HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
Aug./Sept. 2018
19. Jahrgang
PDF-Download
Aufsätze und Entscheidungsanmerkungen
Datensparsamkeit in der StPO – Die Möglichkeit der Löschung
Von RA Dr. Eren Basar und Dr. Mayeul Hiéramente[*]
I. Einleitung
Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG) im Mai 2018 hat über die Grenzen juristischer Fachkreise Aufmerksamkeit erfahren und in Gesellschaft, Wissenschaft und anwaltlicher Praxis das Bewusstsein für datenschutzrechtliche Fragestellungen geschärft. Im Bereich des Strafrechts ist das Thema "Datenschutz" allerdings bislang nur gestreift worden. Auch die "Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates" wird noch kaum wahrgenommen.
Gerade im Strafprozess müsste das Gebot der Datensparsamkeit allerdings viel mehr Aufmerksamkeit geschenkt werden. In kaum einem behördlichen Verfahren werden derartige Massen an personenbezogenen Daten erhoben. Die strafprozessuale Sachaufklärung zielt gerade darauf ab, einen Sachverhaltskomplex umfassend aufzuklären. Es liegt in der Natur der Sache, dass dabei zahlreiche, höchst sensible Daten von Dritten erhoben, gespeichert und ausgewertet werden. In Zeiten der Digitalisierung steigen Umfang und Streubreite der Datenerhebung noch einmal exponentiell an. Dennoch ist für viele Praktiker der Datenschutz nur eine Randnotiz zum Verfahren. Er gerät im Alltag schnell in Vergessenheit.
Dabei sind in der Strafprozessordnung datenschutzrechtliche Grundprinzipien schon lange fest verankert. Die Zweckgebundenheit der Datenerhebung bei schwerwiegenden Grundrechtseingriffen (vgl. § 477 Abs. 2 S. 2 StPO) ist nur ein Beispiel für das gesetzgeberische Bewusstsein für Datenschutz im Strafverfahren. Neuerdings ist die Zweckgebundenheit auch für Personen verankert, die Akteneinsicht erhalten (§ 32f Abs. 5 StPO). Den Ermittlungsbehörden legt die Strafprozessordnung umfangreiche Beschränkungen bei der Datenerhebung und -verwendung auf. Die Erfahrung lehrt indes, dass die Erforderlichkeitsprüfung bei der Datenerhebung, eine Ausprägung des Grundsatzes der Datensparsamkeit, ein stumpfes Schwert ist und exzessive Datenerhebung durch Staatsanwaltschaft, Steuerfahndung und Polizei nur selten verhindern kann. In Zeiten der Digitalisierung sind Beschlagnahmen von Datenmassen[1] oder tagelange Video- und Tonaufzeichnungen keine Seltenheit. Der Zugriff auf Unterlagen und Daten über das erforderliche Maß hinaus ist dabei keinesfalls immer auf gesteigerten Verfolgungseifer zurückzuführen. Die praktischen Realitäten der Ermittlungsarbeit (z.B. Personalengpässe, Notwendigkeit der umfassenden Beweissicherung beim ersten Zugriff) bedingen manchmal die Datengewinnung nach der "Staubsaugermethode".
Dies führt vor allem im Wirtschaftsstrafrecht dazu, dass Unterlagen oder Daten beschlagnahmt werden, die mit dem Tatvorwurf in keinem inneren Zusammenhang stehen und für das Verfahren nicht relevant sind. Zudem kommt es bei Ermittlungen immer wieder vor, dass Unterlagen sichergestellt oder Gespräche abgehört werden, die nicht für Augen und Ohren der Ermittlungsbehörden bestimmt sind. Handelt es sich um Kontakte mit Berufsgeheimnisträgern, so ist die Kenntnisnahme durch die Ermittler auch explizit untersagt. Dann stellt sich die Frage, wie mit derartigen Informationen zu verfahren und wie der Grundsatz der Datensparsamkeit[2] durchzusetzen ist. Neben der Frage der Verwertbarkeit von Beweisen im Verfahren gilt es zu klären, ob und inwieweit der bestehende (rechtswidrige) Zustand behoben und eine Rückgabe von Dokumenten bzw. die Löschung von Daten erreicht werden kann. Im Fokus der hiesigen Betrachtung steht die Pflicht zur Löschung von Daten, auf deren Einbehalt die Ermittlungsbehörden nach der Gesetzeslage keinen Anspruch hat. Dieser Beitrag beleuchtet die Löschungspflichten in der StPO (dazu unter II.) und dem BDSG 2018 (dazu unter III.). Dabei wird wiederholt auch auf Reformbemühungen eingegangen, die
im Anschluss noch einmal komprimiert dargestellt werden (dazu unter IV.).
II. Löschungspflichten in der Strafprozessordnung
Das Prinzip der Datensparsamkeit ist vom Gesetzgeber in vielfältiger Weise auch für den Anwendungsbereich des Strafprozessrechts normiert worden. Dementsprechend sieht die Strafprozessordnung zahlreiche Löschungspflichten vor (dazu unter 1.). Eine allgemeine Löschungspflicht, etwa in Form einer Generalklausel, hat der Bundesgesetzgeber für die Strafprozessordnung nicht vorgesehen. Diese Lücke hat die Rechtsprechung im Bereich der Durchsuchung und Beschlagnahme zu Füllen versucht (dazu unter 2.).
