Grundlagen Computerstrafrecht & Datenschutzrecht

„Computerstrafrecht im
Überblick + Umsetzung
des Datenschutzrechts“
Webinar am 28.04.2022, 9.00 – 17.00 Uhr

Referent
Rechtsanwalt Michael Rohrlich -Vita
2
niedergelassener
Rechtsanwalt
Video-Trainer
bei LinkedIn Learning
(Microsoft)
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV)
geprüfter Datenschutz-
auditor (Haufe)
HR Data Protection
Manager (Beck)
Data Protection Risk
Manager (FOM)
Fachautor / Buchautor Dozent / Referent
Vorstandsmitglied des
Webmasters Europe e.V.
Expertenrat-Mitglied des
Webmasters Europe e.V.

Referent
Rechtsanwalt Michael Rohrlich -Tätigkeitsschwerpunkte
3
®
© €
Urheberrecht
#
@
Markenrecht E-Commerce
Datenschutzrecht IT-Recht Social Media
Onlinerecht Bildrecht Cloud Computing

Inhalt / Übersicht
I. Überblick Computerstrafrecht
1. Überblick / Grundlagen
2. Ausspähen / Abfangen von Daten bzw. Vorbereitung dazu (§§ 202a, 202b, 202c StGB)
3. Datenhehlerei (§ 202d StGB)
4. Betrug / Computerbetrug (§§ 263, 263a StGB)
5. Datenveränderung / Computersabotage (§§ 303a, 303b StGB)
6. Urkundsdelikte (§§ 267 ff. StGB)
7. Beleidigungsdelikte (§§ 185 ff. StGB)
8. Straftaten gegen die sexuelle Selbstbestimmung (§§ 184 ff. StGB)
9. Anleitung zu Straftaten (§ 130a StGB)
10. Unerlaubte Eingriffe in technische Schutzmaßnahmen (§ 108b UrhG)
11. Sanktionen (straf-, zivil-, arbeitsrechtlich)
II. Umsetzung des Datenschutzrechts
1. Grundlagen (Begriffe & Grundsätze)
2. Dokumentation (VVT & TOMs)
3. Verarbeitung durch Dritte (AV & JC)
4. Unberechtigte Datenverarbeitung (DSGVO, BDSG)
4

5
Teil I – Überblick Computerstrafrecht

Inhalt / Übersicht
6

Überblick Computerstrafrecht
Grundlagen
7
IuK*-Kriminalität
Computer-
strafrecht
Internet-
strafrecht
Cybercrime
* Informations- & Kommunikationstechnik

Grundlagen
 Verbrechen /Vergehen (§ 12 StGB)
 „(1)Verbrechen sind rechtswidrigeTaten, die im Mindestmaß mit
Freiheitsstrafe von einem Jahr oder darüber bedroht sind.
(2)Vergehen sind rechtswidrigeTaten, die im Mindestmaß mit
einer geringeren Freiheitsstrafe oder die mit Geldstrafe bedroht
sind.“
 Beispiele: Datenhehlerei vs.Totschlag
8

Grundlagen
 Vorsatz / Fahrlässigkeit (§ 15 StGB)
 „Strafbar ist nur vorsätzliches Handeln, wenn nicht das Gesetz
fahrlässiges Handeln ausdrücklich mit Strafe bedroht.“
 Beispiele: fahrlässige Körperverletzung vs. Mord
9

Grundlagen
 Täterschaft / Beihilfe / Anstiftung (§§ 25-27 StGB)
 § 25: „(1) Als Täter wird bestraft, wer die Straftat selbst oder
durch einen anderen begeht. (2) Begehen mehrere die Straftat
gemeinschaftlich, so wird jeder alsTäter bestraft (Mittäter).“
 § 26: „ Als Anstifter wird gleich einemTäter bestraft, wer
vorsätzlich einen anderen zu dessen vorsätzlich begangener
rechtswidrigerTat bestimmt hat.“
 § 27: „(1) Als Gehilfe wird bestraft, wer vorsätzlich einem anderen
zu dessen vorsätzlich begangener rechtswidrigerTat Hilfe
geleistet hat. (2) Die Strafe für den Gehilfen richtet sich nach der
Strafdrohung für denTäter. Sie ist nach § 49 Abs. 1 zu mildern.“
10

Grundlagen
 Anwendbarkeit des dt. Strafrechts beiTaten, die…
 im Inland begangen werden (§ 3 StGB)
 in Flugzeugen bzw. auf Schiffen „unter dt. Flagge“ (§ 4 StGB)
 im Ausland begangen sind und einen spezifischen Inlandsbezug haben
oder gegen internationale Rechtsgüter begangen wurden (z.B.
Hochverrat,Widerstand gegen die Staatsgewalt, Straftaten gegen das
Leben, Menschenhandel, Kinderpornografie, vgl. §§ 5, 6 StGB)
 gegen oder durch Deutsche im Ausland begangen werden
(§ 7 StGB)
11

Grundlagen
 Anwendbarkeit des dt. Strafrechts bei internationalen bzw.
Internetstraftaten?
 Ort derTat entscheidend (sog. Territorialgrundsatz,
vgl. § 9 StGB)
 Ort, an dem die Handlung begangen oder der Erfolg
eingetreten ist
 BGH stellt auf den Ort der Abrufbarkeit der Inhalte ab,
unabhängig vom Standort des Servers, auf dem diese abgelegt
sind, wenn die Inhalte zu einer Verwirklichung des betroffenen
Tatbestandes im Inland führen können
12

Grundlagen
 Internationale Regelungen
 Cybercrime Convention (CCC) vom 23.11.2001 (Budapest): Harmonisierung
der straf- und verfahrensrechtlichen Regelungen im Kampf gegen die
Internetkriminalität
 1. Zusatzprotokoll zur CCC vom 28.01.2003 (Straßburg): enthält weitere
Strafvorschriften im Bereich rassistischer und fremdenfeindlicher Inhalte
im Internet
 Rahmenbeschluss des Europarates vom 24.02.2005: enthält ähnliche
Regelungen wie CCC, beschränkt sich jedoch v.a. auf den strafrechtlichen
Schutz der IT-Sicherheit
 Rahmenbeschluss des Europäischen Rats zum Europäische Haftbefehl vom
01.01.2004: verpflichtet nationale Justizbehörden dazu, das Ersuchen einer
anderen nationalen Justizbehörde eines EU-Mitgliedstaats auf Übergabe
einer Person mit einem Minimum an Kontrollen anzuerkennen
13

Grundlagen
 „Online-Ermittlungen“
 Rechtsgrundlage: §§ 161, 163 StPO
 § 163 Abs. 1 StPO: „Die Behörden und Beamten des Polizeidienstes
haben Straftaten zu erforschen und alle keinen Aufschub
gestattenden Anordnungen zu treffen, um die Verdunkelung der
Sache zu verhüten. Zu diesem Zweck sind sie befugt, […]
Ermittlungen jeder Art vorzunehmen, soweit nicht andere
gesetzlicheVorschriften ihre Befugnisse besonders regeln. […]“
 gilt online & offline (vgl. BVerfG, Urt. v. 27.02.2008) 14

Grundlagen
 Beispiele möglicher Einzelmaßnahmen:
 Beschlagnahme (§ 94 StPO)
 Rasterfahndung bei „Straftaten erheblicher Bedeutung“, z.B. Mord,Waffenhandel... (§ 98a StPO)
 Maschineller Abgleich mit vorhandenen Daten (§ 98c StPO)
 Postbeschlagnahme und Auskunftsverlangen (§ 99 StPO)
 Telekommunikationsüberwachung bei „schweren Straftaten“, z.B. Kinderpornografie... (§ 100a StPO)
 Online-Durchsuchung bei „besonders schweren Straftaten“, z.B. Betreiben kriminellerOnline-Handelsplattformen... (§ 100b StPO)
 AkustischeWohnraumüberwachung bei „schweren Straftaten“ (§ 100c StPO)
 Akustische Überwachung außerhalb von Wohnraum bei „schweren Straftaten“ i.S.d. § 100a StPO (§ 100f StPO)
 Erhebung von Verkehrsdaten bei „besonders schweren Straftaten“, z.B. Bildung kriminellerVereinigungen... (§ 100g StPO)
 Weitere Maßnahmen außerhalb von Wohnraum, z.B. Bildaufnahmen (§ 100h StPO)
 Technische Ermittlungsmaßnahmen bei Mobilfunkendgeräten, z.B. Ermittlung derGeräte- oder SIM-Nr. (§ 100i StPO)
 Bestandsdatenauskunft (§ 100j StPO)
 Erhebung von Nutzungsdaten beiTelemediendiensten (§ 100k StPO)
 Durchsuchung bei Beschuldigten oder bei Dritten (§§ 102, 103 StPO)
15

Grundlagen
16
Verkehrsdaten
• Daten, deren
Erhebung,
Verarbeitung oder
Nutzung bei der
Erbringung eines
TK-Dienstes
erforderlich sind,
insbesond. Meta-
Daten (vgl. § 3 Nr.
70TKG)
• z.B. IP-Adresse,
Online-Kennung…
Bestandsdaten
• Daten, die
erforderlich sind
für die
Begründung,
inhaltliche
Ausgestaltung,
Änderung oder
Beendigung eines
TK-Vertrags-
verhältnisses (vgl.
§ 3 Nr. 6TKG)
• z.B. Name,
Anschrift, Login-
Kennung,
Bankverbindung…
Nutzungsdaten
• Daten, die derTK-
Anbieter benötigt,
um die
Inanspruchnahme
seines Dienstes zu
ermöglichen und
abzurechnen
• z.B. Uhrzeit, Dauer,
IP-Adresse…

