Ist die Weitergabe von Kundendaten an Ermittlungsbehörden zulässig?

Ist die Weitergabe von Kundendaten an Ermittlungsbehörden zulässig?
Stand: 28.03.2022 8 min 2

Im Rahmen von Ermittlungsmaßnahmen können Online-Händler zur Herausgabe von Daten über tatverdächtige Kunden aufgefordert werden. Dass Organen der Strafverfolgung diese Daten anfragen, macht deren Weitergabe aber noch nicht per se zulässig. Wir klären, wann Kundendaten an Ermittlungsbehörden übermittelt werden dürfen.

Anwendbarkeit der DSGVO auf Datenanfragen von Ermittlungsbehörden

Gemäß Art. 2 Abs. 2 lit. d DSGVO findet das Datenschutzrecht zwar keine Anwendung, wenn Datenverarbeitungen von zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung ausgehen.

Wird allerdings die Datenübermittlung von Wirtschaftsakteuren beantragt, greift dieser Ausschlussgrund nicht, weil die Datenverarbeitung nicht behördenintern, sondern durch Übermittlung aus privaten Datenbeständen erfolgen soll.

Datenweitergaben an Behörden sind demnach als Datenverarbeitungen (Art. 4 Nr. 2 DSGVO) der DSGVO unterworfen. Erst die auf eine erfolgreiche Datenübermittlung folgende Weiterverarbeitung innerhalb der Strafverfolgungsbehörde entzieht sich dann dem Anwendungsbereich der DSGVO und muss sich nach den Polizeigesetzen des Bundes und der Länder richten.

Damit findet die DSGVO auf derartige Übermittlungstätigkeiten von Online-Händlern/Seitenbetreibern unmittelbare Anwendungen, sofern die betroffenen Daten solche mit Personenbezug sind (Art. 4 Nr. 1 DSGVO).

Ermittlungsrelevante personenbezogene Daten aus dem Online-Shop können insbesondere die folgenden sein:

  • Vor- und Zunamen
  • Zahlungsdaten
  • Mailadressen
  • Anschriften
  • Telefonnummer
  • IP-Adressen
  • Steuer- und Versicherungsnummern
  • Lichtbilder
  • Videoaufnahmen

Rechtsgrundlagen für die Datenweitergabe aus dem Shop an Ermittlungsbehörden

Datenweitergaben an Polizei und Staatsanwalt sind nur dann rechtmäßig, wenn sich der Online-Händler/Seitenbetreiber hierfür gemäß Art. 5 Abs. 1 lit. a und Art. 6 DSGVO auf eine oder mehrere Rechtfertigungstatbestände berufen kann.

Festzustellen ist zwar, dass die DSGVO keine eigenständige Rechtsgrundlage für Datenübermittlungen an Strafverfolgungsbehörden kennt.

In Betracht kommen aber vor allem 2 allgemeine Rechtfertigungstatbestände.

Banner Premium Paket

1.) Rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO

Zum einen können Datenweitergaben an Polizei und Staatsanwaltschaft über Art. 6 Abs 1 lit. c DSGVO gerechtfertigt werden, der Datenverarbeitungen zur Erfüllung einer rechtlichen Verpflichtung erlaubt.

Eine rechtliche Verpflichtung zur Datenweitergabe kann im Einzelfall einschlägig sein, wenn die Ermittlungsbehörde im Rahmen ihrer strafprozessualen Befugnisse tätig wird.

Für polizeiliche Ermittlungen ergeben sich Befugnisse zur Sachverhaltsaufklärung und Auskunftsrechte aus § 163 Abs. 1 der Strafprozessordnung (StPO) - ggf. bei Anordnung durch die Staatsanwaltschaft in Verbindung mit § 161 Abs. 1 Satz 2 StPO.

Bei Ermittlungen durch die Staatsanwaltschaft verleihen die §§ 161, 161a StPO dieser Behörde umfangreiche Aufdeckungs- und Auskunftsrechte.

