Unternehmen werden immer wieder von Ermittlungs- und Strafverfolgungsbehörden (Polizei, Staatsanwaltschaft, Zollämter) aufgefordert, Auskunft im Rahmen eines Strafverfahrens zu erteilen. Schnell kann dann die Ungewissheit hochkommen, ob Daten überhaupt und falls ja, in welchem Umfang an die Behörden übermittelt werden müssen, insbesondere wenn es sich um eine telefonische Anfrage handelt.
Sobald die Staatsanwaltschaft von dem Verdacht einer Straftat Kenntnis erlangt, ist sie befugt Auskunft zu verlangen und kann Ermittlungen selbst vornehmen oder durch die Polizei vornehmen lassen (§ 160 Strafprozessordnung/StPO). In der Praxis werden die ersten Ermittlungstätigkeiten meistens durch die Polizei vorgenommen, weil Strafanzeigen vorwiegend direkt bei ihr erstattet werden oder weil die Polizei auf anderem Wege noch vor der Staatsanwaltschaft von Straftaten Kenntnis erlangt. Das Spektrum der Straftaten erstreckt sich von Cybercrimedelikten, wie etwa Waren- und Dienstleistungsbetrug über den Missbrauch persönlicher Daten bei Nutzung des Internets bis hin zu Sachbeschädigung, Betrug, Diebstahl, Beleidigung, Verstöße gegen das Straßenverkehrsgesetz u.a. Die Anfragen der Ermittlungsbehörden beziehen sich dann meist auf die Herausgabe von Name, Adresse, Telefonnummer, Videodateien oder einer IP-Adresse. Dabei handelt es sich um personenbezogene Daten, die in den Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) fallen. Somit stellt sich die Frage:
Worauf sollten Unternehmen als Verantwortliche für die Datenverarbeitung bei Anfragen von Ermittlungsbehörden achten?
1. Prüfung des Absenders und der Echtheit der Anfrage
In einem ersten Schritt sollte geprüft werden, ob das Ersuchen auch tatsächlich von einer Ermittlungsbehörde stammt. Eine übereilte Datenübermittlung an unbefugte Dritte kann schnell zu einem Datenschutzverstoß führen.
Telefonische Anfragen sollten mit Verweis auf die Nachweisbarkeit abgelehnt und schriftlich verlangt werden, da bei einem telefonischen Ersuchen nicht sichergestellt werden kann, dass die anfragende Person auch tatsächlich offiziell im Auftrag der Ermittlungsbehörde anfragt.
Anfragen per E-Mail sollten ebenfalls kritisch überprüft werden, um sicherzugehen, dass das Ersuchen auch zweifellos vom Absender stammt. E-Mails können leicht manipuliert werden. Deshalb sollte geprüft werden, ob die Behörde existiert und ob Telefon- und Faxnummer mit den Angaben im Internet übereinstimmen. Aufschlussreich kann auch ein Anruf bei der Ermittlungsbehörde selbst sein.
Schriftliche Anfragen per Brief: Auch bei Anfragen auf postalischem Wege sollte geprüft werden, ob es die Ermittlungsbehörde tatsächlich gibt und ob Telefon- und Faxnummer auf dem Schreiben mit den Angaben auf der Internetseite der Behörde übereinstimmen.
2. Welche Angaben sollte das Ersuchen enthalten?
Neben den Angaben zu der anfragenden Behörde sollte geprüft werden, ob folgende Voraussetzungen erfüllt sind, die eine Übermittlung der Daten überhaupt erlauben:
Herausgabeanspruch: Es sollte geprüft werden, ob eine Grundlage für die Herausgabe der Daten genannt wurde wie etwa ein richterlicher Beschluss oder ein unterzeichnetes Auskunftsersuchen der Staatsanwaltschaft oder der Polizei.
Aktenzeichen und Begründung: Zudem sollte das Ersuchen ein Aktenzeichen sowie eine Begründung oder Darstellung des Sachverhaltes enthalten.
Rechtliche Grundlage: Auch sollte geprüft werden, ob eine rechtliche Grundlage für die Herausgabe der Daten genannt ist (z. B. §§ 160 ff StPO).
3. Welche Rechtsgrundlage erlaubt die Übermittlung personenbezogener Daten durch das verantwortliche Unternehmen an die anfragende Ermittlungsbehörde?
Personenbezogenen Daten dürfen nur dann verarbeitet werden, wenn eine Rechtsgrundlage dies erlaubt. Die DSGVO enthält keine eindeutige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten zum Zweck der Strafverfolgung. Dennoch können Art. 6 Abs. 1 S. 1 lit. c DSGVO (rechtliche Verpflichtung) oder Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse) als Rechtsgrundlage herangezogen werden.
Eine rechtliche Verpflichtung besteht bei Auskunftsersuchen durch die Staatsanwaltschaft oder durch die Polizei im Auftrag der Staatsanwaltschaft (§§ 161a Abs. 1 und 163 Abs. 3 StPO). Voraussetzung ist, dass ein staatsanwaltschaftliches Aktenzeichen oder ein richterlicher Beschluss vorliegt.
Das berechtigte Interesse als Rechtsgrundlage wird in Erwägungsgrund (EG) 50 der DSGVO begründet. Demnach soll die Übermittlung der maßgeblichen personenbezogenen Daten an eine zuständige Behörde als berechtigtes Interesse gelten, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.
4. Prinzip der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
Personenbezogene Daten dürfen für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine Weiterverarbeitung für nicht vereinbare Zwecke ist unzulässig.
§ 24 Abs. 1 Nr. 1 BDSG erlaubt eine Zweckänderung bei der Verarbeitung von personenbezogenen Daten u.a., wenn „sie zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist“. Da § 24 BDSG nur die Zulässigkeit nicht jedoch die Pflicht einer Übermittlung regelt, sollte stets die rechtliche Grundlage erfragt werden, sofern sie im Rahmen des Ermittlungsersuchens nicht bereits mitgeteilt wurde.
Betroffene Personen, deren Daten übermittelt werden, sind angesichts der Zweckänderung nach Art. 13 DSGVO zu informieren. Die Pflicht entfällt, wenn die Ermittlungsbehörde unter Angabe einer entsprechenden Rechtsgrundlage dies untersagt, etwa weil hierdurch die Ermittlungen gefährdet werden.
5. Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
Gemäß dem Grundsatz der Datenminimierung sollen so wenige Daten wie möglich dem Zweck angemessen erhoben und verarbeitet werden. Übertragen auf das Ersuchen einer Ermittlungsbehörde sind nur die personenbezogenen Daten herauszugeben, die für die Ermittlung tatsächlich erforderlich sind. So sollte etwa nicht das gesamte Videomaterial übermittelt werden, sondern nur die für die Ermittlungen entscheidenden Sequenzen.
6. Technische und organisatorische Maßnahmen
Um die Daten angemessen zu schützen, ist darauf zu achten, dass die Übermittlung besser schriftlich erfolgt (Einschreiben oder Kurier). Die elektronische Kommunikation sollte nur verschlüsselt stattfinden.
7. Dokumentation
Zum Nachweis der Rechtmäßigkeit der Datenherausgabe sollte der Vorgang dokumentiert werden. So kann später nachgewiesen werden, dass nur die erforderlichen Daten auf einem sicheren Weg an die zuständige Behörde übermittelt wurden.
Fazit
Für einen rechtskonformen Umgang mit Ersuchen der Ermittlungsbehörden sollten Unternehmen den Prozess im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentieren. So wird auch festgelegt, wer im Unternehmen für die Bearbeitung zuständig ist. Mitarbeiter sollten im Umgang mit Ersuchen sensibilisiert werden, insbesondere was die Identifizierung der anfragenden Behörde betrifft. Zudem kann eine Checkliste den sicheren Umgang mit Ermittlungsersuchen unterstützen.