Auskunftsanfragen von Polizei und anderen Behörden

In unserer täglichen Beratungspraxis kommt es immer wieder mal vor: Die Polizei oder das Ordnungsamt stehen bei unseren Mandanten vor der Tür oder ein Schreiben der Staatsanwaltschaft wird zugestellt. Es wird vom Unternehmen die Herausgabe von Daten zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung verlangt. Schnell neigt man dazu, die Daten herauszugeben, da die Behörden ja sicher wissen, was sie tun und dürfen. In vielen Fällen erfolgt diese Herausgabe jedoch zu schnell.

Für jede Art der Datenverarbeitung wird eine Rechtsgrundlage benötigt, so auch für die Datenweitergabe an Behörden. Da in Unternehmen die Daten in der Regel für andere Zwecke als zum Beispiel der Strafverfolgung verarbeitet werden, liegt meist eine Zweckänderung vor. Diese kann nur auf Basis einer bestehenden Rechtsgrundlage erfolgen und ist unter Umständen auch den betroffenen Personen zu kommunizieren.

Welche Rechtsgrundlagen können einschlägig sein?

Vorab: Für die Ermittlungen von Polizei und Staatsanwaltschaft ist die Strafprozessordnung (StPO) einschlägig. Die Befugnisse und Rechte der Ermittlungsbehörden finden sich dort in §§ 160 ff. StPO. Da die Herausgabe der Daten jedoch auch eine Verarbeitung personenbezogener Daten bedeutet, sind gleichzeitig immer auch die Vorgaben der DSGVO zu erfüllen. Anders ausgedrückt: Jede Übermittlung, die gegen die Regelungen der DSGVO verstößt, ist nicht zulässig und stellt für die Unternehmen ein Risiko, bis hin zu hohen Bußgeldern, dar.

Rechtliche Verpflichtung

Art. 6 Abs. 1 lit. c DSGVO kann eine Datenübermittlung rechtfertigen, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Dies wird zumeist von den anfragenden Behörden direkt behauptet, trifft aber nicht in allen Fällen zu. Insbesondere, wenn die Polizei im Rahmen ihrer Ermittlungen „anfragt“, muss geprüft werden, ob eine Verpflichtung zur Herausgabe von Daten der eigenen Beschäftigten oder sonstigen betroffenen Personen besteht. Gerne wird auf § 161a Abs. 1 Satz 1 StPO verwiesen: „Zeugen und Sachverständige sind verpflichtet, auf Ladung vor der Staatsanwaltschaft zu erscheinen und zur Sache auszusagen oder ihr Gutachten zu erstatten“ um dann direkt auf die Folgen einer Weigerung zu verweisen (§ 161a Abs. 2 StPO): „Bei unberechtigtem Ausbleiben oder unberechtigter Weigerung eines Zeugen oder Sachverständigen steht die Befugnis zu den in den §§ 51, 70 und 77 vorgesehenen Maßregeln der Staatsanwaltschaft zu“.

Allerdings ist die Polizei eben nicht die Staatsanwaltschaft, sondern die Polizei. Dieser Satz ist also eine Drohgebärde, die letztlich aber bei polizeilichen Ermittlungen nicht greifen kann.

Ob eine rechtliche Verpflichtung tatsächlich besteht oder ob diese nur von der ermittelnden Behörde behauptet wird, muss also in jedem Einzelfall geprüft werden.

Berechtigtes Interesse

Auch Art. 6 Abs. 1 lit. f DSGVO (überwiegendes berechtigtes Interesse) kann als Rechtsgrundlage dienen.

Für besondere Arten personenbezogener Daten (beispielsweise Gesundheitsdaten) ist darüber hinaus Art. 9 DSGVO zu berücksichtigen. Sofern diese angefragt werden oder sich herausstellt, dass eine Herausgabe notwendig oder sinnvoll wäre, kann ein berechtigtes Interesse nicht als Rechtsgrundlage dienen. Art. 9 DSGVO schränkt Art. 6 Abs. 1 lit. f DSGVO diesbezüglich ein.

Darüber hinaus wird die Verarbeitung zu derartigen Zwecken ebenfalls in § 24 Bundesdatenschutzgesetz (BDSG) geregelt.

Sonderfälle

Berufsgeheimnisträger gemäß § 203 Strafgesetzbuch (StGB) müssen darüber hinaus besondere Vorsicht walten lassen bei der Übermittlung der Daten. Sie unterliegen einer besonderen Verschwiegenheitsverpflichtung gegenüber den Betroffenen. Sie haben gemäß § 53 StPO gegenüber der Staatsanwaltschaft oder auch dem Gericht ein Zeugnisverweigerungsrecht. Dies gilt übrigens auch für uns Datenschutzbeauftragte, sofern sich die Anfrage auf Daten bezieht, welche wir im Rahmen unserer Tätigkeit für einen Berufsgeheimnisträger verarbeiten. Das Zeugnisverweigerungsrecht geht sozusagen auf uns über.

Geeignetes Vorgehen

Wenn eine entsprechende Behörde anfragt, sollte zuerst geprüft werden, ob das Ersuchen die benötigten Voraussetzungen erfüllt. Das Unternehmen ist für eine gegebenenfalls unzulässige Datenweitergabe verantwortlich. Eine nicht rechtmäßige Übermittlung kann einen Datenschutzverstoß bedeuten. Deshalb sollte stets vorab geprüft werden:

  • die Echtheit des Auskunftsgesuchs und die Existenz der anfragenden Behörde. Dies kann zum Beispiel erfolgen indem geprüft wird, ob eine telefonische Nachfrage möglich ist,
  • ob ein Herausgabeanspruch besteht,
  • ob die genannte Rechtsgrundlage für die Herausgabe einschlägig ist,
  • ob der genannte Zweck rechtmäßig ist.

Darüber hinaus sollten die folgenden Verfahrensanweisungen berücksichtigt werden:

  • Lassen Sie sich mündliche Informationen immer noch schriftlich zusenden bzw. bestätigen.
  • Geben Sie nur soviel Daten wie nötig heraus.
  • Übermitteln Sie die Daten nur verschlüsselt oder schriftlich per Post/Fax.

Information der Betroffenen erforderlich?

Art. 13 Absatz 3 DSGVO sieht vor, dass der Verantwortliche die Betroffenen darüber informieren muss, wenn die Daten für einen anderen Zweck weiteverarbeitet werden als den, für den sie erhoben wurden. Dies könnte einer Strafverfolgung natürlich entgegenstehen. Wenn eine Gefährdung der Ermittlungsmaßnahmen droht, kann die Ermittlungsbehörde unter der Angabe einer entsprechenden Rechtsgrundlage die Information an den Betroffenen durch das Unternehmen untersagen.

Auch hier ist es wieder wichtig, sich die Rechtsgrundlage nennen zu lassen und diese zu prüfen. Im Anschluss ist das Ausbleiben der Information der betroffenen Person stets zu dokumentieren. Dieser Dokumentation sind alle Informationen der Begründung beizufügen.

Kommen solche Anfragen bei Ihnen vor? Lassen Sie sich durch uns unterstützen und beraten!