Polizeianfragen: Rechtskonforme Datenweitergabe nach der DSGVO

Fachbeitrag

Bei begründetem Verdacht einer Straftat, leitet die Staatsanwaltschaft zunächst ein Ermittlungsverfahren ein. Mit Unterstützung durch verschiedene Ermittlungspersonen, sammelt die zuständige Staatsanwaltschaft nach dem sog. Freibeweisverfahren alle Informationen, die den Verdacht bestätigen oder ausräumen könnte. Ein zulässiges Mittel zur Informationsbeschaffung kann dabei auch die Abfrage von Daten bei Unternehmen sein. Unter welchen Voraussetzungen kann das Unternehmen die Anfragen datenschutzkonform beantworten?

Keine direkte Rechtsgrundlage mehr

Mit Blick auf die Grundsätze der Verarbeitung personenbezogener Daten in Art. 5 DSGVO wird klar, dass auch die DSGVO dem Verbot mit Erlaubnisvorbehalt unterliegt. Für jede Form der Verarbeitung personenbezogener Daten, also auch der Übermittlung, ist demnach eine Rechtsgrundlage nötig. Während der § 28 Abs. 2 Nr. 2 lit. b BDSG (alte Fassung) eine spezielle Rechtsgrundlage für die Übermittlung von Daten zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten enthielt, findet sich eine solche in der DSGVO nicht mehr so explizit.

Mit § 24 BDSG (neu) existiert im nationalen Recht aber eine ähnliche Vorschrift, welche an eine solche Übermittlung die gleichen Voraussetzungen wie der § 28 Abs. 2 Nr. 2 lit. b BDSG (alte Fassung) stellt. An dieser Stelle muss man sich zunächst das Verhältnis zwischen europäischem und nationalem Recht vor Augen halten. Das BDSG (neu) konkretisiert die Datenschutz-Grundverordnung nur an Stellen, an denen Öffnungsklauseln bestehen. Daher sollte man sich bewusst machen, wie man über die DSGVO zu dieser Vorschrift gelangt und wie sie in der Praxis konkret anzuwenden ist.

Zweckbindungsgebot und Zweckkompatibilität

Die Übermittlung von personenbezogenen Daten fällt gem. der Definition des Art. 4 Nr. 2 DSGVO unter den Begriff der „Verarbeitung“. Da die Daten in den wenigsten Fällen zum Zwecke der Übermittlung an Strafverfolgungsbehörden erhoben werden, liegt eine sog. „Weiterverarbeitung“ vor.

Zu den oben erwähnten Grundsätzen der DSGVO konformen Verarbeitung zählen auch das in Art. 5 Abs. 1 lit. b DSGVO normierte Zweckbindungsgebot und die Zweckkompatibilität bei der Weiterverarbeitung der erhobenen Daten. Demnach ist eine Datenerhebung nur zu einem festgelegtem, eindeutigen und legitimen Zweck zulässig. Die Weiterverarbeitung muss einen Zweck verfolgen, der mit dem Zweck der Erhebung vereinbar ist.

Betrachtet man die Vorschrift losgelöst von den anderen Bestimmungen der DSGVO, könnte man vermuten, dass eine Weiterverarbeitung ohne Zweckkompatibilität in jedem Fall unzulässig sei. Dies würde wiederum dazu führen, dass eine Weiterverarbeitung, die auf einer anderen als der ursprünglichen Rechtsgrundlage beruht und ihrerseits einen legitimen Zweck verfolgt, immer unzulässig wäre. Dass diese Schlussfolgerung vom Gesetzgeber nicht gewollt gewesen sein kann, ergibt sich auch aus Satz 1 und 2 des Erwägungsgrund 50 der Datenschutz-Grundverordnung. Dort heißt es:

„Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten.“

Damit wird klar, dass bei Vorliegen der Zweckkompatibilität lediglich keine gesonderte Rechtsgrundlage für die Weiterverarbeitung mehr notwendig ist.

Privilegierung der Aufdeckung oder Verfolgung von Straftaten

Stützt sich die Weiterverarbeitung auf eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), oder auf eine Rechtsvorschrift der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt, kann im Umkehrschluss aus Art. 6 Abs. 4 S.1 DSGVO auch auf die Prüfung der Zweckkompatibilität verzichtet werden.

„Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist (…)“

Die Beschränkung der datenschutzrechtlichen Grundsätze über Art. 23 Abs.1 DSGVO ist durchaus sinnvoll, da auf diesem Weg, unter Abwägung der Interessen, grundlegende Rechte Dritter geschützt werden.

Zu den in Art. 23 Abs. 1 DSGVO aufgeführten Zielen gehört auch „die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“.

