Sämtliche Mitarbeiter sind zu instruieren, dass ausschließlich die Geschäftsleitung über die Herausgabe von Daten entscheidet und dies nur auf Grund einer schriftlichen Anfrage (mindestens also E-Mail).
Unter keinen Umständen dürfen Mitarbeiter telefonische Anfragen beantworten.
Besondere Achtung ist bei Ausübung von (zeitlichem) Druck (Strafandrohungen etc.) geboten; der Anrufer ist auf den Datenschutz zu verweisen und soll (dies ruhig auch ankündigen) zunächst den DS-Beauftragten um Rat nachsuchen.
Es muss geklärt werden (Notizen fertigen):
Wer hat wen wann wie angefragt oder angerufen?
Hat sich die Person irgendwie ausgewiesen (z.B. Dienstausweis-Nummer notieren)?
Welches Anliegen hat die Person?
Was wird vom Unternehmen gefordert?
Liegt schon eine dokumentierte Anfrage vor?
Insbesondere telefonische Anfragen sind genauestens zu überprüfen (durch Rückruf bei der Behörde); es ist um schriftliche Bestätigung der Anfrage zu bitten, aus der hervorgehen muss
Adressat der Anfrage (Firmenanschrift Ihres Unternehmens)
anfragende Person (Vorname, Name, Funktion)
ggf. Tatvorwurf
Umfang der geforderten Informationen
Unverzichtbar: Ermächtigungsgrundlage/Rechtsgrundlage, auf der die Forderung basiert (mit konkreter Benennung der Norm, z.B. Staatsanwaltschaft/Polizei §§ 160, 161, 163 oder 161a, 95 StPO)
Der Datenschutzbeauftragte kann daraufhin die Grundlagen für die Übermittlung der geforderten Daten prüfen, wie z.B.
Art. 23 Abs. 1 DSGVO notwendige und verhältnismäßige Maßnahme z.B. Ermittlung und Verfolgung von Straftaten
§ 24 Abs. 1 Nr. 1 BDSG Abwehr von Gefahren (für staatliche oder öffentliche Sicherheit erforderlich)
