DSGVO - BDSG - TTDSG

Art. 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

Mit der Norm korrespondiert der Erwägungsgrund 50.

Literatur: Frey/Pelz (Hrsg.), Beck’scher Online Kommentar GwG, München, 7. Edition 2021; Gomille, Aktuelles zum datenschutzrechtlichen Auslistungsanspruch, ZUM 2020, 123; Jarass, Charta der Grundrechte der EU, 3. Aufl., München 2016; Martini/Wagner/Wenzel, Das neue Sanktionsregime der DSGVO – ein scharfes Schwert ohne legislativen Feinschliff, VerwArch 2018, 296; Merten/Papier (Hrsg.), Handbuch der Grundrechte, Band IV; Grundrechte in Deutschland – Einzelgrundrechte I, München 2011; Nolde, Sanktionen nach DSGVO und BDSG-neu: Wem droht was warum?, PinG 2017, 114; Nolde, Die Privatwirtschaft als „Bundesbotnetz“ der Strafverfolgungsvorsorge?, in: Taeger (Hrsg.), IT und Internet – mit Recht gestalten, Edewecht 2012, S. 791; Stief, Die Richtlinie (EU) 2016/680 zum Datenschutz in der Strafjustiz und die Zukunft der datenschutzrechtlichen Einwilligung im Strafverfahren, StV 2017, 470; Wolters, Das Gesetz zur Einführung eines Wettbewerbsregisters, KriPoz 2017, 244.

Übersicht

I. Überblick

1

Art. 10 DSGVO trägt dem Umstand Rechnung, dass Reputation, Diskriminierungsrisiken und Resozialisierungsaussichten einer Person in besonderer Weise von einem Strafmakel tangiert werden können. Das Recht des Einzelnen, „grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen“ und zu entscheiden, wer was über ihn weiß, ist daher in diesem Kontext besonders schutzwürdig.

2

Die Regelung des Art. 10 DSGVO ist weitgehend bereits aus Art. 8 Abs. 5 der Richtlinie 95/46/EG (DSRl) vertraut, allerdings mit Detail-Unterschieden in der Reihenfolge der Trias („Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln“) und graduellen Abstufungen bei der Formulierung der Garantien (zuvor „angemessene“, nunmehr „geeignete“). Allein in Bezug auf „Strafurteile“ ergibt sich die besondere Sensitivität auch bereits aus Art. 6 Satz 2 der Europäischen Datenschutzkonvention. Das Risikopotenzial ist zudem an mehreren Stellen der DSGVO anerkannt, wobei – etwa im Kontext der Folgenabschätzung, Art. 35 Abs. 3 lit. b DSGVO – jeweils auf Art. 10 DSGVO Bezug genommen wird.

3

In Entwurfsfassungen der DSGVO wurde die nunmehr in Art. 10 DSGVO aufgenommene Regelung noch als besondere Kategorie i.S.d. Art. 9 DSGVO gewertet. Anders als bei Art. 9 DSGVO wird nun aber kein generelles Verarbeitungsverbot mit Ausnahmekatalog mehr statuiert. Vielmehr ist in Art. 10 DSGVO als Grundsatz ein Vorbehalt behördlicher Aufsicht vorgesehen, der zusätzlich neben die materiell-rechtliche gesetzliche Grundlage der Verarbeitung tritt.1 Letzteres ergibt sich aus dem Verweis auf Art. 6 Abs. 1 DSGVO. Im Fall umfassender Register (Satz 2) ist für diesen Vorbehalt auch keine Ausnahme vorgesehen.

4

Angesichts der auch im Strafrecht zunehmenden „Privatisierungstendenzen“ ist die Inpflichtnahme und proaktive Mitwirkung der Privatwirtschaft im Bereich der Strafverfolgung bzw. im Vorfeld der sog. Strafverfolgungsvorsorge2 von immer größerer praktischer Bedeutung. Dabei stellen sich auch verfassungsrechtliche Fragen des Staatsorganisationsrechts und der unmittelbaren Drittwirkung von Grundrechten beim Umgang mit personenbezogenen Daten.

