Gratis
13. Februar 2017 - 4.950 Euro für unbefugten Datenabruf

Datenschutzverstoß im Meldeamt: Geldstrafe!

Die Strafvorschriften im Datenschutzrecht stehen nur auf dem Papier. Und Datenschutzverstöße in einer Behörde lassen sich sowieso nie nachweisen – so denken viele. Die Realität sieht jedoch zunehmend anders aus. Das zeigt ein Strafverfahren in Berlin. Eine Mitarbeiterin im Einwohnermeldewesen hatte dort unbefugt Daten abgerufen. Die Folge: eine Geldstrafe von 4.950 Euro! Nebenbei: Ihren Arbeitsplatz hat sie außerdem verloren. Die Entscheidung behält auch dann noch ihre Bedeutung, wenn ab dem 25. Mai 2018 die Datenschutz-Grundverordnung gilt. Die Festlegung strafrechtlicher Sanktionen für Verstöße gegen Datenschutzvorschriften bleibt Sache der Mitgliedstaaten (siehe Art. 84 Abs. 1 DSGVO sowie Erwägungsgrund 149).

Datenschutz-Verstöße können auch einmal teuer werden Nicht ganz billig: ein bewusster Datenschutzverstoß (Bild: tforgo / iStock / Thinkstock)

561 unbefugte Datenabrufe

Unbefugter Datenabruf in 561 Fällen – das erscheint kaum vorstellbar und ist doch genau das, was der Angeklagten vorgeworfen wird. Sie arbeitet seit 34 Jahren als Verwaltungsfachangestellte in der Berliner Verwaltung. Zu den unbefugten Datenabrufen kam es im Bürgeramt eines Berliner Bezirksamts.

Eigentliche Aufgabe: Durchsetzung der Ausweispflicht

Dort hatte die Angeklagte die Aufgabe, die Ausweispflicht gegenüber Bürgern durchzusetzen. Diese Ausweispflicht ergibt sich aus § 1 Abs. 1 Personalausweisgesetz, wonach jeder Deutsche verpflichtet ist, einen Ausweis zu besitzen, sobald er 16 Jahre alt ist.

Um ihre Aufgabe erfüllen zu können, hatte die Angeklagte Zugang zum elektronischen Melderegister des Landesamts für Bürger- und Ordnungsangelegenheiten. Um Zugang zu erhalten, musste die Angeklagte lediglich ihre individuelle Benutzerkennung eingegeben.

Die zusätzliche Angabe eines Aktenzeichens oder eines sonstigen Betreffs war nicht vorgesehen.

Vielfache Abrufe über wenige Personen

Im Zeitraum zwischen dem 21. Juni 2011 und dem 11. Februar 2014 rief die Angeklagte an ihrem Arbeitsplatz in insgesamt 561 Fällen personenbezogene Daten von bestimmten Personen auf, ohne dass es hierfür eine dienstliche Veranlassung gab. Dabei ging es um Daten folgender Personen:

  • Doris S., geschiedene Ehefrau ihres Lebensgefährten
  • Nicole D. , Tochter von Doris S.
  • Thomas V., ihr Lebensgefährte
  • André G., Vater ihrer Enkelkinder

Zwar ließen sich aus den Einträgen im Melderegister nur relativ wenige Informationen entnehmen, in erster Linie Name, Geburtsdatum und Anschrift.

Dennoch rief die Angeklagte gedankenlos teilweise dutzendfach hintereinander den gleichen Datensatz auf.

Verstoß gegen ausdrückliche Verbote

Der Angeklagten war klar, dass sie dies nicht durfte, weil zu den Abrufen kein dienstlicher Anlass bestand. Ihre Vorgesetzten hatten mehrfach entsprechende mündliche Hinweise gegeben. Außerdem waren in der Dienststelle Schreiben umgelaufen, die das klargestellt hatten. Vorbestraft ist die Angeklagte bisher nicht.

Strafantrag des Berliner Datenschutzbeauftragten

Die Behördenleitung wurde auf die Angelegenheit aufmerksam, als Doris S. den Verdacht äußerte, dass ihre Meldedaten unbefugt abgefragt worden seien. Bei einer Anhörung durch die stellvertretende Leiterin des Amts für Bürgerdienste am 12.2.2014 gab die Angeklagte den missbräuchlichen Abruf zu.

Der stellvertretende Leiter des Rechtsamts schaltete daraufhin den Berliner Datenschutzbeauftragten ein und bat ihn, einen Strafantrag gegen die Angeklagte zu stellen. Dies tat der Berliner Datenschutzbeauftragte mit Schreiben an die Staatsanwaltschaft Berlin vom 12.5.2014.

Subjektive Situation der Angeklagten

Was sie zu ihrem Verhalten getrieben hat, konnte die Angeklagte nicht nachvollziehbar erklären. Sie sagte aus, dass sie dies im Nachhinein eigentlich selbst nicht mehr wisse.

Außerdem erklärte sie Folgendes: Auf der Arbeit habe sie am Tag mindestens 100 Datensätze dienstlich abrufen müssen. Irgendwann sei es dann zu einer Art Routine geworden, in einer freien Minute oder auch in einer Pause mal schnell in das elektronische Melderegister der betroffenen Person zu schauen.

Mit den dadurch gewonnenen Informationen habe sie nichts anfangen wollen. Vielmehr habe ihr der Abruf das Gefühl vermittelt, dass die jeweilige Person in dem Moment ihr in gewisser Weise digital gegenüberstehe und dass die Person sich ihr trotz der räumlichen Entfernung oder des sogar gänzlich fehlenden Kontakts nicht entziehen könne.

Tatbestand eindeutig erfüllt

Die Angeklagte hat sich des unbefugten Abrufens von personenbezogenen Daten in 561 Fällen schuldig gemacht. Das ist eine Straftat gemäß § 32 Abs. 1 Nr. 2 Berliner Datenschutzgesetz. Danach wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wer unbefugt personenbezogene Daten abruft, die nicht offenkundig sind.

Die Voraussetzungen dieses Tatbestandes sind so eindeutig erfüllt, dass das Gericht dazu keine näheren Ausführungen macht. Hinzuweisen ist vor allem darauf, dass die abgerufenen Daten nicht „offenkundig“ sind:

  • Zwar handelte es sich in der Regel nur um Name, Geburtsdatum und Wohnanschrift, also um Daten des Betroffenen, die meist auch eine Reihe anderer Personen kennt.
  • Das ändert aber nichts daran, dass der Zugriff auf das Melderegister nicht jedermann offen steht.
  • Vielmehr muss eine entsprechende Auskunft immer erst im Einzelfall beantragt werden.
  • Dabei wird dann insbesondere geprüft, ob es im Einzelfall schützenswerte Interessen des Betroffenen gibt, die eine Auskunft ausschließen.
  • Angesichts dieser Voraussetzungen kann keine Rede davon sein, dass die Daten offenkundig wären.

Umstände zugunsten der Angeklagten

Bei der Bemessung der Strafe berücksichtigte das Gericht vor allem folgende Aspekte zu Gunsten der Angeklagten:

  • Dem unreflektierten Missbrauch war von vornherein Tür und Tor geöffnet, weil das Computersystem für die Anzeige eines Datensatzes weder einen Betreff noch ein Aktenzeichen forderte.
  • Die Angeklagte hat zwar zahlreiche Abrufe durchgeführt, erhielt bei wiederholten Abrufen jedoch letztlich keine neuen Informationen.
  • Die Abrufe betrafen nicht wahllos völlig unbeteiligte Bürger. Vielmehr ging es um eine kleine Gruppe von Personen aus ihrem Umfeld.

Umstände zulasten der Angeklagten

Zulasten der Angeklagten sprach vor allem Folgendes:

  • Die Zahl der Verstöße war sehr groß.
  • Zudem sind derartige Taten geeignet, das Vertrauen der Bevölkerung in die Lauterkeit der Verwaltung ernsthaft zu erschüttern.
  • Schließlich hat die Angeklagte das in sie gesetzte Vertrauen ihres Arbeitgebers missbraucht.

Festlegung der Geldstrafe

Insgesamt verurteilt das Gericht die Angeklagte zu einer Geldstrafe von 90 Tagessätzen zu je 55 €, sodass sie 4.950 € zu zahlen hat.

Zu dieser Geldstrafe gelangt das Gericht wie folgt:

  • Jeder einzelne unbefugte Abruf stellt eine eigene Straftat dar.
  • Für jede dieser Taten ist eine Einzelstrafe festzulegen. Als Einzelstrafe für jede einzelne Tat hält das Gericht 30 Tagessätze zu je 55 € für angemessen. Daraus ergäbe sich theoretisch bei 561 einzelnen Taten eine Geldstrafe von insgesamt 925.650 €.
  • Die Strafen für die einzelnen Taten werden nach deutschem Strafrecht jedoch nicht einfach addiert. Vielmehr ist § 53 Abs. 1 Strafgesetzbuch zu berücksichtigen. Er legt Folgendes fest: „Hat jemand mehrere Straftaten begangen, die gleichzeitig abgeurteilt werden, und dadurch mehrere Geldstrafen verwirkt, so wird auf eine Gesamtstrafe erkannt.“
  • Als Gesamtgeldstrafe hält das Gericht 90 Tagessätze zu je 55 € für angemessen. Die Angeklagte hat somit 4.950 € zu zahlen.

