4.2         Polizeibereich

Das ULD berät die Polizeibehörden wie auch Bürgerinnen und Bürger in datenschutzrechtlichen Fragen und führt – als eine Kernaufgabe – Kontrollen durch, auch wenn dies für die Polizei nicht immer angenehm ist.

Bei den Datenschutzkontrollen wird geprüft, ob das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung auch dann beachtet wird, wenn sie selbst von einer Erhebung oder Speicherung nichts wissen oder keinen Einblick in die polizeilichen Dateien erhalten dürfen. Das ULD kann solche Kontrollen anlassunabhängig durchführen. Oft wenden sich Bürgerinnen und Bürger an das ULD mit einer Kontrollbitte in ihrem konkreten Fall, etwa wenn sie sich nicht sicher sind, welche Daten die Polizei über sie erhoben hat oder speichert. Auch im Falle solcher Eingaben führen wir Kontrollen durch.

Im Berichtsjahr mussten leider häufig Beanstandungen wegen Verletzungen datenschutzrechtlicher Bestimmungen durch die Polizei ausgesprochen werden. Dabei handelte es sich durchaus um vermeidbare Fälle. Das Landeskriminalamt reagierte auf unsere schriftlichen Anfragen nicht oder nur nach übermäßiger Verzögerung. Beanstandet werden mussten auch gravierende materielle Verstöße, z. B. bei Fahndungsausschreibungen, der Speicherung von Versammlungsteilnehmern (Tz. 4.2.9) oder der Auskunftserteilung an Betroffene (Tz. 4.2.5). Bei den zwischenzeitlich implementierten beiden großen automatisierten Verfahren der Polizei des Landes Schleswig-Holstein – @rtus und INPOL Schleswig-Holstein (Tzn. 4.2.3 und 4.2.2) – sehen wir eine stetige Annäherung der beiderseitigen Positionen, wenngleich noch nicht in allen Fragen eine Lösung erreicht werden konnte. Ein wichtiges Zwischenergebnis ist, dass die Polizei die gesetzlich vorgesehene Protokollierung von Abrufen in diesen Verfahren verbessern will.

4.2.1      Neues Polizei recht – mehr Daten von Unverdächtigen

Der Entwurf der Landesregierung für eine Novellierung des Landesverwaltungsgesetzes bedeutet eine grundsätzliche Wende im Polizeirecht. Die Polizei soll weitgehende Befugnisse im so genannten Gefahrenvorfeld erhalten und dabei Daten unverdächtiger Bürgerinnen und Bürger erfassen können, ohne dass diese hierfür einen konkreten Anlass geben.

Der Trend zur Erweiterung der Polizeibefugnisse auf das "Vorfeld" mit der Datenspeicherung unabhängig vom Vorliegen einer konkreten Gefahrenlage oder einer Straftat bestand bundesweit. Doch sollte dieser Trend spätestens durch die Entscheidung des Bundesverfassungsgerichtes zum niedersächsischen Polizeigesetz, wo hierfür enge Grenzen gezogen werden, gestoppt sein. Schon bei der Entscheidung zum "Großen Lauschangriff" hatte das Gericht klare Maßstäbe gesetzt (27. TB, Tz. 4.3.1). Doch werden diese Vorgaben von den Gesetzgebern vieler Länder ignoriert. Nun soll auch das Polizeirecht in Schleswig-Holstein grundlegend geändert werden, u. a. in folgenden Bereichen:

  • präventive Telekommunikationsüberwachung,
  • Bild- und Tonaufzeichnungen an öffentlich zugänglichen Orten,
  • Kfz-Kennzeichenüberwachung,
  • Erweiterte Kontrollbefugnisse bei Schleierfahndung und Identitätsfeststellung,
  • Erweiterung der Generalermächtigung zur vorbeugenden Straftatenbekämpfung.

 

Beispiel für die uferlose Ausweitung von Tatbeständen ist die Bild- und Tonaufzeichnung in öffentlich zugänglichen Räumen. Diese Eingriffe sollen zukünftig bereits möglich sein, wenn "Tatsachen die Annahme rechtfertigen", dass "sich Gefahren für die öffentliche Sicherheit verfestigen". Von einer "moderaten Absenkung der Voraussetzungen" – so die Gesetzesbegründung – kann keine Rede sein. Was mit "Verfestigen" von Gefahren gemeint ist, ist weder dem Gesetz noch der Begründung zu entnehmen.

Es drängt sich daher die Vermutung auf, dass der Polizei an öffentlich zugänglichen Orten ein breiter Überwachungsteppich selbst mit Tonaufzeichnungen erlaubt werden soll, z. B. um Gespräche auf der Parkbank ohne hinreichende rechtsstaatliche Hürden zu belauschen. Dies rechtfertigt schlimmste Befürchtungen, dass die Freiheit zur unbefangenen Kommunikation zwischen den Menschen erschüttert wird.

