Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Achtung, Polizei: Darf man Daten aus dem Online-Shop an Ermittlungsbehörden weitergeben?

28.03.2022, 16:51 Uhr | Lesezeit: 9 min
Achtung, Polizei: Darf man Daten aus dem Online-Shop an Ermittlungsbehörden weitergeben?

Im Rahmen von polizeilichen und staatsanwaltlichen Ermittlungsmaßnahmen kann es vorkommen, dass Online-Händler ins Visier der Behörden geraten, weil sie möglicherweise im Besitz aufschlussreicher Datenbestände über einen oder mehrere Tatverdächtige sind. Allein die Tatsache, dass Auskunftsgesuche von Organen der Strafverfolgung ausgehen, macht die Weitergabe personenbezogener Daten aber noch nicht zulässig. Vielmehr haben Online-Händler als Verantwortliche auch hier die Grundsätze der DSGVO zu beachten und müssen eingehende Übermittlungsanfragen rechtlich korrekt bewerten, um sich nicht dem Vorwurf sensibler Datenschutzverstöße auszusetzen. Der nachstehende Beitrag zeigt auf, ob und unter welchen Voraussetzungen die Weitergabe von Daten aus dem Online-Shop an Ermittlungsbehörden zulässig ist.

I. Anwendbarkeit der DSGVO auf Datenauskünfte gegenüber Ermittlungsbehörden

Für Konstellationen der Datenweitergabe von Online-Händlern oder sonstigen Seitenbetreibern an Behörden müsste zunächst die DSGVO anwendbar sein.

Gemäß Art. 2 Abs. 2 lit. d DSGVO ist der sachliche Anwendungsbereich des Rechtsakt zwar nicht eröffnet, wenn Datenverarbeitungen von zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung ausgehen.

Wird allerdings die Datenübermittlung von Unternehmen beantragt, greift dieser Ausschlussgrund nicht, weil die Übermittlung nicht in der Sphäre der Behörde, sondern in derjenigen des Online-Händlers bzw. Seitenbetreibers als privatem Verantwortlichen erfolgen muss.

Datenweitergaben an Behörden sind demnach als Datenverarbeitungen (Art. 4 Nr. 2 DSGVO) nicht der Behörde, sondern dem übermittelnden Verantwortlichen (also dem Online-Händler/Seitenbetreiber) zuzurechnen. Erst die auf eine erfolgreiche Datenübermittlung folgende Weiterverarbeitung innerhalb der Strafverfolgungsbehörde entzieht sich dann dem Anwendungsbereich der DSGVO und muss sich nach den Polizeigesetzen des Bundes und der Länder richten.

Damit findet die DSGVO auf derartige Übermittlungstätigkeiten von Online-Händlern/Seitenbetreibern unmittelbare Anwendungen und unterwirft sie dem strikten Rechtfertigungsregime des europäischen Datenschutzrechts.

Weitere Voraussetzung ist freilich, dass es sich bei den zu übermittelnden Daten auch um solche mit Personenbezug handelt (Art. 4 Nr. 1 DSGVO). Dies können im Online-Shop vor allem die Folgenden sein:

  • Vor- und Zunamen
  • Zahlungsdaten
  • Mailadressen
  • Anschriften
  • Telefonnummer
  • IP-Adressen

Auch die Übermittlung von

  • Steuer- und Versicherungsnummern
  • Lichtbilder
  • Videoaufnahmen

unterfiele den DSGVO-Vorschriften.

Banner Starter Paket

II. Rechtsgrundlagen für die Datenweitergabe aus dem Shop an Ermittlungsbehörden

Weil Datenweitergaben an Polizei und Staatsanwalt unmittelbar der DSGVO unterworfen werden, sind sie nur dann rechtmäßig, wenn sich der Online-Händler/Seitenbetreiber hierfür gemäß Art. 5 Abs. 1 lit. a und Art. 6 DSGVO auf eine oder mehrere Rechtfertigungstatbestände berufen kann.

Festzustellen ist zwar, dass die DSGVO keine eigenständige Rechtsgrundlage für Datenübermittlungen an Strafverfolgungsbehörden kennt.

In Betracht kommen aber vor allem 2 allgemeine Rechtfertigungstatbestände.

