Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Nachdem wir vorbeispaziert sind am Dickicht des Art. 9 – in das man beim Spazierengehen gar nicht zu tief hineinlaufen darf – wirkt Art. 10 trotz des grimmigen Themas ganz entspannt: In zwei Sätzen (!) wird das Thema Straftaten und Sicherungsmaßregeln abgehandelt.

Kurz für Nichtjuristen: Sicherungsmaßregeln werden – anstelle oder neben Strafen – von Gerichten verhängt, wenn Straftäter für die Allgemeinheit gefährlich sind. Häufig betrifft das psychisch kranke Menschen, die ihr Handeln nicht oder nur teilweise steuern können.

Zu Artikel 10 DS-GVO

Der Gesetzgeber hätte das Thema des Artikel 10 auch zu Artikel 9 schieben können, die entsprechenden Daten also in Art. 9 Abs. 1 DS-GVO nennen und dann im Absatz 2 die ausnahmsweise erlaubten Verarbeitungswege aufzeigen. Hat er aber nicht.

Bei Lektüre von Artikel 10 zeigen beide Sätze, dass der Gesetzgeber viel von behördlicher Aufsicht hält und offenbar meint, behördliche Aufsicht sei eine Datenschutzmaßnahme. Na gut. Mit dieser behördlichen Aufsicht ist sowohl die Datenverarbeitung für strafrechtliche Verurteilungen, Straftaten und Sicherungsmaßregeln, als auch die Führung eines umfassenden Registers erlaubt. Ansonsten dürfen diese Daten nur verwendet werden, „wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Person vorsieht, zulässig ist“. Wir brauchen also (1) eine Regelung im EU- oder nationalen Recht und (2) diese gesetzliche Regelung muss besondere geeignete Garantien für den Datenschutz enthalten.

Praxisrelevantes Beispiel: § 72a SGB VIII verlangt von Jugendhilfe-Trägern die Kontrolle des eigenen Personals hinsichtlich einschlägiger Straftaten durch Vorlage des Führungszeugnisses. Der dortige Absatz 5 regelt dann sehr detailliert, wie die Jugendhilfe-Träger mit dem Führungszeugnis und den dortigen Daten umzugehen haben; dies sind geeignete Garantien im Sinne von Art. 10 Satz 1 DSGVO.

Falls sich jemand fragt, was die Passage „aufgrund von Art. 6 Abs. 1“ in Satz 1 bedeuten soll: Nichts. Der Gesetzgeber hätte uns dies auch ersparen können. Aber seien wir froh: Immerhin hat er zum Beispiel nicht noch vermerkt „und unter Berücksichtigung der Vorgaben des Art. 25 DS-GVO.“

Ein wichtiger Punkt im Weitergehen: Artikel 10 gilt natürlich nur, soweit die DS-GVO überhaupt gilt. Und gerade bei Straftaten muss man Art. 2 Abs. 2 lit. d) DS-GVO beachten: Soweit „die zuständigen Behörden“ Daten verarbeiten für „Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten“, Strafvollstreckung und öffentliche Sicherheit, gilt die JI-Richtlinie 2016/680 – und dort gibt es kein Pendant zu Artikel 10 DS-GVO.

Weiter geht’s zu Artikel 11!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In welchen Fällen muss ich eine Auskunft an Ermittlungsbehörden erteilen? Vor ziemlich genau zwei Jahren haben wir uns hier schon einmal mit dem diskussionswürdigen und interesseanten Thema befasst. Die Sache ist weiter praxisrelevant und lohnt einen zweiten Blick. Wiederholungen werden vermieden – also am besten den ersten Beitrag gern noch einmal nachlesen.

Eskalationsträchtig

Bei Nachfragen von Ermittlern (meist Polizeibehörden) liegt „Ärger in der Luft“. Für die Beschuldigten von Seiten der Ermittler, für die verantwortliche Stelle (datenschutzrechtlich), aber meist von Seiten der Beschuldigten: Gibt die verantwortliche Stelle Auskünfte ohne Rechtsgrundlage, wird das den Beschuldigten (datenschutzrechtlich „betroffenen Personen“) nicht gefallen. Datenschutzrechtlich gilt: Auskünfte ohne Rechtsgrundlage sind verboten, auch an Strafverfolgungsbehörden.

