AUSKUNFTSANFRAGEN VON ERMITTLUNGS- UND STRAFVERFOLGUNGSBEHÖRDEN

Fast jedes Unternehmen und jede Einrichtung hat bereits ein Auskunftsersuchen von einer Ermittlungs- und Strafverfolgungsbehörde (Staatsanwaltschaft, Polizei, Zoll etc.) erhalten. Häufig handelt es sich zunächst um telefonische Anfragen und fast immer ist „besondere Eile“ geboten. Schließlich möchte man ja „nicht die Täter schützen, oder“? Die zuständigen Mitarbeiter sehen sich dann häufig in einem Zwiespalt und fragen sich: „Darf ich die Daten herausgeben? Muss ich?“


DIE RECHTLICHE ZULÄSSIGKEIT STELLT DOCH DIE ANFRAGENDE BEHÖRDE SICHER, ODER?

Nein! Zunächst einmal ist es wichtig, dass Sie sich vor Augen halten, dass die anfragende Behörde Fragen stellen darf, dies aber noch nicht zwingend heißt, dass Sie diese auch beantworten dürfen/müssen. Grundsätzlich ist nämlich die übermittelnde Stelle für die Datenverarbeitung verantwortlich, sodass erhebliche Bußgelder oder Klageverfahren drohen können. Gerade im Falle von Ermittlungsverfahren ist das Eskalationsrisiko hoch! Ausnahmen vom Verantwortlichkeitsgrundsatz können sich in bestimmten Fällen jedoch aus dem Landesrecht oder spezialgesetzlichen Vorschriften z.B. für Übermittlungen durch eine öffentliche Stelle des Landes an eine andere öffentliche Stelle, beispielsweise gemäß § 6 Abs. 1 Satz 2 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) ergeben.

Sowohl die übermittelnde als auch die empfangende Stelle benötigen auch in Straf- und Ermittlungsverfahren für die Datenverarbeitung eine Rechtsgrundlage („Verbot mit Erlaubnisvorbehalt“). In der Regel werden die Daten ursprünglich für einen anderen Zweck erhoben worden sein, sodass es sich um eine „Weiterverarbeitung zu einem anderen Zweck“ handelt. Die Datenschutz-Grundverordnung enthält keine spezielle Übermittlungsgrundlage zur Abwehr von Gefahren für die staatliche/öffentliche Sicherheit und die Verfolgung von Straftaten. Diese ergeben sich jedoch zum Teil aus dem Bundes- bzw. Landesrecht, beispielsweise § 24 Bundesdatenschutzgesetz (BDSG), § 4 Abs. 1 Nr. 3 SächsDSDG. Gemäß § 24 Abs. 1 Nr. 1 BDSG ist die Übermittlung zulässig, wenn die Daten zur Verfolgung von Straftaten (keine Ordnungswidrigkeiten!) erforderlich sind und die Interessen des Betroffenen an dem Ausschluss der Übermittlung nicht überwiegen. Für die empfangende Behörde wird sich die Erhebungs- bzw. Ermittlungsbefugnis i.d.R. aus den spezialgesetzlichen Regelungen ergeben (beispielsweise Strafprozessordnung, Polizeigesetze der Länder, Mindestlohngesetz, Schwarzarbeitsbekämpfungsgesetz).


DATENSCHUTZ IST KEIN TÄTERSCHUTZ

Immer wieder sieht sich der Datenschutz mit dem Vorwurf konfrontiert, dass er die Täter schützen würde. Dies ist jedoch nicht der Fall! Vielmehr sind generelle/großflächige Überwachungsmaßnahmen bereits mit Blick auf die – unserem Rechtssystem zu Recht zu Grunde liegende – Unschuldsvermutung problematisch, da man damit alle betroffenen Personen einem Generalverdacht aussetzt. Umgekehrt ist die Verarbeitung der Daten der Täter aber auf Basis konkreter Verdachtsmomente und im erforderlichen – das heißt insbesondere auch verhältnismäßigen – Umfang zulässig. Im Rahmen der Interessenabwägung spielt auch das Verhalten der betroffenen Person, also z.B. dessen Schuld oder der konkrete Vorwurf eine wesentliche Rolle. Das Interesse, einer Strafverfolgung zu entgehen, wird aber gerade nicht geschützt. Gleichzeitig sollen „Bagatellvorwürfe“ nicht zu einem unverhältnismäßigen Risiko für unsere Freiheitsrechte z.B. durch einen stetigen Überwachungsdruck führen.

