Herausgabe von Daten an Strafverfolgungsbehörden - Datenschutzverstoß bei freiwilliger Mitwirkung?
Ist eine freiwillige Herausgabe personenbezogener Daten zulässig?
Eine „freiwillige“ Herausgabe von Daten an Behörden – sei sie auch noch so gut gemeint – ist rechtlich riskant. Nach der DSGVO bedarf jede Verarbeitung personenbezogener Daten, zu denen auch die Weitergabe an staatliche Stellen gehört, einer gesetzlichen Grundlage.
Für eine Herausgabe der Daten kommt insbesondere Art. 6 Abs. 1 lit. c DSGVO in Betracht. Hiernach ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Entscheidend ist daher: Es muss eine gesetzliche Pflicht des Unternehmens zur Herausgabe bestehen. Eine bloße Erlaubnisnorm („man darf, muss aber nicht“), die Befugnis einer Behörde, Fragen zu stellen, oder eine freiwillige Mitwirkung des Unternehmens reichen nicht aus. Dabei ist es nicht selten, dass man als Unternehmen die Strafverfolgungsbehörde unterstützen möchte und bereit ist, die Daten herauszugeben.
Was ist das Doppeltürmodell?
Das sog. Doppeltürmodell besagt, dass eine Datenübermittlung an Strafverfolgungsbehörden nur dann rechtmäßig ist, wenn zwei voneinander unabhängige Voraussetzungen gleichzeitig erfüllt sind:
Die erste Tür betrifft die Behörde. Sie muss sich auf eine konkrete gesetzliche Befugnis berufen können, die sie zur Anforderung bestimmter Daten ermächtigt. Diese ergibt sich regelmäßig aus der Strafprozessordnung (StPO).
Die zweite Tür betrifft das Unternehmen selbst. Dieses darf personenbezogene Daten nur übermitteln, wenn es gesetzlich hierzu verpflichtet ist, beispielsweise aufgrund einer einschlägigen Vorschrift der Strafprozessordnung (StPO) oder einer spezialgesetzlichen Pflicht nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
Die Datenübermittlung ist nur dann zulässig, wenn sowohl die Behörde über eine wirksame Eingriffsbefugnis verfügt als auch das Unternehmen gesetzlich zur Herausgabe verpflichtet ist – also beide Türen geöffnet sind.
Welche Befugnisnormen der StPO sind für Behörden relevant?
Für besonders sensible Daten wie Telekommunikationsinhalte, Verkehrsdaten oder IP-Adressen greifen die spezialgesetzlichen Eingriffsnormen der §§ 100a ff. StPO. Hierzu zählen unter anderem die Bestandsdatenauskunft nach §100j StPO oder die Erhebung von Nutzungsdaten bei digitalen Diensten nach § 100k StPO. Strafverfolgungsbehörden können Daten auch nach den allgemeinen Vorschriften der § 94 StPO beschlagnahmen oder nach § 95 StPO Herausgabe verlangen, sofern keine spezielleren Normen eingreifen. Unternehmen müssen im Einzelfall kritisch prüfen, ob die jeweiligen Voraussetzungen der Befugnisnorm vorliegen und ob beispielsweise eine richterliche Anordnung erforderlich ist. Nur ein rechtmäßiges Auskunftsverlangen kann Grundlage für eine DSGVO-konformen Datenherausgabe sein.
Wonach sind Unternehmen zur Herausgabe der Daten verpflichtet?
Auch, wenn mitunter StPO-Normen tatsächliche Mitwirkungspflichten begründen können, richtet sich die gesetzliche Verpflichtung von Unternehmen meist nach telekommunikations- und telemedienrechtlichen Vorschriften.
Für Telemediendiensteanbieter wie E-Commerce-Anbieter und Betreiber von Onlineplattformen sind dies insbesondere die Regelungen des TDDDG. § 24 TDDDG spielt hierbei eine zentrale Rolle. Diese Norm verpflichtet Anbieter von Telemediendiensten zur Herausgabe bestimmter Nutzungsdaten, wenn die Strafverfolgungsbehörde über eine eigene Befugnis zur Erhebung dieser Daten verfügt und unter Angabe der gesetzlichen Bestimmung ein schriftliches oder elektronisches Auskunftsverlangen stellt. Bei Gefahr in Verzug ist auch eine andere Form möglich. So verweist § 24 TDDDG funktional auf die StPO, begründet aber eigenständig die rechtliche Verpflichtung zur Herausgabe der Nutzungsdaten für das Unternehmen. Im TDDDG finden sich weitere Normen, die Unternehmen zur Herausgabe verpflichten, etwa § 22 TDDDG für Bestandsdaten.
Für Anbieter, die Telekommunikationsdienste im Sinne des Telekommunikationsgesetzes (TKG) erbringen, kann sich unter anderem aus § 171 TKG (Mitwirkung bei technischen Ermittlungsmaßnahmen bei Mobilfunkendgeräten) eine entsprechende Verpflichtung ergeben.
Was passiert bei der Herausgabe von Daten ohne ausreichende Rechtsgrundlage?
Kann sich das um Auskunft ersuchte Unternehmen, also z. B. der Betreiber der Online-Plattformen, nicht auf eine Regelung berufen, nach der die Daten unter datenschutzrechtlichen Aspekten herausgegeben werden dürfen, wird ein Datenschutzverstoß vorliegen. Die Folge hiervon können u. a. ein Bußgeld und zivilrechtliche Ansprüche sein. Der Datenschutzverstoß kann dabei in Ansehung derjenigen Person entstehen, die einer Straftat verdächtigt wird. Betroffen können jedoch auch sonstigen Personen sein, deren Identität sich aus den herausgegeben Daten ergibt. Eine solche Situation kann etwa vorliegen, wenn Daten zum Inhaber eines Nutzeraccounts herausgegeben werden, zugleich aber auch die Daten von denjenigen, mit denen der Inhaber auf der Online-Plattform in Kontakt stand.
Fazit
Die rechtmäßige Herausgabe personenbezogener Daten an Strafverfolgungsbehörden setzt stets voraus, dass die Behörde über eine konkrete gesetzliche Befugnis verfügt und das Unternehmen auf eigener gesetzlicher Grundlage zur Herausgabe verpflichtet ist. Unternehmen sollten daher jedes Auskunftsersuchen von Behörden sorgfältig auf formelle und materielle Rechtmäßigkeit hin prüfen und niemals freiwillig Daten herausgeben. Dies stellt ansonsten regelmäßig einen DSGVO-Verstoß dar, welcher erhebliche rechtliche Konsequenzen zur Folge haben kann.