Aktuelle Kurz-Information 9: Datenschutzverletzungen: Melde- und Benachrichtigungspflicht unter der Datenschutz-Richtlinie für Polizei und Strafjustiz

Stichwörter: Benachrichtigung über Datenschutzverletzungen - Datenschutz-Richtlinie für Polizei und Strafjustiz, Verhältnis zur Datenschutz-Grundverordnung - Gesundheitsdaten - Maßregelvollzug - Meldung von Datenschutzverletzungen - öffentliche Sicherheit - Person, untergebrachte - Unterbringung

In bayerischen Bezirkskrankenhäusern werden auch Personen untergebracht, die Straftaten begangen haben, aber zum Zeitpunkt der Tat aufgrund einer seelischen Störung (wie etwa einer psychischen Erkrankung) nicht schuldfähig oder nur vermindert schuldfähig waren. Voraussetzung einer solchen strafrechtlichen Unterbringung ist, dass infolge des (gesundheitlichen) Zustandes der Person mit weiteren erheblichen Straftaten zu rechnen ist und die Person deshalb eine Gefahr für die Allgemeinheit darstellt. Ziel einer solchen Unterbringung ist es, die Allgemeinheit vor der Begehung weiterer Straftaten zu schützen, aber auch, die untergebrachte Person zu heilen oder ihren Zustand so weit zu bessern, dass sie keine Gefahr mehr für die Allgemeinheit darstellt.

In diesem Zusammenhang werden Gesundheitsdaten verarbeitet, die gesetzlich unter besonderem Schutz stehen. Eine Einrichtung des Maßregelvollzugs teilte mir nun mit, dass in einem Einzelfall Gesundheitsdaten einer untergebrachten Person an die Presse weitergegeben worden waren; sie fragte an, ob auf eine Mitteilung an die untergebrachte Person verzichtet werden könne, weil diese Information im Hinblick auf eine bestehende psychische Erkrankung als medizinisch nicht vertretbar erschien.

1. Meldepflicht im Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz

Die Datenschutzverletzung - Weitergabe von Gesundheitsdaten der untergebrachten Person an die Presse - war an mich zu melden. Dieses Ergebnis lässt sich allerdings nicht durch Blick in nur ein Gesetz gewinnen.

Neben der Datenschutz-Grundverordnung (DSGVO) haben das Europäische Parlament und der Rat auch die Datenschutz-Richtlinie für Polizei und Strafjustiz (RLDSJ) erlassen. Diese Richtlinie enthält besondere Regelungen für die Verarbeitung personenbezogener Daten in den Bereichen der Strafverfolgung und -vollstreckung sowie der polizeilichen Gefahrenabwehr. Im Unterschied zur Datenschutz-Grundverordnung muss die Richtlinie in nationales Recht umgesetzt werden; unmittelbare Wirkungen im Verhältnis zwischen den betroffenen Personen und den öffentlichen Stellen kann sie grundsätzlich nicht entfalten.

Der bayerische Gesetzgeber hat zur Umsetzung der Datenschutz-Richtlinie für Polizei und Strafjustiz eine auf den ersten Blick ungewöhnliche Regelungslösung gewählt: Er hat nämlich (in einem ersten Schritt) die Geltung der Datenschutz-Grundverordnung auch für diesen Bereich angeordnet (Art. 2 Satz 1 Bayerisches Datenschutzgesetz - BayDSG). In Teil 2 Kapitel 8 des Bayerischen Datenschutzgesetzes (Art. 28 ff. BayDSG) hat er dessen Regelungsgefüge dann (in einem zweiten Schritt) für die Strafverfolgung und -vollstreckung sowie für die polizeiliche Gefahrenabwehr näher angepasst.

Art. 28 Abs. 1 Satz 1 BayDSG nennt die Behörden, für welche die Vorschriften der Art. 28 ff. BayDSG gelten: Polizei, Gerichte in Strafsachen, Staatsanwaltschaften, Strafvollstreckungs- und Justizvollzugsbehörden sowie Behörden des Maßregelvollzugs. Darüber hinaus sind nach Art. 28 Abs. 1 Satz 2 BayDSG Behörden erfasst, die personenbezogene Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten zu verfolgen oder zu ahnden. Das können auch Kommunen sein, so im Bereich der Verkehrsüberwachung (etwa bei der Verwarnung von "Falschparkern").

Art. 28 Abs. 2 BayDSG regelt näher, welche Vorschriften der Datenschutz-Grundverordnung anzuwenden sind, während Art. 28 Abs. 3 BayDSG einzelne Bestimmungen in Teil 2 Kapitel 1 bis 7 des Bayerischen Datenschutzgesetzes von einer Anwendung ausschließt, also Ausnahmen zum Grundsatz des Art. 2 Satz 1 BayDSG festlegt. In Art. 29 bis 37 BayDSG finden sich dann ergänzende bzw. modifizierende Vorschriften zu einzelnen Regelungsgegenständen.

Die von der Maßregelvollzugseinrichtung an mich erstattete Meldung der Datenschutzverletzung war nach Art. 34 Bayerisches Maßregelvollzugsgesetz (BayMRVG), Art. 205 Abs. 3 Bayerisches Strafvollzugsgesetz (BayStVollzG), Art. 2 Satz 1, Art. 28 Abs. 2 Satz 2 BayDSG in Verbindung mit Art. 33 Abs. 1 Satz 1 DSGVO geboten. Der Gesetzgeber hat mit der Anordnung einer Meldepflicht gegenüber der Aufsichtsbehörde Art. 30 Abs. 1 Satz 1 RLDSJ umgesetzt.

Die Meldepflicht besteht übrigens für alle in Art. 28 Abs. 1 BayDSG genannten Behörden. Zu berücksichtigen ist auch, dass die Meldepflicht bei einer Verletzung des Schutzes personenbezogener Daten nur dann nicht ausgelöst wird, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

2. Benachrichtigungspflicht im Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz

Meldet der Verantwortliche eine solche Verletzung, stellt sich für ihn die weitere Frage, ob auch die betroffene Person zu benachrichtigen ist. Insofern sind Art. 2 Satz 1, Art. 28 Abs. 2 Satz 1 Nr. 3 BayDSG in Verbindung mit Art. 34 DSGVO maßgeblich. Diese Vorschriften sind ebenfalls über die Verweisungskette der Art. 34 BayMRVG in Verbindung mit Art. 205 Abs. 3 BayStVollzG anwendbar. Mit dem Verweis auf die Benachrichtigung nach der Datenschutz-Grundverordnung hat der Gesetzgeber Art. 31 Abs. 1 RLDSJ umgesetzt.

a) Grundsätzliches

Die Benachrichtigungspflicht wird nur dann ausgelöst, wenn nach der Einschätzung des Verantwortlichen die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Wird dies bejaht, ist die betroffene Person zu benachrichtigen, es sei denn, eine Ausnahme von der Benachrichtigungspflicht greift ein.

b) Ausnahmen

Art. 34 Abs. 3 DSGVO sieht Ausnahmen von der Benachrichtigungspflicht nach Art. 34 Abs. 1 DSGVO vor. Diese Ausnahmen sind - wie der Art. 34 DSGVO zur Gänze umfassende Verweis in Art. 28 Abs. 2 Satz 1 Nr. 3 BayDSG zeigt - auch im Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz anwendbar. Nach Art. 1 Abs. 1 Satz 1 BayDSG gilt dies zudem für Art. 13 BayDSG, der durch Art. 28 Abs. 3 BayDSG nicht ausgeschlossen wird. Art. 13 BayDSG ergänzt Art. 34 DSGVO, indem er weitere Gründe für ein Unterbleiben der Benachrichtigung nennt. So kann nach Art. 13 BayDSG die Benachrichtigung "auch unter den Voraussetzungen des Art. 6 Abs. 2 Nr. 3 Buchst. a, b oder Buchst. d [BayDSG] unterbleiben". Art. 6 Abs. 2 BayDSG ist hier anwendbar, soweit die Verweisung reicht. Dies gilt, obwohl Art. 6 Abs. 2 BayDSG in Art. 28 Abs. 3 Nr. 1 BayDSG für den Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz gesperrt ist. Ergänzend zu Art. 34 Abs. 3 DSGVO kann die Benachrichtigung nach Art. 13 in Verbindung mit Art. 6 Abs. 2 Nr. 3 Buchst. a BayDSG mithin auch unterbleiben, wenn dies zur Abwehr von Gefahren für die öffentliche Sicherheit erforderlich ist.

Im Ausgangsfall barg die Mitteilung von Daten an die Presse ein nicht ausschließbar hohes Risiko für die Rechte und Freiheiten der untergebrachten Person. Diese war daher grundsätzlich über den Vorfall zu benachrichtigen. Zu prüfen war aber noch, ob die in Art. 13 in Verbindung mit Art. 6 Abs. 2 Nr. 3 Buchst. a BayDSG geregelte Ausnahme vorlag.

c) Ausnahmegrund "öffentliche Sicherheit"

Dann müsste das Unterbleiben der Benachrichtigung zur Abwehr von Gefahren für die öffentliche Sicherheit erforderlich sein.

Der Begriff der öffentlichen Sicherheit ist ein unbestimmter Rechtsbegriff, der im nationalen Polizei- und Sicherheitsrecht Verwendung findet. Auch in der Datenschutz-Grundverordnung und in der Datenschutz-Richtlinie für Polizei und Strafjustiz ist der Begriff der öffentlichen Sicherheit zu finden.

Nach nationalem Verständnis umfasst der Begriff der öffentlichen Sicherheit "den Schutz zentraler Rechtsgüter wie Leben, Gesundheit, Freiheit, Ehre, Eigentum und Vermögen des Einzelnen sowie die Unversehrtheit der Rechtsordnung und der staatlichen Einrichtungen" (Bundesverfassungsgericht, Beschluss vom 14. Mai 1985, 1 BvR 233/81 u.a., BVerfGE 69, 315/352). In diesem Sinn dürfte der Begriff auch in Art. 6 Abs. 2 Nr. 3 Buchst. a BayDSG zu verstehen sein.

Der unionsrechtliche Begriff der öffentlichen Sicherheit ist dagegen grundsätzlich auf die äußere und innere Sicherheit eines Mitgliedstaates fokussiert (Europäischer Gerichtshof, Urteil vom 4. Oktober 1991, C-367/89, Rn. 22).

Was den Schutz der Gesundheit einzelner Personen betrifft, verfügt der Landesgesetzgeber mit Art. 23 Abs. 1 Buchst. i DSGVO allerdings über die unionsrechtlich notwendige Ermächtigung für die in Art. 13 in Verbindung mit Art. 6 Abs. 2 Nr. 3 Buchst. a BayDSG angeordnete Beschränkung der Benachrichtigungspflicht.

Im Ausgangsfall konnte somit im Hinblick auf Art. 13 in Verbindung mit Art. 6 Abs. 2 Nr. 3 Buchst. a BayDSG eine Benachrichtigung der untergebrachten Person unterbleiben, weil eine Reaktion mit nicht zumutbaren gesundheitlichen Folgen zu befürchten war.