Das Datenschutzrecht gilt auch für Strafverfolgungsbehörden. Bei Verstößen dagegen kommen folglich auch hier Schadenersatzansprüche der betroffenen Personen in Betracht.
Es war wie ein Paukenschlag: Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, hat die Staatsanwaltschaft Kiel (StA Kiel) persönlich auf Schadenersatz wegen Datenschutzverletzungen verklagt. Das Datenschutzrecht für Behörden ist jedoch nicht einheitlich geregelt. Generell gilt die Datenschutz-Grundverordnung (DS-GVO) zwar auch für Behörden. Für die Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten sowie der Strafvollstreckung enthält die EU-Richtlinie 2016/680 – auch als Justizrichtlinie bezeichnet – jedoch Sonderregelungen. Diese Vorgaben des Unionsrechts sind in den §§ 45 bis 84 des Bundesdatenschutzgesetzes (BDSG) umgesetzt worden. Die DS-GVO einschließlich der sich auf die DS-GVO beziehenden Regelungen des BDSG kommen insoweit grundsätzlich nicht zur Anwendung. Hinsichtlich des BDSG ist das auf den ersten Blick verwirrend, erklärt sich aber leicht. Unter dem Dach des BDSG sind zwei Regelungskomplexe gestaltet, die daher voneinander zu unterscheiden sind. Das BDSG sieht in Teil 1 und 2 Regelungen vor, die die Öffnungsklauseln der DS-GVO ausfüllen. In Teil 3 des BDSG sind hingegen die Vorgaben der voranstehend genannten Justizrichtlinie umgesetzt worden. Mit anderen Worten: Wenn es um die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung geht, gelten grundsätzlich nur §§ 45 bis 84 BDSG. Die Regelungen sind mit denen des allgemeinen Datenschutzrechts vergleichbar, tragen aber den besonderen Situationen der Verarbeitung Rechnung.
Datenschutzverstöße der Strafverfolgungsbehörden
Die Klage von Marit Hansen auf Schadenersatz wegen Datenschutzverstößen der StA Kiel ist – soweit ersichtlich – die erste Klage einer betroffenen Person wegen Datenschutzverstößen gegen eine Strafverfolgungsbehörde. Der Schadenersatzanspruch hat seine Grundlage in Art. 56 der Richtlinie (EU) 2016/680 und ist in § 83 Abs. 1 BDSG so umgesetzt: „Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadenersatz verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.“ Warum ist das so wichtig? In der Praxis ist ein entscheidender Aspekt der Verankerung in § 83 BDSG als Umsetzung der Vorgaben der Richtlinie, dass dieser Anspruch nicht als Amts- oder Staatshaftungsanspruch nach dem Bürgerlichen Gesetzbuch (BGB) geltend gemacht werden muss, sondern nach § 83 BDSG direkt gegen die Rechtsträger der oder des Verantwortlichen. Darüber hinaus ist diese Regelung – wie der Erwägungsgrund 88 zeigt – aus dem Unionsrecht heraus und im Lichte der Rechtsprechung des Europäischen Gerichtshofs (EuGH) auszulegen und nicht nach den engen Ansätzen des deutschen Schadenrechts.
