4.3          Justiz

4.3.1       Mitteilung an den Arbeitgeber über ein Strafverfahren

Staatsanwaltschaften und Gerichte sind verpflichtet, den Arbeitgeber eines Beschuldigten über das Strafverfahren zu informieren, wenn diese Information für arbeitsrechtliche Maßnahmen des Arbeitgebers, wie z. B. eine Kündigung, erforderlich ist. Dies setzt im Wesentlichen zwei Dinge voraus: Erstens muss der Tatvorwurf für die berufliche Tätigkeit relevant sein. Es muss sich um eine Verletzung von Berufsausübungspflichten handeln, oder es müssen sich aufgrund des Tatvorwurfs Zweifel an der Eignung, Zuverlässigkeit oder Befähigung des Betroffenen für seine berufliche Tätigkeit ergeben. Zweitens darf eine Übermittlung erst erfolgen, wenn die Ermittlungen so weit vorangeschritten sind, dass von einem gefestigten Tatverdacht ausgegangen werden kann. Dies ist z. B. der Fall, wenn die Staatsanwaltschaft Anklage erhoben hat.

In einem Fall hat sich ein Arbeitnehmer an uns gewandt, weil er der Meinung war, der Staatsanwalt hätte seinen Arbeitgeber nicht über das gegen ihn geführte Strafverfahren informieren dürfen. Nach Prüfung dieser Übermittlung haben wir die Auffassung des Arbeitnehmers bestätigt und gegenüber der Staatsanwaltschaft eine Beanstandung nach dem Landesdatenschutzgesetz (in der Fassung, die bis zum 24. Mai 2018 galt) ausgesprochen.

Die Besonderheit in diesem Fall lag darin, dass gegen den Arbeitnehmer zwei Strafverfahren geführt wurden. In dem ersten Verfahren ging es um den eigentlichen Vorwurf. Das zweite Verfahren wurde wegen des Verdachts der falschen Verdächtigung eingeleitet, weil der Arbeitnehmer in dem Ausgangsverfahren Beschwerde eingelegt und darin aus Sicht der Staatsanwaltschaft wahrheitswidrige Behauptungen aufgestellt hatte.

Der eigentliche Vorwurf, der mit dem ersten Strafverfahren verfolgt wurde, war zwar möglicherweise relevant für die Berufsausübung des Beschwerdeführers. In diesem Verfahren war jedoch keine Information an den Arbeitgeber erfolgt, vielleicht weil die Ermittlungen noch nicht weit genug vorangeschritten waren. Dagegen war im zweiten Strafverfahren eine Übermittlung vorgenommen worden. Dies war vom Stand des Ermittlungsverfahrens aus betrachtet zwar zulässig. Es fehlte hier jedoch die Relevanz des Strafverfahrens für die Berufsausübung des Arbeitnehmers. Die Staatsanwaltschaft konnte nicht begründen, warum der Verdacht einer falschen Verdächtigung für die Ausübung des Berufs erheblich war. Vielmehr begründete sie die Übermittlung mit dem Tatvorwurf aus dem ersten Verfahren. Hier lag jedoch offenbar noch keine Anklage oder eine ähnliche Zwischenentscheidung der Staatsanwaltschaft vor, sodass eine Information des Arbeitgebers darüber jedenfalls zu diesem Zeitpunkt nicht zulässig war.

Die gesetzlichen Vorgaben dürfen nicht durch den Abschluss eines zweiten – damit zwar zusammenhängenden, für sich genommen aber für den Arbeitgeber nicht relevanten – Verfahrens umgangen werden.

 

4.3.2       Änderungen für Notare durch die Datenschutz-Grundverordnung

Für Notare hat die Datenschutz-Grundverordnung zwei wichtige Neuerungen gebracht. Mitteilungen von Notaren an das ULD zeigen, dass diese den Notaren oft nicht bewusst sind.

