Die Datenschutz-Grundverordnung (DS-GVO) legt Verantwortlichen zahlreiche Pflichten, insbesondere sogenannte Nachweis- bzw. Rechenschafts- und Mitwirkungspflichten, auf. Dem entgegen steht ein elementarer Grundsatz unserer Rechtsordnung: der nemo tenetur-Grundsatz, welcher die Selbstbelastungsfreiheit beschreibt. Im Zuge der Selbstbelastungsfreiheit darf niemand dazu gezwungen werden, dass er sich im Rahmen von Straf- oder Bußgeldverfahren selbst belasten muss. Fraglich ist in diesem Zusammenhang, inwiefern sich das auf die Pflichten der DS-GVO auswirken kann.
Rechenschafts- und Mitwirkungspflichten
Eine der Pflichten der DS-GVO beschreibt die Rechenschaftspflicht. Demnach muss der Verantwortliche nachweisen und belegen können, dass er sich unter anderem an die Grundsätze der Datenschutz-Grundverordnung nach Art. 5 DS-GVO und die datenschutzgerechte Verarbeitung personenbezogener Daten nach Art. 24 DS-GVO hält. Hierunter fallen unter anderem geeignete technische und organisatorische Maßnahmen, welche den Schutz bei der Verarbeitung von personenbezogenen Daten gewährleisten sollen. Neben den Pflichten aus Art. 5 und 24 DS-GVO müssen Unternehmen weiterhin ein Verzeichnis von Verarbeitungstätigen nach Art. 30 DS-GVO führen, welches der Aufsichtsbehörde ebenfalls auf Anfrage zur Verfügung gestellt werden muss.
Grund für die Rechenschaftspflichten ist vor allem, dass auf Anfrage der Aufsichtsbehörde die Unterlagen dieser zur Verfügung gestellt werden sollen, da diese ansonsten ihrer Aufsichts- und Verfolgungsaufgabe schwer nachkommen kann.
Mitwirkungspflicht nach Art. 33 DS-GVO
Neben der Rechenschaftspflicht ist in Art. 33 DS-GVO eine Melde- und Mitwirkungspflicht bei Datenschutzverstößen festgelegt. Gemäß Art. 33 DS-GVO ist der Verantwortliche bei möglichen eigenen Verstößen gegen datenschutzrechtliche Vorschriften dazu verpflichtet, diese der Aufsichtsbehörde selbstständig spätestens binnen 72 Stunden zu melden, sofern die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.
Nemo tenetur se ipsum accusare
Der Grundsatz der Selbstbelastungsfreiheit oder auch nemo tenetur-Grundsatz beschreibt wiederrum, dass niemand dazu verpflichtet ist, sich selbst anzuklagen. Der Grundsatz ist von Verfassungsrang und lässt sich unter anderem aus der Achtung der Menschenwürde, dem Rechtsstaatsprinzip, der Strafprozessordnung und dem Gesetz über Ordnungswidrigkeiten herleiten. Aufgrund dessen wird der Grundsatz als ein grundrechtsgleiches Recht verstanden.
Pflichten aus der DS-GVO vs. Grundsatz der Selbstbelastungsfreiheit
Wie vertragen sich nun aber die Pflichten aus der Datenschutz-Grundverordnung mit dem Grundsatz der Selbstbelastungsfreiheit bzw. wie viel muss ein Verantwortlicher nachweisen?
Sollte eine Aufsichtsbehörde an ein Unternehmen herantreten und Informationen anfragen, müssen Unternehmen nicht sämtliche Unterlagen übermitteln, sondern lediglich die Dokumente, welche von der Aufsichtsbehörde angefragt worden sind. Sofern eine ausführliche Dokumentation auf die Einhaltung des Datenschutzes hinweist, ist es jedoch sicherlich nicht nachteilig der Aufsichtsbehörde zu zeigen, dass dem Datenschutz im Unternehmen nachgegangen wird.
Bei Datenpannen sind Unternehmen dazu verpflichtet, die Verletzungen der Aufsichtsbehörde zu melden und selbstständig, ohne vorhergehende Anfrage, alle benötigten Informationen offen zu legen. Nach § 43 Abs. 4 BDSG ist geregelt, dass eine Meldung nach Art. 34 Abs. 1 DS-GVO in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden darf. Demnach darf die Meldung eines Datenschutzverstoßes nicht ohne Zustimmung des Meldepflichtigen zu anschließenden Bußgeldverfahren verwendet werden.
Dem gegenüber wird in Erwägungsgrund 87 der Datenschutz-Grundverordnung aufgeführt, dass die Meldung von Datenschutzverstößen zu einem Tätigwerden der Aufsichtsbehörde, im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen, führen kann. Unter die Aufgaben und Befugnisse der Aufsichtsbehörde fallen nach Art. 58 DS-GVO, neben den Untersuchungs-, Abhilfe und Genehmigungsbefugnissen, auch die Verhängung von Geldbußen.
Damit widersprechen sich die Regelungen aus § 43 BDSG und den Vorgaben aus der Datenschutz-Grundverordnung. Die Rechtslage ist dahingehend nicht klar geregelt und wirft Fragen – über die Übereinstimmung von § 43 BDSG und den Regelungen aus der DS-GVO – auf.
Präventiv vs. Repressiv
Im Hinblick auf die Aufgaben und Befugnisse der Aufsichtsbehörde unterscheidet man einerseits zwischen vorbeugenden (präventiven) Maßnahmen, wie dem Anfragen von Dokumenten im Zuge der Aufsichts- und Kontrollpflicht, und andererseits den uneingeschränkten (repressiven) Befugnissen zur Strafverfolgung bzw. Verhängung von Bußgeldern. Tritt nun eine Aufsichtsbehörde an ein Unternehmen heran und fragt Unterlagen, im Zuge ihrer Aufsichtsbefugnisse, an, muss der Verantwortliche dem ohne Einschränkungen nachkommen. Anders verhält es sich im Zuge der Strafverfolgung oder Verhängung von Bußgeldern. Hier dürfte der Grundsatz der Selbstbelastungsfreiheit greifen.
Fazit
Sollte sich nun eine Aufsichtsbehörde an Sie wenden und Dokumente oder Informationen einfordern, wird sich diese i. d. R. sehr präzise ausdrücken und genau benennen, welche Dokumente offengelegt werden sollen. Sie sollten jedoch in jedem Fall den Datenschutzbeauftragten unverzüglich darüber informieren.
