Datenschutz: Anfragen von Polizei oder Staatsanwaltschaft zu Mitarbeiterdaten

 

 Es kommt regelmäßig vor, dass Polizei oder Staatsanwaltschaft Unternehmen nach Mitarbeiterdaten fragen. Im Rahmen von Ermittlungen oder zur Aufdeckung und Verfolgung von Straftaten ist das Unternehmen zur Mitarbeit verpflichtet – aber dabei sind datenschutzrechtliche Spielregeln zu beachten. Was darf und muss man aber wirklich tun, wenn Polizei oder Staatsanwaltschaft im Unternehmen nach Daten von Mitarbeitern fragen?

 Grundsätzlich gilt: Ja, eine Behörde darf solche Daten erfragen. Bevor das Unternehmen jedoch die Auskunft erteilt, muss festgestellt werden, dass es für diese Übermittlung eine Rechtsgrundlage gibt. Die Übermittlung der Daten stellt nämlich eine sog. Zweckänderung dar, also eine Verarbeitung, die nicht mit dem ursprünglichen Zweck der Datenerhebung zu vereinbaren ist. Die Übermittlung wäre somit nicht erlaubt, eine Zuwiderhandlung ein Datenschutzverstoß, der mit hohen Bußgeldern geahndet werden kann.

Was sich so einfach liest, wird in der Praxis oft schwierig: Kann man der Polizei einfach so eine Absage erteilen? Darf man die Staatsanwaltschaft nach Begründungen fragen? Reicht ein Telefonat oder gibt es Formvorschriften? Muss ich den oder die Betroffene informieren?

 Die Regeln:

Die Ermittlung von Polizei und Staatsanwaltschaft sind die der Strafprozessordnung (StPO) geregelt. Die Befugnisse finden sich vor allem in den §§ 160 ff. Bei einer Anfrage durch die Polizei wird gelegentlich auch direkt auf den § 161a Abs. 1 S.1 und S.2 StPO verwiesen, in dem die Weigerung eines Zeugen mit Geldstrafe oder gar Haft geahndet wird. Was dabei oft übersehen wird ist, dass diese Regelung gar nicht für Anfragen der Polizei, sondern nur für solche der Staatsanwaltschaft gilt.

 Da das Unternehmen in der Regel Informationen gar nicht zurückhalten, sondern lediglich die datenschutzrechtlichen Vorschriften befolgen will, empfehlen wir folgendes Vorgehen:

 Echtheit des Anfragenden überprüfen:

Im Eigeninteresse des Unternehmens ist es unabdingbar zu wissen, mit wem man kommuniziert – sonst kann man später nicht nachweisen, an wen man die Daten übermittelt hat. Bestehen Sie daher auf jeden Fall auf schriftlichen Anfragen, aus der die Identität des Anfragenden ergibt: Also Name der Behörde, Kontaktdaten des Ansprechpartners. Telefonische Ersuchen sollten mit Verweis auf die Nachweisbarkeit schriftlich verlangt werden. Jeder Schritt der Kommunikation muss dokumentiert werden. Prüfen Sie Absender z.B. durch Rückruf über eine selbst ermittelte Rückrufnummer auf Echtheit. Nutzen Sie nicht die Nummern auf übermittelten Dokumenten.

 Herausgabeanspruch prüfen:

Im Rahmen der Möglichkeiten muss das Unternehmen prüfen, ob die angefragten Daten übermittelt werden dürfen. Dazu ist regelmäßig ein schriftliches sog. „Herausgabeverlangen“ anzufordern, dazu ist entweder ein Brief oder eine verschlüsselte Mail oder ein Fax zu bevorzugen. Dieses Dokument muss zumindest ein Aktenzeichen, die rechtliche Grundlage der Anfrage und eine kurze Begründung (Tatvorwurf, Verarbeitungszweck) und ggfs. eine  enthalten. In der Regel handelt es sich um eine richterliche Anordnung oder ein unterzeichnetes Auskunftsersuchen von Staatsanwaltschaft oder Polizei. Das Unternehmen muss nicht detailliert prüfen, ob die Angaben korrekt und belastbar sind, solange die Anforderung von einer Behörde bzw. der Polizei kommt und die Glaubwürdigkeit geprüft wurde.

 Prüfung der Rechtsgrundlage

 Die zu übermittelnden Daten wurden in der Regel nicht für den Zweck der Strafverfolgung erhoben (Achtung, ggfs. Ausnahme bei Videoüberwachung), eine eigene Rechtsgrundlage für die Weitergabe von Daten zur Strafverfolgung gibt es (nicht) mehr.

Eine mögliche Rechtsgrundlage ist daher Art. 6 Abs. 1 lit. c) DSGVO, die die Übermittlung aufgrund einer rechtlichen Verpflichtung erlaubt. Die rechtliche Verpflichtung ergibt sich dann aus der Anforderung der Staatsanwaltschaft oder der Polizei als „Ermittlungsperson der Staatsanwaltschaft“.

 Auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO kommt als Rechtsgrundlage in Frage, da „der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten (..) an eine zuständige Behörde als berechtigtes Interesse des Verantwortlichen gelten sollte“ (Erwägungsgrund 50 DSGVO).

 Spannender wird es bei der Übermittlung von besonderen Daten nach Art. 9 DSGVO, unter die regelmäßig auch Daten aus einer Videoüberwachung fallen. Hier kann keine allgemeingültige Handlung empfohlen werden und es sollte, wie auch in allen anderen Fällen, der Datenschutzbeauftragte dazu befragt werden.

 Die Zweckänderung im Falle von Beschäftigtendaten lässt sich aus § 24 Abs. 1 BDSG begründen: Hier heißt es, dass die Verarbeitung zu anderen Zwecken, als demjenigen, zu dem sie erhoben wurden, zulässig ist, wenn „sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist“.

 Bei allen Übermittlungen von Daten ist streng auf das Gebot der Datenminimierung zu achten: Es darf immer nur das mindestens erforderliche Maß an Daten herausgegeben werden.

 Information des Betroffenen

 Nach Art. 13 Abs. 3 DSGVO ist der Betroffene erneut über die Verarbeitung zu informieren, wenn die von ihm erhobenen Daten zu einem anderen Zweck als dem ursprünglich genannten, verarbeitet werden sollen. Sollte in einem konkreten Fall die Weitergabe zu einer Gefährdung der Ermittlungsmaßnahmen von Staatsanwaltschaft oder Polizei führen, so muss das in jedem Fall im Herausgabeverlangen erläutert werden und eine Rechtsgrundlage genannt werden. Dann muss die Information vorläufig unterbleiben.

 Dokumentation aller Schritte

 Alle Schritte müssen genau dokumentiert werden, um ggfs. später nachweisen zu können, wie die Rechtskonformität der Datenherausgabe festgestellt wurde.

 

Wichtig: Diese Information ist keine Rechtsberatung für einen konkreten Einzelfall. Bitte konsultieren Sie immer Ihren Datenschutzbeauftragten, der Sie unter Kenntnis der genauen Umstände berät und Ihnen ggfs. auch die Hinzuziehung eines Rechtsanwalts empfehlen kann. Sollten Sie keinen Datenschutzbeauftragten benannt haben, wenden Sie sich an unsere Hotline – wir helfen Ihnen weiter.

Adresse

datiq GmbH
Robert-Bosch-Str. 5
63225 Langen

Telefon/Fax

Tel: 06103-99739-0
Fax: 06103-9707-38