Si tacuisses … – nemo tenetur und die DS-GVO*
Die DS-GVO enthält für Verantwortliche und Auftragsverarbeiter diverse Informations-, Kooperations- und Meldepflichten. Würde man diese Pflichten unmodifiziert anwenden, müssten sich die Verpflichteten häufig selbst belasten. Dieser Beitrag gibt einen Überblick über die Anwendung des nemo tenetur-Grundsatzes auf deutscher und europäischer Ebene und zur Europarechtskonformität des Auskunftsverweigerungsrechts und des Verwendungsverbots im deutschen Datenschutzrecht.
I. Überblick
Si tacuisses, philosophus mansisses – wenn du geschwiegen hättest, so wärest du ein Philosoph geblieben. Die Datenschutz-Grundverordnung (DS-GVO) sieht jedoch diverse Konstellationen vor, in denen datenschutzrechtlich Verantwortliche und Auftragsverarbeiter nicht schweigen dürfen, sondern zur aktiven Kommunikation verpflichtet sind. So besteht für Verantwortliche und Auftragsverarbeiter und gegebenenfalls deren Vertreter die Pflicht, auf Anfrage mit der zuständigen Datenschutzbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten. Die Behörden haben gegenüber den Verantwortlichen und Auftragsverarbeitern umfassende Informationsrechte. Kommt es zu einer „Verletzung des Schutzes personenbezogener Daten“, kann die Pflicht entstehen, diese an die zuständige Datenschutzbehörde und gegebenenfalls die betroffenen Personen zu melden. Verstöße gegen diese Pflichten können sanktioniert werden. Es stellt sich daher die Frage nach dem Verhältnis dieser Pflichten zur Selbstbelastungsfreiheit im Straf- und Ordnungswidrigkeitenverfahren (nemo tenetur se ipsum accusare).
II. Auskunfts- und Meldepflichten unter der DS-GVO
1. Auskunftspflichten
Gemäß Art. 58 Abs. 1 lit. a) DS-GVO kann die Datenschutzbehörde den Verantwortlichen oder Auftragsverarbeiter anweisen, alle Informationen bereitzustellen, die für die Erfüllung der Aufgaben der Behörde erforderlich sind. Die Bereitstellung kann – je nach Information – durch Übermittlung von Kopien, Daten bzw. Datenträgern oder eigens für die Informationsübermittlung erstellte Zusammenfassungen oder Vermerke erfolgen. Ein Verstoß gegen eine Aufforderung der Behörde ist nicht direkt bußgeldbewehrt. Allerdings kann ein Verstoß gegen die Kooperationspflicht nach Art. 31 DS-GVO vorliegen, der gemäß Art. 83 Abs. 4 lit. a) DS-GVO mit einer Geldbuße sanktioniert werden kann. Zudem besteht in Deutschland die Möglichkeit, die Befolgung einer Auskunftsanordnung mit den Mitteln der Verwaltungsvollstreckung, also Zwangsgeld, durchzusetzen. Kommt der Verantwortliche oder Auftragsverarbeiter seinen Auskunftspflichten ordnungsgemäß nach, besteht für ihn die Gefahr, dass er der Datenschutzbehörde Informationen offenlegt, die Datenschutzverstöße belegen und im Anschluss für ein Bußgeldverfahren verwendet werden.
2. Meldepflichten
Neben den Auskunftspflichten auf Anfrage enthält die DS-GVO im Fall einer „Verletzung des Schutzes personenbezogener Daten“ (Art. 4 Nr. 12 DS-GVO) die Pflicht zur unaufgeforderten Meldung an die Behörde (Art. 33 DS-GVO) und zur Benachrichtigung der betroffenen Personen (Art. 34 DS-GVO). Verstöße gegen die Melde- bzw. Benachrichtigungspflicht können gemäß Art. 58 Abs. 2 lit. i) DS-GVO i.V.m. Art. 83 Abs. 4 lit. a) DS-GVO mit einer Geldbuße geahndet werden. Für den Auftragsverarbeiter besteht gemäß Art. 33 Abs. 2 DS-GVO eine eigene Meldepflicht gegenüber dem Verantwortlichen.