Auswirkungen auf den § 24 BDSG neu

Der beschriebenen Systematik folgend, sind bei Vorliegen der Voraussetzungen des § 24 Abs. 1 BDSG (neu) eine gesonderte Rechtsgrundlage und eine Prüfung der Zweckkompatibilität nach Art. 6 Abs. 4 S.1 DSGVO i.V.m. § 24 Abs. 1 BDSG (neu) entbehrlich.

Die durch § 24 Abs. 1 BDSG (neu) aufgestellten Voraussetzungen sind identisch mit denen des § 28 Abs. 2 Nr. 2 lit. b BDSG (alte Fassung). Es kann also davon ausgegangen werden, dass zumindest deutsche Unternehmen keine neuen Vorkehrungen für die Übermittlung an Strafverfolgungsbehörden treffen müssen.

Die Strafverfolgungsbehörden müssen die Erhebung durch Abfrage weiterhin auf eine Rechtsgrundlage stützen können. Liegt eine solche vor und wird diese auch mitgeteilt, muss im nächsten Schritt eine Abwägung mit den Interessen der betroffenen Person an dem Ausschluss der Verarbeitung erfolgen.

In der Praxis bedeutet dies, dass Unternehmen sich ausreichend informieren lassen sollten über:

  • den Tatvorwurf
  • den Zweck der Verarbeitung durch die Ermittlungsbehörde
  • die Rechtsgrundlage der Anfrage

Daneben gilt auch, dass Unternehmen keine telefonischen Auskünfte erteilen sollten. Gleiches gilt für Anfragen per Fax oder E-Mail. Diese Kommunikationsmittel sind für Experten recht einfach zu manipulieren, so dass nicht sichergegangen werden kann, dass am anderen Ende der Leitung auch tatsächlich die genannte Strafverfolgungsbehörde ist.

Andere Ansicht

In der Literatur zu Art. 6 Abs. 4 DSGVO wird zum Teil vertreten, dass trotz der obigen Ausführungen jede Weiterverarbeitung auf eine eigene Rechtsgrundlage gestützt werden und zusätzlich die Zweckkompatibilität gegeben sein muss.

Begründet wird diese Ansicht damit, dass Satz 8 des Erwägungsgrundes 50 insbesondere vorsieht, dass in jedem Fall gewährleistet sein soll, dass die in der DSGVO niedergelegten Grundsätze angewandt werden. Zu diesen Grundsätzen zähle neben der Rechtmäßigkeit der Verarbeitung zwingend auch der Grundsatz der Zweckkompatibilität der Weiterverarbeitung.

Diese Ansicht verkennt m.E., dass Art. 23 Abs. 1 DSGVO unter bestimmten Voraussetzungen die Einschränkung des Art. 5 DSGVO explizit vorsieht. Mit Satz 8 des Erwägungsgrundsatzes 50 wird daher nur klargestellt, dass die sonstigen Grundsätze der Datenschutz-Grundverordnung weiter zur Anwendung kommen sollen.

Nimmt man darüber hinaus Satz 7 des Erwägungsgrundes 50 zur Hilfe wird noch deutlicher, dass mit Satz 8 nicht gemeint sein kann, dass auch die erläuterte Weiterverarbeitung vom Vorliegen einer Zweckkompatibilität abhängig sein soll. So heißt es an genannter Stelle:

„Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht oder dem Recht der Mitgliedstaaten, was in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz insbesondere wichtiger Ziele des allgemeinen öffentlichen Interesses darstellt, so sollte der Verantwortliche die personenbezogenen Daten ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten dürfen.“

Letztendlich würde die Anwendung der abweichenden Ansicht auch dazu führen, dass die Vorschrift des Art. 6 Abs. 4 DSGVO lediglich eine Konkretisierung der Zweckkompatibilitätsprüfung für bestimmte Rechtsgrundlagen vorsähe. In diesem Fall hätte die Vorschrift aber eher in den Art. 5 Abs. 1 lit. b DSGVO verortet werden müssen.

Was ist vor einer Auskunft an die Behörde zu beachten?

Sind die Voraussetzungen des § 24 Abs. 1 Nr. 1 BDSG neu nicht erfüllt und ist auch keine sonstige Rechtsgrundlage einschlägig, ist die Übermittlung an Strafverfolgungsbehörden unzulässig. Ein solcher Verstoß gegen die Grundsätze der Datenschutz-Grundverordnung kann nach Art. 83 Abs. 5 lit. a DSGVO ein Bußgeld nach sich ziehen. Daher sind Unternehmen gut beraten sich vor einer Übermittlung an Strafverfolgungsbehörden ausreichend abzusichern.

