Wo beginnt die rote Linie des § 42 BDSG: Der Schutz personenbezogener Daten ist heute nicht nur eine Frage des Vertrauens, sondern auch des Rechts. Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und der Anpassung des Bundesdatenschutzgesetzes (BDSG) steht fest: Wer mit Daten leichtfertig umgeht, riskiert nicht nur Bußgelder, sondern unter Umständen auch strafrechtliche Konsequenzen. Doch wo genau verläuft die Grenze zwischen einem bloßen Verstoß gegen Datenschutzregeln und einer strafbaren Handlung? § 42 BDSG normiert diese Grenze – und wirft zugleich zahlreiche Fragen auf.
Warum gibt es überhaupt Strafvorschriften im Datenschutzrecht?
Datenschutz ist kein Selbstzweck, sondern dient dem Schutz grundrechtlich garantierter Freiheiten. Die DSGVO sieht zwar hohe Bußgelder für Verstöße vor, überlässt es aber den Mitgliedstaaten, zusätzliche Sanktionen zu schaffen. Deutschland hat mit § 42 BDSG eine strafrechtliche Schärfe eingeführt, die über reine Geldbußen hinausgeht. Der Gesetzgeber wollte damit klarstellen: Wer Daten missbräuchlich nutzt, handelt nicht nur ordnungswidrig, sondern unter bestimmten Umständen auch kriminell.
Doch nicht jeder Datenschutzverstoß ist strafbar. § 42 BDSG zielt auf besonders schwere Fälle ab – etwa wenn Daten gewerbsmäßig weitergegeben oder gegen Entgelt erschlichen werden. Die Vorschrift ist bewusst eng gefasst, um den Unterschied zwischen fahrlässigen Fehlern und vorsätzlichem, profitgetriebenem Datenmissbrauch zu markieren. Während ein versehentliches Versenden einer E-Mail an den falschen Empfänger meist „nur“ ein Bußgeld nach sich zieht, kann die systematische Weitergabe von Kundendaten an Dritte gegen Bezahlung sehr wohl hinter Gittern enden.
Wann wird aus einem Datenschutzverstoß eine Straftat?
1. Die gewerbsmäßige Weitergabe von Daten (§ 42 Abs. 1 BDSG)
Der erste Absatz des § 42 BDSG bestraft das wissentliche Zugänglichmachen nicht allgemein zugänglicher personenbezogener Daten einer großen Zahl von Personen, sofern dies gewerbsmäßig geschieht. Doch was bedeutet das konkret?
- „Große Zahl von Personen“: Hier scheiden sich die Geister. Während manche Kommentatoren bereits ab 20 Betroffenen von einer „großen Zahl“ sprechen, verlangen andere – insbesondere bei digitalen Datenbeständen – deutlich höhere Schwellen. Ein einzelner Datensatz reicht nicht; es muss sich um einen massenhaften Zugriff handeln, etwa auf ganze Kunden- oder Patientendatenbanken.
- „Nicht allgemein zugänglich“: Daten, die ohnehin öffentlich sind (z. B. Telefonbucheinträge), fallen nicht darunter. Problematisch wird es bei internen Unternehmensdaten, behördlichen Akten oder medizinischen Unterlagen, die nur einem begrenzten Kreis zugänglich sein sollten.
- „Gewerbsmäßig“: Wer Daten wiederholt und mit der Absicht einer dauerhaften Einnahmequelle weitergibt, handelt gewerbsmäßig. Ein einmaliger Verkauf von Adresslisten reicht dafür nicht aus – es muss eine gewisse Systematik erkennbar sein.
- „Wissentlich“: Der Täter muss sich bewusst sein, dass er unbefugt handelt. Wer irrtümlich annimmt, zur Datenweitergabe berechtigt zu sein, bleibt straffrei.
Beispiel: Ein ehemaliger Mitarbeiter kopiert vor seinem Ausscheiden tausende Kundendaten und verkauft sie an ein Callcenter. Hier liegen alle Voraussetzungen vor: große Datenmenge, gewerbsmäßiges Handeln, fehlende Berechtigung.
2. Organisationsversagen
Die Strafbarkeit von Datenschutzverstößen ist in besonderen Einzelfällen von Relevanz – und überall dort, wo Hierarchien eine Rolle spielen. Denn immer, wenn ein Einzelner in einem Unternehmen oder einer Behörde Daten abgeschöpft hat, stellt sich die Frage der Verantwortlichkeit des Managements!
Dabei geht es gar nicht darum, ob das Management selbst aktiv beteiligt war, sondern vielmehr, ob man die notwendigen und gebotenen Kontroll- und Schutzmechanismen eingerichtet hat. Das Stichwort lautet Managerhaftung und hier lauern üble Fallen, die strafrechtlich, zivilrechtlich und ordnungswidrigkeitenrechtlich eine Rolle spielen können … und werden. Kurzum: Wenn Ihre Verteidigung als Führungspersönlichkeit ist, zu sagen „Ich habe doch nichts gemacht“ dann sollten Sie verstehen, dass genau dieses Nichtstun der Vorwurf sein wird.
3. Datenverarbeitung gegen Entgelt oder mit Schädigungsabsicht (§ 42 Abs. 2 BDSG)
Noch weiter geht Absatz 2, der bereits die unbefugte Verarbeitung oder Erschleichung von Daten unter Strafe stellt – allerdings nur, wenn dies gegen Entgelt oder mit Bereicherungs- bzw. Schädigungsabsicht geschieht.