1.) Rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO

Zum einen können Datenweitergaben an Polizei und Staatsanwaltschaft über Art. 6 Abs 1 lit. c DSGVO gerechtfertigt werden, der Datenverarbeitungen zur Erfüllung einer rechtlichen Verpflichtung erlaubt.
Eine rechtliche Verpflichtung zur Datenweitergabe kann im Einzelfall einschlägig sein, wenn die Ermittlungsbehörde im Rahmen ihrer strafprozessualen Befugnisse tätig wird.

Für polizeiliche Ermittlungen ergeben sich Befugnisse zur Sachverhaltsaufklärung und Auskunftsrechte aus § 163 Abs. 1 der Strafprozessordnung (StPO) - ggf. bei Anordnung durch die Staatsanwaltschaft in Verbindung mit § 161 Abs. 1 Satz 2 StPO.
Bei Ermittlungen durch die Staatsanwaltschaft verleihen die §§ 161, 161a StPO dieser Behörde umfangreiche Aufdeckungs- und Auskunftsrechte.

Allerdings kann eine rechtliche Verpflichtung des Online-Händlers/Seitenbetreibers nicht allein aus einer behördlichen Ermittlungsbefugnis hergeleitet werden. Dies deshalb, weil die Strafprozessordnung diverse Eingriffsmaßnahmen (etwa in den §§ 100 ff. StPO) weitergehenden Erfordernissen, etwa einem Richtervorbehalt, unterstellt.

So muss stets im Einzelfall geprüft werden, ob das jeweilige Auskunftsgesuch sich auch im Rahmen der rechtlichen Ermittlungsbefugnisse bewegt. Dies ist grundsätzlich immer dann der Fall, wenn das Auskunftsgesuch durch einen richterlichen Beschluss abgesegnet wurde.

Bei weniger eingriffsintensiven Datenabfragen genügt auch die Überprüfung des Vorhandenseins eines staatsanwaltlichen Ermittlungs- bzw. Aktenzeichens.

Hinweis zur Übermittlung sensibler Daten, Art. 9 DSGVO:

Bestimmte Daten, etwa solche biometrischer Natur, genießen unter der DSGVO einen besonderen Schutz und dürfen nur unter strengen Voraussetzungen verarbeitet werden. Sollen solche Daten durch einen Verantwortlichen an eine Ermittlungsbehörde weitergebeben werden, kommt als Rechtsgrundlage Art. 9 Abs. 1 lit. g DSGVO in Betracht. Dieser erklärt Datenverarbeitungen aufgrund von verhältnismäßigen und rechtsstaatlich ausgeprägten Rechtsvorschriften eines Mitgliedsstaats für zulässig und kann in Verbindung mit Vorschriften der StPO einschlägig sein.

2.) Berechtigtes Übermittlungsinteresse, Art. 6 Abs. 1 lit. f DSGVO

Als zweiter Rechtfertigungstatbestand für Datenweitergaben an Ermittlungsbehörden kommen außerdem berechtigte Verantwortlicheninteressen gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht.

So erkennt Erwägungsgrund 50 Satz 8 der DSGVO die Übermittlung personenbezogener Daten zu Strafverfolgungszwecken als berechtigtes Interesse an:

Der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine zuständige Behörde sollten als berechtigtes Interesse des Verantwortlichen gelten.

Auch bei Zugrundelegen dieser Rechtsgrundlage heilt der Zweck allerdings nicht automatisch die Mittel. Damit die Datenweitergabe rechtskonform ist, muss der Online-Händler/Seitenbetreiber sicherstellen, dass seine Interessen an der Übermittlung und sein Beitrag an der Wahrung der öffentlichen Sicherheit die Interessen des (verdächtigen Betroffenen) an seiner informationellen Selbstbestimmung im Einzelfall überwiegen.

III. Der Zweckbindungsgrundsatz und seine Aufhebung bei begründeten Auskunftsgesuchen von Ermittlungsbehörden

Jenseits des zwingenden Bedarfs einer einschlägigen Rechtsgrundlage sind jegliche Datenverarbeitungen nach der DSGVO grundsätzlich dem Zweckbindungsgrundsatz der Art. 5 Abs. 1 lit. b DSGVO unterworfen.

Dies bedeutet, dass Daten grundsätzlich nicht zu einem anderen Zweck (weiter)verarbeitet werden dürfen als zu demjenigen, unter dem sie ursprünglich erhoben wurden.

Bei Datenübermittlungen an Strafverfolgungsbehörden findet aber prinzipiell immer eine Zweckänderung statt, weil bei ursprünglicher Erhebung der Daten deren Weitergabe an behördliche Ermittler nicht vorgesehen war.

