24.06.2020

Ordnungsgemäße Meldung einer Datenpanne – Was darf die Behörde mit den Erkenntnissen machen?

Portrait von Lasse Konrad
Lasse Konrad ist seit 2011 bei HÄRTING Rechtsanwälten in Berlin angestellt. Seit 2017 Rechtsanwalt. Schwerpunkte Datenschutz und E-Commerce.

Nicht selten kommt es zu einer Datenpanne. Meist ist diese durch manuelle Fehler im Massengeschäft verursacht und dadurch kaum zu verhindern. Meldet man dies nun der Behörde, besteht die Sorge, dass genau deshalb ein Bußgeld ins Haus flattert. Ob diese Sorge berechtigt ist, lässt sich mit dem letzten kleinen Einblick in den neuen Härting/Konrad - DSGVO im Praxistest: Ermittlungen - Bußgelder - Verfahren feststellen.

 41. Darf die Aufsichtsbehörde in einem Bußgeldbescheid Erkenntnisse verwerten, die aus der pflichtgemäßen Meldung einer Datenpanne stammen?

Nein. Meldet ein Datenverarbeiter pflichtgemäß eine Datenpanne nach Art. 33 DSGVO, dürfen die Erkenntnisse aus der Meldung nicht ohne Zustimmung des Datenverarbeiters in einem Bußgeldverfahren verwendet werden. Dasselbe gilt für den Fall einer pflichtgemäßen Benachrichtigung von Betroffenen nach Art. 34 DSGVO (§ 43 Abs. 4 BDSG).

Verwertungs- & Verwendungsverbot: § 43 Abs. 4 BDSG ist nicht nur als Verwertungsverbot, sondern – wie § 97 Abs. 1 Satz 3 InsO – als Verwendungsverbot formuliert. Daher ist nicht nur die Verwertung der Meldung oder Benachrichtigung in einem Bußgeldverfahren unzulässig. Vielmehr darf die Aufsichtsbehörde die Meldung oder Benachrichtigung auch nicht zum Anlass für weitere Ermittlungen nehmen (vgl. BGH v. 26.7.2017 – 3 StR 52/17).

Reichweite: Das Verwendungsverbot gem. § 43 Abs. 4 BDSG bezieht sich nur auf Tatsachen, die durch die Meldung oder Benachrichtigung (Art. 33 und 34 DSGVO) offenbart wurden. Verwertbar sind und bleiben alle Tatsachen, die der Datenschutzbehörde zum Zeitpunkt der Meldung oder Benachrichtigung schon bekannt waren oder die der Behörde aus anderen Quellen zu einem späteren Zeitpunkt bekannt werden, selbst wenn diese Tatsachen zugleich Bestandteil der Meldung oder Benachrichtigung sind. Auch Auskünfte, die der Datenverarbeiter der Aufsichtsbehörde freiwillig bereits vor der Meldung oder Benachrichtigung erteilt hatte, unterliegen keinem Verwendungsverbot (vgl. Werner in Fridgen/Geiwitz/Göpfert, BeckOK, Stand 15.1.2020, § 97 InsO Rz. 18).

Keine Immunität: Das Verwendungsverbot des § 43 Abs. 4 BDSG schafft keine Immunität und bedeutet daher nicht, dass Datenschutzverstöße schon dann nicht mit einem Bußgeld geahndet werde können, wenn der Datenverarbeiter seinen Verpflichtungen nach Art. 33 und 34 DSGVO nachgekommen ist. Wird der Aufsichtsbehörde ein Datenschutzverstoß auch auf anderem Wege – etwa durch die Beschwerde von Betroffenen (Art. 77 DSGVO) – bekannt, ist die Datenschutzbehörde nicht gehindert, weitere Ermittlungen anzustellen und einen Bußgeldbescheid auf die Ergebnisse dieser Ermittlungen zu stützen. Ferner ist zu beachten, dass, sofern keine oder eine verspätete Meldung Erfolg, dies ebenfalls mit einem Bußgeld geahndet werden kann. Sollte keine Meldung vorgenommen werden, weil kein oder ein nur geringfügiges Risiko für die Rechte und Freiheiten natürlicher Personen bestand, so hat eine entsprechend ausführliche Dokumentation zu erfolgen.

42. Gilt das Verwendungsverbot des § 43 Abs. 4 BDSG auch für juristische Personen?

Ja. Zwar ist das Verwendungsverbot gem. § 43 Abs. 4 BDSG für juristische Personen verfassungsrechtlich nicht zwingend vorgegeben. Der Wortlaut der Norm unterscheidet jedoch nicht zwischen natürlichen und juristischen Personen, so dass auch juristische Personen auf das Verwendungsverbot vertrauen dürfen.

Gewissenskonflikt der Selbstbezichtigung: § 43 Abs. 4 BDSG schützt den Datenverarbeiter vor einem Zwang zur Selbstbezichtigung. Nach Art. 19 Abs. 3 GG gelten die Grundrechte für juristische Personen, soweit sie ihrem Wesen nach auf diese anwendbar sind. Dies schließt nach Auffassung des Bundesverfassungsgerichts aus, dass der Schutz vor einem Zwang zur Selbstbezichtigung auch juristischen Personen zugutekommt. Jedenfalls dort, wo der Grundrechtsschutz an Eigenschaften, Äußerungsformen oder Beziehungen anknüpft, die nur natürlichen Personen wesenseigen sind, kommt eine Erstreckung des Persönlichkeitsschutzes auf juristische Personen als bloße Zweckgebilde der Rechtsordnung nicht in Betracht. Das ist umso eher der Fall, als der Grundrechtsschutz im Interesse der Menschenwürde gewährt wird, die nur natürliche Personen für sich in Anspruch nehmen können (BVerfG v. 26.2.1997 – 1 BvR 2172/96, Rz. 83).

Übertragbarkeit auf juristische Personen: Bei dem Zwang zur Selbstbezichtigung geht es nach Auffassung des Bundesverfassungsgerichts primär um die Menschenwürde. Der Zwiespalt, in den ein Zwang zur Selbstbezichtigung den Einzelnen führt, müsse vor allem aus Gründen der Menschenwürde vermieden werden. Dieser Bezug schließe eine Erstreckung auf juristische Personen aus. Eine Lage, wie sie der Zwang zur Selbstbezichtigung für natürliche Personen heraufbeschwört, könne bei ihnen nicht eintreten. Denn juristische Personen bilden ihren Willen nur durch Organe und unterliegen im Hinblick auf Straftaten oder Ordnungswidrigkeiten nur einer eingeschränkten Verantwortlichkeit (§ 30 OWiG). Werde gegen eine juristische Person eine Geldbuße nach § 30 OWiG festgesetzt, sei hiermit weder ein Schuldvorwurf noch eine ethische Missbilligung verbunden, es werde lediglich ein Ausgleich für die aus der Tat gezogenen Vorteile geschaffen (BVerfG v. 26.2.1997 – 1 BvR 2172/96, Rz. 84).

Vertrauensschutz: Dennoch steht es dem einfachen Gesetzgeber frei, auch dann Verwertungs- und Verwendungsverbote zu regeln, wenn ein solches Verbot verfassungsrechtlich nicht erforderlich ist. § 43 Abs. 4 BDSG differenziert nicht zwischen natürlichen und juristischen Personen und ist daher auch auf juristische Personen anwendbar. Ob und inwieweit dies von Art. 83 Abs. 8 DSGVO gedeckt ist (vgl. Brodowski/ Nowak in Wolff/Brink, BeckOK Datenschutzrecht, Stand 1.11.2019, § 43 BDSG, Rz. 26 f.), ist für die Praxis der Aufsichtsbehörden unerheblich, da sie an Recht und Gesetz gebunden sind und sich über geltende gesetzliche Vorschriften des nationalen Rechts nicht mit der Begründung hinwegsetzen dürfen, diese Vorschriften seien mit höherrangigem (europäischen) Recht unvereinbar (vgl. VG Hamburg v. 23.10.2019 – 17 K 203/19, UA, S. 20). Jedenfalls aber schafft § 43 Abs. 4 BDSG für juristische Personen Vertrauensschutz. Der Grundsatz des fairen Verfahrens gilt auch in Verwaltungsverfahren (Schmitz in Stelkens/Bonk/Sachs, VwVfG, 9. Aufl. 2018, § 9 Rz. 60).

Zurück