Da § 24 BDSG neu nur die Zulässigkeit der Übermittlung, aber keine Pflicht zu dieser vorsieht, sollten Unternehmen bei Behörden unter Hinweis auf den Datenschutz stets nach einer gesetzlichen Verpflichtung zur Übermittlung fragen. Eine solche Verpflichtung kann bspw. bei Auskunftsersuchen durch die Staatsanwaltschaft oder durch die Polizei im Auftrag der Staatsanwaltschaft gegeben sein. (§§ 161 a Abs. 1, 163 Abs. 3 StPO)

Besteht eine derartige Pflicht zur Übermittlung personenbezogener Daten an Strafverfolgungsbehörden, kann sich das Unternehmen als Verantwortlicher neben § 24 BDSG neu auch auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO berufen. Darüber hinaus kann nachgewiesen werden, dass sich das Unternehmen umfassend darum bemüht hat die personenbezogenen Daten nur unter Anwendung der Grundsätze der DSGVO zu übermitteln.

Ist eine Übermittlung DSGVO konform möglich, hat zunächst noch die Information des Betroffenen nach Art. 13 Abs. 3 DSGVO zu erfolgen. Von dieser kann nur abgesehen werden, wenn die Polizeibehörden eine dadurch entstehende Gefährdung der Ermittlungsmaßnahmen erläutern und ebenfalls eine Rechtsgrundlage nennen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

16 Kommentare zu diesem Beitrag

      • Hallo, ich bin gerade auf Klassenfahrt und mein Lehrer meinte, dass er die Videoaufnahmen vom Hotel anguckt um zu gucken wer sich abends noch aus dem Zimmer begibt. Darf mein Lehrer überhaupt Einsicht auf die Aufnahmen bekommen und darf das Hotel einfach Auskunft über sowas erteilen?

        • Zu der konkreten Einsicht in die Hotelaufzeichnungen dürfen wir an dieser Stelle leider keine rechtliche Auskunft geben. Es empfiehlt sich aber in einem solchen Fall eine Beschwerde an den Datenschutzbeauftragten der Schule zu richten.

  1. Was ist den mit Art. 2 Abs. 2 lit. d DSGVO?
    „Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“

    Das spielt doch sicher eine signifikante Rolle, der Paragraph ist hier ja nicht einmal erwähnt.

    • Der Artikel soll aufzeigen, ob und unter welchen Voraussetzungen Unternehmen personenbezogene Daten an Ermittlungsbehörden weitergeben dürfen. Inwieweit diese Behörden die Daten selbst zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung verarbeiten dürfen, ist ein ganz anderes Thema. Kommt es nach einer rechtskonformen Übermittlung der personenbezogenen Daten an die Behörde zu dortigen Datenschutzverstößen, wird sich das Unternehmen diese auch nicht zurechnen lassen müssen.

      • Eine so scharfe Trennung lässt sich m. E. nicht so einfach argumentieren. Verlangt eine Staatsanwaltschaft oder der Polizeivollzugsdienst die Herausgabe personenbezogener Daten, muss diese eine Rechtsgrundlage hierfür darlegen, die zumeist eben doch im strafprozessualen oder gefahrenabwehrrechtlichen Bereich zu finden sind. Solches Vorgehen unterliegt meiner Einschätzung nach eben nicht dem Anwendungsbereich der DSGVO sondern ist in der RL J/I geregelt, die jedoch einer Umsetzung in nationales Recht bedarf, womit vorrangige Rechtsgrundlage ein novelliertes PolG und die StPO sein dürften.

        Warum sollte ein Unternehmen von sich aus personenbezogene Daten an Polizei oder Staatsanwaltschaft übermitteln, wenn nicht zum Zweck der Strafverfolgung oder Gefahrenabwehr? Mir persönlich fällt hierzu keine Konstellation ein, bin jedoch für eine Erklärung dankbar.

        • Wie bereits erläutert ist Inhalt des Artikels lediglich die Rechtmäßigkeit der Weitergabe personenbezogener Daten durch Unternehmen an Ermittlungsbehörden. Nur diese kann und muss vom Unternehmen überprüft werden. Die angesprochene Richtlinie behandelt, wie Art. 2 Abs. 1 der Richtlinie darstellt, die Verarbeitung personenbezogener Daten durch die zuständigen Behörden. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch die Unternehmen richten sich nach der DSGVO und bei Vorliegen einer Öffnungsklausel nach den nationalen Vorschriften. Angesichts der Tatsache, dass die Richtlinie für die Verarbeitung durch Behörden gilt, wird es keine Umsetzung geben die für Unternehmen direkt gilt. Eine Trennung mag schwierig zu verstehen sein, ist aber absolut zwingend erforderlich. Die Argumentation, man könne ohne Prüfung davon ausgehen, dass Anfragen der Ermittlungsbehörden und/oder deren Mitarbeiter/Beamten schlechthin immer der Strafverfolgung oder Gefahrenabwehr dienen, wird vor keiner Aufsichtsbehörde oder Gericht halten.