Für die Weitergabe von Daten auf der Grundlage von ermittlungsbehördlichen Auskunftsgesuchen besteht aber eine Ausnahme von diesem Zweckbindungsgrundsatz.

Gemäß Art. 6 Abs. 4 DSGVO gilt die Zweckbindung nicht, wenn die (Weiterverarbeitung) auf einen der Tatbestände des Art. 23 DSGVO gestützt werden kann. Art 23 Abs. 1 DSGVO erlaubt die Aufhebung der Zweckbindung unter anderem bei Eingreifen einer nationalen Rechtsvorschrift, welche den nachstehenden Zweck verfolgt:

d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit

Eine solche nationale Rechtsgrundlage hat der deutsche Gesetzgeber im neuen Bundesdatenschutzgesetz mit § 24 BDSG geschaffen.

Nach § 24 Abs. 1 Nr. 1 BDSG ist die Übermittlung personenbezogener Daten an Ermittlungsbehörden zulässig, wenn

  • sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist und
  • und sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

IV. Wann dürfen nun personenbezogene Daten an Ermittlungsbehörden weitergegeben werden?

Aus den obigen Ausführungen lässt sich für die Zulässigkeit von Datenübermittlungen an Staatsanwaltschaft und Polizei folgender Grundsatz aufstellen:

Die Übermittlung ist zulässig, wenn sie

  • zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist und daher auf die Rechtsgrundlage des Art. 6 Abs. 1 lit c oder Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann und
  • im Einzelfall sichergestellt ist, dass die Interessen an der Wahrung bzw. Aufrechterhaltung der öffentlichen Sicherheit die Interessen des Betroffenen an der informationellen Selbstbestimmung überwiegen

Erfüllt eine Datenweitergabe nicht oder nur unzureichend den Tatbestand des § 24 Abs. 1 Nr. 1 BDSG, ist sie allein deswegen unzulässig.

Wichtig zu beachten ist, dass § 24 BDSG zwar das Recht der Übermittlung, aber keine Verpflichtung zur Übermittlung normiert.

V. Unterrichtung des Betroffenen erforderlich?

Wird eine Datenweitergabe an Ermittlungsbehörden in rechtskonformer Weise auf die gesetzliche Erlaubnis gestützt, ist fraglich, ob der Online-Händler/Seitenbetreiber den (verdächtigen) Betroffenen hiervon in Kenntnis setzen muss. Immerhin verarbeitet er unter einem anderen Zweck erhobene Betroffenendaten nunmehr durch die Weitergabe zweckentfremdet weiter.

Dass eine gesetzliche nachträgliche Unterrichtungspflicht besteht, legt Art. 13 Abs. 3 der DSGVO nahe:

Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

Die Pflicht zur nachträglichen Unterrichtung entfällt allerdings, wenn die Ermittlungsbehörde unter der Angabe einer entsprechenden Rechtsgrundlage die Information untersagt, etwa weil hierdurch eine Gefährdung der Ermittlungsmaßnahmen droht.

VI. Ermittlungsbehörde fragt an: was tun?

Wird ein Online-Händler/Seitenbetreiber von einer Ermittlungsbehörde zur Preisgabe von personenbezogenen Daten eines Betroffenen aufgefordert, stellt dies – wie gezeigt – keinen Freibrief für die Zulässigkeit von Übermittlungen dar. Vielmehr muss der Online-Händler/Seitenbetreiber, um sich nicht datenschutzrechtlichen Sanktionen ausgesetzt zu sehen, im Einzelfall prüfen, ob er zur Weitergabe befugt ist.

Hierfür muss er insbesondere die Betroffeneninteressen mit seinen eigenen Interessen an der Anordnungsbefolgung und der Wahrung der öffentlichen Sicherheit abwägen.

Um eine informierte und nachweisbare Entscheidung zu treffen, sollten folgende Punkte geprüft werden:

  • die Authentizität des Auskunftsgesuchs und die Existenz der anfragenden Behörde
  • die Angabe eines Ermittlungsvorgangs oder eines Aktenzeichens
  • das Vorhandensein einer Begründung und /oder einer Sachverhaltsdarstellung
  • die Nennung einer Rechtsgrundlage und deren Voraussetzungen
  • die Legitimation der Behörde zum Handeln unter der Rechtsgrundlage

Bei mündlichen Anfragen ist zu Dokumentationszwecken vor der Bearbeitung stets auf eine schriftliche Ausführung zu beharren. Die Anfrage und deren Bearbeitung ist zu dokumentieren und in das Verarbeitungsverzeichnis nach Art. 30 DSGVO aufzunehmen.

