DA+

Aufsatz : Datenschutzrechtliche Meldepflicht beim Verlust von Strafakten : aus der RDV 1/2021, Seite 21 bis 25

Lesezeit 17 Min.

Der Digitalisierungsprozess der Justiz ist bei weitem noch nicht abgeschlossen. Laut der niedersächsischen Justizministerin stellt die Digitalisierung sogar eine der zentralen Herausforderungen für die Justiz in den kommenden Jahren dar.[1] Dies wird umso deutlicher, als das Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs[2] die elektronische Führung von strafprozessualen und gerichtlichen Akten spätestens ab dem Jahre 2026 vorschreibt. Bis dahin wird es jedoch weiterhin Papierakten geben, die eine Vielzahl von personenbezogenen Daten beinhalten und auf unterschiedlichste Weise – insbesondere z.B. auf dem Postweg im Rahmen der Akteneinsicht an den Strafverteidiger – verloren gehen können. In einem solchen Fall stellt sich die Frage, ob die Staatsanwaltschaft zur Meldung des Verlustes verpflichtet ist und ob dieser Bußgelder oder Schadensersatzansprüche Dritter drohen. Der folgende Artikel soll Antworten auf die aufgeworfenen Fragen geben.

I. Behördliche Meldepflicht nach der DS-GVO

Nach Art. 33 Abs. 1 S. 1 DS-GVO trifft den Verantwortlichen (vgl. Art. 4 Nr. 7 DS-GVO) grundsätzlich eine Meldepflicht an die gem. Art. 55 DS-GVO zuständige Behörde im Falle des Eintritts einer Verletzung des Schutzes personenbezogener Daten (vgl. Art. Nr. 12 DS-GVO).[3]

1. Anwendbarkeit der DS-GVO

Dies setzt jedoch zunächst die Anwendbarkeit der DS-GVO voraus. Nach Art. 2 Abs. 2 lit. d) DS-GVO findet die DS-GVO keine Anwendung, sofern die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, personenbezogene Daten verarbeiten (vgl. Art. 4 Nr. 2 DS-GVO). Daraus folgt, dass die Meldepflicht nach der DS-GVO für den Verlust einer Akte dann nicht eingreift, wenn die Akte zu einem der in Art. 2 Abs. 2 lit. d) DS-GVO genannten Zwecke verschickt wurde bzw. an einen Dritten übermittelt werden sollte. Dementsprechend kommt eine Meldepflicht nach Art. 33 Abs. 1 S. 1 DS-GVO nicht bei einem Aktenverlust im Ermittlungs- oder Vollstreckungsverfahren in Betracht. In einem solchen Fall, könnte vielmehr § 65 BDSG anzuwenden sein.[4] Dagegen ist die DS-GVO anwendbar, wenn die Akte im Rahmen einer Akteneinsicht oder einer anderen Datenverarbeitung (vgl. Art. 4 Nr. 2 DS-GVO) verloren geht, die zu keinem der in Art. 2 Abs. 2 lit. d) DS-GVO genannten Zwecke erfolgte. Insbesondere ist dabei an einen Aktenverlust im Rahmen einer Akteneinsicht nach Abschluss des Straf- bzw. Strafvollstreckungsverfahrens zu denken.

2. Verletzung des Schutzes personenbezogener Daten

Unter den Begriff der „Verletzung des Schutzes personenbezogener Daten“ wird dabei unter anderem eine Verletzung der Sicherheit verstanden, die, ob unbeabsichtigt oder unrechtmäßig, zum Verlust von personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, führt. Ob sich aufgrund der Verletzung bereits ein physischer, materieller oder immaterieller Schaden für die betroffenen natürlichen Personen realisiert hat, ist dabei irrelevant.[5] Unter einer Verletzung der Sicherheit wird eine Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität von personenbezogenen Daten verstanden.[6] Bei dem Verlust beispielsweise einer Strafakte im Rahmen der Akteneinsicht durch die Staatsanwaltschaft im Ermittlungsverfahren liegt somit eine Verletzung der Vertraulichkeit von personenbezogenen Daten und daher eine Verletzung des Schutzes personenbezogener Daten vor.

