Auskunfts- und Meldepflichten

Gem. Art. 58 Abs. 1 lit. a DSGVO kann die Aufsichtsbehörde zur Wahrnehmung ihrer Untersuchungsbefugnisse den Verantwortlichen oder den Auftragsverarbeiter und ggf. deren Vertreter anweisen, alle Informationen bereitzustellen, die für die Erfüllung der Aufgaben der Aufsichtsbehörde erforderlich sind. Gem. § 40 Abs. 4 Satz 1 BDSG sind die Verantwortlichen sowie die mit deren Leitung beauftragten Personen verpflichtet, das Auskunftsersuchen der Aufsichtsbehörde zu beantworten. Die Bereitstellung der Informationen kann durch die Beantwortung von Fragen und/oder Vorlage bzw. Überlassung von schriftlichen Unterlagen und Dokumentationen oder Zugang zu Datenverarbeitungssystemen geschehen. Zur Durchsetzung dieser Informationspflicht stehen der Aufsichtsbehörde die Mittel des Verwaltungszwangs, insbesondere die Verhängung eines Zwangsgelds, zur Verfügung (siehe: VG Mainz, Urteil vom 09. Mai 2019 Az.: 1 K 760/18.MZ).

Der Auskunftspflichtige kann gem. § 40 Abs. 4 Satz 2 BDSG die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 ZPO bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Die Aufsichtsbehörde hat gem. § 40 Abs. 4 Satz 3 BDSG den Auskunftspflichtigen darauf hinzuweisen. Unterbleibt dieser Hinweis, greift ein Beweisverwertungsverbot. Dieses Auskunftsverweigerungsrecht umfasst nicht die Gewährung des Zugangs zu Datenverarbeitungsanlagen und -geräten, denn gem. § 40 Abs. 5 BDSG ist der Verantwortliche oder der Auftragsverarbeiter insoweit zur Duldung des Zugangs verpflichtet.

Die Gültigkeit dieses Auskunftsverweigerungsrechts auch für juristische Personen wurde bislang vom BVerfG abgelehnt, allerdings hat das OVG Schleswig-Holstein mit Beschluss vom 28. Mai 2021 – 4 MB 14/21 in einem Verfahren zum Auskunftsverlangen gegen einen Online-Versandhandel nach Beschwerden über Werbe-E-Mails zum Auskunftsverweigerungsrecht unter Berufung auf die Selbstbelastungsfreiheit ausgeführt (Rn. 33):

„Es ist in diesem Zusammenhang die besondere Schutzfunktion des § 40 Abs. 4 Satz 2 BDSG zu berücksichtigen. Wie andere spezialgesetzlich normierte Auskunftsverweigerungsrechte trägt auch § 40 Abs. 4 Satz 2 BDSG dem Grundsatz der Selbstbelastungsfreiheit (‚nemo tenetur se ipsum accusare‘ – niemand soll gezwungen werden, sich selbst anzuklagen) Rechnung (vgl. Dix, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, § 40 BDSG, Rn. 13; grundlegend Urteil des Senats vom 23. Juni 2016 – 4 LB 18/15 –, Rn. 40, juris; vgl. zum gleichlautenden § 40 Abs. 4 KrW-/AbfG, VGH Bad.-Württ., Beschluss vom 30. März 2001 – 10 S 1184/00 –, Rn. 26, juris; vgl. zum gleichlautenden § 39 Abs. 1 Satz 2 WaffG Gerlemann, in: Steindorf, Waffenrecht, 10. Auflage 2015, § 39 Rn. 4). Dieser Grundsatz ist vom Bundesverfassungsgericht als Teil des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG anerkannt. Ein Zwang zur Selbstbezichtigung berührt zugleich die Würde des Menschen, dessen Aussage als Mittel gegen ihn selbst verwendet wird (vgl. BVerfG, Beschluss vom 13. Januar 1981 – 1 BvR 116/77 –, Rn. 18; juris; Urteil des Senats vom 23. Juni 2016 – 4 LB 18/15 –, Rn. 40, juris). Inwieweit sich vor dem Hintergrund der genannten (bisherigen) verfassungsrechtlichen Herleitung auch juristische Personen wie die Antragstellerin auf den ‚nemo tenetur‘-Grundsatz berufen können, ist fraglich (bislang abgelehnt vom BVerfG, vgl. Beschluss vom 26. Februar 1997 – 1 BVR 2172/96 –, LS 2, Rn. 80 ff.). Nicht gänzlich ausgeschlossen scheint jedenfalls, den Grundsatz der Selbstbelastungsfreiheit (auch) aus dem Rechtsstaatsprinzip des Art. 20 Abs. 3 GG oder aus Art. 6 Abs. 1 EMRK bzw. Art. 47 Abs. 2 Satz 1 GRCh herzuleiten und auch juristischen Personen das Recht zur Auskunftsverweigerung in Fällen möglicher Selbstbelastung zuzubilligen (vgl. Spittka, Si tacuisses…– nemo tenetur und die DSGVO, in: Traeger, Die Macht der Daten und der Algorithmen, S. 141 (144 ff.)).“

