Im Rahmen von po­li­zei­li­chen und staats­an­walt­li­chen Er­mitt­lungs­maß­nah­men kommt es vor, dass Un­ter­neh­men, weil sie ggf. im Besitz auf­schluss­rei­cher Daten über einen oder mehrere Tat­ver­däch­ti­ge haben, eine Anfrage oder einen Besuch einer Behörde er­hal­ten. Ein zu­läs­si­ges Mittel zur In­for­ma­ti­ons­be­schaf­fung und im Rahmen der Er­mitt­lun­gen kann somit die Abfrage von Daten bei Un­ter­neh­men sein.
Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) ist nach den Grund­sät­zen der Ver­ar­bei­tung gemäß Art. 5 DS-GVO ein Ver­bots­ge­setz mit Er­laub­nis­vor­be­halt. Für jeden Umgang mit per­so­nen­be­zo­ge­nen Daten (Ver­ar­bei­tung), somit auch für die Über­mitt­lung an eine Er­mitt­lungs­be­hör­de, ist eine Rechts­grund­la­ge gemäß Art. 6 Abs. 1 DS-GVO (Er­laub­nis­vor­be­halt) er­for­der­lich. Eine spe­zi­el­le Rechts­grund­la­ge für die Über­mitt­lung von Daten zur Abwehr von Ge­fah­ren für die staat­li­che oder öf­fent­li­che Si­cher­heit oder zur Ver­fol­gung von Straf­ta­ten wie im BDSG a.F. (§ 28 Abs. 2 Nr. 2 BDSG) findet sich in der DS-GVO nicht. Im Rahmen der na­tio­na­len Öff­nungs­klau­seln wurde in § 24 Abs. 1 BDSG n.F. die „Ver­ar­bei­tung zu anderen Zwecken durch nicht­öf­fent­li­che Stellen“ al­ler­dings ähnlich nor­miert. § 24 BDSG nor­miert aber nur ein Recht der Über­mitt­lung, aber keine Ver­pflich­tung zur Übermittlung.
Die Tat­sa­che, dass Aus­kunfts­ge­su­che von Organen der Straf­ver­fol­gung aus­ge­hen, be­deu­tet nicht au­to­ma­tisch, dass eine Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten zu­läs­sig ist. Viel­mehr haben Un­ter­neh­mer als Ver­ant­wort­li­che die Pflicht zu prüfen, ob die (Übermittlungs-)Anfrage recht­lich korrekt ist, um sich nicht dem Vorwurf einer Da­ten­schutz­ver­let­zung auszusetzen.
Da­ten­wei­ter­ga­ben an Polizei, Staats­an­walt oder Zoll können über Art. 6 Abs. 1 lit. c DS-GVO ge­recht­fer­tigt sein: Da­ten­ver­ar­bei­tung zur Er­fül­lung einer recht­li­chen Ver­pflich­tung. Dies ist z.B. der Fall, wenn die Er­mitt­lungs­be­hör­de im Rahmen ihrer straf­pro­zes­sua­len Be­fug­nis­se und auf An­ord­nung durch die Staats­an­walt­schaft (§ 163 Abs. 1 StPO, § 161 Abs. 1 S. 1 StPO) tätig wird. Es ist al­ler­dings stets im Ein­zel­fall zu prüfen, ob das Aus­kunfts­ge­such sich auch im Rahmen der recht­li­chen Er­mitt­lungs­be­fug­nis­se bewegt. Dies ist immer der Fall, wenn ein ent­spre­chen­der rich­ter­li­cher Be­schluss vor­liegt. Er­fol­gen weniger ein­griffs­in­ten­si­ve Da­ten­ab­fra­gen bei Aus­kunfts­ge­su­chen, genügt es u.U., wenn das Vor­han­den­sein eines staats­an­walt­li­chen Er­­mit­t­­lungs- bzw. Ak­ten­zei­chens über­prüft wird.
Ein wei­te­rer Er­laub­nis­tat­be­stand für Da­ten­wei­ter­ga­ben an Er­mitt­lungs­be­hör­den ist das be­rech­tig­te In­ter­es­se des Ver­ant­wort­li­chen oder eines Dritten gemäß Art. 6 Abs. 1 lit. f DS-GVO. Gemäß Er­wä­gungs­grund 50 DS-GVO liegt ein be­rech­tig­tes In­ter­es­se für die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten zu Straf­ver­fol­gungs­zwe­cken vor, wenn:

„Der Hinweis des Ver­ant­wort­li­chen auf mög­li­che Straf­ta­ten oder Be­dro­hun­gen der öf­fent­li­chen Si­cher­heit und die Über­mitt­lung der maß­geb­li­chen per­so­nen­be­zo­ge­nen Daten in Ein­zel­fäl­len oder in meh­re­ren Fällen, die im Zu­sam­men­hang mit der­sel­ben Straf­tat oder der­sel­ben Be­dro­hung der öf­fent­li­chen Si­cher­heit stehen, an eine zu­stän­di­ge Behörde sollten als be­rech­tig­tes In­ter­es­se des Ver­ant­wort­li­chen gelten.“

Auch hier können nicht einfach per­so­nen­be­zo­ge­nen Daten über­mit­telt werden. Es ist zu prüfen und zu do­ku­men­tie­ren (Art. 5 Abs. DS-GVO), dass das In­ter­es­se des Ver­ant­wort­li­chen an der Über­mitt­lung und sein Beitrag an der Wahrung der öf­fent­li­chen Si­cher­heit die In­ter­es­sen der be­trof­fe­nen Person an seiner in­for­ma­tio­nel­len Selbst­be­stim­mung überwiegt.