Gemäß Art. 33 Abs. 3 lit. a) DS-GVO muss die Meldung an die Datenschutzbehörde u.a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten und, soweit möglich, eine Angabe der betroffenen Datenkategorien enthalten. Es kann also sein, dass der Datenschutzbehörde im Rahmen der Meldung Informationen offengelegt werden, die Verstöße gegen die DS-GVO belegen, z.B. unzureichende technische und organisatorische Maßnahmen i. S. d. Art. 32 DS-GVO. Als Beispiel kann hier auf das Bußgeldverfahren des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg gegen den Social-Media-Anbieter „Knuddels“ verwiesen werden. Es kann zudem sein, dass im Rahmen der Meldung herauskommt, dass personenbezogene Daten betroffen sind, die nicht (mehr) hätten verarbeitet werden dürfen. Diese Informationen kann die Datenschutzbehörde gegebenenfalls auch aus den Benachrichtigungen der betroffenen Personen entnehmen. Auch im Rahmen der Pflichten nach Art. 33, 34 DS-GVO kann der Verantwortliche also in die Zwickmühle geraten, sich selbst belasten zu müssen oder aber gegen bußgeldbewehrte Pflichten aus der DS-GVO zu verstoßen.
III. Der nemo tenetur-Grundsatz im deutschen und europäischen Recht
Der Grundsatz nemo tenetur se ipsum accusare besagt, dass niemand gezwungen werden darf, sich selbst in einem Straf- oder Ordnungswidrigkeitenverfahren zu belasten. Der Grundsatz der Selbstbelastungsfreiheit ist, mit unterschiedlicher Begründung, sowohl im deutschen Verfassungsrecht als auch auf Ebene des Gemeinschaftsrechts dem Grunde nach anerkannt. Fraglich ist jedoch der konkrete Umfang und inwieweit der Grundsatz auch für Unternehmen gilt.
1. Rechtsprechung des BVerfG
Das Bundesverfassungsgericht (BVerfG) leitet den nemo tenetur-Grundsatz zunächst aus dem allgemeinen Persönlichkeitsrecht, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG), ab. Ein Zwang zur Selbstbezichtigung berühre zugleich die Würde des Menschen, dessen Aussage als Mittel gegen ihn selbst verwendet wird. Klang dies bereits in früheren Entscheidungen an, stützt das BVerfG die Selbstbelastungsfreiheit in neueren Entscheidungen ausdrücklich auf das Rechtsstaatsprinzip, Art. 20 Abs. 3 GG. Im Rahmen des Strafverfahrens dürfe niemand gezwungen werden, sich durch seine eigene Aussage einer Straftat zu bezichtigen oder zu seiner Überführung aktiv beizutragen. Das BVerfG wendet den nemo tenetur-Grundsatz nicht nur im Straf-, sondern auch im Ordnungswidrigkeitsverfahren an. Die Anwendung des nemo tenetur-Grundsatzes auf juristische Personen hat das BVerfG bislang ausdrücklich abgelehnt. Der Bezug der Selbstbelastungsfreiheit zur Menschenwürde sei i.R.d. Art. 19 Abs. 3 GG dem Wesen nach nicht auf juristische Personen anwendbar. Zudem begehe ein Organwalter unter Verletzung von Pflichten der juristischen Person die Tat. Die Festsetzung einer Geldbuße gegen die juristische Person gemäß § 30 Gesetz über Ordnungswidrigkeiten (OWiG) enthalte weder einen Schuldvorwurf noch eine ethische Missbilligung, sondern solle lediglich einen Ausgleich für die aus der Tat gezogenen Vorteile schaffen.