Im Ergebnis erhält die Angeklagte somit eine Art „Rabatt“ von erheblichem Ausmaß. Dafür, welchen Umfang er hat, gibt es keine festen gesetzlichen Regeln. Das Vorgehen des Gerichts entspricht jedoch dem, was in solchen Fällen üblich ist.

Hintergrund des Strafantrags

Der Strafantrag des Berliner Datenschutzbeauftragten hat folgenden Hintergrund:

  • Zunächst einmal darf er nicht mit einer „Strafanzeige“ verwechselt werden. Strafanzeige bedeutet lediglich, dass jemand der Staatsanwaltschaft (entweder direkt oder über die Polizei) mitteilt, seiner Meinung nach bestehe der Verdacht einer Straftat. Eine solche Strafanzeige kann jedermann erstatten. Es muss dabei auch nicht um eine Straftat gehen, die sich gegen ihn gerichtet hat.
  • Ein Strafantrag ist dagegen das ausdrückliche Verlangen, dass jemand wegen einer bestimmten Tat strafrechtlich verfolgt wird. Er ist bei manchen Straftaten Voraussetzung dafür, dass eine Verfolgung überhaupt möglich ist. So verhält es sich auch bei § 32 Abs.1 Nr. 2 Berliner Datenschutzgesetz. Dort heißt es nämlich in Absatz 3 Satz1: „Die Tat wird nur auf Antrag verfolgt.“
  • Wer einen solchen Strafantrag stellen kann, ist im Gesetz jeweils genau geregelt. Hierzu heißt es in § 32 Abs. 3 Sätze 2 bis 4 Berliner Datenschutzgesetz: „Antragsberechtigt ist der Betroffene. Antragsberechtigt ist auch der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist auch gegen den Willen des Betroffenen antragsberechtigt.“
  • Berücksichtigt man diese Regelung, so machte es Sinn, dass das Bezirksamt nicht auf einen Strafantrag der betroffenen Personen (also beispielsweise auf einen Strafantrag von Frau Doris S.) gewartet hat, sondern den Berliner Datenschutzbeauftragten einschaltete.

Verlust des Arbeitsplatzes

In seinem Strafurteil ging das Amtsgericht Tiergarten noch davon aus, dass die Angeklagte trotz der unbefugten Datenabrufe ihren Arbeitsplatz behalten würde. Das hat sich in der Folgezeit jedoch anders entwickelt.

Wie einem Urteil des Landesarbeitsgerichts Berlin-Brandenburg vom 1.9.2016 – 10 Sa 192/16 zu entnehmen ist, hat das Gericht eine fristlose Kündigung wegen der Vorfälle bestätigt.

Urteil noch nicht rechtskräftig

Das Strafurteil des Amtsgerichts Tiergarten vom 17.3.2015 trägt das Aktenzeichen (249 Ds) 253 Js 2131/14 (232/14). Es ist bisher nicht im Internet verfügbar. Die Angeklagte hat Berufung eingelegt, doch steht ein Urteil der Berufungsinstanz bisher noch aus.

Die Pressestelle der Berliner Strafgerichte hat dem Verfasser hierzu am 6.2.2017 auf Anfrage Folgendes mitgeteilt: „Das Urteil ist noch nicht rechtskräftig. Ein erster Berufungshauptverhandlungstermin im November 2016 musste ausgesetzt werden, weil Nachermittlungen erforderlich wurden. Ein neuer Hauptverhandlungstermin wurde noch nicht anberaumt.“

Ein kurzer Auszug aus dem Urteil des Amtsgerichts Tiergarten findet sich in Randnummer 42 des oben erwähnten Urteils des Landesarbeitsgerichts.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Anzeige

Fit für die Datenschutz-Grundverordnung Setzen Sie jetzt schon die Datenschutz-Grundverordnung soweit wie möglich um – mit „Fit für die Datenschutz-Grundverordnung“.

Lesen Sie gleich den 1. Teil gratis.


Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln