Seit Herbst 2021 gibt es eine neue Strafvorschrift mit Datenschutzbezug. § 126a StGB sieht vor:

Wer öffentlich, in einer Versammlung oder durch Verbreiten eines Inhalts personenbezogene Daten einer anderen Person in einer Art und Weise verbreitet, die geeignet und nach den Umständen bestimmt ist, diese Person oder eine ihr nahestehende Person der Gefahr eines gegen sie gerichteten Verbrechens oder einer gegen sie gerichteten sonstigen rechtswidrigen Tat gegen die sexuelle Selbstbestimmung, die körperliche Unversehrtheit, die persönliche Freiheit oder gegen eine Sache von bedeutendem Wert auszusetzen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Handelt es sich um nicht allgemein zugängliche Daten, so ist die Strafe Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.

Hier mag man beim ersten Lesen zunächst stutzen: Moment mal, personenbezogene Daten sollen so gefährlich sein? Genauso ist es.

Was in Deutschland in der Variante der „Feindeslisten“ rechtsextremer Netzwerke bereits mehrmals für Aufsehen in den Medien sorgte, wird im amerikanischen Sprachraum etwas allgemeiner gefasst als sog. Doxing (abgeleitet von „documents“) bezeichnet – „das internetbasierte Zusammentragen und anschließende Veröffentlichen personenbezogener Daten, zumeist mit bösartigen Absichten gegenüber den Betroffenen“, definiert Wikipedia. Dabei handelt es sich häufig um Adressdaten; je nach Einzelfall kann aber jede denkbare Art von Daten betroffen sein, beispielsweise Fotos, bestimmte Details des Privatlebens oder auch Auszüge aus persönlichen Nachrichten.

Je nach Einzelfall ist das Ziel ist im ersten Schritt die Einschüchterung und Bloßstellung der Betroffenen – meist politische Gegner der veröffentlichenden Stelle oder Person. Die darauffolgende Eskalation geht oft von anderen Personen aus, die sich in den gleichen politischen Kreisen bewegen und durch die Veröffentlichung der Daten in einschlägigen Kanälen oder Netzwerken erst von diesen Kenntnis nehmen. Es folgt in manchen Fällen eine Belästigung der Betroffenen auf verschiedenen Wegen, sei es online oder offline, ermöglicht durch die Veröffentlichung der Privatadressen der Betroffenen. Schlimmstenfalls kommt es sogar zu körperlichen Übergriffen.

Vor Einführung der neuen Vorschrift verlief die Veröffentlichung von personenbezogenen Daten der eigenen „Feinde“ häufig straffrei: Die Vorschriften der §§ 202 ff. StGB, die sich bis dahin als einzige im StGB auf Daten bezogen, setzen in großen Teilen eine rechtswidrige Erlangung dieser voraus und decken die beschriebene Konstellation des Doxing zumindest nicht vollständig ab: Denn dort geht es um die Veröffentlichung teilweise rechtmäßig erlangter (da sogar öffentlich zugänglicher) Daten in zielgerichtet zusammengefasster Form.

Und aus datenschutzrechtlicher Sicht…?

Die DSGVO ist, genau wie das StGB vor der Ergänzung des § 126 a, letztlich nicht auf Tatbestände wie Doxing ausgelegt. Das gilt insbesondere, wenn dieses im privaten Umfeld stattfindet, denn die Anwendbarkeit der DSGVO setzt einen gewissen institutionellen Rahmen voraus.

Zumindest einige Konstellationen lassen sich allerdings unter die dortigen Vorschriften subsumieren: Geht man von der Veröffentlichung einer Feindesliste durch eine organisierte politische Gruppierung aus, kann eine Verarbeitungstätigkeit im Sinne des Art. 4 Nr. 2 DSGVO durch das Erfassen, Organisieren und Verbreiten der personenbezogenen Daten bejaht werden. Durch das elektronische Speichern der Liste wäre ebenfalls von einer automatisierten Verarbeitung nach Art. 2 Abs. 1 DSGVO auszugehen.

Die „Haushaltsausnahme“ aus Art. 2 Abs. 2 lit. c DSGVO dürfte zumindest in diesen Fällen ebenfalls nicht greifen: Das in Erwägungsgrund 18 genannte „Führen von Anschriftenverzeichnissen“ betrifft eher das private Adressbuch, nicht aber eine eindeutig im politischen Kontext für einen breiten Personenkreis veröffentlichte Datensammlung, die damit den rein persönlichen oder familiären Kreis überschreitet.

Für die Verarbeitungstätigkeit liegt keine Einwilligung der Betroffenen vor; erst recht kein berechtigtes Interesse der Verantwortlichen. Je schützenswerter die jeweiligen Daten, desto schwerer wiegt der Eingriff in die Rechte der Betroffenen.

Dies betrifft insoweit auch öffentlich verfügbare Daten: Nur weil jemand beispielsweise einen Blog oder Online-Shop betreibt und dort seiner gesetzlichen Impressumspflicht nachkommt, indem er die eigene Adresse öffentlich zur Verfügung stellt, bedeutet dies nicht, dass diese Adresse von Dritten in jedweder Art und Weise weiterverwendet werden darf.

Wie kann aber das Datenschutzrecht eigentlich den Betroffenen weiterhelfen?

Die DSGVO stellt in Form der Betroffenenrechte in den Art. 13 ff. einen umfangreichen Katalog zur Verfügung. Bei deren Durchsicht wird allerdings schnell klar, dass die dortigen Vorschriften ebenfalls nicht besonders gut auf die Situation passen: Die DSGVO geht von einer Art von geordneten Verhältnissen aus, die für Doxing-Opfer überhaupt nicht existieren. Allein die Ermittlung der Identität der verantwortlichen Personen oder Gruppierungen, die im Internet lediglich unter Pseudonym aktiv sind, kann eine erste Schwierigkeit darstellen. Hinzu kommt die psychologische Hemmschwelle der Betroffenen, gegen die Täter aktiv zu werden – diese haben insbesondere im Fall der Feindeslisten bereits demonstriert, dass sie sich nicht an Recht und Gesetz gebunden fühlen und es begrüßen würden, wenn die Betroffenen zu Schaden kämen. Häufig kommt die gute Vernetzung der Täter mit Gleichgesinnten hinzu, welche zu einer sehr realen Bedrohungslage für die Betroffenen führt.

Dennoch: Rein rechtlich betrachtet bestehen in Fällen, in denen die DSGVO Anwendung findet, auch Handlungsmöglichkeiten.

Beseitigung, Unterlassung, Schadensersatz

Zunächst kann über Art. 17 DSGVO die Löschung der eigenen Daten verlangt werden. Dies betrifft sowohl das Veröffentlichungsmedium als auch alle anderen Orte, an denen der Verantwortliche die Daten der betroffenen Person noch vorhält.

Zukunftsgerichtet soll aber natürlich auch verhindert werden, dass die Daten einfach erneut gesammelt und veröffentlicht werden, insbesondere wenn diese leicht wieder zu erlangen sind – hier wäre also an einen Unterlassungsanspruch zu denken. Die DSGVO selbst enthält allerdings keine geeignete Anspruchsgrundlage.

Hinzu kommt, dass nach einer Entscheidung des LG Wiesbaden (Az. 10 O 14/21, Urteil vom 22.01.2022) ein Rückgriff auf den allgemeinen Unterlassungsanspruch nach §§ 823 Abs. 1, 1004 BGB analog aufgrund der Spezialität des Datenschutzrechts nicht möglich ist. Anders sah es kurz zuvor noch das LAG Hamm (Urteil vom 14.12.2021 – 17 Sa 1185/20), das Art. 5 Abs. 1 lit. a Var. 1 DSGVO und Art. 6 Abs. 1 DSGVO als Schutzgesetze im Sinne von § 823 Abs. 2 Satz 1 BGB einordnete und damit den Weg für Unterlassungsansprüche eröffnet sah.

Abweichend von den in Hamm und Wiesbaden entschiedenen Fällen dürfte bei einer Veröffentlichung persönlicher Informationen ohnehin neben dem relevanten Datenschutzverstoß auch noch ein Eingriff in das allgemeine Persönlichkeitsrecht in der Ausprägung der informationellen Selbstbestimmung vorliegen, sodass auf dieser Grundlage gegen eine etwaige Sperrwirkung argumentiert werden könnte.

Schließlich könnte auch Art. 82 DSGVO weiterhelfen: Wer aufgrund eines DSGVO-Verstoßes einen materiellen oder immateriellen Schaden erleidet, hat gegen den Verantwortlichen einen Schadensersatzanspruch, so Absatz 1 der Vorschrift. (Dieser Anspruch würde im Übrigen vor einem möglichen Schadensersatzanspruch auf Grundlage von § 823 BGB auch tatsächlich wegen Spezialität vorgehen.)

Als entstandenen immateriellen Schaden kann man in diesem Fall bereits die – durch die feindselig orientierte Veröffentlichung ausgelöste – psychologische Belastung verstehen. Parallel argumentiert unter Heranziehung des Erwägungsgrund 75 der DSGVO, „wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird“, zumindest das OLG Düsseldorf in seinem Urteil vom 28.10.2021 (Az. 16 U 275/20) im Hinblick auf den Fehlversand einer Patientenakte. Gestützt auf diese Argumentation müsste also nach der Rechtsverletzung in Form der Veröffentlichung nicht erst ein weiteres Schadensereignis z. B. in Form von tatsächlicher Nachstellung oder Belästigung der betroffenen Person eingetreten sein.

Anders schien sich kürzlich das OLG Frankfurt zu positionieren (wir berichteten) und verlangte in seinem Urteil vom 02.03.2022 (Az. 13 U 206/20) den konkreten Nachweis eines immateriellen Schadens. Da aber laut Gericht „auch Ängste, Stress sowie Komfort- und Zeiteinbußen“ einen solchen darstellen können und ein Doxing-Vorfall in den allermeisten Konstellationen zumindest eine dieser Folgen mit sich bringen wird, führt die Ansicht aus Frankfurt hier letztlich zu keinem anderen Ergebnis.

Fazit

Sowohl das Datenschutz- als auch das Strafrecht haben sich insbesondere im digitalen Bereich immer wieder an neue Entwicklungen anzupassen, in diesem Fall im Zusammenhang mit der sog. digitalen Gewalt. Gerade im Querschnittsbereich der beiden Rechtsgebiete zeigt sich, wie wichtig für einzelne Betroffene der effektive Schutz persönlicher Daten sein kann.