Die Tatbestände sind oftmals unbestimmt gefasst und verstoßen gegen den Grundsatz der Verhältnismäßigkeit. Dies gilt auch für die neue Kfz-Kennzeichenerfassung. Alle Menschen, die eine überwachte Straße mit ihrem Fahrzeug benutzen, werden gescannt. Die Freiheit, sich unbeobachtet im Straßenverkehr zu bewegen, wird zum Lotteriespiel für den Bürger.

Neu eingefügt ins Polizeirecht wird die Telekommunikationsüberwachung zur Abwehr von Gefahren für Gesundheit und Leben. Juristisch betrachtet ist die Gesundheit z. B. bereits durch eine Ohrfeige in Gefahr. Erwägungen zur Verhältnismäßigkeit finden sich im Gesetzentwurf nicht. Eine verfassungsrechtlich notwendige Einschränkung des "Großen Lauschangriffs" aufgrund des zu weiten Begriffs der "Gesundheit" ist in dem Entwurf ebenfalls nicht vorhanden.

Die im Grundsatz zu begrüßenden Bemühungen zum Schutz des Kernbereichs privater Lebensgestaltung werden durch eine auf den ersten Blick "unscheinbare" Formulierung vollständig entwertet: Die Polizeibehörden sollen kernbereichsrelevante Gespräche erfassen dürfen, wenn dies im Wege einer automatisierten Aufzeichnung geschieht. Hierin muss geradezu eine Einladung an die Polizei zum verstärkten Technikeinsatz gesehen werden. Der Entwurf widerspricht insoweit den ausdrücklichen Vorgaben des Bundesverfassungsgerichts.

Kernbereich privater Lebensgestaltung

Bei heimlichen Beobachtungen durch staatliche Organe ist zur Wahrung der Menschenwürde stets ein unantastbarer Kernbereich privater Lebensgestaltung freizuhalten. Dieser unantastbare Kernbereich dient dem Schutz der Entfaltung des Menschen bei ihn betreffenden höchst persönlichen Angelegenheiten. Dieser Kernbereich ist nicht relativierbar. Das heißt: Auch überwiegende Interessen der Allgemeinheit können einen Eingriff nicht rechtfertigen.

(Entscheidung des Bundesverfassungsgerichts zum "Großen Lauschangriff", 27. TB, Tz. 4.3.1).

Die Regelungen zum Schutz des Kernbereichs sollten in einer vor die Klammer gezogenen Regelung sämtliche heimlichen Ermittlungsmaßnahmen betreffen. Neben der Telekommunikations- und der Wohnraumüberwachung sind alle vergleichbaren Maßnahmen, z. B. die Aufzeichnung des außerhalb von Wohnungen gesprochenen Wortes (z. B. Autofahrt, Parkbankgespräch), in den Kernbereichsschutz einzubeziehen. Dies wurde von der Konferenz der Datenschutzbeauftragten im Oktober 2005 in Lübeck bekräftigt.

Weblink
www.datenschutzzentrum.de/material/themen/presse/20051028-dsbk-kernbereich.htm

Der Gesetzentwurf enthält auch positive Ansätze. Erfreulich ist etwa, dass die Vollprotokollierung bei automatisierten Dateien ausdrücklich vorgesehen und damit einer alten Forderung des ULD nachgekommen wird (Tz. 4.2.4). Das ULD hat zu dem Gesetzentwurf eine ausführliche rechtliche Stellungnahme abgegeben.

Weblink
www.datenschutzzentrum.de/polizei/stellungnahme-lvwg.htm

 

Was ist zu tun?

Sollte der Entwurf so Gesetz werden, ist zu erwarten, dass er im Fall einer verfassungsgerichtlichen Überprüfung aufgehoben wird. Er sollte daher nachgebessert werden.

 

Entschließung der 70. DSB-Konferenz vom 27./28.10.2005

Schutz des Kernbereichs privater Lebensgestaltung
bei verdeckten Datenerhebungen der Sicherheitsbehörden

Aus dem Urteil des Bundesverfassungsgerichts vom 27. Juli 2005 zur präventiven Telekommunikationsüberwachung nach dem niedersächsischen Polizeigesetz folgt, dass der durch die Menschenwürde garantierte unantastbare Kernbereich privater Lebensgestaltung im Rahmen aller verdeckten Datenerhebungen der Sicherheitsbehörden uneingeschränkt zu gewährleisten ist. Bestehen im konkreten Fall Anhaltspunkte für die Annahme, dass eine Überwachungsmaßnahme Inhalte erfasst, die zu diesem Kernbereich zählen, ist sie nicht zu rechtfertigen und muss unterbleiben (Erhebungsverbot). Für solche Fälle reichen bloße Verwertungsverbote nicht aus.

Die Gesetzgeber in Bund und Ländern sind daher aufgerufen, alle Regelungen über verdeckte Ermittlungsmethoden diesen gerichtlichen Vorgaben entsprechend auszugestalten.