1. Normierte Löschungspflichten
Ein Blick auf die gesetzlich verankerten Löschungspflichten zeigt, dass es sich hierbei um einen "modernen" Regelungsgegenstand handelt. Daher ist insbesondere bei neueren, technikbasierten Eingriffsbefugnissen eine detaillierte Normierung gegeben. Die gesetzlichen Löschungspflichten sind allerdings über die gesamte Strafprozessordnung verstreut und aufgrund von Verweisungen nicht immer auf den ersten Blick erkennbar. Eine Auswahl der zentralen Vorschriften zur Datenerhebung und -löschung bei Ermittlungsmaßnahmen sei im Folgenden dargestellt:
a) Maßnahmespezifische Löschungspflichten
Es bestehen zahlreiche Löschungspflichten, die im unmittelbaren Zusammenhang mit Ermittlungsmaßnahmen zum Zwecke der Beweisgewinnung stehen. Hierzu im Einzelnen:
§ 81h Abs. 3 S. 3 StPO sieht die Pflicht zur Löschung von Aufzeichnungen aus DNA-Reihenuntersuchungen vor, wenn diese zur Verbrechensaufklärung nicht mehr erforderlich sind. Eine ähnliche Funktion erfüllen die in § 81a Abs. 3 2. Halbsatz StPO (ggfs. i.V.m. § 81c Abs. 5 S. 2 StPO) und § 81g Abs. 2 S. 1 StPO geregelte Pflicht zur Vernichtung von Blutpropen und sonstigen Körperzellen. Eine vergleichbare Regelung enthält § 98b Abs. 3 S. 2 StPO, der eine Pflicht zur Löschung von personenbezogenen Daten aus einer Rasterfahndung vorsieht, sofern die Daten für das Strafverfahren nicht mehr benötigt werden.
Die Löschungspflicht in § 100d Abs. 2 S. 2 StPO[3] verfolgt hingegen eine andere Zielrichtung. Zur Absicherung des Schutzes des Kernbereichs privater Lebensgestaltung im Rahmen von Telekommunikationsüberwachungen, Onlinedurchsuchungen und der akustischen Wohnraumüberwachung postuliert die Norm eine unverzügliche Löschungspflicht. Diese besteht unabhängig von der Frage der Erforderlichkeit. Allerdings kann es geboten sein, dass vor Löschung eine gerichtliche Klärung erfolgt.[4] Im Bereich der Überwachungsmaßnahmen hat der Gesetzgeber in § 101 Abs. 8 S. 1 StPO[5] zudem eine weitere Löschungspflicht bei Wegfall der Erforderlichkeit vorgesehen, die (schon vor der Reform 2017) für die Telekommunikationsüberwachung sowie weitere in § 101 Abs. 1 StPO genannte, geheime Ermittlungsmaßnahmen (insbesondere Observationen und technikgestützte Handlungsbefugnisse) gilt. Nunmehr gilt sie auch für die Onlinedurchsuchung und die Quellen-TKÜ. Darüber hinaus regelt die Strafprozessordnung in § 100e Abs. 6 Nr. 2 S. 3 StPO eine Löschungspflicht der für Gefahrenabwehr zuständigen Stelle, sollte diese – ausnahmsweise – legalen Zugriff auf die Daten aus der akustischen Wohnraumüberwachung oder der Onlinedurchsuchung erhalten haben.
Eine weitere, für die Verteidigung besonders interessante Fallkonstellation war (ursprünglich) in § 100c Abs. 6 S. 1 StPO normiert worden und findet sich jetzt in § 100d Abs. 5 S. 1 StPO. Dort ist der Gesetzgeber einen Schritt weitergegangen[6] und hat – über die Verweisung auf § 100d Abs. 2 StPO (früher § 100c Abs. 5 S. 2 StPO) – eine Löschungspflicht für nach § 53 StPO geschützte Kommunikation[7] vorgesehen. Erkenntnisse aus einer Kommunikation mit einem Berufsgeheimnisträger sind für die Onlinedurchsuchung und die akustische Wohnraumüberwachung unverzüglich zu löschen.[8] Regelungstechnisch verwundern muss jedoch, dass die eigentlich unverzüglich zu löschenden Daten zum Zwecke der Abwehr schwerwiegender Gefahren herangezogen werden dürfen, vgl. § 100e Abs. 6 Nr. 2 S. 1 StPO. Das Problem ist Folgendes: Um bewerten zu können, ob die Daten einer privilegierten Kommunikation zum Zwecke der Gefahrenabwehr erforderlich sind, muss die Ermittlungsbehörde diese regelmäßig auswerten. Genau dem will die Löschungsregelung indes entgegenwirken. Anders als bei Kernbereichsregelungen, wo eine Kenntnis des Inhalts für die Einstufung als besonders geschützte Kommunikation regelmäßig erforderlich ist und daher toleriert wird,[9] ist eine privilegierte Kommunikation im Sinne des § 53 StPO regelmäßig aus den Begleitumständen abzuleiten. Eine unverzügliche Löschung erfordert daher im Regelfall keine Kenntnisnahme des Inhalts der
Kommunikation. Die Verwendungsbefugnis des § 100e Abs. 6 Nr. 2 S. 1 StPO verleitet mithin dazu, die Löschung hinauszuzögern. Unklar ist darüber hinaus, warum gem. § 100d Abs. 5 S. 2 StPO für Berufshelfer eine abweichende Regelung getroffen ist und die Kommunikation eines Beschuldigten mit einem solchen Berufshelfer keine Löschungspflicht nach sich ziehen soll. In der Praxis lässt sich organisatorisch kaum verhindern, dass bestimmte Kommunikation nicht höchstpersönlich mit dem Anwalt, sondern auch mit dessen Sekretariat oder einem Referendar erfolgt.