Grundlagen
 GefährdendesVerbreiten personenbezogener
Daten (§ 126a)
 Betreiben krimineller Handelsplattformen im
Internet (§ 127)
 Volksverhetzung (§ 130)
 Gewaltdarstellung (§ 131)
 Belohnung und Billigung von Straftaten (§ 140)
 Verbreitung und Besitz vonAnleitungen zu
sexuellem Missbrauch von Kindern (§ 176e)
 Exhibitionistische Handlungen (§ 183)
 Erregung öffentlichen Ärgernisses (§ 183a)
 Verhetzende Beleidigung (§ 192a)
 Verletzung derVertraulichkeit desWortes (§ 201)
 Verletzung des höchstpersönlichen
Lebensbereichs und von Persönlichkeitsrechten
durch Bildaufnahmen (§ 201a)
 Verletzung des Briefgeheimnisses (§ 202)
 Verletzung von Privatgeheimnissen(§ 203)
17
 Verwertung fremder Geheimnisse (§ 204)
 Verletzung des Post- oder Fernmelde-
geheimnisses (§ 206)
 Nachstellung / „Stalking“ (§ 238)
 Nötigung (§ 240)
 Bedrohung (§ 241)
 Entziehung elektrischer Energie (§ 248c)
 Erpressung (§ 253)
 Hehlerei (§ 259)
 Erschleichen von Leistungen (§ 265a)
 Sportwettbetrug (§ 265c)
 UnerlaubteVeranstaltung eines Glücksspiels
(§ 284)
 UnerlaubteVeranstaltung einer Lotterie oder
einer Ausspielung (§ 287)
 Zerstörung wichtiger Arbeitsmittel (§ 305a)
 Störung vonTelekommunikationsanlagen (§ 317)
weitere Beispiele von IuK-Normen im StGB:

Inhalt / Übersicht
18

Ausspähen / Abfangen von Daten
 Ausspähen von Daten (§ 202a StGB) [1/2]
 „(1)Wer unbefugt sich oder einem anderen Zugang zu Daten, die
nicht für ihn bestimmt und die gegen unberechtigten Zugang
besonders gesichert sind, unter Überwindung der
Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die
elektronisch, magnetisch oder sonst nicht unmittelbar
wahrnehmbar gespeichert sind oder übermittelt werden.“
19

 Ausspähen von Daten (§ 202a StGB) [2/2]
WER? jeder
WIE? unbefugtes Verschaffen des Zugangs zu Daten unter Überwindung der
Zugangssicherung
WAS? Daten, die nicht für ihn bestimmt und besonders gesichert sind, und die
elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert
sind oder übermittelt werden
WEM? sich oder einem anderen
WIESO? formelles Geheimhaltungsinteresse („elektronischer Hausfriedensbruch“);
gilt grdsl. für alle Daten, kein spezieller Schutz des Urheber- oder des
Datenschutzrechts
WOZU? Freiheitsstrafe (< 3 Jahre) oder Geldstrafe
EINORDNUNG? Vergehen
HÄH?: „klassisches“ Hacking, Phishing +Verwendung der erlangten Daten,
Verbreitung von Trojanern, „Kapern“ fremder Webcams…
20

 Abfangen von Daten (§ 202b StGB) [1/2]
 „Wer unbefugt sich oder einem anderen unter Anwendung von
technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2)
aus einer nichtöffentlichen Datenübermittlung oder aus der
elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft, wenn dieTat nicht in
anderenVorschriften mit schwererer Strafe bedroht ist.“
21

 Abfangen von Daten (§ 202b StGB) [2/2]
WER? jeder
WIE? unbefugtes Verschaffen von Daten unter Anwendung von technischen Mitteln
WAS? Daten, die nicht für ihn bestimmt sind, und die aus einer nichtöffentlichen
Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer
Datenverarbeitungsanlage stammen
WIESO? formelles Geheimhaltungsinteresse; gilt grdsl. für alle Daten, kein spezieller
Schutz des Urheber- oder des Datenschutzrechts
WOZU? Freiheitsstrafe (< 2 Jahre) oder Geldstrafe (wenn nicht durch andereVorschriften
mit höherer Strafe belegt)
HÄH?: Umleiten von Datenströmen in einem Netzwerk, Abfangen von Fax-
Signalen, Abhören von IP-Telefonie, Eindringen in fremdeWLAN-Netzwerke,
„War Driving“
22

 Vorbereiten des Ausspähens und Abfangens von Daten
(§ 202c StGB) [1/2]
 „(1)Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem
er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu
Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen
Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem
anderen überlässt, verbreitet oder sonst zugänglich macht, wird
mit Freiheitsstrafe bis zu zweiJahren oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.“
23

 Vorbereitung der Fälschung von Geld undWertzeichen
(§ 149 StGB)
 „(2) Nach Absatz 1 wird nicht bestraft, wer freiwillig
1. die Ausführung der vorbereitetenTat aufgibt und eine von ihm
verursachte Gefahr, daß andere dieTat weiter vorbereiten oder sie
ausführen, abwendet oder die Vollendung derTat verhindert und
2. die Fälschungsmittel, soweit sie noch vorhanden und zur Fälschung
brauchbar sind, vernichtet, unbrauchbar macht, ihrVorhandensein
einer Behörde anzeigt oder sie dort abliefert.
(3)Wird ohne Zutun desTäters die Gefahr, daß andere dieTat weiter
vorbereiten oder sie ausführen, abgewendet oder dieVollendung derTat
verhindert, so genügt an Stelle derVoraussetzungen des Absatzes 2 Nr. 1
das freiwillige und ernsthafte Bemühen desTäters, dieses Ziel zu
erreichen.“
24

 Vorbereiten des Ausspähens und Abfangens von Daten (§ 202c StGB) [2/2]
WER? jeder
WIE?Vorbereiten einer Straftat gem. § 202a oder § 202b
WAS? Herstellen,Verschaffen,Verkaufen, Überlassen,Verbreiten oder sonst
Zugänglichmachen von Passwörtern oder sonstigen Sicherungscodes, die den Zugang zu
Daten ermöglichen, oder Computerprogrammen, deren Zweck die Begehung einer
solchenTat ist
WEM? sich selbst oder z.T. auch einem anderen (verschafft / überlässt)
WIESO? sog. Hacker-Paragraph; gilt grdsl. für alle Daten, kein spezieller Schutz des
Urheber- oder des Datenschutzrechts (aber: subsidiär, wenn z.B. Daten tatsächlich
abgefangen werden)
WOZU? Freiheitsstrafe (< 2 Jahre) oder Geldstrafe; aber: straffrei bei rechtzeitigem
Aufgeben derTat & Abwenden der Gefahr bzw. „ernsthaftem Bemühen“ darum
HÄH?: Programmieren von Hacker-Software, Entschlüsseln von Zugangscodes,
Verkaufen von Passwörtern, Ausspähen von Zugangsdaten
25

 Problem: „dual-use Software“
 Tools, mit denen z.B. ein unbefugtes Eindringen in fremde
Netzwerke möglich ist, die aber auch noch andere
Anwendungsmöglichkeiten haben, z.B. dasTesten einer
Netzwerk-Konfiguration (Pen-Tests)
 fallen grdsl. nicht unter § 202c StGB, soweit sie nicht mit der
Absicht entwickelt wurden, sie zu strafbaren Zwecken
einzusetzen
 Absicht muss sich objektiv manifestieren, d.h. eine bloße
Eignung desTools zu strafbaren Zwecken reicht alleine nicht aus
26

Inhalt / Übersicht
27

Datenhehlerei
 Datenhehlerei (§ 202d StGB) [1/2]
 „(1)Wer Daten (§ 202a Absatz 2), die nicht allgemein zugänglich sind und die ein
anderer durch eine rechtswidrigeTat erlangt hat, sich oder einem anderen
verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich
oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit
Freiheitsstrafe bis zu dreiJahren oder mit Geldstrafe bestraft.
[…]
(3) Absatz 1 gilt nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger
dienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere
1. solche Handlungen von Amtsträgern oder deren Beauftragten, mit denen Daten
ausschließlich derVerwertung in einem Besteuerungsverfahren, einem Strafverfahren
oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen, sowie
2. solche beruflichen Handlungen der in § 53 Absatz 1 Satz 1 Nummer 5 der
Strafprozessordnung genannten Personen, mit denen Daten entgegengenommen,
ausgewertet oder veröffentlicht werden.“
28
z.B. CDs mit
Steuerdaten
z.B. Investigativ-
Journalisten

Datenhehlerei
 Datenhehlerei (§ 202d StGB) [2/2]
WER? jeder
WIE? Verschaffen, Überlassen, Verbreiten oder sonst Zugänglichmachen von
Daten, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen
WAS? Daten, die nicht allgemein zugänglich sind und die ein anderer durch eine
rechtswidrige Tat erlangt hat
WIESO? sog. „Anti-Whistleblower“-Regelung; aber: Straffreiheit für Handlungen,
die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten
dienen (Problem: neben hauptberuflichen Journalisten z.B. auch private Blogger
oder Podcaster umfasst?)
HÄH?:Verschaffen bzw.Veräußern von Steuersünder-CDs, Leaken von
Wirtschaftsinformationen („Panama-Papers“ o.ä.)
29

Inhalt / Übersicht
30

Betrug / Computerbetrug
 Betrug (§ 263 StGB)
 „Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen
Vermögensvorteil zu verschaffen, dasVermögen eines anderen
dadurch beschädigt, daß er durch Vorspiegelung falscher oder
durch Entstellung oder Unterdrückung wahrerTatsachen einen
Irrtum erregt oder unterhält, wird mit Freiheitsstrafe bis zu fünf
Jahren oder mit Geldstrafe bestraft.“
 (+ besonders schwere Fälle gem. Abs. 3, + bandenmäßiger Betrug
gem. Abs. 5)
31