3. Meldefrist

Eine solche Verletzung soll der Verantwortliche binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der gem. Art. 55 DS-GVO zuständigen Aufsichtsbehörde melden. Die Staatsanwaltschaft hätte demnach als aktenführende Behörde von Strafakten und somit Verantwortliche i. S. d. Art. 4 Nr. 7 DS-GVO den Verlust der Akte gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden, nachdem ihr der Verlust bekannt geworden ist, zu melden. Unter welchen Voraussetzungen dem Verantwortlichen die Verletzung „bekannt“ i. S. d. Norm ist, ist bislang nicht abschließend geklärt.[7] Einerseits wird darauf abgestellt, dass die Kenntnis der tatsächlichen Umstände, die eine Verletzung des Schutzes personenbezogener Daten begründen, ausreichend ist.[8] Somit müsste keine Datenschutzverletzung im rechtlichen Sinne festgestellt werden. Die Umstände sollten jedoch eine hohe Wahrscheinlichkeit für eine Datenschutzverletzung begründen.[9] Anderseits wird vertreten, dass dem Verantwortlichen erst die Verletzung bekannt ist, wenn er die Verletzung des Schutzes personenbezogener Daten rechtlich geprüft sowie angenommen hat und ihm somit bekannt ist, dass für ihn eine Meldepflicht nach Art. 33 Abs. 1 S. 1 DS-GVO besteht.[10] Gegen Letzteres spricht jedoch, dass, falls abgewartet werden sollte, bis absolute Gewissheit hinsichtlich der Datenschutzverletzung besteht und diesbezüglich alle Details bekannt sind, Folgeschäden ggf. nicht mehr verhindert werden könnten.[11] Dementsprechend reicht die Kenntnis über die Umstände, die eine Meldepflicht begründen könnten, aus, um die 72 Stunden-Frist auszulösen. Der Verantwortliche muss somit keine rechtliche Kenntnis von der Meldepflicht haben. Dementsprechend wäre jeder Aktenverlust, sofern die DS-GVO anzuwenden ist, von der Staatsanwaltschaft innerhalb 72 Stunden zu melden. Fraglich ist jedoch, ab wann von einem Aktenverlust auszugehen wäre. Überzeugend erscheint es, dass die Frist zu laufen beginnt, wenn eine hohe Wahrscheinlichkeit für einen Aktenverlust gegeben ist. Dies dürfte bereits dann der Fall sein, wenn die Akte weder von der Geschäftsstelle noch von dem zuständigen Staatsanwalt noch von Kollegen der Abteilung aufgefunden werden kann.

4. Zwischenergebnis

Sollte die Datenschutzgrundverordnung zur Anwendung kommen, wäre z.B. die Staatsanwaltschaft nach Art. 33 DS-GVO verpflichtet den Verlust einer Akte an die gem. Art. 55 DS-GVO zuständige Datenschutzbehörde zu melden, da der Verlust einer Strafakte eine Verletzung des Schutzes personenbezogener Daten darstellt. Dieser Pflicht muss die Staatsanwaltschaft dann innerhalb von 72 Stunden nach Kenntnis von der Verletzung nachkommen. Bezüglich der Kenntnis ist nach vorzugswürdiger Meinung auf die Kenntnis der Umstände, die eine Verletzung des Schutzes personenbezogener Daten mit hoher Wahrscheinlichkeit nahelegt, abzustellen. Daher kommt es nicht darauf an, ob der Verantwortliche rechtlich positive Kenntnis von der Meldepflicht erlangt hat.

II. Behördliche Meldepflicht nach dem BDSG

Nach § 65 Abs. 1 S. 1 BDSG trifft den Verantwortlichen (vgl. § 46 Nr. 7 BDSG) grundsätzlich eine Meldepflicht im Falle des Eintritts einer Verletzung des Schutzes personenbezogener Daten, wonach nach § 46 Nr. 10 BDSG insbesondere der Verlust von personenbezogenen Daten und somit der Aktenverlust zu fassen ist.

