Die Datenschutz-Grundverordnung erlaubt sogenannte Gemeinsame Verantwortliche und schreibt das Führen eines Verzeichnisses über Datenverarbeitungen vor. Wie wirkt es sich aus, wenn eines von beidem fehlt? Ergibt sich hieraus ein Beweisverwertungsverbot? Diese Rechtsfragen hat das Verwaltungsgericht Wiesbaden dem Gerichtshof der Europäischen Union vorgelegt (VG Wiesbaden, Beschluss v. 27.01.2022, Az. 6 K 2132/19.WI.A).
Die Richter in Wiesbaden wollen die Frage geklärt wissen, ob eine fehlende bzw. unterlassende oder unvollständige Rechenschaftspflicht eines Verantwortlichen nach Art. 5 der Datenschutz-Grundverordnung (DSGVO) dazu führt, dass die Datenverarbeitung unrechtmäßig im Sinne der Artikel 17 Abs. 1 lit. d, 18 Abs. 1 lit. b DSGVO ist, sodass ein Löschungs- bzw. Beschränkungsanspruch des Betroffenen besteht. Denkbar ist zum Beispiel ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO oder eine fehlende Vereinbarung über ein gemeinsames Verfahren nach Art. 26 DSGVO.
Gilt ein Beweisverwertungsverbot?
Weiter legte das VG Wiesbaden dem Europäischen Gerichtshof (EuGH) die Frage vor, ob das Bestehen eines Löschungs- oder Beschränkungsanspruchs dazu führt, dass die verarbeiteten Daten in einem Gerichtsverfahren nicht zu berücksichtigen sind. Die Richter wollen weiter wissen, ob dies jedenfalls dann der Fall ist, wenn die betroffene Person der Verwertung im gerichtlichen Verfahren widerspricht. Schließlich wurde die Frage vorgelegt, ob ein Verstoß eines Verantwortlichen gegen Art. 5, 30 oder 26 DSGVO dazu führt, dass ein nationales Gericht bei der Frage der gerichtlichen Verwertung der Datenverarbeitung die Daten nur berücksichtigen darf, wenn der Betroffene der Verwertung ausdrücklich zustimmt.
Klage gegen BAMF-Ablehnungsbescheid
Der Kläger in dem Verfahren will als Flüchtling gem. § 3 Asylgesetz anerkannt werden und wendet sich gegen einen ablehnenden Bescheid des Bundesamts für Migration und Flüchtlinge. Dem Bescheid liegt die sogenannte elektronische Bundesamtsakte MARIS zugrunde.
Kein Verarbeitungsverzeichnis, keine Vereinbarung
Das VG Wiesbaden hat Zweifel, ob ein Verzeichnis der Verarbeitungstätigkeiten überhaupt bzw. vollständig bezüglich der elektronischen MARIS-Akte bei der Beklagten vorliegt. Es existiere keine Vereinbarung bzw. gesetzliche Regelung bezüglich des Verfahrens zur elektronischen Aktenübermittlung und der Bestimmung der Verantwortlichkeiten in diesem Verfahren, heißt es in dem Beschluss des VG Wiesbaden. Das BAMF habe eine entsprechende Vorlage verweigert, unter anderem da hinsichtlich des Elektronischen Gerichts- und Verwaltungspostfachs (EGVP) eine Vereinbarung nach Art. 26 DSGVO nicht vorliege. Welche Behörde(n) für den Verzeichnisdienst des EGVP oder gar der notwendigen Serverstruktur verantwortlich zeichnet(en), sei „nicht bekannt und nicht dokumentiert“. Bei Asylverfahren nach nationalem Recht findet nach der EU-Asylverfahrensrichtlinie (Richtlinie 2013/32/EU) die DSGVO Anwendung.
Verarbeitung sensibler Gesundheitsdaten ohne besonderen Datenschutz
Denn Gesundheitsdaten, aber auch Religionsdaten, würden ebenso wie strafrechtliche Verurteilungen, als sogenannte „normale Unterlagen“ allgemein in die elektronische MARIS-Akte aufgenommen. Zwar gebe es „wohl“ eine Zugriffsprotokollierung, ein besonderer Schutz der Datensicherheit sei „nicht erkennbar“, stellt das VG Wiesbaden in seinem Beschluss fest. Die Akte eines Asylbewerbers können von jedem BAMF-Außenstandort in ganz Deutschland eingesehen werden wie von der Zentrale selbst. Keines der über EGVP übermittelten Dokumente sei auf dem Übertragungsweg verschlüsselt, was im Hinblick auf die Datensicherheit relevant sei.
Das fehlende bzw. unvollständige Verzeichnis der Verarbeitungstätigkeiten führe zumindest im Lichte von Art. 5 DSGVO zu einer „formellen“ Rechtswidrigkeit der Datenverarbeitung, so die Überzeugung des Gerichts. Es stelle sich die Frage, ob in einem solchen Fall als Sanktionswirkung für ein Unterlassen nach Art. 5 i. V. m. Art. 30 DSGVO nicht eine Löschung oder wenigstens Sperrung der Daten zu erfolgen habe.
Verwendungsverbot in Frankreich, Duldung in Deutschland
So habe Frankreich unter der Geltung der Art. 18 ff. der EG-Richtlinie im nationalen Recht geregelt, dass bei gerichtlichen Verfahren ein striktes gesetzliches Verwendungsverbot bezüglich solcher personenbezogen Daten besteht, die nicht durch eine Meldung von der verantwortlichen Stelle an die nationale Datenschutzaufsichtsbehörde erfasst worden sind, da die Nutzung solcher Daten mangels Dokumentation rechtswidrig sei. Unter der Geltung der DSGVO solle auch in Portugal und bei anderen Mitgliedsstaaten ein fehlendes Verzeichnis der Verarbeitungstätigkeiten zu einem Verwertungsverbot führen. Dies sein ein „Mechanismus, den es in der Bundesrepublik Deutschland im Rahmen der Umsetzung der Richtlinie 95/46/EU und auch unter der Geltung der DSGVO nicht gibt“. Es sei hier vielmehr „der Grundstein für eine ‚Duldung‘ der fehlenden Meldung“ gelegt worden.
Von Asylbewerbern werden viele Daten erhoben und gespeichert, etwa biometrische Fingerabdrücke in der sogenannten EURODAC-Datenbank. Mit Spannung darf man erwarten, wie der EuGH über ein mögliches Beweisverwertungsverbot bei BAMF-Daten entscheidend.