Eine Schutzregelung zur Gewährleistung einer vertrauensvollen Kommunikation mit einem Berufsgeheimnisträger findet sich auch im Bereich der Erhebung von Verkehrsdaten. § 100g Abs. 4 S. 3 StPO sieht die Löschung von Daten vor, die bei einer Überwachung einer in § 53 Abs. 1 S. 1 Nr. 1-5 StPO genannten Person erhoben wurden. Diese Regelung gilt gem. § 100g Abs. 4 S. 5 StPO entsprechend für Ermittlungserkenntnisse, die zwar nicht aus einer gegen den Berufsgeheimnisträger gerichteten Maßnahme herrühren, aber dennoch dessen Zeugnisverweigerungsrecht betreffen. In § 101a Abs. 4 S. 3 StPO ist eine mit § 100e Abs. 6 Nr. 2 S. 3 korrespondierende Löschungspflicht für den Fall der Übermittlung an Gefahrenabwehrbehörden geregelt.
Auch beim Einsatz eines IMSI-Catchers[10] hat der Gesetzgeber in § 100i Abs. 2 S. 2 StPO eine Löschungspflicht postuliert. Diese verfolgt jedoch eine, im Vergleich zu den bisher erwähnten Regelungen, andersgeartete Zielrichtung und verdient daher besonderer Beachtung. So hat der Gesetzgeber die Risiken eines ausufernden Einsatzes eines IMSI-Catchers, der im Ergebnis ein heimliches Auslesen bestimmter Daten eines Mobiltelefons ermöglicht, erkannt und bewusst gegengesteuert. Immerhin werden im großen Umfang Standortdaten von Nichtverdächtigten erhoben. Die Ermittlungsbehörden werden explizit verpflichtet, Daten zu löschen, die nicht der Verwirklichung des Maßnahmezwecks – Ermittlung von Standort sowie Geräte- und Kartennummern – dienen. Der Einsatz des IMSI-Catchers soll kein Freifahrtschein zur großflächigen Datenermittlung sein. Die Löschungsregelung greift daher auch dann, wenn die über den Ermittlungszweck hinaus ermittelten Daten für das Ermittlungsverfahren von Interesse sein könnten.
Eine für die anwaltliche Praxis besonders bedeutsame Regelung findet sich in § 160a Abs. 1 S. 3 StPO. Richten sich staatsanwaltschaftliche Ermittlungsmaßnahmen gegen Berufsgeheimnisträger im Sinne des § 160a Abs. 1 S. 1 StPO ("Berufsgeheimnisträger 1. Klasse"), sind auf diese Weise gewonnene Erkenntnisse unverzüglich zu löschen. Eine reine Sperrung der Daten – auch zum Zwecke einer gerichtlichen Überprüfung – kommt nach dem eindeutigen gesetzgeberischen Willen nicht in Betracht.[11] In § 160a Abs. 1 S. 5 StPO wird die Löschungspflicht auf Situationen ausgeweitet, in denen der Berufsgeheimnisträger nicht die Zielperson der Maßnahme ist, jedoch dessen Zeugnisverweigerungsrecht tangiert ist. Dabei ist nach der eindeutigen Rechtsprechung des Bundesgerichtshofs auch die Anbahnungssituation mit einem Strafverteidiger erfasst.[12] Der Regelungskonzeption des § 160a StPO ist es jedoch geschuldet, dass bei Ermittlungen gegen Wirtschaftsprüfer und andere "Berufsgeheimnisträger 2. Klasse" in § 160a Abs. 2 S. 3 StPO zwar Vorbehalte hinsichtlich einer zukünftigen Verwertbarkeit zu Beweiszwecken normiert sind, indes keine Löschungspflichten im Gesetz verankert wurden.[13] So lässt der Wortlaut der Norm eine Verwendung als Spurenansatz grundsätzlich zu[14] und schließt daher bereits aus praktischen Gründen eine unverzügliche Löschungspflicht aus. Zudem erfolgt eine Abwägung hinsichtlich der Verwertbarkeit als Beweismittel in der regelmäßig zeitlich nachgelagerten Hauptverhandlung, so dass im Zeitpunkt der Beweiserhebung oftmals noch keine Aussage über den späteren Verfahrensnutzen getroffen werden kann.[15] Eine Löschung würde der Entscheidung vorgreifen und Fakten schaffen. Dies bedeutet allerdings nicht, dass bei Ermittlungen gegen "Berufsgeheimnisträger 2. Klasse" keine Löschungspflichten in Betracht kommen. Eine solche ist – § 100d Abs. 5 und § 100g Abs. 4 StPO bleiben gem. § 160a Abs. 5 unberührt – insoweit jedoch nur für die Fälle der Onlinedurchsuchung, akustischen Wohnraumüberwachung und der Erhebung von Verkehrsdaten gesetzlich geregelt (s.o.). Eine Spezialregelung für die praktische bedeutsame Telekommunikationsüberwachung ist (auch nach der Reform) nicht vorgesehen.[16]
Für die meisten Praktiker kaum relevant ist die Löschungspflicht des § 163d Abs. 4 S. 2 StPO, der Ermittler zur Löschung von Daten aus Kontrollen verpflichtet, wenn diese für das Strafverfahren nicht mehr erforderlich sind. Gleiches gilt für die Pflicht zur Vernichtung von Unterlagen zur Identitätsfeststellung nach § 163 c Abs. 3 StPO.