Diese Verpflichtung erstreckt sich auch auf die Umsetzung der gerichtlichen Vorgabe zur Wahrung des rechtsstaatlichen Gebots der Normenbestimmtheit und Normenklarheit. Insbesondere im Bereich der Vorfeldermittlungen verpflichtet dieses Gebot die Gesetzgeber aufgrund des hier besonders hohen Risikos einer Fehlprognose, handlungsbegrenzende Tatbestandselemente für die Tätigkeit der Sicherheitsbehörden zu normieren.

Im Rahmen der verfassungskonformen Ausgestaltung der Vorschriften sind die Gesetzgeber darüber hinaus verpflichtet, die gerichtlichen Vorgaben im Hinblick auf die Wahrung des Verhältnismäßigkeitsgrundsatzes – insbesondere die Angemessenheit der Datenerhebung – und eine strikte Zweckbindung umzusetzen.

In der Entscheidung vom 27. Juli 2005 hat das Gericht erneut die Bedeutung der – zuletzt auch in seinen Entscheidungen zum "Großen Lauschangriff" und zum Außenwirtschaftsgesetz vom 3. März 2004 dargelegten – Verfahrenssicherungen zur Gewährleistung der Rechte der Betroffenen hervorgehoben. So verpflichtet beispielsweise das Gebot der effektiven Rechtsschutzgewährung die Sicherheitsbehörden, Betroffene über die verdeckte Datenerhebung zu informieren.

Diese Grundsätze sind sowohl im Bereich der Gefahrenabwehr als auch im Bereich der Strafverfolgung, u. a. bei der Novellierung der §§ 100a und 100b StPO, zu beachten.

Die Konferenz der DSB erwartet, dass nunmehr zügig die erforderlichen Gesetzgebungsarbeiten in Bund und Ländern zum Schutz des Kernbereichs privater Lebensgestaltung bei allen verdeckten Ermittlungsmaßnahmen aufgenommen und die Vorgaben des Bundesverfassungsgerichts ohne Abstriche umgesetzt werden.

4.2.2      INPOL-SH

INPOL-SH wird nach wie vor ohne ausreichende Errichtungsanordnung betrieben. Das System ist für die Polizei des Landes Schleswig-Holstein ein unerlässliches System für eigene Zwecke und als Schnittstelle zu den gemeinsamen Dateien der Polizeien des Bundes und der Länder beim Bundeskriminalamt (INPOL-Zentral) unverzichtbar.

In einer ausführlichen Stellungnahme haben wir gegenüber dem Innenministerium die Mängel der Errichtungsanordnung zu INPOL-SH (27. TB, Tz. 4.2.4) aufgezeigt und Empfehlungen zur Mängelbeseitigung gegeben. Darauf erfolgte in einem Punkt eine Nachbesserung: Zugriffe auf den Datenbestand in INPOL sind zu protokollieren, um mögliche unberechtigte Abrufe im Nachhinein feststellen zu können. Diese Protokolldaten dürfen ausschließlich für Kontrollzwecke genutzt werden, also

  • zur Datenschutzkontrolle, Datensicherheit und zur Sicherstellung des ordnungsgemäßen Betriebes der Datenverarbeitungsanlage und
  • zur Ausübung von Aufsichts- und Kontrollbefugnissen durch Dienst- und Fachvorgesetzte.

 

Die Polizei wollte die Protokolldaten in INPOL-SH ursprünglich für sämtliche polizeilichen Zwecke, z. B. für Ermittlungszwecke, verwenden, was nach unserem Hinweis auf die Rechtslage zurückgenommen wurde. Die angesprochene Bestimmung in der Errichtungsanordnung hat das Innenministerium gestrichen; unsere Frage nach der bisherigen Nutzung der Protokolldaten blieb allerdings unbeantwortet.

Was ist zu tun?

Das Innenministerium bleibt aufgefordert, eine bewertbare Darstellung von INPOL-SH vorzulegen, um einen zielführenden Dialog fortsetzen zu können. Die Ziele einer rechtskonformen Errichtungsanordnung und eines datenschutzgerechten Verfahrens sind noch nicht erreicht.

4.2.3      @rtus

@rtus ist das Nachfolgesystem von COMPAS für die polizeiliche Vorgangsbearbeitung. Bei dem inzwischen in vielen Polizeidienststellen des Landes eingesetzten System sind so manche datenschutzrechtlichen Fragen noch ungeklärt.

Hinsichtlich der im letztjährigen Tätigkeitsbericht (27. TB, Tz. 4.2.5) unbeantworteten Fragen nach den tatsächlichen Zwecken des Verfahrens und – damit eng verbunden – der rechtlichen Einordnung besteht weiterhin keine Klarheit. In seiner ausführlichen Stellungnahme vom Februar 2005 auf eine Errichtungsanordnung mit Stand November 2004 hat das ULD Optimierungsmöglichkeiten aufgezeigt, was zu einer weiterentwickelten Version der gesetzlich zwingend vorgeschriebenen Errichtungsanordnung führte. Bevor aber im Detail Präzisierungen erfolgen, muss klargestellt sein, dass die Strafprozessordnung neben dem Landesverwaltungsgesetz nicht anzuwenden ist. Konflikte birgt weiterhin die Frage der Zuständigkeit für eine neue Vorabkontrolle. Wir haben ebenso eine angemessene Protokollierung der Abrufe angemahnt.

