Im Alltag von Unternehmen oder anderen verantwortlichen Stellen kommt es immer wieder vor, dass eine Behörde wie die Polizei oder die Staatsanwaltschaft Auskunft über Kunden, Mitarbeiter oder andere betroffene Personen verlangen. Dabei wird oft die autoritäre Stellung der anfragenden Behörden so stark wahrgenommen, dass die Empfänger der Anfragen schnell und ohne ausreichende Prüfung des Datenschutzes reagieren. Doch auch hier ist die Frage zu stellen, ob diese personenbezogenen Daten überhaupt weiterzugeben sind und gibt es eine wirksame Rechtsgrundlage für die Übermittlung der Daten. Zudem ist der Umfang des Auskunftsersuchens zu prüfen.
Auskunftsersuchen
Ein behördliches Auskunftsersuchen ist eine formelle Anfrage von Behörden an Unternehmen oder andere verantwortliche Stellen (gem. Art. 4 Nr. 7 DSGVO). Das Ersuchen zielt darauf ab, bestimmte personenbezogene Daten einer betroffenen (bzw. „beschuldigten“) Person an Behörden herauszugeben, um Ermittlungen oder behördliche Aufgaben wie die Gefahrenabwehr zu unterstützen. Dies ist beispielsweise der Fall, wenn die Staatsanwaltschaft einen Kunden eines Unternehmens in einem Betrugsfall verdächtigt und zur Prüfung die Herausgabe bestimmter Transaktionsdaten verlangt.
Prüfen
Bevor einem solchen Auskunftsersuchen entsprochen wird, ist jedoch im ersten Schritt zu prüfen, ob es sich mit hinreichender Wahrscheinlichkeit um eine echte Anfrage handelt. Die DSGVO verlangt diese Verifizierung zwar nicht, jedoch liegt es im Interesse des jeweiligen Verantwortlichen, mögliche Datenschutzrisiken zu unterbinden. Des Weiteren schützt eine gründliche Überprüfung des Sachverhaltes davor, auf betrügerische Auskunftsersuchen hereinzufallen. Daher sollte lediglich der Sachverhalt intern dokumentiert sein und die postalische Zusendung eines offiziellen Dokuments der Behörde verlangt werden. Auf diese Weise wird sichergestellt, dass die Anfrage berechtigt und echt ist, bevor eine mögliche Datenübermittlung erfolgt. Das schriftliche Auskunftsersuchen dient außerdem zu Dokumentationszwecken und der Nachweisbarkeit.
Herausgabeanspruch
Im zweiten Schritt ist zu prüfen, ob die Behörde tatsächlich einen Herausgabeanspruch hat. Hierfür muss dem Verantwortlichen neben der einschlägigen Rechtsgrundlage etwa aus der Strafprozessordnung, dem Mindestlohngesetz oder dem Schwarzarbeitsbekämpfungsgesetz für die Herausgabe auch der Tatvorwurf bzw. eine schlüssige Begründung mitgeteilt werden. Stützt die Behörde ihr Auskunftsersuchen hingegen auf eine angebliche Einwilligung des Betroffenen, sollte sich der Verantwortliche die Einwilligung durch Vorlage eines Nachweises – beispielsweise in Form einer Kopie – belegen lassen. Entscheidend ist, dass der Verantwortliche die Erforderlichkeit zur Datenabfrage anhand der vorliegenden Angaben glaubhaft nachvollziehen kann. Fehlt es allerdings an einer gesetzlichen Grundlage und/oder wird der Tatvorwurf in der Anfrage nicht schlüssig bzw. stimmig dargelegt, kann dies ein Indiz für eine unzulässige Anfrage sein. In solchen Fällen sollte der Verantwortliche bei der anfragenden Behörde weitere Informationen einholen, um die Rechtmäßigkeit der Anfrage sicherzustellen.
Identifizierbarkeit
Bei behördlichen Auskunftsersuchen wie auch bei klassischen Auskunftsbegehren gem. Art. 15 DSGVO ist entscheidend, dass die Angaben eine eindeutige Identifizierung der betroffenen Person ermöglichen. Dies ist besonders relevant, wenn zum Beispiel aufgrund von Namensdopplungen eine eindeutige Identifizierung der betreffenden Person nicht möglich ist. In solchen Fällen muss die anfragende Behörde zusätzliche Informationen zur Identifizierung bereitstellen. Dadurch wird gewährleistet, dass der Verantwortliche nur die Daten der tatsächlich relevanten Person weitergibt.
