Datenschutz vs. Strafverfolgung: Firmen in der Klemme

Georg Krakow, Stefan Panic ©DLA Piper

Wien. Unternehmen, die den Strafverfolgungsbehörden pauschal Informationen herausgeben, können in Konflikt mit dem Datenschutz geraten – und umgekehrt. Anwaltskanzlei DLA Piper lud dazu zum „Infight des Jahres“.

Am 20. Juni lud die internationale Anwaltskanzlei DLA Piper zum „Infight“ des Jahres – Datenschutz versus Strafverfolgung – in das Technische Museum in Wien, gefolgt von einer Tour durch die Sonderausstellung Künstliche Intelligenz vor Ort.

Der Infight

Counsel Stefan Panic (IP and Technology, Data Protection, Privacy and Security) und Georg Krakow (Partner, Leiter Litigation & Regulatory im Wiener DLA Piper-Büro) lieferten sich einen praxisbezogenen Schlagabtausch, bei dem jede Menge Informationen flossen, heißt es dazu. Die zwei Rechtsprofis nahmen auf der Bühne des Technischen Museums Platz, um dem anwesenden Publikum ihre Erfahrungen näherzubringen.

Stefan Panic verfügt über umfangreiche Erfahrung in Datenschutzverfahren vor der österreichischen Datenschutzbehörde und berate Mandanten bei Fragen zur Umsetzung nach DSGVO. Strafrechtsexperte Georg Krakow, früher u.a. Oberstaatsanwalt, unterstützt bei der Aufklärung und Bewertung strafrechtlich relevanter Sachverhalte durch interne Untersuchungen und betreue Mandanten gesamtheitlich bei allen notwendigen Schritten.

Was tun, wenn die Strafverfolgungsbehörde klopft?

„Stellen Sie sich vor, die Polizei steht vor Ihrer Tür und möchte eine Hausdurchsuchung durchführen“, beginnt Krakow seinen Vortrag. Heutzutage geht es bei Hausdurchsuchungen speziell in Unternehmen meist um Daten und Devices, also um den Inhalt von Serverlaufwerken und um Notebooks und Handys von Mitarbeitern.

Laut Krakow sollten Betroffene sowohl die Bewilligung als auch den Inhalt der Anordnung gut prüfen. Die Strafverfolgungsbehörde muss darin den Zweck der Durchsuchung klar definieren und darf nicht wahllos bei der Beschlagnahmung von Daten vorgehen. Es ist z.B. rechtswidrig, sämtliche Computer und Firmenhandys des gesamten Unternehmens sicherzustellen, wenn der Tatvorwurf nur einzelne Mitarbeiter oder Ressorts umfasst.

„Datenminimierung und Zweckbindung“

„Die Grundsätze der Datenminimierung und Zweckbindung gelten für auch Behörden, sodass darauf zu achten ist, dass nur so viel an Daten erhoben und herausgegeben wird, wie für das Verfahren notwendig ist, und nicht mehr“, erklärt Panic. Diese Grundsätze gelten auch im Strafverfahren, erläutert Krakow, der dazu den Grundsatz der Verhältnismäßigkeit heranzieht. So ist z.B. zu beachten, dass Mitarbeiterdaten Eingang in den Ermittlungsakt finden und dann sämtliche Parteien Einsicht haben.

Heutzutage gelange auch vieles an die Öffentlichkeit – das ist bei persönlichen Daten von eigentlich gar nicht beteiligten Personen besonders heikel. „Die meisten Anordnungen sind korrekt formuliert, jedoch wird das Thema Datenschutz oft nicht ausreichend mitgedacht und sie berücksichtigen diese Frage daher manchmal nicht ausreichend“, warnt Krakow. Im Fall der Fälle empfehle es sich daher, einige Punkte besonders zu beachten.

Was Firmen bei Anordnungen beachten sollen

  • Es ist nur die Herausgabe jener Daten verpflichtend, die von der Anordnung umfasst sind. Die Herausgabe von Daten ohne Anordnung ist freiwillig und kann DSGVO-widrig sein. Die Pflicht von Unternehmen ist es auch, die Daten Betroffener zu schützen und bei deren Herausgabe penibel darauf zu achten, ob sie von der Anordnung erfasst sind, so die beiden DLA Piper-Rechtsprofis.
  • In der Praxis sind informelle Aufforderung der Sicherheitsbehörden nicht selten: Ein Mitarbeiter der Sicherheitsbehörden ersucht „zwischen Tür und Angel“ darum, Informationen schnell auf den mitgebrachten USB-Stick zu kopieren und mitzugeben. Dem muss nicht Folge geleistet werden, so Krakow und Panic. Es sei absolut verständlich, darauf mit „Natürlich – aber ich brauche dafür wegen dem Datenschutz eine formelle Anordung“ zu antworten. Ansonsten stehe möglicherweise bald Besuch von einer anderen Behörde – der Datenschutzbehörde – ins Haus.
  • Es ist wichtig, eine Anordnung genau zu lesen. Ist diese unverhältnismäßig, stimmt der Tatverdacht nicht oder ist die Beweislage untauglich, müsse die Sicherstellung zwar trotzdem geduldet werden, man könne jedoch im Nachhinein dagegen vorgehen.
  • Es empfehle sich, Bedenken, die z.B. während einer Hausdurchsuchung aufkommen, noch während des Vollzuges zu deponieren und der Polizei zu übergeben. Die Notiz muss somit in das Protokoll aufgenommen werden und macht ersichtlich, dass bereits bei der Hausdurchsuchung auf die Unverhältnismäßigkeit hingewiesen wurde.
  • Zur Klarstellung betonen die beiden DLA Piper-Rechtsprofis auch: Eine Datenvernichtung vor Erhalt einer Anordnung, mit der man jedoch bereits gerechnet hat, ist strafbar.

„Eine ausländische Anordnung ist keine Anordnung“

Kommt eine Anordnung direkt von einer ausländischen Behörde, müsse ihr nicht Folge geleistet werden. Die ausländische Behörde ist verpflichtet, ein Rechtshilfeersuchen an die österreichische Staatsanwaltschaft zu richten. Diese prüft und verfasst – sofern berechtigt – selbst eine Anordnung.

In der Praxis können sich auf diesem Gebiet allerdings zahlreiche Probleme stellen, ein Rechtsbeistand empfehle sich in vielen Fällen. Sollten die Daten eines österreichischen Unternehmens beispielsweise auf einem ausländischen Server liegen, stellen sich schwierige Abgrenzungsfragen. Grundsätzlich sind in Österreich Zugangscodes zu Datenspeichern den Sicherheitsbehörden herauszugeben.

 

    Weitere Meldungen:

  1. Krypto-Crash macht Kluft zwischen Fans und Gegnern tiefer
  2. EY Law, Dorda, EY und KPMG beraten bei Eversign-Verkauf
  3. Grüner Wealthcore-Fonds kauft in Österreich: Die Berater
  4. Freshfields und Hogan Lovells helfen bei Glasfaser-Ausbau