Inwieweit diese Wertung des BVerfG zukünftig Bestand haben wird, ist mehr als fraglich. Das alleinige Abstellen auf die Menschenwürde widerspricht der Verankerung der Selbstbelastungsfreiheit im Rechtsstaatsprinzip. Das Rechtsstaatsprinzip steht als justizielles Grundrecht auch juristischen Personen zu. Warum ein Bußgeld, das gegen eine juristische Person verhängt wird, einen anderen Charakter haben soll als ein Bußgeld gegen eine natürliche Person, ist dogmatisch nicht wirklich nachvollziehbar. Bei Ordnungswidrigkeitenverfahren aufgrund mutmaßlicher Verstöße gegen die DS-GVO muss zudem berücksichtigt werden, dass das als Verantwortlicher oder Auftragsverarbeiter handelnde Unternehmen originärer Adressat der Geldbuße ist, ohne dass eine Zurechnung über § 30 OWiG erforderlich wäre. Schließlich gesteht das BVerfG das Grundrecht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, in jüngeren Entscheidungen auch juristischen Personen zu. Auch insoweit dürfte eine pauschale Ablehnung der Selbstbelastungsfreiheit für Unternehmen nicht mehr haltbar sein.
2. Rechtsprechung des EGMR und des EuGH
a) EGMR
Der EGMR leitet den nemo tenetur-Grundsatz in ständiger Rechtsprechung aus dem Recht auf ein faires Verfahren nach Art. 6 Abs. 1 der Europäischen Menschenrechtskonvention (EMRK) ab. Das Recht zu schweigen und das Recht, nicht zu seiner eigenen Beschuldigung beizutragen, sind nach Auffassung des Gerichts international allgemein anerkannte Grundsätze, die ein Kernstück des von Art. 6 Abs. 1 EMRK garantierten fairen Verfahrens darstellen. Die Selbstbelastungsfreiheit umfasst zunächst das Recht zu schweigen, nicht aber ein allgemeines Verbot, unabhängig vom Willen des Beschuldigten existierende Beweismittel mittels Zwang zu erlangen, wie etwa aufgrund eines Durchsuchungsbeschlusses erlangte Dokumente oder Atemalkoholkontrollen oder Blut-, Urin- oder Gewebeproben zwecks DNA-Analyse. Die Grenze zwischen einer aktiven Beweismittelherausgabepflicht und einer unzulässigen Selbstbelastung ist jedoch dort überschritten, wo der Beschuldigte aufgefordert wird, Dokumente zusammenzustellen und zu übergeben. Zur Geltung des nemo tenetur-Grundsatzes für Unternehmen hat sich der EGMR noch nicht ausdrücklich geäußert. Die in Art. 6 Abs. 1 EMRK verankerten prozessualen Verteidigungsrechte werden aber auch juristischen Personen zuerkannt.
Was die Anwendung des Art. 6 Abs. 1 EMRK auf die Bußgeldbestimmungen der DS-GVO betrifft, so ist zwar die EU selbst der EMRK nicht beigetreten, die EU-Mitgliedsstaaten, und damit die Träger der Datenschutzbehörden, haben die EMRK jedoch ratifiziert. Das Recht auf ein faires Verfahren wird zudem auch durch Art. 47 Abs. 2 S. 1 der Charta der Grundrechte der Europäischen Union (GRCh) gewährt. Über Art. 52 Abs. 3 GRCh ist die Auslegung des Art. 6 Abs. 1 EMRK bei der Auslegung des Art. 47 Abs. 2 S. 1 GRCh heranzuziehen. Über Art. 6 Abs. 1 EUV wird die GRCh zudem allgemein in das Gemeinschaftsrecht inkorporiert. Art. 6 Abs. 1 EMRK ist daher von den nationalen Datenschutzbehörden bei der Anwendung der Bußgeldvorschriften der DS-GVO zu berücksichtigen.