Unter welchen Vor­aus­set­zun­gen kann das Un­ter­neh­men die An­fra­gen da­ten­schutz­kon­form beantworten?
Eine Über­mitt­lung ist zu­läs­sig, wenn sie

  • zur Abwehr von Ge­fah­ren für die staat­li­che oder öf­fent­li­che Si­cher­heit oder zur Ver­fol­gung von Straf­ta­ten er­for­der­lich ist (Art. 6 Abs. 1 lit. c oder Art. 6 Abs. 1 lit. f DS-GVO) und
  • die In­ter­es­sen an der Wahrung bzw. Auf­recht­erhal­tung der öf­fent­li­chen Si­cher­heit die In­ter­es­sen der be­trof­fe­nen Person an der in­for­ma­tio­nel­len Selbst­be­stim­mung über­wie­gen und dies im Ein­zel­fall si­cher­ge­stellt ist.

Vor der Über­mitt­lung sollte u.a. geprüft werden:

  • an­fra­gen­de Behörde
  • Au­then­ti­zi­tät des Auskunftsgesuchs
  • Angabe eines Er­mitt­lungs­vor­gangs oder Aktenzeichens
  • Le­gi­ti­ma­ti­on der Behörde
  • Vor­han­den­sein einer Be­grün­dung (Dar­stel­lung des Sachverhalts)
  • Angabe einer Rechts­grund­la­ge sowie deren Voraussetzung

 

Was ist bei der Über­mitt­lung zu beachten?
Selbst­ver­ständ­lich sind bei der Da­ten­über­mitt­lung an Be­hör­den ent­spre­chen­de tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men (z.B. Art. 32, 25 DS-GVO) zu ge­währ­leis­ten, d.h. die Über­mitt­lung sollte elek­tro­nisch ver­schlüs­selt oder schrift­lich ge­si­chert (z.B. Ein­schrei­ben) werden.
An­fra­gen am Telefon (oder münd­lich) sollten – auch hier – grund­sätz­lich nicht be­ant­wor­tet werden. Auf eine schrift­li­che Anfrage sollte immer be­stan­den werden.
Die Anfrage wie auch deren Be­ar­bei­tung ist nach­weis­lich zu do­ku­men­tie­ren. Dies nicht nur vor dem Hin­ter­grund der Nach­­weis- und Re­chen­schafts­pflicht (Art. 5 Abs. 2 DS-GVO), sondern auch um den Vorgang noch zu einem spä­te­ren Zeit­punkt und bei Nach­fra­gen nach­voll­zie­hen zu können.

Fazit:
Wenn eine Er­mitt­lungs­be­hör­de oder die Polizei die Her­aus­ga­be von Daten fordert, gilt es „ruhig und ge­las­sen“ zu re­agie­ren. Am Telefon sollten keine per­so­nen­be­zo­ge­nen Daten wei­ter­ge­ge­ben werden – das gilt grund­sätz­lich auch hier. Ver­lan­gen Sie eine schrift­li­che Anfrage mit Angabe der Rechts­grund­la­ge. Die Beamten wissen dies und haben dafür auch Verständnis.
Die ge­mach­ten Angaben sollten sofort an die Ge­schäfts­füh­rung und die be­trieb­li­che Datenschutz­beauftragte wei­ter­ge­lei­tet werden. Dies gilt eben­falls für An­fra­gen, die per E-Mail oder per Post an das Un­ter­neh­men ge­rich­tet sind. Selb­stän­dig dürfen solche An­fra­gen i.d.R. nicht vom Be­schäf­tig­ten be­ar­bei­tet und be­ant­wor­tet werden (siehe u.a. Ver­trau­lich­keits­ver­ein­ba­rung) bzw. nur nach Anweisung.
Hier ist die Ge­schäfts­füh­rung in Zu­sam­men­ar­beit mit der Da­ten­schutz­be­auf­trag­ten gefordert.

 

Autorin: Regina Mühlich ist Ge­schäfts­füh­re­rin der Management­beratung AdOrga Solutions GmbH. Sie ist Ex­per­tin für Daten­schutz, Sach­ver­stän­di­ge für EDV und Daten­schutz sowie Da­ten­­­schutz-Au­­di­­to­rin, Qua­li­täts­­­ma­nage­ment-Be­auf­­tra­g­­te und Com­pli­ance Officer. Als Datenschutz­beauftragte und Com­pli­ance Officer berät und un­ter­stützt sie na­tio­na­le und in­ter­na­tio­na­le Un­ter­neh­men aus un­ter­schied­lichs­ten Bran­chen. Im Daten­schutz ist sie seit über 20 Jahren tätig. Sie ist ge­frag­te Re­fe­ren­tin für Se­mi­na­re und Vor­trä­ge, Mit­glied des IDG-Ex­­per­­ten­­net­z­­wer­kes sowie Mit­glied des Vor­stan­des des Be­rufs­ver­bands der Da­ten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e. V.

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!