Die Anforderungen der DSGVO aus straf- und ordnungswidrigkeitenrechtlicher Sicht Dr. Eren Basar Fachanwalt für Strafrecht I Compliance Officer (TÜV) 6. Bankrechtstag 2018 Düsseldorf, 13.06.2018
Die Anforderungen der DSGVO aus straf-und ordnungswidrigkeitenrechtlicher Sicht Dr. Eren Basar Fachanwalt für Strafrecht I Compliance Officer (TÜV)
6. Bankrechtstag 2018 Düsseldorf, 13.06.2018
Agenda
I. Die Datenschutzgrundverordnung 1. Aktuelle Diskussionen 2. Compliance Sofortmaßnahmen
II. Das Ordnungswidrigkeitenrecht 1. Die neuen Sanktionen 2. Die DSGVO und das OWiG
III. Das neue Datenschutzstrafrecht 1. § 42 BDSG NEU 2. § 13 StGB DSGVO
3. Stolpersteine
6. Bankrechtstag 2 13.06.2018
I. Die Datenschutzgrundverordnung (DSGVO)
Übersicht
13.06.2018 6. Bankrechtstag 4
Dokumentation Art. 5 Abs. 2 DSGVO
Datenschutz durch Technik Art. 25 DSGVO
Informationsrechte Art. 13 ff. DSGVO
Löschungsrechte Art. 17 DSGVO
Datenübertragung Art. 20 DSGVO
Datenpannen Ar.t 33 DSGVO
Datenschutzbeauftragter Art. 37 DSGVO
Einwilligung Art. 7 DSGVO
Rechtsmäßigkeit der Verarbeitung Art. 6
DSGVO
Verarbeitungsverzeichnis Art. 30 DSGVO
Auftragsverarbeitung Art. 28 DSGVO
Sicherheit der Verarbeitung
Art. 32 DSGVO
Folgenabschätzung Art. 35 DSGVO
Schadensersatz Art. 82 DSGVO
Geldbußen Art. 83 DSGVO
Strafrecht § 42 BDSG
Aufsichtsmaßnahmen Art. 58 DSGVO
Übermittlung Drittländer Art. 44 DSGVO
„Datenschutzgrundverärgerung“
• Datenschutzerklärung Webseiten – „Cookies“.
• Abmahnungen durch die DSGVO. • Veranstaltungsfotos. • Abschalten von Blogs und
Onlinediensten. • Insgesamt: Anforderungen an
kleinere und mittlere Unternehmen.
• Viele Leitfäden hierzu vorhanden.
Aktuelle Diskussionen
13.06.2018 6. Bankrechtstag 5
• Verzeichnis der Verarbeitungstätigkeiten Art. 30 DSGVO
• Benennung eines Datenschutzbeauftragten Art. 37 DSGVO
• Erfassung und Regelung von Auftragsverarbeitungen Art. 28 DSGVO
• Betroffenenrechte Art. 12 ff. DSGVO
• Meldung von Schutzverletzungen Art. 33 f. DSGVO
*Ehrmann/Kranig, ZD 2018, 199: „5 vor 12“
Sofortmaßnahmen der Compliance*
13.06.2018 6. Bankrechtstag 6
• Seine Rolle ist in der DSGVO anders definiert als die frühere
Praxis es gehandhabt hat.
• Bestellpflicht folgt risikobasiertem Ansatz:
Der Datenschutzbeauftragte Art. 37 DSGVO
13.06.2018 6. Bankrechtstag 7
Art. 37 Abs. 1a DSGVO
• Behörden • Gerichte (i.V.m.