1. Anwendbarkeit des BDSG

Zunächst muss, wie auch bei der DS-GVO, geklärt werden, ob das BDSG Anwendung findet. Nach § 1 Abs. 8 BDSG finden Teil 1 und Teil 2 des BDSG auf öffentliche Stellen Anwendung, wenn es sich um eine Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten handelt, die weder der DS-GVO noch der JI-RL[12] unterfallen.[13] Ob es sich um eine Datenverarbeitung der Staatsanwaltschaft handelt, die der DS-GVO unterfällt, bestimmt sich nach Art. 2 Abs. 2 lit. d) DS-GVO, wobei auf die obigen Ausführungen Bezug zu nehmen ist. Sollte es sich somit um einen Aktenverlust im Rahmen des Ermittlungsverfahrens, der Strafvollstreckung oder zu einem anderen i. S. d. Art. 2 Abs. 2 lit. d) DS-GVO genannten Zweck handeln, würde die Datenverarbeitung – in diesem Fall die Akteneinsicht – nicht der DS-GVO unterfallen. Dementsprechend fällt nur der Aktenverlust nach einem abgeschlossenen Strafverfahren unter die Meldepflicht der DS-GVO. Dagegen unterfällt eine Datenverarbeitung zu einem Zweck i. S. d. Art. 2 Abs. 2 lit. d) DS-GVO gem. Art. 1 Abs. 1 i. V. m. Art. 2 Abs. 1 JI-RL der JI-RL, sodass sowohl Teil 1 als auch Teil 2 des BDSG in einem solchen Fall keine Anwendung finden würden. Gem. § 45 S. 1 BDSG finden die Vorschriften des 3. Teils, in dem auch § 65 Abs. 1 S. 1 BDSG, der das Pendant zu Art. 33 DS-GVO darstellt, vorzufinden, für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen Anwendung, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Dementsprechend kommt die Meldepflicht gem. § 65 Abs. 1 S. 1 BDSG bei einem Aktenverlust im Ermittlungsverfahren zur Anwendung. Konsequenterweise ist bei einem Aktenverlust im Rahmen eines abgeschlossenen Strafverfahrens die Meldepflicht nach Art. 33 Abs. 1 DS-GVO anwendbar.

2. Tatbestandsvoraussetzungen

Inhaltlich entspricht die Regelung in § 65 BDSG der Regelung in Art. 33 DS-GVO.[14] Dementsprechend gelten die gleichen Anforderungen an die Meldepflicht für einen Aktenverlust im Ermittlungsverfahren wie für einen Aktenverlust außerhalb des Ermittlungsverfahrens. Insoweit ist auf die Ausführungen unter I.) Bezug zu nehmen. Die Meldung müsste jedoch trotz des entgegenstehenden Wortlauts nicht an die Bundesbeauftrage oder den Bundesbeauftragten, sondern an die jeweilige Aufsichtsbehörde der Länder erfolgen.[15]

III. Kein Ausschluss der behördlichen Meldepflicht

Die Meldepflicht nach Art. 33 DS-GVO oder § 65 BDSG dürfte für den Verlust einer Akte nicht ausgeschlossen sein.

1. Art. 33 DS-GVO

Nach Art. 33 Abs. 1 S. 1 DS-GVO ist eine Meldepflicht ausgeschlossen, sofern die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dies setzt ein geringfügiges Risiko, bei dem eine Meldung nach einer rationalen Abwägung aller relevanten Gefahrenaspekte nicht erforderlich ist, voraus.[16] Die Kriterien für ein geringfügiges Risiko definiert die DS-GVO nicht, aber es ist anerkannt, dass sowohl die Schwere als auch die Eintrittswahrscheinlichkeit des drohenden Schadensereignisses zu berücksichtigen sind.[17] Als drohende Schadensereignisse werden Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile angesehen,[18] wobei geringere Anforderungen an die Wahrscheinlichkeit des Schadenseintritts zu stellen sind, je höher der anzunehmende Schaden ist.[19] Dem liegt eine Prognoseentscheidung des datenschutzrechtlich Verantwortlichen zugrunde.[20] Bei einem Aktenverlust nach einem abgeschlossenen Straf- oder Strafvollstreckungsverfahren, für den die Meldepflicht nach der DS-GVO anzuwenden ist, drohen insbesondere für den Beschuldigten erhebliche wirtschaftliche oder gesellschaftliche Nachteile sowie unter Umständen sogar eine Rufschädigung, wenn es sich um eine Person handelt, die in der Öffentlichkeit steht oder ein öffentliches Amt bekleidet. Denn die Strafakte enthält neben den Stammdaten des Beschuldigten (Name, Vorname, Adresse, Staatsangehörigkeit, Geschlecht und Geburtsdatum) den Tatvorwurf (z.B. Raub) auch ggf. Lichtbilder von diesem. Ebenso enthält eine Strafakte unter Umständen die IBAN-Nummer samt Kontostand. Sowohl die zuletzt genannten Daten als auch die Stammdaten des Beschuldigten könnten von Dritten unberechtigt für eigene Zwecke verarbeitet oder sogar zu kriminellen Zwecken genutzt werden. Ebenso besteht ein Schadensrisiko für Zeugen, da deren Stammdaten oder ggf. Lichtbilder ebenfalls in den Strafakten enthalten sind. Denn diese Daten können für einen Identitätsmissbrauch, der wie auch beim Beschuldigten ggf. zu erheblichen wirtschaftlichen Nachteilen führen könnte, genutzt werden. Nach den Umständen des Einzelfalls müsste daher die Staatsanwaltschaft als datenschutzrechtlich Verantwortliche im Falle des Aktenverlustes eingehend prüfen, ob im konkreten Fall eine hohe Wahrscheinlichkeit für einen schweren Schadenseintritt bei dem Betroffenen gegeben ist. Sollte dies nicht der Fall sein, bestünde keine Meldepflicht. Diese Prognoseentscheidung ist bei jedem Aktenverlust vorzunehmen.