Allerdings kann eine rechtliche Verpflichtung des Online-Händlers/Seitenbetreibers nicht allein aus einer behördlichen Ermittlungsbefugnis hergeleitet werden. Dies deshalb, weil die Strafprozessordnung diverse Eingriffsmaßnahmen (etwa in den §§ 100 ff. StPO) weitergehenden Erfordernissen, etwa einem Richtervorbehalt, unterstellt.

So muss stets im Einzelfall geprüft werden, ob das jeweilige Auskunftsgesuch sich auch im Rahmen der rechtlichen Ermittlungsbefugnisse bewegt. Dies ist grundsätzlich immer dann der Fall, wenn das Auskunftsgesuch durch einen richterlichen Beschluss abgesegnet wurde.

Bei weniger eingriffsintensiven Datenabfragen genügt auch die Überprüfung des Vorhandenseins eines staatsanwaltlichen Ermittlungs- bzw. Aktenzeichens.

Übermittlung sensibler Daten, Art. 9 DSGVO:

Bestimmte Daten, etwa solche biometrischer Natur, genießen unter der DSGVO einen besonderen Schutz und dürfen nur unter strengen Voraussetzungen verarbeitet werden.

Sollen solche Daten durch einen Verantwortlichen an eine Ermittlungsbehörde weitergegeben werden, kommt als Rechtsgrundlage Art. 9 Abs. 1 lit. g DSGVO in Betracht.

Dieser erklärt Datenverarbeitungen aufgrund von verhältnismäßigen und rechtsstaatlich ausgeprägten Rechtsvorschriften eines Mitgliedsstaats für zulässig und kann in Verbindung mit Vorschriften der StPO einschlägig sein.

2.) Berechtigtes Übermittlungsinteresse, Art. 6 Abs. 1 lit. f DSGVO

Als zweiter Rechtfertigungstatbestand für Datenweitergaben an Ermittlungsbehörden kommen außerdem berechtigte Verantwortlicheninteressen gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht.

So erkennt Erwägungsgrund 50 Satz 8 der DSGVO die Übermittlung personenbezogener Daten zu Strafverfolgungszwecken als berechtigtes Interesse an:

Der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine zuständige Behörde sollten als berechtigtes Interesse des Verantwortlichen gelten.

Auch bei Zugrundelegen dieser Rechtsgrundlage heilt der Zweck allerdings nicht automatisch die Mittel.

Damit die Datenweitergabe rechtskonform ist, muss der Online-Händler/Seitenbetreiber sicherstellen, dass seine Interessen an der Übermittlung und sein Beitrag an der Wahrung der öffentlichen Sicherheit die Interessen des (verdächtigen Betroffenen) an seiner informationellen Selbstbestimmung im Einzelfall überwiegen.

DSGVO-Zweckbindung bei Auskunftsgesuchen von Ermittlungsbehörden

Jenseits des zwingenden Bedarfs einer einschlägigen Rechtsgrundlage sind jegliche Datenverarbeitungen nach der DSGVO grundsätzlich dem Zweckbindungsgrundsatz der Art. 5 Abs. 1 lit. b DSGVO unterworfen.

Dies bedeutet, dass Daten grundsätzlich zu keinem anderen Zweck (weiter)verarbeitet werden dürfen als zu demjenigen, unter dem sie ursprünglich erhoben wurden.

Bei Datenübermittlungen an Strafverfolgungsbehörden findet aber prinzipiell immer eine Zweckänderung statt, weil bei ursprünglicher Erhebung der Daten deren Weitergabe an behördliche Ermittler nicht vorgesehen war.

Für die Weitergabe von Daten auf der Grundlage von ermittlungsbehördlichen Auskunftsgesuchen besteht aber eine Ausnahme von diesem Zweckbindungsgrundsatz.

Gemäß Art. 6 Abs. 4 DSGVO gilt die Zweckbindung nicht, wenn die (Weiterverarbeitung) auf einen der Tatbestände des Art. 23 DSGVO gestützt werden kann.