Ob am Ermittlungsvorwurf „was dran ist“, spielt dafür keine Rolle. Auch Straftäter haben – auch im Datenschutz – Rechte. Und gerade nach „erfolgreichen“ Ermittlungsverfahren gibt es nicht selten Beschwerden der Betroffenen, denen die Datenschutz-Aufsichtsbehörden dann nachzugehen haben. Also aufgepasst, damit es nicht heißt: Geldstrafe für den Straftäter und Geldbuße für den Auskunftgeber!

Einfaches zuerst

Gerade weil datenschutzrechtlich manchmal gar nicht einfach zu beurteilen ist, ob eine Auskunftspflicht oder ein Auskunftsrecht besteht, sollte zumindest ein klarer Ablauf geregelt sein: Wenn Ermittler von einer Behörde oder einem Unternehmen Auskünfte verlangen, müssen die dort Beschäftigten wissen, wie sie sich zu verhalten haben. Meist ist sinnvoll, eine konkrete Anlaufstelle zu benennen, an die solche Anfragen weitergeleitet werden. Je nach Größe und Struktur der verantwortlichen Stelle kann das die Behördens-/Unternehmensleitung sein oder die Rechtsabteilung oder z.B. die/der Datenschutzbeauftragte.

Gibt es solche Vorgaben nicht, werden Beschäftigte häufig (nachvollziehbar) nach der landläufigen Regel handeln: (1) Die Polizei wird schon wissen, ob sie fragen darf und (2) am Ende bekomme ich noch selbst Ärger, wenn ich nicht antworte.

Einzelfallprüfung

Ist die Anfrage dann (möglichst schnell) bei der vorgesehenen Stelle „gelandet“, wird geprüft:

(1) Ist die Anfrage „echt“, stammt sie tatsächlich von einer Ermittlungsbehörde?
Bei telefonischen Anfragen lässt sich dies im Telefonat kaum prüfen. Dann sollte man Namen, Dienststelle und Kontaktdaten abfragen, anschließend (z.B. via Internet) kontrollieren und nur über prüfbare (z.B. im Internet veröffentlichte) Kommunikationswege antworten. Ähnliches gilt bei Anfragen per E-Mail oder Fax: Die Regeln zur Erkennung von Phishing-E-Mails sind recht gut übertragbar. Man prüfe also, ob die Nachricht authentisch wirkt und vor allem, ob die verwendeten / angegebenen Kontaktdaten im Internet verifiziert werden können. Ein Rückruf unter der Telefonnummer, die in der E-Mail angegeben wurde, ist keine sinnvolle Absicherung. Stehen die Ermittler leibhaftig vor der Tür, dann ist das Mindeste und überhaupt nicht ungehörig oder unhöflich, den Dienstausweis zu prüfen und sich die Personalien zu notieren.

(2) Darf beauskunftet werden und gegebenenfalls in welchem Umfang?
Die verantwortliche Stelle muss nicht nach Rechtsgrundlagen suchen, sondern kann deren Benennung von der Ermittlungsbehörde verlangen. Leider sind die von den Ermittlern dann genannten Bestimmungen oft falsch, entweder weil sie im konkreten Fall nicht zutreffen oder weil sie keine Rechtsgrundlage für Auskünfte bieten.

Klassische Beispiele:

„Die DSGVO gilt bei Ermittlungen überhaupt nicht. Dafür gibt es die JI-Richtlinie (Richtlinie 2016/680, für „Justiz und Inneres“).“ Diese Richtlinie gilt zwar für die Ermittlungsbehörde selbst ergänzt und ausgefüllt durch nationales Recht, z.B. das Bundesdatenschutzgesetz, die Strafprozessordnung etc. Die Auskunft der verantwortlichen Stelle bemisst sich jedoch nicht nach der Richtlinie, sondern nach der DS-GVO. Bei der Auskunft handelt es sich um eine Datenverarbeitung der verantwortlichen Stelle (nämlich eine Datenübermittlung), nicht um eine Tätigkeit der Ermittler.

