Drohende Strafverfolgung nach der Meldung von Datenpannen: Was zu beachten ist

PrintMailRate-it

veröffentlicht am 3. Dezember 2018 / Lesedauer: ca. 4 Minuten; Autoren: Alexander Theusner, Johannes Marco Holz, Maximilian S. Dachlauer
 
Nach Art. 33 DSGVO muss der Verantwortliche Datenpannen unverzüglich, spätestens aber innerhalb von 72 Stunden mit wenigen Ausnahmen der Aufsichtsbehörde melden. Dabei kann es sein, dass sich natürliche Personen der Strafverfolgung aussetzen, wenn nicht besonders sorgfältig mit den gemachten Angaben umgegangen wird. Es zeigt sich, dass mit größter Vorsicht vorgegangen werden sollte und die Meldung über einen Rechtsanwalt besondere Vorteile bietet.
  

     

  

Meldepflichten nach der DSGVO und dem BDSG

Die DSGVO (Art. 33 DSGVO), das BDSG (§ 65 BDSG) und die Landesdatenschutzgesetze (z.B. Art. 33 BayDSG im Anschluss an Art. 33 DSGVO) enthalten Meldepflichten im Falle einer erkannten Verletzung des Schutzes personenbezogener Daten. Im Vordergrund für die Privatwirtschaft stehen die Regelungen der DSGVO, da das BDSG und die Landesdatenschutzgesetze insoweit nur Bestimmungen für den öffentlichen Sektor treffen.
 

Zunächst kann nicht immer trennscharf ermittelt werden, ob eine Meldepflicht vorliegt. Ausführliche Informationen hierzu finden Sie in unserem früheren Artikel aus der Artikelserie. Auch die Mindestinhalte einer solchen Meldung haben wir bereits dort beschrieben.
 

Strafbarkeit und Strafverfolgung von Datenschutzverstößen

Was bei der Behandlung von Datenpannen jedoch vielfach übersehen wird, ist, dass es sich bei der rechtswidrigen Verarbeitung personenbezogener Daten auch um eine Straftat handeln kann (vgl. § 42 BDSG oder z.B. Art. 23 BayDSG).
 

Die Strafandrohungen sind keineswegs unerheblich. So können nach § 42 BDSG Freiheitsstrafen von bis zu 2 Jahren, in gewerbsmäßigen Fällen bis zu 3 Jahren verhängt werden. § 42 BDSG ist für alle tatbestandsmäßigen Datenschutzverstöße, also auch für Fälle im öffentlichen Sektor, anwendbar. Die Strafbarkeit von Datenschutzverstößen tritt übrigens neben die mögliche Verhängung eines Bußgeldes.
 

Bei § 42 BDSG handelt es sich um ein sog. „echtes Antragsdelikt”. Das heißt, die Staatsanwaltschaft kann nur auf Antrag und nicht von Amts wegen tätig werden. Jedoch ist der Kreis der Antragsberechtigten nach § 42 Abs. 3 BDSG mit betroffenen Personen, dem Verantwortlichen, die oder dem Bundesbeauftragten und der Aufsichtsbehörde relativ weit gefasst.
 

Vor dem Hintergrund der umfassenden Benachrichtigungspflicht nach Art. 34 DSGVO (vgl. auch hierzu unseren bereits veröffentlichten Artikel zu Datenpannen), muss infolge des im Einzelfall unter Umständen sehr großen Kreises antragsberechtigter Personen daher von einem realen Strafverfolgungsrisiko ausgegangen werden.
 

Meldepflicht und Selbstbelastung im Strafverfahren

Es stellt sich die Frage, wie eine datenschutzrechtliche Meldepflicht mit den Grundregeln eines fairen Strafverfahrens in Einklang zu bringen ist.
 

Auf den ersten Blick könnte man meinen, dass es sich dabei um einen Verstoß gegen das sog. Verbot der Pflicht zur Selbstbelastung bzw. -anklage handelt (nemo tenetur se ipsum accusare). Das wird unter anderem aus der grundrechtlichen Garantie der Menschenwürde und dem daraus folgenden allgemeinen Persönlichkeitsrecht abgeleitet und bildet einen zentralen Grundsatz im Strafverfahrensrecht.
 

Der Gesetzgeber hat diesen Konflikt in § 42 Abs. 4 BDSG bereits berücksichtigt. Demnach darf eine Meldung nach Art. 33 DSGVO oder eine Benachrichtigung nach Art. 34 DSGVO in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden. Regelmäßig wird eine solche Zustimmung wohl niemand erteilen.
 

Effektivität eines Verwendungsverbotes

Es handelt sich bei § 42 Abs. 4 BDSG um ein weitgehendes Verwendungsverbot und nicht lediglich um ein Verwertungsverbot. Ein Verwertungsverbot verbietet die Verwertung als Beweise im Strafprozess. Verwen­dungs­verbot bedeutet, dass die aus einer Meldung oder Benachrichtigung erlangten Informationen noch nicht einmal als Anknüpfungstatsachen für weitere strafrechtliche Ermittlungen verwendet werden dürfen. Soweit Aufsichts- oder Strafverfolgungsbehörden allerdings auf anderen Wegen Beweise gegen die verfolgte Person erlangen, können sie sie zur Strafverfolgung nutzen.
 

Es sind damit Zweifel angebracht, ob das Verwendungsverbot des § 42 Abs. 4 BDSG handelnde Personen im Fall der Fälle wirklich effektiv schützt. Denn oft lässt sich nur schwer nachvollziehen und belegen, wie Strafverfolgungsbehörden zu bestimmten Erkenntnissen gelangt sind. Der Beleg einer Erkenntniskette geht noch einen Schritt weiter, da er die Privilegierung aller nachfolgend gewonnenen Informationen bedeutet. Er gelingt in der Praxis noch seltener, zumal die zeitliche Abfolge von Erkenntnissen der Strafverfolgungsbehörden letztlich alleine darüber entscheidet, ob Informationen im Strafverfahren gegen eine Person verwendet werden dürfen.
 

Fazit – Vorteile anwaltlicher Beratung

Aufgrund des Vorgenannten kann nur empfohlen werden, bei der Meldung von Datenpannen anwaltliche Unterstützung in Anspruch zu nehmen. Anders als nichtanwaltliche Datenschutzberater ist der Rechtsanwalt aufgrund seiner Stellung als Organ der Rechtspflege umfassend vor dem Zugriff von Strafverfolgungsbehörden geschützt. Dem Rechtsanwalt können daher auch belastende Beweistatsachen bedenkenlos offenbart werden. Er kann aufgrund seiner Stellung ggfs. Akteneinsicht bei der Staatsanwaltschaft beantragen und auf diese Weise den Ermittlungsstand vor einer Meldung/Benachrichtigung dokumentieren.
 

Mit einer fundierten Beratung kann genau geprüft und entschieden werden,
  • ob überhaupt eine Meldepflicht vorliegt
  • ob eine Benachrichtigungspflicht besteht und, wenn das der Fall ist,
  • welche Informationen zur Vermeidung von Schäden für Betroffene an die Aufsichtsbehörde im Wege einer Meldung bzw. an Betroffene direkt im Wege einer Benachrichtigung weitergegeben werden.
     

Dabei muss nicht immer preisgegeben werden, wer die handelnden (natürlichen) Personen waren. Denn der Zweck einer Meldung bzw. einer Benachrichtigung kann im Einzelfall auch ohne die Weitergabe von Informationen erfüllt werden, welche den Rückschluss auf natürliche Personen beim Verantwortlichen ermöglichen.
 

Im Einzelfall wird somit den datenschutzrechtlichen Anliegen Rechnung getragen, ohne dabei einzelne Personen dem unnötigen Risiko einer Strafverfolgung auszusetzen.
 

Kontakt

Contact Person Picture

Johannes Marco Holz, LL.M.

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)

Partner

+49 911 9193 1511

Anfrage senden

Profil

Contact Person Picture

Carina Richters

Rechtsanwältin, Compliance Officer (TÜV)

Manager

+49 221 949 909 206

Anfrage senden

Wir beraten Sie gern!

Mehr lesen?

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu