Datenschutz bei der Strafverfolgung

Es war wie ein Pauken­schlag: Die Landesbe­auftragte für Datenschutz Schleswig-Holstein, Marit Han­sen, hat die Staatsanwaltschaft Kiel (StA Kiel) persönlich auf Schadenersatz we­gen Datenschutzverletzungen verklagt. Das Daten­schutzrecht für Behörden ist jedoch nicht einheitlich gere­gelt. Generell gilt die Datenschutz-Grundverordnung (DS-GVO) zwar auch für Behörden. Für die Verarbeitung perso­nenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten sowie der Straf­vollstreckung enthält die EU-Richtlinie 2016/680 – auch als Justizrichtlinie bezeichnet – jedoch Sonderregelungen. Diese Vorgaben des Unionsrechts sind in den §§ 45 bis 84 des Bun­desdatenschutzgesetzes (BDSG) umgesetzt worden. Die DS-GVO einschließlich der sich auf die DS-GVO be­ziehenden Regelungen des BDSG kommen insoweit grund­sätzlich nicht zur Anwendung. Hin­sichtlich des BDSG ist das auf den ersten Blick verwirrend, erklärt sich aber leicht. Unter dem Dach des BDSG sind zwei Regelungskomplexe gestaltet, die daher voneinander zu unterscheiden sind. Das BDSG sieht in Teil 1 und 2 Regelungen vor, die die Öffnungsklauseln der DS-GVO ausfüllen. In Teil 3 des BDSG sind hingegen die Vor­gaben der voranstehend genannten Justizrichtlinie umge­setzt worden. Mit anderen Worten: Wenn es um die Verhü­tung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung geht, gelten grundsätzlich nur §§ 45 bis 84 BDSG. Die Regelungen sind mit denen des allge­meinen Datenschutzrechts vergleichbar, tragen aber den be­sonderen Situationen der Verarbeitung Rechnung.

Datenschutzverstöße der Strafverfolgungsbehörden

Die Klage von Marit Hansen auf Schadenersatz wegen Daten­schutzverstößen der StA Kiel ist – soweit ersichtlich – die erste Klage einer betroffenen Person wegen Datenschutzverstößen ge­gen eine Strafverfolgungsbehörde. Der Schadenersatzanspruch hat seine Grundlage in Art. 56 der Richtlinie (EU) 2016/680 und ist in § 83 Abs. 1 BDSG so umgesetzt: „Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbe­zogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwend­baren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträ­ger der betroffenen Person zum Schadener­satz verpflichtet. Die Ersatzpflicht entfällt, so­weit bei einer nicht automatisierten Verarbei­tung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.“ Warum ist das so wichtig? In der Praxis ist ein entscheidender Aspekt der Verankerung in § 83 BDSG als Umsetzung der Vorgaben der Richtlinie, dass dieser Anspruch nicht als Amts- oder Staatshaftungsanspruch nach dem Bürgerlichen Gesetzbuch (BGB) geltend gemacht wer­den muss, sondern nach § 83 BDSG direkt gegen die Rechtsträ­ger der oder des Verantwortlichen. Darüber hinaus ist diese Re­gelung – wie der Erwägungsgrund 88 zeigt – aus dem Unions­recht heraus und im Lichte der Rechtsprechung des Europäi­schen Gerichtshofs (EuGH) auszulegen und nicht nach den engen Ansätzen des deutschen Schadenrechts.

Schadenersatzklage gegen die StA Kiel

Der Hintergrund der Klage von Marit Hansen ist der Umstand, dass die StA Kiel schutzwürdige Inhalte aus der Ermittlungsakte eines Verfahrens gegen Marit Hansen offenbart habe. Dies sei – so die Pressemitteilung zur Klage – im Rahmen einer Aktenein­sicht erfolgt, die die StA Kiel in einem anderen Verfahren just der Person gewährt habe, die zuvor durch falsche beziehungs­weise nicht erwiesene Vorwürfe das Verfahren gegen Marit Hansen in Gang gebracht hatte und gegen die sodann straf­rechtlich ermittelt worden war. Das Verfahren gegen die Lan­desbeauftragte für Datenschutz Schleswig-Holstein sei aber ohne Tat- und Schuldnachweis eingestellt worden. Die StA Kiel habe dadurch gleich mehrere Datenschutzbestimmungen ver­letzt. Das Besondere an der Sache sei zudem, dass die StA Kiel zuvor selbst festgestellt hatte, dass die Gewährung von Akten­einsicht an den Anzeigenerstatter das Persönlichkeitsrecht von Marit Hansen verletze. Gleichwohl habe sie ihm Akteneinsicht gewährt und sogar Kopien der schutzwürdigen Dokumente überlassen. Hinzu sei gekommen, dass die StA Kiel in ihrer Se­lektion der Aktenbestandteile auf die Richtigstellungen der Ver­teidigung im damaligen Verfahren verzichtet habe, sodass ein falsches Bild vermittelt wurde. Für Marit Hansen habe der Ver­stoß gegen Datenschutzvorschriften verheerende Folgen ge­habt, da der Anzeigenerstatter die im Rahmen der Aktenein­sicht erhaltenen Informationen sodann gegen Marit Hansen verwendet hatte. Er habe die Informationen insbesondere an die Landtagsfraktionen im Kieler Landtag versandt, als Marit Hansen für eine zweite Amtszeit als Landesbeauftragte für Da­tenschutz kandidierte. Die Schadenersatzansprüche des Daten­schutzrechts sind aber nicht auf die Strafverfolgungsbehörden beschränkt. Ebenso kommen Schadenersatzansprüche wegen Datenschutzverstößen im Bereich des Steu­erstrafrechts und gegen die Finanzbehörden in Betracht.

Kommt ein Schadenersatzanspruch in Betracht?

Der Auslöser des Schadenersatzanspruchs nach § 83 BDSG ist zunächst die Rechtswid­rigkeit einer Verarbeitung personenbezoge­ner Daten. § 46 Nr. 2 BDSG definiert Verar­beitung als „jeden mit oder ohne Hilfe automatisierter Verfah­ren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erhe­ben, das Erfassen, die Organisation, das Ordnen, die Speiche­rung, die Anpassung, die Veränderung, das Auslesen, das Ab­fragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Ab­gleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Das Unterlassen einer Handlung ist im Fall von Behörden einem Tun gleichzustellen, wenn das Gesetz eine entsprechende Handlungspflicht, etwa die Pflicht zur Informati­on von betroffenen Personen, vorsieht. Der Maßstab für die Rechtswidrigkeit ist das BDSG sowie jede auf die Verarbeitung anwendbare Vorschrift. Damit wird die Haftung auf Regelungen außerhalb des BDSG erweitert. Zum Teil wird hierzu ausge­führt, dass die Regelungen außerhalb des BDSG den Schutz personenbezogener Daten regeln müssten; nach dem Wortlaut genügt es jedoch, dass sie die Verarbeitung regeln, ohne expli­zit den Schutz anzusprechen. Als Datenschutzbestimmungen kommen insbesondere Informations- und Löschpflichten, aber auch der Grundsatz der Datenminimierung nach dem BDSG in Betracht. Aber auch Bestimmungen der Strafprozessordnung (StPO) fallen darunter. Das gilt insbesondere für die Regelung über die Akteneinsicht nach der StPO. In der Klage von Marit Hansen gegen die StA Kiel wird der Schadenersatzanspruch da­mit begründet, dass zunächst – entgegen der vorherigen Fest­stellung fehlender Relevanz durch die StA Kiel – dennoch be­stimmte Unterlagen durch diese Behörde aus einer Akte zu ei­ner anderen Akte genommen wurden, dann unter Verstoß so­wohl gegen § 147 StPO als auch § 32f StPO Akteneinsicht gewährt wurde und, als dies bekannt wurde, keine Benachrich­tigung wegen der Verletzung des Schutzes personenbezogener Daten nach § 66 BDSG erfolgt sei.

