Immer wieder erhalten Unternehmen Auskunftsersuchen der Staatsanwaltschaft oder der Polizei. Es wird beispielsweise die Herausgabe von Kundendaten wegen eines Kreditkartenbetruges, die Nennung des Fahrernamens eines Firmenfahrzeuges oder die Mitteilung einer IP-Adresse verlangt. Doch welche Daten dürfen Sie als Unternehmen überhaupt an Behörden herausgegeben und welche Schritte sind für eine rechtskonforme Übermittlung zu beachten?
Rechtsgrundlage zur Datenübermittlung
Üblicherweise sollen bei einem Auskunftsverlangen Namen, Kontaktdaten, IP-Adressen oder auch Video-, Bild- oder Audiodateien übermittelt werden. Da es sich um personenbezogene Daten handelt, greifen die Vorschriften der Datenschutz-Grundverordnung (DSGVO). Bei biometrischen Daten handelt es sich sogar um besondere Kategorien personenbezogener Daten (Art. 4 Nr. 14 DSGVO).
Die DSGVO ist in diesen Fällen unmittelbar anwendbar, da das Unternehmen selbst Verantwortlicher ist und der Ausschluss der sachlichen Anwendung in Art. 2 Abs. 2 lit. d DSGVO ausschließlich auf die Verarbeitung durch die zuständige Behörde abzielt. Gem. Art. 2 Abs. 2 lit. d DSGVO ist bei der Verarbeitung durch die Behörde die DSGVO nicht anwendbar, wenn dies zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten erfolgt. Hierfür gelten eigenständige gesetzliche Regelungen wie z.B. die Polizeigesetze der Bundesländer.
Für jede Form der Verarbeitung dieser Daten (hier: Übermittlung) ist eine Rechtsgrundlage notwendig, dies ergibt sich aus dem Verbot mit Erlaubnisvorbehalt. Da die DSGVO keine eigenständige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten zum Zwecke der Strafverfolgung enthält, könnten beispielsweise Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung) oder lit. f (berechtigtes Interesse) DSGVO in Betracht kommen.
Eine rechtliche Verpflichtung liegt vor, wenn die Behörde auf Grundlage der Strafprozessordnung (§§ 160 ff. StPO) als Ermittlungsperson der Staatsanwaltschaft oder bei Gefahr in Verzug tätig wird. Um die Übermittlung auf Art. 6 Abs. 1 lit. c DSGVO zu stützen, muss ein staatsanwaltliches Ermittlungszeichen oder ein gerichtlicher Durchsuchungsbeschluss vorliegen.
In Erwägungsgrund 50 rechtfertigt die DSGVO eine Übermittlung der personenbezogenen Daten, die im Zusammenhang mit Straftaten oder Bedrohungen der öffentlichen Sicherheit stehen, an eine Behörde als berechtigtes Interesse des Verantwortlichen.
Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten sieht Art. 9 DSGVO eine Öffnungsklausel für den nationalen Gesetzgeber vor. Hiervon hat der deutsche Gesetzgeber z.B. bei der Videoüberwachung (§ 4 Abs. 3 BDSG) Gebrauch gemacht.
Grundsatz der Zweckbindung
Vom Grundsatz der Zweckbindung kann im Falle eines Auskunftsersuchens gem. § 24 BDSG abgesehen werden und eine Zweckänderung zur Verfolgung von Straftaten ist möglich.
D.h. eine Übermittlung von personenbezogenen Daten des Verantwortlichen an eine Behörde ist zulässig, auch wenn die Verfolgung von Straftaten bei der Erhebung noch nicht als Zweck festgelegt und der Betroffene nicht nach Art. 13 DSGVO über diese Verarbeitung informiert wurde.
