Selbstbelastungsfreiheit bei Datenschutzvorfällen

Ein Datenschutzvorfall ist nicht nur ärgerlich, durch ihn können auch umfangreiche Meldepflichten gegenüber der Datenschutz-Aufsichtsbehörde entstehen. Welche Möglichkeiten gibt es, sich dabei möglichst wenig selbst zu belasten? Welchen Sonderweg hat der deutsche Gesetzgeber eingeschlagen, um eine Selbstbelastungsfreiheit zu gewährleisten? Inwieweit darf die Meldung einer Datenpanne vor Gericht verwendet werden? Ein Überblick!

Meldepflicht bei einem Datenschutzvorfall

Ein Unternehmen, das personenbezogene Daten gegenüber unbefugten Personen offenlegt, sie unberechtigt vernichtet, verliert oder verändert, ist unter bestimmten Voraussetzungen gemäß Art. 33 Abs. 1 Datenschutz-Grundverordnung (DSGVO) dazu verpflichtet, den Vorfall innerhalb von 72 Stunden zu melden.

Die detaillierte Meldung wird bei der zuständigen Datenschutz-Aufsichtsbehörde eingereicht (siehe unsere Adressliste für die Meldung). Die notwendige Dokumentation und Bekanntgabe der Datenpanne binden nicht nur eine Menge zeitliche Ressourcen der Mitarbeiter, sie rücken das Unternehmen auch in den Fokus der Datenschutz-Aufsichtsbehörde.

Auf der anderen Seite soll die Meldepflicht Transparenz über stattgefundene Datenschutzverletzungen schaffen. Sie erleichtert den Behörden und betroffenen Personen die Vermeidung oder Minimierung der sich aus einer Datenschutzverletzung ergebenden Folgeschäden. Die Meldepflicht dient daher der Gefahrenabwehr. Die Datenschutz-Aufsichtsbehörde ist auf Informationen der Unternehmen angewiesen, um die Einhaltung des Datenschutzes zu überprüfen und Bußgelder für Übertretungen zu verhängen.

Selbstbelastungsfreiheit und Meldepflicht im Spannungsverhältnis

Die Selbstbelastungsfreiheit findet ihren Ursprung in den Art. 1 und 2 des Grundgesetzes. Ebenfalls stellen Rechte, wie das Auskunftsverweigerungsrecht nach den §§ 55, 136 Abs. 1 S. 2 StPO eine gesetzliche Konkretisierung der Selbstbelastungsfreiheit dar. Auch im europäischen Recht findet sich der Grundsatz der Selbstbelastungsfreiheit wieder. Die Selbstbelastungsfreiheit gewährt dem Einzelnen das Recht, nicht zur eigenen Ahndung bei straf- und berufsrechtlichen Verfolgungen sowie Ordnungswidrigkeiten beitragen zu müssen.

In Gegenüberstellung zur Selbstbelastungsfreiheit ruft die Meldeverpflichtung bei Datenpannen gemäß Art. 33 Abs. 1 DSGVO ein klares Spannungsverhältnis hervor. Erwägungsgrund 87 DSGVO spricht sogar explizit davon, dass die Meldung der Datenschutzverletzung zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren Aufgaben und Befugnissen führen kann. Eine Datenschutzverletzung zu melden, gebietet es einem Verantwortlichen Tatsachen offenzulegen, die in der Strafverfolgung oder einem Bußgeld münden könnten. Insoweit gibt es gegen eine Vereinbarkeit der Meldepflicht mit der Selbstbelastungsfreiheit berechtigte Bedenken.

Die Selbstbelastungsfreiheit im Bundesdatenschutzgesetz

Um dem Konflikt zwischen Selbstbelastung und Meldepflicht zu begegnen, hat der deutsche Gesetzgeber Regelungen erlassen. Im speziellen sind dies § 42 Abs. 4 und § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG). Ersterer regelt das Strafverfahren, letzterer das Bußgeldverfahren. Nach diesen Normen dürfen Meldungen in einem späteren Straf- bzw. Ordnungswidrigkeitenverfahren gegen den Meldepflichtigen oder Benachrichtigenden nicht verwendet werden, es sei denn der Meldepflichtige oder Benachrichtigende hat seine Zustimmung gegeben.

Die genannten Regelungen des BDSG schützen allerdings nur bedingt. Denn das Verwertungsverbot erstreckt sich nur auf meldungspflichtige Inhalte. Jegliche Angaben, die gesetzlich nicht erforderlich waren, können damit gegen die natürliche oder juristische Person verwendet werden. Zudem kommt, dass Aufsichts- und/oder Strafverfolgungsbehörden, die auf anderen Wegen Beweise gegen Meldepflichtige erlangen, diese zur Strafverfolgung sowie in einem Bußgeldverfahren nutzen können. Wird der Meldepflichtige oder Benachrichtigende von einer betroffenen Person vor einem Zivilgericht auf Schadenersatz verklagt, findet das Verwertungsverbot ebenfalls keine Anwendung. Auch in einem Schadenersatzverfahren der betroffenen Person gegen das verantwortliche Unternehmen darf der Inhalt der Benachrichtigung verwertet werden.

Ob die Selbstbelastungsfreiheit auf juristische Personen (GmbH, AG, e.V. etc.) anwendbar ist, wurde bisher gerichtlich noch nicht abschließend geklärt. Einerseits deuten die Systematik des § 43 Abs. 4 BDSG und die Intention des deutschen Gesetzgebers, Unternehmen zu schützen, darauf hin. Andererseits gibt es gute Gründe, die dagegensprechen. So leitet sich das Verbot des Selbstbezichtigungszwangs vom Recht auf informationelle Selbstbestimmung ab, das bei juristischen Personen weniger ausgeprägt ist.

Wichtiger ist die Frage, ob die deutsche Regelung im Widerspruch gegen die europäische Verpflichtung (Erwägungsgrund 87 DSGVO) zur effektiven Verfolgung von Datenschutzvorfällen in Unternehmen steht. Im Falle einer gerichtlichen Klärung auf europäischer Ebene könnte sie für mit Europarecht unvereinbar angesehen werden. Wenn dies einträte, wird sich ein Unternehmen im Zuge eines im Anschluss an eine Meldung eingeleiteten Bußgeldverfahrens nicht auf das Verwertungsverbot nach § 43 Abs. 4 BDSG berufen können.

Handlungshinweise bei Datenschutzmeldung

Trotz der unsicheren Rechtslage lassen sich folgende präventive Maßnahmen jetzt schon in Ihrem Unternehmen umsetzen:

  • Machen Sie bei der Meldung nur Angaben, die gesetzlich erforderlich sind.
  • Informieren bzw. schulen Sie Ihre Mitarbeiter regelmäßig dazu, was eine Datenschutzverletzung ist und welche konkreten Präventivmaßnahmen sie ergreifen können, um das Selbstbelastungsrisiko gar nicht erst aufkommen zu lassen.
  • Erlassen Sie eine Richtlinie zum Umgang mit Datenschutzverstößen, um Fehl- und Falschmeldungen auszuschließen.
  • Lernen Sie aus eingetretenen Datenpannen und entwickeln Sie neue Vorbeugungstaktiken.
  • Bestellen Sie einen fachkundigen Datenschutzbeauftragten, der Sie bei allen schwierigen Fragen begleitet.

Fazit: Die Selbstbelastungsfreiheit steht auf wackligen Füßen

Während die DSGVO eine Selbstbelastungsfreiheit bei Datenschutzvorfällen nicht vorsieht, hat der deutsche Gesetzgeber Regelungen erlassen, die den von der EU intendierten Selbstbelastungszwang in erheblichem Maße einschränken. Ob diese Einschränkungen auch für juristische Personen gelten, ist noch nicht eindeutig geklärt. Dennoch können Unternehmen schon jetzt Maßnahmen treffen, um die Selbstbelastungsfreiheit im Falle eines Datenschutzvorfalls nicht auf die Probe stellen zu müssen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.