24111 Kiel, Rendsburger Landstraße 436
+49 431 12807082
kanzlei@grafkerssenbrock.com

Datenschutz: Das „Freeze“-Verfahren bei der Datennutzung

Arbeitsrecht – Erbrecht - Schulrecht

Cyber-Sicherheit, Datenschutz, Informationsfreiheit, Strafrecht

Datenschutz: Das „Freeze“-Verfahren bei der Datennutzung

Computer

Rechtsgrundlagen, Bewertung und Potential zur Entbürokratisierung

In der Praxis der Datenverarbeitung – etwa durch öffentliche Stellen, Forschungseinrichtungen oder privatwirtschaftliche Akteure – gewinnt ein Konzept zunehmend an Aufmerksamkeit: das sogenannte Freeze-Verfahren. Es verspricht eine Möglichkeit, Daten in einer rechtssicheren Weise für bestimmte Zwecke zwischenzuspeichern, bis die datenschutzrechtlichen Rahmenbedingungen für deren Verarbeitung oder Weitergabe geklärt sind.

Begriff und Funktionsweise des „Freeze“-Verfahrens

Das Freeze-Verfahren bezeichnet eine Praxis, bei der personenbezogene Daten zunächst „eingefroren“, also technisch gesichert, aber nicht aktiv verarbeitet oder weitergegeben werden, bis eine rechtliche oder behördliche Klärung erfolgt ist. Die Daten werden also vorläufig gespeichert, wobei die Nutzung blockiert wird. Ziel ist es, einerseits den Datenverlust (etwa durch Löschung) zu vermeiden, andererseits aber die DSGVO-Vorgaben einzuhalten, bis Klarheit über die Zulässigkeit der Verarbeitung besteht.

Dies kann z. B. relevant sein in Situationen wie:

  • der geplanten Weitergabe von Daten an Dritte (etwa Forschungseinrichtungen),

  • der Verwendung von Altdatenbeständen, deren ursprünglicher Verarbeitungszweck abgelaufen ist,

  • offenen Verfahren zur Datenschutzfolgenabschätzung (DSFA) oder zur Genehmigung durch Aufsichtsbehörden.

Rechtsgrundlagen unter der DSGVO

a) Allgemeine Anforderungen der DSGVO

Gemäß Art. 5 Abs. 1 lit. a DSGVO muss jede Verarbeitung rechtmäßig, zweckgebunden und transparent erfolgen. Zudem ist nach Art. 6 DSGVO eine Verarbeitung nur zulässig, wenn eine Rechtsgrundlage gegeben ist (z. B. Einwilligung, Vertragserfüllung, öffentliches Interesse etc.).

Das Freeze-Verfahren bewegt sich in einem Graubereich, da die Daten zwar gespeichert, aber nicht „aktiv“ verarbeitet werden. Es stellt sich daher die Frage, ob eine bloße Speicherung bereits eine Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO darstellt – dies ist zu bejahen: Auch die Speicherung allein ist eine Form der Verarbeitung.

b) Rechtfertigung der Speicherung

Die zentrale Rechtsgrundlage für das Freeze-Verfahren kann Art. 6 Abs. 1 lit. f DSGVO sein – das berechtigte Interesse. Dieses muss in jedem Einzelfall abgewogen werden gegen die Interessen und Grundrechte der betroffenen Person. Ein berechtigtes Interesse kann z. B. sein:

  • die Klärung rechtlicher Fragen zur Verarbeitung,

  • die Sicherstellung von Datenintegrität für eine bevorstehende DSFA,

  • die Vermeidung eines Löschungsgebots, das sich im Nachhinein als unbegründet erweist.

c) Speicherbegrenzung und Zweckbindung

Nach Art. 5 Abs. 1 lit. e DSGVO dürfen Daten nur so lange gespeichert werden, wie sie für die Zwecke, für die sie verarbeitet werden, erforderlich sind. Im Rahmen des Freeze-Verfahrens wird dies durch den temporären, dokumentierten Charakter der Speicherung gerechtfertigt. Wichtig ist hierbei eine detaillierte Protokollierung, etwa:

  • der Grund der Speicherung („Freeze-Vermerk“),

  • der geplante Zeitraum,

  • die Sperrung der Nutzungsmöglichkeit,

  • etwaige Begleitkommunikation mit der Aufsichtsbehörde.

Vorteile des Freeze-Verfahrens

  • Rechtssicherheit: Es ermöglicht verantwortlichen Stellen, Daten rechtssicher vorzuhalten, ohne gegen das Verbot der Verarbeitung ohne Rechtsgrundlage zu verstoßen.

