Die Herausgabe von personenbezogenen Daten an Staatsanwaltschaften, Polizei und Finanzbehörden durch Unternehmen im Wirtschafts- und Steuerstrafrecht

Der Datenschutz ist für Unternehmen eine fortwährende Aufgabe, die seit dem Inkrafttreten der DSGVO am 25.5.2018 an Bedeutung gewonnen hat. Aus der neuen Verordnung ergeben sich datenschutzrechtliche Pflichten, welche auch im Zusammenhang mit dem Wirtschafts- und Steuerstrafrecht einzuhalten sind und somit bekannt sein sollten. 

Eine zentrale Schnittstelle zwischen dem Datenschutz mit dem Strafrecht beziehungsweise der Strafverfolgung ergibt sich in der Zulässigkeit der Abfrage und Weitergabe von Daten an Strafverfolgungsbehörden. 

Annähernd jeglicher Umgang mit personenbezogenen Informationen ist laut Art. 4 Nr. 2 DSGVO eine Datenverarbeitung, die die Voraussetzungen des Art. 6 DSGVO erfüllen muss. Das von (Ermittlungs-) Behörden häufig verlangte Abfragen und Weitergeben von unternehmensinternen Daten stellt eine solche Datenverarbeitung dar. Aus diesem Grund darf nicht außer Acht gelassen werden, dass auch bei einem Auskunftsersuch einer staatlichen Einrichtung die Vorgaben der DSGVO einzuhalten sind.  

Es liegt zumeist im Interesse des Unternehmens, dem Ersuchen einer Behörde nachzukommen und zu kooperieren. Dies kollidiert jedoch mit dem Anspruch, seine Kunden zu schützen und korrekt mit persönlichen Daten umzugehen. Eine ungerechtfertigte Herausgabe von Daten würde gem. Art. 83 Abs. 5 lit. A DSGVO eine Ordnungswidrigkeit darstellen. Die Abwägung zwischen der Mitwirkungspflicht und einem möglichen Verstoß gegen datenschutzrechtliche Vorschriften werden an gewisse Anforderungen geknüpft. Hier sollten die zuständigen Datenschutzbeauftragten Problembewusstsein zeigen. Die Überprüfung der Rechtmäßigkeit der geforderten Datenverarbeitung ist dabei zu dokumentieren und folgende Punkte sind von Unternehmensseite aus zu überprüfen, bevor man dem Verlangen der Behörde nachkommt.  

Formelle Anforderungen an ein behördliches Auskunftsersuchen  

Das Ersuchen muss auf offensichtliche formelle Fehler untersucht werden.  

Ist das Gesuch 

  • schriftlich vorliegend? 
  • an einen konkreten Adressaten gerichtet? 
  • datiert?
  • einem Vorgang oder Aktenzeichen zugeordnet? 
  • von einer berechtigten Person unterzeichnet? 
  • auf eine genannte Rechtsgrundlage gestützt? 
  • mit einem Zweck versehen, welcher durch den zugrunde liegenden Sachverhalt erläutert wird? 
  • auf konkrete Daten bzw. Informationen ausgerichtet, sodass keine Unsicherheit besteht, was herausgegeben werden soll? 

Materiell-rechtliche Prüfung eines behördlichen Auskunftsersuchens 

Eine Datenverarbeitung im Zusammenhang mit Anfragen von Behörden ist nur dann zulässig, wenn sie gem. Art. 6 Abs. 1 S. 1 lit. c DSGVO auf einer rechtlichen Verpflichtung beruht, welche sich gem. Art. 6 Abs. 3 DSGVO aus nationalem oder Unionsrecht ergeben muss. Unternehmen müssen bei der Prüfung, ob eine Datenweitergabe zulässig ist, untersuchen, ob eine solche rechtliche Pflicht besteht. Die Prüfungsdichte ist hier lediglich auf eine Plausibilitätsprüfung beschränkt. Eine Auskunft oder Herausgabe muss verwehrt werden, wenn das Gesuch der Behörde nach dieser Prüfung offensichtlich einer Rechtsgrundlage, welche Unternehmen zur Herausgabe verpflichtet, entbehrt. 