Das Innenministerium betrachtet @rtus als Datei zum Zweck der Auskunftserteilung nach dem Landesverwaltungsgesetz. Es hält aber die Regelungen zum "automatisierten Abrufverfahren" nicht für anwendbar. Unsere Forderung nach einer Protokollierung wurde dahin gehend aufgegriffen, dass eine Aufzeichnung der Zugriffe auf Dokumente "fremder" Dienststellen implementiert werden soll. Ob dies ausreichend ist, werden wir erst nach Vorliegen der einschlägigen konsolidierten Konzepte beurteilen können.

Das System enthält als Funktionalität die Möglichkeit "horizontaler Blockverbünde"; diese soll – so das Innenministerium – jedoch nicht genutzt werden. Für das ULD stellt sich die Frage, welche weiteren Funktionalitäten bei @rtus bestehen, ohne dass diese in der Errichtungsanordnung transparent gemacht werden.

Weitere Fragen im Zusammenhang mit dem Wechsel von COMPAS auf @rtus harren noch auf eine Antwort:

  • Wann wird COMPAS für den täglichen Betrieb abgeschaltet?
  • Was geschieht mit den Daten von COMPAS? Werden sie migriert und somit Bestandteil von @rtus, oder bleiben sie gespeichert und werden weiter parallel genutzt?
  • Gibt es bereits ein datenschutzkonformes Lösungskonzept beim Innenministerium oder beim Landespolizeiamt?

 

Was ist zu tun?

Nach der Vorlage der ersten Lösungsansätze sind die Konzeptunterlagen und die Errichtungsanordnung gemeinsam vom ULD und Innenministerium auf Schwachstellen zu untersuchen und die rechtlichen Fragen zu klären. Lösungen müssen gefunden werden, wie COMPAS datenschutzrechtlich korrekt abgeschaltet werden kann.

4.2.4      Protokollierung  – eine unendliche Geschichte 

Nicht protokollierte Verarbeitungsprozesse können nicht überprüft werden; die gespeicherten Daten verlieren ihre Authentizität. Die Verlässlichkeit von Informationen ist für alle Verarbeiter, insbesondere aber für Sicherheitsbehörden, von herausragender Bedeutung, da aufgrund der Informationen Entscheidungen getroffen werden, die Bürgerinnen und Bürger stark belasten können.

Wir fragen uns: Warum müssen Datenschützer für die Protokollierung kämpfen, die eigentlich im wohlverstandenen ureigenen Interesse der Daten verarbeitenden Stelle liegen sollte? Die Protokollierung beschäftigt Datenschützer bereits, solange es sie gibt. Die Erwägungen zum Sinn der Aufzeichnungen über Zugriffe auf den Datenbestand und Veränderungen sind unverändert geblieben. Geändert haben sich die technischen Möglichkeiten und die Kostensituation für die erforderliche IT-Beschaffung. In früheren Jahren war Datenverarbeitung teuer und weniger leistungsfähig. Aus Datenschutzsicht geforderte Protokollierungen wurden wegen der Kosten für Speicherplatz als nicht praktikabel angesehen. Die Lösung in dieser Not und ein Schritt in die richtige Richtung war eine Teilprotokollierung – die Stichprobenaufzeichnung – von durchschnittlich jedem zehnten Abruf. Inzwischen ist eine Vollprotokollierung technisch und finanziell überhaupt kein Problem mehr, aber ...

Der vorliegende Referentenentwurf zur Novellierung des Landespolizeirechts (Tz. 4.2.1) berücksichtigt den technischen Stand und verzichtet auf das bisherige Regelungsmerkmal "stichprobenartig": "Abrufe sind in überprüfbarer Form automatisiert zu protokollieren." Diese Änderung begrüßen wir ausdrücklich. Diese Einsicht wird nun hoffentlich die letzten Zweifler an der Notwendigkeit einer Vollprotokollierung überzeugen. Sie sollte schon in den Gesprächen über die Errichtungsanordnungen zu @rtus, INPOL-SH (Tzn. 4.2.3 und 4.2.2) und anderen Dateien zum Tragen kommen. Die Klärung der Details, insbesondere die Festlegung der Dauer und des Umfangs der Protokolldatenspeicherung, ist eine lösbare Aufgabe.

An der Schnittstelle von INPOL-SH zum INPOL-Verbund beim BKA erfolgt derzeit landesseitig keine Protokollierung. Das BKA protokolliert seinerseits die Abrufe von Daten des INPOL-Verfahrens nach bundesrechtlichen Bestimmungen. Die Landespolizei kann sich hier durch den Verweis auf die Bundesregelung nicht aus der Pflicht nach Landesrecht entziehen.

Was ist zu tun?