  • Vermeidung von Datenverlust: In kritischen Verfahren (etwa bei Whistleblower-Hinweisen oder Forschungsdaten) können Daten gesichert werden, ohne sie vorschnell zu löschen.

  • Zeitgewinn für behördliche Klärung: Gerade bei Abstimmungen mit Datenschutzaufsichtsbehörden kann das Verfahren Zeit verschaffen, ohne rechtswidrige Verarbeitung zu riskieren.

  • Transparenz und Compliance: Durch saubere Protokollierung und technische Absicherung wird dokumentierbar, dass kein Missbrauch erfolgt.

Nachteile und Risiken

  • Gefahr des Missbrauchs: Ohne klare Regeln könnte das Freeze-Verfahren missbraucht werden, um faktisch Daten dauerhaft zu speichern, ohne sich um Rechtsgrundlagen zu bemühen.

  • Unklare Dauer: Wenn das „Einfrieren“ zur Dauereinrichtung wird, widerspricht dies dem Prinzip der Speicherbegrenzung.

  • Technische Umsetzung: Die Anforderungen an Datenmanagementsysteme steigen, um eine echte Sperrung der Verarbeitung bei gleichzeitiger Sicherung zu gewährleisten.

  • Aufsichtsrechtliche Unsicherheit: Derzeit gibt es keine explizite Regelung in der DSGVO, die das Verfahren anerkennt – Aufsichtsbehörden könnten es daher unterschiedlich bewerten.

Entbürokratisierungspotential

Ein strukturiertes Freeze-Verfahren kann erheblich zur Entbürokratisierung beitragen:

  • Vermeidung doppelter Prüfaufwände: Anstatt Daten sofort zu löschen oder umfangreiche Vorabprüfungen durchzuführen, kann man sie vorübergehend sichern und parallel eine Rechtsgrundlage klären.

  • Effiziente Kommunikation mit Aufsichtsbehörden: Ein dokumentierter Freeze-Status kann Behörden die Arbeit erleichtern, da der Zugriff und Zweck präzise dargestellt wird.

  • Standardisierung von Datenprüfprozessen: Durch eingeführte Freeze-Prozesse kann in Organisationen eine standardisierte Herangehensweise etabliert werden, was Bearbeitungszeiten und Personalaufwand reduziert.

  • Förderung von Innovation: Gerade in der Forschung kann die kurzfristige Sicherung von Daten bis zur ethischen oder rechtlichen Freigabe Projekte beschleunigen, ohne Datenschutzrechte zu unterlaufen.

Bedarf an Regulierung und Best Practice

Derzeit fehlt eine einheitliche Regelung oder behördliche Handreichung zum Freeze-Verfahren. Sinnvoll wären:

  • Leitlinien der Datenschutzkonferenz (DSK) zur rechtssicheren Anwendung,

  • technische Mindestanforderungen an die Daten-Sperrung,

  • Verfahrensdokumentationen als Bestandteil von Datenschutzmanagementsystemen,

  • ggf. gesetzliche Klarstellungen, insbesondere im BDSG oder in Spezialgesetzen (z. B. für Forschung, Statistik, Gesundheit).

Das Freeze-Verfahren ist ein praktisches, aber rechtlich diffiziles Instrument, das zwischen Speicherung und aktiver Verarbeitung vermittelt. Es bietet Chancen für datenschutzkonforme Innovation und Effizienz, birgt aber Missbrauchsgefahren. Sein Erfolg hängt davon ab, ob es gelingt, klare Rahmenbedingungen zu definieren – rechtlich, technisch und organisatorisch. Gerade in Zeiten wachsender Datenmengen und regulatorischer Komplexität könnte es zu einem zentralen Baustein einer digitalen Entbürokratisierungsstrategie werden.

Straftaten, bei denen das Freeze-Verfahren besonders relevant ist

1. Kinderpornographische Inhalte (§ 184b StGB)

Problematik:

  • Hosting-Anbieter, soziale Netzwerke oder Cloud-Dienste entdecken verdächtige Inhalte.

  • Eine sofortige Löschung (etwa infolge eines automatisierten Notice-and-Takedown-Verfahrens) führt dazu, dass die Inhalte nicht mehr forensisch ausgewertet werden können.

  • Strafverfolgungsbehörden benötigen Zugang zur Datei, zu Metadaten, IP-Logs etc., was eine kurze Frist für die Datenaufbewahrung voraussetzt.