 Computerbetrug (§ 263a StGB) [1/2]
 „(1)Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen
Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch
beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch
unrichtige Gestaltung des Programms, durchVerwendung unrichtiger oder
unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst
durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit
Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
[…]
(3)Wer eine Straftat nach Absatz 1 vorbereitet, indem er
1. Computerprogramme, deren Zweck die Begehung einer solchenTat ist,
herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem
anderen überlässt oder
2. Passwörter oder sonstige Sicherungscodes, die zur Begehung einer
solchenTat geeignet sind, herstellt, sich oder einem anderen verschafft,
feilhält, verwahrt oder einem anderen überlässt,
wird mit Freiheitsstrafe bis zu dreiJahren oder mit Geldstrafe bestraft.“
32

 Computerbetrug (§ 263a StGB) [2/2]
WER? jeder
WIE?Absicht zum Verschaffen eines rechtswidrigen Vermögensvorteils durch Schädigen desVermögens eines
anderen
WAS? Beeinflussen des Ergebnisses eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des
Programms, durchVerwendung unrichtiger oder unvollständiger Daten, durch unbefugteVerwendung von Daten
oder sonst durch unbefugte Einwirkung auf denAblauf oder durch Herstellen usw. von Computerprogrammen
bzw. von Passwörtern o.a. Sicherungscodes zu diesem Zweck
WEM? sich oder einem Dritten
WIESO? Schutz des Vermögens + allg. Interesse an funktionstüchtigen Datenverarbeitungssystemen; im
Gegensatz zum „normalen“ Betrug erfolgt hier die Tathandlung ggü. einer Maschine und nicht ggü. einem
Menschen
EINORDNUNG? Vergehen (bei gewerbs- oder bandenmäßiger Begehung:Verbrechen)
HÄH?: Manipulation von Glücksspiel- oder Geldautomaten („Skimming“), Manipulation von Buchungssoftware,
Eindringen in fremde Online-Konten (z.B. durch „Phishing“), unberechtigte Nutzung von Pay-TV Inhalten,
Eindringen in bzw. Nutzung von fremdenTelefonsystemen („Phreaking“), Anfertigen illegaler Kopien von
Kreditkarten 33

Inhalt / Übersicht
34

Datenveränderung / Computersabotage
 Datenveränderung (§ 303a StGB) [1/2]
 „Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt,
unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft.“
35

 Datenveränderung (§ 303a StGB) [2/2]
WER? jeder
WIE? rechtswidriges Unterdrücken, Unbrauchbarmachen oderVeränderung von
Daten
WAS? -
WEM? -
WIESO? Schutz von Daten und Informationen; Interesse an der unbeeinträchtigten
Verwendbarkeit von gespeicherten Daten
HÄH?: Einschleusen von Virus-Software in fremde EDV-Systeme („Hoax“ hingegen
i.d.R. nicht strafbar), rechtswidrige Überwindung von Kopierschutzmaßnahmen
(„Cracken“), Entsperren von SIM-Lock-Handys, DDoS-Attacke („virtuelle
Sitzstreiks“)
36

 Computersabotage (§ 303b StGB) [1/2]
 „Wer eine Datenverarbeitung, die für einen anderen von
wesentlicher Bedeutung ist, dadurch erheblich stört, dass er
1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil
zuzufügen, eingibt oder übermittelt oder
3. eine Datenverarbeitungsanlage oder einen Datenträger
zerstört, beschädigt, unbrauchbar macht, beseitigt oder
verändert,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe
bestraft.“
37

 Computersabotage (§ 303b StGB) [2/2]
WER? jeder
WIE? erhebliche Störung einer Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist
WAS? durch 1. Begehen einer Tat nach § 303a Abs. 1, 2. Eingeben oder Übermitteln von Daten i.S.v. § 202aAbs. 2)
in der Absicht, einem anderen Nachteil zuzufügen, oder 3. Zerstören, Beschädigen,Unbrauchbarmachen,
Beseitigen oder Verändern einer Datenverarbeitungsanlage oder eines Datenträgers
WEM? einen anderen (für Unternehmen, Behörde etc.)
WIESO? fremde & eigene Datenverarbeitungsvorgänge; allg. Interesse der Betreiber und Nutzer von
Datenverarbeitungsanlagen an deren ordnungsgemäßer Funktionsweise (fürVorbereitung einer Straftat nach
Abs. 1 gilt § 202c entsprechend)
WOZU? Freiheitsstrafe (< 3 Jahre) oder Geldstrafe (aber: Freiheitsstrafe von < 5 Jahren, wenn Datenverarbeitung
für Unternehmen, Behörde o.ä. von wesentlicher Bedeutung ist; Freiheitsstrafe von < 10 Jahren bei großem
Vermögensverlust, gewerbsmäßigem / bandenmäßigen Handeln oder Beeinträchtigen derVersorgung der
Bevölkerung mit lebenswichtigen Gütern etc.)
HÄH?: Kopieren von Schadsoftware auf fremden Computer, physikalische Zerstörung eines Datenspeichers, u.U.
DDoS-Attacke
38

 Strafantrag (§ 303c StGB)
 „In den Fällen der §§ 303, 303a Abs. 1 und 2 sowie § 303b Abs. 1 bis
3 wird die Tat nur auf Antrag verfolgt, es sei denn, daß die
Strafverfolgungsbehörde wegen des besonderen öffentlichen
Interesses an der Strafverfolgung ein Einschreiten von Amts
wegen für geboten hält.“
39

Inhalt / Übersicht
40

Urkundsdelikte
 Überblick
 § 267Urkundenfälschung
 § 268 Fälschung technischer Aufzeichnungen
 § 269 Fälschung beweiserheblicher Daten
 § 270Täuschung im Rechtsverkehr bei Datenverarbeitung
 § 271 Mittelbare Falschbeurkundung
 § 273Verändern von amtlichen Ausweisen
 § 274Urkundenunterdrückung;Veränderung einer Grenzbezeichnung
 § 275Vorbereitung der Fälschung von amtlichen Ausweisen;Vorbereitung der Herstellung von unrichtigen
Impfausweisen
 § 276Verschaffen von falschen amtlichen Ausweisen
 § 276a Aufenthaltsrechtliche Papiere; Fahrzeugpapiere
 § 277Unbefugtes Ausstellen vonGesundheitszeugnissen
 § 278 Ausstellen unrichtiger Gesundheitszeugnisse
 § 279Gebrauch unrichtiger Gesundheitszeugnisse
 § 281 Mißbrauch von Ausweispapieren
41

Urkundsdelikte
 Urkundenfälschung (§ 267 StGB)
 „Wer zur Täuschung im Rechtsverkehr eine unechte Urkunde
herstellt, eine echte Urkunde verfälscht oder eine unechte oder
verfälschte Urkunde gebraucht, wird mit Freiheitsstrafe bis zu fünf
Jahren oder mit Geldstrafe bestraft.“
 (+ besonders schwere Fälle gem. Abs. 3, + bandenmäßige
Begehung gem. Abs. 4)
42

Urkundsdelikte
 Fälschung technischerAufzeichnungen (§ 268 StGB) [1/2]
 „Wer zur Täuschung im Rechtsverkehr
1. eine unechte technische Aufzeichnung herstellt oder eine
technische Aufzeichnung verfälscht oder
2. eine unechte oder verfälschte technische Aufzeichnung gebraucht,
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Technische Aufzeichnung ist eine Darstellung von Daten, Meß- oder
Rechenwerten,Zuständen oder Geschehensabläufen, die durch ein
technischesGerät ganz oder zumTeil selbsttätig bewirkt wird, den
Gegenstand der Aufzeichnung allgemein oder für Eingeweihte erkennen
läßt und zum Beweis einer rechtlich erheblichenTatsache bestimmt ist,
gleichviel ob ihr die Bestimmung schon bei der Herstellung oder erst
später gegeben wird.“
43

Urkundsdelikte
 Fälschung technischer Aufzeichnungen (§ 268 StGB) [2/2]
WER? jeder
WIE? Herstellen einer unechten oder Verfälschen einer (echten) techn.
Aufzeichnung oder Gebrauchen einer unechten oder verfälschten techn.
Aufzeichnung (Beeinflussen des Ergebnisses einer techn. Aufzeichnung durch
störende Einwirkung auf den Aufzeichnungsvorgang = Herstellen)
WAS? zur Täuschung im Rechtsverkehr
WEM? -
WIESO? Sicherheit & Zuverlässigkeit der Beweiskraft von techn. Aufzeichnungen;
Schutz der Sicherheit von Informationsgewinnung durch techn. Geräte
HÄH?: Manipulation von LKW-Fahrtenschreiberblättern, der Fotos von
Verkehrsüberwachungskameras oder des Betriebssystems einer Spielekonsole
44

Urkundsdelikte
 Fälschung beweiserheblicher Daten (§ 269 StGB) [1/2]
 „Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so
speichert oder verändert, daß bei ihrer Wahrnehmung eine
unechte oder verfälschte Urkunde vorliegen würde, oder derart
gespeicherte oder veränderte Daten gebraucht, wird mit
Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“
45

Urkundsdelikte
 Fälschung beweiserheblicher Daten (§ 269 StGB) [2/2]
WER? jeder
WIE? Speichern oderVerändern beweiserheblicher Daten, so dass bei ihrer
Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder
derart gespeicherte oder veränderte Daten gebraucht
WAS? zur Täuschung im Rechtsverkehr
WEM? -
WIESO? Sicherheit & Zuverlässigkeit des Rechts- & Beweisverkehrs; Umgang mit
beweiserheblichen Daten
EINORDNUNG? Vergehen (bei gewerbs- oder bandenmäßiger Begehung:
Verbrechen)
HÄH?: Manipulation von Kreditkarten-Codierungen bzw. deren Speicher-Inhalten,
von Wertangaben aufTelefonkarten oder von Code-Schlüssels
auf Pay-TV Abo-Karten
46

