Erst nach Veroeffentlichung des Artikels "Computerkriminalitaet in der Kriminalstatistik" (siehe CW Nr.35 vom 28. August 1992, Seite 47) wurde dem Autor bewusst, dass dort ein wichtiges Delikt uebersehen wurde, das zur Gruppe "Computerkriminalitaet" gerechnet werden muss. Doch das ging nicht allein ihm so, auch die Kriminalstatistiker haben vergessen, unter dem Summenschluessel "8970 - Computerkriminalitaet" die Verstoesse gegen das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze (Statistikschluessel 7280) zu summieren.

Selbst wenn dies geschehen waere, haette die Statistik aber nicht alle einschlaegigen Delikte erfasst. Wenn man unter Computerkriminalitaet im engeren Sinne alle Straftaten versteht, bei denen die DV Tatbestandsmerkmal ist, dann gehoeren Straftaten gegen Datenschutzgesetze zweifelsohne dazu. Unter Statistikschluessel 7280 werden jedoch nur die direkten Verstoesse gegen Bundes- und Landesdatenschutzgesetze gezaehlt, nicht aber Missachtungen der sogenannten speziellen Datenschutzvorschriften, die in vielen anderen Gesetzesvorschriften enthalten sind. Zu diesen gehoert Paragraph 203 StGB (Verletzung von Privatgeheimnissen), Paragraph 34 ff.Strassenverkehrsgesetz, Paragraph 26 Abs.5 Strassenverkehrs-Zulassungsordnung (Auskuenfte ueber Kfz-Halter etc.) sowie diverse gesetzliche Regelungen aus der Strafprozessordnung.

Hinzu kommt, dass die Polizeiliche Kriminalstatistik (PKS) nicht nur gegenueber Datenschutzdelikten nicht voellig ausdifferenziert ist. Beispielsweise werden Verstoesse gegen Paragraph 203 StGB (Verletzung von Privatgeheimnissen) unter dem Summenschluessel 6700 rubriziert. Hier werden aber auch alle "sonstigen Straftaten gegen das StGB ohne Verkehrsdelikte" gezaehlt. Dazu gehoeren beispielsweise Meineid, Stoerung der Totenruhe oder Doppelehe und damit zweifelsohne viele Delikte, die nicht zu den Verstoessen gegen Datenschutzbestimmungen zu rechnen sind. Ausserdem gibt es beim Paragraph 203 StGB auch Tatbegehungsformen ohne Computer, die man natuerlich ebenfalls nicht zur Computerkriminalitaet rechnen kann.

Damit sind grundsaetzlich aus der polizeilichen Kriminalstatistik keine vollstaendigen Aussagen ueber den Umfang der Verstoesse gegen spezielle Datenschutzbestimmungen moeglich.

Bei Diskussionen ueber Datenschutz und Strafrecht werden zwei Fragen immer wieder gestellt.

Erstens: Kann durch Nichtbeachtung des Paragraph 9 BDSG (Technische und Organisatorische Massnahmen) der Tatbestand des Paragraph 203 StGB erfuellt werden?

Mit Paragraph 203 StGB gab es bereits lange vor Inkrafttreten der Datenschutzgesetze eine gesetzliche Bestimmung zum Schutze sensitiver personenbezogener Daten. Sie richtet sich an bestimmte Berufsgruppen, die sensible personenbezogene Daten verarbeiten, wie Rechtsanwaelte, Aerzte oder Amtstraeger. Der Tatbestand des Paragraph 203 StGB kann nicht durch fahrlaessiges Handeln erfuellt werden, sondern es ist zumindest bedingter Vorsatz erforderlich. Die Erfuellung des objektiven Tatbestandes durch Verstoss gegen Paragraph 9 BDSG ist denkbar. Bisher sind mir aber noch keine derartigen Strafverfahren bekanntgeworden. Es koennte jedoch ein gewisses Strafbarkeitsrisiko bestehen, wenn die in Paragraph 203 StGB aufgefuehrten Stellen durch Fernwartung den Zugriff auf sensitive Daten zulassen.

Zehn Gebote des Datenschutzes wenig beachtet

Anders sieht es mit den zivilrechtlichen Folgen aus. Beispielsweise sei ein Patient, so der Bundesgerichtshof (BGH), gegen die unbefugte Preisgabe seiner persoenlichen Geheimnisse allein dann hinreichend geschuetzt, wenn bereits der objektive Verstoss gegen Paragraph 203 StGB die zivilrechtliche Sanktion der Nichtigkeit des betreffenden Rechtsgeschaefts zur Folge hat.

Zweitens: Ist die Nichtbeachtung von Paragraph 9 BDSG im Hinblick auf Satz 1 der Anlage strafbar?

Zu den bekanntesten, aber in der Praxis wohl am wenigsten beachteten Vorschriften des BDSG, gehoert der Paragraph 9 sowie Satz 1 der Anlage zu Paragraph 9. Diese Anlage wird auch als die "Zehn Gebote des Datenschutzes" bezeichnet. Sie sind ueber den Datenschutz hinaus wesentlich fuer die gesamte Datenverarbeitung, also auch fuer Bereiche der nicht personenbezogenen DV.

Die Missachtung des Paragraph 9 BDSG ist zum Teil auf die fehlende Strafbarkeit bei der Verletzung dieser Gesetzesbestimmung zurueckzufuehren.

Auch aus Artikel 6 der Konvention 108 des Europarats (Uebereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten), ergibt sich eine besondere Schutzverpflichtung fuer sensitive personenbezogene Daten. Es gibt daher Forderungen, der Gesetzgeber moege Paragraph 9 BDSG so modifizieren, dass die im Datenschutzrecht bereits vorhandenen straf- oder ordnungsrechtlichen Sanktionen auch hier anzuwenden sind. Ich sehe dabei allerdings Schwierigkeiten, da die Vorschrift des Paragraph 9 BDSG meines Erachtens zu unbestimmt ist.

Anders verhaelt es sich auch hier mit den zivilrechtlichen Forderungen. Werden infolge einer Verletzung des Paragraph 9 BDSG personenenbezogene Daten offenbart, ergibt sich ein Schadensersatzanspruch gemaess Paragraph 7 (Schadensersatz durch oeffentliche Stellen) beziehungsweise Paragraph 8 (Schadensersatz durch nicht-oeffentliche Stellen) des BDSG. In Frage kaeme auch eine Schadensersatzpflicht nach Paragraph 823, Absatz 1 BGB.

Das LDSG und der Paragraph 43 BDSG

Das BDSG gilt fuer die oeffentlichen Stellen des Bundes (Bundesbehoerden), alle Sozialleistungstraeger sowie nichtoeffentlichen Stellen (Privatwirtschaft und Privatpersonen), waehrend die Landesdatenschutzgesetze fuer die oeffentlichen Stellen des Landes gelten. Das Bayerische Landesdatenschutzgesetz gilt beispielsweise fuer alle bayerischen Landesbehoerden.

Ausser Paragraph 43 BDSG (Strafvorschriften) enthalten auch die verschiedenen Landesdatenschutzgesetze entsprechende Strafbestimmungen. Im Bayerischen Landesdatenschutzgesetz steht zum Beispiel die Strafbestimmung in Artikel 34 BayDSG.

Die Tat wird nur auf Antrag des Betroffenen verfolgt. Aufsichtsbehoerden, Datenschutzbeauftrage oder der Betriebsrat haben kein Antragsrecht. Eine Ausnahme bildet das Datenschutzgesetz des Landes Brandenburg. Hier ist die Strafbestimmung ein Offizialdelikt, das heisst, die Straftat kann ohne Strafantrag von der Staatsanwaltschaft verfolgt werden.

Ein Verstoss gegen Paragraph 44 BDSG (Bussgeldvorschriften) ist keine Straftat, sondern nur eine Ordnungswidrigkeit.

Bei den Verstoessen handelt es sich zumeist um die verspaetete Abgabe der nach Paragraph 32 BDSG (Meldepflichten) erforderlichen Meldungen oder um Verstoesse gegen die Auskunftspflicht. Zahlen darueber wurden bisher kaum bekannt. In Nordrhein-Westfalen sind zum Beispiel 1989 und 1990 nur drei Verfahren eingeleitet worden, waehrend in Hessen 1990 15 Bussgeldbescheide ergingen. In den meisten anderen Laendern, zum Beispiel auch in Bayern, wurden einschlaegige Zahlen bisher nicht veroeffentlicht. Die maximale Hoehe des Bussgeldbescheides liegt bei 50 000 Mark, die durchschnittliche zwischen 100 und 10 000 Mark. Massgebend dabei ist, ob die Unterlassung vorsaetzlich oder fahrlaessig erfolgte und wie schwerwiegend sie war.

Zu Verfolgungsbehoerden wurden landesrechtlich die Aufsichtsbehoerden (Regierungen) bestimmt. Im Gegensatz zum Strafverfahren, in dem das Legalitaetsprinzip gilt, wird bei Ordnungswidrigkeiten das sogenannte Opportunitaetsprinzip angewendet, das heisst, die Aufsichtsbehoerde entscheidet nach pflichtgemaessem Ermessen, das auch die Festsetzung der Bussgeldhoehe einschliesst.

In der PKS werden unter der Schluesselzahl 7280 die direkten Straftaten gegen das Bundes- (BDSG) beziehungsweise die Landesdatenschutzgesetze gezaehlt. Die nachfolgende Tabelle zeigt die Entwicklung seit 1980.

Straftaten nach dem Bundes- oder den Landesdatenschutzgesetzen aus der Polizeilichen Kriminalstatistik

Jahr Erfasste Faelle Prozent

1980 51

1981 67 31,4

1982 53 -20.9

1983 99 86,8

1984 110 11,1

1985 146 32,7

1986 140 -4,1

1987 118 -15,7

1988 130 10,2

1989 105 -19,2

1990 100 -4,8

1991 179 79,0

Die Verteilung der Zahlen fuer 1991 auf die einzelnen Laender ergibt folgendes Bild:

Straftaten gegen das Bundes- oder die Landesdatenschutzgesetze in der PKS 1991

Baden-Wuerttemberg +13

Bayern +12

Berlin +22

Bremen +2

Hamburg +1

Hessen +61

Niedersachsen +40

Nordrhein-Westfalen +16

Rheinland-Pfalz +10

Saarland +2

Sachsen +1

Sachsen-Anhalt +1

Thueringen +2

Bund alt mit Berlin +179

Bund neue Laender +4

Bundesgebiet insgesamt +183

Nicht enthalten sind Strafverfahren, die bei den Wirtschaftsstrafkammern der Staatsanwalt direkt angezeigt und dann ohne die Polizei bearbeitet beziehungsweise eingestellt wurden. Auch wenn die Steigerung von 79 Prozent betraechtlich ist, kann man bei der Gesamtzahl von 179 Delikten kaum von einer besorgniserregenden Entwicklung sprechen.

*Werner Paul ist Leiter des Sachgebiets Computerkriminalitaet beim Bayerischen Landeskriminalamt in Muenchen.