Auch ist (bei festgestellter Rechtmäßigkeit der Übermittlung) sicherzustellen, dass nur die angefragten Daten und keine weiteren weitergegeben werden, um den Grundsatz der Datenminimierung zu wahren.

Schließlich sollte die Übermittlung entweder elektronisch verschlüsselt oder schriftlich gesichert (Einschreiben, Kurier) erfolgen.

VII. Fazit

Ersucht eine Ermittlungsbehörde bei einem Online-Händler/Seitenbetreiber die Auskunft über personenbezogene Daten eines Betroffenen, darf dem Gesuch nicht ohne Weiteres blind Folge geleistet werden.

Vielmehr ist der Online-Händler/Seitenbetreiber gehalten, die Übermittlung als tatbestandliche Datenverarbeitung vom Eingreifen einer tauglichen Rechtsgrundlage abhängig zu machen. Dies wiederum erlegt ihm aber eine Prüfpflicht ob der Authentizität und Begründetheit der Anfrage auf, weil er einschätzen muss, ob das behördliche Verfolgungsinteresse die Betroffeneninteressen überwiegt.

Weil eine rechtlich unangreifbare Prüfung der Übermittlungsvoraussetzungen Online-Händlern/Seitenbetreibern als Laien aber regelmäßig kaum möglich sein wird, ist im Zweifel zu raten, sich für die Beurteilung anwaltliche Hilfe zu suchen. So lässt sich nämlich einer späteren Sanktionierung datenschutzwidrigen Verhaltens weitgehend vorbeugen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

A
Agata 01.03.2023, 08:40 Uhr
24 BDSG; TKG?
24 BDSG ist ein Erlaubnistatbestand für die Datenverarbeitung durch die Behörden selbst und nicht für die Datenübermittlung an die Behörden durch Private!

Wie ist das Verhältnis zu den TKG-Vorschriften (angenommen es handelt sich um ein Telekommunikationsunternehmen)? Herausgabe von Bestands-/Verkehrsdaten nur unter TKG-Voraussetzungen und der Rest 161 ff. StPO?
t
toschd 07.01.2021, 23:41 Uhr
Vorsicht bei nichtbeantwortung von berechtigter Anfrage
Guten Tag,



benötigt die Polizei / Staatsanwaltschaft ein Datensatz z.B. zu einem Tatverdächtigen bzgl. eines Onlinebetruges (ich denke das wird der häufigtste Grund einer Anfrage sein), dann wird das Unternehmen zum Zeugen im Strafverfahren. Hier gelten die Belehrungspflichten für einen Zeugen. Konkret wird in der Anfrage lediglich genannt werden, dass ein Strafverfahren anhängig ist und die personenbezogenen Daten für die laufenden Ermittlungen notwendig sind. Eine konkretisierung des Sachverhaltes wird hier nicht erfolgen, da dies einer Form der Akteneinsicht gleichkommen würde, was z.B. von seiten der Polizei unzulässig wäre. Ich kann an dieser Stelle nur appellieren, unverzüglich Auskunft zu erteilen. Der Staatsanwaltschaft gehen zwischenzeitlich die ganzen DSGVO-Hobbyjuristen der verschiedenen Firmen dermaßen gegen den Strich das oftmals binnen weniger Tage folgende Eskalationsstufen, bei sturer Nichtbeantwortung folgen. - staatsanwaltschaftliche Vorladung, - Zwangsgeld, Einleitung Strafverfahren bzgl. Strafvereitlung. Das wird in ausnahmslos allen Kommentaren diverser Rechtsanwälte dermaßen außer Acht gelassen, dass ich es schon fahrlässig finde solche Artikel online zu stellen. Täglich rasseln duzende Kinnladen auf den Schreibtisch, wenn man plötzlich eine staatsanwaltschaftliche Vorladung auf dem Tisch hat mit Androhung von Zwangsgeld, Beugehaft oder die Polizei im Unternehmen steht und jemanden Zwangsvorführt (im Klartext einen mit Gewalt zu einer Vernehmung bei der Staatsanwaltschaft bringt). Da hilft einem dann kein Anwalt auf dem ganzen Erdenrund mehr was. Vielleicht wäre die Benennung dieser möglichen Konsequenzen eine lesenswerte Ergänzung zu Ihrem Artikel.

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei