Im Alltag von Unternehmen oder anderen verantwortlichen Stellen kommt es immer wieder vor, dass Behörden wie die Polizei oder die Staatsanwaltschaft Auskunft über Kunden, Mitarbeiter oder andere betroffene Personen verlangen. Oftmals wird hierbei die autoritäre Stellung der anfragenden Behörden so stark wahrgenommen, dass die Empfänger der Anfragen schnell und ohne ausreichende Prüfung der Datenschutzaspekte reagieren. Doch die Frage, die sich in solchen Momenten unter anderem stellt, ist: Dürfen diese personenbezogenen Daten überhaupt weitergegeben werden? Gibt es eine wirksame Rechtsgrundlage für die Übermittlung der Daten? Ist der Umfang der Auskunft datenschutzrechtlich problematisch?
Was ist ein Auskunftsersuchen und worauf ist hierbei zu achten?
Ein behördliches Auskunftsersuchen ist eine formelle Anfrage von Behörden an Unternehmen oder andere verantwortliche Stellen (gem. Art. 4 Nr. 7 DSGVO). Das Ersuchen zielt darauf ab, bestimmte personenbezogene Daten einer betroffenen (bzw. „beschuldigten“) Person an Behörden herauszugeben, um Ermittlungen oder behördliche Aufgaben wie die Gefahrenabwehr zu unterstützen. Dies könnte beispielsweise der Fall sein, wenn die Staatsanwaltschaft einen Kunden eines Unternehmens in einem Betrugsfall verdächtigt und zur Prüfung die Herausgabe bestimmter Transaktionsdaten verlangt.
Bevor einem solchen Auskunftsersuchen entsprochen wird, sollte im ersten Schritt geprüft werden, ob es sich mit hinreichender Wahrscheinlichkeit um eine echte Anfrage handelt. Die DSGVO verlangt diese Verifizierung zwar nicht, jedoch liegt es im Interesse des jeweiligen Verantwortlichen, mögliche Datenschutzrisiken zu unterbinden. Des Weiteren schützt eine gründliche Überprüfung des Sachverhaltes davor, auf betrügerische Auskunftsersuchen hereinzufallen. Aus diesem Grund ist immer zu prüfen, ob die angegebene Behörde existiert, ob die Kontakt- und Adressdaten mit den öffentlich zugänglichen Informationen übereinstimmen, ob ein Ansprechpartner benannt ist und ob im Auskunftsersuchen ein Aktenzeichen oder Geschäftszeichen angegeben ist. Sollte eine der zuvor genannten Angaben fehlen oder die Rechercheergebnisse zu Widersprüchen führen, sollte über die offiziell zugänglichen Kontaktdaten mit der Behörde Kontakt aufgenommen werden. Auf diese Weise kann die Echtheit der Anfrage verifiziert und die Weiterleitung an fingierte Kontaktdaten unterbunden werden.
Vorsicht ist insbesondere bei telefonisch bzw. mündlich eingehenden Auskunftsersuchen geboten. Verantwortliche sollten sich nicht unter Druck setzen lassen und während des Gesprächs keine Informationen preisgeben. Zunächst sollte lediglich der Sachverhalt intern dokumentiert und die postalische Zusendung eines offiziellen Dokuments der Behörde verlangt werden. Auf diese Weise wird sichergestellt, dass die Anfrage berechtigt und echt ist, bevor eine mögliche Datenübermittlung erfolgt. Das schriftliche Auskunftsersuchen dient außerdem zu Dokumentationszwecken und der Nachweisbarkeit.
Ist die Behörde zur Abfrage berechtigt?
Im zweiten Schritt ist zu prüfen, ob die Behörde tatsächlich einen Herausgabeanspruch hat. Hierfür muss dem Verantwortlichen neben der einschlägigen Rechtsgrundlage etwa aus der Strafprozessordnung, dem Mindestlohngesetz oder dem Schwarzarbeitsbekämpfungsgesetz für die Herausgabe auch der Tatvorwurf bzw. eine schlüssige Begründung mitgeteilt werden.
Stützt die Behörde ihr Auskunftsersuchen hingegen auf eine angebliche Einwilligung des Betroffenen, sollte sich der Verantwortliche die Einwilligung durch Vorlage eines Nachweises – beispielsweise in Form einer Kopie – belegen lassen.
