Umgang mit „Polizeibehörden“ (Teil 1)
Der nachfolgende Beitrag ist ein Auszug aus einem der „Datenschutz-Tipps“-Newsletter, den ich hier auf Wunsch in Auszügen veröffentliche. Der ursprüngliche Text wurde im Newsletter vom 17.08.2023 veröffentlicht.
Auch während meiner „Sommerpause“ sind bei Mandantinnen und Kundinnen, bei denen ich als DSB benannt bin, erneut Fragen aufgetaucht, wie mit Auskunftsersuchen von „Polizeibehörden“ im Hinblick auf datenschutzrechtliche Vorgaben umzugehen ist.
Bei einem Unternehmen kam auch der Wunsch auf, den Beschäftigten eine Handlungsanweisung an die Hand zu geben, damit diese in der Praxis wissen, wie sie sich verhalten sollen. Und das ist leider gar nicht so einfach. Denn die Klärung der Frage, wann überhaupt etwas angegeben werden muss, also wann es eine Auskunftspflicht gibt, ist häufig schon für erfahrene Juristinnen und Juristen nicht einfach zu beantworten.
Sofern die von der Ermittlungsbehörde begehrten Daten z.B. nicht dem TTDSG unterliegen, werden Staatsanwaltschaft und Polizeibehörden in der Regel auf die allgemeinen Ermittlungsbefugnisse aus den §§ 161, 163 StPO zurückgreifen. Nur greifen diese Normen häufig gar nicht gegenüber Privaten bzw. nur in bestimmten Konstellationen.
Vielleicht möchte ich aber als Unternehmen lieber doch Angaben machen, weil ich z.B. verhindern möchte, dass die Staatsanwaltschaft im nächsten Schritt die Sicherstellung bzw. Beschlagnahme von IT-Systemen nach den §§ 94 ff. StPO anordnet. Dann hätte man nämlich wirklich ein Problem.
Wie gut, dass es dann zumindest den § 24 BDSG gibt. Denn nach § 24 Abs. 1 Nr. 1 BDSG dürfen Unternehmen personenbezogenen Daten verarbeiten (und damit auch gegenüber berechtigten Behörden) offenlegen, wenn dies im Rahmen der „Gefahrenabwehr“ oder zur Verfolgung von Straftaten erforderlich ist. Dabei sind dann jedoch noch die berechtigten Interessen der betroffenen Person an dem Ausschluss der Verarbeitung zu berücksichtigen. Schon einmal vorab: Zumindest wenn der Verdacht der Begehung einer Straftat durch den Betroffenen besteht, wird ein entgegenstehendes Interesse an der Verarbeitung hier regelmäßig nicht einer Offenlegung der Daten entgegenstehen.
Wir werden in diesem Newsletter in den kommenden Wochen und Monaten immer wieder mal konkrete Beispiele aus der Praxis besprechen. Und ich werde jeweils Umsetzungsempfehlungen für die Praxis machen.
In diesem ersten Teil beginnen wir einmal mit der Standard-Vorgehensweise bei telefonischen Anfragen durch Polizeibeamtinnen und -beamte.
Häufig werden Auskunftsbegehren der Polizeibehörden heute per E-Mail (oder schriftlich) versendet. Es kommt aber – gerade in Fällen der Gefahrenabwehr – vor, dass Anfragen telefonisch erfolgen.
Für Unternehmen oder andere private Organisationen (Vereine etc.) ist es in diesem Fall wichtig, nachzuprüfen, ob die Person, die die sich als Polizeibeamtin oder Polizeibeamter ausgibt, auch wirklich diese Person ist.
Nachdem man sich also erst einmal angehört hat, worum es bei dem Auskunftsbegehren geht, sind folgende Schritte zu empfehlen:
- Weise die anrufende Person darauf hin, dass ihr als Organisation vor einer Weitergabe von Daten prüfen müsst, ob der Anruf wirklich von der Polizei stammt. Hintergrund: Der „Empfänger“ der Daten i.S.d. Art. 4 Nr. 9 DSGVO muss feststehen.
- Dazu bittet ihr die anrufende Person um ihren Namen, die Vorgangsnummer oder das Aktenzeichen des Verfahrens, das Kommissariat/Sachgebiet/Referat, in dem die Person tätig ist und die Dienststelle.
- Dann sucht ihr euch aus dem „Telefonbuch“ die allgemeine Nummer der jeweiligen Polizeidienststelle und lasst euch dann unter Angabe der erfragten Daten mit der Person, die angerufen hat, verbinden.
Ob und welche Daten ihr dann gegenüber der Polizei weitergeben dürft oder müsst, behandeln wir dann in einer der nächsten „Folgen“.