Mit YouTube ins Gefängnis?
Mit dem Inkrafttreten der Datenschutzgrundverordnung hat sich das Thema Datenschutz 2018 für einen gewissen Zeitraum einige Präsenz verschafft. Das lag nicht zuletzt an den drastisch gestiegenen Strafrahmen für Geldbußen, die bekanntlich bis zu 20 Millionen Euro oder 4% des weltweiten Gesamtumsatzes erreichen können.
Was der öffentlichen Aufmerksamkeit dabei größtenteils entgangen zu sein scheint, ist aber die Tatsache, dass nationale Gesetzgeber neben dieser besonderen Strafform der datenschutzrechtlichen „Geldbuße“ auch gerichtliche Straftatbestände eingeführt haben. Das ist zum Beispiel in Österreich und Deutschland der Fall. In Österreich wurde dazu in § 63 Datenschutzgesetz folgende Vorschrift eingeführt:
„Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen zu bestrafen.“
§ 63 DSG zielt also darauf ab, das in § 1 DSG normierte Grundrecht auf Datenschutz mit der schwerwiegendsten Sanktion, die das österreichische Recht kennt, nämlich der Freiheitsstrafe, abzusichern.
Der Straftatbestand sanktioniert die Verarbeitung personenbezogenen Daten mit Bereicherungsvorsatz oder in Schädigungsabsicht.
Strafbar ist unter diesen Umständen die Verarbeitung personenbezogener Daten, die auf Grund berufsmäßiger Beschäftigung anvertraut oder zugänglich geworden sind oder die widerrechtlich erlangt wurden.
Geschützt sind personenbezogene Daten, an denen der Betroffene ein schutzwürdiges Geheimhaltungsinteresse hat. Ein schutzwürdiges Geheimhaltungsinteresse besteht nach § 1 DSG leidglich dann nicht, „wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind“. Sonst geht das Gesetz grundsätzlich davon aus, dass ein schutzwürdiges Geheimhaltungsinteresses gegeben ist.
Während die Datenverarbeitung in Schädigungsabsicht im Unternehmensbereich eher nur unter außergewöhnlichen Umständen verwirklicht werden wird, ist die Datenverarbeitung mit Bereicherungsvorsatz wesentlich schneller vollendet als man es glauben möchte.
Problematisch ist in diesem Zusammenhang nämlich der leider sehr weit verbreitete Einsatz von Online-Tools, von denen mittlerweile allgemein bekannt ist, dass sie kostenlos zur Verfügung gestellt werden, weil sie den bereitstellenden Unternehmen im Hintergrund als Datensammelwerkzeuge dienen. Das betrifft insbesondere in viele Unternehmenswebsites integrierte Tools wie Google Analytics oder YouTube-Videos. Die Gegenleistung für den Einsatz dieser Werkzeuge besteht darin, dass Daten jedes Website-Besuchers an Google bzw. YouTube fließen.
Dieser Datenabfluss ist spätestens seit der Aufhebung von Privacy-Shield datenschutzrechtlich in den meisten Fällen unzulässig. Abgesehen von der Tatsache, dass die abfließenden Daten im Zusammenhang mit Unternehmenswebsites meist im Rahmen berufsmäßiger Beschäftigung zugänglich wurden, liegt so meist auch eine widerrechtliche Erlangung vor.
Der springende Punkt ist nun allerdings, dass der Einsatz dieser datenschutzrechtlich höchst bedenklichen Werkzeuge meist ausschließlich darauf beruht, dass sie kostenlos zur Verfügung gestellt werden und so keine Kosten für die eigene Bereitstellung derartiger Ressourcen oder den Einsatz datenschutzkonformer Lösungen anfallen. Bereicherungsvorsatz ist allerdings nicht nur dann gegeben, wenn das Erzielen eines Erlöses angestrebt wird, sondern auch dann, wenn Ergebnis der verpönten Handlung eine Ersparnis sein soll.
Datenschutzbehördliche Inaktivität führt aktuell vielfach dazu, dass bekannte datenschutzrechtliche Probleme auf die leichte Schulter genommen werden, da datenschutzrechtliche Konsequenzen vermeintlich ausbleiben.
Wer allerdings datenschutzrechtliche Probleme in Kauf nimmt, um sich aus datenschutzkonformer Umsetzung resultierende Aufwände zu ersparen, verwirklicht damit den Tatbestand der Datenverarbeitung mit Bereicherungsvorsatz und hat es plötzlich nicht mehr mit einer schwer greifbaren Datenschutzbehörde, sondern der zuständigen Staatsanwaltschaft zu tun.
Insbesondere der Einsatz von YouTube-Videos auf Unternehmenswebsites stellt also gerade für Entscheidungsträger im Unternehmen ein massives Risiko dar, das im schlimmsten Fall in der Verhängung von Freiheitsstrafen münden kann.