Lösung durch Freeze:

  • Die Daten werden technisch gesichert, aber der Zugriff wird gesperrt, bis behördliche Anordnungen (z. B. nach § 98 StPO) oder Rückmeldungen vorliegen.

  • Gleichzeitig wird so verhindert, dass die Daten weiter verbreitet oder genutzt werden.

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. c DSGVO i. V. m. der Pflicht zur Zusammenarbeit mit Ermittlungsbehörden (§ 161 StPO, § 100g StPO).

  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Diensteanbieters an der Strafverfolgung und Verhinderung weiterer Rechtsgutsverletzungen.

2. Cybercrime (Hacking, Datenveränderung, § 202a ff., § 303a StGB)

Problematik:

  • Bei Angriffen auf Server oder Netzwerke kann die Herkunft der Täter nur durch kurzfristige Auswertung der Logs und Metadaten nachvollzogen werden.

  • Diese Daten sind häufig datenschutzrechtlich sensibel (z. B. IP-Adressen von unbeteiligten Dritten).

Nutzen des Freeze-Verfahrens:

  • Temporäre Sicherung der Daten, insbesondere von Access-Logs oder Session-Cookies, ohne sofortige Verarbeitung.

  • Ermöglicht rechtzeitige Anforderung durch Polizei oder Staatsanwaltschaft.

3. Hasskriminalität / Volksverhetzung (§ 130 StGB) in sozialen Netzwerken

Problematik:

  • Netzwerke stehen unter Druck, Inhalte schnell zu löschen (NetzDG).

  • Relevante Beweise (Kommentare, Account-Metadaten) verschwinden oft vollständig – keine Möglichkeit zur Strafverfolgung.

Freeze-Anwendung:

  • Inhalte werden „gefroren“, ohne öffentlich sichtbar zu bleiben.

  • Daten werden solange aufbewahrt, bis etwa ein Ersuchen gemäß § 14 Abs. 3 TMG a.F. / § 10 TTDSG n.F. oder über das BKA-Transparenzsystem eingeht.

4. Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen (§ 201a StGB)

Beispiel:

  • Illegale Aufnahmen aus Umkleiden, Toiletten oder Deepfake-Pornographie.

  • Plattformen oder Arbeitgeber entdecken Material, dürfen es aber nicht ohne weiteres verarbeiten oder melden.

Freeze-Lösung:

  • Temporäre Sicherung zur Auswertung durch Behörden – ohne aktives Hosting oder Weitergabe.

5. Finanzkriminalität / Geldwäsche (§ 261 StGB)

Beispiel:

  • Verdächtige Transaktionen, Wallets oder Kontobewegungen.

  • Institute erkennen Anomalien, können diese aber ohne hinreichende Rechtsgrundlage nicht sofort melden oder weitergeben (außerhalb von Verdachtsmeldungen).

Freeze-Lösung:

  • Speicherung relevanter Transaktionsdaten zur Übergabe bei Nachfrage durch FIU, BaFin oder Strafverfolger.

Praktischer Mehrwert des Freeze-Verfahrens in diesen Fällen

  • Beweissicherung ohne Rechtsbruch: Daten werden nicht gelöscht, aber auch nicht aktiv genutzt – rechtskonformer Umgang im Schwebezustand.

  • Vermeidung von Strafvereitelung durch „Zuvorkommen“: Plattformbetreiber müssen nicht zwischen Datenschutzverstoß und Beihilfe zur Strafvereitelung wählen.

  • Förderung behördenkonformer Prozesse: Harmonisierung mit § 97 Abs. 1 StPO („freiwillige Herausgabe“) und technische Vorbereitung auf Beschlagnahmeanordnungen.

Grenzen und Herausforderungen

  • Derzeit fehlende gesetzliche Klarstellung, ob solche temporären Sicherungen in jedem Fall durch berechtigtes Interesse oder gesetzliche Pflicht gedeckt sind.

  • Unterschiedliche Bewertung durch Aufsichtsbehörden (Datenschutz vs. Strafverfolgung).

  • Gefahr, dass bei unklaren Protokollen oder zu langen Speicherfristen ein Verstoß gegen Art. 5 DSGVO (Zweckbindung, Speicherbegrenzung) vorliegt.

 

0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kostenlose Info-Termine

Anstehende Veranstaltungen

Kalender anzeigen
Newsletter von GK
Aktuelles aus der Rechtsprechung, SH und Justiz. Kuriositäten und politische Kommentare

Graf Kerssenbrock & Kollegen 2024

Translate »