4.2         Polizei  und Verfassungsschutz

Das neue Polizeirecht, mit dem sich das ULD in vorangegangenen Jahren im Rahmen der Gesetzgebung auseinandergesetzt hat, ist mittlerweile in Kraft getre­ten. Es ist für die Polizei wie für das ULD Grundlage der täglichen Praxis. Inzwi­schen konnten erste Erfahrungen gemacht werden (Tz. 4.2.1).

Als echter Dauerbrenner begleitet uns das polizeiliche Verfahren @rtus, das weiter ausgebaut werden soll und zudem in der bestehenden Fassung genügend Raum für Verbesserungen bietet (Tz. 4.2.1). Ein weiterer Dauerbrenner wurde die Kontrolle bei der Abteilung für Staatsschutz im Landeskriminalamt, die – mittlerweile im fünften Jahr – immer noch nicht abgeschlossen werden konnte (Tz. 4.2.5).

Im Bereich Verfassungsschutz beschäftigten uns Eingaben von Betroffenen (Tz. 4.2.8), die Einführung eines neuen IT-Verfahrens (Tz. 4.2.9) und der Gesetz­entwurf für eine Änderung des Landesverfassungsschutzgesetzes (Tz. 4.2.6).

Die Gremien der Datenschutzbeauftragten des Bundes und der Länder befass­ten sich mit Fragen der polizeilichen Datenverarbeitung auf nationaler und euro­päischer Ebene. Die Arbeitsgruppe INPOL und die Unterarbeitsgruppe Europa des Arbeitskreises Sicherheit verfolgen das Ziel, durch eine frühzeitige Beratung die nationale wie die grenzüberschreitende Datenverarbeitung der Polizei in Informa­tionsverbünden datenschutzgerecht zu gestalten. Die Unterarbeitsgruppe Europa hat beispielsweise die Zusammenarbeit der Polizeien und der Strafverfolgungs­behörden der EU-Mitgliedstaaten nach dem Rahmenbeschluss zur sogenannten Schwedischen Initiative näher beleuchtet und einen Beschluss der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vorbereitet (Tz. 11.1 und Tz. 11.2).

 

4.2.1      Landesverwaltungsgesetz  (LVwG) – Erfahrungen mit dem neuen Polizeirecht

Das Landesverwaltungsgesetz wurde im Jahr 2007 novelliert und hat nun erste Bewährungsproben zu bestehen gehabt.

  • Das Ende der Kfz-Kennzeichenerfassung

Mit dem neuen Polizeirecht wurde u. a. die Kfz-Kennzeichenerfassung in Schles­wig-Holstein eingeführt. Die Regelung hierzu war nicht nur von uns im Hinblick auf Normenklarheit, Verhältnismäßigkeit und Gesetzgebungskompetenz kritisiert worden (30. TB, Tz. 4.2.1), sondern war auch Gegenstand einer Verfassungs­beschwerde vor dem Bundesverfassungsgericht. Dieses hat die angegriffene Vorschrift für nichtig erklärt. Die Regelung genügt nicht dem Gebot der Normen­bestimmtheit und Normenklarheit, da sie weder den Anlass noch den Ermittlungs­zweck benennt, dem die Erhebung und der Abgleich der Daten dienen sollen. Darüber hinaus, urteilten die Karlsruher Richter, verstößt sie in ihrer unbestimmten Weite gegen das verfassungsrechtliche Gebot der Verhältnismäßigkeit. Sie ermög­licht schwerwiegende Eingriffe in das Recht auf informationelle Selbstbestimmung, ohne die für derart eingriffsintensive Maßnahmen grundrechtlich geforderten gesetz­lichen Eingriffsschwellen hinreichend zu normieren.

Unmittelbar nach dem Karlsruher Richterspruch verkündete der Innenminister das Ende der Kfz-Kennzeichenerfassung in Schleswig-Holstein. Einen erneuten Vorstoß, die gesetzliche Regelung an die Vorgaben aus Karlsruhe anzupassen, solle es nicht geben. Beweggrund für diese Entscheidung war auch das deutliche Missverhältnis zwischen Aufwand und Ertrag der Maßnahme. Mit einer äußerst geringen Trefferzahl hatte sich das Kfz-Scanning als ungeeignetes Instrument zur Abwehr von Gefahren für die öffentliche Sicherheit erwiesen.

Was ist zu tun?
Die Entscheidung des Innenministers zeigt besonnenes und sachorientiertes Handeln in der Sicherheitspolitik. Viele andere grundrechtsrelevante Maßnahmen sollten einer ähnlich kritischen fachlichen Prüfung unterzogen werden.