Entscheidend ist, dass der Verantwortliche die Erforderlichkeit zur Datenabfrage anhand der vorliegenden Angaben glaubhaft nachvollziehen kann. Die Angaben geben ebenfalls Rückschluss darüber, ob die Anfrage grundsätzlich in den Zuständigkeitsbereich der anfragenden Stelle fällt. Eine tiefgehende Prüfung ist hierbei nicht erforderlich.
Fehlt es allerdings an einer gesetzlichen Grundlage und/oder wird der Tatvorwurf in der Anfrage nicht schlüssig bzw. stimmig dargelegt, kann dies ein Indiz für eine unzulässige Anfrage sein. In solchen Fällen sollte der Verantwortliche bei der anfragenden Behörde weitere Informationen einholen, um die Rechtmäßigkeit der Anfrage sicherzustellen.
Ist die Übermittlung zulässig?
Verantwortliche dürfen personenbezogene Daten nur dann verarbeiten bzw. übermitteln, wenn eine gesetzliche Erlaubnisnorm besteht oder die Einwilligung der betroffenen Person vorliegt. Dabei müssen stets die Datenschutzgrundsätze gemäß Art. 5 DSGVO berücksichtigt werden.
Eindeutige Identifizierbarkeit der betroffenen Person
Bei behördlichen Auskunftsersuchen – ähnlich wie bei klassischen Auskunftsbegehren gem. Art. 15 DSGVO – ist es entscheidend, dass die Angaben eine eindeutige Identifizierung der betroffenen Person ermöglichen. Dies ist besonders relevant, wenn zum Beispiel aufgrund von Namensdopplungen eine eindeutige Identifizierung der betreffenden Person nicht möglich ist. In solchen Fällen sollte die anfragende Behörde zusätzliche Informationen zur Identifizierung bereitstellen. Dadurch wird gewährleistet, dass der Verantwortliche nur die Daten der tatsächlich relevanten Person weitergibt.
Rechtsgrundlage
Als Rechtsgrundlage für die Übermittlung an die Behörde kann der Verantwortliche nicht (allein) die im Auskunftsersuchen genannte Norm heranziehen. Diese Auffassung betonte auch die Hamburger Aufsichtsbehörde in ihrem Tätigkeitsbericht 2023. In diesem äußerte sich die Behörde, dass Auskunftsersuchen im Rahmen von Ermittlungen zwar auf § 161 Strafprozessordnung (StPO) gestützt werden können, diese Vorschrift gelte allerdings nur als Rechtsgrundlage für die Staatsanwaltschaft und Polizeibedienstete als Ermittlungsbeamte der Staatsanwaltschaft für die Anforderung und Erhebung von Daten. Verantwortliche aus dem privaten Bereich können sich also nicht darauf berufen.
Vor diesem Hintergrund benötigen Verantwortliche bzw. private Stellen eine eigene Rechtsgrundlage für die Übermittlung:
Liegt dem Auskunftsersuchen etwa ein gerichtlicher Durchsuchungsbeschluss bei, kann die Übermittlung auf Art. 6 Abs. 1 lit. c DSGVO gestützt werden, da in diesem Fall eine gesetzliche Verpflichtung zur Kooperation besteht.
Alternativ kann auch Art. 6 Abs. 1 lit. f DSGVO möglich sein, sofern das berechtigte Interesse des Verantwortlichen die schutzwürdigen Interessen der betroffenen Person objektiv überwiegt.
Nach ErwGr. 50 S. 9 DSGVO kann ein berechtigtes Interesse dann vorliegen, wenn die Übermittlung der maßgeblichen personenbezogenen Daten, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine zuständige Behörde übermittelt werden. Der Wortlaut lässt darauf schließen, dass der Gesetzgeber das Interesse an der Verfolgung und Aufklärung einer Straftat in der Regel höher bewertet als die schutzwürdigen Interessen der betroffenen Person. Ob die zuvor genannte Begründung für das jeweilige Auskunftsersuchen herangezogen werden kann, ist im Einzelfall zu prüfen.
Zweckänderung
Bei der Datenverarbeitung darf zudem nicht der Grundsatz der Zweckbindung vernachlässigt werden. Dieser besagt gem. Art. 5 Abs. 1 lit. b DSGVO, dass Daten, die für festgelegte, eindeutige und legitime Zwecke erhoben werden nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.
