der Privatwirtschaft zur Unterstützung der Strafverfolgung entstehende Pflichtenkollisionen sehen und auflösen müsste. Als erheblich defizitär ist hier exemplarisch das NetzDG mit seinen stetig wachsenden Anforderungen zu nennen.
7
Zwischenzeitlich ergangene Rechtsprechung, die auf Art. 10 DSGVO Bezug nimmt, bestätigt seine große Bedeutung in aktuellen Fragestellungen. So war die Norm u.a. in Entscheidungen zum Recht auf Vergessenwerden relevant im Rahmen der erwarteten Herstellung praktischer Konkordanz auch durch private Akteure. Dies zeigte sich etwa beim Umfang der Auslistungspflicht von Suchmaschinenbetreibern.5 Ein anderes Beispiel ist die Sicherstellung zugriffserschwerender Schutzmaßnahmen als Anspruchsvoraussetzung, wenn ein Auskunftsanspruch sich auf derart sensitive Daten bezieht.6 Teilweise ergeben sich aus den Urteilen über den konkreten Gegenstand hinaus zudem mehr Fragen als Antworten zur Systematik und Anwendung des Art. 10 DSGVO.7
II. Gegenstand der personenbezogenen Daten
8
Die praktische Relevanz des Art. 10 DSGVO hängt naturgemäß maßgeblich von der Reichweite des Regelungsgegenstands ab. Vergleichsweise klar sind dabei noch die Alternativen „strafrechtliche Verurteilung“ (Alt. 1) und „Sicherungsmaßregel“ (Alt. 3).
9
Eine „strafrechtliche Verurteilung“ liegt in der „staatlichen (verbindlich wertenden) Feststellung der Normverletzung“.8 Auch an dieser Stelle wirkt sich allerdings der unzureichende strafrechtliche Harmonisierungsgrad aus. Abgemildert wird dies, soweit nach einer Ansicht auch Ordnungswidrigkeiten i.S.d. OWiG als Straftat i.S.d. Art. 10 GG erfasst sein sollen und ein Bußgeldbescheid als Verurteilung gelten soll, obwohl dabei der sozialethische Unrechtsvorwurf fehlt.9 Allerdings ist die Einbeziehung von Ordnungswidrigkeiten umstritten und die sie verneinende Gegenauffassung kann den Wortlaut des Art. 10 DSGVO für sich beanspruchen.10
10
Als „Sicherungsmaßregeln“ sind gem. § 61 StGB („Besserung und Sicherung“) die Unterbringung in einem psychiatrischen Krankenhaus, die Unterbringung in einer Entziehungsanstalt, die Unterbringung in der Sicherungsverwahrung, die Führungsaufsicht, die Entziehung der Fahrerlaubnis und das Berufsverbot zu nennen.
11
Eine Beschränkung auf rechtskräftige Entscheidungen enthält Art. 10 DSGVO nicht.
12
Mehr Diskussionspotenzial bietet hingegen die zwischen diesen Alternativen eingebettete Formulierung „Verarbeitung personenbezogener Daten über Straftaten“. Bei isolierter Betrachtung könnte dieser Wortlaut zum einen auch Zeugen – und insbesondere Verletzte – einer Straftat erfassen, deren personenbezogene Daten ebenfalls sensitiv und erhöht schutzbedürftig sein könnten. Die Einbettung zwischen Verurteilungen und Sicherungsmaßregeln wie auch die Rückführung auf Art. 6 Satz 2 der Europäischen Datenschutzkonvention sprechen jedoch bei intrasystematischer Auslegung für eine beschuldigtenzentrierte Auslegung.
13
Auch könnte die genannte isolierte Lesart der „Straftaten“-Alternative zu einer Heranziehung des Art. 10 DSGVO bereits für Datenverarbeitungen in bloßen Verdachtslagen – durch die öffentliche Hand, aber auch durch die Privatwirtschaft – führen. Die praktische Relevanz des Art. 10 DSGVO auch für Compliance-Aktivitäten bestimmt sich deshalb maßgeblich danach, ob Verdachtsmomente ihrerseits bereits in den Schutz des Art. 10 DSGVO einbezogen werden.