2. § 65 BDSG

Nach § 65 Abs. 1 S. 1 BDSG ist eine Meldepflicht ausgeschlossen, sofern die Verletzung des Schutzes personenbezogener Daten voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat. Als gefährdete Rechtsgüter kommen z.B. das Vermögen oder Persönlichkeitsrecht der betroffenen Person in Betracht.[21] Eine Gefahr besteht wiederum dann, wenn es aufgrund der Verletzung des Schutzes personenbezogener Daten – in diesem Fall aufgrund des Aktenverlustes – zu einem physischen, materiellen oder immateriellen Schaden kommen kann.[22] Wie auch bei Art. 33 DS-GVO ist dies der Fall, wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, der unbefugten Umkehr der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen für die betroffene Person kommen kann.[23] Neben der Schwere des möglichen Schadens sind für das Eingreifen der Meldepflicht die Art der betroffenen Daten, die Eintrittswahrscheinlichkeit sowie der Risikograd, der sich unter anderem nach der Art, dem Umfang und den Zwecken der Verarbeitung bestimmt, entscheidend.[24] Dementsprechend gelten im Wesentlichen die gleichen Grundsätze wie für den Ausschluss der Meldepflicht nach Art. 33 Abs. 1 S. 1 DS-GVO. Somit muss die Staatsanwaltschaft daher anhand der Umstände des Einzelfalls als datenschutzrechtlich Verantwortliche im Falle des Aktenverlustes eingehend prüfen, ob im konkreten Fall eine hohe Wahrscheinlichkeit für einen schweren Schadenseintritt bei dem Betroffenen gegeben ist. Dabei muss insbesondere die Art der betroffenen Daten berücksichtigt werden.

IV. Meldepflicht gegenüber dem Betroffenen

Neben der behördlichen Meldepflicht trifft den Verantwortlichen – insbesondere die Staatsanwaltschaft – im Falle des Aktenverlustes auch die Pflicht zur Meldung des Verlustes gegenüber dem Betroffenen. Dies ergibt sich, abhängig davon, zu welchem Zweck bzw. in welchem Stadium des Strafverfahrens die Akten verschickt wurden, entweder aus Art. 34 DS-GVO oder § 66 BDSG. Inhaltlich entsprechen sich die beiden Regelungen,[25] sodass die Meldepflicht gegenüber dem Betroffenen grundsätzlich bei jedem Aktenverlust in Betracht kommt. Sie setzt jedoch voraus, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ein hohes Risiko ist dann anzunehmen, wenn bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die persönlichen Rechte und Freiheiten des Betroffenen eintritt.[26] Bei einem Verlust von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten wird jedoch regelmäßig von einem solchen hohen Risiko ausgegangen.[27] Dies gilt insbesondere in Bezug auf den Beschuldigten. Aber auch bei Zeugen kann im Einzelfall darüber nachgedacht werden, ob ein hohes Risiko eines Schadens für dessen persönlichen Rechte und Freiheiten besteht. Dies wäre wohl z.B. der Fall, wenn es sich bei dem Zeugen um einen verdeckten Ermittler handelt, dessen Identität durch den Aktenverlust aufzufliegen droht. Dementsprechend muss die Staatsanwaltschaft bei jedem Aktenverlust prüfen, ob eine Meldepflicht gegenüber dem jeweils vom Aktenverlust Betroffenen gem. Art. 34 DS-GVO oder § 66 BDSG besteht. Es ist jedoch in der Regel davon auszugehen, dass der Beschuldigte über den Aktenverlust z.B. von der Staatsanwaltschaft informiert werden muss, da personenbezogene Daten über strafrechtliche Verurteilungen (i. d. R. der BZR-Auszug in den Akten) und Straftaten (der Tatvorwurf in der verlorenen Akte) verloren gegangen sind. Ausnahmen der Meldepflicht ergeben sich lediglich aus Art. 34 Abs. 3 DS-GVO, wobei alle Varianten für den Verlust einer körperlichen Strafakte offensichtlich nicht in Betracht kommen.