Die polizeilichen Bestrebungen zur Einführung einer umfassenden Protokollierung bei @rtus und bei INPOL-SH sollten konsequent weiterverfolgt werden.

4.2.5      Auskunft serteilung durch die Polizei 

Eingaben bestätigen die Zweifel an der Richtigkeit von an Betroffene gegebenen Auskünften über Datenspeicherungen durch die Polizeibehörden des Landes.

Der Bundesbeauftragte für den Datenschutz stellte bei einer Kontrolle im Bundeskriminalamt (BKA) fest, dass die Polizei des Landes Schleswig-Holstein Daten über einen Petenten in den dort geführten Dateien gespeichert hatte, wovon das ULD in einer parallelen Prüfung vom Landeskriminalamt (LKA) nicht unterrichtet worden war. Eine Prüfung der Abteilung Staatsschutz des LKA zeigte, dass der Petent auch noch in zwei weiteren automatisierten Dateien gespeichert war, worüber wir auch keine Mitteilung vom LKA erhalten hatten. Unsere ursprüngliche Antwort an den Petenten war somit auch in diesem Punkte fehlerhaft. Wir mussten die unzutreffende Auskunftserteilung durch das LKA beanstanden.
In anderen Fällen monierten wir, dass unsere Auskunftsanfragen über mehrere Monate vom LKA unbeantwortet blieben. In einigen Fällen hatte das LKA nicht über bestehende Speicherungen von Polizeien anderer Länder oder des Bundes in Verbunddateien informiert, obwohl dies gesetzlich gefordert wird. Daher mussten wir das Innenministerium und LKA darauf hinweisen, dass

  • Auskünfte über Datenspeicherungen bei örtlichen Polizeidienststellen vollständig sein müssen,
  • Speicherungen in Dateien anderer Stellen der Landespolizei zu berücksichtigen sind,
  • über interne Dateien des Landeskriminalamtes Auskunft erteilt werden muss,
  • INPOL-Verbunddateien umfassend abgefragt werden müssen.

 

Das Bundesverfassungsgericht im Volkszählungsurteil:

"Als weitere verfahrensrechtliche Schutzvorkehrungen sind Aufklärungspflichten, Auskunftspflichten und Löschungspflichten wesentlich."

Wir haben Vorschläge für die datenschutzkonforme Ausgestaltung des Auskunftsverfahrens gemacht und unsere Unterstützung bei der Umsetzung angeboten. Leider wurde das Kooperationsangebot bisher nicht angenommen. Vielmehr teilte uns das LKA mit, es sehe ebenso wie das Innenministerium keine rechtliche Verpflichtung zur Auskunftserteilung über fremde Datenbestände. Hierzu sei man auch nicht berechtigt. Diese unserer Überzeugung nach falsche Ansicht führt dazu, dass Betroffene mit Erkenntnissen durch die Polizei konfrontiert werden, auf die die Polizei des Landes Zugriff hat, die aber bei einer Auskunftserteilung verschwiegen werden.

Zweifellos hat das Innenministerium die Organisationshoheit über die von ihm zu verantwortenden Verfahren. Dies ist aber kein Grund, Abläufe beizubehalten, die zwangsläufig immer wieder zu rechtswidrigen Auskunftserteilungen gegenüber Betroffenen führen. Unser Beratungsangebot besteht weiterhin.

Was ist zu tun?

Das Landeskriminalamt sollte im Eigeninteresse darauf bedacht sein, das Auskunftsverfahren gesetzeskonform zu gestalten. Das Vertrauen der Bürgerinnen und Bürger in die Arbeit der Polizei würde hierdurch gestärkt.

4.2.6      Rasterfahndung  – nutzlos, aber verlängert

Nach den Terroranschlägen 2001 wurde die Rasterfahndung als Wunderwaffe gegen den Terrorismus angepriesen und auf Landesebene gesetzlich eingeführt, aber bis Ende 2005 befristet, um danach die gemachten Erfahrungen auszuwerten. Als die Frist plötzlich ablief, wurde die Gültigkeit der Regelung mit großer Eile trotz fehlender Bewährung verlängert.

Die Rasterfahndung betrifft fast ausschließlich die Daten völlig unbescholtener Bürgerinnen und Bürger. Die Befristung dieser Maßnahme zielte darauf ab, deren Wirksamkeit zu überprüfen. Doch fand die geforderte Evaluierung in Schleswig-Holstein nicht statt und ist offenbar auch nicht mehr geplant. Über Medienberichte sind lediglich bundesweite Zahlen und Erfahrungen bekannt: "Demnach haben deutsche Fahnder über acht Millionen Datensätze ausgewertet – und nur ein einziges Ermittlungsverfahren gegen einen so genannten Terrorschläfer eingeleitet. Allerdings wurde dieses Verfahren auch schon eingestellt – ohne Erfolg."

-Die Herausgabe eines internen, für die Innenministerkonferenz erstellten Papiers verweigert das Innenministerium dem ULD. Unseres Wissens enthält auch dieses Papier keine Gründe, an der äußerst aufwändigen, teuren und die Grundrechte massiv einschränkenden Maßnahme der Rasterfahndung festzuhalten. Vor diesem Hintergrund könnte die Geheimniskrämerei des Innenministeriums zu verstehen sein.