14
Nach einer Ansicht soll die gesonderte Nennung von „Straftaten“ primär dafür sorgen, dass beispielsweise auch Fälle schuldloser Begehung, die nicht zu einem Urteil führen, erfasst sind. Nach anderer Ansicht soll Art. 10 DSGVO aber durchaus auch schon in einem Urteil vorgelagerten Stadien des Strafverfahrens, insbesondere im Ermittlungsverfahren, durchaus bereits greifen, allerdings nur dann, wenn eine Straftat zumindest bereits „vorläufig hoheitlich festgestellt“11 sei. Eine solche Feststellung könne auch dann fortwirken, wenn es nicht zu einer Verurteilung oder Maßregel komme. Verneint wird die Heranziehung hingegen im privaten (Compliance-)Bereich.12
15
Dabei ist allerdings nicht einleuchtend, warum beispielsweise die in einer internen Ermittlung getroffenen Erkenntnisse eines strafrechtlich relevanten Verhaltens den Betroffenen signifikant weniger belasten sollen als die hoheitliche Einleitung eines Ermittlungsverfahrens, obwohl § 26 Abs. 1 Satz 2 BDSG und § 152 Abs. 2 StPO sich im Verdachtsgrad annähern. Die Sensitivität des Vorwurfs könnte hier vielmehr für eine Gleichbehandlung sprechen. Die Rechtsprechung des EuGH legt in der Tat eine extensive Anwendung nahe.13
16
Demgegenüber steht allerdings die dominierende Unschuldsvermutung letztlich der Subsumption unter den Terminus „Straftat“ entgegen. Hinreichende Trennschärfe und Orientierung am Wortlaut bietet somit nur die restriktivere Ansicht, die vermutete Straftaten von Art. 10 DSGVO ausnehmen und nur den allgemeinen Regeln der DSGVO unterwerfen will.
III. Verarbeitung nur unter behördlicher Aufsicht (Satz 1 Alt. 1)
17
Orientiert am nationalen verwaltungsverfahrensrechtlichen Behördenbegriff des § 1 Abs. 4 VwVfG ist eine Behörde jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt. Die behördliche Aufsicht muss sich speziell auf die genannte Datenverarbeitung beziehen und soll sich nicht in der allgemeinen Aufsicht – z.B. der Gewerbe- oder Bankenaufsicht – erschöpfen.14
18
Der Anwendungsbereich des Art. 10 DSGVO wird allerdings ohnehin maßgeblich dadurch reduziert, dass von Strafverfolgungs- und Polizeibehörden vorgenommene Datenverarbeitungen über Straftaten über die Richtlinie 2016/680 erfasst und nicht von der DSGVO geregelt werden, vgl. Art. 2 Abs. 2 lit. d DSGVO.15
IV. Zulässigkeit nach dem Unionsrecht oder dem Recht der Mitgliedstaaten (Satz 1 Alt. 2)
19
Art. 10 Satz 1 DSGVO sieht neben dem Vorbehalt eine Öffnungsklausel vor, die zusätzlich zum Unionsrecht auch den Mitgliedstaaten Raum zur Regelung lässt.
20
In der Kommentarliteratur wird u.a. auch § 26 Abs. 1 Satz 2 BDSG genannt.16 Soweit der Gegenstand des Art. 10 DSGVO allerdings – wie hier – wortlautorientiert so eng gefasst wird, dass es bereits einer hoheitlichen Feststellung bedarf, erscheint ein Überschneidungsbereich mit § 26 Abs. 1 Satz 2 BDSG (Verarbeitung personenbezogener Beschäftigtendaten „zur Aufdeckung von Straftaten“) fraglich. Denn wenn noch Verarbeitungen „zur Aufdeckung von Straftaten“ erforderlich sind, wird die Stufe einer hoheitlichen Feststellung regelmäßig noch nicht erfolgt sein. Soweit demgegenüber z.B. nach Vorlage und Prüfung des Führungszeugnisses Vorstrafen verarbeitet werden, liegt § 26 Abs. 1 Satz 1 BDSG als Grundlage näher.17 Ob diese – im Vergleich zu Alt. 1 Satz 2 im Wortlaut nahezu voraussetzungslose – Regelung bereits „geeignete Garantien“ i.S.d. Art. 10 DSGVO enthält, muss allerdings bezweifelt werden.
V. Voraussetzungen eines „umfassenden Registers der strafrechtlichen Verurteilungen“ (Satz 2)
21
Ohne Ausnahme ausschließlich unter behördlicher Aufsicht darf ein „umfassendes Register“ geführt werden. In diesem Sinne „umfassend“ ist eine Zusammenführung aller strafrechtlichen Verurteilungen, die noch nicht tilgungsreif (§§ 45ff. BZRG) sind.18 Das ausgehend von §§ 1, 3 und 4 BZRG diesen