Pflicht zur Benennung eines Datenschutzbeauftragten

Notare sind als Träger eines öffentlichen Amts öffentliche Stellen im Sinne des Art. 37 Abs. 1 Buchst. a DSGVO und § 2 Abs. 1 Satz 2 LDSG. Öffentliche Stellen sind nach Art. 37 Abs. 1 Buchst. a DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen. Diese Pflicht knüpft allein an die Eigenschaft der öffentlichen Stelle an und gilt damit unabhängig von der Zahl der Beschäftigten oder anderer Größen. Eine Erleichterung mag es für kleine öffentliche Stellen wie Notare darstellen, dass mehrere Stellen gemeinsam einen Datenschutzbeauftragten benennen können. Damit reicht es aus, wenn Rechtsanwälte und Notare einen gemeinsamen Datenschutzbeauftragten benennen. Nach der DSGVO muss es sich bei dem Datenschutzbeauftragten auch nicht mehr um einen Beschäftigten der öffentlichen Stelle oder einen Beschäftigten im öffentlichen Dienst handeln. Es können auch externe Datenschutzbeauftragte benannt werden.

Wegfall der Pflicht zur Vorlage des Verfahrensverzeichnisses beim ULD

Nach § 7 Abs. 3 des Landesdatenschutzgesetzes in der bis zum 24. Mai 2018 geltenden Fassung waren öffentliche Stellen verpflichtet, dem ULD den Einsatz von automatisierten Datenverarbeitungsverfahren zu melden, wenn sie keinen Datenschutzbeauftragten bestellt hatten.

Diese Meldepflicht ist mit Wirksamwerden der DSGVO weggefallen. Die Datenschutz-Grundverordnung enthält keine solchen Meldepflichten mehr. Bestehen geblieben ist allerdings die Pflicht für Notare, ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Artikel 30 DSGVO). Wir haben die Notarkammer über die neue Rechtslage informiert und darum gebeten, die Notare entsprechend zu unterrichten.

 

4.3.3       Meldepflicht zu Datenpannen im Justizbereich wohl noch nicht umfassend umgesetzt

Unter der Textziffer 4.2.5 hatten wir die Meldepflicht zu Verletzungen des Schutzes personenbezogener Daten im Polizeibereich beschrieben: Sobald eine Datenpanne bekannt geworden ist, muss dies unverzüglich, möglichst innerhalb von 72 Stunden, der Landesbeauftragten für Datenschutz gemeldet werden. Diese Meldepflicht besteht auch für den Justizbereich.

Aus der schleswig-holsteinischen Justiz hat uns im Berichtszeitraum nur eine Meldung erreicht. Die Meldungen aus anderen Bereichen zeigen, dass Verletzungen des Schutzes personenbezogener Daten im Tagesgeschäft deutlich häufiger vorkommen. Dies lässt vermuten, dass die gesetzliche Meldepflicht in der Justiz noch nicht überall umgesetzt ist. Die gesetzliche Meldepflicht kann nur funktionieren, wenn die Mitarbeiterinnen und Mitarbeiter der Justiz sowie ihre Führungskräfte Verletzungen des Schutzes personenbezogener Daten erkennen und einen definierten Meldeweg einhalten. Es muss daher in den Behörden ein Prozess etabliert werden, an dem von den einzelnen Mitarbeiterinnen und Mitarbeitern bis zur Behördenleitung alle mitwirken, um Verletzungen zu erkennen und die erforderlichen Maßnahmen zu ergreifen. Empfehlenswert ist es, in diesen Prozess beratend auch die oder den Datenschutzbeauftragten der Behörde einzubinden. Denn mit der Meldung an die Datenschutzaufsichtsbehörde ist vielfach noch nicht alles getan. Wichtig ist es für den Verantwortlichen, die Ursachen und die möglichen Folgen einer Verletzung zu erkennen und gegebenenfalls Schutzmaßnahmen zu ergreifen, beispielsweise um die Folgen eines Angriffs mit Schadsoftware zu beseitigen und dafür zu sorgen, dass sich die Datenpannenfälle künftig nicht wiederholen. Besteht aufgrund der Verletzung für die betroffenen Personen ein hohes Risiko für ihre Rechte und Freiheiten, sind auch die betroffenen Personen zu benachrichtigen.

 

Was ist zu tun?
Auch im Justizbereich muss die Meldepflicht zu Datenpannen landesweit in der Praxis bekannt gemacht und umgesetzt werden.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel