105 Vgl. § 9 IfSG; vgl. Schulz, in: Gola, DS-GVO, Art. 9 Rn. 41; Schiff, in: Ehmann/Selmayr, DS-GVO, Art. 9 Rn. 62. 106 Dem eine grammatikalische Auslegung nicht entgegensteht, vgl. Schiff, in: Ehmann/Selmayr, DS-GVO, Art. 9 Rn. 63. 107 So Schulz, in: Gola, DS-GVO, Art. 9 Rn. 44. 108 Ebenso Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 9 Rn. 131; wegen alter Gesetzeslage hingegen ein erhebliches Überwiegen des Forschungsinteresses fordernd Schulz, in: Gola, DS-GVO, Art. 9 Rn. 44. 109 Vgl. Schulz, in: Gola, DS-GVO, Art. 9 Rn. 48. 110 Wedde, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 9 Rn. 165. 111 Schulz, in: Gola, DS-GVO, Art. 9 Rn. 48; Spindler, DB 2016, 937, 944; Wedde, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 9 Rn. 165. 112 Vgl. Kommentierung zu § 22 BDSG; weitere Bestimmungen für den Gesundheitsbereich wurden durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.7.2017 geändert, dazu und zur Kritik, dass das Gesundheitsdatenschutzrecht undurchsichtig bleibt, Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 9 Rn. 170ff.; Wedde, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 9 Rn. 173f. 113 Zur Möglichkeit und Höhe der Geldbuße nach Datenschutzgrundverordnung siehe u.a. bei Eckhard/Menz, DuD 2018, 139; Mester, DuD 2018, 181. 114 Zur Möglichkeit zivilrechtlicher Haftung siehe auch Steffen, DuD 2018, 145, 147.
Art. 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.
Mit der Norm korrespondiert der Erwägungsgrund 50.
Literatur: Frey/Pelz (Hrsg.), Beck’scher Online Kommentar GwG, München, 7. Edition 2021; Gomille, Aktuelles zum datenschutzrechtlichen Auslistungsanspruch, ZUM 2020, 123; Jarass, Charta der Grundrechte der EU, 3. Aufl., München 2016; Martini/Wagner/Wenzel, Das neue Sanktionsregime der DSGVO – ein scharfes Schwert ohne legislativen Feinschliff, VerwArch 2018, 296; Merten/Papier (Hrsg.), Handbuch der Grundrechte, Band IV; Grundrechte in Deutschland – Einzelgrundrechte I, München 2011; Nolde, Sanktionen nach DSGVO und BDSG-neu: Wem droht was warum?, PinG 2017, 114; Nolde, Die Privatwirtschaft als „Bundesbotnetz“ der Strafverfolgungsvorsorge?, in: Taeger (Hrsg.), IT und Internet – mit Recht gestalten, Edewecht 2012, S. 791; Stief, Die Richtlinie (EU) 2016/680 zum Datenschutz in der Strafjustiz und die Zukunft der datenschutzrechtlichen Einwilligung im Strafverfahren, StV 2017, 470; Wolters, Das Gesetz zur Einführung eines Wettbewerbsregisters, KriPoz 2017, 244.
Übersicht
I. Überblick
1
Art. 10 DSGVO trägt dem Umstand Rechnung, dass Reputation, Diskriminierungsrisiken und Resozialisierungsaussichten einer Person in besonderer Weise von einem Strafmakel tangiert werden können. Das Recht des Einzelnen, „grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen“ und zu entscheiden, wer was über ihn weiß, ist daher in diesem Kontext besonders schutzwürdig.
2
Die Regelung des Art. 10 DSGVO ist weitgehend bereits aus Art. 8 Abs. 5 der Richtlinie 95/46/EG (DSRl) vertraut, allerdings mit Detail-Unterschieden in der Reihenfolge der Trias („Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln“) und graduellen Abstufungen bei der Formulierung der Garantien (zuvor „angemessene“, nunmehr „geeignete“). Allein in Bezug auf „Strafurteile“ ergibt sich die besondere Sensitivität auch bereits aus Art. 6 Satz 2 der Europäischen Datenschutzkonvention. Das Risikopotenzial ist zudem an mehreren Stellen der DSGVO anerkannt, wobei – etwa im Kontext der Folgenabschätzung, Art. 35 Abs. 3 lit. b DSGVO – jeweils auf Art. 10 DSGVO Bezug genommen wird.
3
In Entwurfsfassungen der DSGVO wurde die nunmehr in Art. 10 DSGVO aufgenommene Regelung noch als besondere Kategorie i.S.d. Art. 9 DSGVO gewertet. Anders als bei Art. 9 DSGVO wird nun aber kein generelles Verarbeitungsverbot mit Ausnahmekatalog mehr statuiert. Vielmehr ist in Art. 10 DSGVO als Grundsatz ein Vorbehalt behördlicher Aufsicht vorgesehen, der zusätzlich neben die materiell-rechtliche gesetzliche Grundlage der Verarbeitung tritt.1 Letzteres ergibt sich aus dem Verweis auf Art. 6 Abs. 1 DSGVO. Im Fall umfassender Register (Satz 2) ist für diesen Vorbehalt auch keine Ausnahme vorgesehen.
4
Angesichts der auch im Strafrecht zunehmenden „Privatisierungstendenzen“ ist die Inpflichtnahme und proaktive Mitwirkung der Privatwirtschaft im Bereich der Strafverfolgung bzw. im Vorfeld der sog. Strafverfolgungsvorsorge2 von immer größerer praktischer Bedeutung. Dabei stellen sich auch verfassungsrechtliche Fragen des Staatsorganisationsrechts und der unmittelbaren Drittwirkung von Grundrechten beim Umgang mit personenbezogenen Daten.
5
Trotz der großen Bedeutung des Datenschutzrechts in diesem Kontext liefert die DSGVO durch Art. 10 DSGVO keinen Fortschritt und Zugewinn an Rechtssicherheit. Dazu bleiben zu viele konkrete Fragen zur Reichweite des Art. 10 DSGVO offen. Nahezu jede Facette ist umstritten. Eine so extensive Lesart, dass auch bereits nicht-hoheitliche Compliance-Maßnahmen und interne Ermittlungen i.S.d. § 26 Abs. 1 Satz 2 BDSG erfasst wären, drängt sich jedenfalls nicht auf und wird auch bislang kaum vertreten, selbst wenn dies bei konsequenter Anwendung der jeweiligen Position schlüssig erschiene.3
6
Vereinzelt sehen Gesetze, die natürliche und juristische Personen zur Verarbeitung personenbezogener Daten im Sinne des Art. 10 DSGVO verpflichten, inzwischen bereichsspezifische Regelungen