Schadenersatzklage gegen die StA Kiel
Der Hintergrund der Klage von Marit Hansen ist der Umstand, dass die StA Kiel schutzwürdige Inhalte aus der Ermittlungsakte eines Verfahrens gegen Marit Hansen offenbart habe. Dies sei – so die Pressemitteilung zur Klage – im Rahmen einer Akteneinsicht erfolgt, die die StA Kiel in einem anderen Verfahren just der Person gewährt habe, die zuvor durch falsche beziehungsweise nicht erwiesene Vorwürfe das Verfahren gegen Marit Hansen in Gang gebracht hatte und gegen die sodann strafrechtlich ermittelt worden war. Das Verfahren gegen die Landesbeauftragte für Datenschutz Schleswig-Holstein sei aber ohne Tat- und Schuldnachweis eingestellt worden. Die StA Kiel habe dadurch gleich mehrere Datenschutzbestimmungen verletzt. Das Besondere an der Sache sei zudem, dass die StA Kiel zuvor selbst festgestellt hatte, dass die Gewährung von Akteneinsicht an den Anzeigenerstatter das Persönlichkeitsrecht von Marit Hansen verletze. Gleichwohl habe sie ihm Akteneinsicht gewährt und sogar Kopien der schutzwürdigen Dokumente überlassen. Hinzu sei gekommen, dass die StA Kiel in ihrer Selektion der Aktenbestandteile auf die Richtigstellungen der Verteidigung im damaligen Verfahren verzichtet habe, sodass ein falsches Bild vermittelt wurde. Für Marit Hansen habe der Verstoß gegen Datenschutzvorschriften verheerende Folgen gehabt, da der Anzeigenerstatter die im Rahmen der Akteneinsicht erhaltenen Informationen sodann gegen Marit Hansen verwendet hatte. Er habe die Informationen insbesondere an die Landtagsfraktionen im Kieler Landtag versandt, als Marit Hansen für eine zweite Amtszeit als Landesbeauftragte für Datenschutz kandidierte. Die Schadenersatzansprüche des Datenschutzrechts sind aber nicht auf die Strafverfolgungsbehörden beschränkt. Ebenso kommen Schadenersatzansprüche wegen Datenschutzverstößen im Bereich des Steuerstrafrechts und gegen die Finanzbehörden in Betracht.
Kommt ein Schadenersatzanspruch in Betracht?
Der Auslöser des Schadenersatzanspruchs nach § 83 BDSG ist zunächst die Rechtswidrigkeit einer Verarbeitung personenbezogener Daten. § 46 Nr. 2 BDSG definiert Verarbeitung als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Das Unterlassen einer Handlung ist im Fall von Behörden einem Tun gleichzustellen, wenn das Gesetz eine entsprechende Handlungspflicht, etwa die Pflicht zur Information von betroffenen Personen, vorsieht. Der Maßstab für die Rechtswidrigkeit ist das BDSG sowie jede auf die Verarbeitung anwendbare Vorschrift. Damit wird die Haftung auf Regelungen außerhalb des BDSG erweitert. Zum Teil wird hierzu ausgeführt, dass die Regelungen außerhalb des BDSG den Schutz personenbezogener Daten regeln müssten; nach dem Wortlaut genügt es jedoch, dass sie die Verarbeitung regeln, ohne explizit den Schutz anzusprechen. Als Datenschutzbestimmungen kommen insbesondere Informations- und Löschpflichten, aber auch der Grundsatz der Datenminimierung nach dem BDSG in Betracht. Aber auch Bestimmungen der Strafprozessordnung (StPO) fallen darunter. Das gilt insbesondere für die Regelung über die Akteneinsicht nach der StPO. In der Klage von Marit Hansen gegen die StA Kiel wird der Schadenersatzanspruch damit begründet, dass zunächst – entgegen der vorherigen Feststellung fehlender Relevanz durch die StA Kiel – dennoch bestimmte Unterlagen durch diese Behörde aus einer Akte zu einer anderen Akte genommen wurden, dann unter Verstoß sowohl gegen § 147 StPO als auch § 32f StPO Akteneinsicht gewährt wurde und, als dies bekannt wurde, keine Benachrichtigung wegen der Verletzung des Schutzes personenbezogener Daten nach § 66 BDSG erfolgt sei.
