Hamburger Polizei verlangt Corona-Kontaktdaten heraus - Ist das zulässig?

einleitungsbild datenschutzNach einem Bericht der taz hat die Hamburger Polizei am 6. Juli 2020 nach einer Messerstecherei von einem Gastwirt die Herausgabe der Listen verlangt, mit denen dieser Kontaktdaten von Gästen erfasst hatte. Den Beamten ging es darum, die Daten von potentiellen Zeugen zu erfassen. Das Problem: Die Kontakdatenerfassung dient nach der Hamburger Corona-Schutzverordnung eigentlich ausschließlich dem Zweck der behördlichen Nachverfolgbarkeit von Infektionsketten. Die Verwendung der Kontaktdaten zu anderen als den in der Verordnung genannten Zwecken ist nach § 7 Abs. 1 der Verordnung aus gutem Grund ausdrücklich verboten. In anderen Bundesländern verhält es sich nicht anders. Durften die Daten also herausverlangt werden?

 

 

Der Beauftragte für Datenschutz und Informationsfreiheit in Hamburg, Johannes Caspar, hält die Maßnahme der Polizei dem Bericht der taz zufolge zwar für bedenklich, im Endeffekt aber für zulässig. Die Staatsanwaltschaft beruft sich auf die Strafprozessordnung, die eine Herausgabe der Daten erlaube.Wir sehen das anders.

Eine Herausgabe der Daten durch den Gastwirt – also eine »Weiterverarbeitung« ­– st nur zulässig, wenn die Voraussetzungen des § 24 Abs. 1 Nr. 1 BDSG erfüllt sind. Verhält es sich anders und ist auch keine sonstige Rechtsgrundlage einschlägig, ist die Übermittlung an Strafverfolgungsbehörden unzulässig. Ein solcher Verstoß gegen die Grundsätze der Datenschutz-Grundverordnung kann nach Art. 83 Abs. 5 lit. a DSGVO ein Bußgeld nach sich ziehen. Gastronomen sollten sich also vor der Übermittlung von Daten an Strafverfolgungsbehörden ausreichend absichern.

§ 24 BDSG regelt nur die Zulässigkeit der Übermittlung, keine Pflicht zur Herausgabe von Daten. Eine solche Verpflichtung kann sich bei Auskunftsersuchen durch die Staatsanwaltschaft oder durch die Polizei im Auftrag der Staatsanwaltschaft ergeben (§§ 161 a Abs. 1, 163 Abs. 3 StPO).

Hiernach ist der Gastwirt als möglicher Zeuge zwar zur Aussage verpflichtet, wenn auch eigentlich nur gegenüber der Staatsanwaltschaft. Eine solche Verpflichtung beschränkt sich unseres Erachtens aber auf Auskünfte zur eigenen Wahrnehmung. Eine Ermächtigungsgrundlage für das Herausverlangen von Gästelisten, die nach den einschlägigen Landesvorschriften ausschließlich der Rückverfolgbarkeit bei Corona-Erkrankungen dienen, stellen die Vorschriften nicht dar.

Bestünde gleichwohl eine derartige Pflicht zur Übermittlung personenbezogener Daten an Strafverfolgungsbehörden, kann sich das Unternehmen als Verantwortlicher neben § 24 BDSG auch auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO berufen. Darüber hinaus kann nachgewiesen werden, dass sich das Unternehmen umfassend darum bemüht hat die personenbezogenen Daten nur unter Anwendung der Grundsätze der DSGVO zu übermitteln.

Ist eine Übermittlung nach der DSGVO erlaubt, hat müssen die betroffenen Gäste informiert nach Art. 13 Abs. 3 DSGVO informiert werden Von einer solchen Information kann nur abgesehen werden, wenn die Polizeibehörden eine dadurch entstehende Gefährdung der Ermittlungsmaßnahmen erläutern und ebenfalls eine Rechtsgrundlage nennen. Wir erkennen nicht, wie bei der bloßen Ermittlung unbeteiligter Zeugen durch eine Information das Ermittlungsinteresse beeinträchtigt werden sollte.

Gastwirte sind deshalb in allen Fällen, in den Kontaktdatenlisten von anderen Behörden als den Gesundheitsämtern angefordert werden sollen, dem Herausgabeverlangen von Ordnungsämtern und Polizeibeamten nicht nachzukommen. Wenn die Gästelisten dann gegen den erklärten Willen des Gastwirts beschlagnahmt werden, liegt der Ball datenschutzrechtlich im Feld der Ermittlungsbehörden.


Drucken   E-Mail