Beratungstermin

Straftaten melden trotz DSGVO – was Unternehmen dürfen

  • DatenschutzDSGVO
tingey / unsplash

In vielen Unternehmen taucht früher oder später die Frage auf:
Dürfen wir einen Verdacht auf Straftaten oder verfassungsfeindliche Aktivitäten an Polizei oder Verfassungsschutz melden – oder verstößt das gegen die DSGVO?

Die klare Antwort:
Eine gut begründete Meldung ist in aller Regel datenschutzrechtlich zulässig. Die DSGVO sieht dafür ausdrücklich das berechtigte Interesse als Rechtsgrundlage vor – und Erwägungsgrund 50 nennt solche Meldungen sogar ausdrücklich als Beispiel.

Typische Situationen in Unternehmen

Gerade in kleinen und mittelständischen Unternehmen gibt es praktische Fälle, etwa:

  • Ein Mitarbeiter beobachtet, dass eine Kollegin oder ein Kollege mutmaßlich stiehlt oder Daten manipuliert.
  • Es gehen E-Mails mit Gewaltandrohungen oder extremistischen Inhalten ein.
  • Ein Dienstleister oder Ex-Mitarbeiter verhält sich so, dass ein Straftatverdacht entsteht (z. B. Betrug, Sabotage von IT-Systemen).

In solchen Situationen stellt sich schnell die Frage:
Darf das Unternehmen diese Informationen an Polizei oder Verfassungsschutz weitergeben, ohne gegen die DSGVO zu verstoßen?

Rechtsgrundlage: berechtigtes Interesse

Für private Unternehmen ist Art. 6 Abs. 1 lit. f DSGVO zentral. Danach ist eine Verarbeitung – also auch die Übermittlung an Behörden – zulässig, wenn:

  1. ein berechtigtes Interesse des Unternehmens oder eines Dritten besteht,
  2. die Verarbeitung zur Wahrung dieses Interesses erforderlich ist und
  3. die Interessen oder Grundrechte der betroffenen Person nicht überwiegen.

Im Zusammenhang mit Straftaten bestehen typischerweise mehrere berechtigte Interessen:

  • Schutz des Unternehmens vor Vermögensschäden, Missbrauch und Sabotage,
  • Schutz von Beschäftigten, Kunden und anderen Betroffenen,
  • Schutz der Allgemeinheit und Interesse an der Aufklärung sowie Verhinderung von Straftaten.

Die Weitergabe an zuständige Behörden (Polizei, Staatsanwaltschaft, ggf. Verfassungsschutz) ist in solchen Fällen regelmäßig der sachgerechte Weg, um diese Interessen zu wahren.

Erwägungsgrund 50: Straftaten und Bedrohungen der öffentlichen Sicherheit

Besonders deutlich wird die Rechtslage durch Erwägungsgrund 50 DSGVO. Die DSGVO erläutert hier, dass die Anzeige möglicher Straftaten oder Bedrohungen der öffentlichen Sicherheit und die dafür erforderliche Übermittlung personenbezogener Daten an die zuständigen Behörden als berechtigtes Interesse des Verantwortlichen anzusehen ist.

Das bedeutet:

  • Die DSGVO will solche Meldungen gerade nicht verhindern.
  • Sie stellt ausdrücklich klar, dass Strafanzeigen und Meldungen an Sicherheitsbehörden im Rahmen des berechtigten Interesses zulässig sind – selbstverständlich unter Beachtung von Erforderlichkeit und Verhältnismäßigkeit.

Für Unternehmen ist das wichtig:
Es ist in solchen Konstellationen keine Einwilligung der betroffenen Person erforderlich, wenn ein konkreter Verdacht besteht und die Übermittlung zur Aufklärung oder Verhinderung von Straftaten dient.

Grenzen: Kein Freibrief für „Meldungen ins Blaue hinein“

Das berechtigte Interesse ist kein Freibrief. Für Unternehmen ergeben sich klare Leitplanken:

Konkreter Anlass statt vager Vermutung
Es sollte ein konkreter, nachvollziehbarer Verdacht vorliegen (z. B. Beobachtungen, Dokumente, Logs). Reine Gerüchte oder persönliche Antipathien tragen eine Datenübermittlung nicht.

Datenminimierung
Nur die Daten, die zur Prüfung und Bewertung des Verdachts notwendig sind, sollten weitergegeben werden. Das können z. B. sein:

  • Name und Funktion der betroffenen Person,
  • Beschreibung der Situation,
  • relevante Dokumente oder Belege.