Der Schaden und seine Bemessung

Das BDSG und die zugrunde liegende Richtlinie stellen klar, dass neben materiellen Schäden, wie etwa Rechtsanwaltskos­ten, Maßnahmen zur Wahrung oder Wiederherstellung des Rufs, Richtigstellung, auch immaterielle Schäden – Stichwort: Schmerzensgeld – ersetzt werden müssen. Die deutsche Recht­sprechung zum Schadenersatzrecht war bis zur Novellierung des Datenschutzrechts zum 25. Mai 2018 – vorsichtig umschrie­ben – zurückhaltend bei Annahme von immateriellen Schäden infolge von Datenschutzverstößen. In anderen EU-Mitgliedstaaten und auch durch das Unionsrecht erfolgte eine weniger restriktive Bewertung. Die bisherige deutsche Rechtsprechung legte pauschal eine Bagatellgrenze beziehungsweise Erheblich­keitsschwelle zugrunde, unterhalb derer ein Ersatz immaterieller Schäden überhaupt nicht in Betracht kam. Das Bundes­verfassungsgericht hat hierzu entschieden, dass ein deutsches, in letzter Instanz entscheidendes Gericht die Frage, ob eine sol­che Bagatellgrenze angewendet werden darf, dem EuGH vorab zur Entscheidung vorlegen muss (Beschluss vom 14.01.2021, 1 BvR 2853/19). Dementsprechend hat es die Entscheidung eines Amtsgerichts, das die Bagatellgrenze ohne Anrufung des EuGH zugrunde gelegt hatte, aufgehoben. In der Rechtsprechung ist aktuell nicht abschließend geklärt, ob für einen immateriellen Schadenersatzanspruch, also Schmerzensgeld, ein Schaden konkret dargelegt werden muss oder ob allein die Rechtswidrig­keit der Verarbeitung genügt, um einen immateriellen Schaden­ersatz nach den Bemessungskriterien des Unionsrechts zuzu­sprechen. Der Oberste Gerichtshof Österreich hat diese Frage im April 2021 dem EuGH zur Entscheidung vorgelegt. Zwi­schenzeitlich haben weitere Gerichte dem EuGH Fragen zur Auslegung der Schadenersatzregelung (Art. 82 DS-GVO) vorge­legt. Dabei geht es überwiegend um die Bemessung des imma­teriellen Schadens (Schmerzensgeld), aber auch um die Frage, ob ein weisungswidriges Verhalten eines Mitarbeiters das Ver­schulden ausschließt. Eine Klärung der Rechtslage in einigen Punkten durch den EuGH ist also absehbar. Im Schadenersatz­anspruch von Marit Hansen gegen die StA Kiel ist der immateri­elle Schaden insbesondere aufgrund der Veröffentlichung von Inhalten aus einer strafrechtlichen Ermittlungsakte und deren Übersendung durch eine Privatperson an die Landtagsfraktio­nen in Schleswig-Holstein während der Bewerbung um eine zweite Amtszeit als Landesbeauftragte für Datenschutz Schles­wig-Holstein gegeben.

Bemessung des immateriellen Schadens

Der Erwägungsgrund 88 der Richtlinie (EU) 2016/680, der in § 83 BDSG umgesetzt wurde, macht insoweit die gleichen Vor­gaben wie die DS-GVO: „… Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Richtli­nie in vollem Umfang entspricht. … Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.“ (Auszug aus Erwägungs­grund 88). Die Rechtsprechung geht davon aus, dass da­mit bei der Bemessung auch spezial- und generalpräventive Kri­terien zu berücksichtigen sind. Der Schadenersatz erlangt da­durch zusätzlich zur Schadenskompensation auch eine strafen­de Komponente. Als wohl erstes Gericht in Deutschland hat das Arbeitsgericht Düsseldorf – und zwischenzeitlich auch weitere Gerichte – in einem Schadenersatzprozess nach Art. 82 DS-GVO die Bemessung allein anhand der Bußgeldkriterien der DS-GVO vorgenommen („… Verstöße müssen effektiv sanktioniert wer­den, damit die DS-GVO wirken kann, was vor allem durch Scha­densersatz in abschreckender Höhe erreicht wird …“). Bei Da­tenschutzverstößen von Behörden muss dies so gelten, da diese kraft deutschen Rechts von der Verhängung von Geldbußen we­gen Datenschutzverstößen ausgenommen sind.