„Wir ermitteln für die Staatsanwaltschaft nach § 163 Strafprozessordnung.“ Daraus ergibt sich kein Auskunftsrecht für Verantwortliche. Ganz im Gegenteil regelt § 163 Abs. 3 StPO z.B. ausdrücklich, dass Zeugen zu einem polizeilichen Vernehmungstermin nicht einmal erscheinen (und auch nicht aussagen) müssen. Diese Pflichten bestehen erst bei entsprechender Anordnung der Staatsanwaltschaft. Eine solche Anordnung müssten die Ermittler dann also nachweisen. Außerdem ergibt sich aus § 163 Abs. 1 StPO noch eine Auskunftspflicht für Behörden (aber eben nur für Behörden) und zwar nur bei Gefahr im Verzug (!): Gemäß § 163 Abs. 1 Satz 2 StPO sind die Ermittler „befugt, alle Behörden um Auskunft zu ersuchen“, können aber nur „bei Gefahr im Verzug auch die Auskunft verlangen“. Berufen sich die Ermittler auf diese Norm, müssen sie den Eilbedarf darstellen. „Gefahr im Verzug“ ist nicht gegeben, wenn eine Entscheidung der Staatsanwaltschaft herbeigeführt werden kann. Für die Praxis heißt das: Hat die Sache 24 Stunden Zeit, gibt es keine Auskunftspflicht nach § 163 Abs. 1 StPO.

„Wir handeln nach dem Landespolizeigesetz (in Sachsen z.B. nach § 18 des Sächsischen Polizeigesetzes)“. Das Polizeirecht regelt nicht die Strafverfolgung, sondern die sogenannte „Gefahrenabwehr“ (also u.a. die Verhütung / Vermeidung von Straftaten). Dafür kann die Polizei meist (z.B. nach § 18 Abs. 3 des Sächsischen Polizeigesetzes) die Personalien ihrer Gesprächspartner erfragen. Weitergehende Auskünfte „zur Sache“ gibt es – wenn nicht andere Gesetze eingreifen – nur in besonders wichtigen Fällen (nach § 18 Abs. 6 Satz 1 i.V.m. Abs. 5 Nr. 1 des Sächsischen Polizeigesetzes z.B. bei „Gefahren für Leben, Gesundheit oder Freiheit einer Person oder für bedeutende fremde Sach- oder Vermögenswerte“). Wenn diese Voraussetzungen nicht vorliegen, dürfen Private (z.B. Nachbarn …) Fragen der Polizei beantworten, müssen es jedoch nicht. Verantwortliche Stellen (und alle Personen, die gemäß Art. 29 DS-GVO für die verantwortlichen Stellen handeln) sind durch die DS-GVO gebunden. Sie dürfen (anders als Private) nicht selbst über die Auskunftserteilung entscheiden (sondern müssen sie – mangels Rechtsgrundlage – verweigern.)

Auch Negativauskünfte sind Auskünfte

Datenschutzrechtlich – aber nicht allen Ermittlern und Befragten – ist klar: Auch die Mitteilung „Sie/er arbeitet hier nicht.“ hat Personenbezug und ist nach denselben Datenschutz-Regeln zu betrachten, wie die Positiv-Angabe.

Oft vergessen: Informationspflicht?

Die vom Ermittler angefragten Informationen waren bei der verantwortlichen Stelle ganz sicher nicht für den Zweck gespeichert, Ermittlungsanfragen zu beantworten. In dieser Verwendung (unterstellen wir einmal, die Auskunft war auf einer bestimmten Rechtsgrundlage zu erteilen) liegt also eine Zweckänderung. Wie steht es dann mit Art. 14 Abs. 4 DS-GVO? Muss der Verantwortliche vor der Auskunft an die Ermittlungsbehörde zuerst die betroffene Person informieren? „Das wäre ja noch schöner“ denkt und sagt die Ermittlungsbehörde. Auch hier gilt jedoch: Heimliche Datenverarbeitungen sind der verantwortlichen Stelle nach DS-GVO grundsätzlich nicht erlaubt. Von den Ermittlern darf (und muss gegebenenfalls) eine Rechtsgrundlage verlangt werden, die den Auskunftgebern das Schweigen vorschreibt (und datenschutzrechtlich erlaubt).

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.