Straf- und Ermittlungsbehörden wollen und sollen – zum Wohle der Allgemeinheit und im Rahmen ihrer gesetzlichen Aufgaben – Beweise sammeln bzw. Tatverdächtige finden. Hierfür müssen umfangreiche Daten erarbeitet werden und es ist verständlich, dass auch bestehende Datensammlungen von Unternehmen und sonstigen Einrichtungen genutzt werden (sollen). Dabei darf aber nicht übersehen werden, dass sich die angefragte Stelle in einer zum einen rechtlich angreifbaren Position befindet, zum anderen aber natürlich i.d.R. auch ein legitimes Interesse besteht, die eigenen Mitarbeiter, Kunden o.ä. zu schützen. Die Straf- und Ermittlungsbehörden sollten dies daher im Rahmen Ihrer Anfragen berücksichtigen und bei ihren Anfragen Sorgfalt und Verständnis zeigen.


AUCH WENN DRUCK AUFGEBAUT WIRD: BLEIBEN SIE RUHIG UND GELASSEN!

Verlangen Sie grundsätzlich ein schriftliches Auskunftsersuchen bzw. bei sensiblen Anfragen einen entsprechenden Bescheid der Staatsanwaltschaft. Telefonische Auskünfte sollten grundsätzlich nicht erteilt werden, da Sie in diesem Fall i.d.R. nicht sicherstellen können, dass die anfragende Person tatsächlich offiziell im Auftrag der Behörde anfragt. Lässt sich dies im Einzelfall aufgrund besonderer Eile nicht umgehen, prüfen Sie die Echtheit, indem Sie die Hauptnummer der Dienststelle recherchieren und sich verbinden lassen. Unterziehen Sie auch Anfragen per Mail und Fax einer bestmöglichen Echtheitskontrolle. Unabhängig davon fehlen bei mündlichen Anfragen im Zweifel wichtige Nachweise („Rechenschaftspflicht“).

Neben einem Ermittlungs- bzw. Aktenzeichen sollte sich aus der Anfrage immer ergeben, um welchen Tatvorwurf es sich handelt bzw. was der Zweck der Anfrage ist und auf welche Rechtsgrundlage die Ermittlungsbehörde sich stützt. Dies benötigen Sie, um zu prüfen, ob die Anfrage sich im Rahmen der Zuständigkeit der anfragenden Stelle bewegt und für die Aufgabenerfüllung erforderlich ist sowie gegebenenfalls im Rahmen einer erforderlichen Interessenabwägung.

Das Auskunftsersuchen sollte grundsätzlich auch beinhalten, inwieweit eine Pflicht zur Auskunft besteht. Ist dies nicht der Fall, sollte eine etwaige Verpflichtung erfragt werden. Eine datenschutzrechtliche Übermittlungsbefugnis beinhaltet grundsätzlich keine Verpflichtung. Eine solche kann sich aber aus der Strafprozessordnung (u.a. §§ 95, 98a 161a Abs. 1 oder 163 Abs. 3 StPO) oder spezialgesetzlichen Normen z.B. durch § 32 Bundesmeldegesetz, §§ 15 ff. Mindestlohngesetz ergeben. Die Abklärung einer Auskunftspflicht dient der zusätzlichen Absicherung der übermittelnden Stelle, da die Datenübermittlung in diesem Fall auch von Art. 6 Abs. 1 lit. c DS-GVO („rechtliche Verpflichtung“) gedeckt ist.

Es sollten immer nur die tatsächlich erforderlichen Daten übermittelt werden. Beispielsweise sollte eine Herausgabe vollständiger Personallisten der letzten Jahre hinsichtlich der Verhältnismäßigkeit hinterfragt werden. Sind Sie der Ansicht, dass abgefragte Daten keine Aussagen zu den fraglichen Punkten treffen, so besprechen Sie dies im Vorfeld mit der anfragenden Stelle. Lassen die von der anfragenden Stelle übermittelnden Daten keine eindeutige Zuordnung zu einer Person zu (z.B. Namensgleichheit), so bitten Sie um weitere Informationen bzw. versuchen Sie den Kreis im Gespräch mit der ermittelnden Stelle weiter einzuschränken.

Selbstverständlich sind bei der Datenübermittlung an Behörden entsprechende technische und organisatorische Maßnahmen (z.B. Artt. 32, 25 DS-GVO) zu gewährleisten, z.B. persönliche Übergabe, Verschlüsselung, Einschreiben.