Der Schaden und seine Bemessung
Das BDSG und die zugrunde liegende Richtlinie stellen klar, dass neben materiellen Schäden, wie etwa Rechtsanwaltskosten, Maßnahmen zur Wahrung oder Wiederherstellung des Rufs, Richtigstellung, auch immaterielle Schäden – Stichwort: Schmerzensgeld – ersetzt werden müssen. Die deutsche Rechtsprechung zum Schadenersatzrecht war bis zur Novellierung des Datenschutzrechts zum 25. Mai 2018 – vorsichtig umschrieben – zurückhaltend bei Annahme von immateriellen Schäden infolge von Datenschutzverstößen. In anderen EU-Mitgliedstaaten und auch durch das Unionsrecht erfolgte eine weniger restriktive Bewertung. Die bisherige deutsche Rechtsprechung legte pauschal eine Bagatellgrenze beziehungsweise Erheblichkeitsschwelle zugrunde, unterhalb derer ein Ersatz immaterieller Schäden überhaupt nicht in Betracht kam. Das Bundesverfassungsgericht hat hierzu entschieden, dass ein deutsches, in letzter Instanz entscheidendes Gericht die Frage, ob eine solche Bagatellgrenze angewendet werden darf, dem EuGH vorab zur Entscheidung vorlegen muss (Beschluss vom 14.01.2021, 1 BvR 2853/19). Dementsprechend hat es die Entscheidung eines Amtsgerichts, das die Bagatellgrenze ohne Anrufung des EuGH zugrunde gelegt hatte, aufgehoben. In der Rechtsprechung ist aktuell nicht abschließend geklärt, ob für einen immateriellen Schadenersatzanspruch, also Schmerzensgeld, ein Schaden konkret dargelegt werden muss oder ob allein die Rechtswidrigkeit der Verarbeitung genügt, um einen immateriellen Schadenersatz nach den Bemessungskriterien des Unionsrechts zuzusprechen. Der Oberste Gerichtshof Österreich hat diese Frage im April 2021 dem EuGH zur Entscheidung vorgelegt. Zwischenzeitlich haben weitere Gerichte dem EuGH Fragen zur Auslegung der Schadenersatzregelung (Art. 82 DS-GVO) vorgelegt. Dabei geht es überwiegend um die Bemessung des immateriellen Schadens (Schmerzensgeld), aber auch um die Frage, ob ein weisungswidriges Verhalten eines Mitarbeiters das Verschulden ausschließt. Eine Klärung der Rechtslage in einigen Punkten durch den EuGH ist also absehbar. Im Schadenersatzanspruch von Marit Hansen gegen die StA Kiel ist der immaterielle Schaden insbesondere aufgrund der Veröffentlichung von Inhalten aus einer strafrechtlichen Ermittlungsakte und deren Übersendung durch eine Privatperson an die Landtagsfraktionen in Schleswig-Holstein während der Bewerbung um eine zweite Amtszeit als Landesbeauftragte für Datenschutz Schleswig-Holstein gegeben.
Bemessung des immateriellen Schadens
Der Erwägungsgrund 88 der Richtlinie (EU) 2016/680, der in § 83 BDSG umgesetzt wurde, macht insoweit die gleichen Vorgaben wie die DS-GVO: „… Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Richtlinie in vollem Umfang entspricht. … Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.“ (Auszug aus Erwägungsgrund 88). Die Rechtsprechung geht davon aus, dass damit bei der Bemessung auch spezial- und generalpräventive Kriterien zu berücksichtigen sind. Der Schadenersatz erlangt dadurch zusätzlich zur Schadenskompensation auch eine strafende Komponente. Als wohl erstes Gericht in Deutschland hat das Arbeitsgericht Düsseldorf – und zwischenzeitlich auch weitere Gerichte – in einem Schadenersatzprozess nach Art. 82 DS-GVO die Bemessung allein anhand der Bußgeldkriterien der DS-GVO vorgenommen („… Verstöße müssen effektiv sanktioniert werden, damit die DS-GVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird …“). Bei Datenschutzverstößen von Behörden muss dies so gelten, da diese kraft deutschen Rechts von der Verhängung von Geldbußen wegen Datenschutzverstößen ausgenommen sind.
Fazit
Das Datenschutzrecht ist, was nichts Neues sein sollte, von Strafverfolgungs- und auch Finanzbehörden zu beachten; es führt bei Verstößen zu einer zivilrechtlichen Haftung. Gerade die in diesem Bereich offenbar immer wieder auftretende und auch von Verteidigern monierte zweifelhafte Beachtung von Datenschutzbestimmungen kann auf dem Weg von Schadenersatzansprüchen zu Sanktionen führen. Die Anforderungen an eine erfolgreiche Durchsetzung sollten aber nicht unterschätzt werden.
MEHR DAZU
Präsenzseminar „Datenschutz aktuell 2022 – die Datenschutz-Grundverordnung in der Praxis“, www.datev.de/shop/73105
Lernvideo online „Datenschutz in der Kanzlei – Mitarbeiterunterweisung 2022“, www.datev.de/shop/78900
DATEV-Consulting „Datenschutz-Beratungen“, www.datev.de/datenschutz-beratungen