Polizeianfragen: Rechtskonforme Datenweitergabe nach der DSGVO

Fachbeitrag

Bei begründetem Verdacht einer Straftat, leitet die Staatsanwaltschaft zunächst ein Ermittlungsverfahren ein. Mit Unterstützung durch verschiedene Ermittlungspersonen, sammelt die zuständige Staatsanwaltschaft nach dem sog. Freibeweisverfahren alle Informationen, die den Verdacht bestätigen oder ausräumen könnte. Ein zulässiges Mittel zur Informationsbeschaffung kann dabei auch die Abfrage von Daten bei Unternehmen sein. Unter welchen Voraussetzungen kann das Unternehmen die Anfragen datenschutzkonform beantworten?

Keine direkte Rechtsgrundlage mehr

Mit Blick auf die Grundsätze der Verarbeitung personenbezogener Daten in Art. 5 DSGVO wird klar, dass auch die DSGVO dem Verbot mit Erlaubnisvorbehalt unterliegt. Für jede Form der Verarbeitung personenbezogener Daten, also auch der Übermittlung, ist demnach eine Rechtsgrundlage nötig. Während der § 28 Abs. 2 Nr. 2 lit. b BDSG (alte Fassung) eine spezielle Rechtsgrundlage für die Übermittlung von Daten zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten enthielt, findet sich eine solche in der DSGVO nicht mehr so explizit.

Mit § 24 BDSG (neu) existiert im nationalen Recht aber eine ähnliche Vorschrift, welche an eine solche Übermittlung die gleichen Voraussetzungen wie der § 28 Abs. 2 Nr. 2 lit. b BDSG (alte Fassung) stellt. An dieser Stelle muss man sich zunächst das Verhältnis zwischen europäischem und nationalem Recht vor Augen halten. Das BDSG (neu) konkretisiert die Datenschutz-Grundverordnung nur an Stellen, an denen Öffnungsklauseln bestehen. Daher sollte man sich bewusst machen, wie man über die DSGVO zu dieser Vorschrift gelangt und wie sie in der Praxis konkret anzuwenden ist.

Zweckbindungsgebot und Zweckkompatibilität

Die Übermittlung von personenbezogenen Daten fällt gem. der Definition des Art. 4 Nr. 2 DSGVO unter den Begriff der „Verarbeitung“. Da die Daten in den wenigsten Fällen zum Zwecke der Übermittlung an Strafverfolgungsbehörden erhoben werden, liegt eine sog. „Weiterverarbeitung“ vor.

Zu den oben erwähnten Grundsätzen der DSGVO konformen Verarbeitung zählen auch das in Art. 5 Abs. 1 lit. b DSGVO normierte Zweckbindungsgebot und die Zweckkompatibilität bei der Weiterverarbeitung der erhobenen Daten. Demnach ist eine Datenerhebung nur zu einem festgelegtem, eindeutigen und legitimen Zweck zulässig. Die Weiterverarbeitung muss einen Zweck verfolgen, der mit dem Zweck der Erhebung vereinbar ist.

Betrachtet man die Vorschrift losgelöst von den anderen Bestimmungen der DSGVO, könnte man vermuten, dass eine Weiterverarbeitung ohne Zweckkompatibilität in jedem Fall unzulässig sei. Dies würde wiederum dazu führen, dass eine Weiterverarbeitung, die auf einer anderen als der ursprünglichen Rechtsgrundlage beruht und ihrerseits einen legitimen Zweck verfolgt, immer unzulässig wäre. Dass diese Schlussfolgerung vom Gesetzgeber nicht gewollt gewesen sein kann, ergibt sich auch aus Satz 1 und 2 des Erwägungsgrund 50 der Datenschutz-Grundverordnung. Dort heißt es:

„Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten.“

Damit wird klar, dass bei Vorliegen der Zweckkompatibilität lediglich keine gesonderte Rechtsgrundlage für die Weiterverarbeitung mehr notwendig ist.

Privilegierung der Aufdeckung oder Verfolgung von Straftaten

Stützt sich die Weiterverarbeitung auf eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), oder auf eine Rechtsvorschrift der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt, kann im Umkehrschluss aus Art. 6 Abs. 4 S.1 DSGVO auch auf die Prüfung der Zweckkompatibilität verzichtet werden.

„Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist (…)“

Die Beschränkung der datenschutzrechtlichen Grundsätze über Art. 23 Abs.1 DSGVO ist durchaus sinnvoll, da auf diesem Weg, unter Abwägung der Interessen, grundlegende Rechte Dritter geschützt werden.

Zu den in Art. 23 Abs. 1 DSGVO aufgeführten Zielen gehört auch „die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“.