Zu guter Letzt muss geprüft werden, inwieweit die Betroffenen über die Datenübermittlung informiert werden müssen (Art. 13 DS-GVO). Offizielle Auskunftsanfragen bzw. Bescheide der Staatsanwaltschaft untersagen dies i.d.R., um eine Gefährdung des Ermittlungsverfahrens auszuschließen. Unabhängig davon kann die Informationspflicht aber auch bereits gesetzliche ausgeschlossen sein (z.B. §§ 32, 33 BDSG, § 8 SächsDSDG oder spezialgesetzlich). Im Zweifel fragen Sie bitte im Vorfeld einer Information bei der anfragenden Stelle nach.


FAZIT

Der richtige Umgang mit Auskunftsanfragen von Straf- und Ermittlungsbehörden ist abhängig von den Umständen des Einzelfalls und birgt u.U. hohe Haftungsrisiken. Die Bearbeitung sollte entsprechend sorgfältig erfolgen und dokumentiert werden. Im Zweifel sollten Sie die Anfrage daher immer an Ihre/n Datenschutzbeauftragte/n weiterleiten und mit diesem/r das weitere Vorgehen besprechen.

Über die Autorin: Kristin Beyer ist als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Auskunft
  • Datenübermittlungen
  • Ermittlungsbehörde
  • Strafverfolgung
  • telefonische Anfrage
Lesen

IDENTITÄT BEI ELEKTRONISCHEN BETROFFENENANFRAGEN SICHERSTELLEN

Die DS-GVO stärkt die Rechte der von Datenverarbeitung betroffenen Personen. Diese Rechte stellen verantwortliche Stellen vor ein Problem. Die Identität des Antragstellers muss zweifelsfrei feststehen. Eine Übertragung von Daten an eine falsche Person kann – je nach Art der Daten – gravierende Folgen für den Betroffenen haben. Eine Offenlegung von personenbezogenen Daten durch die Beauskunftung gegenüber „dem falschen Betroffenen“ stellt regelmäßig eine Datenschutzverletzung dar. Je nach Art der offengelegten Daten und der Risiken für die betroffene Person ist dies dann auch gegenüber der zuständigen Datenschutzbehörde meldepflichtig.

Vor eine besondere Herausforderung ist ein Verantwortlicher gestellt, wenn Betroffene eine Anfrage nicht mit den im System der Unternehmen gespeicherten Daten übereinstimmen. So entspricht die E-Mail-Adresse des Antragstellers nicht der im System hinterlegten oder die postalische Adresse hat sich durch einen Umzug geändert oder ein Anrufer ruft vom Handy aus an und im System ist eine Festnetznummer hinterlegt.Der Identifizierungsvorgang muss datenschutzkonform gestaltet werden. Verantwortliche sowie Auftragsverarbeiter müssen eigene Prozesse definieren. Wichtig ist es vor allem Zuständigkeiten zu benennen und die Mitarbeiter regelmäßig zu sensibilisieren.


WIE KANN DIE IDENTIFIZIERUNG GESTALTET WERDEN?

Im Gesetz finden sich dazu nur Anhaltspunkte und keine Vorschriften. Es ist lediglich die Rede davon, dass der Verantwortliche in bei begründeten Zweifeln zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (Art. 12 Abs. 6 DS-GVO). Der Erwägungsgrund 64 gibt Hinweise zur Identitätsprüfung: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen […].“ Es sind unterschiedliche Szenarien denkbar:

Anfrage per E-Mail: Die Anfrage per E-Mail aus Sicht der betroffenen Person der einfachste Weg. In Bezug auf die Identifizierung ist er eine große Herausforderung. Das gilt insbesondere wenn die E-Mail Adresse, von der aus die Anfrage kommt, beim Verantwortlichen nicht als Kontakt hinterlegt ist. Ist die Adresse hingegen hinterlegt, kann i. d. R. davon ausgegangen werden, dass die anfragende Person auch die betroffene Person ist.

Schriftliche Anfrage: Ein schriftlicher Antrag ist die Variante, die die wenigsten Unsicherheiten bereithält. Das Anliegen wird typischerweise auf demselben Weg an die in der Anfrage angebende Anschrift beantwortet. Ein Abgleich mit der im System hinterlegten Adresse erhöht die Sicherheit. Abweichende Adressen bedürfen einer Prüfung.

Telefonische Anfrage: Art. 12 Abs. 1 DS-GVO sieht die Möglichkeit vor, dass Anfrage und Beantwortung auch telefonisch erfolgen können. Selbst wenn die gesendete Telefonnummer bekannt sein sollte, ist damit niemand zweifelsfrei identifiziert. Für diese Art der Anfrage muss auf eine jeden Fall ein Identifizierungsprozess implementiert werden.