V. Inhaltlicher Umfang der Meldepflicht bei Aktenverlust

In Art. 33 Abs. 3 DS-GVO bzw. § 65 Abs. 3 BDSG sind die inhaltlichen Anforderungen an die behördliche Meldepflicht sowie in Art. 34 Abs. 3 DS-GVO bzw. § 66 Abs. 2 BDSG die inhaltlichen Anforderungen an die Meldepflicht gegenüber dem Betroffenen ausdrücklich gesetzlich geregelt. Es ist auch festzuhalten, dass die Anforderungen an den Umfang der Meldepflicht in der DS-GVO sowie des BDSG inhaltsgleich sind. Die behördliche Meldepflicht umfasst demnach a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze, b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Die Meldepflicht an den Betroffenen umfasst dagegen lediglich den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Im Rahmen eines Aktenverlustes im Ermittlungsverfahren ist es jedoch im Rahmen einer Interessenabwägung nach § 66 Abs. 5 BDSG i. V. m. § 56 Abs. 2 Nr. 1 BDSG i. V. m. § 45 BDSG möglich, dass die Benachrichtigung des Beschuldigten als datenschutzrechtlich Betroffener über den Aktenverlust aufgeschoben oder unterlassen wird.

VI. Rechtsfolgen der unterbliebenen Meldung

Liegen die die Meldepflichten auslösenden Tatbestandsmerkmale (positive Merkmale und kein Ausschlussgrund) vor, so trifft den Verantwortlichen, die Meldepflicht hinsichtlich der Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und eingeschränkt auch gegenüber den Betroffenen.[28] In Bezug auf die auslösenden Tatbestandsmerkmale sind die Meldepflicht aus der DS-GVO sowie aus dem BDSG im Wesentlichen inhaltsgleich. Auf Rechtsfolgenseite ist jedoch bezüglich einer unterbliebenen Meldung zwischen der Verletzung der Meldepflicht gegenüber der Behörde (Art. 33 DS-GVO bzw. § 65 BDSG) und der Verletzung der Meldepflicht gegenüber dem Betroffenen (Art. 34 DSGVO bzw. § 66 BDSG) zu unterscheiden. Darüber hinaus muss unterschieden werden, ob die unterbliebene Meldepflicht nach dem BDSG oder nach der DS-GVO vorgesehen war.

1. Ausbleiben der behördlichen Meldepflicht

Im Gegensatz zur DS-GVO, die in Art. 82 DS-GVO eine Schadensersatzpflicht des Verantwortlichen „wegen eines Verstoßes gegen diese Verordnung“ gegenüber dem Betroffenen vorsieht, trifft den Verantwortlichen nach § 83 Abs. 1 BDSG nur bei einer „rechtswidrigen Verarbeitung“, die bei einer unterbliebenen behördlichen Meldung nicht gegeben ist, eine Schadensersatzpflicht.[29] Somit käme eine Schadensersatzpflicht wegen unterbliebener behördlicher Meldung nach Art. 82 DS-GVO nur dann in Betracht, wenn die Akte außerhalb des Anwendungsbereiches der DS-GVO verloren gegangen ist. Ein Aktenverlust im Rahmen des Ermittlungsverfahrens würde demnach keiner Schadensersatzhaftung nach Art. 82 DS-GVO unterfallen. Auch eine Schadensersatzpflicht nach § 839 BGB i. V. m. Art. 34 GG gegenüber dem Betroffenen ist abzulehnen, da die unterbliebene Meldung nach § 65 BDSG – im Gegensatz zu § 66 BDSG – nicht zugunsten des Betroffenen wirkt bzw. der Zweck der Meldepflicht in § 65 BDSG[30] nicht dem Schutz des Betroffenen, sondern der staatlichen Aufsicht und dem Aufrechterhalten sowie Wiederherstellen der Sicherheit,[31] dient, sodass die Drittbezogenheit der Amtspflicht fraglich erscheint.[32]

