Читать книгу DS-GVO/BDSG - David Klein - Страница 619
ОглавлениеArtikel 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
1Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. 2Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.
Kommentierung
A.Einordnung und Hintergrund1, 2
B.Kommentierung3 – 11
I.Daten zur strafrechtlichen Verurteilung und Straftaten3
II.Erlaubnistatbestände4 – 11
2.Regulierung5 – 9
A. Einordnung und Hintergrund
1
Die Zulässigkeit der Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen basiert auf Art. 8 der Europäischen Datenschutzkonvention 108, die personenbezogene Daten über Strafurteile unter besonderen Schutz stellt. Bereits die EU-Datenschutzrichtlinie (DSRL) 95/46/EG hatte in Art. 8 Abs. 5 formale Regelungen hinsichtlich der Verarbeitung von Daten über Straftaten, strafrechtliche Verurteilungen und Sicherungsmaßregeln. Im Vergleich zu Art. 10 ist festzustellen, dass dieser nicht die Ausnahme aus Art. 8 Abs. 5 S. 1 letzter Hs. DSRL enthält, wonach es möglich war vom Grundsatz der behördlichen Aufsicht durch eine behördliche Entscheidung abzuweichen.[1] Diese Daten waren nicht in § 3 Abs. 9 BDSG a.F. als besonderer Art personenbezogener Daten erfasst, gleichwohl ist die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten für die betroffenen Personen i.d.R. als höchst sensibel einzustufen. Dieser Sensibilität wurde in der Rechtsprechung, bspw. bei der Frage nach der Speicherdauer über Straftaten in Pressearchiven[2], Ausdruck verliehen. Ebenso findet sich im deutschen Recht mit dem Bundeszentralregistergesetz (BZRG) eine Spezialregelung für die Speicherung von strafrechtlichen Verurteilungen und Straftaten.[3] Das Bundeszentralregister wird nach § 1 Abs. 1 BZRG durch das Bundesamt für Justiz geführt.
2
Nicht zum Anwendungsbereich des Art. 10 gehören Register oder Datenbanken der „zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“. Diese Daten unterfallen der Richtlinie (EU) 2016/680, der sogenannten Polizei- oder auch JI-Richtlinie. Die zuständigen Behörden sind in Art. 3 Nr. 7 der JI-Richtlinie definiert und umfassen primär die Behörden der Strafjustiz wie Staatsanwaltschaften, Polizei und Justizvollzugsbehörden aber auch sonstige Stellen oder Einrichtungen, denen die Ausübung öffentlicher Gewalt und hoheitliche Befugnisse im Zusammenhang mit Strafjustiz übertragen wurde.[4] Gemäß ErwG 11 der JI-Richtlinie unterfallen auch Auftragsverarbeiter den Regelungen der JI-Richtlinie, wenn durch diese personenbezogene Daten in ihrem Anwendungsbereich verarbeitet werden.
B. Kommentierung
I. Daten zur strafrechtlichen Verurteilung und Straftaten
3
Satz 1 erfasst drei Sachverhalte: Strafrechtliche Verurteilungen, Straftaten und Sicherungsmaßregeln. Die Begriffe „strafrechtliche Verurteilungen“ und „Sicherungsmaßregeln“ sorgen in der Literatur weniger für Diskussion als der Begriff der „Straftat“. Im Allgemeinen versteht man unter der strafrechtlichen Verurteilung die staatliche, verbindlich wertende, Feststellung einer Normverletzung.[5] Sicherungsmaßregeln umfassen Maßnahmen gegen Straftäter, welche allerdings keine Strafe im eigentlichen Sinne darstellen, bspw. bei Feststellung der Schuldunfähigkeit aber gleichzeitig unmittelbar vom Täter ausgehender Gefahr.[6] Aufgrund der mangelnden strafrechtlichen Harmonisierung gehen die Meinungen bei der Frage auseinander, ob auch Ordnungswidrigkeiten nach dem Ordnungswidrigkeitengesetz unter den Begriff der „Straftat“ zu subsumieren sind. Vertreter der Ansicht, dass auch Ordnungswidrigkeiten unter den Begriff fallen, argumentieren mit der europäischen Auslegung des Straftatenbegriffs. So lege der EuGH die EGMR-Rechtsprechung und die sog. „Engel-Kriterien“ seiner Beurteilung zugrunde. Danach hat der EGMR deutsche Ordnungswidrigkeiten in aller Regel als Straftat eingeordnet.