METHODEN ZUR AUTHENTIFIZIERUNG UND IDENTIFIKATION

Abfrage zusätzlicher Informationen: Insbesondere bei telefonischen Anfragen sollte der Verantwortliche es zur gängigen Praxis machen, grundsätzlich zusätzliche Identifizierungsmerkmale abzufragen und diese mit den gespeicherten Daten abzugleichen. Dabei kann es sich um die Adressdaten, das Geburtsdatum, die Kundennummer oder die letzte Rechnungsnummer handeln. Empfehlenswert ist die Abfrage mehrerer Daten.

Vorlage eines Ausweisdokuments: Über die Kopie eines Ausweisdokuments kann die Identität eines Betroffenen festgestellt werden. Dieses Verfahren sieht der Bundesbeauftragte für Datenschutz und Informationssicherheit als zulässig an. Alle Daten außer „Name, Anschrift, Geburtsdatum und Gültigkeitsdauer“ können in der Kopie grundsätzlich geschwärzt werden, da sie nicht benötigt werden. Eine Kopie kann per Post oder elektronisch an das Unternehmen zugestellt werden.

Bei der postalischen Übermittlung einer geschwärzten Ausweiskopie gibt es regelmäßig keine datenschutzrechtlichen Bedenken. Eine Übermittlung per E-Mail ist problematischer. Zu beachten ist, dass bei der elektronischen Übermittlung die Sicherheit der Daten im Vordergrund stehen muss. Wenn der Verantwortliche eine Ausweiskopie per E-Mail verlangt, muss er auch einen sicheren Übermittlungsweg zur Verfügung stellen. Ist keine angemessene Ende-zu-Ende-Verschlüsselung möglich, kann auch die Bereitstellung eines Links zu einem sicheren Cloudverzeichnis eine Alternative sein.

Selbstverständlich sollten die erfassten Daten einer strengen Zweckbindung unterliegen, d. h. ausschließlich zur Identitätsprüfung verwendet werden und nicht in den Datenbestand der verantwortlichen Stelle einfließen.

Post-Ident-/Video-Ident Verfahren: Diese Methoden bieten hohe Sicherheit bezüglich der Identifizierung. Das Post-Ident-Verfahren ist allerdings mit einem hohen Aufwand für die betroffenen Personen verbunden. Die betroffene Person wird dabei durch einen Mitarbeiter der Deutschen Post anhand seines Ausweises identifiziert. Die Bestätigung wird an das Unternehmen verschickt. Die Post selbst speichert keine Daten dauerhaft.

Das Video-Ident-Verfahren funktioniert nach dem gleichen Prinzip. Über einen Videochat wird die betroffene Person identifiziert, indem sie das Ausweisdokument vor die Kamera hält. Je nach Verfahren kann es sein, dass das gesamte Verfahren aufgezeichnet und an den Verantwortlichen übermittelt wird. Es ist daher wichtig, die Datenschutzbestimmungen des jeweiligen Anbieters genau zu prüfen. Nicht sehr datenschutzfreundlich ist der Umstand, dass es bei beiden Verfahren nicht vorgesehen ist, die nicht benötigten Informationen abzudecken.

Identifizierung per Code: Die Identität einer antragstellenden Person kann über ein Opt-in-Verfahren festgestellt werden. Hierzu verschickt das Unternehmen einem Code an die gespeicherte E-Mail Adresse, eine gespeicherte Mobilfunknummer oder per Brief. Mit Hilfe dessen kann sich die betroffene Person dann identifizieren.

Bearbeitung über ein Kundenkonto: Die einfachste Methode ist die Verifizierung über ein Kundenkonto. Dabei sollte trotzdem beachtet werden, dass auch Unbefugte sich Zugriff zu einem Kundenkonto verschaffen können. Eine Zwei-Faktor-Authentifizierung ist ratsam.


FAZIT

Jeder Verantwortliche sollte – in Zusammenarbeit mit der oder dem Datenschutzbeauftragten – zur Bearbeitung von Betroffenenrechten klar definierte Prozesse implementieren, wie eine eindeutige Identifizierung des Anfragenden unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen gewährleistet werden kann.

Über die Autorin: Tanja Albert ist als externe Datenschutz- und Iformationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits-, sozialen und kirchlichen Bereich auch Unternehmen im Ausland.

    Tags:
  • Authentifizierung
  • Betroffenenrechte
  • elektronische Anfrage
  • Identifizierung
  • telefonische Anfrage
Lesen