Kommt es im Zusammenhang mit der Verarbeitung von personenbezogenen Daten zu einer Verletzung des Schutzes von personenbezogenen Daten (vgl. Art. 4 Nr. 12 DSGVO) und führt die Datenschutzverletzung zu einem Risiko für die betroffene Person, besteht daneben eine Meldepflicht, nach der die Datenschutzverletzung gem. Art. 33 Abs. 1 DSGVO binnen 72 Stunden der zuständigen Aufsichtsbehörde für den Datenschutz zu melden ist. Wenn die Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche gem. Art. 34 DSGVO auch die betroffenen Personen informieren

Dokumentation zur Prüfung der Benachrichtigungspflicht gem. Art. 33 und 34 DSGVO

Die Meldung muss gem. Art. 33 Abs. 3 DSGVO mindestens folgende Informationen enthalten:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Wenn die geforderten Informationen zum Zeitpunkt der geforderten Meldung nicht vollständig zur Verfügung stehen, kann der Verantwortliche gem. Art. 33 Abs. 4 DSGVO die noch fehlenden Informationen unverzüglich schrittweise nachreichen.

§§ 42 Abs. 4 und 43 Abs. 4 BDSG bestimmen schließlich, dass eine Meldung nach Art. 33 DSGVO oder eine Benachrichtigung gem. Art. 34 DSGVO in einem Strafverfahren bzw. einem Ordnungswidrigkeitenverfahren gegen den Meldepflichtigen oder Benachrichtigungspflichtigen oder gegen seine in § 52 Abs. 1 Strafprozessordnung (StPO) bezeichneten Angehörigen nur mit Zustimmung des Melde- oder Benachrichtigungspflichtigen verwendet werden darf.

Zu den Angehörigen i. S v. § 52 Abs. 1 StPO gehören

1. der Verlobte des Beschuldigten;

2. der Ehegatte des Beschuldigten, auch wenn die Ehe nicht mehr besteht;

2a. der Lebenspartner des Beschuldigten, auch wenn die Lebenspartnerschaft nicht mehr besteht;

3. wer mit dem Beschuldigten in gerader Linie verwandt oder verschwägert, in der Seitenlinie bis zum dritten Grad verwandt oder bis zum zweiten Grad verschwägert ist oder war.

Diese Regelung entspricht dem bisherigen § 42a Satz 6 BDSG a. F. und dient dem verfassungsrechtlichen Verbot der Selbstbezichtigung und stützt sich auf die Öffnungsklausel des Art. 83 Abs. 8 DSGVO, wonach angemessene Verfahrensgarantien geschaffen werden müssen.

Diese Schutzwirkung des § 43 Abs. 4 BDSG greift allerdings nur bei einer Meldung nach Art. 33 DSGVO oder bei einer Benachrichtigung gem. Art. 34 DSGVO, das heißt, wenn eine Melde- oder Benachrichtigungspflicht auch tatsächlich besteht. Bei Zweifel an einer Melde- und ggf. Benachrichtigungspflicht und einer rein vorsorglichen Meldung, die vielfach empfohlen wird, um einem eventuellen Bußgeld wegen einer unterlassenen Meldung vorzubeugen, greift diese Schutzwirkung nicht, wenn sich ergibt, dass eine Melde- oder Benachrichtigungspflicht tatsächlich nicht bestanden hat, und die Aufsichtsbehörde kann die in der Meldung vorhandenen Informationen gegen den Verantwortlichen verwenden. Das gleiche gilt, wenn zwar eine Meldepflicht vorliegt, aber der Verantwortliche über den Rahmen der meldepflichtigen Informationen des Art. 33 Abs. 3 DSGVO hinaus Informationen zur Verfügung stellt, zu denen er nicht verpflichtet ist. Für diese „überschießenden“ Informationen gilt die Schutzwirkung ebenfalls nicht, und die Aufsichtsbehörde kann diese Informationen bei Sanktionen verwenden. Daraus ergibt sich die Empfehlung, im Falle einer Datenschutzverletzung sorgfältig zu prüfen, ob tatsächlich eine Meldepflicht und ggf. eine Benachrichtigungspflicht besteht, und nur dann zu melden, wenn eine entsprechende Pflicht zu bejahen ist. Mit einer rein vorsorglichen Meldung empfiehlt sich ein zurückhaltender Umgang. Im Zweifel empfiehlt es sich, im Vorfeld entsprechende Beratung oder durch den Datenschutzbeauftragten den Standpunkt der Aufsichtsbehörde einzuholen. Hierzu kann sich der Datenschutzbeauftragte auf § 40 Abs. 6 Satz 1 BDSG berufen, denn danach beraten und unterstützen die Aufsichtsbehörden die Datenschutzbeauftragten mit Rücksicht auf deren typische Bedürfnisse. Bei einer Meldung empfiehlt es sich, die Informationen auf den in Art. 33 Abs. 3 DSGVO gezogenen Rahmen zu beschränken.

Melde- und Benachrichtigungspflicht prüfen (Art. 33 und 34 DSGVO)

Dokumentation zur Prüfung der Benachrichtigungspflicht gem. Art. 33 und 34 DSGVO

Checkliste: Melde- und Benachrichtigungspflicht gem. Art. 33 und 34 DSGVO

DSB-Portal jetzt kostenlos testen