  2. Es wäre gut, auch die Ermittlungsbehörde Polizei hält sich an den vorgegebenen Weg. Die Erfahrung zeigt, die Polizei kommt, erwartet umfassende Antworten oder ggf. Unterlagen. Ein Hinweis auf den rechtmäßigen Weg wird behindernd aufgefasst.

  3. In wie weit darf die Polizei denn meine Daten weiter geben? In meinem Fall würde ich auf einem Feldweg angehalten. Dieser ist aber ohne Beschilderung, also auch für jeder Mann nutzbar. Nun wurde gefragt warum ich hier lang fahre und ob ich nicht die Straße benutzen kann. Naja nach ein bisschen hin und her wurde dann der Ton schon etwas strenger und damit „gedroht“ man könne ja auch mal meine Arbeitgeber darüber informieren. Man muss dazu sagen es war zur Arbeitszeit ja aber ich muss einmal am Tag zwischen 2 Werken hin und her fahren. Nun die Frage dürfen die dass?

    • Ihren knappen Schilderungen nach zu urteilen wäre eine Übermittlung der Informationen an Ihren AG wohl nicht gerechtfertigt, da auch die Polizei personenbezogene Daten nur aufgrund einer Rechtsgrundlage übermitteln darf, vgl. § 3 BDSG. Ob die Voraussetzungen des § 3 BDSG vorliegen, ist zumindest zweifelhaft. Allerdings hängt eine sichere Beurteilung dieser Frage von den konkreten Umständen ab und kann daher an dieser Stelle nicht abschließend beantwortet werden.

  4. Bei uns in der Firma werden wir wöchentlich mit der Anfrage von Videomaterial durch die Kriminalpolizei konfrontiert. Bis dato gab es niemals eine Anfrage durch die Staatsanwaltschaft und auch nie einen richterlichen Beschluß. Nun stellt sich mir die Frage ob die Weitergabe des Videomaterials überhaupt zulässig ist. Darf die Polizei Videomaterial einfach kopieren und sichten? Was passiert mit zufälligen Sichtungen und nicht Tatvorwurf bezogene Erkenntnisse?

    Einmal hat sich ein Diskothekenbetreiber geweigert die Daten heraus zu geben und es wurde durch die Polizei Druck ausgeübt. Ist das zulässig und wenn ja ab wann und warum?

    • Wie oben dargestellt, sollte jede verantwortliche Stelle (also auch Ihr Unternehmen) vor einer Herausgabe prüfen, ob sie sich bei dieser Übermittlung auf eine Rechtsgrundlage stützen kann. Andernfalls wäre die Datenübermittlung rechtswidrig.
      D.h. im Konkreten, dass sie sich 1. den Tatvorwurf (zumindest aber das Aktenzeichen), 2. den Zweck der Verarbeitung durch die Ermittlungsbehörde und 3. die Rechtsgrundlage der Anfrage (z.B. § 24 BDSG/ Art. 6 Abs. 1 lit. c) DSGVO iVm §§ 161 a Abs. 1, 163 Abs. 3 StPO) nennen lassen sollten. Mündliche Aussagen sollten unterlassen werden, die Schriftform dient zudem der Dokumentation (Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO) und Ihrer Beweispflicht.

      „Polizeilicher Druck“ ist nur zulässig, sofern die rechtlichen Grundsätze (s.o.) eingehalten sind.

  5. Guten Tag! Ich wurde von einem Besitzer einer Disco beschuldigt Sachbeschädigungen gemacht zu haben die aber nicht von mir waren, sondern es sind Beschuldigungen. Das Verfahren läuft. Die Polizei hat nun meine Daten an ihn übermittelt, um ein Hausverbot zu erteilen und zivilrechtliche Forderungen stellen zu können. Ist das rechtmäßig gewesen? Zumal der Türsteher mit genötigt und an die Wand gedrückt hat.

    • Bei dem von Ihnen geschilderten Sachverhalt scheint es so zu sein, dass die Polizei Ihre Daten vor Ort erhoben hat. Grundsätzlich sind Polizei, BKA, Zoll & Co. dazu befugt persönliche Daten zu erheben, solange diese für die Ausübung der Polizeiarbeit relevant sind. Die Datenerhebung kann zur Gefahrenabwehr wie auch zur Strafverfolgung erfolgen. Als Betroffener, dessen personenbezogene Daten gespeichert und genutzt wurden, haben Sie ein Auskunftsrecht. Sie sollten davon Gebrauch machen und bei der Polizeibehörde nach der Rechtsgrundlage für ihr Handeln fragen. Eine Rechtsberatung können wir Ihnen hier leider nicht gewähren.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.