Ferner ist in § 65 BDSG keine eigene Rechtsfolge für die unterbliebene behördliche Meldung geregelt, sodass lediglich die Rechtswidrigkeit der unterbliebenen behördlichen Meldung festgestellt bzw. beanstandet und eine Stellungnahme bei der obersten zuständigen Bundesbehörde (vgl. § 16 Abs. 2 BDSG) eingefordert werden kann.[33] Auch käme bei unterbliebener behördlicher Meldung kein Bußgeld nach Art. 83 DS-GVO gegen die Staatsanwaltschaft in Betracht. Denn nach Art. 83 Abs. 7 DS-GVO i. V. m. § 43 Abs. 3 BDSG sieht der deutsche Gesetzgeber ausdrücklich kein Bußgeld gegen öffentliche Stellen und somit auch nicht gegen die Staatsanwaltschaft vor. Damit ist festzuhalten, dass der Staatsanwaltschaft bei unterbliebener behördlicher Meldung beim Aktenverlust im Rahmen des Ermittlungsverfahrens keine allzu großen Konsequenzen drohen.

2. Ausbleiben der Meldepflicht gegenüber Betroffenen

Hinsichtlich des Ausbleibens der Meldepflicht gegenüber den Betroffenen gelten im Wesentlichen die gleichen Rechtsfolgen wie beim Ausbleiben der behördlichen Meldepflicht, da § 66 BDSG selbst keine Rechtsfolgen bei Verstößen vorsieht, § 83 BDSG ebenfalls tatbestandlich nicht einschlägig ist, Art. 82 DS-GVO nur bei der Anwendbarkeit der DS-GVO zum Tragen kommt und nach Art. 83 Abs. 7 DS-GVO i. V. m. § 43 Abs. 3 BDSG kein Bußgeld gegenüber öffentlichen Stellen verhängt wird.[34] Aufgrund der Drittbezogenheit des § 66 BDSG kommt jedoch ein Anspruch nach § 839 BGB i. V. m. Art. 34 GG in Betracht.[35]

VII. Fazit

Sowohl in der DS-GVO als auch im BDSG sind Meldepflichten gegenüber der zuständigen Behörde als auch den Betroffenen bei der Verletzung des Schutzes personenbezogener Daten vorgesehen. Dieser Meldepflicht unterliegt auch die Staatsanwaltschaft, die beim Aktenverlust seinen Meldepflichten innerhalb von 72 Stunden nach Kenntnis nachkommen muss. Die Kenntnis ist bereits dann gegeben, wenn sowohl die Geschäftsstelle als auch der zuständige Dezernent bzw. Staatsanwalt als auch die Kollegen der Abteilung auf Nachfrage die jeweilige Akte nicht auffinden können. Sollte die Staatsanwaltschaft seinen Meldepflichten jedoch nicht nachkommen, drohen keine schwerwiegenden Konsequenzen. Insbesondere muss die Staatsanwaltschaft im Gegensatz zu den Unternehmen in der Wirtschaft kein Bußgeld „fürchten“. Dies ist jedoch aus datenschutzrechtlicher Sicht kein positives Signal, weswegen der Gesetzgeber überdenken sollte, ob er an der Vorschrift in § 43 Abs. 3 BDSG über die Öffnungsklausel des Art. 83 Abs. 7 DS-GVO festhält.

Richter auf ProbeAlexander Bleckat Der Autor ist momentan bei der Staatsanwaltschaft Hannover als Staatsanwalt tätig und Mitautor des Buches „Jura geht auch anders“.

[1] 1 Https://www.mj.niedersachsen.de/themen/digitalisierung/masterplandigitalisierung-in-der-justiz-151498.html (Stand: 03.10.2020).

[2] BGBl 2017 Teil I Nr. 45, S. 2208 ff.

[3] Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO, Art. 33, Rn. 7.

[4] Mehr dazu unter II.

[5] Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO, Art. 33, Rn. 7.