Betrachtet man die Pflicht zur Löschung maßnahmespezifisch erhobener Daten, so lassen sich einige Gemeinsamkeiten ausmachen:
Die soeben dargestellten Löschungspflichten betreffen (potentielle) Beweismittel, deren weitere Speicherung vom Gesetzgeber untersagt wird. Löschungen sind regelmäßig von Amts wegen durchzuführen und erfordern daher keinen Antrag des Betroffenen. Damit dieser grundsätzlich die Möglichkeit hat, die Legalität der Erhebung der Daten gerichtlich überprüfen zu lassen, sind Löschungen zu dokumentieren. Schließlich verfolgen fast alle normierten Löschungspflichten eines von zwei Zielen: Erstens, die Prüfung, ob einmal erhobene Daten (noch) für das Strafverfahren erforderlich sind. Zweitens,
den besonderen Schutz privilegierter Kommunikationsformen (Kernbereich privater Lebensgestaltung; Kontakte zu Berufsgeheimnisträgern). Darüber hinaus hat der Gesetzgebergeber im Fall des IMSI-Catchers die Gefahren einer unzulässigen Datenerhebung beim Einsatz technischer Mittel erkannt und eine Löschungspflicht für Daten postuliert, die mit Rückgriff auf die Eingriffsbefugnis nicht hätten rechtmäßig erhoben werden dürfen.
b) Löschungspflichten bei behördeninternen Dateien
Neben den oben genannten, maßnahmespezifischen Löschungspflichten sieht die StPO auch Löschungspflichten im Rahmen der Beweisauswertung vor. § 483 Abs. 1 StPO sieht vor:
"Gerichte, Strafverfolgungsbehörden einschließlich Vollstreckungsbehörden, Bewährungshilfe, Aufsichtsstellen bei Führungsaufsicht, und die Gerichtshilfe dürfen personenbezogene Daten in Dateien speichern, verändern und nutzen, soweit dies für Zwecke des Strafverfahrens erforderlich ist."
Die folgenden Paragrafen definieren weitere Parameter der Datennutzung. Stets ist hier das Erfordernis der Erforderlichkeit zu berücksichtigen. Für die hiesige Fragestellung ist § 489 Abs. 2 StPO von Interesse:
"Sie[personenbezogene Daten]sind zu löschen, wenn ihre Speicherung unzulässig ist oder sich aus Anlass einer Einzelfallbearbeitung ergibt, dass die Kenntnis der Daten für die in den §§ 483, 484, 485 jeweils bezeichneten Zwecke nicht mehr erforderlich ist. Es sind ferner zu löschen
1. nach § 483 gespeicherte Daten mit der Erledigung des Verfahrens, soweit ihre Speicherung nicht nach den §§ 484, 485 zulässig ist,
2. nach § 484 gespeicherte Daten, soweit die Prüfung nach Absatz 4 ergibt, dass die Kenntnis der Daten für den in § 484 bezeichneten Zweck nicht mehr erforderlich ist und ihre Speicherung nicht nach § 485 zulässig ist,
3. nach § 485 gespeicherte Daten, sobald ihre Speicherung zur Vorgangsverwaltung nicht mehr erforderlich ist."
§ 489 Abs. 2 StPO postuliert eine Pflicht der Ermittlungsbehörden, personenbezogene Daten zu löschen. Damit korrespondiert ein subjektives Recht des Betroffenen, diese Löschung auch einzufordern.[17] Stellt er einen Löschungsantrag, hat die Staatsanwaltschaft in eine Einzelfallprüfung einzutreten.[18] Die Existenz dieser Löschungspflicht ist unbestritten. Zweifelhaft ist allerdings, ob es sich um eine datenschutzrechtliche Generalklausel zur Datenlöschung in der StPO handelt. Die Formulierung des § 489 Abs. 2 S. 1 StPO mag hier zu voreiligen Schlüssen verleiten. Auch die Gesetzesbegründung vermag bei erster Betrachtung eine extensive Interpretation der Vorschrift zu stützen. So heißt es in der Gesetzesbegründung (BT-Drs. 14/1484, S. 31):
"Die Vorschrift enthält keine Ermächtigung zur Erhebung personenbezogener Informationen. Sie setzt vielmehr eine solche Erhebungsbefugnis voraus, d.h., geregelt wird allein die Befugnis zu Speicherung, Veränderung und Nutzung von Daten, die gestützt auf die Generalermittlungsklausel des § 161 oder durch eine spezielle Ermittlungsmaßnahme[…]erhoben worden sind."
