Zum Inhalt springen Zur Navigation springen
Und nochmal: Wenn Fachleute von ihrer Tätigkeit keine Ahnung haben

Und nochmal: Wenn Fachleute von ihrer Tätigkeit keine Ahnung haben

Wieder hat uns ein Fall von „Wenn Fachleute von ihrer Tätigkeit keine Ahnung haben …“  erreicht, der verdeutlicht, dass der umfassende Datenschutz und insbesondere zumindest schon einmal die Kenntnis hierüber – so als Grundvoraussetzung – bedauerlicherweise immer noch nur ein bloßer Traum ist. Anders als im letzten Fall hat sich nun aber eine staatliche Behörde die Ehre gegeben, mit Unkenntnis (offenbar nicht nur im Datenschutz) zu glänzen. Aber wieso sollte sich auch der Staat an seine eigene Vorgaben halten?

Was war geschehen?

So wurde kürzlich eine private Einrichtung, die medizinische Leistungen erbringt und daher mit sensiblen Daten umgeht, zunächst telefonisch von einer nordrhein-westfälischen Polizeibehörde gebeten, Anschrift und Geburtsdatum einer ehemaligen Patientin zu übermitteln, gegen die  wegen eines mutmaßlich leichten Vermögensdelikts ermittelt wurde. Der Name der beschuldigten Person war der Polizei durchaus bekannt, so dass Unverständnis darüber bestand, weshalb die Polizeibehörde nicht einfach eine Einwohnermeldeamtsauskunft einholte. Das hätte wohl Arbeit bedeutet. Dem Schreiben der Polizeibehörde war zudem nicht zu entnehmen gewesen, ob sie von einer Auskunftspflicht oder einer sog. freiwilligen Drittauskunft ausging.

Die private Einrichtung nahm nicht auf die telefonische Anfrage, sondern erst auf ein Schreiben der Polizeibehörde durch ihren externen betrieblichen Datenschutzbeauftragten – der explizit in dieser Eigenschaft das Schreiben beantwortete – in der Form Stellung, dass die Einrichtung staatliche Stellen im Rahmen der Zulässigkeit bestmöglich unterstütze, datenschutzrechtlich aber zumindest einer summarischen Prüfungspflicht unterliege, die ergeben hatte, dass weder eine Rechtsgrundlage ersichtlich noch ein Einverständnis der ehemaligen Patientin belegt war, um eine Datenweitergabe ohne Verstoß gegen geltendes Datenschutzrecht vorzunehmen. Die Stellungnahme enthielt eine umfassende Begründung des Prüfungsergebnisses und stellte der Polizeibehörde anheim, ihr Auskunftsersuchen, insbesondere im Hinblick auf die Rechtsgrundlage für eine Datenübermittlung zu konkretisieren, um die Angelegenheit erneut prüfen zu können.

Wochen später meldete sich nicht die Polizeibehörde, sondern ließ sich die Staatsanwaltschaft herab, den externen betrieblichen Datenschutzbeauftragten – nicht einmal personalisiert – ersichtlich formlos anzuschreiben und Bekanntgabe der „Personaldaten“ der Beschuldigten zu fordern. Hierbei bezog sich die Staatsanwaltschaft nun auf die §§ 161, 161 a StPO und ließ sich nicht nehmen, weitere strafprozessuale Maßnahmen anzudrohen. Weitere Hinweise enthielt das Schreiben nicht.

Da sich der externe betriebliche Datenschutzbeauftragte  persönlich weder in der tatsächlichen Lage noch in der Pflicht befand, „Personaldaten“ herauszugeben, rief er die zuständige Staatsanwaltschaft an, um – nach andauerndem lautstarken und unqualifizierten sowie drohenden – Äußerungen wie „wir bekommen die Daten auf jeden Fall!“ der Staatsanwaltsvertreterin zu erklären, dass die Einrichtung die verantwortliche Stelle und daher richtiger Adressat sei und die Eigenschaft als externer betrieblicher Datenschutzbeauftragter nicht zu einer Bevollmächtigung und Vertretung für die Einrichtung führe. Nochmals wurde auch darauf hingewiesen, dass die Einrichtung medizinischen Personal beschäftigte, dass eventuell einer Schweigepflicht unterliegen könnte.