Art 23 Abs. 1 DSGVO erlaubt die Aufhebung der Zweckbindung unter anderem bei Eingreifen einer nationalen Rechtsvorschrift, welche den nachstehenden Zweck verfolgt:

d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit

Eine solche nationale Rechtsgrundlage hat der deutsche Gesetzgeber im Bundesdatenschutzgesetz mit § 24 BDSG geschaffen.

Nach § 24 Abs. 1 Nr. 1 BDSG ist die Übermittlung personenbezogener Daten an Ermittlungsbehörden zulässig, wenn

  • sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist und
  • sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

Wann dürfen nun personenbezogene Daten an Ermittlungsbehörden weitergegeben werden?

Aus den obigen Ausführungen lässt sich für die Zulässigkeit von Datenübermittlungen an Staatsanwaltschaft und Polizei folgender Grundsatz aufstellen:

IT-Recht Kanzlei

Exklusiv-Inhalt für Mandanten

Noch kein Mandant?

Ihre Vorteile im Überblick
  • Wissensvorsprung
    Zugriff auf exklusive Beiträge, Muster und Leitfäden
  • Schutz vor Abmahnungen
    Professionelle Rechtstexte – ständig aktualisiert
  • Monatlich kündbar
    Schutzpakete mit flexibler Laufzeit
Laptop
Ab
5,90 €
mtl.

Wichtig zu beachten ist, dass § 24 BDSG zwar das Recht der Übermittlung, aber keine Verpflichtung zur Übermittlung normiert.

Unterrichtung des Betroffenen erforderlich?

Wird eine Datenweitergabe an Ermittlungsbehörden in rechtskonformer Weise auf die gesetzliche Erlaubnis gestützt, ist fraglich, ob der Online-Händler/Seitenbetreiber den (verdächtigen) Betroffenen hiervon in Kenntnis setzen muss.

Immerhin verarbeitet er unter einem anderen Zweck erhobene Betroffenendaten nunmehr durch die Weitergabe zweckentfremdet weiter.

Dass eine gesetzliche nachträgliche Unterrichtungspflicht besteht, legt Art. 13 Abs. 3 der DSGVO nahe:

Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

Die Pflicht zur nachträglichen Unterrichtung entfällt allerdings, wenn die Ermittlungsbehörde unter der Angabe einer entsprechenden Rechtsgrundlage die Information untersagt, etwa weil hierdurch eine Gefährdung der Ermittlungsmaßnahmen droht.

Ermittlungsbehörde fragt an: Was ist konkret zu tun?

Wird ein Online-Händler/Seitenbetreiber von einer Ermittlungsbehörde zur Preisgabe von personenbezogenen Daten eines Betroffenen aufgefordert, stellt dies – wie gezeigt – keinen Freibrief für die Zulässigkeit von Übermittlungen dar.

Vielmehr muss der Online-Händler/Seitenbetreiber, um sich nicht datenschutzrechtlichen Sanktionen ausgesetzt zu sehen, im Einzelfall prüfen, ob er zur Weitergabe befugt ist.

Hierfür muss er insbesondere die Betroffeneninteressen mit seinen eigenen Interessen an der Anordnungsbefolgung und der Wahrung der öffentlichen Sicherheit abwägen.

Um eine informierte und nachweisbare Entscheidung zu treffen, sollten folgende Punkte geprüft und beachtet werden:

IT-Recht Kanzlei

Exklusiv-Inhalt für Mandanten

Noch kein Mandant?

Ihre Vorteile im Überblick
  • Wissensvorsprung
    Zugriff auf exklusive Beiträge, Muster und Leitfäden
  • Schutz vor Abmahnungen
    Professionelle Rechtstexte – ständig aktualisiert
  • Monatlich kündbar
    Schutzpakete mit flexibler Laufzeit
Laptop
Ab
5,90 €
mtl.

Fazit

Ersucht eine Ermittlungsbehörde bei einem Online-Händler/Seitenbetreiber die Auskunft über personenbezogene Daten eines Betroffenen, darf dem Gesuch nicht ohne Weiteres blind Folge geleistet werden.