Betrachtet man die Gesetzesbegründung genauer, zeigt sich indes ein Bild, was sich auch in der gesetzlichen Ausgestaltung manifestiert. In den §§ 483 ff. StPO ist keine allgemeine Datenschutzregelung niedergelegt. §§ 483, 484, 485 StPO – auf die der § 489 Abs. 2 StPO direkt Bezug nimmt – betreffen ausweislich des klaren Wortlauts die Speicherung von personenbezogenen Daten "in Dateien". Der Abschnitt (§§ 483-491 StPO) ist ferner mit "Dateiregelungen" überschrieben. Im Kern geht es mithin um Daten, die bei der Auswertung von Beweismitteln und Führung der Akte entstehen und bei Polizei und Staatsanwaltschaft systematisiert hinterlegt werden. Hierfür werden regelmäßig Dateien erstellt.[19] Diese existieren parallel zu den (Original-) Beweismitteln. Dass es sich bei § 489 StPO im Kern nicht um eine Löschungsregelung für originäre Beweismittel handeln kann, zeigt sich auch in dessen Absatz 1. Dort wird nicht nur von "personenbezogenen Daten in Dateien" gesprochen, sondern auch eine Pflicht zur Korrektur der Daten postuliert. Dies ist bei Asservaten nicht denkbar.[20]
2. Löschungspflichten in der Rechtsprechung
In der Rechtsprechung ist anerkannt, dass neben den normierten strafprozessualen Löschungspflichten auch eine Pflicht zur Löschung verfahrensirrelevanter Daten existiert. Bei digitalen Kopien von elektronischen Beweismitteln hat dies durch Datenlöschung zu erfolgen, bei Dokumenten hat eine Herausgabe zu erfolgen. Explizit anerkannt wurde dies durch das Bundesverfassungsgericht für die Situation der Durchsuchung. Es leitet aus dem Verhältnismäßigkeitsgrundsatz und dem Recht auf informationelle Selbstbestimmung eine Pflicht zur Löschung von verfahrensirrelevanten Daten, die bei einer Durchsuchung erhoben wurde, her.[21] Betrachtet man die Herleitung der Löschungspflicht aus verfassungsrechtlichen Grundprinzipien, so dürfte eindeutig sein, dass eine derartige Pflicht grundsätzlich unabhängig von der Art und Weise der behördlichen Datenerhebung ist. Dement-
sprechend ist die Rechtsprechung auch auf andere Ermittlungsmaßnahmen übertragbar. Allerdings ist unklar, wie genau die Löschungspflicht im Detail ausgestaltet ist.
II. Löschungspflicht nach allgemeinem Datenschutzrecht
Für den Strafrechtspraktiker hat das Bundesdatenschutzgesetz in der Vergangenheit keine nennenswerte Bedeutung gehabt.[22] Mit der Einführung der DSGVO und der Reform des BDSG zum 25.05.2018 und der daraus folgenden Rechtslage wird das allgemeine Datenschutzrecht nun unmittelbare Bedeutung für die strafrechtliche Praxis gewinnen. Das reformierte Datenschutzrecht dient in §§ 45 ff. BDSG der – teilweisen – Umsetzung der "Richtlinie 2016/680 des Europäischen Parlaments zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates",[23] die im Verhältnis zur StPO nur dann Anwendung findet, wenn die StPO selbst keine Regelung enthält.[24] Darin werden auch Elemente des § 20 BDSG aF aufgegriffen.[25] Für hiesige Zwecke lohnt es sich, § 58 BDSG nF in den Blick zu nehmen. Dieser sieht u.a. vor:
Abs. 2: Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen.
Abs. 3: Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn
1. Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde,
2. die Daten zu Beweiszwecken in Verfahren, die Zwecken des § 45 dienen, weiter aufbewahrt werden müssen oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.
Diese Norm wird ergänzt durch § 75 Abs. 2 BDSG nF, der lautet:
"Der Verantwortliche hat personenbezogene Daten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist."
Betrachtet man diese Normen, so ist eine sprachliche Nähe zu § 489 Abs. 2 StPO augenfällig. Allerdings unterscheiden sich diese Normen, ebenso wie die Vorgängernorm, in einem zentralen Aspekt. Der sachliche Anwendungsbereich ist nicht auf Daten "in Dateien" beschränkt, sondern erfasst nach dem Wortlaut der Norm jede Art von personenbezogenen Daten. Das BDSG sieht auch keine Bereichsausnahme für das Strafverfahren vor, sondern ist im Gegenteil darauf ausgerichtet, diese zu ergänzen. Das Gesetz ist nach § 1 Abs. 1 BDSG nF sowohl auf öffentliche Stellen des Bundes als auch der Länder anwendbar, sofern letzte – wie im Strafverfahren – Bundesrecht ausführen und als Organe der Rechtspflege agieren. Zwar proklamiert § 1 Abs. 2 BDSG nF den Vorrang spezieller Regelungen in den Fachgesetzen. Aus den oben ausgeführten Erläuterungen ergibt sich, dass die Strafprozessordnung keine abschließenden Regelungen datenschutzrechtlicher Fragen trifft. Es ist aus der Gesetzgebungshistorie auch nicht ersichtlich, dass die Regelungen der StPO die allgemeinen Regeln des Datenschutzrechts vollständig verdrängen sollen.[26] So dient das neue Bundesdatenschutzgesetz ausweislich der Gesetzesbegründung vor allem der Umsetzung der Richtlinie 2016/680, eine auf das Strafverfahren und die Gefahrenabwehr abzielende Richtlinie (vgl. Art. 1 Abs. 1 der Richtlinie). Der § 58 BDSG nF dient dabei der Implementierung der aus Art. 16 der Richtlinie herrührenden Verpflichtungen zur Schaffung von Löschungsansprüchen und -pflichten von Ermittlungs- und Gefahrabwehrbehörden.[27]
