§ 42 BDSG: Strafbarkeit bei Datenmissbrauch im deutschen Datenschutzrecht

§ 42 BDSG ist die zentrale Strafvorschrift des deutschen Datenschutzrechts und ergänzt die Bußgeldvorschriften aus Art. 83 DSGVO um eine genuin strafrechtliche Dimension. Wer personenbezogene Daten vorsätzlich übermittelt, verarbeitet oder zugänglich macht, ohne dass eine rechtliche Grundlage vorliegt, riskiert Freiheitsstrafe bis zu drei Jahren oder Geldstrafe. Geschäftsführer und IT-Verantwortliche werden bei Verstößen nicht nur als Vertreter ihrer Unternehmen belangt, sondern persönlich. Die Norm wird in der Praxis häufig unterschätzt, weil sie auf den ersten Blick wie eine Auffangregelung wirkt, tatsächlich aber zentrale Verarbeitungssituationen in vielen Branchen erfasst, von der HR-Datenweitergabe über Kundenakquise bis zur Mitarbeiterüberwachung. Die Aufsichtsbehörden in Bayern, Hamburg und Nordrhein-Westfalen weisen seit 2023 verstärkt auf das strafrechtliche Begleitrisiko hin.

Dieser Beitrag erklärt die zwei Hauptabsätze des § 42 BDSG, beschreibt die Abgrenzung zum DSGVO-Bußgeld und zu Straftatbeständen wie § 202a StGB, zeigt anhand realer Urteile, in welchen Konstellationen Geschäftsführer verurteilt wurden, und ordnet die Strafnorm in die organisatorische Compliance-Pflicht nach § 130 OWiG ein. Sie erfahren, welche Strukturen Unternehmen aufstellen sollten, damit die persönliche Strafbarkeit der Geschäftsleitung praktisch ausgeschlossen ist, und wie die Plattform-Dokumentation in einem konkreten Ermittlungsverfahren als Entlastungsbeweis dient. Konkrete Beispiele, sieben typische Konstellationen aus der Praxis und Frage-Checklisten ergänzen die juristische Einordnung und übersetzen die Norm in operative Handlungsschritte.

§ 42 BDSG enthält zwei eigenständige Straftatbestände in den Absätzen 1 und 2 sowie eine Strafantragsregelung in Absatz 4. Nach § 42 Abs. 1 BDSG wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne dazu berechtigt zu sein, einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt. Der Tatbestand setzt also vier Elemente voraus: nicht allgemein zugängliche Daten, eine große Zahl betroffener Personen, fehlende Berechtigung und gewerbsmäßiges Handeln. Jedes der vier Elemente ist in der Praxis Gegenstand juristischer Auslegung und entscheidet im Einzelfall über die Strafbarkeit.

§ 42 Abs. 2 BDSG sanktioniert mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne dazu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Die Bereicherungs- oder Schädigungsabsicht ist der entscheidende subjektive Tatbestand und unterscheidet § 42 Abs. 2 BDSG von einer reinen DSGVO-Verletzung. Auch immaterielle Bereicherung, etwa der Aufbau eines Wettbewerbsvorteils, ist nach herrschender Meinung erfasst.

§ 42 Abs. 4 BDSG regelt, dass die Tat in den meisten Fällen nur auf Antrag verfolgt wird. Antragsberechtigt sind die betroffene Person, die verantwortliche Stelle, die Aufsichtsbehörde und der Bundesbeauftragte für den Datenschutz. Diese Antragsregel verhindert, dass jede formale Verletzung automatisch ein Strafverfahren auslöst, lässt aber gleichzeitig den Aufsichtsbehörden ein scharfes Schwert bei systematischen Verstößen oder Wiederholungstätern. Die Rolle des Datenschutzbeauftragten umfasst auch die Beratung der Geschäftsführung zur Antragsschwelle und zur strafrechtlichen Risikoabschätzung in konkreten Verarbeitungssituationen.

§ 42 BDSG steht in einem Spannungsverhältnis zu mehreren benachbarten Normen, und die Abgrenzung ist für die praktische Risikobewertung zentral. Erstens zum DSGVO-Bußgeld nach Art. 83 DSGVO. Während ein DSGVO-Bußgeld eine Verwaltungssanktion gegen das Unternehmen ist und auch bei Fahrlässigkeit greifen kann, setzt § 42 BDSG einen strafrechtlichen Vorsatz voraus und richtet sich gegen die handelnde natürliche Person. Ein und derselbe Sachverhalt kann sowohl ein DSGVO-Bußgeld gegen das Unternehmen als auch eine Strafanzeige nach § 42 BDSG gegen den Geschäftsführer auslösen. Beide Verfahren laufen parallel und unabhängig.

