Art. 33 Abs. 1 DSVGO schreibt vor, dass im Falle einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden muss (es sei denn, dass voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht).
Art. 33 Abs. 3 DSVGO gibt einen Katalog an Informationen vor, die Inhalt der Meldung an die Aufsichtsbehörde sein müssen. U.a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Der Verantwortliche muss in der Meldung nach Art. 33 DSGVO mithin darlegen, wie es zu der Datenschutzverletzung kam.
Doch die Aufsichtsbehörden sind nicht nur für die Entgegennahme der Meldungen zuständig. Gleichzeitig besteht für sie nach Art. 58 Abs. 2 lit. i DSGVO die Befugnis, eine Geldbuße nach Art. 83 DSVGO zu verhängen. Im Falle von Datenschutzverletzungen, die sich (nach der Legaldefinition in Art. 4 Nr. 12 DSVGO) auf die Vernichtung, den Verlust, die Veränderung, oder die unbefugte Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten bezieht, steht zumeist ein Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung im Raum).
Nun stellt sich für Verantwortliche oft die Frage: kann ich bedenkenlos die Meldung absetzen, ohne befürchten zu müssen, dass die übermittelten Informationen im Rahmen eines Bußgeldes gegen mich verwendet werden? Muss ich mich also selbst belasten?
Der deutsche Gesetzgeber hat diese Situation im Rahmen der Anpassung des DSGVO erkannt und eine klare Regelung in § 43 Abs. 4 BDSG getroffen: „Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden“. (Hervorhebung durch mich).
Eigentlich dürften also deutsche Aufsichtsbehörden die Informationen aus der Meldung nicht für die Einleitung eines Bußgeldverfahrens nutzen, ohne, dass die Zustimmung des meldenden Verantwortlichen vorliegt.
Doch wie interpretieren die (deutschen) Aufsichtsbehörden diese Vorschrift? Nachfolgend habe ich in einer Tabelle die Ansichten oder zumindest entsprechende Andeutungen verschiedener Datenschutzbehörden zusammengetragen.
Aufsichtsbehörde |
Aussage |
Quelle |
Art. 29 Gruppe | „… hat die Aufsichtsbehörde auch die Möglichkeit, Sanktionen wegen der versäumten Meldung oder Benachrichtigung (Artikel 33 und 34) einerseits sowie wegen fehlender (angemessener) Sicherheitsmaßnahmen (Artikel 32) andererseits zu verhängen, da es sich um zwei separate Verstöße handelt“. | Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU)2016/679, WP 250 rev.01, S. 11 |
BlnBDI | „Dagegen dürfen die durch die Meldung erhaltenen Informationen nicht dazu genutzt werden, die der Meldung zugrunde liegende Datenschutzverletzung zu sanktionieren.“ | Jahresbericht 2018, S. 24 |
HessBDI | „§ 43 Abs. 4 BDSG schränkt die Konsequenzen einer Meldung nach Art. 33 DS-GVO für ein Bußgeldverfahren ein.“ | 47. Tätigkeitsbericht, S. 178 |
LfDI BaWü | „Gemeldete Datenschutzverletzungen können demnach grundsätzlich auch im Rahmen von Ordnungswidrigkeitsverfahren und Strafverfahren gegen den die Verletzung meldenden verwendet werden.“ | 33. Tätigkeitsbericht 2016/2017, S. 17 |
HmbBfDI | „Eine Sanktionierung kam gemäß § 43 Abs. 4 BDSG aufgrund der ordnungsgemäßen Meldung nicht in Betracht.“ | 27. Tätigkeitsbericht Datenschutz 2018, S. 52 |
TLfDI | „Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“ | Pressemitteilung, Datenpanne –Bußgeld bei Meldung? Erfurt, 23.08.2019 |
BayLDA | „Was macht BayLDA mit den Meldungen? Z.Zt. keine Geldbuße bei mitgeteilten Verstößen geplant“ | Vortragsfolien von Thomas Kranig, Die DS-GVO in der Praxis – Erfahrungsbericht nach knapp einem Jahr, S. 34 |
LfD Sachsen-Anhalt | Information auf der Webseite zur Meldung einer Datenschutzverletzung:„Die Verarbeitung dient ausschließlich den Zwecken der Überprüfung der Einhaltung der Artikel 33 und 34 DS-?GVO“. | Online-Formular, Meldung einer Datenschutzverletzung, |
Man sieht, dass unter den deutschen Behörden uneinheitliche Auffassungen zu bestehen scheinen, ob Informationen aus einer Meldung für ein Bußgeldverfahren genutzt werden können.
Über weitere Hinweise freue ich mich und nehme sie gerne auf.
„Im Falle der Meldung einer Datenpanne wird seitens der Meldenden aufgrund der Regelung in § 43 Abs. 4 BDSG davon ausgegangen, dass der Sachverhalt für eine Ahndung im Bußgeldverfahren gesperrt sei, außer jener genehmige die Verwendung. Die erste Praxis im Berichtsjahr hat gezeigt, dass vor allem die Wirtschaft davon ausgeht, dass das Melden von Datenpannen von einem Bußgeldverfahren frei mache – und zwar in doppelter Hinsicht.
Richtig ist, dass eine nicht- und nicht rechtzeitige Meldung einer Datenpanne zu einem Bußgeld [i.S.d.] Art. 83 Abs. 4 DS-GVO führt.
Richtig ist aber auch, dass eine Meldung nach Art. 33 DS-GVO oder eine Benachrichtigung nach Art. 34 DS-GVO gegen den Meldepflichtigen oder Benachrichtigenden oder sein in § 52 Abs. 1 der StPO bezeichneten Angehörigen nur mit Zustimmung des meldepflichtigen oder Benachrichtigenden
verwendet werden kann.
Darüber hinaus ich gehe davon aus, dass, wenn ein Unternehmen eine Datenpanne meldet, dies nicht bedeutet, dass der dort beinhaltete Datenschutzverstoß per se nicht geahndet werden kann. Die Inhalte der Art. 33er-Meldung, die ich im Rahmen des Aufsichtsverfahrens oder eines Bußgeldverfahren selber hätte ermitteln können, kann ich im Bußgeldverfahren ahnden, sofern
sie mir bei eigener Prüfung hätten erkennbar werden können. Die in der Rechtsprechung zu § 97 Insolvenzordnung entwickelten Grundsätze sind hier heranzuziehen.“
(HBDI, 47. TB, S. 171f.)
Sehr interessante Gegenüberstellung mit einer gewissen Tendenz, aber die Frage der Europarechtskonformität von § 43 Abs. 4 BDSG bleibt …
Dagegen wird im Übrigen gerne Erwägungsgrund 87 a.E. ins Feld geführt: „Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen.“
(Englische Fassung: „Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.“)