Urkundsdelikte
 Täuschung im Rechtsverkehr bei Datenverarbeitung
(§ 270 StGB) [1/2]
 „Der Täuschung im Rechtsverkehr steht die fälschliche
Beeinflussung einer Datenverarbeitung im Rechtsverkehr
gleich.“
47

Urkundsdelikte
 Täuschung im Rechtsverkehr bei Datenverarbeitung
(§ 270 StGB) [2/2]
 „Gleichstellungsklausel“ mit Klarstellungsfunktion, dient der
Rechtssicherheit
 droht die Sanktionen der folgendenVorschriften auch für solche Fälle
an, in denen kein Mensch, sondern eine Maschine getäuscht wird:
 §§ 267-269 StGB
 § 152a StGB (Fälschung von Zahlungskarten, Schecks undWechseln),
 § 271 StGB (Mittelbare Falschbeurkundung),
 § 273 StGB (Verändern von amtlichen Ausweisen)
 § 281 StGB (Missbrauch von Ausweispapieren)
48

Inhalt / Übersicht
49

Beleidigungsdelikte
50
 Überblick
 § 185 Beleidigung
 § 186 Üble Nachrede
 § 187Verleumdung
 § 188 Gegen Personen des politischen Lebens gerichtete Beleidigung,
üble Nachrede undVerleumdung
 § 189Verunglimpfung des AndenkensVerstorbener
 § 192 Beleidigung trotzWahrheitsbeweises
 § 192aVerhetzende Beleidigung
 § 199Wechselseitig begangene Beleidigungen

Beleidigungsdelikte
 Beleidigung (§ 185 StGB) [1/2]
 „Die Beleidigung wird mit Freiheitsstrafe bis zu einem Jahr oder
mit Geldstrafe und, wenn die Beleidigung öffentlich, in einer
Versammlung, durch Verbreiten eines Inhalts (§ 11 Absatz 3) oder
mittels einer Tätlichkeit begangen wird, mit Freiheitsstrafe bis zu
zwei Jahren oder mit Geldstrafe bestraft.“
51
???

Beleidigungsdelikte
 Beleidigung (§ 185 StGB) [2/2]
WER? jeder
WIE? Angriff auf die Ehre einer anderen Person durch Ausdruck der Missachtung
oder Nichtachtung mittels negativer Äußerung (wörtlich, schriftlich, bildlich,
symbolisch oder durch eine schlüssige Handlung)
WAS? ehrverletzende Tatsachenbehauptungen unmittelbar ggü. Opfer (bei
Äußerung ggü. Dritten: üble Nachrede); ehrverletzende Werturteile hingegen auch
dann als Beleidigung strafbar, wenn sie ggü. Dritten geäußert werden
WEM? -
WIESO? Schutz der persönlichen Ehre
WOZU? Freiheitsstrafe (< 1 Jahr) oder Geldstrafe (Freiheitsstrafe <2 Jahre bei
Beleidigungen inVersammlungen, durchVerbreiten oder öffentlich)
HÄH?: „DuVollpfosten“…
52

Beleidigungsdelikte
53
 Üble Nachrede (§ 186 StGB) [1/2]
 „Wer in Beziehung auf einen anderen eine Tatsache behauptet
oder verbreitet, welche denselben verächtlich zu machen oder in
der öffentlichen Meinung herabzuwürdigen geeignet ist, wird,
wenn nicht dieseTatsache erweislich wahr ist, mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe und, wenn dieTat öffentlich,
in einerVersammlung oder durchVerbreiten eines Inhalts (§ 11
Absatz 3) begangen ist, mit Freiheitsstrafe bis zu zwei Jahren oder
mit Geldstrafe bestraft.“

Beleidigungsdelikte
 Üble Nachrede (§ 186 StGB) [2/2]
WER? jeder
WIE? Behauptung oderVerbreitung einer unwahrenTatsache, die geeignet ist, einen
anderen verächtlich zu machen oder in der öffentlichen Meinung herabzuwürdigen
WAS? ehrverletzende Tatsachenbehauptung ggü. Dritten;Täter weiß ggf., dass
seine Behauptung ehrverletzend ist, geht aber davon aus, dass sie der Wahrheit
entspricht (sonst:Verleumdung)
WEM? -
WOZU? Freiheitsstrafe (< 1 Jahr) oder Geldstrafe (Freiheitsstrafe <2 Jahre bei
Beleidigungen inVersammlungen, durchVerbreiten oder öffentlich)
HÄH?: „Das ist eine linke Zecke“… 54

Beleidigungsdelikte
55
 Verleumdung (§ 187 StGB) [1/2]
 „Wer wider besseres Wissen in Beziehung auf einen anderen eine
unwahreTatsache behauptet oder verbreitet, welche denselben
verächtlich zu machen oder in der öffentlichen Meinung
herabzuwürdigen oder dessen Kredit zu gefährden geeignet ist,
wird mit Freiheitsstrafe bis zu zweiJahren oder mit Geldstrafe und,
wenn dieTat öffentlich, in einerVersammlung oder durch
Verbreiten eines Inhalts (§ 11 Absatz 3) begangen ist, mit
Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

Beleidigungsdelikte
 Verleumdung (§ 187 StGB) [2/2]
WER? jeder
WIE? Behauptung oderVerbreitung einer unwahrenTatsache, die geeignet
ist, einen anderen verächtlich zu machen, in der öffentlichen Meinung
herabzuwürdigen oder dessen Kredit zu gefährden
WAS? Behauptung „wider besseren Wissens“, d.h. Täter weiß, dass seine
Behauptung unwahr ist
WEM? -
WOZU? Freiheitsstrafe (< 2 Jahre) oder Geldstrafe (Freiheitsstrafe <5 Jahre
bei Beleidigungen inVersammlungen, durchVerbreiten oder öffentlich)
HÄH?: „Betrüger“…
56

Inhalt / Übersicht
57

Straftaten gegen die sexuelle Selbstbestimmung
 Überblick
 § 184Verbreitung pornographischer Inhalte
 § 184aVerbreitung gewalt- oder tierpornographischer Inhalte
 § 184bVerbreitung, Erwerb und Besitz kinderpornographischer Inhalte
 § 184cVerbreitung, Erwerb und Besitz jugendpornographischer Inhalte
 § 184eVeranstaltung und Besuch kinder- und jugendpornographischer Darbietungen
 § 184f Ausübung der verbotenen Prostitution
 § 184g Jugendgefährdende Prostitution
 § 184i Sexuelle Belästigung
 § 184j Straftaten aus Gruppen
 § 184kVerletzung des Intimbereichs durch Bildaufnahmen
 § 184l Inverkehrbringen, Erwerb und Besitz von Sexpuppen mit kindlichem
Erscheinungsbild
58

59
 Verbreitung pornographischer Inhalte (§ 184 StGB) [1/2]
 „Wer einen pornographischen Inhalt (§ 11 Abs. 3)
1. einer Person unter 18 Jahren anbietet, überläßt oder zugänglich macht,
2. an einem Ort, der Personen unter 18Jahren zugänglich ist oder von ihnen eingesehen werden kann, zugänglich
macht,
3. im Einzelhandel außerhalb von Geschäftsräumen, in Kiosken oder anderenVerkaufsstellen, die der Kunde nicht zu
betreten pflegt, im Versandhandel oder in gewerblichen Leihbüchereien oder Lesezirkeln einem anderen anbietet
oder überläßt,
3a. imWege gewerblicherVermietung oder vergleichbarer gewerblicher Gewährung des Gebrauchs, ausgenommen in
Ladengeschäften, die Personen unter 18Jahren nicht zugänglich sind und von ihnen nicht eingesehen werden können,
einem anderen anbietet oder überläßt,
4. imWege des Versandhandels einzuführen unternimmt,
5. öffentlich an einem Ort, der Personen unter 18Jahren zugänglich ist oder von ihnen eingesehen werden kann, oder
durch Verbreiten von Schriften außerhalb des Geschäftsverkehrs mit dem einschlägigen Handel anbietet oder
bewirbt,
6. an einen anderen gelangen läßt, ohne von diesem hierzu aufgefordert zu sein,
7. in einer öffentlichen Filmvorführung gegen ein Entgelt zeigt, das ganz oder überwiegend für dieseVorführung
verlangt wird,
8. herstellt, bezieht, liefert, vorrätig hält oder einzuführen unternimmt, um diesen im Sinne der Nr. 1-7 zu
verwenden oder einer anderen Person eine solcheVerwendung zu ermöglichen, oder
9. auszuführen unternimmt, um diesen im Ausland unter Verstoß gegen die dort geltenden Strafvorschriften zu
verbreiten oder der Öffentlichkeit zugänglich zu machen oder eine solcheVerwendung zu ermöglichen,
wird mit Freiheitsstrafe bis zu einemJahr oder mitGeldstrafe bestraft.“

 Verbreitung pornographischer Inhalte (§ 184 StGB) [2/2]
WER? jeder
WIE? Anbieten, Überlassen, Zugänglichmachen, gewerblicheVermietung o.ä.,
Einführung, Bewerben, öffentliche (Film-)Vorführung, Ausführung &Verbreitung etc.
im Ausland von pornographischen Inhalten
WAS? div.Tathandlungen, div.Tatorte
WEM? -
WIESO? Jugendschutz
WOZU? Freiheitsstrafe (< 1 Jahr) oder Geldstrafe
HÄH?: Betreiben einer Pornoplattform ohne wirksames Altersverifikationssystem,
Posten von Pornos in sozialen Netzwerken,Verbreiten von Pornos via Messenger,
Verkauf von Pornos ohne Altersprüfung… 60

