Datenschutz: Anfragen von Polizei oder Staatsanwaltschaft zu Mitarbeiterdaten

Datenschutz

Wie Unternehmen rechtssicher reagieren, ohne unnötige Risiken einzugehen

Unternehmen erhalten immer wieder Anfragen von Ermittlungsbehörden zu Beschäftigtendaten – etwa bei Betrugsverdacht, Verkehrsunfällen mit Firmenwagen oder internen Delikten. Die Herausforderung: kooperativ bleiben und rechtskonform handeln, ohne unnötige Risiken einzugehen. Wichtig ist, weder in Panik zu verfallen, noch untätig zu bleiben. In der Regel sind Anfragen berechtigt, aber auch hier gibt es klare Spielregeln für beide Seiten.

Merksatz: Ohne förmliche Grundlage keine Herausgabe. Mit Anordnung/Beschluss besteht regelmäßig Herausgabepflicht, aber nur im erforderlichen Umfang.

Wichtig: Auch unter erkennbarem Druck muss das Unternehmen die Balance finden zwischen Datenschutzpflichten und Mitwirkung an Ermittlungen. 

Für die, die nicht so viel lesen wollen: Das Wichtigste auf einen Blick

  • Keine freiwillige Herausgabe nur auf Zuruf/Bitte. Verlange Schriftform, Rechtsgrundlage und Aktenzeichen.

  • Mit Beschluss/Anordnung (StPO §§ 94/95): Herausgabepflicht – aber nur konkret benannte, erforderliche Daten liefern (Datenminimierung).

  • Ohne Beschluss, ausnahmsweise: Eng prüfen nach § 24 BDSG (Strafverfolgung) und – bei Beschäftigtendaten – § 26 BDSG (tatsächliche Anhaltspunkte, Verhältnismäßigkeit).

  • Art. 14 DSGVO: Betroffene grundsätzlich informieren; Ausnahme nach Art. 14 Abs. 5 möglich (z. B. Gefährdung der Ermittlungen) – Entscheidung dokumentieren.

  • Gefahr im Verzug: Eilkompetenz der Behörden eng auslegen; trotzdem nur angeordnete/erforderliche Daten geben und Begründung dokumentieren.

Rechtlicher Rahmen

Die zentrale Frage lautet: Auf welcher Grundlage dürfen oder müssen Unternehmen personenbezogene Daten an Ermittlungsbehörden herausgeben? 

Warum ist diese Prüfung so wichtig? Das Unternehmen erhebt und verarbeitet Mitarbeiterdaten für "Begründung, Durchführung und ggfs Beendigung des Beschäftigungsverhältnisses". Alle damit verbundenen Verarbeitungstätigkeiten sind abgedeckt, die Rechtsgrundlage ist vorrangig in § 26 des deutschen BDSG zu finden. ES gelten zwar ggfs. weitere Rechtsgrundlagen, die das Unternehmen für die Verarbeitung der Daten nutzen kann (z.B. das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO), aber die Grenzen sind sehr eng zu ziehen, eine fehlerhafte Verarbeitung ist rechtswidrig. Ganz besonders problematisch ist die Weitergabe von Daten an Dritte, wenn es keine Rechtsgrundlage gibt. Daher muss bei einer Anfrage durch eine Ermittlungsbehörde genau geprüft werden, wie die Weitergabe begründet werden kann.

Wichtige mögliche Rechtsgrundlagen sind daher: 

DSGVO – Rechtsgrundlage der Offenlegung

  • Art. 6 Abs. 1 lit. c DSGVO: Zulässig, wenn die Weitergabe zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (z. B. auf Basis einer Anordnung/Beschluss nach StPO).

  • Art. 9/Art. 10 DSGVO: Vorsicht bei besonderen Kategorien (Gesundheit, Religion etc.) und Strafdaten; hier gelten zusätzliche Hürden und enge Erforderlichkeitsprüfung

BDSG – Spezielle Öffnungsklauseln

  • § 26 BDSG (Beschäftigtendaten): Aufdeckung von Straftaten nur bei dokumentierten tatsächlichen Anhaltspunkten, Erforderlichkeit und Verhältnismäßigkeit.

  • § 24 BDSG: Erlaubt zweckändernde Übermittlungen an Ermittlungsbehörden zur Strafverfolgung – ist aber sehr eng auszulegen, v. a. wenn die Anfrage ohne förmliche Anordnung kommt

StPO – Anordnung, Sicherstellung, Herausgabe

  • § 94 StPO: Sicherstellung von Beweismitteln (auch Unterlagen/Dateien).