Nun ist das Vorgehen der hier in Aktion befindlichen staatlichen Behörden aus verschiedenen Gründen problematisch. Die folgenden Punkte sollen im Umgang mit derartigen Begegnungen sensibilisieren:

1. Telefonische Datenerhebung

Bereits das telefonische Auskunftsersuchen der Polizeibehörde zu einer Anschrift und einem Geburtsdatum stellt eine Form der Erhebung (vgl. § 3 Abs. 3 BDSG) personenbezogener Daten und für denjenigen, der die Daten herausgeben soll, eine Datenübermittlung (vg. § 3 Abs. 4 Nr. § BDSG) dar . Die Gefahr bei einem telefonischen Auskunftsersuchen ist jedoch, dass für denjenigen, der Daten bekannt geben soll, unbekannt ist, ob der Anrufer tatsächlich berechtigt ist, die Daten zu empfangen.

Daher sollte in jedem Fall davon abgesehen werden, telefonische Auskünfte zu erteilen, um Datenschutzverstöße und entsprechende Sanktionen wie erhebliche Bußgelder oder bei vorsätzlichen Datenschutzverstößen ggf. auch Freiheitsstrafen, ganz abgesehen von Imageschäden für ein Unternehmen zu vermeiden. Im Fall einer telefonischen Anfrage sollte also immer ein schriftliches Auskunftsersuchen erbeten werden.

2. Schriftliche Datenerhebung

Das Schreiben der Polizeibehörde stellte ein Auskunftsersuchen dar, mittels dessen bei einer nicht-öffentlichen Stelle entweder eine Drittauskunft (bei bestehender Auskunftspflicht) oder eine freiwillige Auskunft begehrt werden kann. Da im geschilderten Fall eine nordrhein-westfälische Polizeibehörde um Auskunft ersuchte, gilt gemäß § 12 Abs. 3 Datenschutzgesetz Nordrhein-Westfalen. Hiernach muss bei Bestehen einer Auskunftspflicht von der ersuchenden Stelle auf diese und sonst auf die Freiwilligkeit der Auskunft hingewiesen werden. Dies gilt übrigens auch für eine telefonische Datenerhebung.

Die freiwillige Auskunft wiederum stellt sich bei Bestehen einer Pflicht zur Verschwiegenheit z.B. bei Ärzten, Rechtsanwälten (vgl. § 203 StGB) als problematisch dar. Denn bei freiwilliger Auskunft liegt zugleich eine Verletzung der Pflicht zur Verschwiegenheit vor und kann nicht unerhebliche Haftungsansprüche des Betroffenen (z.B. Unterlassungsansprüche) einerseits und eine Geld- oder Haftstrafe andererseits nach sich ziehen.

3. Datenweitergabe

Die private Einrichtung war um Mitteilung der Anschrift und des Geburtsdatums, also personenbezogener Daten einer ehemaligen Patientin ersucht worden. Bei einer solchen Mitteilung handelt es sich um eine Datenweitergabe im Sinne des BDSG. Die Übermittlung als Form der Verarbeitung personenbezogener Daten ist wiederum nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat (vgl. § 4 Abs. 1 BDSG = Verbot mit Erlaubnisvorbehalt).

4. Einwilligung

Eine Einwilligung der ehemaligen Patientin als Betroffene lag nicht vor und war auch seitens der Polizeibehörde nicht belegt worden.