61
 Begriffsbestimmung „Inhalte“ (§ 11 Abs. 3 StGB)
 „Inhalte im Sinne derVorschriften, die auf diesen Absatz
verweisen, sind solche, die in Schriften, auf Ton- oder
Bildträgern, in Datenspeichern, Abbildungen oder anderen
Verkörperungen enthalten sind oder auch unabhängig von einer
Speicherung mittels Informations- oder
Kommunikationstechnik übertragen* werden.“
* daher Wegfall von § 184d StGB (Verbreitung Pornographischer Darbietungen durch
Rundfunk, Medien- oderTeledienst)

Inhalt / Übersicht
62

Anleitung zu Straftaten
63
 Anleitung zu Straftaten (§ 130a StGB) [1/2]
 „(1)Wer einen Inhalt (§ 11 Abs. 3), der geeignet ist, als Anleitung zu einer
in § 126 Abs. 1 genannten rechtswidrigenTat zu dienen, und dazu
bestimmt ist, die Bereitschaft anderer zu fördern oder zu wecken, eine
solche Tat zu begehen, verbreitet oder der Öffentlichkeit zugänglich
macht, wird mit Freiheitsstrafe bis zu dreiJahren oder mit Geldstrafe
bestraft.
(2) Ebenso wird bestraft, wer
1. einen Inhalt (§ 11 Abs. 3), der geeignet ist, als Anleitung zu einer in
§ 126 Abs. 1 genannten rechtswidrigenTat zu dienen, verbreitet oder
der Öffentlichkeit zugänglich macht oder
2. öffentlich oder in einerVersammlung zu einer in § 126 Abs. 1
genannten rechtswidrigenTat eine Anleitung gibt,
um die Bereitschaft anderer zu fördern oder zu wecken, eine solche
Tat zu begehen.“

64
 Störung des öffentlichen Friedens durch Androhung von Straftaten
(§ 126 Abs. 1 StGB)
 „Wer in einerWeise, die geeignet ist, den öffentlichen Frieden zu stören,
1. einen […Fall des] Landfriedensbruchs,
2. eine Straftat gegen die sexuelle Selbstbestimmung […],
3. einen Mord (§ 211), Totschlag (§ 212) oder Völkermord (§ 6 des
Völkerstrafgesetzbuches) oder ein Verbrechen gegen die Menschlichkeit (§ 7
desVölkerstrafgesetzbuches) oder ein Kriegsverbrechen (§§ 8, 9, 10, 11 oder 12
desVölkerstrafgesetzbuches),
4. eine gefährliche Körperverletzung oder eine schwere Körperverletzung,
5. eine Straftat gegen die persönliche Freiheit […],
6. einen Raub oder eine räuberische Erpressung (§§ 249 bis 251 oder 255),
7. ein gemeingefährlichesVerbrechen […] oder
8. ein gemeingefährlichesVergehen […]
androht, wird […]“

 Anleitung zu Straftaten (§ 130a StGB) [2/2]
WER? jeder
WIE? Verbreitung oder öffentlich Zugänglichmachung von bestimmten Inhalten
WAS? Inhalte, die dazu geeignet sind, als Anleitung zu einer bestimmten rechtswidrigen Tat (§ 126
StGB) zu dienen, und dazu bestimmt ist, die Bereitschaft anderer zu fördern oder zu wecken, eine
solche Tat zu begehen; Anleitung zu einer rechtswidrigen Tat (§ 126 StGB) öffentlich oder in einer
Versammlung
WEM? -
WIESO? Schutz der Allgemeinheit vor schweren Straftaten (nicht strafbar, wenn die Handlung der
staatsbürgerlichen Aufklärung, der Abwehr verfassungswidriger Bestrebungen, der Kunst oder der
Wissenschaft, der Forschung oder der Lehre, der Berichterstattung überVorgänge des
Zeitgeschehens oder der Geschichte oder ähnlichen Zwecken dient)
HÄH?: Anleitung zum Bombenbau aus „Haushaltsmitteln“, zur Herstellung von Waffen aus
normalen Werkzeugen oder zum Einbruch in Gebäude
65

Inhalt / Übersicht
66

Unerlaubte Eingriffe in techn. Schutzmaßnahmen
67
 Unerlaubte Eingriffe in technische Schutzmaßnahmen und zur Rechtewahrnehmung
erforderliche Informationen (§ 108b UrhG) [1/3]
 „1)Wer
1. in der Absicht, sich oder einem Dritten den Zugang zu einem […] geschützten Werk oder einem
anderen nach diesem Gesetz geschützten Schutzgegenstand oder deren Nutzung zu ermöglichen, eine
wirksame technische Maßnahme ohne Zustimmung des Rechtsinhabers umgeht oder
2. wissentlich unbefugt
a) eine von Rechtsinhabern stammende Information für die Rechtewahrnehmung entfernt
oder verändert, wenn irgendeine der betreffenden Informationen an einem
Vervielfältigungsstück einesWerkes oder eines sonstigen Schutzgegenstandes angebracht ist
oder im Zusammenhang mit der öffentlichen Wiedergabe eines solchen Werkes oder
Schutzgegenstandes erscheint, oder
b) ein Werk oder einen sonstigen Schutzgegenstand, bei dem eine Information für die
Rechtewahrnehmung unbefugt entfernt oder geändert wurde, verbreitet, zurVerbreitung
einführt, sendet, öffentlich wiedergibt oder öffentlich zugänglich macht und dadurch wenigstens
leichtfertig die Verletzung von Urheberrechten oder verwandten Schutzrechten veranlasst,
ermöglicht, erleichtert oder verschleiert,
wird, wenn dieTat nicht ausschließlich zum eigenen privaten Gebrauch desTäters oder mit demTäter
persönlich verbundener Personen erfolgt oder sich auf einen derartigen Gebrauch bezieht, mit
Freiheitsstrafe bis zu einemJahr oder mit Geldstrafe bestraft.“

 Unerlaubte Eingriffe in technische Schutzmaßnahmen und zur Rechtewahrnehmung erforderliche
Informationen (§ 108b UrhG) [2/3]
WER? jeder
WIE? Umgehung einer wirksamen techn. Schutzmaßnahme ohne Zustimmung des Rechteinhabers mit der
Absicht, den Zugang zu einem geschütztenWerk oder einem anderen geschützten Schutzgegenstand oder deren
Nutzung zu ermöglichen, oder wissentlich unbefugt, eine Information über den Rechteinhaber entfernt /
verändert oder ein so verändertesWerk verbreitet, zurVerbreitung einführt, sendet, öffentlich wiedergibt oder
öffentlich zugänglich macht
WAS? straffrei, wenn dieTat ausschließlich zum eigenen privaten Gebrauch desTäters oder einer mit demTäter
persönlich verbundenen Personen erfolgt oder sich auf einen derartigen Gebrauch bezieht
WEM? sich oder einem Dritten
WIESO? Schutz geistigen Eigentums
WOZU? Freiheitsstrafe (< 1 Jahr) oder Geldstrafe
HÄH?: Nutzung von Hacker-Software für unberechtigte Kopien von Original-Software, Manipulation des
Quellcodes einer geschützten Software, Entfernen bzw. Überwinden des Kopierschutzes einerVideo-DVD
68

69
 Unerlaubte Eingriffe in technische Schutzmaßnahmen und
zur Rechtewahrnehmung erforderliche Informationen
(§ 108b UrhG) [3/3]
 „[…]
(2) Ebenso wird bestraft, wer entgegen § 95a Abs. 3 eine
Vorrichtung, ein Erzeugnis oder einen Bestandteil zu gewerblichen
Zwecken herstellt, einführt, verbreitet, verkauft oder vermietet.“

70
 Schutz technischer Maßnahmen (§ 95a Abs. 3 UrhG)
 „Verboten sind die Herstellung, die Einfuhr, die Verbreitung, der
Verkauf, die Vermietung, die Werbung im Hinblick aufVerkauf oder
Vermietung und der gewerblichen Zwecken dienende Besitz von
Vorrichtungen, Erzeugnissen oder Bestandteilen sowie die Erbringung
von Dienstleistungen, die
1. Gegenstand einerVerkaufsförderung, Werbung oderVermarktung
mit dem Ziel der Umgehung wirksamer technischer Maßnahmen
sind oder
2. abgesehen von der Umgehung wirksamer technischer Maßnahmen
nur einen begrenzten wirtschaftlichen Zweck oder Nutzen haben
oder
3. hauptsächlich entworfen, hergestellt, angepasst oder erbracht
werden, um die Umgehung wirksamer technischer Maßnahmen zu
ermöglichen oder zu erleichtern.“

Inhalt / Übersicht
71

Sanktionen
 Strafrechtliche Sanktionen
 Freiheits- oder Geldstrafe / ggf. Geldbuße
 ggf. Eintrag ins Führungszeugnis
72

Sanktionen
 Zivilrechtliche Sanktionen
 Schadensersatz- / Schmerzensgeldforderungen
 Unterlassungsklagen / einstweiligeVerfügungen
 arbeitsrechtliche Konsequenzen
 Abmahnung
 Kündigung
 Regress
73

74
Teil II – Umsetzung Datenschutzrecht

Inhalt / Übersicht
75

Umsetzung Datenschutzrecht
Grundlagen
76
Rechtsquellen
DSGVO
BDSG
LDSG
div. Spezial-
normen (TTDSG…)

