Die Vorschrift des § 42 Bundesdatenschutzgesetz (BDSG) ist eine zentrale Norm des Datenschutzstrafrechts in Deutschland. Sie unterstreicht den Schutz personenbezogener Daten durch Sanktionsmaßnahmen und schafft eine Grundlage für die Verfolgung schwerwiegender Verstöße gegen datenschutzrechtliche Pflichten. Insbesondere im Arbeitsverhältnis, wo der Umgang mit personenbezogenen Daten alltäglich ist, spielt die Norm eine erhebliche Rolle.
Anwendungsbereich des § 42 BDSG
Der § 42 BDSG richtet sich an „Jedermann“ – das heißt, die Strafbarkeit gilt unabhängig davon, ob jemand als Verantwortlicher nach Art. 4 Nr. 7 DSGVO handelt oder nicht. Es handelt sich um ein Jedermanns-Delikt, sodass sowohl natürliche als auch juristische Personen erfasst sind. Unternehmen und deren Führungskräfte müssen sich der hohen Strafbarkeitsrisiken bewusst sein, die mit einem rechtswidrigen Datenumgang verbunden sind.
Personenbezogene Daten: Für die Anwendung des § 42 BDSG ist entscheidend, dass die betreffenden Informationen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO sind. Darunter fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Tatbestandsmerkmale des § 42 Abs. 1 BDSG
Die Strafbarkeit gemäß § 42 Abs. 1 BDSG setzt folgende kumulativ zu erfüllende Voraussetzungen voraus:
- Wissentliches Handeln: Die Täter müssen bewusst und absichtlich handeln. Fahrlässigkeit genügt nicht.
- Nicht allgemein zugängliche personenbezogene Daten: Die Daten dürfen nicht öffentlich verfügbar sein. Hierzu gehören beispielsweise interne Personalakten oder Kundenlisten.
- Große Zahl von Personen: Eine Strafbarkeit greift nur, wenn Daten einer großen Personengruppe betroffen sind. Die genaue Zahl ist gesetzlich nicht definiert, doch die Praxis orientiert sich an einer „erheblichen Vielzahl“ von Personen, die von der Verletzung betroffen sind.
- Unberechtigte Zugänglichmachung oder Übermittlung:
- Die Tat kann durch die unberechtigte Übermittlung der Daten an Dritte oder durch andere Formen der Zugänglichmachung geschehen.
- Gewerbsmäßigkeit: Ein Handeln ist gewerbsmäßig, wenn der Täter die Absicht verfolgt, sich durch wiederholte Tatbegehung eine Einnahmequelle von einigem Umfang zu schaffen.
Beispielhafte Situationen aus dem Arbeitsverhältnis
- Ein Mitarbeiter verkauft unberechtigt die Adressdaten von Kunden an Werbeagenturen oder Konkurrenten.
- Der Arbeitgeber stellt interne Mitarbeiterdaten ohne Einwilligung der Betroffenen auf einer frei zugänglichen Plattform online.
Die Sanktion für Verstöße gegen § 42 Abs. 1 BDSG beträgt bis zu drei Jahre Freiheitsstrafe oder Geldstrafe.
Tatbestand des § 42 Abs. 2 BDSG: Erschleichung und Bereicherung
§ 42 Abs. 2 BDSG enthält eine weitere Tatbestandsvariante, die gezielt die unberechtigte Verarbeitung von personenbezogenen Daten unter zusätzlichen Voraussetzungen erfasst. Diese liegen vor, wenn:
- die Daten ohne Berechtigung verarbeitet werden oder
- die Daten durch unrichtige Angaben erschlichen werden (etwa durch Täuschung).
Hinzu kommt das Merkmal der Bereicherungsabsicht oder Schädigungsabsicht:
- Die Täter müssen entweder eine eigene oder fremde finanzielle Bereicherung anstreben oder die Absicht haben, einer anderen Person Schaden zuzufügen.
Auch hier beträgt die Strafandrohung bis zu zwei Jahre Freiheitsstrafe oder Geldstrafe.
Antragserfordernis gemäß § 42 Abs. 3 BDSG
Die Strafverfolgung setzt gemäß Abs. 3 grundsätzlich einen Strafantrag voraus. Antragsberechtigt sind:
- die betroffene Person,
- der Verantwortliche (z. B. das Unternehmen, dessen Daten betroffen sind),
- die Datenschutzaufsichtsbehörde oder
- der Bundesdatenschutzbeauftragte.
Dies verdeutlicht, dass nicht jeder Verstoß automatisch zu einer strafrechtlichen Verfolgung führt. Die betroffenen Stellen müssen aktiv werden, um ein Strafverfahren in Gang zu setzen.