Verantwortliche, die die angefragten Daten beispielsweise im Rahmen eines Beschäftigungsverhältnisses (gem. Art. 6 Abs. 1 S. 1 lit. b bzw. § 26 BDSG) erhoben haben, dürfen diese somit nicht ohne weiteres an die Staatsanwaltschaft weitergeben, da dies eine Zweckänderung im Sinne von Art. 6 Abs. 4 DSGVO darstellt. Paragraph 24 Abs. 1 Nr. 1 BDSG eröffnet jedoch nichtöffentlichen Stellen personenbezogene Daten für einen anderen Zweck zu verarbeiteten, wenn dies zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist. Folglich lässt sich für diesen Zweck argumentieren, dass eine Weiterverarbeitung grundsätzlich zulässig ist.
Umfang der zu übermittelnden Daten
Um dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO zu entsprechen, dürfen personenbezogene Daten nur in dem Umfang übermittelt und verarbeitet werden, der zur Erreichung des festgelegten Zwecks zwingend erforderlich ist.
Im Rahmen des Auskunftsersuchens ist es daher wichtig eine Plausibilitätsprüfung vorzunehmen, um zu beurteilen, ob die angeforderten Daten in dem genannten Umfang tatsächlich notwendig sind. Sollte darüber hinaus weiterhin Unsicherheit bestehen, empfiehlt es sich auch hier weitere Informationen bei der Behörde einzuholen.
Abhängig von den bereitgestellten Informationen kann eine Entscheidung darüber getroffen werden, ob und in welchem Umfang Daten an die Behörde übermittelt werden. Bei Zweifel an der Erforderlichkeit sollte der Datenschutzbeauftragte kontaktiert werden.
Falls Ausschnitte oder ganze Dokumente der Behörde bereitgestellt werden, sind Passagen zu denen Zweifel an der Erforderlichkeit bestehen sicherheitshalber zu schwärzen. Somit kann der Verantwortliche datenschutzrechtliche Risiken vermeiden. Denn auch hier obliegt die datenschutzkonforme Verarbeitung – unabhängig davon, dass eine Behörde die Verarbeitung bzw. Übermittlung der Daten angestoßen hat – dem Verantwortlichen. Ein Verstoß gegen die DSGVO kann auch hier zu empfindlichen Bußgeldern führen.
Ist der Betroffene über die Übermittlung der Daten an die Behörde zu informieren?
Die DSGVO sieht gem. Art. 13 Abs. 3 DSGVO vor, dass der Verantwortliche, wenn er beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck zur Verfügung.
Eine Ausnahme hiervon kann bestehen, wenn die Behörde unter Nennung einer Rechtsgrundlage die Mitteilung an die betreffende Person untersagt. Dies kann etwa der Fall sein, wenn eine Information zu einer Gefährdung der Ermittlungsmaßnahmen führen würde.
Aus diesem Grund sollte der Verantwortliche – sofern die Behörde sich diesbezüglich nicht geäußert hat – aktiv nachfragen, ob die beklagte Person über die Verarbeitung informiert werden darf. Ist dies der Fall sollte auch hier ein schriftlicher Begründung der Behörde zu Dokumentationszwecken verlangt werden.
Fazit
Verantwortliche Stellen, insbesondere Unternehmen sollten einen standardisierten Prozess für die Bearbeitung behördlicher Auskunftsersuchen implementieren. Hierzu sollten auch Mitarbeiter im Rahmen von Schulungen sensibilisiert werden. Dies dient unter anderem dazu, dass relevante Bereiche und Schlüsselfunktionen wie etwa die Rechtsabteilung oder der Datenschutzbeauftragte frühzeitig in den Prozess eingebunden werden und die Anfrage rechtssicher und zeitnah bearbeitet werden kann. Zudem sollten sich verantwortliche Stellen immer darüber im Klaren sein, dass Auskunftsersuche unter Umständen datenschutzrechtlich zu umfangreich oder insgesamt unzulässig sind. Vor diesem Hintergrund und dem Umstand, dass eine datenschutzkonforme Datenverarbeitung letztlich dem Verantwortlichen obliegt, sollte für jedes eingehende Auskunftsersuchen eine Einzelfallprüfung vorgenommen werden.