Grundlagen - Begriffe
77
• Name
• Anschrift
• Kontaktdaten
• …
persönliche Daten
• Bankverbindung
• Überweisung
• Kontostand
• …
Finanzdaten
• Größe
• Gewicht
• Haarfarbe
• …
allg. äußerliche
Merkmale
• Fingerabdruck
• DNA-Probe
• …
biometrische
Daten
• Aufnahmen
erkennbar
abgebildeter
Personen
Fotos / Videos
• AU-Bescheinigung
• Diagnose
• Rezept
• …
Gesundheitsdaten
• AC – XY 1234
Kfz-Kennzeichen
• dynamisch &
statisch
IP-Adressen
Beispiele
personenbezogener
Daten:

78
besondere
Kategorien
personenbezogener
Daten
rass. / ethn. Herkunft
polit. Meinung
relig. / weltansch.
Überzeugung
Gewerkschaftszugeh.
genetische Daten
biometrische Daten
Gesundheitsdaten
Sexualleben

79
Verarbeiten
Erheben,
Erfassen
Auslesen,
Abfragen
Verändern,
Anpassen,
Einschränken
Speichern
Löschen,
Vernichten
Ordnen,
Organisieren
Abgleichen,
Verknüpfen
Offenlegen
durch
Übermittlung,
Verbreitung,
Bereitstellung

80
Verantwortlicher*
Behörde
Unternehmen
Verein
* unabhängig von Größe, Organisationsform, Umsatz, Mitarbeiteranzahl,
Branche / Bereich…

Grundlagen - Prinzipien
81
Rechtmäßigkeit Treu und Glauben Transparenz
Zweckbindung Datenminimierung Richtigkeit
Speicherbegrenzung
Integrität und
Vertraulichkeit
Rechenschaftspflicht

82
Grundsatz der Rechtmäßigkeit:
JedeVerarbeitung von personenbezogenen Daten
ist nur aufgrund einer Rechtsgrundlage zulässig.

83
Rechtmäßige
Verarbeitung
pb Daten
Einwilligung
gesetzlicher
Ausnahmetatbestand
überwiegende
berechtigte Interessen

84
Rechtsgrundlagen
DSGVO
(Art. 6, 9)
BDSG
(z.B. §§ 22, 26)
div. Fachgesetze
(z.B.TTDSG)
Satzungen, BVen,
Tarifverträge

85
* gilt nicht für Behörden in Erfüllung ihrer Aufgabe (Art. 6 Abs. 1 S. 2)
Rechtsgrundlagen keine Rechtsgrundlagen
Einwilligung
(Art. 6 Abs. 1 S. 1 lit. a)
„haben wir schon immer so gemacht“
Erfüllung einer (vor-) vertragl. Maßnahme
(Art. 6 Abs. 1 S. 1 lit b)
„wie brauchen die Daten halt“
Erfüllung einer rechtlichenVerpflichtung
(Art. 6 Abs. 1 S. 1 lit. c)
„das steht, glaube ich, irgendwo imGesetz“
Schutz lebenswichtiger Interessen
(Art. 6Abs. 1 S. 1 lit. d)
„der Chef hat dieUnterlagen angefordert“
Wahrnehmung einer im öffentlichen Interesse
liegendenAufgabe / Ausübung öffentlicher
Gewalt
(Art. 6 Abs. 1 S. 1 lit. e)
„wir werfen nur einen kurzen Blick drauf“
überwiegende berechtigte Interessen
(Art. 6 Abs. 1S. 1 lit. f)*
„vielleicht brauchen wir die Daten in Zukunft“
 

86
Zweckbindung
festgelegt eindeutig legitim

87
Grundsatz der Datenminimierung:
„so viel wie nötig, so wenig wie möglich“

88
Grundsatz der Speicherbegrenzung:
„Wie lange dürfen bzw. müssen wir
personenbezogene Daten aufbewahren?“

89
Grundsatz der Integrität &Vertraulichkeit:
„angemessene Sicherheit durch geeignete
technische und organisatorische Maßnahmen“

90
Grundsatz derTransparenz:
„sag, was Du tust,
und tu, was Du sagst“

91
Art. 5 Abs. 2:
„DerVerantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und
muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
Art. 24 Abs. 1:
„DerVerantwortliche setzt [...] geeignete technische und organisatorische
Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen
zu können, dass dieVerarbeitung gemäß dieserVerordnung erfolgt.“

92
Zweckbindung
Rechtmäßigkeit
Integrität +
Vertraulichkeit
Datenminimierung
Speicherbegrenzung
Nachweispflicht

Inhalt / Übersicht
93

Dokumentation
 ausdrücklich geforderte Dokumentations- / Nachweispflichten:
 Rechenschaftspflicht (Art. 5 Abs. 2)
 Einwilligung (Art. 7, 8)
 Verarbeitung von besonderen Kategorien pb Daten (Art. 9)
 Einholung zusätzlicher Infos zur Identifizierung einer Person (Art. 11)
 offensichtlich unbegründeter oder exzessiver Antrag auf Betroffenenrecht (Art. 12
Abs. 5 S. 2)
 gemeinsameVerantwortlichkeit (Art. 26 Abs. 1)
 AV-Verhältnis (Art. 28 Abs. 3, 9)
 Verarbeitungsverzeichnis (Art. 30)
 Meldung von Datenpannen an Aufsichtsbehörde (Art. 33 Abs. 5)
 DSFA (Art. 35 Abs. 7)
 DSB-Benennung / Mitteilung an Aufsichtsbehörde (Art. 37 Abs. 7)
94

Dokumentation
 implizit geforderte Dokumentations- / Nachweispflichten:
 Rechtsgrundlage fürVerarbeitung pb Daten (Art. 6)
 Verarbeitung von Daten über Straftaten etc. (Art. 10)
 Informationspflichten (Art. 13, 14)
 Reaktion auf Betroffenenrechte (z.B. auf Auskunftsantrag gem. Art.
15)
 TOMs (Art. 24, 25)
 Sicherheit derVerarbeitung (Art. 32)
 Benachrichtigung von Betroffenen nach Datenpanne (Art. 34)
 Datenübermittlung in Drittstaaten (Art. 44-50)
95

Dokumentation
96
„Wer schreibt, der
bleibt!“
Datenschutz-
Management-System
(DSMS)

Dokumentation
97
Richtlinien
Arbeitsanweisungen /
Betriebsvereinbarungen
Prozesse
Infos / Dokumente
(VVT,TOMs,Verträge, Einwilligungen…)
Schulung & Sensibilisierung der Mitarbeiter
Bestandteile
eines DSMS

Dokumentation
98
Plan
Do
Check
Act

Dokumentation
99
 Verzeichnis vonVerarbeitungstätigkeiten (VVT) gem. Art. 30 =
zentrales & wichtigstes Datenschutz-Dokument
 keine gesetzlicheVorgabe bzgl. der Form desVVT
 aber: verpflichtende Mindestinhalte
• Art. 30 Abs. 1: fürVerantwortliche
• Art. 30 Abs. 2: für AVler

Dokumentation
100
„Deckblatt“
• Name & Kontaktdaten
des Verantwortlichen
• ggf. Namen &
Kontaktdaten des DSB
• ggf. Namen &
Kontaktdaten des
gemeinsam
Verantwortlichen
• ggf. Name &
Kontaktdaten des EU-
Vertreters
Verarbeitungstätigkeiten
• proTätigkeit Angabe von:
• Zwecke der
Verarbeitung
• Kategorien Betroffener
• Kategorien pb Daten
• ggf. Kategorien von
Empfängern
• ggf. Übermittlung an
Drittland
• Löschfristen
TOMs
• allg. Beschreibung der
technischen und
organisatorischen
Maßnahmen gem.
Art. 32

Dokumentation
101
„Deckblatt“
•Name & Kontaktdaten des
Verantwortlichen
•ggf. Namen &
Kontaktdaten des DSB
•ggf. Namen &
Kontaktdaten des
gemeinsam
Verantwortlichen
•ggf. Name & Kontaktdaten
des EU-Vertreters
Verarbeitungstätigkeiten
•pro Tätigkeit Angabe von:
•Zwecke der Verarbeitung
•Kategorien Betroffener
•Kategorien pb Daten
•ggf. Kategorien von
Empfängern
•ggf. Übermittlung an
Drittland
•Löschfristen
TOMs
•allg. Beschreibung der
technischen und
organisatorischen
Maßnahmen gem.
Art. 32
+ Rechtsgrundlage
+ Betroffenenrechte
+ ggf. Daten-Quellen
+ …

Dokumentation
102
 Beispiele sinnvoller, optionaler Angaben
 Rechtsgrundlage für
• „normale“ Daten
• besondere Daten (Art. 9, 10)
 Quellen, aus denen Daten erhoben wurden
 Risikoeinstufung einzelnerVerarbeitungstätigkeiten
 DSFA-Einstufung
 …

Dokumentation
103
Verarbeitungs-
tätigkeit
Rechtsgrundlage
Zweck

Dokumentation
104
Geschäftsleitung
Personal Buchhaltung IT …
DSB

Dokumentation
105
 Auflistung derTätigkeiten pro Fachbereich
(Bsp. Personalabteilung):
 Führen der Personalakten
 Organisation von Urlaub / arbeitsfreienTagen
 Fortbildungsmanagement
 Bewerbungsmanagement
• Stellenausschreibungen
• Bewerbungsgespräche
• Korrespondenz mit Kandidaten
• Bewerberdatenbank für zukünftigeVerwendung
• …

Dokumentation
106
 Hinzufügen allg.Tätigkeiten:
 Terminplanung (z.B. mit Microsoft Outlook)
 Kontaktverwaltung (CRM-System)
 Aufgabenmanagement (z.B. mit Microsoft Outlook)
 Betrieb einer Website
 Betrieb von Social-Media-Profilen
 …

Dokumentation
107
 VVT-Bestandteile
 Pflichtangaben zu den einzelnenTätigkeiten
gem. Art. 30 Abs. 1 lit. b) – f)
allg. Beschreibung der TOMs
ggf. optionale Angaben (z.B. Rechtsgrundlage)
ggf. Anlagen

Dokumentation
108
Beispiele sinnvoller Anlagen zum VVT
Übersicht Hard- / Software Benennungsurkunde DSB
Netzwerkdiagramm DSB-Tätigkeitsberichte
Organigramm Prozessbeschreibungen (QM?)
Schlüsselliste Übersicht Datentransfers
Arbeitsanweisung(en) Wartungsverträge (Kopierer…)
Betriebsvereinbarung(en) AV- / JC-Verträge
Nutzerrechtekonzept Notfallpläne (Datenpanne…)
Gebäudeplan / Grundriss Schulungsnachweise Beschäftigte
Lösch-Konzept exempl.Arbeits- / Dienstvertrag
Passwort-Richtlinie exempl.VerpflichtungVertraulichkeit
Backup-Konzept …

Dokumentation
109

Dokumentation
110
Art. 32 Abs. 1 (1/3):
„Unter Berücksichtigung […] treffen derVerantwortliche
und der Auftragsverarbeiter geeignete technische und
organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten; […]“

Dokumentation
111
 Art. 32 Abs. 1 (2/3):
 Umsetzung derTOMs unter Berücksichtigung von…
• Stand der Technik
• Kosten der Implementierung
• Art der Datenverarbeitung
• Umfang der Datenverarbeitung
• Umstände der Datenverarbeitung
• Zwecke der Datenverarbeitung
• Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen

Dokumentation
112
 Art. 32 Abs. 1 (3/3):
 „[…] diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes
ein:
 die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
 die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste im Zusammenhang mit der
Verarbeitung auf Dauer sicherzustellen;
 die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den
Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch
wiederherzustellen;
 ein Verfahren zur regelmäßigen Überprüfung, Bewertung und
Evaluierung derWirksamkeit der technischen und organisatorischen
Maßnahmen zur Gewährleistung der Sicherheit derVerarbeitung.“

Dokumentation
113
 Anforderungen an die Sicherheit derVerarbeitung (vgl. § 64 Abs. 3 BDSG)
 Zugangskontrolle
 Datenträgerkontrolle
 Speicherkontrolle
 Benutzerkontrolle
 Zugriffskontrolle
 Übertragungskontrolle
 Eingabekontrolle
 Transportkontrolle
 Wiederherstellbarkeit
 Zuverlässigkeit
 Datenintegrität
 Auftragskontrolle
 Verfügbarkeitskontrolle
 Trennbarkeit

Dokumentation
114
Datenschutz IT-Sicherheit
vs.

Dokumentation
115
simple Beispiele für TOMs
autom. OS-Updates
EinsatzVirenscanner
autom. Browser-Updates
regelm. Backups
Nutzung von Papier-Shreddern
Login per Name & Passwort
Alarmanlage Haupteingang

Inhalt / Übersicht
116

Verarbeitung durch Dritte
117
verantwortliche
Stelle
E-Mail-Hoster
GoogleAnalytics
IT-Dienstleister
Cloud-Dienst
Social Media
Werbeagentur
Post
Hausbank
Web-Hoster

118
Dritter
Verantwortlicher [1] Verantwortlicher [2]
AVler

119
Auftrags-
verarbeitung
(AV)
getrennte
Verantwortung
Daten-
transfer
gemeinsame
Verantwortung
(JC)

 Verantwortlicher (Art. 4 Nr. 7)
 „natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die allein oder gemeinsam mit anderen über die
Zwecke und Mittel derVerarbeitung von personenbezogenen
Daten entscheidet“
 Auftragsverarbeiter (Art. 4 Nr. 8)
andere Stelle, die personenbezogene Daten im Auftrag des
Verantwortlichen verarbeitet“
120

 Checkliste AV-Verhältnis
 AVler handelt auf Weisung desVerantwortlichen
 AVler bestimmt ggf. über Mittel, aber nicht über Zwecke der
Datenverarbeitung
 AVler verarbeitet Daten nicht zu eigenen Zwecken
 „Kerntheorie“
 korrekter AV-Vertrag (Art. 28 Abs. 3)
 angemessenes Datenschutzniveau bei AVler 121

 Beispiele Auftragsverarbeitung [1/2]
 DV-technische Arbeiten für Lohn- und Gehaltsabrechnung
 Outsourcing mittels Cloud-Computing
 Werbeadressenverarbeitung in einem sog. Lettershop
 Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene
Entscheidungsspielräume)
 Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu
Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)
 Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
 Auslagerung der Backup-Sicherheitsspeicherung und anderer
Archivierungen
 Datenträgerentsorgung durch Dienstleister
122

 BeispieleAuftragsverarbeitung [2/2]
 Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter
Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene
Daten nicht ausgeschlossen werden kann
 Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb eines
Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen
 Apothekenrechenzentren (§ 300 SGBV)
 Ärztliche bzw. zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)
 Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben
 Externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen
ablesen bzw. verarbeiten (Heizung, Strom,Wasser etc.)
 Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten
erhalten 123

 gemeinsame / getrennteVerantwortlichkeit (vgl. Art. 4 Nr. 7)
andere Stelle, die allein oder gemeinsam mit anderen über die
Zwecke und Mittel derVerarbeitung von personenbezogenen
Daten entscheidet“
124

 Beispiele gemeinsame Verantwortlichkeit
 gemeinsame Verwaltung bestimmter Datenkategorien (z.B. Adressdaten) für bestimmte
gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen
 gemeinsame Errichtung einer IT-Infrastruktur, auf der mehrere Beteiligte ihre jeweils
individuellen Zwecke verfolgen (z.B. gemeinsames Betreiben einer Online-Plattform für
Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft)
 klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B. Sponsor, Studienzentren und Ärzte)
jeweils inTeilbereichen Entscheidungen über dieVerarbeitung treffen
 E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger
bereitstellen
 Personalvermittlungs-Dienstleister, der für einen Arbeitgeber Bewerber sichtet und hierbei auch
bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber
gerichtet sind
 je nach Gestaltung ggf. auch ein gemeinsamer Informationspool bzw. eine Warndatei mehrerer
Verantwortlicher (z.B. Banken) über säumige Schuldner
 Betrieb eines Social-Media-Accounts / Einbinden von Social Plugins
 ggf. Einbindung von Analyse-Tools in eigene Website (z.B. Google Analytics)
125

 Beispiele getrennteVerantwortlichkeit
 Versanddienstleister (Dt. Post, DHL, UPS…)
 Kreditinstitute
 freie Berufe (Arzt, Anwalt, Steuerberater…)
 Versicherungen
 Finanzbehörden
126

127
Datenverarbeitung
Einwilligung
Vertragserfüllung / vorvertragl. M.
Erfüllung gesetzl. Pflichten
lebenswichtige Interessen
berechtigte Interessen
…
Datenübermittlung
innerhalb EU / EWR
Drittstaat mitAngemessenheitsbeschl.
Drittstaat ohne Angemessenheitsbeschl.

128
Land innerhalb EU / EWR
• individuellerAV-Vertrag oder
• SCC (Art. 28)
Land mit Angemessenheitsb.
• individuellerAV-Vertrag oder
• SCC (Art. 46)
Land ohne Angemessenheitsb.
• SCC (Art. 46) und
• zusätzliche Maßnahmen

129
Quelle: www.bpb.de/nachschlagen/lexika/lexikon-in-einfacher-sprache/286912/eu-mitgliedstaaten
- 27 EU-Mitgliedsstaaten
(inzwischen ohne UK)
- EWR = EU + Island,
Lichtenstein & Norwegen

130
Drittstaaten mit Angemessenheitsbeschluss (Stand: 04/2022):
- Andorra
- Argentinien
- Kanada
- Färöer Inseln
- Großbritannien (seit 1.Juli 2021, zunächst limitiert auf 4 Jahre)
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Neuseeland
- Republik Süd-Korea
- Schweiz
- Uruguay
- entfallen:USA (gem. „Schrems II“-Urteil des EuGH v. 16.07.2020)

131
aktuelle Entwicklung EU – USA (Stand: 04/2022):
- früher: „Safe Harbor“ & „EU-US-Privacy-Shield“
- Ende März 2022: Trans-Atlantik Data Privacy Framework (TADPF)
vereinbart / geplant
- Start desTADPF frühestens Ende 2022
- bis dahin: weiter Rechtsunsicherheit bei Einsatz von US-Tools

132
Vertragspartner Sitzland Einordnung Vertrag
vorhanden?
zus.
Maßnahmen
Steuerberater XYZ Dt. getr.Verantw. - -
IT-DienstleisterZYX Dt. AV-Verhältnis  -
Facebook (Fanpage) Irland / USA JC-Verhältnis  TIA
Web-Hoster ABC Indien AV-Verhältnis  
… … … …

Inhalt / Übersicht
133

Unberechtigte Datenverarbeitung
134
datenschutzrechtliche
Sanktionen
Geldbußen o.a.
Maßnahmen von
Aufsichtsbehörden
Schadensersatz Schmerzensgeld Abmahnung?

Anti-Abmahn-Gesetz [1/2]
Unterlassungsanspruch, aber keine Vertragsstrafe
 erstmalige Abmahnung durch den Abmahnenden ggü. dem
Abgemahntem
 Verstoß gegen gesetzliche Informations- und
Kennzeichnungspflichten oder gegen das Datenschutzrecht
 Abgemahnte beschäftigt i.d.R. nicht mehr als 100 Mitarbeiter
 gilt nicht bei Abmahnungen durchVerbraucherschutz-
institutionen
135

Anti-Abmahn-Gesetz [2/2]
Vertragsstrafe möglich, die darf aber 1.000,- € nicht
übersteigen
 abgemahnter Verstoß darf die Interessen vonVerbrauchern,
Mitbewerbern und sonstigen Marktteilnehmern in nur
unerheblichem Maße beeinträchtigen (bzgl. Art, Ausmaß
und Folgen)
 der Abgemahnte beschäftigt i.d.R. weniger als
100 Mitarbeiter 136

137
Untersuchungsbefugnisse
• Erteilung von
Anweisungen
• Durchführung von
Untersuchungen
• Überprüfung von
Zertifizierungen
• Erteilung von Hinweisen
• Zugang zu allen
erforderlichen Daten &
Infos
• Zutritt zu Geschäfts-
räumen, EDV-Anlagen etc.
Abhilfebefugnisse
• Erteilung von Warnungen
• Ausspruch von
Verwarnungen
• Erteilung von
Anweisungen
• Verhängung von temp.
oder perm.
Beschränkungen von
Verarbeitungsvorgängen
• Anordnung der Löschung
oder Berichtigung von
Daten
• Widerruf von
Zertifizierungen
• Verhängen von Geldbußen
• Anordnung der
Aussetzung einer
Datenübermittlung in
Drittstaaten
Genehmigungsbefugnisse
• Beratung von
Verantwortlichen
• Veröffentlichung von
Stellungnahmen
• Genehmigung von
Verarbeitungsvorgängen
• Akkreditierung von
Zertifizierungsstellen
• Erteilung von
Zertifizierungen
• Genehmigung von
Vertragsklauseln, BCR
etc.
Befugnisse der Aufsichtsbehörden

138
Ordnungswidrigkeiten
leichteVerstöße
< 10 Mio. € **
< 2% des Umsatzes*
schwereVerstöße
< 20 Mio. € **
< 4% des Umsatzes*
* gemeint ist der weltweit erzielte (Konzern-)Vorjahresumsatz
** es gilt der jeweils höhere Betrag

 leichte / formelleVerstöße (Art. 83 Abs. 4):
 Art. 25 (Privacy by design, Privacy by default)
 Art. 27 (Bestellung einesVertreters)
 Art. 28 (Auftragsverarbeiter)
 Art. 30 (Verzeichnis vonVerarbeitungstätigkeiten)
 Art. 32 (Sicherheit derVerarbeitung)
 Art. 33 (Meldung vonVerletzungen)
 Art. 34 (Benachrichtigung der Betroffenen)
 Art. 35 (Datenschutz-Folgenabschätzung)
 Art. 37 (Benennung eines Datenschutzbeauftragten)
139

schwere / materielle Verstöße (Art. 83 Abs. 5, 6) :
Art. 5-7 (Datenschutzgrundsätze)
Art. 9 (Verarbeitung sensibler Daten)
Art. 12-22 (Rechte der Betroffenen)
Art. 44-49 (Datenübermittlung an Drittstaaten)
Art. 58 (Anweisungen etc. von Aufsichtsbehörden)
140

 Bußgeldmodell der Datenschutzkonferenz (DSK)*
vom 14.10.2019
 Leitlinien für die Berechnung von Geldbußen ggü.
Unternehmen in Deutschland
 nicht ggü.Vereinen, Behörden oder nat. Personen
 für Gerichte nicht bindend
* DSK = Zusammenschluss der dt. Aufsichtsbehörden 141

DSK-Modell - In 5 Schritten zum Bußgeld:
1. Kategorisierung der Unternehmen nach Größenklassen
2. Bestimmung des mittleren Jahresumsatzes der jeweiligen
Untergruppe der Größenklasse
3. Ermittlung des wirtschaftlichen Grundwertes (Tagessatz)
4. Multiplikation des Grundwertes nach Schweregrad derTat
5. dann Anpassung des Grundwertes anhand aller sonstigen
für und gegen den Betroffenen sprechenden Umstände 142

 Anpassung anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände (vgl. Art. 83 Abs. 2 DSGVO)
 Art, Schwere und Dauer desVerstoßes
 Anzahl der von derVerarbeitung betroffenen Personen
 Ausmaß des erlittenen Schadens
 Vorsätzlichkeit oder Fahrlässigkeit
 jegliche vomVerantwortlichen getroffenen Maßnahmen zur Minderung des entstandenen Schadens
 Grad derVerantwortung desVerantwortlichen
 etwaige einschlägige frühereVerstöße
 Umfang der Zusammenarbeit mit der Aufsichtsbehörde
 Kategorien der betroffenen Daten
 Art undWeise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
 Einhaltung von früher gegen denVerantwortlichen in Bezug auf denselben Gegenstand angeordneten Maßnahmen
 Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
 jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den
Verstoß erlangte finanzielleVorteile oder vermiedene Verluste
143

144
LG Bonn
(Urt. v. 11.11.2020,Az. 29 OWi 1/20 LG)
• Sanktion wegen eines Verstoßes
gegen DSGVO
• keine ursächliche Handlung einer
nat. Person erforderlich
• Verbandshaftung wie im EU-
Kartellrecht (EU-Recht hat
Anwendungsvorrang)
• einheitliche Sanktionsregeln in
der EU angestrebt
• aber im konkreten Fall:
Reduzierung der Geldbuße von
ca. 10 Mio. € auf rund 900.000,- €
LG Berlin
(Beschl. v. 18.02.2021,Az. 526 OWi LG 212 Js –
OWi 1/20)
• Feststellung eines DSGVO-
Verstoßes für sich nicht
ausreichend
• Handlung (oder Unterlassen trotz
Rechtspflicht) einer nat. Person
erforderlich (z.B. des
Geschäftsführers)
• jur. Person kann keine Betroffene
im Bußgeldverfahren sein (vgl.
§§30,130 OWiG)

Art. 82 Abs. 1
„Jede Person, der wegen einesVerstoßes gegen [die
DSGVO] ein materieller oder immaterieller Schaden
entstanden ist, hat Anspruch auf Schadenersatz gegen
denVerantwortlichen oder gegen den
Auftragsverarbeiter.“
145

146
 Anspruch bejaht  Anspruch verneint
ArbG Münster, Urt. v. 25.03.2021, Az. 3 Ca
391/20 (5.000,-)
OLG Stuttgart, Urt. v. 31.03.2021, Az. 9 U
34/21
LG Meiningen, Urt. v. 23.12.2020, Az. 3 O
363/20 (10.000,-)
ArbG Mannheim, Urt. v. 25.03.2021, Az. 8
Ca 409/20
AG Hildesheim, Urt. v. 05.10.2020, Az. 43 C
145/19 (800,-)
LArbG Baden-Württemberg, Urt. v.
25.02.2021, Az. 17 Sa 37/20
LArbG Köln, Urt. v. 14.09.2020, Az. 2 Sa
358/20 (300,-)
LG Karlsruhe, Urt. v. 09.02.2021, Az. 4 O
67/20
ArbG Dresden, Urt. v. 26.08.2020, Az. 13 Ca
1046/20 (1.500,-)
LG Landshut, Urt. v. 06.11.2020, Az. 51 O
513/20
ArbG Neumünster, Urt. v. 11.08.2020, Az. 1
Ca 247 c/20 (1.500,-)
LG Köln, Urt. v. 07.10.2020, Az. 28 O 71/20
LG Lüneburg, Urt. v. 14.07.2020, Az. 9 O
145/19 (1.000,-)
LG Frankfurt a.M., Urt. v. 18.09.2020, Az. 2-
27 O 100/20
LG Darmstadt, Urt. v. 26.05.2020, Az. 13 O
244/19 (1.000,-)
LG Hamburg, Urt. v. 04.09.2020, Az. 324 S
9/19
AG Pforzheim, Urt. v. 25.03.2020, Az. 13 C
160/19 (4.000,-)
LG Frankfurt a.M., Urt. v. 03.09.2020, Az. 2-
03 O 48/19
ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9
Ca 6557/18 (5.000,-)
OLG Dresden, Urt. v. 20.08.2020, Az. 4 U
784/20
ArbG Lübeck, Beschl. v. 20.06.2019, Az. 1
Ca 538/19 (1.000,-)
LG Karlsruhe, Urt. v. 02.08.2019, Az. 8 O
26/19
exemplarische
Auswahl
von
Schadensersatzklagen

§ 42 Abs. 1 BDSG
„Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe
wird bestraft, wer wissentlich nicht allgemein zugängliche
personenbezogene Daten einer großen Zahl von
Personen, ohne hierzu berechtigt zu sein,
1. einem Dritten übermittelt oder
2. auf andere Art undWeise zugänglich macht
und hierbei gewerbsmäßig handelt.“
147

§ 42 Abs. 2 BDSG
„Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe
wird bestraft, wer personenbezogene Daten, die nicht
allgemein zugänglich sind,
1. ohne hierzu berechtigt zu sein, verarbeitet oder
2. durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der Absicht handelt, sich
oder einen anderen zu bereichern oder einen anderen zu
schädigen.“ 148

Rechtsanwalt
Michael Rohrlich
Heinestr. 9
52146Würselen
Tel.: 02405 – 1408040
Fax: 02405 – 1408041
Mobil: 0177 – 5554462
E-Mail: info@ra-rohrlich.de
WWW: ra-rohrlich.de
Facebook: facebook.com/ra.rohrlich
Twitter: twitter.com/MichaelRohrlich
Xing: xing.com/profile/Michael_Rohrlich
LinkedIn: linkedin.com/in/michael-rohrlich-
3577b3109
Internet:
www.ra-rohrlich.de
www.rechtssicher.info
150

Grundlagen Computerstrafrecht & Datenschutzrecht

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Mehr von Michael Rohrlich

Mehr von Michael Rohrlich (20)

Grundlagen Computerstrafrecht & Datenschutzrecht