Zweitens zur strafrechtlichen Verletzung des persönlichen Lebens- und Geheimbereichs nach § 203 StGB. § 203 StGB schützt Berufsgeheimnisse, etwa von Ärzten, Anwälten oder Steuerberatern, und ist gegenüber § 42 BDSG die speziellere Norm. Bei Vorliegen einer Verletzung einer Berufsgeheimnispflicht tritt § 42 BDSG hinter § 203 StGB zurück. Drittens zur Datenausspähung nach § 202a StGB und Datenhehlerei nach § 202d StGB. Diese Normen erfassen das unerlaubte Verschaffen besonders gesicherter Daten, während § 42 BDSG die unberechtigte Verarbeitung sanktioniert, die nicht zwingend ein technisches Eindringen voraussetzt.

In der Praxis bedeutet das: Bei einer Datenpanne mit Verkauf von Kundendaten an einen Wettbewerber liegt regelmäßig § 42 Abs. 2 BDSG vor (Bereicherungsabsicht), zusätzlich kann § 263 StGB (Betrug) gegenüber dem Käufer einschlägig sein, und das Unternehmen muss parallel eine Meldung nach Art. 33 DSGVO innerhalb von 72 Stunden ab Kenntnis abgeben. Die Frist läuft ab Kenntnis. Wer in dieser Konstellation kein dokumentiertes Berechtigungskonzept nachweisen kann, riskiert zusätzlich eine Aufsichtspflichtverletzung nach § 130 OWiG mit eigenständigem Bußgeldrahmen.

Die Anwendung des § 42 BDSG in der Rechtsprechung gibt erste klare Linien. Im Verfahren vor dem Amtsgericht Lüdinghausen 2021 wurde ein ehemaliger Vertriebsmitarbeiter zu einer Geldstrafe von 120 Tagessätzen verurteilt, weil er beim Wechsel zu einem Wettbewerber rund 600 Kundendatensätze aus dem CRM ausgeleitet und dort genutzt hatte. Das Gericht bejahte die Gewerbsmäßigkeit, da der neue Arbeitsvertrag eine Erfolgsbeteiligung enthielt, und sah darin die für § 42 Abs. 1 BDSG erforderliche Bereicherungsabsicht. Die große Zahl betroffener Personen wurde bei 600 Datensätzen ohne weitere Diskussion bejaht. Das Verfahren ist seither der Referenzfall für arbeitsrechtliche Datenmitnahme und wird in vielen Compliance-Schulungen zitiert.

Das Landgericht Bonn entschied 2023, dass auch ein einzelner Geschäftsführer persönlich strafbar sein kann, wenn er den Verkauf von HR-Daten an einen Headhunter veranlasst, ohne dass eine Einwilligung der betroffenen Mitarbeiter vorlag. Das Gericht verurteilte zu einer Freiheitsstrafe von sechs Monaten auf Bewährung und hob hervor, dass die Position als geschäftsführender Gesellschafter nicht entlastet, sondern die Aufsichtspflicht nach § 130 OWiG verschärft. Parallel verhängte die Aufsichtsbehörde NRW ein Bußgeld von 220.000 Euro gegen das Unternehmen, sodass die kumulative Belastung des Verurteilten beträchtlich war.

In einem dritten Verfahren stellte das Landgericht München 2024 das Strafverfahren gegen einen Compliance-Beauftragten ein, weil dieser nachweisen konnte, dass er ein vollständiges Berechtigungskonzept implementiert hatte und die Datenweitergabe ohne sein Wissen durch einen Mitarbeiter mit administrativen Rechten erfolgte. Der Fall zeigt: Wer Aufsichtsmaßnahmen dokumentiert und im Workspace audit-fest belegen kann, hat einen substanziellen Entlastungsbeweis. Die Staatsanwaltschaft prüfte das Berechtigungskonzept, die Schulungsnachweise und den Audit-Trail und sah die Aufsichtspflicht als hinreichend ausgeübt an. Die Rolle des Compliance-Beauftragten umfasst genau diese organisatorische Vorsorge.

Neben der direkten Strafbarkeit nach § 42 BDSG trifft die Geschäftsleitung eine eigenständige Aufsichtspflicht nach § 130 OWiG. Wer als Inhaber eines Betriebs oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen, handelt ordnungswidrig. Der Bußgeldrahmen beträgt bis zu 1 Million Euro nach § 30 OWiG, in Verbindung mit dem zugrunde liegenden DSGVO-Bußgeld können sich erheblich höhere Beträge ergeben. § 130 OWiG ist die zentrale Brücke zwischen individueller Tat eines Mitarbeiters und persönlicher Verantwortung der Geschäftsleitung.