  • § 95 StPO: Herausgabepflicht für Beweismittelinhaber (z. B. Arbeitgeber).

  • §§ 161/161a StPO: Auskünfte/Zeugen – allein noch keine Pflicht zur Unterlagen-/Datenträger-Herausgabe ohne passende Anordnung/Beschluss.

"Gefahr im Verzug"? Eilfall, aber keine Datenflut

„Gefahr im Verzug“ liegt vor, wenn sofortiges Einschreiten nötig ist, weil sonst Beweise verloren gehen oder der Ermittlungserfolg gefährdet wird. Dann können z. B. Beschlagnahmen (§ 98 StPO) oder Durchsuchungen (§ 105 StPO) ohne vorherigen Richterbeschluss angeordnet werden. Trotz Eile gilt: Identität & Rechtsgrundlage verifizieren, Schriftform (Mail/Fax) anfordern, Begründung dokumentieren, Datenminimierung wahren und sicher übermitteln. Ein pauschales „Richter nicht erreichbar“ genügt nicht automatisch.

-> Merksatz: Formale StPO-Grundlage + konkreter Scope = Pflicht. Ohne das: Rückfrage statt Daten.

Polizei vs. Staatsanwaltschaft - wer darf denn nun was? 

Die Polizei führt Ermittlungen durch, darf aber nicht ohne weiteres auf Beschäftigtendaten zugreifen. Telefonische oder einfache schriftliche/for­mlose Anfragen sind rechtlich nicht ausreichend. Immer um begründende schriftliche Anfrage bitten.

Die Staatsanwaltschaft leitet ein Ermittlungsverfahren und kann (mit Beschluss) weitergehende Befugnisse haben. Liegt eine förmliche Anordnung/Beschluss auf Grundlage der StPO vor, ist das Unternehmen in der Regel verpflichtet, die geforderten Daten bereitzustellen. Hier emfehlen wir enge und verzugslose Kommunikation, aber Beachtung der datenschutzrechtlichen Einschränkungen vor allem in Bezug auf Umfang der bereitgestellten Daten. 

In jedem Fall sollte das Unternehmen konsequent darauf bestehen, dass eine konkrete Rechtsgrundlage (StPO, Aktenzeichen) benannt wird.

Risiken für Unternehmen

Wer Daten ohne rechtliche Grundlage weitergibt, verstößt gegen die DSGVO. Mögliche Folgen:

  • Bußgelder durch die Aufsichtsbehörde

  • Schadensersatzforderungen durch betroffene Mitarbeitende

  • Vertrauensverlust und Reputationsschäden

Andererseits: Wer rechtmäßige Anordnungen ignoriert oder verweigert, kann mit Ordnungsgeldern oder dem Vorwurf der Ermittlungsbehinderung konfrontiert werden.

Das Ziel ist daher nicht, Daten reflexhaft zurückzuhalten, sondern mit klaren Prozessen und rechtlicher Vorsicht zu handeln und die ermittelnden Behörden rechtssicher zu unterstützen.

Praxisbeispiele

Grundsatz bei Beschlüssen (§§ 94/95 StPO):
Legt die Staatsanwaltschaft einen schriftlichen Beschluss vor, besteht grundsätzlich eine Pflicht zur Herausgabe. Das Unternehmen darf und soll jedoch nur die im Beschluss konkret benannten und zur Ermittlung erforderlichen Daten liefern. Auch bei Beschlüssen gilt: Rechtmäßigkeit prüfen, Datenumfang minimieren, sensible Informationen besonders sorgfältig behandeln.

1) Telefonische Anfrage der Polizei

  • Situation: Nachfrage zum Fahrer eines Firmenwagens (Unfall).

  • Bewertung: Keine Herausgabe auf Zuruf/Telefon.

  • Vorgehen: Um Schriftform + Rechtsgrundlage + Aktenzeichen + Scope + Frist bitten. Bis dahin keine Daten.

2) Formloses E-Mail-Ersuchen ohne Rechtsgrundlage

  • Situation: „Bitte senden Sie Personalakte und E-Mails von X.“

  • Bewertung: Keine Pflicht; DSGVO-Risiko bei „freiwilliger“ Abgabe.

  • Vorgehen: Rechtsgrundlage/Scope anfordern; bis zur förmlichen Grundlage keine Übermittlung.

3) Beschluss nach §§ 94/95 StPO (Log-/Zugriffsdaten)

  • Situation: Beschluss verlangt AD-Anmelde-Logs für 01.–15. Juni.

  • Bewertung: Herausgabepflicht.

  • Vorgehen: Formalia prüfen, Scope strikt einhalten (nur benannte Accounts/Zeiträume), sicher übermitteln, Art. 14 DSGVO prüfen (ggf. Ausnahme begründet dokumentieren).

4) Heikle Personalaktdaten (Gesundheit/Religion)

  • Situation: Beschluss fordert komplette Personalakte inkl. Gesundheitsdaten.

  • Bewertung: Art. 9/10 DSGVOenge Auslegung.

  • Vorgehen: Rückfrage: Welche Passagen sind wirklich erforderlich? Nur erforderliche Teile liefern; Rest ablehnen. Dokumentation!

5) „Freiwillige“ Übermittlung ohne Beschluss (enge Ausnahme)

  • Situation: Dringender Eilfall, Gefahr im Verzug plausibel, Beschluss noch nicht verfügbar.

  • Bewertung: Ggf. § 24 Abs. 1 Nr. 1 BDSG (Strafverfolgung) + bei Beschäftigtendaten § 26 BDSGsehr eng, Minimalprinzip, Erforderlichkeit beweisbar.

  • Vorgehen: Interessenabwägung + Dokumentation; förmliche Grundlage nachfordern.

Handlungsempfehlungen

Checkliste: Schritt für Schritt reagieren

    1. Identität der anfragenden Stelle klären und ggfs. gegenprüfen 
      Name der Behörde, Dienststelle, Ansprechpartner, evtl. Rückruf mit bekannten Daten.

    2. Schriftliche Anfrage mit formaler Grundlage einfordern
      Nur eine schriftliche Anfrage der ermittelnden Behörde kann später begründen, warum man Daten herausgegeben hat. 

    3. Rechtsgrundlage aktiv abfragen
      Verlangen Sie:

      • Rechtsgrundlage für die Anfrage (z. B. § 94, § 95)

      • Aktenzeichen / Vorgangsnummer

      • Genaue Datenarten / Zeitraum / Umfang (nicht einfach "alles" liefern, Datenminimierung gilt auch hier).

      • Frist

      • Sicheren Übermittlungsweg klären

    4. Prüfen, ob eine förmliche Anordnung vorliegt
      Wenn ja: Herausgabepflicht nach §§ 94/95 StPO + DSGVO-Grundlage Art. 6 Abs. 1 lit. c + ggf. § 26 BDSG.
      Wenn nein: Nur in eng begrenztem Ausnahmefall gemäß § 24 BDSG (und bei Beschäftigtendaten streng nach § 26 BDSG) in Betracht ziehen.

    5. Datenumfang begrenzen
      Nur die konkret angeforderten und erforderlichen Daten bereitstellen – keine unreflektierten HR-Ablagen oder Komplettauszüge.

    6. Betroffene informieren (Art. 14 DSGVO)
      Grundsätzlich ist eine Informationspflicht gegenüber Betroffenen vorgesehen. Eine Ausnahme nach Art. 14 Abs. 5 DSGVO ist möglich, wenn etwa die Ermittlungen ernsthaft beeinträchtigt werden könnten. Diese Abweichung muss sorgfältig geprüft, mit der anfordernden Behörde besprochen und vereinbart werden und zur eigenen Absicherung natürlich dokumentiert werden.

    7. Sonderfälle besonders behandeln

      • Strafdaten (Art. 10 DSGVO): Nur bei gesetzlicher Grundlage und gegebenen Garantien übermitteln.

      • Besondere Kategorien (Art. 9 DSGVO) wie Gesundheitsdaten: Nur bei ausdrückliche Ausnahme und strenger Erforderlichkeit.

    8. Sichere Übermittlung & Übergabeprotokoll
      Verwenden Sie verschlüsselte / geschützte Kanäle. Erstellen Sie ein Protokoll mit Empfänger, Umfang, Zeitpunkt.

    9. Dokumentation & Aufbewahrung
      Führen Sie einen detaillierten Vorgangsvermerk (wer, wann, was, warum, wohin). Legen Sie Lösch- / Sperrfristen fest gemäß Zweckbindung. Dokumentieren Sie den gesamten Vorgang so detailliert wie nötig, um die eigene Rechenschaftspflicht zu erfüllen.

    10. Datenweitergabe nur nach sorgfältiger Risikoabwägung
      Vor jeder Herausgabe prüfen: Ist sie zwingend notwendig? Ist sie verhältnismäßig? Gibt es mildere Mittel?

FAQ – Häufige Fragen

Darf die Polizei telefonisch Auskünfte verlangen?
Nein. Immer auf eine schriftliche Anfrage bestehen.

Welche Daten müssen herausgegeben werden?
Nur die, die im Beschluss oder in der Anfrage klar benannt und rechtlich abgedeckt sind.

Muss ich auf jede Anfrage reagieren?
Nein. Ohne klare Rechtsgrundlage dürfen keine Daten weitergegeben werden.

Was passiert bei Fehlern?
Unrechtmäßige Herausgabe = Datenschutzverstoß mit Bußgeldrisiko. Ignorieren einer berechtigten Anfrage = Gefahr von Ordnungsgeldern.

Was dieser Fachbeitrag nicht ist

Dieser Beitrag soll Unternehmen dabei unterstützen, rechtssicher mit Anfragen von Polizei oder Staatsanwaltschaft umzugehen. Er gibt keine Hinweise oder Tipps, wie sich die Herausgabe von Daten gezielt umgehen oder verhindern lässt.

Wer Daten aus anderen Gründen geheimhalten oder Ermittlungen behindern möchte, findet hier keine Anleitung. Unser Fokus liegt ausschließlich auf der sachgerechten Umsetzung der gesetzlichen Pflichten – nicht auf ihrer Vermeidung.

Fazit

Anfragen von Polizei oder Staatsanwaltschaft sind kein Routinefall. Unternehmen sollten weder vorschnell Daten herausgeben noch reflexartig alles verweigern. Entscheidend ist, die Anfrage sorgfältig zu prüfen, die Rechtslage einzuschätzen und nur im Rahmen der gesetzlichen Vorgaben zu handeln.

Das Ziel ist stets rechtssichere Zusammenarbeit mit den Behörden – nicht das Verschweigen oder Zurückhalten von Informationen. Mit klaren Prozessen, Dokumentation und Einbindung des Datenschutzbeauftragten lassen sich Risiken vermeiden.

Bonus: Dokumentvorlagen 

Musterantwort an Ermittlungsbehörden (Beispiel)

Betreff: Ihre Anfrage / Anordnung – Aktenzeichen [xyz123]


Sehr geehrte Damen und Herren,

vielen Dank für Ihre Nachricht vom [Datum]. Für die datenschutzkonforme Bearbeitung benötigen wir:

  1. Konkrete Rechtsgrundlage (StPO-§§, z. B. §§ 94/95, ggf. § 98/§ 105, § 163),

  2. Aktenzeichen/Vorgangsnummer,

  3. exakten Datenscope (Datenarten, Zeitraum, betroffene Personen/Accounts),

  4. Frist und

  5. Sicheren Übermittlungsweg.


Nach Eingang prüfen wir umgehend und stellen Ihnen die erforderlichen Daten fristgerecht bereit.

Mit freundlichen Grüßen
[Name, Funktion, Kontakt]

Dokuvorlage zur Ablage in der Datenschutzdokumenation 

  • Behörde/Dienststelle/Ansprechpartner:

  • Aktenzeichen/Rechtsgrundlage (StPO):

  • Art. 6 (1) c DSGVO + ggf. § 24/§ 26 BDSG geprüft: ja/nein (Begründung)

  • Gefahr im Verzug dargelegt? ja/nein (Begründung/Quelle)

  • Datenscope (Art, Zeitraum, Betroffene):

  • Sensible Daten (Art. 9/10)? ja/nein (Prüfung/Reduktion)

  • Art. 14 DSGVO Information / Ausnahme (14 (5)): informieren / Ausnahme begründet (Grund)

  • Übermittlung (Datum, Weg, Empfänger verifiziert):

  • Übergabeprotokoll erstellt: ja/nein

  • Lösch-/Sperrfrist gesetzt:

  • Bearbeitet von / Vier-Augen-Prinzip:

Rechtlicher Hinweis & Haftungsausschluss

Die Inhalte dieses Fachbeitrags dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung im Einzelfall dar. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Richtigkeit, Vollständigkeit und Aktualität. Für verbindliche rechtliche Einschätzungen wenden Sie sich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.

Hinweis zur Aktualisierung
Dieser Fachbeitrag wurde ursprünglich im Jahr 2023 veröffentlicht. Da das Thema für Unternehmen immer wieder relevant ist und häufig nachgefragt wird, wird der Beitrag regelmäßig überprüft und auf den aktuellen Stand gebracht. Die vorliegende Fassung wurde zuletzt am 29. September 2025 aktualisiert.

Adresse

datiq GmbH
Robert-Bosch-Str. 5
63225 Langen

Kontakt

Rechtliches