Rechtsgrundlage
Als Rechtsgrundlage für die Übermittlung an die Behörde kann der Verantwortliche nicht (allein) die im Auskunftsersuchen genannte Norm heranziehen. Diese Auffassung betonte auch die Hamburger Aufsichtsbehörde in ihrem Tätigkeitsbericht 2023. In diesem äußerte sich die Behörde, dass Auskunftsersuchen im Rahmen von Ermittlungen zwar auf § 161 Strafprozessordnung (StPO) gestützt werden können, diese Vorschrift gelte allerdings nur als Rechtsgrundlage für die Staatsanwaltschaft und Polizeibedienstete als Ermittlungsbeamte der Staatsanwaltschaft für die Anforderung und Erhebung von Daten. Verantwortliche aus dem privaten Bereich können sich also nicht darauf berufen. Vor diesem Hintergrund benötigen Verantwortliche bzw. private Stellen eine eigene Rechtsgrundlage für die Übermittlung wie zum Beispiel aufgrund:
- Gerichtlicher Durchsuchungsbeschluss (Art. 6 Abs. 1 lit. c DSGVO)
- Berechtigte Interesse des Verantwortlichen welches die schutzwürdigen Interessen der betroffenen Person objektiv überwiegt (Art. 6 Abs. 1 lit. f DSGVO)
- Im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen (ErwGr. 50 S. 9 DSGVO)
Ob die zuvor genannte Begründung für das jeweilige Auskunftsersuchen herangezogen werden kann, ist im Einzelfall zu prüfen.
Zweckänderung
Bei der Datenverarbeitung darf zudem nicht der Grundsatz der Zweckbindung vernachlässigt werden. Dieser besagt gem. Art. 5 Abs. 1 lit. b DSGVO, das Daten, die für festgelegte eindeutige und legitime Zwecke erhoben werden, nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Verantwortliche, die die angefragten Daten beispielsweise im Rahmen eines Beschäftigungsverhältnisses (gem. Art. 6 Abs. 1 S. 1 lit. b bzw. § 26 BDSG) erhoben haben, dürfen diese somit nicht ohne weiteres an die Staatsanwaltschaft weitergeben, da dies eine Zweckänderung im Sinne von Art. 6 Abs. 4 DSGVO darstellt. Paragraph 24 Abs. 1 Nr. 1 BDSG eröffnet jedoch nicht öffentlichen Stellen personenbezogene Daten für einen anderen Zweck zu verarbeiteten, wenn dies zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist. Folglich lässt sich für diesen Zweck argumentieren, dass eine Weiterverarbeitung grundsätzlich zulässig ist.
Umfang der Daten
Um dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO zu entsprechen, dürfen personenbezogene Daten nur in dem Umfang übermittelt und verarbeitet werden, der zur Erreichung des festgelegten Zwecks zwingend erforderlich ist. Im Rahmen des Auskunftsersuchens ist es daher wichtig, eine Plausibilitätsprüfung vorzunehmen, um zu beurteilen, ob die angeforderten Daten in dem genannten Umfang tatsächlich notwendig sind. Sollte darüber hinaus weiterhin Unsicherheit bestehen, empfiehlt es sich auch hier weitere Informationen bei der Behörde einzuholen.
Fazit
Verantwortliche Stellen, insbesondere Unternehmen sollten einen standardisierten Prozess für die Bearbeitung behördlicher sowie klassischer Auskunftsersuchen implementieren. Dies ist zum Beispiel mit der Implementierung eines entsprechenden Formulars (Laufzettels) möglich und die Mitarbeiter:innen sind natürlich im Rahmen von Schulungen zu sensibilisieren. Dies dient unter anderem dazu, dass relevante Bereiche und Schlüsselfunktionen frühzeitig in den Prozess eingebunden sind und die Anfrage rechtssicher und zeitnah bearbeitet wird.
Also lassen Sie sich gut beraten.