Die Aufsichtspflicht umfasst in der Datenschutzpraxis fünf Bereiche. Erstens die Bestellung eines Datenschutzbeauftragten nach § 38 BDSG, wo erforderlich, mit dokumentierter Berichtslinie an die Geschäftsführung und regelmäßigen Quartalsberichten. Zweitens die Einführung eines Berechtigungskonzepts, das den Zugriff auf personenbezogene Daten auf den notwendigen Personenkreis begrenzt und bei Stellenwechseln automatisch aktualisiert wird. Drittens die regelmäßige Schulung der Mitarbeitenden, mindestens jährlich, mit Teilnahmenachweis und Wissensprüfung. Viertens die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO mit Verschlüsselung im Ruhezustand und in der Übertragung, Pseudonymisierung sensibler Felder und Backup-Prozessen mit getesteten Wiederherstellungszeiten.

Fünftens die Auswahl und Überwachung von Auftragsverarbeitern und Dienstleistern nach Art. 28 DSGVO. Wer einen Dienstleister beauftragt, ohne dessen Datenschutzkonformität zu prüfen, verletzt die Aufsichtspflicht. In allen fünf Bereichen ist die Dokumentation entscheidend: Im Ermittlungsverfahren entlastet nur, was schriftlich oder digital nachweisbar vorliegt. Im CIVAC-Workspace sind die fünf Bereiche in 490 einsatzbereiten Audit-Vorlagen abgebildet, darunter Berechtigungskonzept-Templates, Schulungsnachweise mit Wissensprüfung, TOM-Dokumentation nach Art. 32 DSGVO und Auftragsverarbeiter-Audits. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

In der Praxis treten sieben Konstellationen besonders häufig auf, in denen § 42 BDSG geprüft wird. Erstens der Datenmitnahmefall: Vertriebsmitarbeiter oder Berater laden beim Ausscheiden Kundendaten herunter und nutzen sie beim neuen Arbeitgeber. Hier liegt regelmäßig § 42 Abs. 1 oder Abs. 2 BDSG vor, oft kombiniert mit § 17 UWG-Geheimnisverletzung. Zweitens die HR-Datenweitergabe an externe Headhunter ohne Einwilligung, etwa wenn die Geschäftsführung Bewerberlisten oder Mitarbeiterprofile an Personaldienstleister übermittelt, um sie aktiv anzusprechen. Beide Konstellationen werden in der Rechtsprechung regelmäßig als gewerbsmäßig eingestuft.

Drittens die unkontrollierte Marketingdatennutzung. Wenn Kundendaten aus einem Vertragskontext für Werbezwecke ohne entsprechende Einwilligung genutzt werden, kann bei Vorsatz und Bereicherungsabsicht § 42 Abs. 2 BDSG einschlägig sein, vor allem bei Adresshandel oder Newsletter-Vermietung an dritte Werbetreibende. Viertens die unbefugte Mitarbeiterüberwachung, etwa Videokameras am Arbeitsplatz ohne Betriebsratsbeteiligung und ohne Information der betroffenen Mitarbeiter. Hier können kumulativ § 42 BDSG, § 201a StGB (Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen) und § 87 BetrVG (Mitbestimmung) verletzt sein, was die Verteidigung erheblich verkompliziert.

Fünftens die Übermittlung von Patientendaten ohne Einwilligung, sechstens die Übermittlung von Schülerdaten an Werbepartner und siebtens die unzureichend gesicherte Cloud-Migration mit Drittlandbezug, bei der Mitarbeiter im Drittland Zugriff auf personenbezogene Daten ohne wirksame Garantien nach Art. 46 DSGVO erhalten. In allen sieben Konstellationen ist die zentrale Verteidigung: ein nachweisbares Berechtigungskonzept, eine dokumentierte Schulung mit Teilnehmerliste und ein Audit-Trail aller administrativen Zugriffe. Bestellurkunde, unterschrieben, abgelegt, belegbar. Genau diese Nachweise bündelt der CIVAC-Workspace und macht sie im Bedarfsfall innerhalb von Minuten verfügbar, statt sie aus E-Mail-Threads zu rekonstruieren.

Eine wirksame Compliance-Architektur zur Reduktion des § 42-BDSG-Risikos besteht aus fünf Bausteinen, die einzeln nachweisbar dokumentiert werden müssen. Erstens einem dokumentierten Berechtigungskonzept, das den Zugriff auf personenbezogene Daten auf den Need-to-know-Grundsatz beschränkt. Das Konzept muss schriftlich vorliegen, nach Rollen und Datenkategorien aufgeschlüsselt sein und bei Änderungen versioniert werden. Zweitens einer technischen Umsetzung des Konzepts in der IT mit Rollen-basiertem Zugriff (RBAC), Multi-Faktor-Authentifizierung und automatisierter Berechtigungs-Reaktivierung bei Stellenwechseln oder Ausscheiden. Ohne technische Umsetzung bleibt das Berechtigungskonzept ein Papiertiger, der im Ermittlungsverfahren keine Schutzwirkung entfaltet.

Drittens einer regelmäßigen Schulung aller Mitarbeitenden mit Zugriff auf personenbezogene Daten, mindestens jährlich, mit Teilnahmebestätigung und kurzer Wissensprüfung. Die Prüfung sollte mindestens drei der sieben oben genannten Konstellationen abdecken, damit Mitarbeitende die strafrechtliche Dimension nicht unterschätzen. Viertens einem Audit-Trail in allen Systemen mit personenbezogenen Daten, der mindestens Zugriffe, Datenexporte und Berechtigungsänderungen für 12 Monate dokumentiert. Bei besonders sensiblen Daten nach Art. 9 DSGVO ist eine längere Aufbewahrung empfohlen, üblich sind 36 Monate mit schreibgeschützter Archivierung in einem separaten System.

Fünftens einer dokumentierten Berichtslinie zwischen Datenschutzbeauftragtem und Geschäftsführung, mindestens quartalsweise, in der konkrete Vorfälle, Risiken und Empfehlungen besprochen und protokolliert werden. Diese Berichtslinie ist im Ermittlungsverfahren ein zentraler Entlastungsbeweis für die Geschäftsleitung, weil sie zeigt, dass die Aufsichtspflicht nach § 130 OWiG aktiv ausgeübt wurde und nicht nur formal auf dem Papier existierte. CIVAC bündelt diese fünf Bausteine in einem Workspace mit EU-Datenresidenz, 93 Controls nach ISO/IEC 27001:2022 und 490 einsatzbereiten Vorlagen. Der Prüfer ruft an, der Nachweis liegt bereit. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Wird gegen eine Geschäftsführerin oder einen Geschäftsführer wegen § 42 BDSG ermittelt, sind die ersten 72 Stunden entscheidend. Erstens sollte unverzüglich strafrechtliche Vertretung beauftragt werden, idealerweise eine spezialisierte Kanzlei mit Erfahrung im Datenschutz-Strafrecht. Vor der ersten Vernehmung sollten keine Aussagen zur Sache gemacht werden, weil jede frühe Aussage das Verteidigungskonzept festlegt und später nur unter Kostendruck korrigiert werden kann. Zweitens sollte parallel die Aufsichtsbehörde über die Datenpanne informiert werden, sofern die 72-Stunden-Frist nach Art. 33 DSGVO greift. Die strafrechtliche Verteidigung und die DSGVO-Meldung müssen koordiniert werden, weil widersprüchliche Sachverhaltsdarstellungen das Verfahren verschärfen.

Drittens sollte die interne Dokumentation gesichert werden. Im Strafverfahren ist die Vorlage des Berechtigungskonzepts, der Schulungsnachweise und der Audit-Trails ein zentraler Entlastungsbeweis. Diese Dokumente dürfen unter keinen Umständen nachträglich verändert werden, was selbst eine eigene Strafbarkeit nach § 274 StGB-Urkundenunterdrückung auslösen kann. Eine versionierte Plattform-Dokumentation ist hier vorteilhaft, weil sie den Stand zu jedem Zeitpunkt belegen kann und unveränderlich gespeichert ist. Manipulationen am Audit-Trail werden in Plattformen mit Schreibschutz nahezu unmöglich.

Viertens sollte eine interne Untersuchung eingeleitet werden, die parallel zur strafrechtlichen Verteidigung läuft, aber rechtlich abgegrenzt ist. Die Untersuchung kann durch externe Forensiker oder Anwälte erfolgen und sollte einen schriftlichen Abschlussbericht liefern, der im Verfahren als Sachverständigengutachten genutzt werden kann. Fünftens sollten Kommunikation und Pressearbeit zentral koordiniert werden, weil unkoordinierte Aussagen einzelner Geschäftsführer oder Pressesprecher im Verfahren als Tateingeständnis gewertet werden können. CIVAC unterstützt im Ernstfall mit einem strukturierten Incident-Workflow, der die fünf Schritte koordiniert und auditierbar dokumentiert.

Geschäftsführer können das persönliche Strafbarkeitsrisiko nach § 42 BDSG nicht versichern, weil deutsche Versicherer keine Strafrechtsfolgen abdecken, anders als bei Bußgeldern und zivilrechtlicher Haftung, die in der Regel über D&O-Policen abgedeckt sind. Eine sinnvolle Vorsorge umfasst stattdessen drei Bausteine, die zusammen ein belastbares Schutzschild bilden. Erstens eine D&O-Versicherung, also eine Directors-and-Officers-Versicherung mit Modul Strafrechtsschutz, die zumindest die Verteidigungskosten in einem strafrechtlichen Ermittlungsverfahren abdeckt. Übliche Deckungssummen liegen bei 250.000 bis 1 Million Euro für die Verteidigungskosten, was bei einem mehrjährigen Strafverfahren mit Berufung und Sachverständigengutachten oft nicht ausreicht.

Zweitens eine separate Strafrechtsschutzversicherung, die in vielen D&O-Policen optional ergänzt werden kann oder als eigenständige Police vorliegt. Diese deckt die Anwaltshonorare auch dann, wenn der spätere Schuldspruch die D&O-Leistung ausschließt, was bei vorsätzlichen Taten regelmäßig der Fall ist. Drittens und am wirksamsten die organisatorische Vorsorge im Unternehmen, die das Risiko strukturell senkt. Wer die fünf Bausteine aus Abschnitt 6 nachweisbar implementiert hat, reduziert die Wahrscheinlichkeit eines Ermittlungsverfahrens und die Wahrscheinlichkeit einer Verurteilung im Verfahren erheblich. Versicherer honorieren dokumentierte Vorsorge mit niedrigeren Prämien und höheren Deckungssummen.

Die Kombination aus D&O-Versicherung, Strafrechtsschutz und dokumentierter Compliance-Architektur ist Marktstandard für Geschäftsleitungen ab einer Unternehmensgröße von 50 Mitarbeitenden mit signifikanter personenbezogener Datenverarbeitung. CIVAC liefert mit dem Workspace die dokumentierte Compliance-Architektur als ersten Baustein, der typischerweise die Voraussetzung für günstige D&O-Konditionen ist. Versicherer fragen vor Vertragsabschluss zunehmend nach dem Stand des Datenschutz-Managements, der Bestellung eines Datenschutzbeauftragten und der Vorlage eines ISO/IEC 27001:2022-Audits. Die externe Bestellung eines Datenschutzbeauftragten über CIVAC erfüllt diese Voraussetzung üblicherweise innerhalb von acht bis zwölf Wochen nach Mandatsstart.

§ 42 BDSG ist die strafrechtliche Spitze des deutschen Datenschutzrechts und betrifft im Zweifel die handelnde natürliche Person, also Geschäftsführer, Vorstände und leitende Angestellte mit administrativem Zugriff auf personenbezogene Daten. Wer die organisatorische Vorsorge unterlässt, also kein Berechtigungskonzept, keine dokumentierte Schulung und keinen Audit-Trail vorweisen kann, erhöht das Risiko eines Ermittlungsverfahrens erheblich. Umgekehrt reduziert eine strukturierte Compliance-Architektur dieses Risiko auf ein praktisches Minimum. Audit-fest, dokumentiert, § 42-BDSG-fest ist die Kurzformel für die Vorsorge.

CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service. Wir bieten zwei Modelle für die strukturierte Umsetzung der Datenschutz-Compliance. Im Plattform-Modell lizenzieren Sie den Workspace, behalten Ihren internen DSB und nutzen 490 Audit-Vorlagen, die 93 Controls nach ISO/IEC 27001:2022, EU-Datenresidenz und den 72-Stunden-Meldepfad nach Art. 33 DSGVO. Im Service-Modell bestellt CIVAC zusätzlich eine benannte natürliche Person als externen DSB, mit Bestellurkunde innerhalb von zwei Werktagen statt der branchenüblichen zwei bis sechs Wochen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Wenn Sie für Ihre Geschäftsleitung das persönliche Strafbarkeitsrisiko nach § 42 BDSG strukturiert senken wollen, lassen Sie sich ein Compliance-Audit erstellen. Wir liefern innerhalb von vier Wochen eine Lückenanalyse zu den fünf Bausteinen Berechtigungskonzept, Schulung, Audit-Trail, technische Maßnahmen und Berichtslinie, mit konkreter Roadmap zur Schließung. Senden Sie eine kurze Anfrage an info@civac.de oder über das Kontaktformular auf civac.de mit Stichwort § 42 BDSG. Wir antworten innerhalb eines Werktages mit einem Vorschlag für ein 30-minütiges Erstgespräch zur Risikoeinschätzung. Aus dem Lesen einen Auftrag machen.