Die vollständige Personalakte oder irrelevante Zusatzinformationen sind in der Regel nicht erforderlich.

Interessenabwägung
In der Abwägung stehen sich gegenüber:

  • das Interesse des Unternehmens und der Allgemeinheit an Aufklärung und Prävention von Straftaten
    und
  • die Grundrechte und Interessen der betroffenen Person (z. B. Schutz vor ungerechtfertigter Stigmatisierung).

Je ernster und konkreter der Verdacht ist, desto eher überwiegt das Interesse des Unternehmens und der Allgemeinheit. Bewusst falsche oder leichtfertige Anzeigen sind dagegen rechtlich problematisch – sowohl strafrechtlich als auch datenschutzrechtlich.

Praktische Empfehlungen 

Für Unternehmen empfiehlt sich ein strukturierter Umgang mit solchen Fällen.

a) Interne Richtlinien und Verantwortlichkeiten

  • Festlegen, wer Hinweise entgegennimmt (z. B. Geschäftsführung, Compliance, HR, Meldestelle).
  • Definieren, ab wann eine Meldung an Behörden in Betracht kommt (z. B. bei konkretem Straftatverdacht, Gefahr für Leib und Leben, erheblichen Vermögensschäden).
  • Vorgaben zur Dokumentation: kurzer Vermerk, warum eine Meldung erfolgt ist und auf welche Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO, Erwägungsgrund 50) sie gestützt wird.

b) Verbindung zur internen Meldestelle (HinSchG)

Viele Unternehmen ab einer bestimmten Größe müssen nach dem Hinweisgeberschutzgesetz eine interne Meldestelle betreiben.
Hier können Hinweise auf mögliche Straftaten oder schwere Regelverstöße eingehen. Die Weitergabe relevanter Informationen an Behörden kann dann – je nach Fall – sowohl auf:

  • das Hinweisgeberschutzrecht als auch
  • das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO i. V. m. Erwägungsgrund 50

gestützt werden. Wichtig sind klare, transparente Datenschutzhinweise für Hinweisgeber und beschuldigte Personen.

c) Dokumentation statt Blockade durch „Datenschutzangst“

Unternehmen sollten sich nicht aus Unsicherheit vor der DSGVO davon abhalten lassen, eindeutige Straftatverdachtsfälle zu melden.
Hilfreich ist eine kurze schriftliche Dokumentation:

  • Sachverhalt in Stichpunkten,
  • welche Daten konkret übermittelt wurden,
  • warum die Meldung erforderlich war,
  • Hinweis auf die Rechtsgrundlage (berechtigtes Interesse, Erwägungsgrund 50).

Damit ist die Entscheidung im Fall von Rückfragen durch Aufsichtsbehörden gut begründbar.

 

Wer bei einem konkreten Verdacht maßvoll vorgeht, die Daten auf das Notwendige beschränkt und die Entscheidung dokumentiert, handelt also in der Regel datenschutzkonform.

Zurück

Sichern Sie Ihr Unternehmen ab!

Sie haben Fragen zum Thema Datenschutz? Dann kontaktieren Sie uns oder machen Sie direkt online unseren Datenschutz Check für Ihr Unternehmen

Das könnte Sie auch interessieren:

„Pay or OK“: Zahlen oder Tracking – was heißt das für Cookie-Banner?

  • Datenschutz

„Entweder bezahlen oder Tracking akzeptieren“: Diese Modelle sind wieder im Gespräch. Was bedeutet das für Unternehmen, die Cookies, Marketing und…

Weiterlesen

DSA trifft DSGVO: Was Unternehmen bei Plattformdaten und Werbung beachten müssen

  • Datenschutz

Plattformen, Ads, Targeting, Insights: Wer Daten aus Plattformen nutzt, landet schnell in der Schnittstelle aus DSA und DSGVO. Hier erhalten Sie einen…

Weiterlesen

KI-Chatbots im Unternehmen (RAG): Datenschutz-Check für die Praxis

  • Datenschutz

Interne KI-Assistenten werden schnell zum Produktivitäts-Booster. Datenschutz wird dabei oft zu spät gedacht. So prüfst du RAG-Chatbots…

Weiterlesen

Was ist die NIS2-Richtlinie?

  • Datenschutz

Die neue EU-Richtlinie NIS2 verpflichtet ab 2024 deutlich mehr Unternehmen zu erhöhter Cyber- und Informationssicherheit. Kritische Branchen sowie…

Weiterlesen
Cookie Extension Logo