5. Rechtsgrundlage

Ebenso wenig war von der Polizeibehörde eine Rechtsgrundlage benannt worden, so dass die Einrichtung berechtigt von der freiwilligen Auskunft Abstand genommen hatte, zumal sie als Leistungserbringer von medizinischen Leistungen zur besonderen Sensibilität im Umgang mit Patientendaten verpflichtet war.

a. Strafprozessordnung

Die Staatsanwaltschaft hatte sich später auf die §§ 161 und 161 a StPO als Rechtsgrundlage berufen. Fraglich ist, ob diese tatsächlich als Rechtsgrundlage für den Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 und Art. 1 Abs. 1  Grundgesetz) des Betroffenen ausreicht.

§ 161 StPO bezieht sich dem Wortlaut nach zunächst nur auf Auskunftsverlangen gegenüber Behörden, nicht aber gegenüber nicht-öffentlichen Stellen. Ggf. kann aufgrund des Wortlautes „Ermittlungen jeder Art“ in § 161 Abs. 1 Satz 1 StPO aber auch ausgelegt werden, dass dies gegenüber privaten Unternehmen gleichermaßen gilt. Allerdings ist die Vorschrift sehr unbestimmt und es gibt deshalb einige Stimmen, nach denen die Vorschrift mit Blick auf den intensiven Grundrechtseingriff nicht als Rechtsgrundlage im Sinne des § 4 Abs. 1 BDSG ausreicht.

b. Bundesdatenschutzgesetz

Mangels bereichsspezifischer Sondervorschriften  muss aber Abs. 2 Nr. 2 b) des § 28 BDSG (Übermittlung der Daten zu Zwecken der Strafverfolgung) als mögliche Rechtsgrundlage zur Datenübermittlung geprüft werden. Hiernach müsste die Übermittlung der personenbezogenen Daten für die Verfolgung von Straftaten erforderlich  sein und kein Grund zur Annahme bestehen, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat.

Ob die Datenübermittlung für die Strafverfolgung objektiv erforderlich ist, kann die Einrichtung und jedes andere Unternehmen als Adressatin in der Praxis mangels Information über den Ermittlungsstand so gut wie nicht überprüfen. Im geschilderten Fall konnte die Einrichtung schon nicht von der Erforderlichkeit der Datenübermittlung ausgehen, weil mittels des Namens eine Einwohnermeldeamtsauskunft möglich gewesen wäre und keine Information darüber erfolgte, ob eine solche durchgeführt und nicht erfolgreich war.

Nur Befugnis – keine Anordnung

§ 28 Abs. 2 Nr. 2 b) BDSG ordnet aber keine Übermittlung an, sondern normiert lediglich eine Befugnis. Allerdings droht bei Verweigerung der Auskunft eine förmliche Vorladung oder eine Beschlagnahme. Insoweit besteht regelmäßig ein faktischer Zwang.

Zu berücksichtigen ist zudem, dass aus Beschlagnahmen von Unterlagen auch Zufallsfunde resultieren und eventuell gegen das Unternehmen verwendet werden können.

6. Anforderungen an das Auskunftsersuchen

Ein Auskunftsersuchen sollte anders als die behördliche Korrespondenz im geschilderten Fall zudem Ausführungen zum Zwecke der Anfrage und zur weiteren Verwendung der Daten enthalten.

Soweit der um Auskunft Ersuchte einer Pflicht zur Verschwiegenheit unterliegt, muss er zudem auf ein mögliches Zeugnisverweigerungsrecht hingewiesen werden.

All die Voraussetzungen erfüllten weder das Schreiben der Polizeibehörde noch das Schreiben der Staatsanwaltschaft, die sich die Stellungnahme offensichtlich nicht einmal durchgelesen hatte und meinte in Unkenntnis von Datenschutz, der externe betriebliche Datenschutzbeauftragte sei nun eine Art Bevollmächtigter und rechtliche Vertretung für die private Einrichtung.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Wie ist der Fall ausgegangen?

