Geldwäsche nach § 261 StGB Hamburg

Ein Datenschutzvorfall, der die Aufsichtsbehörde auf den Plan ruft, ein Hacker-Angriff, der strafrechtliche Fragen aufwirft, oder ein Mitarbeiter, der unbefugt auf Kundendaten zugegriffen hat – Datenschutzstrafrecht und IT-Straftatensind zu einem eigenständigen und wachsenden Bereich des Wirtschaftsstrafrechts geworden. Mit der vollständigen Digitalisierung des Unternehmensalltags sind Datenschutzverstöße und IT-Delikte nicht mehr auf spezialisierte Technologieunternehmen beschränkt, sondern betreffen nahezu jedes Unternehmen, das personenbezogene Daten verarbeitet oder digitale Systeme nutzt.

Datenschutzstrafrecht – rechtliche Grundlagen

Das Datenschutzstrafrecht in Deutschland ergibt sich aus einer Kombination europäischer und nationaler Regelungen. Die Datenschutz-Grundverordnung (DSGVO) enthält selbst keine Straftatbestände, ermächtigt die Mitgliedstaaten jedoch, Verstöße gegen ihre Vorschriften mit strafrechtlichen Sanktionen zu bewehren. Deutschland hat von dieser Möglichkeit im Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht: § 42 BDSG stellt besonders schwere Datenschutzverstöße unter Strafe und sieht Freiheitsstrafen von bis zu drei Jahren vor.

Daneben enthält das Strafgesetzbuch eine Reihe von IT-spezifischen Straftatbeständen: das Ausspähen von Daten nach § 202a StGB, das Abfangen von Daten nach § 202b StGB, die Datenhehlerei nach § 202d StGB, die Datenveränderung nach § 303a StGB sowie die Computersabotage nach § 303b StGB. Diese Normen schützen die Vertraulichkeit, Integrität und Verfügbarkeit digitaler Daten und Systeme und sind sowohl für externe Angreifer als auch für Insider – Mitarbeiter, die unbefugt auf Daten zugreifen – relevant.

Die wichtigsten Straftatbestände im Datenschutz- und IT-Strafrecht

Strafbarer Datenmissbrauch (§ 42 BDSG)

• 42 BDSG stellt zwei Formen des strafbaren Datenmissbrauchs unter Strafe. Der erste Tatbestand erfasst die Übermittlung oder das Zugänglichmachen einer großen Zahl personenbezogener Daten ohne Berechtigung, gegen Entgelt oder in Bereicherungsabsicht. Der zweite Tatbestand richtet sich gegen Personen, die nicht allgemein zugängliche personenbezogene Daten für sich oder einen Dritten unbefugt verarbeiten und dabei gegen Entgelt oder in der Absicht handeln, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. In der Praxis betrifft das vor allem Mitarbeiter, die Kundendaten für eigene Zwecke nutzen oder an Dritte verkaufen, sowie Unternehmen, die Daten ohne hinreichende Rechtsgrundlage kommerziell nutzen.

Ausspähen von Daten (§ 202a StGB)

Das Ausspähen von Daten nach § 202a StGB erfasst das unbefugte Verschaffen des Zugangs zu Daten, die gegen unberechtigten Zugang besonders gesichert sind. Klassische Fälle sind das Hacken von Unternehmenssystemen, das Knacken von Passwörtern oder das Ausnutzen von Sicherheitslücken, um auf fremde Datenbanken zuzugreifen. Der Tatbestand gilt jedoch auch für Mitarbeiter, die auf Daten zugreifen, für die sie keine Zugriffsberechtigung haben – auch wenn sie technisch in der Lage sind, die Sicherungsmaßnahmen zu überwinden.

Datenhehlerei (§ 202d StGB)

Die Datenhehlerei ist seit 2015 im Strafgesetzbuch verankert und erfasst Personen, die Daten, die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem Dritten verschaffen, einem anderen überlassen, verbreiten oder sonst zugänglich machen. Der Tatbestand richtet sich insbesondere gegen den Weiterhandel mit gestohlenen Datensätzen – etwa Kreditkartendaten, Zugangsdaten oder Unternehmensgeheimnissen –, aber auch gegen Unternehmen, die unwissentlich Daten ankaufen, die aus einem Hacker-Angriff stammen.

Computersabotage (§ 303b StGB)

Computersabotage liegt vor, wenn jemand eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er eine Tat nach § 303a StGB – also eine Datenveränderung – begeht, Daten in der Absicht eingibt oder übermittelt, einem anderen Schaden zuzufügen, oder eine Datenverarbeitungsanlage zerstört oder unbrauchbar macht. Ransomware-Angriffe, DDoS-Attacken und die gezielte Sabotage von Unternehmens-IT-Systemen sind typische Fälle dieses Tatbestands – der in der Praxis jedoch auch für Mitarbeiter relevant wird, die beim Ausscheiden aus einem Unternehmen Systeme sabotieren oder Daten löschen.

Datenschutzverstöße und die DSGVO – Bußgeldverfahren und Strafverfahren

Die DSGVO sieht für schwerwiegende Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder – bei Unternehmen – von bis zu vier Prozent des weltweiten Jahresumsatzes vor. Diese Bußgelder werden von den nationalen Datenschutzaufsichtsbehörden verhängt – in Hamburg ist das der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), eine der aktivsten Aufsichtsbehörden in Deutschland.

Parallel zu einem DSGVO-Bußgeldverfahren kann die Staatsanwaltschaft Hamburg wegen der zugrundeliegenden Datenschutzverstöße ein Strafverfahren nach § 42 BDSG einleiten. Für Unternehmen und ihre Verantwortlichen bedeutet das eine Doppelbelastung: Sie müssen sowohl das Bußgeldverfahren der Aufsichtsbehörde als auch ein etwaiges Strafverfahren parallel bewältigen – und dabei sicherstellen, dass Aussagen und Strategien in beiden Verfahren aufeinander abgestimmt sind.