Verwertungsverbot nach § 42 Abs. 4 BDSG
Ein besonderes rechtliches Problem ergibt sich aus § 42 Abs. 4 BDSG, der sich mit dem Verwertungsverbot in Strafverfahren befasst. Demnach dürfen Meldungen über Datenschutzverletzungen gemäß Art. 33 und 34 DSGVO nicht ohne Zustimmung des Meldepflichtigen oder Benachrichtigenden im Strafverfahren gegen diesen verwendet werden. Dies schützt Unternehmen oder Mitarbeiter vor der Gefahr der Selbstbelastung und fördert die Meldung von Datenschutzverstößen, ohne die Strafbarkeit zu erhöhen.
Praktische Herausforderungen und arbeitsrechtliche Relevanz
Im Arbeitsumfeld entstehen oft Konflikte zwischen Datenschutz, Arbeitsrecht und Geschäftsinteressen. Beispielsweise könnte ein Arbeitgeber aus betriebswirtschaftlichen Gründen Druck auf Beschäftigte ausüben, Datenschutzregeln zu umgehen. Solche Handlungen setzen das Unternehmen jedoch einem erheblichen Risiko aus.
Fallstricke für Unternehmen
- Unrechtmäßige Weitergabe von Bewerberdaten an Dritte.
- Nutzung von Mitarbeiterdaten zu Überwachungszwecken ohne Rechtsgrundlage.
- Verkauf von Kundendaten ohne Einwilligung oder gesetzliche Berechtigung.
Für Unternehmen und ihre Führungskräfte ist es daher essenziell, klare Compliance-Strukturen zu schaffen, um Verstöße gegen § 42 BDSG zu verhindern. Dazu gehören:
- Schulungen für Mitarbeiter,
- Einführung eines Datenschutzmanagementsystems,
- regelmäßige Kontrolle von Datenschutzrichtlinien.
Die Problematik des § 42 BDSG im Kontext der Suche nach Sicherheitslücken und Pentesting liegt in der potenziellen Überschneidung zwischen legaler Sicherheitsprüfung und strafrechtlich relevanten Handlungen. Pentester, die im Auftrag von Unternehmen Sicherheitslücken aufdecken sollen, arbeiten regelmäßig mit sensiblen Daten oder simulieren Angriffe auf Systeme. Dabei kann es vorkommen, dass sie auf personenbezogene Daten zugreifen, die nicht allgemein zugänglich sind.
Hier droht ein Konflikt mit § 42 Abs. 1 BDSG, der die unberechtigte Zugänglichmachung oder Übermittlung solcher Daten unter Strafe stellt. Selbst wenn das Ziel des Pentests die Stärkung der IT-Sicherheit ist, kann der Zugriff auf personenbezogene Daten – ohne klare vertragliche Regelung und ausdrückliche Legitimation durch den Auftraggeber – als unberechtigt gewertet werden.
Ein weiteres Risiko entsteht, wenn Pentester die gesetzlichen Grenzen überschreiten, etwa durch nicht vereinbarte Simulationen oder übertriebene Zugriffe, die über den Auftrag hinausgehen. Compliance und klare vertragliche Absprachen, einschließlich Haftungsausschlüsse und Rechtsgrundlagen für den Datenzugriff, sind daher unerlässlich, um Strafbarkeitsrisiken zu minimieren und den gesetzlichen Anforderungen des BDSG zu entsprechen.
Verteidigungsansätze bei Vorwurf der Strafbarkeit nach § 42 BDSG
Vorsatz
Die Strafbarkeit nach § 42 BDSG setzt vorsätzliches Handeln voraus. Es gilt hier zu differenzieren zwischen dolus directus (Absicht) und dolus eventualis (bedingter Vorsatz). Bedingter Vorsatz liegt nur vor, wenn der Täter die Tatumstände kennt und deren Eintritt billigend in Kauf nimmt. In der Praxis besteht hier häufig Spielraum zur Argumentation, dass lediglich bewusste Fahrlässigkeit vorliegt, was zur Straffreiheit führt.
Beispiel: Wenn der Betroffene im Rahmen eines Pentests auf sensible Daten zugreift, jedoch davon ausgeht, dass sein Zugriff durch den Auftrag gedeckt ist, fehlt der Vorsatz.
Berechtigung zur Verarbeitung der Daten
Ein zentraler Verteidigungsansatz liegt darin nachzuweisen, dass der Zugriff auf die personenbezogenen Daten rechtlich legitimiert war. Die Berechtigung kann sich aus verschiedenen Rechtsgrundlagen ergeben, etwa:
- Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a DSGVO.
- Vertragliche Regelungen, etwa bei Aufträgen zur IT-Sicherheitsprüfung oder Pentesting.
- Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO, z. B. wenn der Zugriff zur Abwehr von Sicherheitslücken dient.
Hier ist die Beweisführung entscheidend, etwa durch Verträge oder schriftliche Vereinbarungen mit dem Auftraggeber.
Personenzahl
Nach § 42 Abs. 1 BDSG muss der Zugriff auf personenbezogene Daten eine „große Zahl von Personen“ betreffen. Diese Voraussetzung ist gesetzlich nicht klar definiert. Die Verteidigung könnte argumentieren, dass die Zahl der betroffenen Personen zu gering war, um den Tatbestand zu erfüllen.
Praktische Frage: Sind 100 betroffene Personen ausreichend? Oder benötigt es mehrere Tausend? Hier bestehen Interpretationsspielräume, die zugunsten des Beschuldigten genutzt werden können.
Gewerbsmäßigkeit
Der Begriff der Gewerbsmäßigkeit setzt voraus, dass der Täter durch wiederholte Begehung der Tat eine fortlaufende Einnahmequelle von gewisser Dauer und Erheblichkeit schaffen will. Ein einmaliger Zugriff im Rahmen eines Pentests oder einer Sicherheitsprüfung kann diesen Anforderungen nicht genügen. Ebenso muss (Absatz 2!) geprüft werden, ob überhaupt ein Entgelt im Raum steht.
Argument: Handelt es sich um einen Einzelfall oder lag die Handlung in einem klar abgegrenzten und rechtmäßigen Auftrag?
Selbstbelastungsverbot
Ein besonders wichtiger Verteidigungsansatz ist das in § 42 Abs. 4 BDSG verankerte Verwertungsverbot. Demnach dürfen Meldungen oder Benachrichtigungen, die gemäß Art. 33 und Art. 34 DSGVO vorgenommen wurden, nicht ohne Zustimmung des Meldepflichtigen oder Benachrichtigenden gegen diesen verwendet werden.
Dieser Grundsatz (Nemo-tenetur-Prinzip) schützt den Beschuldigten vor der Selbstbelastung und stellt sicher, dass seine Angaben zur Meldung eines Datenschutzvorfalls nicht strafrechtlich gegen ihn verwendet werden dürfen.
Beispiel: Wenn der Betroffene ein Datenleck im Rahmen der gesetzlichen Meldepflicht an die Datenschutzbehörde meldet, darf diese Information nicht als Grundlage für ein Strafverfahren gegen ihn genutzt werden.
Bestimmtheit
In der juristischen Diskussion wird die Vereinbarkeit des § 42 BDSG mit dem Bestimmtheitsgrundsatz nach Art. 103 Abs. 2 GG infrage gestellt. Insbesondere die unklare Definition von Begriffen wie „große Zahl“ oder „Erschleichen“ bietet Angriffspunkte. Hier kann argumentiert werden, dass der Tatbestand zu unbestimmt ist, um eine Strafbarkeit zu begründen.
Fazit: Compliance als Schlüssel zur Risikominimierung
Die Strafbarkeit nach § 42 BDSG stellt eine ernstzunehmende Gefahr für Unternehmen und Beschäftigte dar. Gerade im Arbeitsverhältnis, wo der Zugriff auf personenbezogene Daten alltäglich ist, können Verstöße schnell entstehen. Unternehmen sollten daher:
- Datenschutz als integralen Bestandteil der Unternehmensstrategie verstehen,
- klare Richtlinien zur Datenverarbeitung schaffen,
- Mitarbeiter regelmäßig schulen und auf die Risiken hinweisen.
In der Praxis bedeutet dies, dass Datenschutzverpflichtungen nicht nur aus der Perspektive der DSGVO, sondern auch unter strafrechtlichen Gesichtspunkten geprüft werden müssen. Denn im Ernstfall drohen nicht nur Bußgelder, sondern auch persönliche Strafbarkeitsrisiken für Verantwortliche und Mitarbeiter.
Das heimliche Mitlesen in Handys, die heimliche Verwendung von Trackern, der Zugriff auf Daten von Mitarbeitern bei der Polizei, Justiz oder in Rathäusern sowie das Suchen von Sicherheitslücken – all das sind die häufigsten Gründe, in denen ich im Datenschutzstrafrecht zu verteidigen habe.
Wenn einem selbst der Vorwurf einer Straftat nach §42 BDSG gemacht wird, muss die Verteidigung – wie in allen Strafverteidigungen – dem Einzelfall überlassen sein. Die Verteidigung bei einem Vorwurf nach § 42 BDSG konzentriert sich auf:
- Zweifel an der Bestimmtheit des Tatbestands.
- Fehlen des Vorsatzes oder der Gewerbsmäßigkeit.
- Nachweis einer rechtlichen Berechtigung zur Datenverarbeitung.
- Prüfung der Voraussetzungen wie „große Zahl von Personen“.
- Geltendmachung des Selbstbelastungsverbots nach § 42 Abs. 4 BDSG.
- Prüfen des Entgelts bzw. der Gewerbsmäßigkeit
- Mängel beim Strafantrag (schwacher Prüfpunkt!)
- D&O-Versicherung und das automatische Vertragsende bei Insolvenz - 23. Januar 2025
- Sozialversicherungsbeiträge im Wirtschaftsstrafrecht - 23. Januar 2025
- Jugendstrafrecht und seine Anwendung - 23. Januar 2025