  • Noch ist der Fall nicht ausgegangen. Wir werden aber sicherlich berichten…

  • Bei Krankenhäusern, Pflegeheimen oder sonstigen Einrichtungen, die der Betreuung pflegebedürftiger oder behinderter Menschen oder der Heimerziehung dienen greift § 28 Meldegesetz NRW. Danach mussen die vorgenannten Einrichtungen ein Verzeichnis führen, in dem
    1. Tag der Aufnahme und den der Entlassung,
    2. Familiennamen,
    3. Geburtsnamen,
    4. gebräuchlichen Vornamen (Rufnamen),
    5. Tag und den Ort der Geburt,
    6. Staatsangehörigkeiten,
    7. Familienstand und
    8. Anschrift
    des Aufgenommenen dokumentiert sind.
    Den Meldebehörde, der Polizei und den Staatsanwaltschaften ist hieraus Auskunft zu erteilen, wenn dies nach ihrer Feststellung zu Abwehr einer erheblichen und gegenwärtigen Gefahr, zur Verfolgung von Straftaten oder zur Aufklärung des Schicksals von Vermissten und Unfallopfern im Einzelfall erforderlich ist.

    Ob die Regelung im vorliegenden Fall einschlägig ist, kann man natürlich nur bei genauer Kenntnis des Sachverhaltes beurteilt werden (insbesondere stellt sich die Frage, welche Qualität die verfolgte Straftat haben muss). Da sie aber vielen nicht bekannt ist (ebenso wie die anderen Datenübermittlungsbefugnisse, die sich aus den Meldegesetzen ergeben), ist eine Erwähnung nicht schädlich.

  • Vielen Dank für den Hinweis. Für die genannten Einrichtungen gelten in der Tat die Regelungen der Meldegesetze der jeweiligen Länder, nach denen der Polizei und der Staatsanwaltschaft bei Vorliegen der Voraussetzungen Auskunft über die im Verzeichnis enthaltenen Daten zu erteilen ist.

  • Hallo Herr Datenschutz!
    Ich schreibe das hier nur mal schnell auf, weil mich das so aufregt, was Sie hier verbreiten! Interessante Ausführungen. Jedoch ziemlich einseitig und wie ich gerade zu einem anderen Thema las anscheinend auch mit gefährlichem Halbwissen und unzutreffend! Mir wird zudem etwas schlecht, wie Sie hier über die Polizei und Staatsanwaltschaft urteilen. Hier bewahrheitet sich anscheinend mal wieder: Datenschutz = Täterschutz! Ich vermute deshalb, dass Sie irgendein Problem mit unserem Staatsapparat haben und hoffe, dass Sie nicht mal Opfer einer wirklichen Straftat werden und die Behörden dann nichts ermitteln können. Es ist sind Polizei und Staatsanwaltschaft die schließlich nicht aus Dafke, sondern zwecks Verfolgung einer Straftat hier Daten benötigen. Dass das Meldeamt nicht kontaktiert wurde, wird schlicht und einfach an der verbrecherischen Verschleierungstatktik des Beschuldigten liegen, der seinen wirklichen Wohnort verbirgt. Gerade bei Vermögensdelikten sehr beliebt, um den Gläubigern die Durchsetzung ihrer Forderungen zu erschweren. Ein uniformierter Polizist ist ansonsten Kraft seiner Uniform und Hoheitsabzeichen als Amtsträger legitimiert und muss keinen Ausweis vorzeigen! Wo würde das sonst auch hinführen! Es gibt keinen Durchsuchungsbefehl! Das heisst Durchsuchungsbeschluss! Rechtsgrundlage für das Auskunftsersuchen im Falle der medizinischen Einrichtung ist: § 161a StPO. Die Einrichtung bzw. deren Mitarbeiter sind Zeugen, die zum Aufenthalt der Person Angaben machen können. Der Betroffene muss auch nicht seine Einwilligung geben! Lesen Sie doch mal den Gesetztestext! Entweder Eingriffsgrundlage vorhanden (hier § 161a StPO, ODER Einwilligung!) Unten finden Sie zudem im Absatz 2 die „angedrohte Beugehaft“. Also bitte mehr Sachkunde hier an den Tag legen!