Auswirkungen auf den § 24 BDSG neu

Der beschriebenen Systematik folgend, sind bei Vorliegen der Voraussetzungen des § 24 Abs. 1 BDSG (neu) eine gesonderte Rechtsgrundlage und eine Prüfung der Zweckkompatibilität nach Art. 6 Abs. 4 S.1 DSGVO i.V.m. § 24 Abs. 1 BDSG (neu) entbehrlich.

Die durch § 24 Abs. 1 BDSG (neu) aufgestellten Voraussetzungen sind identisch mit denen des § 28 Abs. 2 Nr. 2 lit. b BDSG (alte Fassung). Es kann also davon ausgegangen werden, dass zumindest deutsche Unternehmen keine neuen Vorkehrungen für die Übermittlung an Strafverfolgungsbehörden treffen müssen.

Die Strafverfolgungsbehörden müssen die Erhebung durch Abfrage weiterhin auf eine Rechtsgrundlage stützen können. Liegt eine solche vor und wird diese auch mitgeteilt, muss im nächsten Schritt eine Abwägung mit den Interessen der betroffenen Person an dem Ausschluss der Verarbeitung erfolgen.

In der Praxis bedeutet dies, dass Unternehmen sich ausreichend informieren lassen sollten über:

  • den Tatvorwurf
  • den Zweck der Verarbeitung durch die Ermittlungsbehörde
  • die Rechtsgrundlage der Anfrage

Daneben gilt auch, dass Unternehmen keine telefonischen Auskünfte erteilen sollten. Gleiches gilt für Anfragen per Fax oder E-Mail. Diese Kommunikationsmittel sind für Experten recht einfach zu manipulieren, so dass nicht sichergegangen werden kann, dass am anderen Ende der Leitung auch tatsächlich die genannte Strafverfolgungsbehörde ist.

Andere Ansicht

In der Literatur zu Art. 6 Abs. 4 DSGVO wird zum Teil vertreten, dass trotz der obigen Ausführungen jede Weiterverarbeitung auf eine eigene Rechtsgrundlage gestützt werden und zusätzlich die Zweckkompatibilität gegeben sein muss.

Begründet wird diese Ansicht damit, dass Satz 8 des Erwägungsgrundes 50 insbesondere vorsieht, dass in jedem Fall gewährleistet sein soll, dass die in der DSGVO niedergelegten Grundsätze angewandt werden. Zu diesen Grundsätzen zähle neben der Rechtmäßigkeit der Verarbeitung zwingend auch der Grundsatz der Zweckkompatibilität der Weiterverarbeitung.

Diese Ansicht verkennt m.E., dass Art. 23 Abs. 1 DSGVO unter bestimmten Voraussetzungen die Einschränkung des Art. 5 DSGVO explizit vorsieht. Mit Satz 8 des Erwägungsgrundsatzes 50 wird daher nur klargestellt, dass die sonstigen Grundsätze der Datenschutz-Grundverordnung weiter zur Anwendung kommen sollen.

Nimmt man darüber hinaus Satz 7 des Erwägungsgrundes 50 zur Hilfe wird noch deutlicher, dass mit Satz 8 nicht gemeint sein kann, dass auch die erläuterte Weiterverarbeitung vom Vorliegen einer Zweckkompatibilität abhängig sein soll. So heißt es an genannter Stelle:

„Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht oder dem Recht der Mitgliedstaaten, was in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz insbesondere wichtiger Ziele des allgemeinen öffentlichen Interesses darstellt, so sollte der Verantwortliche die personenbezogenen Daten ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten dürfen.“

Letztendlich würde die Anwendung der abweichenden Ansicht auch dazu führen, dass die Vorschrift des Art. 6 Abs. 4 DSGVO lediglich eine Konkretisierung der Zweckkompatibilitätsprüfung für bestimmte Rechtsgrundlagen vorsähe. In diesem Fall hätte die Vorschrift aber eher in den Art. 5 Abs. 1 lit. b DSGVO verortet werden müssen.

Was ist vor einer Auskunft an die Behörde zu beachten?

Sind die Voraussetzungen des § 24 Abs. 1 Nr. 1 BDSG neu nicht erfüllt und ist auch keine sonstige Rechtsgrundlage einschlägig, ist die Übermittlung an Strafverfolgungsbehörden unzulässig. Ein solcher Verstoß gegen die Grundsätze der Datenschutz-Grundverordnung kann nach Art. 83 Abs. 5 lit. a DSGVO ein Bußgeld nach sich ziehen. Daher sind Unternehmen gut beraten sich vor einer Übermittlung an Strafverfolgungsbehörden ausreichend abzusichern.