5

Trotz der großen Bedeutung des Datenschutzrechts in diesem Kontext liefert die DSGVO durch Art. 10 DSGVO keinen Fortschritt und Zugewinn an Rechtssicherheit. Dazu bleiben zu viele konkrete Fragen zur Reichweite des Art. 10 DSGVO offen. Nahezu jede Facette ist umstritten. Eine so extensive Lesart, dass auch bereits nicht-hoheitliche Compliance-Maßnahmen und interne Ermittlungen i.S.d. § 26 Abs. 1 Satz 2 BDSG erfasst wären, drängt sich jedenfalls nicht auf und wird auch bislang kaum vertreten, selbst wenn dies bei konsequenter Anwendung der jeweiligen Position schlüssig erschiene.3

6

Vereinzelt sehen Gesetze, die natürliche und juristische Personen zur Verarbeitung personenbezogener Daten im Sinne des Art. 10 DSGVO verpflichten, inzwischen bereichsspezifische Regelungen vor, etwa in § 11a GwG4 oder § 4e FinDAG. Konkrete Regelungen sind jedoch bislang allenfalls Lichtblicke, die kontrastierend aufzeigen, wie dringend der Gesetzgeber bei Inpflichtnahmen der Privatwirtschaft zur Unterstützung der Strafverfolgung entstehende Pflichtenkollisionen sehen und auflösen müsste. Als erheblich defizitär ist hier exemplarisch das NetzDG mit seinen stetig wachsenden Anforderungen zu nennen.

7

Zwischenzeitlich ergangene Rechtsprechung, die auf Art. 10 DSGVO Bezug nimmt, bestätigt seine große Bedeutung in aktuellen Fragestellungen. So war die Norm u.a. in Entscheidungen zum Recht auf Vergessenwerden relevant im Rahmen der erwarteten Herstellung praktischer Konkordanz auch durch private Akteure. Dies zeigte sich etwa beim Umfang der Auslistungspflicht von Suchmaschinenbetreibern.5 Ein anderes Beispiel ist die Sicherstellung zugriffserschwerender Schutzmaßnahmen als Anspruchsvoraussetzung, wenn ein Auskunftsanspruch sich auf derart sensitive Daten bezieht.6 Teilweise ergeben sich aus den Urteilen über den konkreten Gegenstand hinaus zudem mehr Fragen als Antworten zur Systematik und Anwendung des Art. 10 DSGVO.7

II. Gegenstand der personenbezogenen Daten

8

Die praktische Relevanz des Art. 10 DSGVO hängt naturgemäß maßgeblich von der Reichweite des Regelungsgegenstands ab. Vergleichsweise klar sind dabei noch die Alternativen „strafrechtliche Verurteilung“ (Alt. 1) und „Sicherungsmaßregel“ (Alt. 3).

9

Eine „strafrechtliche Verurteilung“ liegt in der „staatlichen (verbindlich wertenden) Feststellung der Normverletzung“.8 Auch an dieser Stelle wirkt sich allerdings der unzureichende strafrechtliche Harmonisierungsgrad aus. Abgemildert wird dies, soweit nach einer Ansicht auch Ordnungswidrigkeiten i.S.d. OWiG als Straftat i.S.d. Art. 10 GG erfasst sein sollen und ein Bußgeldbescheid als Verurteilung gelten soll, obwohl dabei der sozialethische Unrechtsvorwurf fehlt.9 Allerdings ist die Einbeziehung von Ordnungswidrigkeiten umstritten und die sie verneinende Gegenauffassung kann den Wortlaut des Art. 10 DSGVO für sich beanspruchen.10

10

Als „Sicherungsmaßregeln“ sind gem. § 61 StGB („Besserung und Sicherung“) die Unterbringung in einem psychiatrischen Krankenhaus, die Unterbringung in einer Entziehungsanstalt, die Unterbringung in der Sicherungsverwahrung, die Führungsaufsicht, die Entziehung der Fahrerlaubnis und das Berufsverbot zu nennen.

11

Eine Beschränkung auf rechtskräftige Entscheidungen enthält Art. 10 DSGVO nicht.

12

Mehr Diskussionspotenzial bietet hingegen die zwischen diesen Alternativen eingebettete Formulierung „Verarbeitung personenbezogener Daten über Straftaten“. Bei isolierter Betrachtung könnte dieser Wortlaut zum einen auch Zeugen – und insbesondere Verletzte – einer Straftat erfassen, deren personenbezogene Daten ebenfalls sensitiv und erhöht schutzbedürftig sein könnten. Die Einbettung zwischen Verurteilungen und Sicherungsmaßregeln wie auch die Rückführung auf Art. 6 Satz 2 der Europäischen Datenschutzkonvention sprechen jedoch bei intrasystematischer Auslegung für eine beschuldigtenzentrierte Auslegung.