§ 5 Abs. 1 BDSG)
Art. 37 Abs. 1b DSGVO
• Umfangreich • regelmäßige • Überwachung
von • Personen
Art. 37 Abs. 1c DSGVO
• Verarbeitung • besondere • Kategorien • von Daten
Art. 38 BDSG
• Regelmäßig 10 • Personen ständig • mit automatisierter • Verarbeitung
Der Datenschutzbeauftragte Art. 37 DSGVO
13.06.2018 6. Bankrechtstag 8
Unterrichtung und Beratung Verantwortlicher Art. 39 I a
DSGVO
Unterrichtung und Beratung Beschäftigte Art. 39 I a
DSGVO
Überwachung der Einhaltung der DSGVO Art. 39 I b
DSGVO
Zusammenarbeit und Anlaufstelle Aufsichtsbehörde
Art. 39 I d, e DSGVO
Ansprechpartner für „Betroffene“ Art. 38 IV
DSGVO
Der Datenschutzbeauftragte Art. 37 DSGVO
13.06.2018 6. Bankrechtstag 9
Anweisungsfrei Art. 38 III DSGVO
Ausreichende Zeit und Ressourcen Art. 38 II DSGVO
Keine Benachteiligung Art. 38 III DSGVO
Bericht direkt an die höchste Managementebene Art. 38 III 1
DSGVO
Kann andere Tätigkeiten wahrnehmen, allerdings ohne Interessenskonflikt Art. 38 VI
DSGVO
II. Das Ordnungswidrigkeitenrecht
Die neuen Sanktionen
13.06.2018 6. Bankrechtstag 11
Bis zu 2 % des weltweiten Jahresumsatzes im
vorangegangen Geschäftsjahr oder 10
Mio. EUR
Verstöße Art. 8, 11, 25 - 39, 42, 43 DSGVO
Art. 83 Abs. 4
DSGVO Bis zu 4 % des weltweiten
Jahresumsatzes im vorangegangen
Geschäftsjahr oder 20 Mio. EUR
Verstöße Art. 5, 6, 7 und 9, Art. 12 – 22, Art. 44 – 49 und Nichtbefolgung
Anweisung nach Art. 58 II oder Nichtgewährung
Zugang Art. 58 I DSGVO
Art. 83 Abs. 5
DSGVO
Grad der Vorwerfbarkeit
•Regelung dazu besteht in Art. 83 Abs. 2 S. 2 lit. b). „Vorsatz oder Fahrlässigkeit“ sind im Rahmen der Bußgeldbemessung zu berücksichtigen.
•Umstritten ist, ob auch ein Bußgeld dann verhängt werden kann, wenn überhaupt kein Verschulen vorliegt (+/-).
6. Bankrechtstag 12 13.06.2018
Erweiterung durch das BDSG
13.06.2018 6. Bankrechtstag 13
Verstoß gegen § 30 Abs. 1 BDSG:
Gleichbehandlung der
Auskunftserteilung in der EU
§ 43 Abs. 1 BDSG
Verstoß gegen Art. 30 Abs. 2:
Auskunftsanspruch des
Darlehensnehmers
§ 43 Abs. 2 BDSG
Haftung nach dem OWIG:
• Ein Unternehmen als solches kann nicht selbst handeln. Es handelt „durch seine Organe“.
• Über § 30 OWiG wird der Verstoß dem Unternehmen auferlegt, wenn eine der dortigen Leitungspersonen eine Ordnungswidrigkeit oder Straftat begangen hat.
• Über § 130 OWiG (Aufsichtspflichtverletzungen) können nahezu alle Zuwiderhandlungen im Unternehmen, auch diejenigen die von normalen Mitarbeitern begangen werden, zu einer Verbandsgeldstrafe führen.
Wer ist Adressat der Geldbußen?
13.06.2018 6. Bankrechtstag 14
Haftung nach der DSGVO:
• Datenschutznormen waren früher sog. Jedermannsdelikte. • Normadressat der Bußgelder sind nun die Verantwortlichen.
• Übernahme des Unternehmensbußgeldrechts der EU: • Es genügt für die Verantwortlichkeit des Unternehmens alleine die
rechtswidrige Handlung irgendeiner Person im Unternehmen. • Damit die von den Aufsichtsbehörden verhängten Geldbußen wirksam,
verhältnismäßig und abschreckend sind, sollte für sie die vom EuGH für die Anwendung der Artikel 101 und 102 AEUV festgelegte Definition des Begriffs „Unternehmen“ maßgeblich sein (Erw. 150).