Voraussetzungen für das Gewähren eines Auskunftsersuchens 

Um dem Plausibilitätsmaßstab zu genügen und Daten zulässigerweise weiterzugeben, sollte bekannt sein, wann für eine Herausgabe der Daten offensichtlich keine rechtliche Verpflichtung besteht, sie also ungerechtfertigt wäre. 

Die Staatsanwaltschaft darf gem. § 94 StPO Daten beschlagnahmen und sicherstellen, sollten sie nicht freiwillig herausgegeben werden. Wenn sie jedoch nach § 95 StPO das Unternehmen zur Herausgabe auffordert, kann dies verwehrt werden, wenn ein Zeugnisverweigerungsrecht besteht. Zudem sind nur diejenigen zur Datenweitergabe berechtigt, in deren Gewahrsam sich die Daten befinden. Sind diese zum Beispiel bei einem externen Dienstleister hinterlegt, ist nur dieser zur Herausgabe berechtigt. Wenn Unklarheit bezüglich einer rechtlichen Mitwirkungspflicht besteht, können die Daten in der Regel weitergegeben werden, da zumindest keine offensichtliche Unzulässigkeit vorliegt. Dazu kommt, dass ein Unternehmen dadurch einer drohenden Dursuchung entgegenwirken kann.  

Bei Gesuchen der Finanzbehörde ist in Bezug auf Sammelauskunftsersuche Vorsicht zu wahren. Ein solcher muss anlässlich eines hinreichenden Interesses zur Sachverhaltsaufklärung geeignet, im Einzelfall notwendig und verhältnismäßig sein. Fehlt es an einem der Kriterien, ist das Ersuchen zum Beispiel offensichtlich ausufernd und nicht geeignet, den konkreten Sachverhalt zu ermitteln, wäre eine Datenherausgabe mangels rechtlicher Verpflichtung unzulässig.  

Die Polizei muss ihre Anfrage mit Vorschriften der StPO begründen, auf eine allgemeine Ermittlungsbefugnis hin dürfen keine Daten weitergegeben werden. 

Wenn keine rechtliche Verpflichtung zur Weitergabe der Daten erkennbar ist, so müssen Unternehmen auf andere Erlaubnistatbestände zurückgreifen, die die Datenherausgabe rechtfertigen. Sich dabei auf eine Einwilligung der betroffenen Person gem. Art. 4 Nr. 11 DSGVO zu stützen, ist wenig ratsam. Die Ansprüche an eine wirksame Einwilligung sind hoch, so muss sie freiwillig, unmissverständlich und in informierter Weise abgegeben werden. Aufgrund der hohen Anforderungen entstehen für das Unternehmen Unsicherheiten, welche gegen diesen Weg sprechen. Stattdessen kann ein Unternehmen aufgrund des berechtigten Interesses, eine Straftat oder eine Bedrohung der öffentlichen Sicherheit anzuzeigen, dazu berechtigt sein, personenbezogene Daten weiterzugeben. Dazu müsste die Datenfreigabe das am besten geeignete Mittel sein und den Interessen der Person, von der die Daten stammen, überwiegen.  

Fazit

Festzuhalten ist, dass Unternehmen Daten nicht leichtfertig an Behörden weitergeben sollten. Die oben genannten Prüfungsschritte dienen zur Orientierung, damit nicht gegen datenschutzrechtliche Vorschriften verstoßen wird. Sollte man dabei zu dem Schluss kommen, dass die erfragten Daten strafrechtlich relevant sind und entweder verpflichtend herausgegeben werden müssen oder zu einer proaktiven Anzeige berechtigen, so ist dem Datenschutz genügt und eine Herausgabe zulässig.