DSGVO – Herausgabe von Daten bei Auskunftsersuchen durch Staatsanwaltschaft oder Polizei

Nicht Unbekannt ist, dass Unternehmen oder Betriebe von der Staatsanwaltschaft oder Polizei zu Ermittlungen kontaktiert werden und die Herausgabe bestimmter Daten von der Unternehmensführung fordern.

Was verlangen die Polizei und die Staatsanwaltschaft von den Unternehmen?

Wenn sich die Polizei oder auch die Staatsanwaltschaft bezüglich der Herausgabe der Daten an die Unternehmensführung wendet, kann dies verschiedene Gründe haben. Doch nicht nur die Gründe können unterschiedlich sein, auch die Art der Information, welche verlangt wird, kann sich von Fall zu Fall unterscheiden. Einige Beispiele über Informationen, nach welchen um Auskunft ersucht wird:

  • Die Nennung von Kundendaten, wenn die Staatsanwaltschaft bezüglich eines Kreditkartenbetrugs ermittelt
  • Bei einer Mietwagenfirma die Daten eines Fahrzeug-Nutzers zum bestimmten Zeitpunkt oder im Autohaus den Nutzer eines Leihwagens
  • die Nennung des Namens des Fahrers, wenn es mit dem Firmenfahrzeug zu einem Unfall oder einer anderen Tat gekommen sein sollte
  • die Mitteilung einer IP-Adresse von einem Anbieter u.s.w.

Sobald sich die Polizei oder auch die Staatsanwaltschaft bei den Unternehmen meldet, sind die Führungskräfte in der Regel sofort bereit dazu, die geforderten bzw. angefragten Daten zu übermitteln. Doch inwiefern ist das Unternehmen zu der Datenübermittlung gezwungen und dürfen die Daten einfach ohne weiteres an die anfragende Behörde herausgeben werden?

Welche rechtlich sicheren Schritte sind bei der Herausgabe dieser sensiblen Daten zu beachten?

 

 

Die Rechtsgrundlage bezüglich der Übermittlung der Daten

Ein Auskunftsverlangen stellt sich in der Regel aus unterschiedlichen Bestandteilen zusammen. Bei diesen handelt es sich meist um:

  • den Namen
  • die Kontaktdaten
  • die IP-Adressen
  • Videodateien
  • Bilddateien
  • Audiodateien

Bei diesen Daten handelt es sich laut Art. 14 Nr. 14 DSGVO um biometrische Daten – eine besondere Kategorie von personenbezogenen Daten.

Laut Art.2 Abs.2 lit. d DSGVO ist folgendes vorgegeben: Wird die Verarbeitung der Anfrage ausschließlich durch die zuständige Behörde ausgeführt – zum Zweck der Ermittlung, Verhütung, Verfolgung oder Aufdeckung von Straftaten, so steht einerseits das Polizeigesetz über der DSGVO.

Achtung: Jedoch ist auch hier eine Rechtsgrundlage erforderlich, welche die DSGVO in einzelner Definition nicht enthält. Hier fallen folgende Vorgaben in Betracht: Rechtliche Verpflichtung lt. Art.6 Abs. 1c DSGVO oder Berechtigtes Interesse lt. Art.6 Abs. 1f.

Laut Strafprozessordnung (§§160 ff StPO) muss hier ein Ermittlungsverfahren mit einer Ermittlungsnummer oder z.B. der Tatbestand „Gefahr in Verzug“ bestehen. Dann kann die Datenübermittlung auf DSGVO Art. 6 Abs.1c gestützt werden. Auch ein Durchsuchungsbefehl ist rechtsgültig.

Ein Berechtigtes Interesse besteht laut DSGVO im Erwägungsgrund Nr. 50, wenn hier ein Zusammenhang mit einer Straftat oder die Gefahr der öffentlichen Sicherheit besteht. Somit hat die Behörde ein berechtigtes Interesse.

 

Der Grundsatz der Zweckbindung

Laut § 24 BDGS kann von dem Grundsatz der Zweckbindung abgesehen werden. Das ist dann möglich, wenn eine Zweckänderung zur Verfolgung von Straftaten möglich ist. Im Klartext bedeutet das, dass die Übermittlung der personenbezogenen Daten an die jeweilige Behörde zulässig ist, wenn die Herausgabe der Taten der Verfolgung einer Straftat dient, selbst wenn noch kein Zweck bestimmt wurde. Die Behörden müssen den Betroffenen in diesem Fall auch nicht zuvor informiert haben Art.13 DSGVO.

 

Empfehlung richtige Handlungsweise

Bevor die geforderten Daten an die anfragende Behörde übermittelt werden,

sollten Betroffene prüfen, ob das Ersuchen die benötigten Voraussetzungen erfüllt. Eine ausführliche Prüfung ist in diesem Fall angemessen, um ganz nach den Grundsätzen der Datenschutzgrundverordnung handeln zu können. Da es leider immer wieder Betrüger gibt, sollten die Betroffenen erst einmal die Echtheit des Ersuchens prüfen. Denn eine nicht gerechtfertigte und rechtmäßige Übermittlung der Daten bedeutet einen Datenschutzverstoß. Aus diesem Grund sollten folgende Fragen geklärt sein:

  • Gibt es die ausstellende Behörde wirklich?
  • Stimmt die Telefonnummer und die Faxnummer des Schreibens mit den Angaben auf der Seite im Internet überein?
  • Gibt es bezüglich der Angelegenheit ein Aktenzeichen?
  • Im Zweifel auch telefonisch anfragen
  • Mündliche Informationen immer noch schriftlich zusenden/bestätigen lassen
  • Herausgabeanspruch prüfen – Aktenzeichen oder richterlicher Beschluss oder Anordnung der Staatsanwaltschaft
  • Rechtliche Grundlage (z.B. §§ 160 ff StPO) sollte genannt sein
  • Erlaubt die Rechtsgrundlage die Herausgabe der Daten?
  • Ist der genannte Zweck rechtmäßig?
  • Grundsatz Datenminimierung – Nur erforderliche Daten sind an die Behörde zu übermitteln.
  • Datenübermittlung sollte verschlüsselt erfolgen (immer bei personenbezogenen und biometrischen Daten)
  • Prüfung der Informationspflicht an den Betroffenen lt. Art. 13 ff DSGVO erforderlich.
  • Dokumentation im Verzeichnis von Verarbeitungstätigkeiten empfehlenswert.

 

Fazit: Übermittlung nach genauer Prüfung

Eine unzulässige Datenübermittlung stellt einen Datenschutzverstoß vor. Auch für die Übermittlung der Daten an eine Strafermittlungsbehörde sind die benötigten Voraussetzungen aus §24 BDSG zu erfüllen. Die Übermittlung ist dann zulässig, jedoch nicht verpflichtend.

Wichtig: §24 BDSG und Artikel 6 Abs. 1c DSGVO sind die zu prüfenden Rechtsgrundlagen vor der Übermittlung.