von RA Phil Salewski

Achtung, Polizei: Voraussetzungen der rechtskonformen Weitergabe von Daten aus dem Online-Shop an Ermittlungsbehörden

News vom 15.01.2020, 15:41 Uhr | Keine Kommentare

Im Rahmen von polizeilichen und staatsanwaltlichen Ermittlungsmaßnahmen kann es vorkommen, dass Online-Händler ins Visier der Behörden geraten, weil sie möglicherweise im Besitz aufschlussreicher Datenbestände über einen oder mehrere Tatverdächtige sind. Allein die Tatsache, dass Auskunftsgesuche von Organen der Strafverfolgung ausgehen, macht die Weitergabe personenbezogener Daten aber noch nicht zulässig. Vielmehr haben Online-Händler als Verantwortliche auch hier die Grundsätze der DSGVO zu beachten und müssen eingehende Übermittlungsanfragen rechtlich korrekt bewerten, um sich nicht dem Vorwurf sensibler Datenschutzverstöße auszusetzen. Der nachstehende Beitrag zeigt auf, ob und unter welchen Voraussetzungen die Weitergabe von Daten aus dem Online-Shop an Ermittlungsbehörden zulässig ist.

I. Anwendbarkeit der DSGVO auf Datenauskünfte gegenüber Ermittlungsbehörden

Für Konstellationen der Datenweitergabe von Online-Händlern oder sonstigen Seitenbetreibern an Behörden müsste zunächst die DSGVO anwendbar sein.

Gemäß Art. 2 Abs. 2 lit. d DSGVO ist der sachliche Anwendungsbereich des Rechtsakt zwar nicht eröffnet, wenn Datenverarbeitungen von zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung ausgehen.

Wird allerdings die Datenübermittlung von Unternehmen beantragt, greift dieser Ausschlussgrund nicht, weil die Übermittlung nicht in der Sphäre der Behörde, sondern in derjenigen des Online-Händlers bzw. Seitenbetreibers als privatem Verantwortlichen erfolgen muss.

Datenweitergaben an Behörden sind demnach als Datenverarbeitungen (Art. 4 Nr. 2 DSGVO) nicht der Behörde, sondern dem übermittelnden Verantwortlichen (also dem Online-Händler/Seitenbetreiber) zuzurechnen. Erst die auf eine erfolgreiche Datenübermittlung folgende Weiterverarbeitung innerhalb der Strafverfolgungsbehörde entzieht sich dann dem Anwendungsbereich der DSGVO und muss sich nach den Polizeigesetzen des Bundes und der Länder richten.

Damit findet die DSGVO auf derartige Übermittlungstätigkeiten von Online-Händlern/Seitenbetreibern unmittelbare Anwendungen und unterwirft sie dem strikten Rechtfertigungsregime des europäischen Datenschutzrechts.

Weitere Voraussetzung ist freilich, dass es sich bei den zu übermittelnden Daten auch um solche mit Personenbezug handelt (Art. 4 Nr. 1 DSGVO). Dies können im Online-Shop vor allem die Folgenden sein:

  • Vor- und Zunamen
  • Zahlungsdaten
  • Mailadressen
  • Anschriften
  • Telefonnummer
  • IP-Adressen

Auch die Übermittlung von

  • Steuer- und Versicherungsnummern
  • Lichtbilder
  • Videoaufnahmen

unterfiele den DSGVO-Vorschriften.

unlimited

II. Rechtsgrundlagen für die Datenweitergabe aus dem Shop an Ermittlungsbehörden

Weil Datenweitergaben an Polizei und Staatsanwalt unmittelbar der DSGVO unterworfen werden, sind sie nur dann rechtmäßig, wenn sich der Online-Händler/Seitenbetreiber hierfür gemäß Art. 5 Abs. 1 lit. a und Art. 6 DSGVO auf eine oder mehrere Rechtfertigungstatbestände berufen kann.

Festzustellen ist zwar, dass die DSGVO keine eigenständige Rechtsgrundlage für Datenübermittlungen an Strafverfolgungsbehörden kennt.

In Betracht kommen aber vor allem 2 allgemeine Rechtfertigungstatbestände.

1.) Rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO

Zum einen können Datenweitergaben an Polizei und Staatsanwaltschaft über Art. 6 Abs 1 lit. c DSGVO gerechtfertigt werden, der Datenverarbeitungen zur Erfüllung einer rechtlichen Verpflichtung erlaubt.
Eine rechtliche Verpflichtung zur Datenweitergabe kann im Einzelfall einschlägig sein, wenn die Ermittlungsbehörde im Rahmen ihrer strafprozessualen Befugnisse tätig wird.

Für polizeiliche Ermittlungen ergeben sich Befugnisse zur Sachverhaltsaufklärung und Auskunftsrechte aus § 163 Abs. 1 der Strafprozessordnung (StPO) - ggf. bei Anordnung durch die Staatsanwaltschaft in Verbindung mit § 161 Abs. 1 Satz 2 StPO.
Bei Ermittlungen durch die Staatsanwaltschaft verleihen die §§ 161, 161a StPO dieser Behörde umfangreiche Aufdeckungs- und Auskunftsrechte.

