Rz. 23
Gemäß § 384a Abs. 3 AO dürfen eine Meldung nach Art. 33 DSGVO und eine Benachrichtigung nach Art. 34 Abs. 1 DSGVO in einem Straf- oder Bußgeldverfahren gegen die meldepflichtige Person oder einen ihrer in § 52 Abs. 1 StPO bezeichneten Angehörigen nur mit Zustimmung der meldepflichtigen Person verwertet werden.
Art. 33 DSGVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
|
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; |
|
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; |
|
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; |
|
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. |
(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.
Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
[...]
Rz. 24
Art. 33 DSGVO sieht vor, dass die Verletzung des Schutzes personenbezogener Daten innerhalb enger zeitlicher Grenzen unter Angabe der dort näher definierten Informationen durch den Verantwortlichen an die Aufsichtsbehörde gemeldet werden muss. Der Verantwortliche meldet also einen eigenen Verstoß, oder – nach entsprechender Benachrichtigung – einen Verstoß des von ihm eingeschalteten sog. Auftragsverarbeiters. Auftragsverarbeiter sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten (Art. 4 Nr. 8 DSGVO).
Auch bei der Benachrichtigung nach Art. 34 Abs. 1 DSGVO hat der Verantwortliche unter den dort genannten Bedingung eigenes Fehlverhalten an die betroffene Person weiterzugeben. Diese wiederum kann sich hierüber gem. Art. 77 DSGVO bei der Aufsichtsbehörde beschweren.
Damit wird der Verantwortliche und/oder dessen Auftragsverarbeiter letztlich durch die Verordnung gezwungen, eigenes Fehlverhalten weiterzuleiten. Ein solches Fehlverhalten ist jedoch grundsätzlich geeignet, gem. Art. 58 Abs. 2 Buchst. i i.V.m. Art. 83 DSGVO eine Geldbuße nach sich zu ziehen. Dies würde dem verfassungsrechtlich verankerten Grundsatz der Selbstbelastungsfreiheit (nemo tenetur se ipsum accusare) zuwiderlaufen. Zur Selbstbelastungsfreiheit s. auch § 393 Rz. 16 ff.
Rz. 25
§ 384a Abs. 3 AO dient dem Schutz des Rechts, sich nicht selbst bzw. einen nahen Angehörigen i.S.d. § 52 Abs. 1 StPO – der Verlobte des Betroffenen oder die Person, mit der der Betroffene ein Versprechen eingegangen ist, eine Lebenspartnerschaft zu begründen (Nr. 1); der Ehegatte des Betroffenen, auch wenn die Ehe nicht mehr besteht (Nr. 2); der Lebenspartner des Betroffenen, auch wenn die Lebenspartnerschaft nicht mehr besteht (Nr. 2a); wer mit dem Betroffenen in gerader Linie verwandt oder verschwägert, in der Seitenlinie bis zum dritten Grad verwandt oder bis zum zweiten Grad verschwägert ist oder war (Nr. 3; s. hierzu auch § 385 Rz. 222) – einer Straftat oder Ordnungswidrigkeit bezic...