Typische Fallkonstellationen in der Praxis

In Hamburg begegnen Fachanwalt Cem Sengül und seinem Team im Bereich des Datenschutz- und IT-Strafrechts regelmäßig charakteristische Vorgänge. Besonders häufig sind Fälle, in denen Mitarbeiter beim Ausscheiden aus einem Unternehmen Kundendaten, Geschäftsgeheimnisse oder vertrauliche Unterlagen mitnehmen – sei es auf einem USB-Stick, per E-Mail oder durch Cloud-Synchronisation. Was als opportunistisches Verhalten beginnt, erfüllt in der Praxis häufig den Tatbestand des Ausspähens von Daten oder des Geheimnisverrats nach dem Geschäftsgeheimnisgesetz.

Daneben sind Fälle verbreitet, in denen Unternehmen nach einem Datenschutzvorfall – etwa einem Hacker-Angriff oder einem versehentlichen Datenleck – mit der Frage konfrontiert sind, ob und in welchem Umfang Meldepflichten gegenüber der Aufsichtsbehörde und den Betroffenen bestehen, und ob die Verletzung dieser Meldepflichten strafrechtliche Konsequenzen haben kann. Schließlich treten regelmäßig Fälle auf, in denen Unternehmen Daten zu Marketingzwecken nutzen, ohne über eine hinreichende Rechtsgrundlage nach der DSGVO zu verfügen, und dabei den Tatbestand des § 42 BDSG erfüllen.

Typische Fehler, die Unternehmen und Betroffene machen

Datenschutzvorfälle ohne anwaltliche Beratung melden

Nach der DSGVO sind Unternehmen verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden, wenn diese voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen darstellen. Was in der Meldung steht, kann jedoch unmittelbar als Grundlage für ein Bußgeldverfahren oder ein Strafverfahren genutzt werden. Wer eine Datenschutzmeldung ohne anwaltliche Begleitung formuliert, riskiert, mehr preiszugeben als rechtlich erforderlich.

IT-forensische Maßnahmen ohne Begleitung einleiten

Nach einem Sicherheitsvorfall leiten viele Unternehmen sofort interne IT-forensische Untersuchungen ein – manchmal in einer Weise, die Beweise verändern oder vernichten kann. Eine ordnungsgemäße IT-Forensik, die die Beweiskette sichert und gerichtsfest ist, erfordert sorgfältige Planung und anwaltliche Begleitung.

Die strafrechtliche Dimension von DSGVO-Verfahren unterschätzen

Viele Unternehmen behandeln DSGVO-Bußgeldverfahren ausschließlich als verwaltungsrechtliche Angelegenheit. Die Möglichkeit eines parallelen Strafverfahrens nach § 42 BDSG wird dabei häufig übersehen – mit der Folge, dass Aussagen im Verwaltungsverfahren das Strafverfahren belasten.

Ihre Handlungsoptionen – die nächsten Schritte

Wenn Ihr Unternehmen in Hamburg einen Datenschutzvorfall erlitten hat, wenn gegen Sie als Mitarbeiter oder Unternehmensverantwortlichen Ermittlungen wegen Datenschutzverstößen oder IT-Straftaten eingeleitet wurden, oder wenn Sie präventiv rechtliche Klarheit über Ihre Datenschutz-Compliance schaffen möchten – Fachanwalt Cem Sengül steht Ihnen für ein erstes vertrauliches Gespräch zur Verfügung. Je früher rechtliche Beratung in Anspruch genommen wird, desto mehr Handlungsspielraum bleibt – für die Verteidigung im Strafverfahren, für das Bußgeldverfahren der Aufsichtsbehörde und für die Sicherung der Unternehmensreputation.

Datenschutzstrafrecht in Hamburg: Regionale Besonderheiten

Hamburg verfügt mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) über eine der aktivsten und erfahrensten Datenschutzaufsichtsbehörden in Deutschland. Der HmbBfDI hat in der Vergangenheit mehrere bundesweit beachtete Bußgeldverfahren eingeleitet und gilt als einer der durchsetzungsstärksten Akteure im deutschen Datenschutzrecht. Die enge Zusammenarbeit zwischen der Datenschutzaufsichtsbehörde und der Staatsanwaltschaft Hamburg macht Hamburg zu einem Schwerpunktstandort für datenschutzstrafrechtliche Verfahren.

So gehen wir in solchen Fällen vor

In datenschutzstrafrechtlichen und IT-strafrechtlichen Mandaten beginnen wir mit einer vertraulichen Analyse des Vorfalls und der Frage, welche Rechts- und Meldepflichten bestehen und wie deren Erfüllung strafrechtliche Risiken minimiert. Rechtsanwalt Cem Sengül, Fachanwalt für Strafrecht, entwickelt gemeinsam mit Ihnen eine Strategie, die das Strafverfahren, das Bußgeldverfahren der Aufsichtsbehörde und die unternehmensinternen Folgen des Vorfalls konsequent zusammendenkt. Unser Ziel ist es, frühzeitig auf den Verfahrensgang Einfluss zu nehmen – diskret, strategisch und mit realistischen Zielen.

Kontaktieren Sie uns für eine vertrauliche Ersteinschätzung

Wenn gegen Sie oder Ihr Unternehmen Ermittlungen wegen Datenschutzverstößen oder IT-Straftaten eingeleitet wurden oder ein Datenschutzvorfall rechtliche Fragen aufwirft, stehen wir Ihnen in Hamburg für ein erstes vertrauliches Gespräch zur Verfügung.