Art. 10 DSGVO stellt besondere Anforderungen an die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln. Somit wird dieser Art von Daten ein besonderer Schutz eingeräumt, der sogar über den des Art. 9 DSGVO (besondere Kategorien personenbezogener Daten) hinausgeht. Dies ist darin begründet, dass das Strafrecht ultima ratio zur Sanktionierung im Rechtsstaat ist und schon der bloße Verdacht der Begehung einer Straftat eine Stigmatisierung des Betroffenen bedeuten kann (Frenzel in Paal/Pauly, DSGVO BDSG, 2. Auflage 2018, Art. 10 Rn. 1).
Interessent ist die Frage, wie der Eingang von Zahlungen aufgrund einer Auflage oder Weisung datenschutzrechtlich zu beurteilen ist. Insbesondere nach § 153a Abs. 1 oder Abs. 2 StPO können Staatsanwaltschaft oder Gericht dem Beschuldigten in einem Strafverfahren die Auflage erteilen, einen bestimmten Geldbetrag an eine gemeinnützige Einrichtung zu leisten. Diese erhält einen Zahlungseingang, auf dem Zahlungsbetrag, Zahlungszweck und die zahlende Person vermerkt sind. Die Information über den Zahlungseingang wird dann an die Staatsanwaltschaft oder das Gericht weitergegeben.
Nach dem Wortlaut sowie der einschlägigen Kommentarliteratur (vgl. Bäcker in BeckOK Datenschutzrecht, Wolff/Brink, 30. Edition, Stand: 01.05.2019 Rn. 3: auch Daten über verbindliche Entscheidungen im vorbereitenden Verfahren; Schiff in Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 10 Rn. 5: bereits Daten über die Erfassung einer hinreichend konkreten Verdachtslage) sind ebendiese Daten von Art. 10 umfasst. Dies ergibt sich daraus, dass bereits der Zahlungszweck, der Betreff und der Name des Zahlenden darüber Auskunft gibt, dass die jeweilige Person aufgrund einer Auflage des Gerichts einen Beitrag leisten muss. Dies beinhaltet die Information über die Feststellung, dass die Person zumindest im Strafverfahren beschuldigt war sowie eine Tat rechtswidrig und schuldhaft begangen hat.
Nach Art. 10 S. 1 DSGVO a. E. dürfen diese Daten nur unter behördlicher Aufsicht verarbeitet werden. Diese Vorschrift begegnet erheblichen Schwierigkeiten in der Praxis. Denn gemeinnützige Einrichtungen, die nicht unter den Behördenbegriff fallen, verarbeiten ihre eigenen Kontodaten mit Betreff und Zahlungsempfänger zu Zwecken der Verwaltung. Art. 10 S. 1 DSGVO statuiert aber einen „Behördenvorbehalt“, was bedeutet, dass eine Behörde allein verantwortlich für die Datenverarbeitung ist (Bäcker in BeckOK Datenschutzrecht, aaO., Art. 10 Rn. 7.)
Bei diesem Ergebnis dürfte die bisherige Praxis der Staatsanwaltschaften und Gerichte, Zahlungen direkt an Vereine zu leisten, nicht mehr zulässig sein. Vordergründig wäre eine Umstellung der Zahlungsweise nur eine Formalität. Die Betroffenen müssten zukünftig an das Gericht direkt zahlen, und dieses würde die Zahlungen weiterleiten. Bisher wurde aber diese Art der Zahlung von Gerichten und Staatsanwaltschaften eben dafür genutzt, um dem Beschuldigten vor Augen zu halten, dass er nicht zum Zwecke der Strafe eine „Geldbuße“ leistet, sondern eine Auflage an eine gemeinnützige Einrichtung leistet, die geeignet ist, das öffentliche Interesse an der Strafverfolgung zu beseitigen (vgl. Schmitt in Meyer-Goßner, 61. Auflage 2018, § 153a Rn. 12). Somit bleibt abzuwarten, ob hier bestehende Prozesse im Lichte der DSGVO geändert werden.