Weblink
www.datenschutzzentrum.de/polizei/stellungnahme-rasterfahndung.htm

 

Was ist zu tun?

Die Rasterfahndung sollte abgeschafft werden.

4.2.7      Beobachtung von Versammlungen im Visier des ULD

Das ULD kontrollierte die Staatsschutzabteilung des Landeskriminalamts (LKA) im Zusammenhang mit der Sammlung von Daten über die Teilnahme an Demonstrationen.

Im Wortlaut: Volkszählungsurteil

"... Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass ihm dadurch Risiken entstehen, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. ..."

(BVerfGE 65, 1, 43)

Das Bundesverfassungsgericht hat im Volkszählungsurteil schon 1983 auf die gesellschaftlichen und rechtlichen Risiken einer Beobachtung, Speicherung und Nutzung der Daten von Demonstrationsteilnehmern hingewiesen. Bei unserer Kontrolle im LKA haben wir gravierende Defizite festgestellt und in den folgenden drei Fallkategorien Beanstandungen ausgesprochen:

  • Das LKA hat die erlaubte Teilnahme an Veranstaltungen in – bereits aus anderen Gründen vorhandenen – Kriminalakten als so genannte "Hinzuspeicherung" erfasst. Die Polizei darf eine Kriminalakte nur anlegen, wenn im Falle von Straftaten eine Wiederholungsgefahr vorliegt und die Speicherung zur Verhinderung von Wiederholungstaten geeignet ist. Hierfür bedarf es einer so genannten Negativprognose. Eine ergänzende Speicherung kann nur zulässig sein, wenn die zusätzlichen Daten selbst einen nachvollziehbaren Straftatenbezug aufweisen. Die Erfassung der – erlaubten – Teilnahme an Veranstaltungen in Personenakten läuft auf die Erstellung von Persönlichkeitsprofilen hinaus. Besonders im Hinblick auf die vom Grundgesetz geschützte Demonstrations- und Vereinigungsfreiheit und den für unsere Demokratie notwendigen Schutz weltanschaulicher und politischer Betätigungen ist nach unserer aktuellen Überzeugung das Hinzuspeichern zumeist unzulässig.
  • Das Vorgangsbearbeitungssystem COMPAS läuft mit der allmählichen Einführung von @rtus aus (Tz. 4.2.3). Es wird im LKA noch mit den Funktionen Posteingangs- und Postausgangsbuch sowie Tagebuch genutzt. Dies ist im Grunde hinnehmbar. Es ist jedoch nicht nachzuvollziehen, weshalb dort keine Datensätze gelöscht werden können. Das LKA meinte, bei diesen Daten im Tagebuch handele es sich um Urkunden, die nicht gelöscht werden dürften. Mit dieser originellen, aber im Datenschutzrecht unbekannten Konstruktion ließen sich die gesamten gesetzlich vorgeschriebenen Löschungsregelungen aushebeln. Das dürfte auch das LKA nicht wollen. Nach Einführung des neuen Systems @rtus wird möglicherweise ein Teil der Daten für die Aufgabenerfüllung des LKA noch erforderlich sein, während der überwiegende Teil der gespeicherten personenbezogenen Daten löschungsreif ist: Es geht kein Weg daran vorbei, dass die COMPAS-Daten löschbar sein müssen und dann auch tatsächlich gelöscht werden.

Im Wortlaut: Art. 8 Grundgesetz

  • Alle Deutschen haben das Recht, sich ohne Anmeldung und Erlaubnis friedlich und ohne Waffen zu versammeln.
  • Für Versammlungen unter freiem Himmel kann dieses Recht durch Gesetz oder aufgrund eines Gesetzes beschränkt werden.
  • Das LKA betreibt automatisierte Dateien mit den Bezeichnungen "Innere Sicherheit Schleswig-Holstein (ISSH)" und "Warndatei Rechts" (Tz. 4.2.8). Darin werden neben Daten zu Personen und begangenen Straftaten, die dem "Kriminalpolizeilichen Meldedienst" unterliegen, auch sonstige Erkenntnisse gespeichert, z. B. Angaben zu Kfz-Haltern, die ihr Fahrzeug in der Nähe von Veranstaltungen geparkt haben. Auch hier führt ein erlaubtes Verhalten zu nachhaltigen Datenspeicherungen in automatisierten Dateien, für die es keine rechtliche Grundlage gibt. Ein weiteres Problem ist, dass die Datei "ISSH" ohne gültige Errichtungsanordnung geführt wird.

 

In einer knappen E-Mail antwortete das LKA auf unsere Beanstandungen. Darin wurden hausinterne Prüfungen unter Beteiligung des Innenministeriums angekündigt. An COMPAS aber möchte das LKA keine Änderungen vornehmen. Die Staatsschutzabteilung will die gesetzliche Löschungspflicht per Dienstanweisung in den Griff bekommen, auf die wir mit Interesse warten.

Anlässlich der Beobachtung von Demonstrationen gegen die Hartz-IV-Gesetze baten wir das LKA im November 2004 um eine Stellungnahme. Selbst mehrfache Erinnerungen und die Androhung einer Beanstandung mit Fristsetzung veranlassten es nicht zur Antwort. Nachdem wir diese Auskunftsverweigerung im September 2005 beanstandeten, erhielten wir im Dezember eine uns wenig befriedigende Antwort.

Was ist zu tun?

Das Innenministerium ist gehalten, die zur Führung von Kriminalakten bestehenden Richtlinien zu überarbeiten. "Hinzuspeicherungen" und weitere darin vorgesehene Dateispeicherungen verletzen die Grundrechte und die Normen des Landesverwaltungsgesetzes.

4.2.8      Lageberichte  – gute Kooperation mit der Polizei

Der behördliche Datenschutzbeauftragte einer Polizeidirektion fragte beim ULD zu den Datenschutzanforderungen bei periodisch erscheinenden Lageberichten der Staatsschutzabteilung einer Bezirkskriminalinspektion an. Die Bewertungen des ULD wurden als Grundlage für die behördeninterne Kontrolle verwendet – ein Musterbeispiel für effektive und sinnvolle Zusammenarbeit.

Die Lageberichterstellung erfolgte aufgrund einer Leitlinie des Innenministeriums aus dem Jahr 2000, die eine sehr niedrige Verdachts- und Einschreitschwelle vorsieht. Die Berichte enthalten neben Sachangaben auch namentlich genannte Personen, bei denen die Voraussetzungen für eine Speicherung in Kriminalakten nicht vorliegen. Dabei geht es in der Regel um Fälle kleinerer Kriminalität, z. B. Beschimpfungen bei Nachbarschaftsstreitigkeiten. Bei Lageberichten müssen zumindest die Voraussetzungen für eine Speicherung in Kriminalakten gegeben sein. Die Daten stammen aus Strafverfahren und werden für zukünftige Zwecke vorgehalten bzw. verteilt. Im konkreten Fall waren die Zweifel an der Zulässigkeit der Lageberichte berechtigt. Der behördliche Datenschutzbeauftragte steht nun mit der betreffenden Polizeidirektion zwecks datenschutzkonformer Gestaltung der Lageberichte im Dialog.

Die "Warndatei Rechts" des LKA und die dazu vorliegende Errichtungsanordnung können im Zusammenhang mit den Lageberichten gesehen werden. Das LKA reagierte auf unsere entsprechenden Empfehlungen leider erst auf unsere Beanstandung hin (Tz. 4.2.7). Es will nun die Hinweise des ULD unter Berücksichtigung der aktuellen Rechts- und Erlasslage prüfen. Die Errichtungsanordnung werde überarbeitet und die gespeicherten Daten entsprechend den Vorgaben überprüft. Das LKA will das Thema "Speicherung erlaubten Verhaltens" grundsätzlich aufbereiten. Wir sind gespannt.

Was ist zu tun?

Soweit Lageberichte personenbezogene Daten enthalten, sind die Vorschriften des Landesverwaltungsgesetzes über die Speicherung in polizeilichen Dateien strikt zu beachten. Die Angabe konkreter Beschuldigtennamen in Lageberichten sollten die Polizeibehörden vermeiden.

4.2.9      Fußball-WM 2006 führt zur Durchleuchtung

Die Fußballweltmeisterschaft bringt gleich zwei datenschutzwidrige Verfahren mit sich. Die Sicherheitsbehörden sollen in einem unzulässigen Akkreditierungsverfahren Mitarbeiter und freiwillige Helfer durchleuchten. Die Daten der Zuschauer werden beim Kartenkauf in einem heiklen Ticketingverfahren gecheckt.

2006 findet in Deutschland die Fußballweltmeisterschaft statt. Aktiv an der Durchführung dieser Veranstaltung werden – nach vorsichtigen Schätzungen der Veranstalter – ca. 250.000 Menschen beteiligt sein, die zu bestimmten nichtöffentlichen Bereichen der Stadien Zutritt erhalten. Diese sollen nun alle in einem Akkreditierungsverfahren auf ihre Zuverlässigkeit überprüft werden. Betroffen sind u. a. Journalisten, Sicherheitspersonal, Mitarbeiter von Hilfsorganisationen und Sanitätsdiensten, Personal im gastronomischen Bereich, Reinigungskräfte, Begleitpersonal sowie andere Servicebedienstete aller Sparten.

Hierbei ist ein umfassender Datenabgleich der betroffenen Personen mit den Beständen der Sicherheitsbehörden vorgesehen. Landeskriminalämter und Ämter für Verfassungsschutz sollen ein Votum zu jeder Person abgeben, das vom BKA gesammelt und dem DFB mitgeteilt wird. Dieses gemeinsam von Veranstaltern und Sicherheitsbehörden entwickelte Überprüfungsverfahren greift wegen folgender Mängel unzulässig in grundrechtlich geschützte Positionen der Betroffenen ein:

  • fehlende gesetzliche Eingriffsgrundlage,
  • Zweifel an der rechtlichen Wirksamkeit der eingeholten Einwilligungserklärungen,
  • Zweifel an der Verhältnismäßigkeit der Überprüfung,
  • Defizite beim Rechtsschutz und beim Auskunftsverfahren.

 

Eine gesetzliche Grundlage für das Verfahren existiert nicht. Das Sicherheitsüberprüfungsgesetz des Landes ist nicht einschlägig. Darüber hinaus sind Überprüfungsverfahren nicht möglich.

Die Einwilligung der Betroffenen kann daneben keine Grundlage sein, sie ist selbst in den gesetzlich geregelten Verfahren eine zusätzliche Verfahrensvoraussetzung. Im Akkreditierungsverfahren sollen die Arbeitnehmer gegenüber ihren Arbeitgebern eine Einwilligungserklärung abgeben. Aus Sorge um den Arbeitsplatz wird kaum jemand die Einwilligung verweigern. Von einer freiwilligen Einwilligung kann dann kaum gesprochen werden.

Zudem ist nicht ausreichend sichergestellt, dass die Einwilligung wirklich von der betroffenen Person stammt. Die Sicherheitsbehörden sollen sich mit der allgemeinen Aussage der Veranstalter begnügen, der jeweilige Arbeitgeber habe ihm gegenüber durch einen Mausklick im Internet bestätigt, dass der Betroffene eingewilligt habe. Damit erhalten das LKA und die Abteilung für Verfassungsschutz keinen authentischen Nachweis, der die Urheberschaft der einwilligenden Person sicherstellt.

-Die Verhältnismäßigkeit des Verfahrens ist ebenfalls nicht gewährleistet. Nicht nur die ungewöhnlich hohe Zahl der Betroffenen und eine offenbar sehr weite Ausdehnung der Sicherheitszonen machen stutzig. Das Verfahren kann in Einzelfällen bis zum Arbeitsplatzverlust führen. Sicherheitsbedenken, die zum Ausschluss von der WM führen, können schon durch eine den Verfassungsschutzbehörden bekannte frühere politische Betätigung oder durch eine reine Verdachtsspeicherung begründet sein. Ob Betroffenen die zugrunde liegenden Daten im Auskunftsverfahren bekannt werden und ob diese sich ausreichend dagegen wehren können, bleibt fraglich. Eine Anhörung im Verfahren ist nur sinnvoll, wenn die betroffene Person weiß, um welche Daten es geht.


Hier wird bundesweit ein unzulässiges Verfahren am Gesetzgeber vorbei etabliert. Die beteiligten Stellen schaffen so neue Eingriffsbefugnisse für die Sicherheitsbehörden auf der Basis zweifelhafter Einwilligungserklärungen der Betroffenen. Alle am Verfahren Beteiligten, auch das Land, setzen sich unnötigen Prozess- und Schadenersatzrisiken aus.

Weblink
www.datenschutzzentrum.de/material/themen/divers/fussball.htm

Beim Ticketingverfahren ist grundsätzlich zu fragen, ob mit der Personalisierung der Eintrittskarten und mit Datenabgleichen überhaupt ein Sicherheitsgewinn erzielt werden kann. Die Veranstalter erheben in jedem Fall von den Fußballfans weit mehr Daten als notwendig. Die Stadionbesucher müssen zahlreiche persönliche Angaben machen, bis hin zur Lieblingsmannschaft und zur Personalausweisnummer. Die Eintrittskarten sind mit RFID-Chips versehen, die grundsätzlich eine Lokalisierung im Stadion ermöglichen. Die auf dem Chip gespeicherten Daten können jederzeit mit denen in einer Datenbank verknüpft werden, um einen direkten Personenbezug herzustellen.

Weblink
www.datenschutzzentrum.de/allgemein/wmticket.htm

Die Datenschutzbeauftragten des Bundes und der Länder haben frühzeitig auf die Defizite des Akkreditierungsverfahrens und auch des Ticketingverfahrens hingewiesen. Die Veranstalter und Sicherheitsbehörden waren jedoch nicht zu grundlegenden Veränderungen der Verfahren bereit, sondern haben sich allenfalls auf kleine Zugeständnisse eingelassen, etwa beim Akkreditierungsverfahren auf eine Erweiterung der Datenschutzinformation. Wir haben den Landtag Schleswig-Holstein, das Landeskriminalamt und den Verfassungsschutz über unsere Datenschutzbedenken informiert.

Weblink
www.datenschutzzentrum.de/material/themen/presse/20050311-dsbk-wm.htm

Was ist zu tun?

Die Akkreditierung darf nicht ohne Rechtsgrundlage in einem zweifelhaften Verfahren betrieben werden. Zumindest dessen Umfang und Reichweite müssen eingeschränkt werden.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel