Die strafrechtliche Haftung bei Datenschutzverletzungen

Datenschutzverletzungen haben oft weitreichende Folgen. Aber wie werden sie nach polnischem Recht geahndet? Die polnischen Vorschriften sehen eine strafrechtliche Haftung sowohl (i) im Datenschutzgesetz als auch (ii) im Strafgesetzbuch vor.

Strafrechtliche Haftung nach dem polnischen Datenschutzgesetz

Personenbezogene Daten stellen eine eigene Kategorie von Informationen dar, die auch dem strafrechtlichen Schutz unterliegen. Mit dem Datenschutzgesetz vom 10. Mai 2018 (DSG) wurde die Strafbarkeit für folgende Handlungen eingeführt:

  • Art. 107 DSG – Verarbeitung personenbezogener Daten ohne Rechtsgrundlage

Wer personenbezogene Daten verarbeitet, obwohl die Verarbeitung unzulässig ist oder er nicht befugt ist, sie zu verarbeiten, wird mit einer Geldstrafe, einer Freiheitsbeschränkung oder einer Freiheitsstrafe von bis zu zwei Jahren bestraft. Bezieht sich die Handlung auf Daten einer besonderen Kategorie, d. h. Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Zugehörigkeit zu einer Gewerkschaft, genetische Daten, biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden, Daten über die Gesundheit, die Sexualität oder die sexuelle Ausrichtung hervorgehen, hat der Gesetzgeber darüber hinaus eine qualifizierte Form vorgesehen, die mit einer Geldstrafe, einer Freiheitsbeschränkung oder einer Freiheitsstrafe von bis zu drei Jahren geahndet werden kann.

  • Art. 108 DSG – Erschwerung einer Datenschutzkontrolle

Eine Person, die die Behörden an der Kontrolle der Einhaltung der Vorschriften über den Schutz personenbezogener Daten hindert oder behindert, wird mit einer Geldstrafe, einer Freiheitsbeschränkung oder einer Freiheitsstrafe von bis zu zwei Jahren bestraft. Die gleiche Strafe wird mit einer Geldstrafe, einer Freiheitsbeschränkung oder einer Freiheitsstrafe bis zu zwei Jahren gegen eine Person verhängt, die im Zusammenhang mit einem anhängigen Bußgeldverfahren die zur Feststellung der Grundlage für die Verhängung des Bußgeldes erforderlichen Daten nicht vorlegt oder Daten vorlegt, die die Feststellung der Grundlage für die Verhängung des Bußgeldes unmöglich machen.

Unternehmen waren weltweit im Jahr 2022 durchschnittlich 50 % mehr Cyberangriffen ausgesetzt als im Jahr 2021. Den größten Anstieg der Angriffe verzeichneten mit 146 % Softwareunternehmen.

Bericht des Cybersicherheitsteams von Check Point Research

Haftung bei Verletzung der Vertraulichkeit oder der Privatsphäre nach dem Strafgesetzbuch

Neben den im DSG genannten Arten von Straftaten gibt es eine Reihe von Straftaten, die im polnischen Strafgesetzbuch (StGB) beschrieben sind und die die Verletzung der Privatsphäre oder der Vertraulichkeit von Informationen unter Strafe stellen. Unter anderem sind die folgenden Handlungen erwähnenswert:

  • Art. 190a § 2 StGB Identitätsdiebstahl

Verwendung des Bildes einer anderen Person, anderer personenbezogener Daten oder Daten, durch die diese Person öffentlich identifiziert wird sowie die Nachahmung dieser Person mit dem Ziel, ihr einen finanziellen oder persönlichen Schaden zuzufügen.

  • Art. 266 StGB Dienstgeheimnis

Offenlegung oder Verwendung von Informationen, von denen eine Person im Zusammenhang mit ihrer Funktion, Arbeit, öffentlichen, sozialen, wirtschaftlichen oder wissenschaftlichen Tätigkeit Kenntnis erlangt hat, entgegen den gesetzlichen Bestimmungen oder einer übernommenen Verpflichtung. In diesem Fall stellt es unter bestimmten Bedingungen etwa eine Straftat dar, gegen eine NDA-Vereinbarung oder die Verpflichtung eines Mitarbeiters zu verstoßen, Informationen, die ein Betriebsgeheimnis darstellen, nicht weiterzugeben.

  • Art. 267 StGB Unerlaubte Informationsbeschaffung

Unbefugtes Verschaffen des Zugangs zu Informationen, indem man ein verschlossenes Schriftstück öffnet, sich an ein Telekommunikationsnetz anschließt oder dessen elektronische, magnetische, informationstechnische oder andere spezifische Sicherheitsvorkehrungen bricht oder umgeht, sowie ganz oder teilweise Verschaffen des Zugangs zu einem Informationssystem. Darüber hinaus macht sich strafbar, wer zur Erlangung von Informationen, zu denen er nicht berechtigt ist, ein Abhör- oder Sichtgerät oder eine andere Vorrichtung oder Software einrichtet oder verwendet. Strafbar macht sich nach der vorgenannten Bestimmung beispielsweise, wer sich unbefugt Zugang zu einem elektronischen Postfach oder zu einem Chatroom in sozialen Medien verschafft hat, auch wenn dieser Zugang z. B. dadurch zustande kam, dass der Inhaber sich nicht von einem solchen Konto abgemeldet hat.

  • Art. 268 StGB Vernichtung von Informationen

Unberechtigte Zerstörung, Beschädigung, Löschung oder Veränderung einer Aufzeichnung mit wesentlichen Informationen oder anderweitige Verhinderung oder erhebliche Erschwerung der Kenntnisnahme durch eine berechtigte Person. Dieses Gesetz gilt auch für eine Aufzeichnung auf einem Computerdatenträger, z. B. einer Festplatte oder einem Speicherstick.

  • Art. 268a StGB Beschädigung von Datenbanken

Zerstören, Beschädigen, Löschen, Verändern oder Verhindern des Zugangs zu Computerdaten oder wesentliches Stören oder Verhindern der automatischen Verarbeitung, Sammlung oder Übermittlung dieser Daten durch eine unbefugte Person.

  • Art. 287 StGB Computerbetrug

Beeinflussung der automatisierten Verarbeitung, Sammlung oder Übermittlung von Computerdaten oder unbefugtes Ändern, Löschen oder Einfügen neuer Datensätze von Computerdaten mit dem Ziel, einen finanziellen Gewinn zu erzielen oder eine andere Person zu schädigen.

Cyber-Angriffe auf die IT-Infrastruktur (Viren, Trojaner, Würmer), die z. B. zur Verschlüsselung von Daten, zur Löschung von Daten oder zur Störung des Netzes führen, sind nach den vorgenannten Bestimmungen strafbar.

Strafrechtliche Haftung in der Praxis – Bericht des Präsidenten des Datenschutzamtes

Wie im Tätigkeitsbericht 2021 des Präsidenten des Amtes für den Schutz personenbezogener Daten zu lesen ist, hat der Präsident des Amtes für den Schutz personenbezogener Daten (im Folgenden: „PASD“) zwei Anzeigen auf mutmaßliche Straftaten durch für die Verarbeitung personenbezogener Daten verantwortlichen Stellen bearbeitet. Im Vergleich dazu hat der PASD in den Vorjahren zwei (2020) bzw. fünf Anzeigen (2019) bearbeitet. Im Folgenden werfen wir einen genaueren Blick auf einige der genannten Fälle.

  • Veröffentlichung von privaten Wohnadressen von Personen, die öffentliche Aufgaben wahrnehmen, auf Facebook

Eine dieser Mitteilungen betraf die Veröffentlichung von privaten Wohnadressen von Personen, die öffentliche Aufgaben wahrnehmen, durch einen Facebook-Nutzer auf dem Portal. Wie der PASD feststellte, stellt diese Handlung eine Straftat nach Artikel 107 Absatz 1 des DSG dar.

Darüber hinaus sind, wie das Amt betont, die Daten von Personen, die öffentliche Funktionen ausüben oder in gewissem Umfang im öffentlichen Raum tätig sind (Vor- und Nachname), öffentlich, aber Informationen über ihren Wohnort „gehören bereits zur Sphäre der Privatsphäre und bergen das Risiko einer Verletzung der elementaren Interessen ihrer Familien, beispielsweise durch mögliche Gewalttaten und Angriffe auf ihr Leben und ihre Gesundheit“.

Der Beschwerdeführer fand auf seinem Grundstück Dokumente, d. h. Fotokopien von Steuererklärungen, Mietverträgen, Haftungserklärungen und Mehrwertsteuerrechnungen. Diese Dokumente wurden nach Angaben des Beschwerdeführers von einer Person hinterlassen, die Angestellter eines Finanz- und Versicherungsunternehmens war. Der PASD hat im Zusammenhang mit der eingegangenen Meldung eine Anzeige bei der Staatsanwaltschaft über die Möglichkeit der Begehung einer Straftat gemäß Artikel 276 § 1 des Gesetzes vom 6. Juni 1997 gestellt. Aufgrund Verjährung wurde das Verfahren jedoch nicht eingeleitet.