Mit den Regelungen der §§ 58, 75 BDSG nF hat der Gesetzgeber eine allgemeine datenschutzrechtliche Löschungspflicht geschaffen, die außerhalb der StPO normiert aber dennoch im Strafverfahren Anwendung findet. Die Anwendbarkeit der Norm ist allerdings dahingehend eingeschränkt, dass eine Berichtigung gem. § 58 Abs. 1 BDSG nF bei Beweismitteln nicht in Betracht kommen kann.[28] Die hier vertretene Ansicht wird auch durch das BMJV geteilt.[29] In einem aktuellen Referentenentwurf (dazu ausführlich unter IV.) heißt es z.B.:
"Aus ihnen ergeben sich zwar besondere rechtliche Verpflichtungen zur Löschung im Sinne von § 75 Absatz 2 BDSG (2018). § 75 BDSG (2018) findet im Übrigen aber grundsätzlich Anwendung[...]. Die vorgenannten bereichsspezifischen Sonderrege-
lungen zu Löschungspflichten verdrängen auch die weiteren in § 75 BDSG (2018) geregelten Berichtigungs- und Löschungspflichten grundsätzlich nicht."[30]
Der Gesetzgeber strebt sogar an, dass unnötige Regelungen in der StPO minimiert werden und eine datenschutzrechtliche Bewertung grundsätzlich über das BDSG erfolgt. Es ist eindeutiger Wille des Gesetzgebers eine allgemeine Löschungspflicht zu schaffen, die sich auch auf elektronische Asservate und andere Beweismittel bezieht, die für das Verfahren nicht (mehr) erforderlich sind. Erhalten die Ermittlungsbehörden Zugriff auf verfahrensirrelevante Daten oder werden Daten aufgrund einer Verfahrensbeendigung nicht mehr zur Beweisführung benötigt, sind diese zu Löschen. Hierauf hat der Betroffene einen Anspruch nach § 58 Abs. 2 BDSG nF.
IV. Ausblick
Die Richtlinie 2016/680 ist bislang in Deutschland noch nicht vollständig umgesetzt worden. Das Bundesjustizministerium hat daher einen Referentenentwurf veröffentlicht, der die datenschutzrechtliche Reform des Strafverfahrensrechts fortschreiben soll.[31] Dieser enthält interessante Ergänzungen und Klarstellungen zum hier diskutierten Themenkomplex. Von besonderem Interesse ist die Anpassung der Ermittlungsgeneralklausel in § 161 StPO-E. Diese inkorporiert zentrale Grundsätze des Datenschutzrechts und soll folgende Bestimmung enthalten (§ 161 Abs. 2 StPO-E):
"Zu den in § 160 bezeichneten Zwecken dürfen besondere Kategorien personenbezogener Daten nach Maßgabe des § 48 des Bundesdatenschutzgesetzes verarbeitet werden. Soweit in diesem Gesetz die Löschung personenbezogener Daten ausdrücklich angeordnet wird, findet § 58 Absatz 3 des Bundesdatenschutzgesetzes keine Anwendung."
Mit dieser Regelung sollen im Kern zwei Kategorien von Löschungspflichten festgeschrieben werden: Relative Löschungspflichten (im BDSG) und absolute Löschungspflichten (in der StPO).
Wird ein Löschungsanspruch auf die Generalklausel des § 58 Abs. 2 BDSG nF gestützt, so können die Ermittlungsgründe nach jetziger und zukünftiger Rechtslage in bestimmten Fällen von einer Löschung absehen. In § 58 Abs. 3 BDSG nF – vergleichbar mit dem derzeitigen § 489 Abs. 7 StPO[32] – heißt es:
"Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn
1. Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde,
2. die Daten zu Beweiszwecken in Verfahren, die Zwecken des § 45 dienen, weiter aufbewahrt werden müssen oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand."
Richtet sich die Löschung nach dem BDSG steht dem Betroffenen mithin kein absoluter Löschungsanspruch zur Seite. Allerdings bedarf es im Interesse des effektiven Grundrechtsschutzes stets einer restriktiven Interpretation der Ausnahmeregelung. Das BMJV möchte mit der Klarstellung in § 161 Abs. 2 S. 2 StPO-E sicherstellen, dass eine Verarbeitungsbeschränkung die Löschung nicht ersetzen kann, wenn sich die Löschungspflicht aus der speziellen fachgesetzlichen Vorschrift der StPO (vgl. dazu unter II. 1.) ergibt.[33] Löschungspflicht in der StPO sollen, so die Intention, absolute Geltung beanspruchen. Der Grund:
"In der StPO ist jedoch vielfach eine bewusst strikt gefasste Pflicht zur Löschung bestimmter Daten, die als besonders sensibel eingestuft werden, vorgesehen[...]."[34]
Dieser Ansatz ist zu begrüßen. Fraglich ist allerdings, ob eine solche Regelung stricto sensu notwendig ist, wie der Entwurf behauptet.[35] Die Unterscheidung zwischen absoluten und relativen Löschungspflichten dürfte nämlich bereits im geltenden Recht angelegt sein, so dass es sich bei § 161 Abs. 2 S. 2 StPO-E eher um eine Klarstellung denn eine inhaltliche Novellierung handelt. So ordnet § 1 Abs. 2 BDSG nF den Anwendungsvorrang spezialgesetzlicher Vorschriften datenschutzrechtlichen Inhalts ausdrücklich an, wenn diese einen Sachverhalt abschließend regeln. Das BMJV nimmt im Hinblick auf die Löschungspflichten in der StPO selbst richtigerweise an, dass diese "bewusst strikt gefasst sind". Der StPO-Gesetzgeber hat in Ausnahmefällen (§ 489 Abs. 7 StPO) auch Einschränkungen der Löschungspflicht anerkannt, diese bei den meisten normierten Löschungspflichten allerdings nicht mit aufgenommen. Es spricht mithin vieles dafür, dass die normierten Löschungspflichten der StPO für die jeweiligen Anwendungsbereiche (z.B. Telekommunikationsüberwachung) abschließend sind und bereits nach derzeitiger Rechtslage ein Rückgriff auf das BDSG ausgeschlossen ist. Aus Sicht des Praktikers ist eine gesetzliche Klarstellung jedoch absolut wünschenswert, da sie Rechtsklarheit bringt und Fehlentscheidungen entgegenwirkt. Durch die Reformbemühungen wird das Thema Datenschutz im Strafprozess auf die Agenda gesetzt und das Bewusstsein für datenschutzrechtliche Implikationen der breitflächigen Beweismittelgewinnung in Wissenschaft und Praxis geschärft.