Allerdings kann eine rechtliche Verpflichtung des Online-Händlers/Seitenbetreibers nicht allein aus einer behördlichen Ermittlungsbefugnis hergeleitet werden. Dies deshalb, weil die Strafprozessordnung diverse Eingriffsmaßnahmen (etwa in den §§ 100 ff. StPO) weitergehenden Erfordernissen, etwa einem Richtervorbehalt, unterstellt.

So muss stets im Einzelfall geprüft werden, ob das jeweilige Auskunftsgesuch sich auch im Rahmen der rechtlichen Ermittlungsbefugnisse bewegt. Dies ist grundsätzlich immer dann der Fall, wenn das Auskunftsgesuch durch einen richterlichen Beschluss abgesegnet wurde.

Bei weniger eingriffsintensiven Datenabfragen genügt auch die Überprüfung des Vorhandenseins eines staatsanwaltlichen Ermittlungs- bzw. Aktenzeichens.

Hinweis zur Übermittlung sensibler Daten, Art. 9 DSGVO:

Bestimmte Daten, etwa solche biometrischer Natur, genießen unter der DSGVO einen besonderen Schutz und dürfen nur unter strengen Voraussetzungen verarbeitet werden. Sollen solche Daten durch einen Verantwortlichen an eine Ermittlungsbehörde weitergebeben werden, kommt als Rechtsgrundlage Art. 9 Abs. 1 lit. g DSGVO in Betracht. Dieser erklärt Datenverarbeitungen aufgrund von verhältnismäßigen und rechtsstaatlich ausgeprägten Rechtsvorschriften eines Mitgliedsstaats für zulässig und kann in Verbindung mit Vorschriften der StPO einschlägig sein.

2.) Berechtigtes Übermittlungsinteresse, Art. 6 Abs. 1 lit. f DSGVO

Als zweiter Rechtfertigungstatbestand für Datenweitergaben an Ermittlungsbehörden kommen außerdem berechtigte Verantwortlicheninteressen gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht.

So erkennt Erwägungsgrund 50 Satz 8 der DSGVO die Übermittlung personenbezogener Daten zu Strafverfolgungszwecken als berechtigtes Interesse an:

Der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine zuständige Behörde sollten als berechtigtes Interesse des Verantwortlichen gelten.

Auch bei Zugrundelegen dieser Rechtsgrundlage heilt der Zweck allerdings nicht automatisch die Mittel. Damit die Datenweitergabe rechtskonform ist, muss der Online-Händler/Seitenbetreiber sicherstellen, dass seine Interessen an der Übermittlung und sein Beitrag an der Wahrung der öffentlichen Sicherheit die Interessen des (verdächtigen Betroffenen) an seiner informationellen Selbstbestimmung im Einzelfall überwiegen.

III. Der Zweckbindungsgrundsatz und seine Aufhebung bei begründeten Auskunftsgesuchen von Ermittlungsbehörden

Jenseits des zwingenden Bedarfs einer einschlägigen Rechtsgrundlage sind jegliche Datenverarbeitungen nach der DSGVO grundsätzlich dem Zweckbindungsgrundsatz der Art. 5 Abs. 1 lit. b DSGVO unterworfen.

Dies bedeutet, dass Daten grundsätzlich nicht zu einem anderen Zweck (weiter)verarbeitet werden dürfen als zu demjenigen, unter dem sie ursprünglich erhoben wurden.

Bei Datenübermittlungen an Strafverfolgungsbehörden findet aber prinzipiell immer eine Zweckänderung statt, weil bei ursprünglicher Erhebung der Daten deren Weitergabe an behördliche Ermittler nicht vorgesehen war.

Für die Weitergabe von Daten auf der Grundlage von ermittlungsbehördlichen Auskunftsgesuchen besteht aber eine Ausnahme von diesem Zweckbindungsgrundsatz.

Gemäß Art. 6 Abs. 4 DSGVO gilt die Zweckbindung nicht, wenn die (Weiterverarbeitung) auf einen der Tatbestände des Art. 23 DSGVO gestützt werden kann. Art 23 Abs. 1 DSGVO erlaubt die Aufhebung der Zweckbindung unter anderem bei Eingreifen einer nationalen Rechtsvorschrift, welche den nachstehenden Zweck verfolgt:

d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit

Eine solche nationale Rechtsgrundlage hat der deutsche Gesetzgeber im neuen Bundesdatenschutzgesetz mit § 24 BDSG geschaffen.

Nach § 24 Abs. 1 Nr. 1 BDSG ist die Übermittlung personenbezogener Daten an Ermittlungsbehörden zulässig, wenn

  • sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist und
  • und sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

IV. Wann dürfen nun personenbezogene Daten an Ermittlungsbehörden weitergegeben werden?

Aus den obigen Ausführungen lässt sich für die Zulässigkeit von Datenübermittlungen an Staatsanwaltschaft und Polizei folgender Grundsatz aufstellen:

Die Übermittlung ist zulässig, wenn sie

  • zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist und daher auf die Rechtsgrundlage des Art. 6 Abs. 1 lit c oder Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann und
  • im Einzelfall sichergestellt ist, dass die Interessen an der Wahrung bzw. Aufrechterhaltung der öffentlichen Sicherheit die Interessen des Betroffenen an der informationellen Selbstbestimmung überwiegen

Erfüllt eine Datenweitergabe nicht oder nur unzureichend den Tatbestand des § 24 Abs. 1 Nr. 1 BDSG, ist sie allein deswegen unzulässig.

Wichtig zu beachten ist, dass § 24 BDSG zwar das Recht der Übermittlung, aber keine Verpflichtung zur Übermittlung normiert.

V. Unterrichtung des Betroffenen erforderlich?

Wird eine Datenweitergabe an Ermittlungsbehörden in rechtskonformer Weise auf die gesetzliche Erlaubnis gestützt, ist fraglich, ob der Online-Händler/Seitenbetreiber den (verdächtigen) Betroffenen hiervon in Kenntnis setzen muss. Immerhin verarbeitet er unter einem anderen Zweck erhobene Betroffenendaten nunmehr durch die Weitergabe zweckentfremdet weiter.

Dass eine gesetzliche nachträgliche Unterrichtungspflicht besteht, legt Art. 13 Abs. 3 der DSGVO nahe:

Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

Die Pflicht zur nachträglichen Unterrichtung entfällt allerdings, wenn die Ermittlungsbehörde unter der Angabe einer entsprechenden Rechtsgrundlage die Information untersagt, etwa weil hierdurch eine Gefährdung der Ermittlungsmaßnahmen droht.

VI. Ermittlungsbehörde fragt an: was tun?

Wird ein Online-Händler/Seitenbetreiber von einer Ermittlungsbehörde zur Preisgabe von personenbezogenen Daten eines Betroffenen aufgefordert, stellt dies – wie gezeigt – keinen Freibrief für die Zulässigkeit von Übermittlungen dar. Vielmehr muss der Online-Händler/Seitenbetreiber, um sich nicht datenschutzrechtlichen Sanktionen ausgesetzt zu sehen, im Einzelfall prüfen, ob er zur Weitergabe befugt ist.

Hierfür muss er insbesondere die Betroffeneninteressen mit seinen eigenen Interessen an der Anordnungsbefolgung und der Wahrung der öffentlichen Sicherheit abwägen.

Um eine informierte und nachweisbare Entscheidung zu treffen, sollten folgende Punkte geprüft werden:

  • die Authentizität des Auskunftsgesuchs und die Existenz der anfragenden Behörde
  • die Angabe eines Ermittlungsvorgangs oder eines Aktenzeichens
  • das Vorhandensein einer Begründung und /oder einer Sachverhaltsdarstellung
  • die Nennung einer Rechtsgrundlage und deren Voraussetzungen
  • die Legitimation der Behörde zum Handeln unter der Rechtsgrundlage

Bei mündlichen Anfragen ist zu Dokumentationszwecken vor der Bearbeitung stets auf eine schriftliche Ausführung zu beharren. Die Anfrage und deren Bearbeitung ist zu dokumentieren und in das Verarbeitungsverzeichnis nach Art. 30 DSGVO aufzunehmen.

Auch ist (bei festgestellter Rechtmäßigkeit der Übermittlung) sicherzustellen, dass nur die angefragten Daten und keine weiteren weitergegeben werden, um den Grundsatz der Datenminimierung zu wahren.

Schließlich sollte die Übermittlung entweder elektronisch verschlüsselt oder schriftlich gesichert (Einschreiben, Kurier) erfolgen.

VII. Fazit

Ersucht eine Ermittlungsbehörde bei einem Online-Händler/Seitenbetreiber die Auskunft über personenbezogene Daten eines Betroffenen, darf dem Gesuch nicht ohne Weiteres blind Folge geleistet werden.

Vielmehr ist der Online-Händler/Seitenbetreiber gehalten, die Übermittlung als tatbestandliche Datenverarbeitung vom Eingreifen einer tauglichen Rechtsgrundlage abhängig zu machen. Dies wiederum erlegt ihm aber eine Prüfpflicht ob der Authentizität und Begründetheit der Anfrage auf, weil er einschätzen muss, ob das behördliche Verfolgungsinteresse die Betroffeneninteressen überwiegt.

Weil eine rechtlich unangreifbare Prüfung der Übermittlungsvoraussetzungen Online-Händlern/Seitenbetreibern als Laien aber regelmäßig kaum möglich sein wird, ist im Zweifel zu raten, sich für die Beurteilung anwaltliche Hilfe zu suchen. So lässt sich nämlich einer späteren Sanktionierung datenschutzwidrigen Verhaltens weitgehend vorbeugen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5