  • Erschwerung einer Kontrolle bei einem Telemarketing-Unternehmen

Der PASD verhängte eine Geldstrafe in Höhe von 20.000 PLN gegen die Vis Consulting sp. z o.o. in Liquidation wegen Erschwerung einer Kontrolle. Die Behörde erhielt Informationen darüber, dass das Unternehmen einem anderen Unternehmen ein IT-System zur Verfügung gestellt hatte, das personenbezogene Daten verarbeitete und Telefonanrufe zur Präsentation von Marketingangeboten tätigte. Das Unternehmen wurde ordnungsgemäß über das Datum und den Umfang der Inspektion informiert, die Kontrolle fand jedoch nicht statt, da keine vertretungsberechtigte Person in den Räumlichkeiten des Unternehmens angetroffen werden konnte. Die DPA-Inspektoren versuchten erfolglos, das Unternehmen zu kontaktieren. Im Zusammenhang mit dem Verdacht, eine Straftat nach Artikel 108 Absatz 1 des DSG zu begehen, wurden entsprechende Maßnahmen ergriffen.

  • Fehlende Ernennung der Stelle, die die personenbezogenen Daten der Kunden verwaltet und für deren Verarbeitung verantwortlich ist

Die Entscheidung betraf eine Online-Plattform für die automatische Formulierung von Klageschriften. Die Erstellung einer Klage über das Portal erforderte eine elektronische Zahlung von mindestens 59 PLN. Die Website enthielt Flexionsfehler, die vermuten ließen, dass es sich bei dem Urheber der Plattform um ein Computerprogramm handelte oder die Website mit Hilfe eines Online-Übersetzers erstellt worden war, wie der Inhalt der Datenschutzerklärung mit Syntaxfehlern zeigte. Der Code der Website enthielt in kyrillischen Buchstaben geschriebene Wörter, was darauf hindeutete, dass der Autor der Website nicht polnischer Staatsangehörigkeit war. Der PASD erstattete Anzeige wegen Verstoßes gegen Artikel 23 des Gesetzes vom 18. Juli 2022 über die Erbringung von Dienstleistungen auf elektronischem Wege.

  • Erhebung von Gebühren für das Löschen personenbezogener Daten

Ein Unternehmen, das für die Verwaltung von mehr als einem Dutzend Websites verantwortlich ist, verlangte Geld für die Ausübung der Rechte nach DSGVO (Recht auf Zugang, Berichtigung, Übertragung oder Löschung von Daten). Es handelte sich um die Daten von Rechtsanwälten, Ärzten und Unternehmern. Administratoren können keine Gebühren für die Ausübung dieser Rechte verlangen. Nach Ansicht des PASD hat das Unternehmen durch die Information über die Notwendigkeit der Zahlung einer Gebühr nicht nur gegen die Bestimmungen der DSGVO, sondern auch gegen die Bestimmungen des Strafgesetzbuches verstoßen – wegen der Irreführung der an der Ausübung ihrer Rechte Interessierten informierte der PASD die zuständigen Behörden über die Möglichkeit der Begehung einer Straftat nach Artikel 286 des Strafgesetzbuches.

  • Unbrauchbarmachen eines Dokuments, über das der Täter keine ausschließliche Verfügungsmacht hat

Die Behörde wurde auf das Wegwerfen von Unterlagen eines Unternehmens aufmerksam, darunter unter anderem Personalakten, Personalakten, Fotokopien von Personalausweisen, Verträgen, Arbeitserlaubnissen, Rechnungen und anderen Dokumenten mit personenbezogenen Daten. Das Unternehmen wurde ohne Liquidationsverfahren aufgelöst und anschließend aus dem Unternehmerregister des Nationalen Gerichtsregisters gestrichen. Nach Ansicht des Amtes für den Schutz personenbezogener Daten (ASD) entbindet dieser Umstand das Unternehmen sowie Organmitglieder und ehemalige Gesellschafter jedoch nicht von der Verantwortung für den ordnungsgemäßen Schutz und die Aufbewahrung der während des Bestehens des Unternehmens erstellten oder gesammelten Dokumente. Dementsprechend erstattete der PASD Anzeige wegen des Verdachts einer Straftat nach Artikel 276 des Strafgesetzbuchs .