- „Verarbeitung“: Gemeint ist jeder Umgang mit Daten, vom Speichern über das Ändern bis zum Löschen. Wer etwa als Detektiv ohne rechtliche Grundlage Bewegungsprofile erstellt, kann sich strafbar machen.
- „Erschleichen“: Wer durch falsche Angaben (z. B. Vortäuschen einer behördlichen Anfrage) an Daten gelangt, handelt tatbestandsmäßig. Ein klassisches Beispiel ist das „Social Engineering“, bei dem sich Täter als Kollegen oder Behördenmitarbeiter ausgeben.
- „Entgelt oder Schädigungsabsicht“: Es reicht, wenn der Täter für seine Dienste bezahlt wird – selbst wenn er am Ende keinen Gewinn macht. Auch die bloße Absicht, jemanden zu schädigen (etwa durch gezielte Bloßstellung), genügt.
Beispiel: Ein IT-Administrator nutzt seine Zugriffsrechte, um private Fotos eines Kollegen zu stehlen und diese im Internet zu verbreiten, um ihn zu diffamieren. Selbst wenn er kein Geld dafür erhält, kann die Schädigungsabsicht die Strafbarkeit begründen.
Wo liegen die Grenzen der Strafbarkeit?
Nicht jeder Datenschutzverstoß ist strafbar – und das ist auch gut so. § 42 BDSG setzt hohe Hürden, um Bagatellfälle auszuschließen:
- Keine Strafbarkeit bei Fahrlässigkeit: Wer aus Unachtsamkeit Daten verliert, macht sich nicht nach § 42 BDSG strafbar. Hier greifen allenfalls Bußgelder.
- Keine Strafbarkeit ohne Vorsatz: Wer nicht weiß, dass er gegen Datenschutzrecht verstößt, bleibt straffrei. Allerdings kann grobe Fahrlässigkeit (z. B. das Ignorieren klarer Compliance-Regeln) zivilrechtliche oder bußgeldrechtliche Folgen haben.
- Antragserfordernis: Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche (z. B. das Unternehmen), der Bundesbeauftragte für Datenschutz oder die Aufsichtsbehörde. Ohne Antrag bleibt es bei einer Strafanzeige oft bei der Akte.
- Verwertungsverbot für Selbstanzeigen: Wer eine Datenschutzpanne meldet, muss nicht befürchten, dass diese Meldung später gegen ihn verwendet wird – ein wichtiger Anreiz für Transparenz.
Praktische Herausforderungen: Warum § 42 BDSG selten angewendet wird
Trotz der klaren Regelung bleiben Strafverfahren nach § 42 BDSG die klare Ausnahme. Auch in von hier aus verteidigten Fällen zeigt sich regelmäßig erhebliches Verteidigungspotenzial, tatsächlich kam es in hiesigen Fällen noch nie zu einem Urteil – aus einfachen Gründen:
- Beweisschwierigkeiten: Vorsatz und Gewerbsmäßigkeit sind oft schwer nachzuweisen. Viele Täter handeln im Verborgenen, und digitale Spuren lassen sich manipulieren. Gar nicht selten ist die Motivlage aber auch ganz anders gelegen, sodass man aus dem engen Anwendungsbereich des §42 BDSG schnell herauskommen kann … außer natürlich man plappert sich um Kopf und Kragen.
- Konkurrenz zu anderen Straftatbeständen: Häufig greifen andere Vorschriften, etwa § 202a StGB (Ausspähen von Daten) oder § 263 StGB (Betrug). Die Staatsanwaltschaften setzen oft auf diese „klassischen“ Delikte, statt sich auf das komplexe Datenschutzstrafrecht einzulassen.
- Geringe Fallzahlen: Die Statistik zeigt, dass § 42 BDSG in der Praxis kaum eine Rolle spielt. 2019 gab es bundesweit nur 16 Verurteilungen – ein Indiz dafür, dass entweder die Hürden zu hoch sind oder die Strafverfolgung andere Prioritäten setzt.
Fazit: § 42 BDSG als scharfes Schwert mit stumpfer Klinge?
§ 42 BDSG ist ein wichtiges Signal: Wer Daten missbraucht, muss mit harten Konsequenzen rechnen. Doch die praktische Anwendung bleibt schwierig. Unternehmen und Behörden sollten die Vorschrift dennoch ernst nehmen – nicht nur wegen des Strafrisikos, sondern auch wegen der Reputationsschäden, die ein Datenskandal nach sich zieht. Dabei stellen sich gerade in der Organisationshaftung (siehe oben) einige Probleme. Für Verantwortliche bedeutet das:
- Prävention ist alles: Ein robustes Datenschutzmanagement minimiert nicht nur Bußgeldrisiken, sondern auch das Strafbarkeitsrisiko für Mitarbeiter.
- Schulungen sind Pflicht: Wer seine Mitarbeiter nicht über die Grenzen der Datenverarbeitung aufklärt, handelt fahrlässig – und riskiert im Schadensfall Haftungsfragen.
- Im Zweifel melden: Dank des Verwertungsverbots in Absatz 4 ist eine Selbstanzeige oft der bessere Weg als Vertuschung.
Am Ende zeigt § 42 BDSG: Datenschutz ist kein bloßer Papiertiger, sondern kann im Einzelfall auch mit einer Strafe enden. Doch solange die Strafverfolgung andere Wege geht, bleibt die Abschreckungswirkung begrenzt. Vielleicht ist das auch gut so – denn nicht jeder Fehler verdient ein Strafverfahren. Aber wer bewusst und gewinnorientiert Daten missbraucht, sollte wissen: Die rote Linie ist gezogen. Und sie ist scharf.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