[7] Vertreter der gegenteiligen Auffassung legen den Begriff „Straftat“ nach dem jeweiligen nationalen Recht aus und stützen sich dabei auf den Wortlaut des Art. 10.[8] Der bloße Verdacht einer Straftat fällt nach dem Wortlaut jedenfalls nicht unter Art. 10. Die DS-GVO will die Aufklärung des Verdachts von Straftaten oder deren Prävention nicht verbieten. So verweist ErwG 47 S. 6 darauf, dass die Datenverarbeitung zur Verhinderung von Betrug im Rahmen der Interessenabwägung des Art. 6 Abs. 1 lit. f. legitim ist und ermöglicht damit grundsätzlich die Verarbeitung für Zwecke der Compliance und der Internal Investigations.[9] Fraglich ist dabei nur, ob damit auch unternehmensinterne Register zur Dokumentation und zum Nachweis ausgesprochener Hausverboten legitimiert werden können. Hervorgerufen wird dieses Interesse der Unternehmen durch die vermehrt stattfindende organisierte Diebstahlkriminalität, bspw. in Filialen des Einzelhandels. Folgt man dem Wortlaut des Art. 10 und den Ausführungen in den Erwägungsgründen, so scheint dies dann zulässig zu sein, wenn lediglich die Erteilung eines Hausverbotes und der im Raum stehende erhärtete Verdacht dokumentiert werden. In den Anwendungsbereich des Art. 10 käme man demnach nur, wenn man strafrechtliche Verurteilungen oder Straftaten verarbeiten würde. Grundsätzlich kann Unternehmen ein anerkennenswertes berechtigtes Interesse daran zugesprochen werden, den Verdacht gegen sie begangene Delikte zu dokumentieren, entsprechende Hausverbote auszusprechen und diese auch durchzusetzen. Für diese speziellen Fallgestaltungen hat es der nationale Gesetzgeber allerdings versäumt, eine belastbarere Rechtsgrundlage für die entsprechenden Datenverarbeitungen zu schaffen.
II. Erlaubnistatbestände
1. Behördliche Aufsicht
4
Unter einer behördlichen Aufsicht ist eine regulierte Fach- und Rechtaufsicht zu verstehen. Das Verwaltungsverfahrensgesetz (VwVfG) definiert in § 1 Abs. 4 eine Behörde als „jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt“. Jedoch muss die Behörde nicht selbst die Verarbeitung vornehmen, sie führt lediglich explizit Aufsicht über die Verarbeitung der Daten nach Art. 10. Eine allgemeine Aufsicht aufgrund der Tätigkeit eines Unternehmens, bspw. Gewerbe oder Bankenaufsicht, ist deshalb unzureichend. Die Befugnis der Behörde muss sich konkret darauf beziehen, auch Maßnahmen gegen den Verantwortlichen anordnen und die Verarbeitungstätigkeiten überwachen zu können.[10] Geeignete Garantien werden für die behördliche Aufsicht in Art. 10 nicht gefordert; jedoch werden mit Blick auf die Sensibilität der Daten die Anforderungen an den technisch-organisatorischen Datenschutz nach Art. 25 hoch sein müssen.
2. Regulierung
5
Die Verarbeitung strafrechtlich Daten ist gem. Art. 10 S. 1 Hs. 2 auch nach nationalem Recht zulässig, wenn dieses geeignete Garantien für die Rechte und Freiheiten der betroffenen Person vorsieht.
6
Mit den Regelung zum Recht des Arbeitgebers gem. § 26 Abs. 1 BDSG, insb. Straftaten im Beschäftigungsverhältnis aufzuklären, setzt der Gesetzgeber die Anforderungen des Art. 10 um.[11] § 26 Abs. 5 BDSG mit der Maßgabe geeignete Maßnahmen zur Wahrung der Grundrechte und Interessen der Beschäftigten zu ergreifen, entspricht dem Erfordernis aus Art. 10 S. 1 geeignete Garantien für die Rechte und Freiheiten der Betroffenen zu schaffen.[12]
7
Auch ein Fragerecht des Arbeitgebers nach einschlägigen Vorstrafen des Bewerbers oder Mitarbeiters soll nach der Gesetzesbegründung[13] gem. § 26 Abs. 1 S. 1 BDSG zulässig sein, da insoweit Art. 10 umgesetzt werde. Die Forderung nach geeigneten Garantien in Art. 10 sei überdies durch die Verpflichtung zu geeigneten Maßnahmen bei der Beschäftigtendatenverarbeitung durch die Plicht zur Umsetzung der Grundsätze nach Art. 5 nach § 26 Abs. 5 erfüllt worden.[14]
8
Eine explizit das Arbeitsverhältnis erfassende Erlaubnisvorschrift findet sich in § 30a BZRG. Dieser befasst sich mit dem Recht eines Antragstellers auf Erteilung eines erweiterten Führungszeugnisses. Konkret sieht es § 30a Abs. 1 Nr. 2 lit. a für die „berufliche oder ehrenamtliche Beaufsichtigung, Betreuung, Erziehung oder Ausbildung Minderjähriger“ und lit. b für Tätigkeiten, ähnlich wie in lit. a, vor, die geeignet sind, Kontakt zu Minderjährigen aufzunehmen. Ebenso finden sich in den Vorschriften der Sozialgesetzbücher (SGB) diesbezügliche Regelungen; so dürfen nach § 72a SGB VIII Träger der öffentlichen Jugendhilfe für die Wahrnehmung ihrer Aufgaben in der Kinder- und Jugendhilfe keine Person beschäftigen oder vermitteln, welche rechtskräftig wegen Straftaten gegenüber Kindern nach den §§ 171, 174 bis 174c, 176 bis 180a, 181a, 182 bis 184g, 184i, 201a Abs. 3, den §§ 225, 232 bis 233a, 234, 235 oder 236 StGB verurteilt worden sind. Ein vergleichbares Beschäftigungsverbot enthält auch § 25 Jugendarbeitsschutzgesetz (JArbSchG) für Personen, die Jugendliche ausbilden, die noch nicht 18 Jahre alt sind. Eine Information des Arbeitgebers über Straftaten von Bewerbern des Bewachungsgewerbes regelt das in § 34a GewO geregelte Überprüfungsverfahren zur Zuverlässigkeitsfeststellung.[15]
9
Privatrechtlich geführte Datenbanken, bspw. in Auskunfteien oder in der Versicherungswirtschaft, in denen Informationen über Straftaten und Verurteilungen gespeichert sind, sind als Warndateien nur zulässig, wenn das Recht des Mitgliedstaats oder das Unionsrecht eine entsprechende Reglung vorsieht und diese Regelung geeignete Garantien enthält.[16]
3. Register
10
Für umfassende Register über strafrechtliche Verurteilungen gibt es nach Art. 10 S. 2 keine Öffnungsklausel. Solche Register dürfen ausschließlich unter behördlicher Aufsicht geführt werden. In Deutschland wird ein solches Register gem. § 1 Abs. 1 BZRG beim Bundesamt für Justiz in Form des Bundeszentralregisters geführt. Der Inhalt richtet sich nach § 3 BZRG. Dadurch, dass das Gesetz geeignete Garantien in Form von Auskunftsrechten und Tilgungsfristen beinhaltet[17] und das Register nicht nur von einer Behörde beaufsichtigt, sondern auch durch diese geführt wird, sind die Anforderungen des Art. 10 mehr als erfüllt.[18] Die auf Landesebene eingeführten bereichsspezifischen Korruptionsregister und das unter dem neuen Wettbewerbsgesetz entstehende bundesweite Wettbewerbsregister werden hoheitlich und unter staatlicher Aufsicht geführt[19], dass diese Register allerdings unter den Anwendungsbereich des Art. 10 fallen, kann bezweifelt werden, denn die Eintragungsvoraussetzungen sind sehr beschränkt und deliktspezifisch.[20]
11
Als umfassend kann ein Register angesehen werden, wenn es alle einer konkreten natürlichen Person betreffenden strafrechtlichen Verurteilungen zusammenträgt. Eine behördliche Aufsicht ist unbestreitbar notwendig, da die Einsichtnahme in ein solches Register für den Betroffenen zu erheblichen wirtschaftlichen, sozialen und auch beruflichen Nachteilen führt.[21]
C. Praxishinweis – Relevanz
12
Für Arbeitgeber ergeben sind durch die Vorgaben des Art. 10 keine Änderungen an den ehedem sehr restriktiven Zulässigkeitsvoraussetzungen zur Verarbeitung von Daten über Straftaten von Beschäftigten.
13
Für Auskunfteien mit strafrechtrelevanten Daten müssen Verfahren einer behördlichen Aufsicht geschaffen werden.
D. Sanktionen
14
Ein Verstoß gegen Art. 10 ist gem. Art. 83 Abs. 5 lit. a mit dem höheren Bußgeld in Höhe von bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes bedroht. Über den Grundsatz der Rechtmäßigkeit in Art. 5 Abs. 1 sind auch Verstöße gegen § 26 BDSG und spezialgesetzlicherer Regelungen gem. Art. 83 Abs. 5 lit. a bußgeldbewährt. Erfolgt eine unrechtmäßige Verarbeitung von Daten über Straftaten, so kann dies haftungsrechtliche Folgen gem. Art. 82, inkl. Ausgleichsansprüche immaterielle Schäden betreffend, auslösen.[22]