b) EuGH
Der EuGH hat sich bislang im Zusammenhang mit kartellrechtlichen Sanktionen durch die Europäische Kommission gegenüber Unternehmen mit der Frage der Selbstbelastungsfreiheit auseinandergesetzt. Das Gericht geht hierbei von einem äußerst begrenzten „Geständnisverweigerungsrecht“ aus. Nach den im Fall Orkem aufgestellten und später fortgeführten Grundsätzen gesteht der EuGH Unternehmen grundsätzlich den Schutz durch Art. 6 EMRK zu, und zwar auch in Verwaltungsverfahren, sofern diese zu Sanktionen führen können. Das Gericht sieht die Grenze zur unzulässigen Selbstbelastung jedoch dann überschritten, wenn die Kommission durch eine Entscheidung, mit der Auskünfte angefordert werden, die Verteidigungsrechte des Unternehmens beeinträchtigt. Dies soll erst dann der Fall sein, wenn dem Unternehmen die Verpflichtung auferlegt wird, Antworten zu erteilen, durch die es das Vorliegen einer Zuwiderhandlung eingestehen müsste, für die die Kommission den Beweis zu erbringen hat. Demgegenüber soll es zulässig sein, das Unternehmen zu verpflichten, der Kommission alle erforderlichen Auskünfte über ihm eventuell bekannte Tatsachen zu erteilen und der Kommission erforderlichenfalls die in seinem Besitz befindlichen Schriftstücke, die sich hierauf beziehen, zu übermitteln, selbst wenn sie dazu verwendet werden können, den Beweis für ein wettbewerbswidriges Verhalten des betreffenden oder eines anderen Unternehmens zu erbringen. Dieser Ansatz bleibt hinter dem Schutzniveau des Art. 6 Abs. 1 EMRK in der Auslegung des EGMR zurück.
IV. Regelungen zur Lösung des Konflikts im deutschen Recht
1. Auskunftsverweigerungsrecht
Gemäß § 40 Abs. 4 S. 2 BDSG hat der gegenüber der Datenschutzbehörde Auskunftspflichtige, also der Verantwortliche oder Auftragsverarbeiter, das Recht, die Auskunft auf solche Fragen zu verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1-3 Zivilprozessordnung (ZPO) bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem OWiG aussetzen würde. Der Verweis auf die nahestehenden Personen ist erforderlich, da neben juristischen Personen auch natürliche Personen Verantwortliche oder Auftragsverarbeiter sein können. Für diese hat es durchaus Sinn, nahestehende Personen einzubeziehen, ohne dass aber Unternehmen ausgenommen werden würden. Gemäß § 40 Abs. 4 S. 3 BDSG muss die Behörde den Auskunftspflichtigen auf das Auskunftsverweigerungsrecht hinweisen – ansonsten greift ein Beweisverwertungsverbot. Das Auskunftsverweigerungsrecht umfasst nicht die Verweigerung von Auskünften zwecks Zugang zu Datenverarbeitungsanlagen und -geräten, z.B. durch Herausgabe des Passworts. Dies ist in § 40 Abs. 5 S. 1 BDSG gesondert geregelt.
Eine Einschränkung des Schutzes von Unternehmen resultiert nicht daraus, dass gemäß § 40 Abs. 4 S. 1 BDSG nicht nur die der Aufsicht unterliegenden Stellen, also der Verantwortliche und der Auftragsverarbeiter, einer Auskunftspflicht unterworfen werden, sondern auch die mit deren Leitung beauftragten Personen. Es wird vertreten, dass die Auskunftspflicht der mit der Leitung der jeweiligen Stelle beauftragten Personen mit den Regelungen der DS-GVO nicht vereinbar ist, da das Auskunfts- und Kooperationsrecht nach Art. 58 Abs. 1 lit. a) DS-GVO i.V.m. Art. 31 DS-GVO gegen den Verantwortlichen/Auftragsverarbeiter den Komplex bereits abschließend regelt. Dem ist zuzustimmen, da Unternehmen nur durch ihre Leitungspersonen handeln können und sich diese daher auch für das Unternehmen auf das Auskunftsverweigerungsrecht berufen können müssen. Selbst wenn die mit der Leitung beauftragten Personen keinem Sanktionsrisiko ausgesetzt wären, müssten sie das Auskunftsverweigerungsrecht zugunsten des Unternehmens ausüben können. Da Unternehmen immer nur über natürliche Personen handeln können, würde das Recht ansonsten leer laufen.