Da § 24 BDSG neu nur die Zulässigkeit der Übermittlung, aber keine Pflicht zu dieser vorsieht, sollten Unternehmen bei Behörden unter Hinweis auf den Datenschutz stets nach einer gesetzlichen Verpflichtung zur Übermittlung fragen. Eine solche Verpflichtung kann bspw. bei Auskunftsersuchen durch die Staatsanwaltschaft oder durch die Polizei im Auftrag der Staatsanwaltschaft gegeben sein. (§§ 161 a Abs. 1, 163 Abs. 3 StPO)

Besteht eine derartige Pflicht zur Übermittlung personenbezogener Daten an Strafverfolgungsbehörden, kann sich das Unternehmen als Verantwortlicher neben § 24 BDSG neu auch auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO berufen. Darüber hinaus kann nachgewiesen werden, dass sich das Unternehmen umfassend darum bemüht hat die personenbezogenen Daten nur unter Anwendung der Grundsätze der DSGVO zu übermitteln.

Ist eine Übermittlung DSGVO konform möglich, hat zunächst noch die Information des Betroffenen nach Art. 13 Abs. 3 DSGVO zu erfolgen. Von dieser kann nur abgesehen werden, wenn die Polizeibehörden eine dadurch entstehende Gefährdung der Ermittlungsmaßnahmen erläutern und ebenfalls eine Rechtsgrundlage nennen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

8 Kommentare zu diesem Beitrag

  1. Was ist den mit Art. 2 Abs. 2 lit. d DSGVO?
    „Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“

    Das spielt doch sicher eine signifikante Rolle, der Paragraph ist hier ja nicht einmal erwähnt.

    • Der Artikel soll aufzeigen, ob und unter welchen Voraussetzungen Unternehmen personenbezogene Daten an Ermittlungsbehörden weitergeben dürfen. Inwieweit diese Behörden die Daten selbst zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung verarbeiten dürfen, ist ein ganz anderes Thema. Kommt es nach einer rechtskonformen Übermittlung der personenbezogenen Daten an die Behörde zu dortigen Datenschutzverstößen, wird sich das Unternehmen diese auch nicht zurechnen lassen müssen.

      • Eine so scharfe Trennung lässt sich m. E. nicht so einfach argumentieren. Verlangt eine Staatsanwaltschaft oder der Polizeivollzugsdienst die Herausgabe personenbezogener Daten, muss diese eine Rechtsgrundlage hierfür darlegen, die zumeist eben doch im strafprozessualen oder gefahrenabwehrrechtlichen Bereich zu finden sind. Solches Vorgehen unterliegt meiner Einschätzung nach eben nicht dem Anwendungsbereich der DSGVO sondern ist in der RL J/I geregelt, die jedoch einer Umsetzung in nationales Recht bedarf, womit vorrangige Rechtsgrundlage ein novelliertes PolG und die StPO sein dürften.

        Warum sollte ein Unternehmen von sich aus personenbezogene Daten an Polizei oder Staatsanwaltschaft übermitteln, wenn nicht zum Zweck der Strafverfolgung oder Gefahrenabwehr? Mir persönlich fällt hierzu keine Konstellation ein, bin jedoch für eine Erklärung dankbar.

        • Wie bereits erläutert ist Inhalt des Artikels lediglich die Rechtmäßigkeit der Weitergabe personenbezogener Daten durch Unternehmen an Ermittlungsbehörden. Nur diese kann und muss vom Unternehmen überprüft werden. Die angesprochene Richtlinie behandelt, wie Art. 2 Abs. 1 der Richtlinie darstellt, die Verarbeitung personenbezogener Daten durch die zuständigen Behörden. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch die Unternehmen richten sich nach der DSGVO und bei Vorliegen einer Öffnungsklausel nach den nationalen Vorschriften. Angesichts der Tatsache, dass die Richtlinie für die Verarbeitung durch Behörden gilt, wird es keine Umsetzung geben die für Unternehmen direkt gilt. Eine Trennung mag schwierig zu verstehen sein, ist aber absolut zwingend erforderlich. Die Argumentation, man könne ohne Prüfung davon ausgehen, dass Anfragen der Ermittlungsbehörden und/oder deren Mitarbeiter/Beamten schlechthin immer der Strafverfolgung oder Gefahrenabwehr dienen, wird vor keiner Aufsichtsbehörde oder Gericht halten.

  2. Es wäre gut, auch die Ermittlungsbehörde Polizei hält sich an den vorgegebenen Weg. Die Erfahrung zeigt, die Polizei kommt, erwartet umfassende Antworten oder ggf. Unterlagen. Ein Hinweis auf den rechtmäßigen Weg wird behindernd aufgefasst.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.