Darüber hinaus ist beabsichtigt in §§ 100f, 100h und 110a StPO-E eine Verweisung auf § 100d Abs. 1 und 2 StPO aufzunehmen. Damit würde auch bei Maßnahmen der Akustischen Wohnraumüberwachung und der der technischen Observation sowie beim Einsatz verdeckter Ermittler der Kernbereichsschutz gestärkt und eine Lö-
schungspflicht festgeschrieben. Das BMJV greift hier die Rechtsprechung des Bundesverfassungsgerichts auf.[36] Auch diese gesetzliche Fortschreibung ist zu begrüßen.
Auch unabhängig von den bestehenden Reformbemühungen ist es an der Zeit, dem Datenschutz auch in der praktischen Mandatsbearbeitung im Strafrecht größeres Gewicht beizumessen. Gerichte und Staatsanwaltschaften sind aufgerufen, den datenschutzrechtlichen Grundprinzipien auch im Strafprozess Beachtung zu schenken. Ein Umdenken wird allerdings nur dann möglich sein, wenn auch in der anwaltlichen Praxis ein Bewusstseinswechsel stattfindet und die Verteidigung engagiert für die datenschutzrechtlichen Interessen der eigenen Mandanten eintritt und die Löschung von sensiblen Daten in allen Verfahrensstadien einfordert. Die aktuelle Gesetzeslage zeigt erste Konturen eines umfassenden Datenschutzkonzepts im Strafprozess. Dieses ist im Alltag mit Leben zu füllen.
[*] Dr. Basar ist Rechtsanwalt, Fachanwalt für Strafrecht und Partner der auf wirtschaftsstrafrechtliche Fragen spezialisierten Kanzlei Wessing & Partner Rechtsanwälte mbB, Düsseldorf. Dr. Hiéramente ist Rechtsanwalt, Fachanwalt für Strafrecht und Partner der auf Wirtschaftsstrafrecht und Arbeitsrecht spezialisierten Kanzlei Fuhlrott Hiéramente & von der Meden Partnerschaft von Rechtsanwälten mbB (FHM), Hamburg.
[1] Siehe dazu Warken NZWiSt 2017, 289.
[2] Vgl. § 3 BDSG 2018 und Art. 5 Abs. 1 c) DSGVO.
[3] Vor dem 24.08.2017 war dies in § 100a Abs. 4 S. 3 StPO und in § 100c Abs. 5 S. 2 StPO geregelt gewesen. Im Rahmen der Erweiterung der Eingriffsbefugnisse hat der Gesetzgeber den Schutz des Kernbereichs in § 100d StPO generell für die § 100a – c StPO zusammengefasst.
[4] Schmitt, in: Meyer-Goßner/Schmitt, 61. Aufl. 2018, § 100d, Rn. 21.
[5] Nach § 101a Abs. 4 S. 4 StPO gilt diese Regelung auch für die Erhebung von Verkehrsdaten.
[6] Zur alten Rechtslage scheint Günther, in: MüKo-StPO, 1. Aufl. 2014, § 100c, Rn. 71 jedenfalls die Gespräche mit Verteidigern bereits als vom Kernbereich privater Lebensgestaltung anzusehen.
[7] Die Formulierung "in den Fällen des § 53" ist, wie Günther, in: MüKo-StPO, 1. Aufl. 2014, § 100c, Rn. 71 treffend anmerkt, unglücklich. Es ist jedenfalls davon auszugehen, dass jegliche Kommunikation zwischen Berufsgeheimnisträger und Beschuldigten erfasst ist. Richtet sich die Maßnahme gegen den Berufsgeheimnisträger, ist es schließlich praktisch kaum denkbar, dass sich erst bei der Durchführung der Maßnahme ein Fall des § 53 StPO "ergibt".
[8] Schmitt, in: Meyer-Goßner/Schmitt, 61. Aufl. 2018, § 100d, Rn. 23.
[9] BVerfG 2 BvR 237/08, Beschluss v. 12.10.2011, Rn. 217 ff., BeckRS 2011, 56464= HRRS 2012 Nr. 29.