2. Verwendungsverbot
Laut § 43 Abs. 4 BDSG darf eine Meldung nach Art. 33 DS-GVO oder eine Benachrichtigung nach Art. 34 Abs. 1 DS-GVO im Ordnungswidrigkeitenverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Abs. 1 Strafprozessordnung (StPO) bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden. § 42 Abs. 4 BDSG enthält eine entsprechende Regelung für das Strafverfahren. Die bußgeldbewehrte Melde- bzw. Benachrichtigungspflicht des Verantwortlichen sowie die Meldepflicht des Auftragsverarbeiters werden durch ein Verwendungs- und damit auch Verwertungsverbot kompensiert, um das Spannungsverhältnis zu einer Selbstbelastung zu lösen. Die Datenschutzbehörde darf die Informationen, welche sie direkt vom meldepflichtigen Verantwortlichen oder über eine Benachrichtigung der betroffenen Personen erhält daher grundsätzlich nicht für die Verhängung einer Geldbuße nach Art. 58 Abs. 2 lit. i) DS-GVO i.V.m. Art. 83 DS-GVO verwenden. Sofern Meldungen des Auftragsverarbeiters an den Verantwortlichen gemäß Art. 33 Abs. 2 DS-GVO an die Behörde gelangen, dürfen diese ebenfalls nicht für die Bebußung des Auftragsverarbeiters verwendet werden. Die Staatsanwaltschaft ist im Strafverfahren im selben Umfang an das Verwendungsverbot gebunden. Ein Verstoß resultiert in einem Beweisverwertungsverbot.
V. Vereinbarkeit der deutschen Regelungen mit der DS-GVO
1. Kritik an der Europarechtskonformität
Teilweise wird von Seiten der Datenschutzbehörden und in der Literatur vertreten, das Verwendungsverbot in § 43 Abs. 4 BDSG sei europarechtswidrig. Begründet wird dies damit, dass das Verwendungsverbot über diejenigen Verfahrensgarantien hinausgehe, die europarechtlich geboten seien. Die grundsätzlich engere Auslegung des nemo tenetur-Grundsatzes auf europäischer Ebene impliziere eine Europarechtswidrigkeit. Das Grundgesetz sei im Übrigen kein Prüfungsmaßstab. Keine Bedenken werden gegen das strafprozessuale Verwendungsverbot nach § 42 Abs. 4 BDSG erhoben, da insoweit keine bindenden Vorgaben durch die DS-GVO bestünden.
Eine vermittelnde Auffassung respektiert das Verwendungsverbot des § 43 Abs. 4 BDSG zwar grundsätzlich, will aber eine Ahndung von Datenschutzverstößen insoweit zulassen, als die Inhalte der Meldung im Rahmen des Aufsichtsverfahrens oder eines Bußgeldverfahrens von der Aufsichtsbehörde selber hätten ermittelt werden können. Hier solle die Rechtsprechung zu § 97 Insolvenzordnung (InsO) gelten.
2. Stellungnahme
Die Kritik an § 43 Abs. 4 BDSG (und damit auch implizit an § 40 Abs. 4 S. 2 BDSG) hält einer näheren Betrachtung nicht stand. Zunächst ist die Annahme nicht zutreffend, dass nur Art. 6 Abs. 1 EMRK und Art. 47 Abs. 2 S. 1 GRCh, nicht aber das GG, Prüfungsmaßstab seien. Die deutschen Datenschutzbehörden sind auch an das GG gebunden, da die konkrete Anwendung auf Grundlage eines Anpassungs- und Umsetzungsgesetzes erfolgt. Es ist zudem gerade nicht eindeutig, dass die Verwendungsverbote in §§ 40 Abs. 4 S. 2, 43 Abs. 4 BDSG über den Umfang des nemo tenetur-Grundsatzes i. S. d. Art. 6 Abs. 1 EMRK hinausgehen. Es dürfte zwar zutreffend sein, dass jedenfalls das Verwendungsverbot nach § 40 Abs. 4 S. 2 BDSG bei Auskunftspflichten über das enge Verständnis des EuGHs hinausgeht. Allerdings musste sich der EuGH bislang noch nicht mit einer bußgeldbewehrten aktiven Selbstanzeigepflicht auseinandersetzen. Die Pflichten nach Art. 33, 34 DS-GVO gehen deutlich über die, oft kritisierte, Kronzeugenregelung im EU-Kartellrecht hinaus. Es ist also nicht absehbar, ob der EuGH den Zwang bei der Breach Notification noch für mit Art. 6 Abs. 1 EMRK vereinbar halten wird. Zudem muss auch die Auslegung des EGMR berücksichtigt werden. Gerade die Entscheidung J. B./Schweiz enthält zahlreiche Anhaltspunkte dafür, dass das umfassende Informationsrecht nach Art. 58 Abs. 1 lit. a) DS-GVO und erst recht die aktive Melde- und Benachrichtigungspflicht über die Grenzen einer zulässigen Einschränkung der Selbstbelastungsfreiheit hinausgehen. Zudem muss berücksichtigt werden, dass es sich bei der Auslegung des Art. 6 Abs. 1 EMRK durch den EGMR um eine case law-orientierte Entscheidungspraxis mit wenig dogmatischen Konturen handelt. Solange der EGMR sich also nicht explizit zu den Pflichten unter der DS-GVO geäußert hat, ist es schlicht nicht absehbar, welche Bewertung das Gericht vornehmen wird.
Zudem stellt nicht jedes Verwendungsverbot nach mitgliedstaatlichem Recht einen Verstoß gegen die DS-GVO dar. Die Art. 58 Abs. 4, 83 Abs. 8 DS-GVO enthalten Öffnungsklauseln, damit die Ausübung der Befugnisse der Datenschutzbehörden vorbehaltlich geeigneter Garantien einschließlich ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des jeweiligen Mitgliedsstaates erfolgt. Vor dem Hintergrund, dass (i) es keine eindeutige Entscheidung des EGMR gegen die Gewährung umfassender Verwendungsverbote gibt, (ii) die Rechtsprechung des EuGH zur Selbstbelastungsfreiheit im Unionskartellrecht massiv kritisiert wird, (iii) sich eine Änderung der Rechtsprechung des BVerfG zur Anwendung der Selbstbelastungsfreiheit für juristische Personen abzeichnet und (iv) in den letzten Jahren verstärkt ein Verständnis des nemo tenetur-Grundsatzes als prozessuale Gewährleistung gefordert wird, muss den Mitgliedsstaaten hier Ermessensspielraum zugestanden werden. Der deutsche Gesetzgeber hat eine gut vertretbare Interpretation des sich entwickelnden Begriffs der Selbstbelastungsfreiheit vorgenommen. Es liegt gerade keine willkürliche Beschränkung der Rechte der Datenschutzbehörden – und damit mittelbar der betroffenen Personen – vor, die ja weiterhin verwaltungs- bzw. zivilrechtlich gegen Verantwortliche und Auftragsverarbeiter vorgehen können, da der nemo tenetur-Grundsatz unstreitig weder im Verwaltungsverfahren noch im Zivilprozess gilt.
Eine Einschränkung des Verwendungsverbots unter Verweis auf § 97 InsO ist mit § 43 Abs. 4 BDSG nicht vereinbar. Das Verwendungsverbot in § 97 Abs. 1 S. 3 InsO schließt sogar etwaige Fernwirkungen mit ein, sodass die Auskünfte nicht einmal als Grundlage für den Beginn gezielter Ermittlungen nach anderen selbstständigen Beweismitteln verwendet werden dürfen. Die vom LfDI Hessen vorgenommene hypothetische ex post-Betrachtung soll gerade verhindert werden.
VI. Fazit
Das Auskunftsverweigerungsrecht in § 40 Abs. 4 S. 2 BDSG und das Verwendungsverbot in § 43 Abs. 4 BDSG sind mit dem Unionsrecht vereinbar und schaffen im Hinblick auf das Erfordernis eines fairen Verfahrens einen angemessenen Ausgleich zwischen den umfassenden Informations-, Kooperations- und Meldepflichten der DS-GVO und einem modernen Verständnis des nemo tenetur-Grundsatzes. Unternehmen müssen bei Auskunftsanfragen der Datenschutzbehörden und Bußgeldverfahren im Nachgang zu einem Data Breach eine dem Einzelfall angemessene und sinnvolle Verteidigungsstrategie wählen und dann konsequent durchhalten. Manchmal kann auch Kooperation der zielführende Weg sein.