B.Kommentierung3 – 11
I.Daten zur strafrechtlichen Verurteilung und Straftaten3
II.Erlaubnistatbestände4 – 11
2.Regulierung5 – 9
C.Praxishinweis – Relevanz12, 13
A. Einordnung und Hintergrund
1
Die Zulässigkeit der Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen basiert auf Art. 8 der Europäischen Datenschutzkonvention 108, die personenbezogene Daten über Strafurteile unter besonderen Schutz stellt. Bereits die EU-Datenschutzrichtlinie (DSRL) 95/46/EG hatte in Art. 8 Abs. 5 formale Regelungen hinsichtlich der Verarbeitung von Daten über Straftaten, strafrechtliche Verurteilungen und Sicherungsmaßregeln. Im Vergleich zu Art. 10 ist festzustellen, dass dieser nicht die Ausnahme aus Art. 8 Abs. 5 S. 1 letzter Hs. DSRL enthält, wonach es möglich war vom Grundsatz der behördlichen Aufsicht durch eine behördliche Entscheidung abzuweichen.[1] Diese Daten waren nicht in § 3 Abs. 9 BDSG a.F. als besonderer Art personenbezogener Daten erfasst, gleichwohl ist die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten für die betroffenen Personen i.d.R. als höchst sensibel einzustufen. Dieser Sensibilität wurde in der Rechtsprechung, bspw. bei der Frage nach der Speicherdauer über Straftaten in Pressearchiven[2], Ausdruck verliehen. Ebenso findet sich im deutschen Recht mit dem Bundeszentralregistergesetz (BZRG) eine Spezialregelung für die Speicherung von strafrechtlichen Verurteilungen und Straftaten.[3] Das Bundeszentralregister wird nach § 1 Abs. 1 BZRG durch das Bundesamt für Justiz geführt.
2
Nicht zum Anwendungsbereich des Art. 10 gehören Register oder Datenbanken der „zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“. Diese Daten unterfallen der Richtlinie (EU) 2016/680, der sogenannten Polizei- oder auch JI-Richtlinie. Die zuständigen Behörden sind in Art. 3 Nr. 7 der JI-Richtlinie definiert und umfassen primär die Behörden der Strafjustiz wie Staatsanwaltschaften, Polizei und Justizvollzugsbehörden aber auch sonstige Stellen oder Einrichtungen, denen die Ausübung öffentlicher Gewalt und hoheitliche Befugnisse im Zusammenhang mit Strafjustiz übertragen wurde.[4] Gemäß ErwG 11 der JI-Richtlinie unterfallen auch Auftragsverarbeiter den Regelungen der JI-Richtlinie, wenn durch diese personenbezogene Daten in ihrem Anwendungsbereich verarbeitet werden.
I. Daten zur strafrechtlichen Verurteilung und Straftaten
3
Satz 1 erfasst drei Sachverhalte: Strafrechtliche Verurteilungen, Straftaten und Sicherungsmaßregeln. Die Begriffe „strafrechtliche Verurteilungen“ und „Sicherungsmaßregeln“ sorgen in der Literatur weniger für Diskussion als der Begriff der „Straftat“. Im Allgemeinen versteht man unter der strafrechtlichen Verurteilung die staatliche, verbindlich wertende, Feststellung einer Normverletzung.[5] Sicherungsmaßregeln umfassen Maßnahmen gegen Straftäter, welche allerdings keine Strafe im eigentlichen Sinne darstellen, bspw. bei Feststellung der Schuldunfähigkeit aber gleichzeitig unmittelbar vom Täter ausgehender Gefahr.[6] Aufgrund der mangelnden strafrechtlichen Harmonisierung gehen die Meinungen bei der Frage auseinander, ob auch Ordnungswidrigkeiten nach dem Ordnungswidrigkeitengesetz unter den Begriff der „Straftat“ zu subsumieren sind. Vertreter der Ansicht, dass auch Ordnungswidrigkeiten unter den Begriff fallen, argumentieren mit der europäischen Auslegung des Straftatenbegriffs. So lege der EuGH die EGMR-Rechtsprechung und die sog. „Engel-Kriterien“ seiner Beurteilung zugrunde. Danach hat der EGMR deutsche Ordnungswidrigkeiten in aller Regel als Straftat eingeordnet.[7] Vertreter der gegenteiligen Auffassung legen den Begriff „Straftat“ nach dem jeweiligen nationalen Recht aus und stützen sich dabei auf den Wortlaut des Art. 10.[8] Der bloße Verdacht einer Straftat fällt nach dem Wortlaut jedenfalls nicht unter Art. 10. Die DS-GVO will die Aufklärung des Verdachts von Straftaten oder deren Prävention nicht verbieten. So verweist ErwG 47 S. 6 darauf, dass die Datenverarbeitung zur Verhinderung von Betrug im Rahmen der Interessenabwägung des Art. 6 Abs. 1 lit. f. legitim ist und ermöglicht damit grundsätzlich die Verarbeitung für Zwecke der Compliance und der Internal Investigations.[9] Fraglich ist dabei nur, ob damit auch unternehmensinterne Register zur Dokumentation und zum Nachweis ausgesprochener Hausverboten legitimiert werden können. Hervorgerufen wird dieses Interesse der Unternehmen durch die vermehrt stattfindende organisierte Diebstahlkriminalität, bspw. in Filialen des Einzelhandels. Folgt man dem Wortlaut des Art. 10 und den Ausführungen in den Erwägungsgründen, so scheint dies dann zulässig zu sein, wenn lediglich die Erteilung eines Hausverbotes und der im Raum stehende erhärtete Verdacht dokumentiert werden. In den Anwendungsbereich des Art. 10 käme man demnach nur, wenn man strafrechtliche Verurteilungen oder Straftaten verarbeiten würde. Grundsätzlich kann Unternehmen ein anerkennenswertes berechtigtes Interesse daran zugesprochen werden, den Verdacht gegen sie begangene Delikte zu dokumentieren, entsprechende Hausverbote auszusprechen und diese auch durchzusetzen. Für diese speziellen Fallgestaltungen hat es der nationale Gesetzgeber allerdings versäumt, eine belastbarere Rechtsgrundlage für die entsprechenden Datenverarbeitungen zu schaffen.
1. Behördliche Aufsicht
4
Unter einer behördlichen Aufsicht ist eine regulierte Fach- und Rechtaufsicht zu verstehen. Das Verwaltungsverfahrensgesetz (VwVfG) definiert in § 1 Abs. 4 eine Behörde als „jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt“. Jedoch muss die Behörde nicht selbst die Verarbeitung vornehmen, sie führt lediglich explizit Aufsicht über die Verarbeitung der Daten nach Art. 10. Eine allgemeine Aufsicht aufgrund der Tätigkeit eines Unternehmens, bspw. Gewerbe oder Bankenaufsicht, ist deshalb unzureichend. Die Befugnis der Behörde muss sich konkret darauf beziehen, auch Maßnahmen gegen den Verantwortlichen anordnen und die Verarbeitungstätigkeiten überwachen zu können.[10] Geeignete Garantien werden für die behördliche Aufsicht in Art. 10 nicht gefordert; jedoch werden mit Blick auf die Sensibilität der Daten die Anforderungen an den technisch-organisatorischen Datenschutz nach Art.