[6] Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DS-GVO Art. 4, Rn. 57.

[7] Siehe dazu: Gola DS-GVO/Reif, 2. Aufl. 2018, DS-GVO Art. 33, Rn. 31 ff.

[8] Paal/Pauly/Martini, 2. Aufl. 2018, DS-GVO, Art. 33, Rn. 18; Gola DSGVO/Reif, 2. Aufl. 2018, DS-GVO Art. 33, Rn. 31 ff; Sydow/Wilhelm, Europäische Datenschutzgrundverordnung, DS-GVO, Art. 33, Rn. 14.

[9] Spindler/Schuster/Laue, 4. Aufl. 2019, DS-GVO Art. 33, Rn. 13.

[10] BeckOK DatenschutzR/Brink, 33. Ed. 01.11.2019, DS-GVO, Art. 33, Rn. 25.

[11] Gola DS-GVO/Reif, 2. Aufl. 2018, DS-GVO, Art. 33, Rn. 32.

[12] Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder 2008/977/JI des Rates.

[13] Paal/Pauly/Ernst, 2. Aufl. 2018, BDSG § 1, Rn. 18.

[14] Gola/Heckmann/Gola, 13. Aufl. 2019, BDSG, § 65, Rn. 5.

[15] BeckOK DatenschutzR/Schlösser-Rost, 33. Ed. 01.11.2019, BDSG, § 65, Rn. 6.

[16] Paal/Pauly/Martini, 2. Aufl. 2018, DS-GVO, Art. 33, Rn. 22.

[17] Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO, Art. 33, Rn. 9; Paal/ Pauly/Martini, 2. Aufl. 2018, DS-GVO, Art. 33, Rn. 23; BeckOK DatenschutzR/Brink, 33. Ed. 01.11.2019, DS-GVO, Art. 33, Rn. 35.

[18] BeckOK DatenschutzR/Brink, 33. Ed. 01.11.2019, DS-GVO, Art. 33, Rn. 35; Erwägungsgrund 85 der DS-GVO.

[19] BeckOK DatenschutzR/Brink, 33. Ed. 01.11.2019, DS-GVO, Art. 33, Rn. 36.

[20] Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO, Art. 33, Rn. 9.

[21] BeckOK DatenschutzR/Schlösser-Rost, 33. Ed. 01.11.2019, BDSG, § 65, Rn. 12.

[22] BeckOK DatenschutzR/Schlösser-Rost, 33. Ed. 01.11.2019, BDSG, § 65, Rn. 13.

[23] Gola/Heckmann/Gola, 13. Aufl. 2019, BDSG, § 65, Rn. 14; BeckOK DatenschutzR/Schlösser-Rost, 33. Ed. 01.11.2019, BDSG, § 65, Rn. 13.

[24] Erwägungsgrund 52 JI-RL.

[25] Paal/Pauly/Gräber/Nolden, 2. Aufl. 2018, Rn. 4, BDSG, § 66, Rn. 4

[26] BeckOK DatenschutzR/Brink, 33. Ed. 01.11.2019, DS-GVO, Art. 34, Rn. 25.

[27] BeckOK DatenschutzR/Brink, 33. Ed. 01.11.2019, DS-GVO, Art. 34, Rn. 26.

[28] Schantz/Wolff/Wolff, Das neue Datenschutzrecht, 1. Aufl., E. Technisch-Organisatorische Pflichten, Rn. 926.

[29] BeckOK DatenschutzR/Schlösser-Rost, 33. Ed. 01.11.2019, BDSG, § 65, Rn. 32.

[30] Siehe zur Drittbezogenheit: MüKoBGB/Papier/Shirvani, 8. Aufl. 2020, BGB, § 839, Rn. 286.

[31] Becker, ZD 2020, 175, 176.

[32] BeckOK DatenschutzR/Schlösser-Rost, 33. Ed. 01.11.2019, BDSG, § 65, Rn. 32.

[33] BeckOK DatenschutzR/Schlösser-Rost, 33. Ed. 01.11.2019, BDSG, § 65, Rn. 31.

[34] BeckOK DatenschutzR/Schlösser-Rost, 33. Ed. 01.11.2019, BDSG, § 66, Rn. 28 f.

[35] BeckOK DatenschutzR/Schlösser-Rost, 33. Ed. 01.11.2019, BDSG, § 66, Rn. 29.