Vielmehr ist der Online-Händler/Seitenbetreiber gehalten, die Übermittlung als tatbestandliche Datenverarbeitung vom Vorliegen einer tauglichen Rechtsgrundlage abhängig zu machen. Dies wiederum verpflichtet ihn, die Authentizität und Begründetheit der Anfrage zu prüfen. Denn er muss einschätzen, ob das behördliche Verfolgungsinteresse die Betroffeneninteressen überwiegt.

Oft ist eine rechtssichere Prüfung der Übermittlungsvoraussetzungen für Online-Händlern/Seitenbetreibern als Laien aber kaum selbst durchführbar. Daher ist im Zweifel zu raten, sich für die Beurteilung anwaltliche Hilfe zu suchen.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: nitpicker / shutterstock.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

A
Agata 01.03.2023, 08:40 Uhr
24 BDSG; TKG?
24 BDSG ist ein Erlaubnistatbestand für die Datenverarbeitung durch die Behörden selbst und nicht für die Datenübermittlung an die Behörden durch Private!

Wie ist das Verhältnis zu den TKG-Vorschriften (angenommen es handelt sich um ein Telekommunikationsunternehmen)? Herausgabe von Bestands-/Verkehrsdaten nur unter TKG-Voraussetzungen und der Rest 161 ff. StPO?
t
toschd 28.03.2022
Vorsicht bei nichtbeantwortung von berechtigter Anfrage
Guten Tag,



benötigt die Polizei / Staatsanwaltschaft ein Datensatz z.B. zu einem Tatverdächtigen bzgl. eines Onlinebetruges (ich denke das wird der häufigtste Grund einer Anfrage sein), dann wird das Unternehmen zum Zeugen im Strafverfahren. Hier gelten die Belehrungspflichten für einen Zeugen. Konkret wird in der Anfrage lediglich genannt werden, dass ein Strafverfahren anhängig ist und die personenbezogenen Daten für die laufenden Ermittlungen notwendig sind. Eine konkretisierung des Sachverhaltes wird hier nicht erfolgen, da dies einer Form der Akteneinsicht gleichkommen würde, was z.B. von seiten der Polizei unzulässig wäre. Ich kann an dieser Stelle nur appellieren, unverzüglich Auskunft zu erteilen. Der Staatsanwaltschaft gehen zwischenzeitlich die ganzen DSGVO-Hobbyjuristen der verschiedenen Firmen dermaßen gegen den Strich das oftmals binnen weniger Tage folgende Eskalationsstufen, bei sturer Nichtbeantwortung folgen. - staatsanwaltschaftliche Vorladung, - Zwangsgeld, Einleitung Strafverfahren bzgl. Strafvereitlung. Das wird in ausnahmslos allen Kommentaren diverser Rechtsanwälte dermaßen außer Acht gelassen, dass ich es schon fahrlässig finde solche Artikel online zu stellen. Täglich rasseln duzende Kinnladen auf den Schreibtisch, wenn man plötzlich eine staatsanwaltschaftliche Vorladung auf dem Tisch hat mit Androhung von Zwangsgeld, Beugehaft oder die Polizei im Unternehmen steht und jemanden Zwangsvorführt (im Klartext einen mit Gewalt zu einer Vernehmung bei der Staatsanwaltschaft bringt). Da hilft einem dann kein Anwalt auf dem ganzen Erdenrund mehr was. Vielleicht wäre die Benennung dieser möglichen Konsequenzen eine lesenswerte Ergänzung zu Ihrem Artikel.

Beiträge zum Thema

Ist die Aufzeichnung von Kundentelefonaten erlaubt?
(30.11.2024, 08:07 Uhr)
Ist die Aufzeichnung von Kundentelefonaten erlaubt?
Müssen unbestätigte Newsletter-Adressen gelöscht werden?
(19.11.2024, 15:12 Uhr)
Müssen unbestätigte Newsletter-Adressen gelöscht werden?
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
(14.11.2024, 14:07 Uhr)
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
(24.10.2024, 08:34 Uhr)
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei