Das Problem mit rechtswidrigen Behördenanfragen
Unternehmen haben oftmals mit behördlichen Anfragen zu tun, insbesondere mit Herausgabeersuchen zur Verfolgung von Ordnungswidrigkeiten oder Straftaten. Viele Unternehmen setzen bei der Beantwortung solcher Ersuchen voraus, dass die Behörden eine rechtliche Befugnis für diese Herausgabeersuche haben. Diese Annahme ist allerdings leider nicht immer korrekt.
Über 15% aller Anfragen bei mailbox.org waren rechtswidrig
Das zeigt auch ein Blick in verschiedene Transparenzberichte. Bei dem E-Mail-Provider mailbox.org wurden im Jahr 2021 insgesamt 65 behördliche Auskunftsanfragen gestellt. Zehn dieser Anfragen waren laut Angaben des Providers fehlerhaft und somit rechtswidrig. Das bedeutet, dass mehr als jede siebte Anfrage, die bei mailbox.org gestellt wurde, rechtswidrig war.
Deutliche Verbesserung zu 2020
Und das ist noch nicht alles. mailbox.org berichtet diese Zahl sogar als positive Entwicklung. Denn im Jahr zuvor waren tatsächlich sogar mehr als die Hälfte aller Behördenanfragen fehlerhaft! Mehr als die Hälfte, das muss man sich mal vorstellen. Von insgesamt 85 Anfragen im Jahr 2020 wurden damals ein Viertel der Anfragen im Nachgang korrigiert und sodann korrekt gestellt. Mehr als ein Viertel der Anfragen blieben aber unzulässig und wurden daher richtigerweise abgelehnt.
Bei Posteo sieht es nicht besser aus
Auch bei einem anderen E-Mail-Provider, der jährliche Transparenzberichte veröffentlicht, sieht die Welt nicht besser aus. Posteo berichtet für das erste Halbjahr 2021 von insgesamt 43 behördlichen Anfragen, von denen nur sechs (!) korrekt gestellt waren. Im Hinblick auf Bestandsdatenersuchen hatte der Anbieter insgesamt 29 nicht korrekte Anfragen registriert, dem entgegen aber nur drei formal korrekte Anfragen.
Erschreckende Bilanz
Ich weiß nicht, wie es euch geht, aber ich finde das ganz schön erschreckend. Normalerweise sollte man doch gerade von Behörden erwarten können, dass sie Auskunftsanfragen formal richtig und auf rechtmäßige Art und Weise stellen können. Ja, in den Behörden arbeiten auch nur Menschen wie du und ich, aber bei den hohen Zahlen unrechtmäßiger Anfragen noch von menschlichen Zufallsfehlern zu reden, erscheint mir nicht plausibel.
Was tun bei behördlichen Anfragen?
Auch wir kennen solche Fälle von formal nicht korrekten Anfragen aus unserer Beratungspraxis, beispielsweise bei Herausgabeersuchen von Videoaufnahmen oder bei Auskunftsersuchen zu Beschäftigten. Wir können betroffenen Unternehmen nur raten, hineinflatternde Ersuchen mit Vorsicht zu genießen und im ersten Schritt formal zu prüfen oder im Zweifel prüfen zu lassen.
Als erste Faustregel zur Prüfung kann man sich folgendes merken: Ein behördliches Auskunfts- oder Herausgabeersuchen sollte als absolute Mindestanforderung das dem Fall zugehörige Aktenzeichen, die für den Fall zuständige Behörde mitsamt Ansprechpartner*in und die konkrete (!) Rechtsgrundlage für die Herausgabe/Auskunft der Daten beinhalten. Sind diese Mindestanforderungen nicht erfüllt, handelt es sich mit hoher Wahrscheinlichkeit nicht um eine formal korrekte Anfrage.
Eine solche rechtswidrige Anfrage sollte man in keinem Fall ungeprüft beantworten, denn im Zweifel seid ihr als Verantwortliche diejenigen, die später die Fehler der Behörden ausbügeln müssen. Findet nämlich eine Datenübermittlung an eine Behörde ohne Rechtsgrundlage statt, so ist dies ein Datenschutzverstoß, der (durch eine andere Behörde) sanktioniert werden kann. Haltet in jedem Fall Rücksprache mit den intern zuständigen Ansprechpartnern oder sucht euch externe Hilfe, bevor ihr die Daten herausgebt. Im Zweifel hilft oftmals auch ein Hinweis an die Behörde selbst oder eine einfache Nachfrage, z.B. auf welche Norm sich das Ersuchen stützt. Denn ignorieren sollte man auch unrechtmäßige Anfragen von Behörden besser nicht…
Insgesamt gilt: Auch Behörden machen Fehler. Daher müssen auch behördliche Anfragen sorgfältig geprüft werden. Die Rechtmäßigkeit einer Anfrage kann in keinem Fall als gegeben angesehen werden, auch (oder insbesondere) wenn diese von einer Behörde kommt!
Quellen:
Transparenzbericht für das Jahr 2021 von mailbox.org vom 10.05.2022
Transparenzberichte der vergangenen Jahre von Posteo