DGSVO Meldepflicht – Selbstanzeige?

Folgt aus einer meldepflichtigen Datenpanne eine Pflicht zur Selbstanzeige einer Ordnungswidrigkeit oder gar Straftat?

Eigentlich soll bei der Verarbeitung personenbezogener Daten alles gemäß dem Datenschutz ablaufen. Wenn doch einmal der Schutz solcher Daten verletzt wird, besteht nach den Art. 33 und 34 DSGVO eine Meldepflicht des Verantwortlichen. Der Verstoß muss unverzüglich der zuständigen Aufsichtsbehörde angezeigt werden. Eine Ausnahme besteht nur dann, wenn von vornherein kein Risiko für die Rechte der Betroffenen besteht. Doch steckt der Verantwortliche in einem Dilemma, wenn die anzuzeigende Verletzung zugleich eine Ordnungswidrigkeit oder gar Straftat darstellt. Dann wird die Meldepflicht zu einer Pflicht zur Selbstanzeige. Doch gilt in einem Rechtsstaat nicht, dass niemand an seiner eigenen Strafverfolgung mitwirken muss? Das Verbot der Selbstbelastung gilt auch auf europäischer Ebene. Dass garantiert nicht nur die Menschenrechtskonvention, sondern auch die europäische Grundrechtecharter.  

Diesen Konflikt hat aber auch der deutsche Gesetzgeber gesehen und unter anderem in den §§ 42 Abs. 4 und 43 Abs. 4 BDSG geregelt. Danach dürfen Informationen, die im Wege der Meldepflicht erlangt wurden nicht für ein anschließendes Straf- oder Ordnungswidrigkeitenverfahren verwendet werden. Das darf allerdings nicht nur für die Straf- und Bußgeldvorschriften des BDSG gelten, sondern muss auch die Sanktionen in der DSGVO umfassen. Nach Art. 83 Abs. 8 DSGVO müssen die Mitgliedsstaaten angemessene Verfahrensgarantien schaffen. Das beinhaltet wohl auch die Berücksichtigung eines so fundamentalen Rechtsstaatsgrundsatzes wie das Verbot der Selbstbelastung. 

Sollten Sie weitere Fragen zum Thema Selbstanzeige oder zu meldepflichtigen Datenpannen haben, stehen wir Ihnen jederzeit zur Verfügung.