Nicht selten nimmt die Polizei Kontakt zu Unternehmen auf, um Sachverhalte aufzuklären. Dabei fordern die Behörden die Übermittlung von Aufnahmen der Videoüberwachung, IP-Adressen, Namen von Fahrern des Firmenwagens oder ähnlichen personenbezogenen Daten. Doch wann ist eine solche Auskunft datenschutzkonform?

Erfahren Sie hier, welcher Schritte der Checkliste zur Auskunft an Polizei und Co. Sie prüfen müssen, bevor Sie personenbezogene Daten an Behörden weitergeben können.

1.     Identifizierung der anfragenden Behörde

Bevor Sie überhaupt eine Prüfung bezüglich der betroffenen Daten durchführen, ist es wichtig, zunächst die anfragende Behörde zu identifizieren. Hierbei handelt es sich nicht um eine Pflicht aus der DSGVO, sondern um eine Maßnahme zum Selbstschutz. Wird Ihrem Unternehmen später eine unzulässige Übermittlung (Datenschutzverstoß) vorgeworfen, müssen Sie nachweisen können, unter welchen Umständen die Übermittlung erfolgte und dass sie datenschutzkonform war.

Legen Sie deshalb im Unternehmen fest, dass keine Auskünfte über personenbezogene Daten am Telefon erteilt werden. Bei schriftlichen Anfragen sollten die Mitarbeiter den Absende immer genau überprüfen. Jede Kommunikation ist dabei zu dokumentieren.

2.     Überprüfung des Auskunftsverlangens

Als Verantwortlicher müssen Sie dann prüfen, ob die anfragende Behörde die entsprechenden Daten überhaupt herausverlangen darf. Ein Auskunftsverlangen muss immer eine Rechtsgrundlage haben. Hierbei kann es sich um einen richterlichen Beschluss, ein Auskunftsersuchen der Staatsanwaltschaft oder einen Paragrafen aus der Strafprozessordnung (StPO) und einer kurzen Begründung bzw. Darstellung des Sachverhaltes handeln.

Schalten Sie zu diesem Zeitpunkt unbedingt auch Ihren Datenschutzbeauftragten parallel zu Rechtsabteilung o.ä. mit ein. Dieser kann eventuell auftretende Risiken schnell erkennen und Sie entsprechend beraten.

3.     Überprüfung der Rechtsgrundlage

Nach Art. 5 DSGVO darf eine Verarbeitung nur dann erfolgen, wenn die entsprechende Rechtsgrundlage diese auch erlaubt. Es bedarf also einer Rechtfertigung der Weitergabe über Art. 6 DSGVO bzw. Art. 9 DSGVO bei Daten der besonderen Kategorie.

a.      Art. 6 I lit. c DSGVO: rechtliche Verpflichtung

Der Verantwortliche darf solche Daten übermitteln, die er aufgrund einer entsprechenden rechtlichen Verpflichtung erhebt. Will beispielsweise die Polizei eine Auskunft auf Grundlage der StPO erwirken, ist das Unternehmen grundsätzlich verpflichtet im Rahmen der StPO Auskunft zu erteilen. Hier können sich aber auch entsprechende Freiwilligkeiten oder Zeugnisverweigerungsrechte ergeben.

b.     Art. 6 I lit. f DSGVO: überwiegende berechtigte Interessen

Ansonsten kann eine Auskunft aufgrund überwiegender berechtigter Interessen gerechtfertigt sein. Im Erwägungsgrund 50 zur DSGVO wird festgehalten, dass die Strafverfolgung ein solches berechtigtes Interesse darstellt.

c.      Art. 9 DSGVO: besondere personenbezogene Daten

Handelt es sich bei den die Auskunft betreffenden Daten um solche der besonderen Kategorie nach Art. 9 DSGVO, ist der höhere Schutz zu beachten. Der deutsche Gesetzgeber hat hier aber von der Möglichkeit einer Öffnungsklausel nach Art. 9 II lit. g iVm IV DSGVO Gebrauch gemacht und § 4 III BDSG geschaffen. Dieser regelt u.a. die Weitergabe von Materialien aus der Videoüberwachung von öffentlich zugänglichen Räumen zum Zwecke der Strafverfolgung. Andere Videoüberwachung wie z.B. von unternehmensinternen Bereichen, zu denen nur Mitarbeiter Zugang haben, fallen jedoch nicht darunter.

Auch hierbei sollte im Einzelfall immer der Datenschutzbeauftragte befragt werden.

4.     Herausgabe und Dokumentation

Werden am Ende Daten herausgegeben, ist auch dies zu dokumentieren.

Bei der Auskunft ist vor allem auf den Grundsatz der Datenminimierung zu achten, sodass das Material immer so weit wie möglich gekürzt oder geschwärzt werden muss. Außerdem sind auch bei der Auskunft technisch-organisatorische Maßnahmen zum Schutz der Daten bereitzuhalten. Alle Schritte der Checklist und das entsprechende Vorgehen des Unternehmens sind im Detail zu dokumentieren.

Fazit

Im Bereich Datenschutz im Unternehmen ist es wichtig, einheitliche Leitlinien zu schaffen, an die sich bei jedem Umgang mit personenbezogenen Daten orientiert werden kann. Diese Leitlinien müssen wie die hier erklärte Checkliste zum Umgang mit Auskunftsverlangen von Behörden wie der Polizei allen Mitarbeitern bekannt sein. Eine regelmäßige Schulung aller Mitarbeiter ist dabei unerlässlich.

Auch die Einbeziehung des Datenschutzbeauftragten erleichtert das Vorgehen und bewahrt vor so manchem Datenschutzverstoß. Der Datenschutzbeauftragte sollte sorgsam ausgewählt und regelmäßig geschult werden. Es macht Sinn, hier auf einen professionellen externen Datenschutzbeauftragten zu setzen.

Sie suchen einen externen Datenschutzbeauftragten oder brauchen sonst Hilfe im Bereich Datenschutz (z.B. online Mitarbeitersensibilisierung oder Live-Schulungen angepasst an Ihr Unternehmen)? Kontaktieren Sie uns! Unser Team an Experten freut sich auf Sie.

DSB buchen
de_DEDeutsch