigungs- oder Bereicherungsabsicht (zur Einstellung von Strafverfahren aus diesem Grunde etwa hier) bei der per se kriminell motivierten „Datenhehlerei″ nur wenig Schwierigkeiten bereiten.

Etwas komplexer könnte die nebenstrafrechtliche Sanktionierung von „Datenhehler″-Fällen nach § 17 UWG werden. Denn bei vielen der von Jörg-Uwe Hahn beschrieben Daten dürfte die Qualifikation als „Geschäftsgeheimnis″ schwerfallen. Sind Angaben zu Bank- oder Kreditkartenkonten oder die Zugangsdaten für einen Onlinedienst tatsächlich „auf ein ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung der Rechtsträger ein berechtigtes Interesse hat″? Auf ein „trade secret″ hatte sich etwa Facebook zur Abwehr von Auskunftsansprüchen berufen.

Es bleibt zu hoffen, dass die in wahlkampfreichen und umfrageergebnisarmen Zeiten geborene Idee aus Hessen im Rahmen der angekündigten Bundesratsinitiative noch weiter geprüft wird. Die erste Reaktion aus dem Bundesjustizministerium lässt vermuten, dass dabei auch die vorgebliche „Strafbarkeitslücke″ kritisch auf den Prüfstand gestellt wird. Selbst dann dürfte es dem Schwert des Strafrechts auch weiterhin oft an der gewünschten Schärfe fehlen - erheblicher Ermittlungsaufwand und beschränkte Ressourcen bei den Strafverfolgungsbehörden führen wohl auch in Zukunft oft genug zu Einstellung von Verfahren.

Warten wir es ab…

Tags: BDSG-Straftaten Damoklesschwert Datenhehlerei Gesetzgebung IBVG Jörg-Uwe Hahn Justizministerkonferenz Kreditkartendaten Strafrecht Süddeutsche Zeitung UWG-Straftaten Zugangscodes