Ein elementarer Grundsatz unserer Rechtsordnung besagt, dass im Rahmen von Straf- und Bußgeldverfahren niemand gezwungen werden darf, sich selbst zu belasten. Dementgegen enthält die Datenschutz-Grundverordnung (DSGVO) Regelungen, nach denen die jeweils verantwortliche Stelle zur Meldung von Verstößen und zur umfangreichen Mitwirkung (Rechenschaft) verpflichtet ist. Wie vertragen sich die umfangreichen Auskunfts- und Mitwirkungspflichten mit der Selbstbelastungsfreiheit?
Der Inhalt im Überblick
Der Grundsatz der Selbstbelastungsfreiheit
Das Prinzip, dass niemand verpflichtet ist, an seiner eigenen Verurteilung mitzuwirken (nemo tenetur se ipsum accusare / nemo-tenetur-Grundsatz / Selbstbelastungsfreiheit), ist ein Grundsatz von Verfassungsrang, der sich aus unterschiedlichen Grundgesetzlichen Regelungen herleiten lässt (Rechtsstaatsprinzip, Achtung der Menschenwürde). Auch ergibt sich der Grundsatz implizit aus den Belehrungspflichten der Strafprozessordnung und dem Gesetz über Ordnungswidrigkeiten (§ 55 OWiG, §§ 136, 163 StPO). Nach ständiger Rechtsprechung des EGMR ist der Grundsatz zudem elementarer Bestandteil des Rechts auf ein faires Verfahren gemäß Art. 6 EMRK.
Melde- und Mitwirkungspflichten nach der DSGVO
Die Datenschutz-Grundverordnung enthält mit Art. 33 eine Vorschrift, die verantwortliche Stellen dazu zwingt, ggf. eigene Verstöße gegen datenschutzrechtliche Vorschriften der zuständigen Aufsichtsbehörde zu melden. Darüber hinaus enthält die DSGVO weitere Vorschriften, die Verantwortliche dazu zwingen, ihr datenschutzrechtliches Inneres nach außen zu kehren. Nach Art. 30 Abs. 4 DSGVO ist das Verzeichnis der Verarbeitungstätigkeiten der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Aus Art. 5 Abs. 2 DSGVO ergibt sich zudem eine allgemeine Rechenschaftspflicht für den Verantwortlichen, die sich letztendlich auf alle maßgeblichen Bereiche der DSGVO erstreckt.
Verstöße gegen Melde- und Mitwirkungspflicht
Nach Art. 83 Abs. 4 lit. a) DSGVO kann ein Verstoß gegen die Meldepflicht aus Art. 33 DSGVO oder ein Verstoß gegen die Verpflichtung zur Vorlage des Verzeichnisses der Verarbeitungstätigkeiten aus Art. 30 Abs. 4 DSGVO mit einer Geldbuße von bis zu EUR 10 000 000 oder 2 % des weltweiten Jahresumsatzes geahndet werden. In einer kürzlich veröffentlichten Pressemitteilung der Landesbeauftragte für den Datenschutz Brandenburg heißt es, die
„Anforderungen an die Meldung von Datenpannen werden jedoch oft nicht erfüllt. Unvollständige oder verspätete Meldungen oder die trotz hohen Risikos unterbliebene Information der betroffenen Personen können mit einem Bußgeld geahndet werden. Davon werde ich künftig Gebrauch machen. Grundsätzlich gilt: Lieber einmal zu viel als einmal zu wenig melden.“
Darüber hinaus kann ein Verstoß gegen die Grundsätze aus Art. 5 DSGVO sogar mit Bußgeldern bis zu EUR 20 000 000 oder 4 % des weltweiten Jahresumsatzes geahndet werden.
Regelungen zur Verhängung von Sanktionen bei datenschutzrechtlichen Verstößen finden sich in den §§ 41 bis 43 des Bundesdatenschutzgesetzes (BDSG). Für die Ahndung von Verstößen verweist § 41 BDSG zudem auf die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) und die allgemeinen Gesetze über das Strafverfahren (insbesondere StPO).
Selbstbelastungsfreiheit bei Melde- und Mitwirkungspflichten
Die umfangreichen Melde- und Mitwirkungspflichten der DSGVO werfen die Frage auf, wie sich diese mit dem Grundsatz vertragen, dass niemand gezwungen ist, sich in einem Straf- oder Bußgeldverfahren selbst zu belasten.
Meldung von Datenschutzverstößen
Gemäß Art. 33 der Datenschutz-Grundverordnung ist der Verantwortliche dazu verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener die zuständige Aufsichtsbehörde zu informieren. Gegenstand der Meldung sind Datenschutzverletzungen, so dass mit der Meldung auch ein Eingeständnis einhergehen kann, datenschutzrechtliche Bestimmungen nicht hinreichend beachtet zu haben.
Für diesen nicht unwahrscheinlichen Fall einer Selbstbelastung enthält das BDSG eine ausdrückliche Regelung. Gemäß § 43 Abs. 4 BDSG darf eine Meldung nach Art. 33 DSGVO oder eine Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen nur mit Zustimmung des Meldepflichtigen verwendet werden.
Ohne Zustimmung des Meldepflichtigen darf die Meldung einer Datenschutzverletzung daher nicht für ein anschließendes Bußgeldverfahren gegen den Meldepflichtigen verwertet werden. Diese Regelung bezieht sich jedoch ausdrücklich nur auf die Meldung von Datenschutzverstößen oder die Benachrichtigung betroffener Personen nach den Art. 33 und 34 DSGVO.
Die DSGVO selbst enthält eine solch ausdrückliche Regelung für den Fall der Meldung einer Datenschutzverletzung nicht. Im Gegenteil heißt es in Erwägungsgrund 87 zur DSGVO, dass die Meldung einer Datenschutzverletzung zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen kann. Zu den Befugnissen der Aufsichtsbehörden gehört nach Art. 58 Abs. 2 i) DSGVO auch die Verhängung von Geldbußen. Es stellt sich daher durchaus die Frage, inwieweit § 43 Abs. 4 BDSG mit den Vorgaben der DSGVO in Einklang steht oder ob die Vorgaben der DSGVO bzw. der entsprechende Erwägungsgrund im Lichte der EMRK und der darin verankerten Selbstbelastungsfreiheit so gelesen werden müsste, dass die Aufsichtsbehörden im Falle einer Meldung einer Datenschutzverletzung eben nicht umfassend von den ihnen übertragenen Befugnissen Gebrauch machen können.
Beweisverwertung von erlangten Informationen aus gesetzlicher Mitwirkungspflicht?
Weitere ausdrückliche Regelungen zur Verwertung von Informationen, die der Verantwortliche der Aufsichtsbehörde im Rahmen seiner Mitwirkungspflichten zur Verfügung gestellt hat, in einem anschließenden Bußgeldverfahren gegen den jeweiligen Verantwortlichen, bestehen nicht.
Umfangreiche Mitwirkungs- und Auskunftsverpflichtungen bestehen in vielen öffentlich-rechtlichen Bereichen. Ziel solcher Mitwirkungsverpflichtungen ist in der Regel, die Funktionsfähigkeit der Verwaltung sicherzustellen. Ohne entsprechende Mitwirkungspflichten wäre den zuständigen Behörden die Wahrnehmung ihrer Aufsichtsbefugnisse kaum möglich.
Da Behörden als Aufsichts- und Verfolgungsbehörden eine doppelte Funktion innehaben, liegt auf der Hand, dass die Selbstbelastungsfreiheit und verwaltungsrechtliche Mitwirkungspflichten kollidieren können. Es stellt sich daher die Frage, wie sich der Grundsatz der Selbstbelastungsfreiheit und die Funktionsfähigkeit der Verwaltung in Einklang bringen lassen.
Unterscheidung: Aufsichts- und Verfolgungsbehörde
Die Datenschutzaufsichtsbehörden sind im Rahmen ihrer Befugnisse nicht nur für die Überwachung (Aufsicht) der Einhaltung der datenschutzrechtlichen Vorgaben zuständig. Nach Art. 58 Abs. 2 i) DSGVO können die Aufsichtsbehörden auch Geldbußen verhängen (Verfolgung von Verstößen). Im Bereich der behördlichen Tätigkeiten wird zwischen präventiven Maßnahmen (Wahrnehmung der Aufsichtsbefugnisse – z.B. einfache Anfrage des Verzeichnisses der Verarbeitungstätigkeiten, Beantwortung von behördlichen Anfragen betreffend die Einhaltung der Grundsätze des Datenschutzes nach Art. 5 DSGVO) und repressiven Maßnahmen (Strafverfolgung, Anordnung von Bußgeldern) unterschieden.
Soweit eine Aufsichtsbehörde im Rahmen ihrer Aufsichtsbefugnisse tätig wird, bestehen die Auskunfts- und Mitwirkungspflichten grundsätzlich ohne Einschränkung.
Wird eine Aufsichtsbehörde zum Zwecke der Strafverfolgung oder der bußgeldrechtlichen Ahndung eines Verstoßes tätig, greift hingegen der Grundsatz der Selbstbelastungsfreiheit – niemand ist verpflichtet, an seiner eigenen Verurteilung mitzuwirken.
Das Dilemma in der Praxis
In der Praxis wird in der Regel nicht erkennbar sein, ob sich einzelne Maßnahmen noch im präventiven oder bereits im repressiven Bereich befinden. Fraglich ist bezüglich des Übergangs von präventiven zu repressiven Maßnahmen auch der maßgebliche Zeitpunkt. Wird die Aufsichtsbehörde bereits bei Bestehen eines begründeten Anfangsverdachts oder erst mit der Einleitung eines Straf- oder Bußgeldverfahrens repressiv tätig? Nach Ansicht des EGMR (Urteil vom 3. 5. 2001 – 31827/96 J. B./Schweiz [€]) soll ein repressives Verwaltungshandeln schon vor der Einleitung eines Straf- oder Bußgeldverfahrens vorliegen können.
Zudem ist zu bedenken, dass – wie bereits dargestellt – eine unterlassene Mitwirkung ebenfalls Bußgeldbewährt sein kann. Es sind daher gründliche Überlegungen und im Zweifelsfall die Abstimmung mit einem Rechtsanwalt erforderlich, soweit beispielsweise die Anfrage einer Aufsichtsbehörde tatsächlich nicht beantwortet werden soll.
Schließlich wird eine aus Angst vor Selbstbelastung unbeantwortete Anfrage einer Aufsichtsbehörde nicht ohne weiteres verschwinden. Bei Einleitung eines bußgeldrechtlichen Verfahrens durch die Aufsichtsbehörde können entsprechende Ermittlungshandlungen vorgenommen werden – denkbar sind strafprozessuale Maßnahmen wie z.B. die Durchsuchung oder die Beschlagnahme.
Immerhin ist bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag nach Art. 83 Abs. 2 lit. h) DSGVO die Art und Weise, wie ein Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat, gebührend zu berücksichtigen.
In dieser Hinsicht kann der vertiefende Artikel von Veil in ZD 2018, 9 empfohlen werden. Der Beck-Verlag hat diesen zum freien Download bereitgestellt:
https://rsw.beck.de/rsw/upload/ZD/ZD_01-2018_-_Beitrag_Veil_1.pdf
Angenommen eine Benachrichtigung der Betroffenen nach Art. 34 DS-GVO enthält nicht die geforderten Informationen (wie in Art. 34 (2) DS-GVO: enthält mindestens folgende (…) Informationen) – um eine Selbstbelastung zu vermeiden. Sofern ich ich Art. 34 (2) DS-GVO und das Wort „mindestens“ richtig interpretiere, sollte man die Vollständigkeit der Information vom erwarteten Risiko für den Betroffenen abhängig machen, korrekt? Je höher das Risiko, desto mehr Information. Im Umkehrschluss müsste dann ein Unternehmen gerade bei hohem Risiko Informationen zurückhalten, um eine Selbstbelastung zu vermeiden – da es hier mehr davon preisgeben müsste.
Inwieweit würde sich ein Unternehmen dann Schadensersatzforderungen nach Art. 82 DS-GVO / ErwG 146 aussetzen? Bzw. diese entsprechend höher ausfallen?
Die in den Art. 33 Abs. 3 und 34 Abs. 2 DSGVO aufgelisteten Informationen stellen den Mindestinhalt dar, der zur Erfüllung der Meldepflicht zur Verfügung zu stellen ist. D.h. mindestens diese Informationen sind zur Verfügung zu stellen. Je nach Einzelfall kann die Angabe weiterer Informationen erforderlich sein. Anhand der gemeldeten Informationen muss der Aufsichtsbehörde eine ausreichende Beurteilung der Datenschutzverletzung möglich sein. Die betroffene Person muss im Falle einer Meldung nach Art. 34 DSGVO in die Lage versetzt werden, die ggf. erforderlichen Vorkehrungen zu treffen.
Soweit ein meldepflichtiger Datenschutzvorfall vorliegt, sollten alle erforderlichen Informationen zur Verfügung gestellt werden (der Aufsichtsbehörde und ggf. der betroffenen Person). Das BDSG enthält ausdrückliche Regelungen, dass eine solche Meldung nicht in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten oder einem Strafverfahren verwertet werden dürfen (§§ 42 Abs. 4 und 43 Abs. 4 BDSG).
Der Grundsatz der Selbstbelastungsfreiheit gilt grundsätzlich nur für das Strafverfahren und Verfahren nach dem Gesetz über Ordnungswidrigkeiten (§§ 42 Abs. 4 und 43 Abs. 4 BDSG). Der Schadensersatzanspruch aus Art. 82 DSGVO ist losgelöst von der Meldepflicht zu sehen – auch bei nicht meldepflichtigen Vorfällen kann je nach Einzelfall ein Schadensersatzanspruch nach Art. 82 DSGVO in Frage kommen.
Nach der Meldung eines Datenschutzvorfalls ist es durchaus möglich, dass ein Schadensersatzanspruch nach Art. 82 DSGVO gelten gemacht wird. Da dieser Anspruch neben einem Verschulden der verantwortlichen Stelle aber einen Schaden des Betroffenen voraussetzt, wird ein entsprechend relevanter Verstoß der betroffenen Person voraussichtlich ohnehin nicht verborgen bleiben. Zudem liegt eine umfassende Information der betroffenen Person in der Regel auch im Interesse der verantwortlichen Stelle, um den Schaden so gering wie möglich zu halten.