[10] Zur Funktionsweise siehe Hüls, Polizeiliche und staatsanwaltliche Ermittlungstätigkeit, Jahr, S. 249.
[11] BGH NStZ-RR 2014, 149, 151 = HRRS 2014 Nr 359.
[12] BGH NStZ-RR 2014, 149, 150 = HRRS 2014 Nr 359. Zustimmend, aber mit zu Recht kritischer Anmerkung zur Frage der Unverzüglichkeit Roggan NJW 2014, 1314, 1316.
[13] BGH NStZ 2016, 741, 742 = HRRS 2016 Nr. 514.
[14] Dazu Kölbel, in: MüKO-StPO, 1. Aufl. 2016, 160a, Rn. 22 mwN.
[15] Die Möglichkeit einer Ausdehnung der Löschungspflicht bei bestehendem Beweisverwertungsverbot wurde in BGH NStZ 2016, 741, 742= HRRS 2016 Nr. 514 explizit offengelassen.
[16] Zum Abwägungserfordernis siehe auch Günther, in: MüKo-StPO, 2014, §100a, Rn. 152 ff. Der Bundesgerichtshof äußert Zweifel an der Ausgewogenheit der normierten Löschungspflichten, vgl. BGH NStZ-RR 2014, 149, 151 = HRRS 2014 Nr 359.
[17] OLG Dresden 2 VAs 4/02, Beschluss v. 19.5.2003, MMR 2003, 592.
[18] Vgl. OLG Frankfurt a. M. 3 VAs 19/10, Beschluss v. 20.7.2010, NStZ-RR 2010, 350, 351; OLG Hamburg 2 VAs 5/09, Beschluss v. 27.11.2009 - juris; OLG Hamburg 2 Vas 1/09, Beschluss v. 9.10.2009 - juris; OLG Dresden 2 VAs 4/02, Beschluss v. 19.5.2003, MMR 2003, 592, 593. Siehe auch Überblick bei Gieg, in: KK-StPO, 7. Aufl. 2013, § 489, Rn.3.
[19] Hierzu auch Hilger, in: Löwe-Rosenberg, 26. Aufl. 2010, Vor § 483, Rn. 16. sowie Rn. 28 ff.; Ritscher, in: Satzger/Schluckebier/Widmaier, StPO, 3. Aufl. 2018, § 483, Rn. 4.
[20] So iE auch OLG Karlsruhe NStZ 2015, 606, 608. Siehe auch Heinson, IT-Forensik, 2015, S. 220 f.; Wittig, in: BeckOK StPO, 25. Aufl., Stand: 1.2.2018. § 483, Rn. 1. Unklar bei BVerfG NJW 2005, 1917, 1922 = HRRS 2005 Nr. 549; BVerfG, Beschluss v. 2.4.2006, 237, 246, 256/06, BeckRS 2006, 22591 = HRRS 2007 Nr. 124; Radtke, in: FS Meyer-Goßner, 2001, S. 335.
[21] BVerfG NJW 2005, 1917, 1922 = HRRS 2005 Nr. 549. Vgl. auch Rau WM 2006, 1281, 1286. Zur Vernichtung von Ablichtungen siehe bereits OLG Stuttgart NW 1977, 2276, 2277.
[22] Das BDSG a.F. galt gemäß § 1 Abs. 3 nur subsidiär zur StPO.
[23] BT-Drs. 18/11325, S. 69. Die Richtlinie ist der "kleine Bruder" der Datenschutzgrundverordnung (DSGVO), die in Art. 2 Abs. 3d den Bereich der Verarbeitung personenbezogener Daten für den Bereich der Straftatenverfolgung und Gefahrenabwehr vom Anwendungsbereich ausnimmt und über den Erwägungsgrund 19 auf die Richtlinie 2016/680 verweist.
[24] Kühling/Buchner, DS-GVO, BDSG, 2. Aufl. 2018, Vor §§ 45 bis 84, Rn. 4.
[25] BT-Drs. 18/11325, S. 114.
[26] Dix, in: Simitis, BDSG, 8. Aufl. 2014, § 1, Rn. 170; dazu auch Schwichtenberg, in: Kühling/Buchner, DS-GVO, BDSG, 2. Aufl. 2018, Vor §§ 45 bis 84, Rn. 4.
[27] BT-Drs. 18/11325, S. 114.
[28] Vgl. auch Erwägung 47 der Richtlinie 2016/680.
[29] Vgl. Referentenentwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679, S. 44, 71 abrufbar unter www.kripoz.de.
[30] BMJV a.a.O. (Fn. 29), S. 45.
[31] Vgl. BMJV a.a.O. (Fn. 29).
[32] Nach dem Willen des BMJV soll hier ein weitgehender Gleichlauf durch Verweisung auf das BDSG geschaffen werden, vgl. BMJV a.a.O. (Fn. 29), § 489 Abs. 6 StPO-E.
[33] BMJV a.a.O. (Fn. 29), S. 45.
[34] BMJV a.a.O. (Fn. 29), S. 66.
[35] BMJV a.a.O. (Fn. 29), S. 66.
[36] Vgl. BMJV a.a.O. (Fn. 29), S. 64 f. mit Verweis auf BVerfG 1 BvR 966/09, Urteil vom 20. April 2016 - juris, Rn. 176f.