    Strafprozeßordnung (StPO)
    § 161a Vernehmung von Zeugen und Sachverständigen durch die Staatsanwaltschaft
    (1) Zeugen und Sachverständige sind verpflichtet, auf Ladung vor der Staatsanwaltschaft zu erscheinen und zur Sache auszusagen oder ihr Gutachten zu erstatten. Soweit nichts anderes bestimmt ist, gelten die Vorschriften des sechsten und siebenten Abschnitts des ersten Buches über Zeugen und Sachverständige entsprechend. Die eidliche Vernehmung bleibt dem Richter vorbehalten.
    (2) Bei unberechtigtem Ausbleiben oder unberechtigter Weigerung eines Zeugen oder Sachverständigen steht die Befugnis zu den in den §§ 51, 70 und 77 vorgesehenen Maßregeln der Staatsanwaltschaft zu. Jedoch bleibt die Festsetzung der Haft dem nach § 162 zuständigen Gericht vorbehalten.

    • Vielen Dank auch für diesen konstruktiven Beitrag. Wie Sie dem Artikel entnehmen können, stellt dieser lediglich dar, dass es „einige Stimmen [gibt], nach denen die Vorschrift mit Blick auf den intensiven Grundrechtseingriff nicht als Rechtsgrundlage im Sinne des § 4 Abs. 1 BDSG ausreicht.“. Dies kann man sicher diskutieren und Argumente für die eine und die andere Auffassung ins Feld führen, was hier jedoch den Rahmen sprengen würde.

      Generell ist darauf hinzuweisen, dass das Recht auf informationelle Selbstbestimmung ein Grundrecht ist und als solches mit der Grundsatzentscheidung des Bundesverfassungsgerichts vom 15.12.1983 (Az.: Az. 1 BvR 209, 269, 362, 420, 440, 484/83 – Volkszählungsurteil) als Ausfluss des allgemeinen Persönlichkeitsrechts und der Menschenwürde als Grundrecht etabliert wurde. Dieses ist nun einmal auch von öffentlichen Stellen zu beachten.
      Hinsichtlich möglicher Verdächtiger gilt im Rahmen eines Ermittlungsverfahrens noch immer der Grundsatz in dubio pro reo. Für Be- oder Angeschuldigte sowie selbstverständlich auch für verurteilte Täter gelten im Übrigen auch die Grundrechte.
      Uniformen kann man überall im Kostümverleih erwerben, weswegen eine Legitimation mittels eines offiziellen Ausweispapiers in jedem Fall verlangt werden kann.

  • Hallo. Wenn ich bei der polizei eine verkehrsordnungs ordnungswidrigkeit telefonisch zur kenntnis bringe darf der fachmann polizist meine personalien erfragen? Muss ich sie ihm geben? Und darf er das gespräch komplett schriftl in den pc geben? Und anheften?
    Mfg

  • Guten Tag Dr. Datenschutz,

    ich habe als Zeuge eines Diebstahls Nachricht von der Staatsanwaltschaft erhalten. Auf diesem Dokument sind Vor- und Zuname des minderjährigen Tatverdächtigen und ein Tatbestand dem ich selbst allerdings nicht beigewohnt habe, noch dessen Opfer ich war. (Im Brief wird Erpressung genannt, ich jedoch war Zeuge eines Diebstahls).