Handlungsempfehlung für die Vorgehensweise bei Erhalt eines Auskunftsersuchens
Die folgende Schritt-für-Schritt-Anleitung hilft Ihnen, bei einer Übermittlung von personenbezogenen Daten an eine Behörde alles zu beachten und relevante Voraussetzungen vorab zu prüfen:
- Prüfen Sie das Auskunftsersuchen bzw. -schreiben
- Klären Sie die Echtheit des Schreibens anhand folgender Fragen (eine unzulässige Übermittlung führt zu einem Datenschutzverstoß):
- Existiert die genannte ausstellende Behörde?
- Stimmen angegebene Telefon- und Faxnummern mit den Angaben im Internet überein?
- Ist ein Aktenzeichen angegeben?
- Bei Zweifel kann eine telefonische Rückfrage bei der bearbeiteten Person aufschlussreich sein.
- Lassen Sie sich mündliche Anfragen per Telefon immer schriftlich auf dem Briefpapier der Behörde zukommen.
- Klären Sie die Echtheit des Schreibens anhand folgender Fragen (eine unzulässige Übermittlung führt zu einem Datenschutzverstoß):
- Prüfen Sie den Herausgabeanspruch (sollten die genannten Punkte nicht enthalten sein, fragen Sie bei der Behörde nach)
- Prüfen Sie, welche Grundlage zur Herausgabe einschlägig ist (z.B. richterlicher Beschluss, Anordnung der Staatsanwaltschaft).
- Prüfen Sie, ob die rechtliche Grundlage zur Herausgabe genannt ist (z.B. §§ 160 ff StPO).
- Prüfen Sie, ob eine schlüssige Begründung oder Darstellung des Sachverhaltes gegeben ist.
- Vergewissern Sie sich, ob eine datenschutzrechtliche Rechtsgrundlage die Übermittlung der Daten rechtfertigt
- Prüfen Sie, ob eine der genannten Rechtsgrundlagen die Herausgabe der Daten erlaubt.
- Prüfen Sie, ob eine ggfs. notwendige Zweckänderung zulässig ist.
- Ist die Übermittlung rechtmäßig, achten Sie darauf, dass nur Daten weitergegeben werden, die für das Auskunftsersuchen erforderlich sind (Grundsatz der Datenminimierung).
- Achten Sie darauf, dass die elektronische Übermittlung der Daten verschlüsselt erfolgt oder die Daten schriftlich übermittelt werden (z.B. per Einschreiben oder per Kurier).
- Überprüfen Sie, ob eine Informationspflicht der Betroffenen nach Art. 13 ff DSGVO besteht.
- Dokumentieren Sie das Auskunftsersuchen; es ist empfehlenswert die Übermittlung ins Verzeichnis von Verarbeitungstätigkeiten zu übernehmen.
Fazit: Die Übermittlung sollte ausschließlich nach ausführlicher Prüfung erfolgen
Eine Übermittlung von personenbezogenen Daten an Strafverfolgungsbehörden ist unzulässig, sollten nicht die Voraussetzungen aus § 24 BDSG oder einer sonstigen Rechtsgrundlage erfüllt sein. Es ist zu beachten, dass eine unzulässige Übermittlung einen Datenschutzverstoß darstellt und ein Bußgeld nach sich ziehen kann.
Bei Vorliegen der Voraussetzungen in § 24 BDSG ist eine Übermittlung zulässig, jedoch nicht zwingend verpflichtend. Somit ist vor der Übermittlung unbedingt die rechtliche Grundlage zu erfragen, dies kann z.B. ein Auskunftsersuchen der Staatsanwaltschaft oder der Polizei im Auftrag der Staatsanwaltschaft (§§ 160 ff. StPO) sein.
Bei Bestehen einer derartigen Verpflichtung kommt für die verantwortliche Stelle neben § 24 BDSG auch Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage für die Übermittlung in Betracht.
Zu beachten ist zusätzlich die Pflicht zur Information des Betroffenen, insb. Art 13 Abs. 3 DSGVO. Hiervon kann abgesehen werden, wenn die Strafverfolgungsbehörde eine Rechtsgrundlage nennt, dass durch die Information eine Gefährdung der Ermittlungsmaßnahmen gegeben ist.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.