Wer ist Adressat der Geldbußen?
13.06.2018 6. Bankrechtstag 15
Das Verfahrensrecht
•Für die Geldbußen gilt das OWiG, die StPO und das GVG entsprechend.§ 41 BDSG
•Nach Erlass eines Bußgelds besteht Einspruchsrecht mit Zwischenverfahren.§ 41 BDSG
•Bei Nichtabhilfe Vorlage an die Staatsanwaltschaft.§ 69 OWiG
•Einstellung immer nur mit Zustimmung der AB.§ 41 BDSG
6. Bankrechtstag 16 13.06.2018
• Die Geldbuße muss in jedem Einzelfall wirksam, verhältnismäßig und
abschreckend sein. Art. 83 Abs. 1 DSGVO
• Die Geldbuße kann anstelle oder neben einer Maßnahme aus Art. 58 Abs. 2a-h,i DSGVO verhängt werden. Art. 83 Abs. 2 DSGVO
• Aber § 41 Abs. 2 BDSG verweist auf § 47 OWiG (Opportunität). Das lässt die DSGVO in der Form nicht zu. Aufsichtsbehörde entscheidet nach pflichtgemäßen Ermessen, aber muss dem Umstand der praktischen Wirksamkeit des Unionsrecht Rechnung tragen.
Ermessen oder Pflicht
13.06.2018 6. Bankrechtstag 17
III. Das „neue“ Datenschutzstrafrecht
Datenschutzstrafrecht
• Keine direkte Regelung in der
DSGVO, aber Möglichkeit für die nationalen Gesetzgeber zur Regelung. Art. 84 DSVO
• Der Strafrecht des Datenschutzrechts ist wie bisher im BDSG verankert und folgt dem selben Modell wie die a.F.
• Keine Sonderdelikte = jeder kann diese Delikte begehen.
§ 42 Abs. 1 Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, 1. einem Dritten übermittelt oder 2. auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt.
6. Bankrechtstag 19 13.06.2018
Datenschutzstrafrecht
§ 42 Abs. 2 Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, 1. ohne hierzu berechtigt zu sein, verarbeitet oder 2. durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
§ 42 Abs. 3 Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte und die Aufsichtsbehörde.
• Gewerbsmäßigkeit und die
Absichten können im Massengeschäft schnell erfüllt sein!
• Verwendung anders als früher jetzt auch erfasst Art. 4 Nr. 2 DSGVO
*
6. Bankrechtstag 20 13.06.2018
Kernelemente
13.06.2018 6. Bankrechtstag 21
Bereicherungsabsicht Vermögensvorteil für sich oder einen Dritten, muss nicht rechtswidrig sein – rw der Verarbeitung genügt, d.h. Durchführung einer datenschutzrechtlich unzulässigen Werbeaktion, die auf den Absatz von Waren oder Dienstleistungen gerichtet ist, ist ausreichend.
Gegen Entgelt jede materielle Zuwendung - P Gehalt des AN, offen gelassen durch BGH bisher, aber h.M. (-)
Gewerbsmäßigkeit mittelbare Vorteile reichen, auf den
tatsächlichen Erwerb kommt es nicht an
Schädigungsabsicht Auch immaterielle Schäden, wie
Ehrverletzungen, sind erfasst. Bsp: heimliches Suchen nach
Kündigungsgründen
Datenschutzstrafrecht
§ 42 Abs. 4 Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.
• Ausdrückliche Verankerung zudem in § 81a Abs. 2 SGB X und § 384a Abs. 3 AO.
• Vorsicht: Das Verbot gilt nur, wenn eine Meldepflichtnach Art. 33 oder 34 DSGVO tatsächlich besteht (str.) und bezieht sich nur auf die meldepflichtigen Umstände nach Art. 33 Abs. 2 DSGVO.
6. Bankrechtstag 22 13.06.2018
Indirekte Erweiterung durch § 32 DSGVO ?
Exkurs: Strafbarkeitszone Unterlassen
• Eine Strafbarkeit kommt nicht nur durch aktives Tun in Betracht, sondern auch durch das Unterlassen (der rechtlich gebotenen Handlung). • BGH, Urteil vom 17.07.2009 – 5 StR 394/08 („Berliner Stadtreinigung“) zum Compliance Officer.
§ 13 StGB Wer es unterlässt, einen Erfolg abzuwenden, der zum Tatbestand eines Strafgesetzes gehört, ist nach diesem Gesetz nur dann strafbar, wenn er rechtlich dafür einzustehen hat, dass der Erfolg nicht eintritt, und wenn das Unterlassen der Verwirklichung des gesetzlichen Tatbestands durch ein Tun entspricht
6. Bankrechtstag 23 13.06.2018
• Eine Vielzahl von Gesetzen (IT – SiG, TMG, TKG, EnWG) regelt, dass der „Stand der Technik“ eingehalten werden muss. Gesetze richten sich jeweils an verschiedene Verpflichtete. Was der Stand der Technik ist, ist gesetzlich nicht definiert (Sektorspezifische Unterschiede).
• Art. 32 DSGVO ist die weitest gehende Vorschrift, weil (erstmals) nahezu für alle Unternehmen und Unternehmer gilt: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten
Indirekte Erweiterung durch § 32 DSGVO ?
13.06.2018 6. Bankrechtstag 24
Geschäftsleitung ist Verantwortlicher („primärer Garant“) und der IT - Beauftragter sind die TOMS überantwortet („sekundärer Garant“).
Begrenzung der Garantenstellung des Beauftragten durch derivative Ableitung seiner Pflichten:
» Reichweite der Garantenstellung der Geschäftsleitung » Doppelte Begrenzung der Garantenstellung des Beauftragten durch
derivative Ableitung seiner Pflichten
Indirekte Erweiterung durch § 32 DSGVO ?
13.06.2018 6. Bankrechtstag 25
Die BAIT als Anknüpfungspunkt?
• Für alle Kreditinstitute und Finanzdienstleistungsinstitute hat die BaFin am 03.11.2017 im Rundschreiben 10/2017 die Bankaufsichtlichen Anforderungen an die IT (BAIT) herausgegeben.
• Die darin enthaltenen Ausführungen sind nicht abschließend (MaRisk bleibt erhalten), aber man Nachlässigkeiten hier dürften besonders haftungsträchtig sein.
13.06.2018 6. Bankrechtstag 26
Berechtigungsmanagement
IT- Betrieb
Ergänzend BSI Katalog / ISO
27001
Notfall-management
Auslagerung von IT
Backup
Anwendungsbereich ist im Strafverfahren eingeschränkt: Unternehmen müssen das Datenschutzrecht auch im Strafverfahren beachten!
DSGVO und Strafverfahrensrecht
13.06.2018 6. Bankrechtstag 27
Art. 2 Abs. 2d Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten inkl. Abwehr von Gefahren ist nicht erfasst.
Diese Ausnahme gilt aber ausdrücklich nur für Behörden Anders als § 3 Abs. 3 BDSG a.F. und Art. 3 Abs. 2 RL 95/46 EG wird der Anwendungsbereich der DSGVO nicht komplett verdrängt:
In einer Vielzahl von Fällen wird sich eine Rechtsgrundlage finden. Allerdings muss die Erforderlichkeit immer konkret geprüft werden.
Diese „Sollbruchstelle“ ist für Unternehmen relevant z.B. bei:
Neue Stolpersteine des Strafrechts
13.06.2018 6. Bankrechtstag 28
Auskunftsverlangen Freiwillige
Herausgaben im Rahmen der
Durchsuchung
Internen Untersuchungen
IV. Zusammenfassung
1. Das neue Datenschutzstrafrecht enthält mehr Veränderungen als auf den ersten Blick ersichtlich ist.
2. Bei der Reform der Sanktionen ist nicht nur die Höhe eine Neuerung: Anders als im bisherigen OWiG wird der Verstoß eines jeden Mitarbeiters dem Verantwortlichen zugerechnet.
3. Das (direkte) Strafrecht enthält seine Verschärfung auch durch eine pot. Ausweitung der Garantenpflicht im Bereich der IT – Security durch die Einführung von § 32 DSGVO.
4. Im Strafverfahrensrecht sind die Vorgaben der DSGVO nicht „erlassen“, sondern müssen beachtet werden. Dies birgt Chancen für die Verteidigung.
Zusammenfassung
13.06.2018 6. Bankrechtstag 30
V. Fragerunde und Diskussion
13.06.2018 31 6. Bankrechtstag
Etabliert | Wessing & Partner ist eine der anerkanntesten Kanzleien für Wirtschaftsstrafrecht in Deutschland. Fokussiert | Unser Fokus liegt auf der präventiven Beratung, Vertretung und Verteidigung von Unternehmen und Unternehmern in Krisenfällen mit wirtschafts- und/oder steuerstrafrechtlicher Relevanz. Integriert | Wir sind die Generalisten unter den Spezialisten: Unsere Anwälte beherrschen die gesamte Bandbreite des Strafrechts und ergänzen dieses von Fall zu Fall durch Know-how im Zivilrecht, Steuerrecht, Bank- und Kapitalmarktrecht, Kartellrecht oder Arzt- und Medizinrecht. Prozessversiert | Erfahrungen aus der Begleitung zahlreicher Ermittlungs- und Hauptverfahren garantieren unseren Mandanten eine strategische Prozessführungskompetenz, wie sie im Markt nicht selbstverständlich ist.
Kanzlei
13.06.2018 32 6. Bankrechtstag
Studium der Rechtswissenschaften an der Universität Würzburg von 1999 – 2004, Tätigkeit als wissenschaftliche Hilfskraft am Lehrstuhl für Strafrecht, Strafprozessrecht, Rechtstheorie, Rechtsinformatik und Informationsrecht 2004 -2007.
Zulassung als Rechtsanwalt im Jahr 2007, Ernennung zum
Fachanwalt für Strafrecht und Compliance Officer (TÜV) im Jahr 2014.
Seit 2016 Partner der Kanzlei Wessing & Partner Seit 2016 Übernahme von Lehrveranstaltungen an der Christian-
Albrechts-Universität Kiel Mitgliedschaften u.a.: Arbeitsgemeinschaft Strafrecht des
Deutschen Anwaltvereins, International Bar Association, Wirtschaftsstrafrechtliche Vereinigung, Arbeitsgemeinschaft Informationstechnologie des Deutschen Anwaltsvereins (DAVIT)
Dr. Eren Basar
13.06.2018 33
[email protected] Tel. 0211/16844-0
6. Bankrechtstag
Einzelheiten zu unseren Kompetenzen finden Sie auf unserer Website unter strafrecht.de/kompetenzen
Kompetenzen
13.06.2018 34
Korruption
Banken und Kapitalmarkt
Steuern und Selbstanzeigen
Criminal Compliance
Kartelle und Wettbewerb
Krise und Insolvenz
Arzt und Medizin
Unternehmens-strafrecht
Internationales Strafrecht
Interne Untersuchungen IT-Forensik
Individual-verteidigung
Zoll und Außenhandel
6. Bankrechtstag
Vielen Dank für Ihre Aufmerksamkeit!
Wessing & Partner Rechtsanwälte mbB Rathausufer 16 –17, 40213 Düsseldorf Tel. +49 211/16844-0, Fax +49 211/16844-444 [email protected] www.strafrecht.de