    Ich finde es reichlich befremdlich, das ich, der noch nicht einmal mit Sicherheit bezeugen kann ob es sich um dieses Kind (ja, ein Kind) handelt, hier mit Klarnamen und weiteren Vorfällen von der Staatsanwaltschaft „versorgt“ werde. Innerhalb von 2 Minuten hatte ich das Facebookprofil des Kindes und die Schule ausfindig gemacht. Das Kind auf dem Profilbild hatte ich dann zum ersten mal gesehen. Mich würde ihre Sicht als Datenschutzbeauftragter dazu interessieren, bedanke mich im voraus und werde die Tage mal wieder reinlesen.

    Mit freundlichem Gruß, der Zeuge

    • Sofern das Anschreiben nicht den Sachverhalt (Tatbestand, Beteiligte (Opfer, Täter)) betrifft, bei welchem Sie als Zeuge in Betracht kommen, empfehlen wir, dies der Staatsanwaltschaft mitzuteilen, ggf. handelt es sich um eine Fehlzuordnung und Ihre Mitteilung führt zum Erkennen des Fehlers auf Seiten der StA. Irrläufer sind datenschutzrechtlich natürlich „unschön“, basieren in der Regel aber auf Versehen. Diese Fälle sollten bei der Behörde ggf. durch erneute Sensibilisierung der Mitarbeiter aufgearbeitet werden.

      • Ich werde wohl in Frage kommen, wenn dieses Kind beides verübt hat: Diebstahl (dem ich als Zeuge beigewohnt habe, das Kind aber nicht einwndfrei identifizieren kann) und Erpressung.

        Ist es dennoch Datenschutzrechtlich ok, jemanden /wie mir/ den —Vor- und Nachnamen, sowie weitere Vergehen dieses Kindes— zu übermitteln? Das war meine eigentliche Frage, falls das Eingangs nicht ersichtlich war tut es mir leid.

        Für eine erneute Antwort wäre ich wirklich Dankbar. Denn mich beschäftigt das tatsächlich, Straftat hin oder her, die Personalien dieses minderjährigen haben doch nun wirklich nichts in fremden Händen zu suchen, oder sehe ich das zu Eng?

        • Auf Basis der gegebenen Informationen lässt sich nicht abschließend bewerten. Ob die Datenverarbeitung in Form der Datenübermittlung an Sie zulässig oder unzulässig war und in welchem Zusammenhang die in Rede stehenden Straftaten stehen, weshalb eine Mitteilung hierüber erfolgte. Am besten richten Sie Ihre Bedenken direkt an die zuständige Staatsanwaltschaft als die datenschutzrechtlich verantwortliche Stelle.

        • Wie sollen Sie denn wissen, ob sie ein Auskunftsverweigersungsrecht haben, wenn der Name des Täters nicht bekannt gegeben wird? Schließlich mus geklärt werden, ob sie mit dem Tatverdächtigen verwandt oder verschwägert sind.

  • Vom Leserservice meiner Tageszeitung wollte ich (als Privatperson) den Namen des Zustellers für eine Kontaktierung erfahren – was mir aus Datenschutzgründen verweigert wurde, zumal ich eine Nachricht dort hinterlegen könnte, die der Person dann ausgehändigt wird und die Person dann selbst entscheiden kann, ob sie eine direkte Kontaktierung wünscht. Da der Name zu den personenbezogenen Daten gehört und der Kontaktbedarf nicht durch ein Erlaubnisgesetz geregelt ist, musste ich dies akzeptieren.
    Zufällig traf ich die Servicemitarbeiterin tags darauf, und sie bot mir nun den Namen des Zustellers an, da sie ihn als Privatperson kenne und jetzt außerhalb des Betriebs mir nur eine private persönliche Auskunft aus ihrer eigenen Erinnerung gäbe. Macht sie sich jetzt strafbar?

    • Man könnte hier ggf. daran denken, dass eine Verletzung des Datengeheimnisses, zu dessen Wahrung die Mitarbeiter verpflichtet sind, im Raum steht, indem dienstliche Informationen im privaten Kontakt preisgegeben wurden. In einem solchen Fall könnten eventuell arbeitsrechtliche Sanktionen drohen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.