  • Neuerungen bei @rtus

Die Datenverarbeitung der Polizei in Schleswig-Holstein befindet sich im Umbruch. Das Verfahren @rtus ist zwischenzeitlich landesweit im Einsatz. Es haben sich einige Schwachstellen gezeigt, die ausgebessert werden müssen. Parallel arbeitet die Polizei daran, @rtus auszubauen. Das Verfahren soll, so jedenfalls die Planun­gen, um einen Teil „Analyse und Auswertung“ ergänzt werden. In dieser Datei sollen personenbezogene Daten aus @rtus gespeichert und im Rahmen der Sach­bearbeitung für die genannten Zwecke genutzt werden. Die Anwendung soll nur einem kleinen Kreis von Experten zur Verfügung stehen. Es ist weiterhin vorge­sehen, dass auch die Lageberichte mit diesem Verfahren vereinheitlicht und zentral zur Verfügung gestellt werden sollen.

  • Auskunft für die Betroffenen

Das Verfahren der Auskunftserteilung an Betroffene wurde in einer Arbeitsgruppe der Polizei an der auch das ULD teilnehmen konnte, analysiert und lief bis zum Ende des Jahres 2008 in einem Pilotverfahren. Es geht darum, Beteiligungs­prozesse innerhalb der Polizeidienststellen festzulegen und den Umfang der zu erteilenden Auskunft zu bestimmen, sodass die Betroffenen möglichst konkret erfahren, welche Daten über sie aus welchem Anlass, in welchem Verfahren und für welche Dauer gespeichert sind. Zudem ist eine Lösung gefunden worden, dass die Bürgerinnen und Bürger bei einer Auskunft darüber informiert werden, ob Polizeibehörden anderer Länder oder des Bundes Daten in der gemeinsamen Verbundanwendung INPOL beim BKA gespeichert haben. Die Betroffenen haben das Recht zu erfahren, in welchem Zusammenhang ihre Daten an andere Stellen übermittelt wurden. Die Polizei strebt an, eine Stelle bei der Landespolizei für die Auskunftserteilung zu benennen, die nach außen gegenüber den Betroffenen in Erscheinung tritt. An welche Polizeibehörde der Betroffene sein Auskunftsersu­chen richtet, ist dabei unerheblich.

 

4.2.2      Online-Durchsuchung  für Polizei  und Verfassungsschutz

Das Bundesverfassungsgericht hat im Februar 2008 die Befugnisnorm zur sogenannten Online-Durchsuchung im nordrhein-westfälischen Verfassungs­schutzgesetz für nichtig erklärt. Mit dieser Entscheidung hat es die Anforde­rungen für die Maßnahme, die vor allem im Bund seit einigen Jahren kontro­vers diskutiert wird, festgelegt.

Das Bundesverfassungsgericht hat die nordrhein-westfälische Regelung zur Online-Durchsuchung verworfen; eine generelle Unzulässigkeit folgt aus dieser Entscheidung indes nicht. Vielmehr wurden in dem Urteil die Voraussetzungen einer solchen Maßnahme festgelegt, unter denen eine Online-Durchsuchung zulässig sein kann. Damit war im Bund der Startschuss für eine eigene Regelung zur Online-Durchsuchung gefallen. Diese Kompe­tenz soll das Bundeskriminalamt (BKA) zum Zweck der Abwehr terroristischer Gefahren erhal­ten. Eine entsprechende Regelung wurde eilig in das Gesetzgebungsverfahren zur Änderung des Bundeskriminalamtsgesetzes (BKAG) aufgenommen. In Bayern sind Befugnisse zur Online-Durchsuchung für die Polizei und den Verfassungsschutz bereits in Kraft.

Um den Eingriffscharakter der Online-Durchsuchung zu beschreiben, musste das Bundesverfassungsgericht eigens eine neue Ausprägung aus dem allgemeinen Persönlichkeitsrecht ableiten: das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dies schützt, anders als das Recht auf informationelle Selbstbestimmung, nicht die einzelnen Verarbeitungen personenbezogener Daten, sondern das informationstechnische System selbst, mit dem personenbezogene Daten verarbeitet werden. Das Bundesverfassungsgericht hat die besondere Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung, aber auch die Persönlichkeitsgefährdungen, die mit dieser Nutzung verbunden sind, und ein daraus folgendes erhebliches Schutz­bedürfnis erkannt und richtig analysiert. Der Einzelne ist darauf angewiesen, dass der Staat mit Blick auf die ungehinderte Persönlichkeitsentfaltung den berechtigten Erwartungen an die Integrität und Vertraulichkeit derartiger Systeme entspricht. Diesem Schutzbedürfnis tragen nach Auffassung des Gerichts das Recht auf Unverletzlichkeit der Wohnung, das Fernmeldegeheimnis sowie das Recht auf informationelle Selbstbestimmung nicht ausreichend Rechnung. Diese Schutzlücke soll durch das Recht auf Gewährleistung der Vertraulichkeit und Integrität infor­mationstechnischer Systeme geschlossen werden.

