Das Bundesdatenschutzgesetz (BDSG) verpflichtet dazu, Identity- und Access Management einzurichten. Diese Verpflichtung ergibt sich insbesondere aus

§ 9 Bundesdatenschutzgesetz

Für das Identity Management (IM) maßgeblich sind vor allem die rechtlichen Anforderungen aus § 9 Bundesdatenschutzgesetz in Verbindung mit Nr. 3 der Anlage zum Bundesdatenschutzgesetz (Zugriffskontrolle). Auf Bundesebene hat der Gesetzgeber in der Anlage zum Bundesdatenschutz-gesetz die technische Seite des Rechts des Bürgers auf Informationelle Selbst-bestimmung umgesetzt, nämlich das, was der Unternehmer aus technischer Sicht zwingend umsetzen muss. Nach Nr. 3 der Anlage zum Bundesdaten-schutzgesetz muss der Unternehmer gewährleisten, dass nur berechtigte Mitarbeiter auf personenbezogene Daten zurückgreifen dürfen. Ferner dürfen diese Berechtigten auch nicht auf alle Daten zugreifen, sondern nur auf die personenbezogenen Daten, die sie zwingend zu Erfüllung ihrer Aufgaben benötigen. Der Gesetzgeber verwendet hierfür ausdrücklich den Begriff der Zugriffskontrolle. Diese Vorschrift ist die zentrale Norm des IAM.

§ 10 Abs. 2 Nr. 1 Datenschutzgesetz Nordrhein-Westfalen

Schließlich hat auch der Landesgesetzgeber in Nordrhein-Westfalen das Recht auf Informationelle Selbstbestimmung gesetzlich geregelt. Gemäß § 10 Abs. 2 Nr. 1 Datenschutzgesetz Nordrhein-Westfalen hat zum Beispiel der Unternehmer sicherzustellen, dass nur Befugte personenbezogene Daten zur Kenntnis nehmen können.

Straftatbestände des BDSG

Gemäß § 44 Abs. 1 BDSG werden bestimmte, vorsätzlich begangene Verstöße gegen das BDSG mit Freiheits- oder Geldstrafe bestraft. § 44 Abs. 1 BDSG verweist hierfür auf den Katalog des § 43 Abs. 2 BDSG. In Betracht kommen hier folgende Vorschriften:

  • § 43 Abs. 2 Nr. 1 BDSG Unbefugtes Erheben oder Verarbeiten von nicht allgemein zugänglichen personenbezogenen Daten
  • § 43 Abs. 2 Nr. 3 BDSG Unbefugtes Abrufen oder Verschaffen von nicht allgemein zugänglichen personenbezogenen Daten
  • § 43 Abs. 2 Nr. 4 BDSG Erschleichen von nicht allgemein zugänglichen personenbezogenen Daten

Die Strafandrohung beträgt in allen Fällen bis zu zwei Jahre oder Geldstrafe

Denkbare strafrechtlich relevante Nutzerhandlungen

a) Unbeabsichtigter Zugriff
Nach dem BDSG wäre eine Strafbarkeit gemäß § 43 Abs. 2 Nr. 3 BDSG denkbar. Jedoch dürfte es im vorliegenden Fall am Vorsatz und an der Vorteilsverschaffung fehlen.

b) Nutzen einer fremden Benutzerkennung
Eine Strafbarkeit nach dem BDSG hängt davon ab, ob der Täter gegen Entgelt oder in Bereicherungsabsicht gehandelt hat.

c) Manipulation der EDV-Anlage bzw. des IAM
Eine Strafbarkeit nach dem BDSG hängt erneut davon ab, ob der Täter gegen Entgelt oder in Bereicherungsabsicht gehandelt hat.

Antworten zu Fragen eines IAM im Zusammenhang mit dem Strafrecht finden sie hier.

Rechtsanwalt Dipl.-Inform. Dr. jur. Marcus Werner ist Fachanwalt für IT-Recht und Inhaber der Kölner Kanzlei AHW Rechtsanwälte.