Im Rahmen von polizeilichen und staatsanwaltlichen Ermittlungsmaßnahmen kommt es vor, dass Unternehmen, weil sie ggf. im Besitz aufschlussreicher Daten über einen oder mehrere Tatverdächtige haben, eine Anfrage oder einen Besuch einer Behörde erhalten. Ein zulässiges Mittel zur Informationsbeschaffung und im Rahmen der Ermittlungen kann somit die Abfrage von Daten bei Unternehmen sein.
Die Datenschutz-Grundverordnung (DS-GVO) ist nach den Grundsätzen der Verarbeitung gemäß Art. 5 DS-GVO ein Verbotsgesetz mit Erlaubnisvorbehalt. Für jeden Umgang mit personenbezogenen Daten (Verarbeitung), somit auch für die Übermittlung an eine Ermittlungsbehörde, ist eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO (Erlaubnisvorbehalt) erforderlich. Eine spezielle Rechtsgrundlage für die Übermittlung von Daten zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten wie im BDSG a.F. (§ 28 Abs. 2 Nr. 2 BDSG) findet sich in der DS-GVO nicht. Im Rahmen der nationalen Öffnungsklauseln wurde in § 24 Abs. 1 BDSG n.F. die „Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen“ allerdings ähnlich normiert. § 24 BDSG normiert aber nur ein Recht der Übermittlung, aber keine Verpflichtung zur Übermittlung.
Die Tatsache, dass Auskunftsgesuche von Organen der Strafverfolgung ausgehen, bedeutet nicht automatisch, dass eine Weitergabe von personenbezogenen Daten zulässig ist. Vielmehr haben Unternehmer als Verantwortliche die Pflicht zu prüfen, ob die (Übermittlungs-)Anfrage rechtlich korrekt ist, um sich nicht dem Vorwurf einer Datenschutzverletzung auszusetzen.
Datenweitergaben an Polizei, Staatsanwalt oder Zoll können über Art. 6 Abs. 1 lit. c DS-GVO gerechtfertigt sein: Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung. Dies ist z.B. der Fall, wenn die Ermittlungsbehörde im Rahmen ihrer strafprozessualen Befugnisse und auf Anordnung durch die Staatsanwaltschaft (§ 163 Abs. 1 StPO, § 161 Abs. 1 S. 1 StPO) tätig wird. Es ist allerdings stets im Einzelfall zu prüfen, ob das Auskunftsgesuch sich auch im Rahmen der rechtlichen Ermittlungsbefugnisse bewegt. Dies ist immer der Fall, wenn ein entsprechender richterlicher Beschluss vorliegt. Erfolgen weniger eingriffsintensive Datenabfragen bei Auskunftsgesuchen, genügt es u.U., wenn das Vorhandensein eines staatsanwaltlichen Ermittlungs- bzw. Aktenzeichens überprüft wird.
Ein weiterer Erlaubnistatbestand für Datenweitergaben an Ermittlungsbehörden ist das berechtigte Interesse des Verantwortlichen oder eines Dritten gemäß Art. 6 Abs. 1 lit. f DS-GVO. Gemäß Erwägungsgrund 50 DS-GVO liegt ein berechtigtes Interesse für die Übermittlung von personenbezogenen Daten zu Strafverfolgungszwecken vor, wenn:
„Der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine zuständige Behörde sollten als berechtigtes Interesse des Verantwortlichen gelten.“
Auch hier können nicht einfach personenbezogenen Daten übermittelt werden. Es ist zu prüfen und zu dokumentieren (Art. 5 Abs. DS-GVO), dass das Interesse des Verantwortlichen an der Übermittlung und sein Beitrag an der Wahrung der öffentlichen Sicherheit die Interessen der betroffenen Person an seiner informationellen Selbstbestimmung überwiegt.
Unter welchen Voraussetzungen kann das Unternehmen die Anfragen datenschutzkonform beantworten?
Eine Übermittlung ist zulässig, wenn sie
- zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist (Art. 6 Abs. 1 lit. c oder Art. 6 Abs. 1 lit. f DS-GVO) und
- die Interessen an der Wahrung bzw. Aufrechterhaltung der öffentlichen Sicherheit die Interessen der betroffenen Person an der informationellen Selbstbestimmung überwiegen und dies im Einzelfall sichergestellt ist.
Vor der Übermittlung sollte u.a. geprüft werden:
- anfragende Behörde
- Authentizität des Auskunftsgesuchs
- Angabe eines Ermittlungsvorgangs oder Aktenzeichens
- Legitimation der Behörde
- Vorhandensein einer Begründung (Darstellung des Sachverhalts)
- Angabe einer Rechtsgrundlage sowie deren Voraussetzung
Was ist bei der Übermittlung zu beachten?
Selbstverständlich sind bei der Datenübermittlung an Behörden entsprechende technische und organisatorische Maßnahmen (z.B. Art. 32, 25 DS-GVO) zu gewährleisten, d.h. die Übermittlung sollte elektronisch verschlüsselt oder schriftlich gesichert (z.B. Einschreiben) werden.
Anfragen am Telefon (oder mündlich) sollten – auch hier – grundsätzlich nicht beantwortet werden. Auf eine schriftliche Anfrage sollte immer bestanden werden.
Die Anfrage wie auch deren Bearbeitung ist nachweislich zu dokumentieren. Dies nicht nur vor dem Hintergrund der Nachweis- und Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO), sondern auch um den Vorgang noch zu einem späteren Zeitpunkt und bei Nachfragen nachvollziehen zu können.
Fazit:
Wenn eine Ermittlungsbehörde oder die Polizei die Herausgabe von Daten fordert, gilt es „ruhig und gelassen“ zu reagieren. Am Telefon sollten keine personenbezogenen Daten weitergegeben werden – das gilt grundsätzlich auch hier. Verlangen Sie eine schriftliche Anfrage mit Angabe der Rechtsgrundlage. Die Beamten wissen dies und haben dafür auch Verständnis.
Die gemachten Angaben sollten sofort an die Geschäftsführung und die betriebliche Datenschutzbeauftragte weitergeleitet werden. Dies gilt ebenfalls für Anfragen, die per E-Mail oder per Post an das Unternehmen gerichtet sind. Selbständig dürfen solche Anfragen i.d.R. nicht vom Beschäftigten bearbeitet und beantwortet werden (siehe u.a. Vertraulichkeitsvereinbarung) bzw. nur nach Anweisung.
Hier ist die Geschäftsführung in Zusammenarbeit mit der Datenschutzbeauftragten gefordert.
Autorin: Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Sie ist Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie Datenschutz-Auditorin, Qualitätsmanagement-Beauftragte und Compliance Officer. Als Datenschutzbeauftragte und Compliance Officer berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Im Datenschutz ist sie seit über 20 Jahren tätig. Sie ist gefragte Referentin für Seminare und Vorträge, Mitglied des IDG-Expertennetzwerkes sowie Mitglied des Vorstandes des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.