Die Maßnahme der Online-Durchsuchung kann mit diesem Grundrecht unter bestimmten engen Voraussetzungen zulässig sein, sowohl zu Zwecken der Gefah­renabwehr als auch zur Strafverfolgung. Sie müssen aber auf einer verfassungs­mäßigen gesetzlichen Grundlage beruhen, die hinreichend normenklar und bestimmt sowie verhältnismäßig ist. Dabei ist zu berücksichtigen, dass es sich bei einem heimlichen Zugriff auf einen Rechner oder ein anderes informationstechni­sches System mit dem Ziel der längerfristigen Überwachung um einen besonders intensiven Grundrechtseingriff handelt. Dies liegt vor allem an dem Umfang und der Vielfältigkeit des Datenbestands, der sich den Ermittlern bei einem Zugriff auf das System erschließt, an der Heimlichkeit der Maßnahme sowie daran, dass infolge des Zugriffs Gefahren für die Integrität des Rechners entstehen können. Angesichts der hohen Eingriffsintensität kann die Verhältnismäßigkeit der Maß­nahme nur sichergestellt werden, wenn deren Einsatz im präventiven Bereich auf die Abwehr konkreter Gefahren für überragend wichtige Rechtsgüter beschränkt bleibt. Darüber hinaus sind geeignete Verfahrensvorkehrungen, wie die Anordnung der Maßnahme durch einen Richter, zu treffen und die Unantastbarkeit des Kern­bereichs privater Lebensgestaltung zu sichern.

Bei Einhaltung dieser Anforderungen kann das Instrument der Online-Durch­suchung zwar verfassungskonform eingesetzt werden, doch verbleiben Risiken, die auch durch den Gesetzgeber nicht ausgeräumt werden können. Die erste Schwierigkeit wird schon die Auswahl des Zielsystems bereiten. Gerade bei einer Infiltration über das Internet ist man nicht davor gefeit, versehentlich das falsche IT-System zu infiltrieren, da dynamisch mit dem Internet verbundene Rechner sich in der Regel nicht hinreichend sicher eindeutig adressieren lassen. Ist die Infiltration erfolgreich, wird es den Ermittlern möglich, das gesamte infiltrierte System gezielt zu manipulieren. Dies hat insbesondere Einfluss auf den Informationsgehalt der mittels Online-Durchsuchung aufgefundenen Daten. Dass diese vom Betroffenen selbst stammen, kann aufgrund der Manipulierbarkeit des Zielsystems nicht mehr mit Sicherheit festgestellt werden. Außerdem können durch die Installation von Softwarekomponenten, die zum Zweck der Durchsuchung und Überwachung auf den Rechner aufgebracht werden, Sicherheitslücken entstehen, die auch durch unbefugte Dritte ausgenutzt werden können. Solche Sicherheitslücken können durch Deinstallation der Software nicht vollständig geschlossen werden.

Schließlich ist darauf hinzuweisen, dass die Unantastbarkeit des Kernbereichs privater Lebensgestaltung bei der Online-Durchsuchung technisch nicht gewähr­leistet werden kann. Es mag verfassungsrechtlich noch hinnehmbar sein, in diesen Fällen erhobene Daten aus dem Kernbereich bei einer Auswertung zu filtern und zu löschen. Die Unantastbarkeit des Kernbereichs ist allerdings bereits bei der Erhebung entsprechender Daten verletzt. Angesichts der begrenzten Erkenntnis­möglichkeiten bei dieser hochinvasiven Methode bei professionalisierten Krimi­nellen spricht vieles dafür, auf die Online-Durchsuchung völlig zu verzichten.

Was ist zu tun?
Die Online-Durchsuchung ist verfassungsrechtlich zwar möglich. Doch ist deren Durchführung zwangsläufig mit gesetzlich nicht regulierbaren Risiken verbunden. Der schleswig-holsteinische Gesetzgeber sollte daher von einer Einführung dieses Instruments weiterhin Abstand nehmen.