13

Auch könnte die genannte isolierte Lesart der „Straftaten“-Alternative zu einer Heranziehung des Art. 10 DSGVO bereits für Datenverarbeitungen in bloßen Verdachtslagen – durch die öffentliche Hand, aber auch durch die Privatwirtschaft – führen. Die praktische Relevanz des Art. 10 DSGVO auch für Compliance-Aktivitäten bestimmt sich deshalb maßgeblich danach, ob Verdachtsmomente ihrerseits bereits in den Schutz des Art. 10 DSGVO einbezogen werden.

14

Nach einer Ansicht soll die gesonderte Nennung von „Straftaten“ primär dafür sorgen, dass beispielsweise auch Fälle schuldloser Begehung, die nicht zu einem Urteil führen, erfasst sind. Nach anderer Ansicht soll Art. 10 DSGVO aber durchaus auch schon in einem Urteil vorgelagerten Stadien des Strafverfahrens, insbesondere im Ermittlungsverfahren, durchaus bereits greifen, allerdings nur dann, wenn eine Straftat zumindest bereits „vorläufig hoheitlich festgestellt“11 sei. Eine solche Feststellung könne auch dann fortwirken, wenn es nicht zu einer Verurteilung oder Maßregel komme. Verneint wird die Heranziehung hingegen im privaten (Compliance-)Bereich.12

15

Dabei ist allerdings nicht einleuchtend, warum beispielsweise die in einer internen Ermittlung getroffenen Erkenntnisse eines strafrechtlich relevanten Verhaltens den Betroffenen signifikant weniger belasten sollen als die hoheitliche Einleitung eines Ermittlungsverfahrens, obwohl § 26 Abs. 1 Satz 2 BDSG und § 152 Abs. 2 StPO sich im Verdachtsgrad annähern. Die Sensitivität des Vorwurfs könnte hier vielmehr für eine Gleichbehandlung sprechen. Die Rechtsprechung des EuGH legt in der Tat eine extensive Anwendung nahe.13

16

Demgegenüber steht allerdings die dominierende Unschuldsvermutung letztlich der Subsumption unter den Terminus „Straftat“ entgegen. Hinreichende Trennschärfe und Orientierung am Wortlaut bietet somit nur die restriktivere Ansicht, die vermutete Straftaten von Art. 10 DSGVO ausnehmen und nur den allgemeinen Regeln der DSGVO unterwerfen will.

III. Verarbeitung nur unter behördlicher Aufsicht (Satz 1 Alt. 1)

17

Orientiert am nationalen verwaltungsverfahrensrechtlichen Behördenbegriff des § 1 Abs. 4 VwVfG ist eine Behörde jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt. Die behördliche Aufsicht muss sich speziell auf die genannte Datenverarbeitung beziehen und soll sich nicht in der allgemeinen Aufsicht – z.B. der Gewerbe- oder Bankenaufsicht – erschöpfen.14

18

Der Anwendungsbereich des Art. 10 DSGVO wird allerdings ohnehin maßgeblich dadurch reduziert, dass von Strafverfolgungs- und Polizeibehörden vorgenommene Datenverarbeitungen über Straftaten über die Richtlinie 2016/680 erfasst und nicht von der DSGVO geregelt werden, vgl. Art. 2 Abs. 2 lit. d DSGVO.15

IV. Zulässigkeit nach dem Unionsrecht oder dem Recht der Mitgliedstaaten (Satz 1 Alt. 2)

19

Art. 10 Satz 1 DSGVO sieht neben dem Vorbehalt eine Öffnungsklausel vor, die zusätzlich zum Unionsrecht auch den Mitgliedstaaten Raum zur Regelung lässt.

20

In der Kommentarliteratur wird u.a. auch § 26 Abs. 1 Satz 2 BDSG genannt.16 Soweit der Gegenstand des Art. 10 DSGVO allerdings – wie hier – wortlautorientiert so eng gefasst wird, dass es bereits einer hoheitlichen Feststellung bedarf, erscheint ein Überschneidungsbereich mit § 26 Abs. 1 Satz 2 BDSG (Verarbeitung personenbezogener Beschäftigtendaten „zur Aufdeckung von Straftaten“) fraglich. Denn wenn noch Verarbeitungen „zur Aufdeckung von Straftaten“ erforderlich sind, wird die Stufe einer hoheitlichen Feststellung regelmäßig noch nicht erfolgt sein. Soweit demgegenüber z.B. nach Vorlage und Prüfung des Führungszeugnisses Vorstrafen verarbeitet werden, liegt § 26 Abs. 1 Satz 1 BDSG als Grundlage näher.17 Ob diese – im Vergleich zu Alt. 1 Satz 2 im Wortlaut nahezu voraussetzungslose – Regelung bereits „geeignete Garantien“ i.S.d. Art. 10 DSGVO enthält, muss allerdings bezweifelt werden.

V. Voraussetzungen eines „umfassenden Registers der strafrechtlichen Verurteilungen“ (Satz 2)

21

Ohne Ausnahme ausschließlich unter behördlicher Aufsicht darf ein „umfassendes Register“ geführt werden. In diesem Sinne „umfassend“ ist eine Zusammenführung aller strafrechtlichen Verurteilungen, die noch nicht tilgungsreif (§§ 45ff. BZRG) sind.18 Das ausgehend von §§ 1, 3 und 4 BZRG diesen Voraussetzungen genügende Bundeszentralregister wird durch das Bundesamt für Justiz geführt. Die Anforderungen des Art. 10 DSGVO sind erfüllt, da nicht nur eine behördliche Aufsicht vorliegt, sondern die Führung durch eine Behörde selbst erfolgt. Noch engere Privatisierungsschranken als Art. 10 DSGVO aufstellt, können sich im deutschen Recht überdies ohnehin aus dem Funktionsvorbehalt des Art. 33 Abs. 4 GG ergeben.19

22

Dass bereichsspezifische Register – wie die ursprünglich auf Landesebene eingeführten Korruptionsregister, inzwischen das beim Bundeskartellamt entstehende bundesweite Wettbewerbsregister – unter Art. 10 DSGVO fallen, ist bei deliktsspezifisch beschränkten Eintragungsvoraussetzungen zweifelhaft.20 Ohnehin werden auch diese Register hoheitlich geführt oder entsprechend eingerichtet. Diskutiert wird jedoch bereits, inwieweit sich Auftraggeber bzw. Vergabestellen bei der Verarbeitung entsprechender Eintragungen an Art. 10 DSGVO messen lassen müssen. § 12 der Wettbewerbsregisterverordnung (WRegV) sieht bislang nur vor, dass Daten „bei Datenübermittlungen an oder durch die Registerbehörde ... vor einem unbefugten Zugriff Dritter geschützt sein“ müssen. Den umfassenden datenschutzrechtlichen Fragestellungen und Risiken im Zusammenhang mit dem Register wird dies nicht gerecht.

VI. Sanktionsrisiko

23

Bei der Durchsicht von Art. 83 Abs. 4 und 5 DSGVO fällt auf, dass Art. 10 DSGVO von keinem der beiden Absätze aufgegriffen wird. Somit bliebe ein Verstoß gegen den Behördenvorbehalt sanktionslos, wenn die Voraussetzungen des Art. 6 DSGVO eingehalten und nur gegen die zusätzlichen Anforderungen des Art. 10 GG verstoßen wird. Zwar überrascht diese Ausnahme angesichts der Sensitivität der Daten i.S.d. Art. 10 DSGVO, zumal Art. 9 DSGVO über Art. 83 DSGVO sanktionsbewehrt ist. Art. 10 DSGVO ist allerdings auch nicht im Corrigendum in die Sanktionsnormen aufgenommen worden, das am 19.4.2018 veröffentlicht wurde.21 Somit drängt sich nicht (mehr) auf, dass es sich um ein reines Versehen handelt.22

24

Eine Sanktion kommt aber zum einen im Fall eines Verstoßes gegen eine auf die Voraussetzungen des Art. 10 GG bezogene aufsichtsbehördliche Weisung in Betracht, wenn sodann auch diese nicht erfüllt wird.23 Auch ist eine Straftat gem. § 42 BDSG nicht fernliegend, beispielsweise wenn Daten über strafrechtliche Verurteilungen ohne behördliche Aufsicht von speziellen Auskunfteien zum kostenpflichtigen Abruf bereitgehalten werden. Jedenfalls insoweit ist der Adressatenkreis dann auch nicht mehr auf Verantwortliche und Auftragsverarbeiter beschränkt.

1 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 10 Rn. 2. 2 Nolde, in: Taeger, IT und Internet, S. 791. 3 Gola, in: Gola, DS-GVO, Art. 10 Rn 5. 4 Zum Regelungszweck etwa Brian, in: BeckOK GwG, § 11a Rn. 1. 5 EuGH, Urt. v. 24.9.2019 - C-136/17 und C-507/17; LG Dortmund, Beschl. v. 26.8.2020 – 12 O 71/20. 6 BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, GWR 2019, 450. 7 Gomille, ZUM 2020, 123, 125: Verweis auf den Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO „jedenfalls für Fälle des Art. 10 DSGVO gesetzessystematisch überraschend“. 8 Enders, in: Merten/Papier, Handbuch der Grundrechte, Band IV, § 89 Rn. 81. 9 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 10 Rn. 1. 10 Schiff, in: Ehmann/Selmayr, DS-GVO, Art. 10 Rn. 4; Kampert, in: Sydow, EU-Datenschutzgrundverordnung, Art. 10 Rn. 4. 11 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 10 Rn. 3. 12 Gola, in: Gola, DS-GVO, Art. 10 Rn 5. 13 EuGH, Urt. v. 24.9.2019 – C-136/17. 14 Kampert, in: Sydow, EU-Datenschutzgrundverordnung, Art. 10 Rn. 5. 15 Zum Verhältnis zwischen dieser Richtlinie und der DSGVO Stief, StV 2017, 470, 472. 16 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 10 Rn. 20. 17 Zum Verhältnis zwischen Abs. 1 Satz 1 und Satz 2 der Norm zum Beschäftigtendatenschutz: BT-Drs. 16/13657, S. 21, sowie aktuelle Rechtsprechung, u.a. BAG, Urt. v. 27.7.2017 – 2 AZR 681/16, K&R 2017, 745. 18 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 10 Rn. 11, der zudem auf § 72a SGB VIII und § 25 JArbSchG verweist, die ein Tätigkeitsverbot im Fall einer Verurteilung absichern. 19 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 10 Rn. 10. 20 Zu strafmaßabhängigen und strafmaßunabhängigen Katalogen Wolters, KriPoz 2017 https://kripoz.de/2017/07/17/das-gesetz-zur-einfuehrung-eines-wettbewerbsregisters/. 21 http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf, vgl. dort zu anderen Änderungen des Art. 83 DSGVO S. 64/65. 22 Nolde, PinG 2017, 114, 115. 23 Martini/Wagner/Wenzel, VerwArch 2018, 296, 316.

Art. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

(1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.

(2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.

Mit der Norm korrespondiert der Erwägungsgrund 57.

Literatur: Wójtowicz/Cebulla, Anonymisierung nach der DSGVO, PinG 2017, 186.

Übersicht

I. Allgemeines

1

Die Regelung des Art. 11 DSGVO stellt im systematischen Vergleich zu vorherigen datenschutzrechtlichen Regelungen ein Novum dar.1 Ausgangslage der Norm ist der Umstand, dass ein Verantwortlicher zwar Informationen verarbeitet, die sich auf eine identifizierbare natürliche Person beziehen, der Verantwortliche selbst jedoch nicht in der Lage ist, den Bezug zu einer konkreten Person herzustellen. In diesem Falle soll der Verantwortliche nicht zum bloßen Zwecke der Erfüllung datenschutzrechtlicher Vorschriften weitere Informationen betroffener Personen verarbeiten (ErwG 64).

1. Gesetzeszweck

2

Sinn und Zweck der Regelung erschließen sich erst im Zusammenspiel mit den Pflichten des Verantwortlichen nach Art. 15 bis 20 DSGVO und unter Berücksichtigung der grundsätzlichen Ziele der DSGVO, namentlich der Stärkung der Betroffenenrechte, der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO sowie der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO.2

3

Der Verantwortliche, der für eine Verarbeitung keinen Personenbezug benötigt, soll diesen Personenbezug nicht allein deshalb aufrechterhalten oder herstellen, um den Betroffenenrechten nachkommen zu können.3 Der Verantwortliche wird von seinen Pflichten aus Art. 15 bis 20 DSGVO befreit, sofern er den Nachweis erbringen kann, dass er die betroffene Person bei einer Verarbeitung nicht identifizieren kann und die betroffene Person, sofern möglich, hiervon unterrichtet. Damit dient diese Regelung sowohl den Interessen des Verantwortlichen als auch den Interessen der betroffenen Personen.4 Der Verantwortliche wird zum einen vor einem unnötigen Aufwand hinsichtlich der Verarbeitung weiterer Daten und der Erfüllung umfassender datenschutzrechtlicher Vorschriften und Pflichten geschützt, während zum anderen die betroffenen Personen davor bewahrt werden, dass weitere personenbezogene Daten allein aus dem Grund verarbeitet werden, um Betroffenenrechte zu erfüllen. Art. 11 DSGVO schafft folglich Anreize, Mittel und Wege der Datenverarbeitung zu finden, die keine Identifizierung der betroffenen Personen notwendig machen.5