 

4.2.3      Landeskriminalamt  überprüft für Deutsche Bundesbank  Fremdpersonal

Bei der Fußballweltmeisterschaft 2006 ist das sogenannte Akkreditierungs­verfahren als ein Personenüberprüfungsverfahren gegen den Widerstand der Datenschützer in der Praxis eingeführt worden. Dieses „Musterverfahren“ wird zunehmend in anderen Bereichen eingesetzt. Es hatte sich ja bestens bewährt …

Anlässlich der Fußballweltmeisterschaft 2006 hielten es die Verantwortlichen für erforderlich, ein Akkreditierungsverfahren einzuführen. Es war damals aus Zeit­gründen nicht möglich, eine andere Lösung zu finden, und es sollte ein Verfahren zwischen Bundes- und Landesbehörden sein, das ausnahmsweise bei dieser Groß­veranstaltung eingesetzt wurde. Im Rahmen dieses Verfahrens mussten sich Jour­nalisten, Servicepersonal und weitere Personen, die in den Stadien ihrem Beruf nachgehen wollten, überprüfen lassen. Das ULD hatte das Landeskriminalamt (LKA) und die Verfassungsschutzbehörde frühzeitig darauf hingewiesen, dass es sich hierbei um eine Überprüfung ohne gesetzliche Grundlage und mit erheblichen Eingriffen in Grundrechte handelt, die lediglich auf eine Einwilligungserklärung der Betroffenen gestützt wird. Das Innenministerium setzte sich über diese Bedenken hinweg und gab den beteiligten Stellen grünes Licht. Das ULD beanstandete diese Akkreditierungsverfahren förmlich (29. TB, Tz. 4.2.5).

Die Befürchtungen des ULD, dass sich hieraus nach und nach ein Standard­verfahren für eine Vielzahl von sogenannten Zuverlässigkeitsüberprüfungen entwickeln könnte (30. TB, Tz. 4.2.3), scheinen sich zu bewahrheiten. Auch die Deutsche Bundesbank ist auf die Idee gekommen, außerhalb des Anwendungs­bereichs des Sicherheitsüberprüfungsgesetzes ihr Fremdpersonal überprüfen zu lassen. Die Deutsche Bundesbank und das LKA Schleswig-Holstein haben eine Vereinbarung geschlossen, wonach das LKA kriminalpolizeiliche wie auch staats­schutzrelevante Erkenntnisse aus den Kriminalakten und den INPOL-Verbund­dateien an die Deutsche Bundesbank zur Bewertung übermittelt. Die Betroffenen erhalten zuvor einen Erklärungsbogen, in dem sie ihren Namen, Geburtsdatum und -ort, die Wohnsitze der letzten fünf Jahre, Ausweis-/Passnummer sowie eine Erklärung zur Staatsbürgerschaft – freiwillig – eintragen „müssen“. Der Vordruck enthält auch Angaben zur Notwendigkeit der Überprüfung und zur Datenverar­beitung. Die Betroffenen erhalten keine Kenntnis über die vorliegenden und an die Deutsche Bundesbank als Entscheidungsgrundlage übermittelten Daten. Es fehlt jede Aufklärung über etwaige rechtliche Möglichkeiten, ob und wie sie sich gegen die Maßnahmen wehren können. Alle drei Jahre findet eine Wiederholungsüber­prüfung statt – ob mit oder ohne Kenntnis des Betroffenen ist dem Erklärungs­bogen nicht zu entnehmen. Dies ist in jeder Hinsicht eine Überprüfung mit erheb­lichem Überraschungspotenzial für die Betroffenen!

Wir haben im Vorfeld der Einführung des Verfahrens in Schleswig-Holstein das Innenministerium des Landes auf die Unzulässigkeit des Verfahrens hingewie­sen – ohne Erfolg. Dem ULD blieb keine andere Möglichkeit, als das Verfahren zu beanstanden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder bekräftigte die Kritik an dieser Form der Datenerhebung und -nutzung.

www.bfdi.bund.de/cln_007/nn_1207020/DE/Oeffentlichkeitsarbeit/Entschliessungssammlung/DSBundLaender/75DSK__Arbeitnehmerdaten.html

Was ist zu tun?
Zuverlässigkeitsüberprüfungen dürfen ohne gesetzliche Grundlage nicht stattfin­den. Das Votum des Gesetzgebers ist einzuholen, bevor sich weitere Stellen an der Idee der Personenüberprüfung auf Basis angeblich informierter Einwilligun­gen begeistern und das Verfahren zur alltäglichen Gewohnheit wird.

 

4.2.4      Die Polizei  bei der Kommunalwahl im Einsatz

Zwei Bürger wollten am Abend der Kommunalwahl 2008 im Kieler Rathaus die Veröffentlichung des Wahlergebnisses verfolgen. Am Eingang wurden sie abgewiesen und erhielten Hausverbot. Ein Polizeibeamter hatte die beiden als Angehörige der alternativen Szene erkannt.

Die beiden Menschen wandten sich ans ULD, weil sie am Abend der Kommunal­wahl 2008 ein Hausverbot für das Kieler Rathaus erhalten hatten, wo die Auszählung der Stimmen stattfand. Hieran wollten die Petenten teilnehmen. Im Eingangsbereich des Rathauses erfolgten Einlasskontrollen. Nach Angaben der Polizei war es an den Wochenenden zuvor zu Auseinandersetzungen zwischen rechten und linken Gruppierungen in der Innenstadt gekommen. In ihrer Lage­bewertung ging sie von der Möglichkeit einer offenen Konfrontation bis hin zu körperlichen Auseinandersetzungen aus. Die Polizei und die Stadt Kiel verab­redeten, dass ein Polizeibeamter seine Bewertung der eintretenden Personen an den Bediensteten der Stadt weitergibt und dieser dann aufgrund des Hausrechtes vorgeht.

Unsere Prüfung ergab, dass die Bewertung der einen Person erfolgte, ohne dass der Polizeibeamte diese überhaupt namentlich kannte. Die Person sei dem antifa­schistischen Bündnis zuzurechnen. In den Dateien der Polizei sind keine Daten über die Person gespeichert. Es handelte sich um eine dienstliche Kenntnis, teilte uns das Landespolizeiamt mit. Auch die Bewertung der zweiten Person basierte nicht auf gespeicherten Angaben. Die Person sei dem Polizeibeamten langjährig als eine Hauptperson der alternativen Szene bekannt. Beide Hausverbote wurden durch die Stadt Kiel in eigener Verantwortung ausgesprochen, betont die Polizei in ihrer Stellungnahme. Gestützt waren die städtischen Verfügungen ausschließlich auf den Informationen der Polizei.

Im Wortlaut:
§ 29 Gemeinde- und Kreiswahlgesetz

Die Wahlhandlungen und die Fest­stellung des Wahlergebnisses sind öffentlich. Der Wahlvorstand kann Personen, die die Ordnung und Ruhe stören, aus dem Wahlraum verweisen.

Das Gemeinde- und Kreiswahlgesetz garantiert die Öffentlichkeit der Wahl­handlungen und der Feststellung des Wahlergebnisses. Der Wahlvorstand kann Personen, die die Ordnung und Ruhe stören, aus dem Wahlraum ver­weisen. Eine solche Entscheidung hatte der Wahlvorstand nicht getroffen; die Selektion aller Besucher war im Vorfeld erfolgt.

Die Polizei und das ULD sind sich uneinig über die anwendbare Rechtsgrundlage für die erfolgte Datenübermittlung. Wir meinen, dass die Mitteilung an die Stadt als Ordnungsbehörde gemacht wurde. In jedem Fall waren die von der Polizei übermittelten Daten objektiv nicht geeignet, die Hausverbote zu begründen. Der Grundsatz der Verhältnismäßigkeit wurde verletzt. Die polizeiliche Beurteilung der Personen war eine subjektive Bewertung. Die Betroffenen hatten mit ihrem Verhalten keinerlei Anlass für eine Speicherung in einer Datei der Polizei gegeben, hatten weder eine Gefahr verursacht, noch eine Straftat begangen. Die Teilnahme an Demonstrationen musste unberücksichtigt bleiben, zumal es sich dabei um eine zulässige Grundrechtsausübung handelt, aus der den Betroffenen keine Nachteile erwachsen dürfen. Die erfolgte Mitteilung der Informationen über die Teilnahme der Petenten an Demonstrationen war rechtswidrig und wurde vom ULD beanstan­det.

Was ist zu tun?
Bei Einsätzen der Polizei, bei denen spontan grundrechtsrelevante Entscheidun­gen getroffen werden müssen, bedarf es eines sorgfältigen Vorgehens. Es reicht für einen Eingriff in geschützte Rechte von Bürgerinnen und Bürgern nicht, dass einem Polizeibeamten die Person von Demonstrationen bekannt ist. Weitergege­ben werden dürfen nur „polizeifeste Daten“.

 

4.2.5      Die unendliche Geschichte: Kontrolle der Abteilung 3 des Landeskriminalamtes

Bei den beiden Dateien „Innere Sicherheit Schleswig-Holstein“ und „Warn­datei rechts“ gibt es nur kleine Fortschritte.

„Es war einmal“, so beginnen viele Märchen. Im Landeskriminalamt benötigen Angelegenheiten manchmal eine so lange Zeit, dass es viel guter Hoffnung bedarf, um an ein gutes Ende zu glauben. Die Verarbeitung in der Datei „Innere Sicherheit Schleswig-Holstein“ (ISSH und der „Warndatei rechts“ wurde vom ULD vor etwa vier Jahren wegen fehlender Errichtungsanordnungen beanstandet. Das Landes­kriminalamt (LKA) hat nun – nach dem Nachbohren des ULD wie des Innen­ministeriums – begonnen, den bisherigen Absichtserklärungen Taten folgen zu lassen und die Errichtungsanordnungen zu erstellen.

In der Datei ISSH werden Daten von Personen erfasst, die einer politisch motivierten Straftat verdächtig sind, sofern Wiederholungsgefahr besteht und dies zur Aufklärung oder Verhütung einer künftigen Straftat erforderlich ist. Außerdem werden Sachverhaltsinformationen zu sämtlichen politisch motivierten Straftaten gespeichert. Daraus sollen z. B. Auswertungen, Statistiken und Führungsentschei­dungen erstellt werden. Die Daten sollen zudem zu Zwecken der Prävention und Repression zur Verfügung stehen.

Wir bezweifeln, dass sich das Datenmaterial und die aktuelle technische Datei­gestaltung für die Erreichung aller genannten Zwecke eignen. Das LKA scheint diese Besorgnis zu teilen, weil es in den vergangenen Jahren immer wieder über­legte, ein anderes Verfahren oder eine neue Software einzusetzen. Wir baten das LKA im Interesse einer Klärung der Erforderlichkeiten und der Realisierung von Datensparsamkeit und Datenvermeidung um Konkretisierung der Zwecke. Das ULD signalisierte, bei positivem Ausgang der internen Prüfung das gesamte Verfahren auditieren zu können. Der Entwurf einer Errichtungsanordnung bestärk­te uns in unserer kritischen Sicht. Fragen zur Rechtsgrundlage, zur Zweckbe­schreibung, zu den Personen, die gespeichert werden dürfen, zur Datenüber­mittlung und zur Speicherungsdauer – alles Aspekte, die normalerweise vor der Implementierung einer DV-Anwendung geklärt sein müssen – sind eine valide Grundlage, sich über das bestehende Verfahren Rechenschaft abzulegen und über eine bessere und datensparsamere neue technische Plattform bzw. über eine neue Software nachzudenken. Die Chance zur Verbesserung sollte nicht durch weiteres jahrelanges Zuwarten vergeben werden.

Auch der erste Entwurf einer Errichtungsanordnung für die „Warndatei rechts“ hat bei uns Bedenken zur Geeignetheit aufkommen lassen. Die Zweckbeschreibung lässt die konkret verfolgten Ziele nicht erkennen. Für strategische oder statistische Auswertungen, zur Unterstützung von Führungsentscheidungen und kriminologi­scher Forschung bedarf es keiner personenbezogenen Datenverarbeitung, es genügt ein anonymisierter Datenbestand. Durch die Erfassung unzähliger verschiedener persönlicher Daten entsteht eine Diskrepanz zwischen Zweck und Mittel. Auffällig ist auch das Fehlen technisch-organisatorischer Sicherungen. Die revisionsfeste Protokollierung der Abrufe aus der Datei ISSH ist Standard, doch leider noch nicht bei der „Warndatei rechts“.

Was ist zu tun?
Das LKA sollte die Erstellung der Errichtungsanordnungen zur Hinterfragung und Optimierung der beiden Staatsschutzdateien nutzen.

 

4.2.6      Landesverfassungsschutzgesetz kontra Verfassung

Der Beobachtungsauftrag der Verfassungsschutzbehörde soll erweitert wer­den. Sie soll umfangreiche neue Befugnisse bekommen, u. a. die auf Bundes­ebene bereits bestehenden, stark umstrittenen Auskunftsrechte über Tele­kommunikationsverkehrsdaten, Konto- und Reisebewegungen.

Lange Zeit war es still in Schleswig-Holstein bei der Sicherheitsgesetzgebung. Doch nun beschloss der Landtag ein Gesetz mit Befugnissen für die Verfassungs­schutzbehörde, die es im Bund und in anderen Ländern längst gibt. Nicht dass diese sich dort bewährt hätten – im Gegenteil: Im Bund wurden diese Befugnisse des Terrorismusbekämpfungsgesetzes kurz nach den Anschlägen vom 11. Sep­tember 2001 zwar durch das Terrorismusbekämpfungsergänzungsgesetz erweitert (29. TB, Tz. 4.2.7). Im Einzelnen handelt es sich hierbei um Auskunftsrechte gegenüber Luftfahrtunternehmen, Kreditinstituten, Finanzdienstleistern sowie Telekommunikations- und Telediensteanbietern über Reisebewegungen, Konten und Kontobewegungen sowie um Verkehrsdaten über die Nutzung von Telekom­munikation und Telemedien. Doch hat es eine unabhängige wissenschaftliche Evaluation dieser für den Bund seit sieben Jahren bestehenden Befugnisse nicht gegeben, Eignung und Erforderlichkeit sind mehr als fragwürdig. Dies hinderte die Landesregierung nicht daran, die Befugnisse auch für die Verfassungsschutz­behörde Schleswig-Holstein vorzuschlagen. Weshalb diese hier jetzt zur Bekämp­fung des Terrorismus erforderlich sind, obwohl es bisher auch ohne ging, beant­wortet der Gesetzentwurf nicht.

In einzelnen Punkten hält sich das Gesetz an sein erklärtes Ziel, das Verfassungs­schutzrecht in „moderater Weise“ anzupassen und gleichzeitig den Grundrechts­schutz zu stärken. Es wird versucht, die nachrichtendienstlichen Mittel abschlie­ßend zu regeln; auf die Einführung der Online-Durchsuchung (Tz. 4.2.2) wird verzichtet.

In anderen Punkten geht das Gesetz allerdings über das verfassungsrechtlich Akzeptable hinaus, so bei der Nutzung der sogenannten Vorratsdaten und bei der unzureichenden Regelung zum Schutz des Kernbereichs privater Lebensgestaltung. Das Gesetz ermächtigt die Verfassungsschutzbehörde, bei Telekommunikations­unternehmen und Internetprovidern die „auf Vorrat“ gespeicherten Verkehrsdaten über Telefon- und Internetverbindungen (Tz. 4.3.1) abzufragen. Gegen die Vorratsdatenspeicherung sind Verfassungsbeschwerden vor dem Bundesverfas­sungsgericht anhängig. Die Entscheidung in der Hauptsache steht zwar noch aus, doch im Verfahren des einstweiligen Rechtsschutzes hat das Bundesverfassungs­gericht durch einstweilige Anordnung die Nutzung der Vorratsdaten für die Verfassungsschutzbehörden eingeschränkt. Die schleswig-holsteinischen Regelun­gen entsprechen den bayerischen, die das Bundesverfassungsgericht für nicht anwendbar erklärt hat. Seine Hinweise in der Eilentscheidung zu der weiten und offenen Regelung der Schutzgüter sowie zu den niedrigen Gefahren- und Ver­dachtsschwellen deuten darauf hin, dass die Regelung im Hauptsacheverfahren keinen Bestand haben wird.

Die Regelung zum Schutz des Kernbereichs privater Lebensgestaltung genügt unseres Erachtens ebenfalls nicht den verfassungsrechtlichen Anforderungen. Wie vom ULD angeregt, gilt die Norm für alle nachrichtendienstlichen Mittel. Die gesetzlichen Vorkehrungen gegen ein Eindringen in den Kernbereich, also gegen das Erheben höchst persönlicher Daten, sind allerdings unzureichend. Heimliche Ermittlungen sollen nur dann ausgeschlossen sein, wenn Anhaltspunkte dafür bestehen, dass durch sie allein Informationen aus dem Kernbereich privater Lebensgestaltung erhoben werden. Dies bedeutet, dass heimliche Ermittlungen auch im Kernbereich der privaten Lebensgestaltung stets zulässig sind, wenn neben den Kernbereichsinformationen voraussichtlich auch andere Informationen erlangt werden. Natürlich ist dies der Regelfall. Üblicherweise werden bei Gesprächen im Kernbereich mit intimen Informationen auch banale Inhalte ausgetauscht. Der Schutz vor einer Erhebung von Kernbereichsinformationen hat eine zentrale Bedeutung, da in den „unantastbaren“ Kernbereich privater Lebensgestaltung eingedrungen wird. Der im Gesetz vorgesehene Schutz reduziert diesen auf äußerst unwahrscheinliche Fallgestaltungen und hebelt ihn damit aus. Insofern wird es eine Klärung durch das Bundesverfassungsgericht geben; wortgleiche Regelungen sind Gegenstand von Verfassungsbeschwerden.

www.datenschutzzentrum.de/allgemein/080722-verfassungsschutzg-e.htm

Was ist zu tun?
Das Gesetz sollte geändert werden, um die verfassungsrechtlichen Bedenken auszuräumen.

 

4.2.7      Antiterrordatei  – Wer kontrolliert die Protokolldaten ?

Beim Bundeskriminalamt (BKA) wird die Antiterrordatei betrieben. Das BKA hat nach dem Gesetz die Zugriffe auf die Datei zu speichern. Streit besteht über die Frage, wer in welchem Umfang zu Kontrollzwecken auf die Protokolldaten zugreifen darf.

Im Wortlaut:
§ 10 Abs. 1 Antiterrordateigesetz

Die Kontrolle der Durchführung des Datenschutzes obliegt nach § 24 Abs. 1 des Bundesdatenschutzgesetzes dem Bundesbeauftragten für den Datenschutz und die Informationsfrei­heit. Die datenschutzrechtliche Kon­trolle der Eingabe und der Abfrage von Daten durch eine Landesbehörde richtet sich nach dem Datenschutz­gesetz des Landes.

Sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfrei­heit (BfDI) als auch die Landesbeauf­tragten für den Datenschutz sind im Gesetz als für die Kontrolle zuständige Stellen benannt. Der BfDI ist für die Kontrolle der Durchführung des Daten­schutzes zuständig, während die Lan­desbeauftragten für die Kontrolle der Eingabe und der Abfrage von Daten durch die Landesbehörden verantwort­lich sind. Nach Auffassung des BKA dürfen die kontrollierenden Stellen auf die Protokolldaten nur in dem Umfang zugreifen, wie dies für eine Kontrolle der Eingaben und Abfragen der jeweils kontrollierten Behörde erforderlich ist. Konsequenz dieser Rechtsauffassung wäre, dass jede kontrollierende Stelle stets nur einen Ausschnitt der Protokolldaten zu sehen bekäme. Der BfDI hätte danach nur Zugriff auf die Daten, die bei der Eingabe oder dem Abruf durch Bundesbehörden protokolliert wurden, das gleiche gälte für die Landesbeauftragten für den Datenschutz in Bezug auf die teilneh­menden Landesbehörden.

Kontrollen der Protokollierung durch Querschnittsprüfungen wären danach prak­tisch nicht möglich. Nach einhelliger Auffassung der Datenschutzbeauftragten des Bundes und der Länder greift der Ansatz des BKA zu kurz und wird den im Anti­terrordateigesetz vorgesehenen Verantwortlichkeiten nicht gerecht. Das BKA trägt die Verantwortung für die Protokollierung der Zugriffe. Der BfDI ist zustän­dig für die Kontrolle der Einhaltung datenschutzrechtlicher Vorschriften durch das BKA. Für die Kontrolle der Rechtmäßigkeit der Eingaben und Abrufe durch die teilnehmenden Behörden ist jeweils der für die Behörde zuständige Datenschutz­beauftragte des Bundes oder des jeweiligen Landes zuständig. Es bestehen also parallele Zuständigkeiten, die unterschiedliche Zugriffe auf die Protokolldaten erfordern. Dem BfDI ist zwecks Kontrolle der Protokollierung ein Zugriff auf den gesamten Protokolldatenbestand zu gewähren. Für Kontrollen der einzelnen Eingaben und Abrufe genügt ein entsprechender Ausschnitt. Dies wurde dem BKA und dem Bundesministerium des Innern mitgeteilt. Es ist nicht erkennbar, welches Ziel mit der Behinderung der Datenschutzkontrolle verfolgt wird.

Was ist zu tun?
Das BKA muss die Zuständigkeit des BfDI für die Kontrolle der ordnungsgemä­ßen Protokollierung als auch die Zuständigkeit der Landesbeauftragten für die Kontrolle der durch die Protokolldaten dokumentierten Eingaben und Abfragen anerkennen.

 

4.2.8      Arbeitszeugnisse in Sicherheits- bzw. Sicherheitsüberprüfungsakten

Die Verfassungsschutzbehörde darf bei Sicherheitsüberprüfungen von Bediensteten nicht alle Daten speichern, die sie zur Kenntnis nehmen darf. Es reicht bei einem Personalaktenabgleich zumeist eine Notiz in der Sicherheits­akte aus, dass eine Überprüfung der Angaben stattgefunden hat. Kopien aus Personalaktenunterlagen haben in Sicherheitsakten grundsätzlich nichts zu suchen.

Eine Mitarbeiterin der Verfassungsschutzbehörde des Landes hatte bei Einsicht in ihre Sicherheitsakte festgestellt, dass sich dort Kopien von Zeugnissen früherer Arbeitgeber befanden. Diese Kopien waren als Nachweis des zulässigen Abgleichs mit ihrer Personalakte gefertigt worden. Der Abgleich mit der Personalakte dient dazu, die berufliche Vita zu belegen. Die Frage ist jedoch, ob es erforderlich und somit zulässig ist, wie die Verfassungsschutzbehörde meinte, Kopien der Arbeitszeugnisse in die Sicherheitsakte zu nehmen. Wir haben erreicht, dass die Kopien der Arbeitszeugnisse aus der Akte des Verfassungsschutzes entfernt werden. Sofern sich aus den Arbeitszeugnissen relevante Angaben ergeben, die für die Durchführung der Sicherheitsüberprüfung aus dem Jahr 1983 erforderlich sind, werden diese nachträglich in der Sicherheitsakte dokumentiert, was rechtlich nicht zu beanstanden ist. Die Kopien selbst werden vernichtet.

Was ist zu tun?
Personenbezogene Daten dürfen nur für den Zweck verwendet werden, zu dem sie erhoben wurden, es sei denn, dass das Gesetz die Verwendung für einen anderen Zweck erlaubt. Personalaktendaten, insbesondere Zeugnisse, haben daher nichts in Unterlagen über Sicherheitsüberprüfungen zu suchen.

 

4.2.9      DIANA  beim Verfassungsschutz  in Schleswig-Holstein

Die schleswig-holsteinische Verfassungsschutzbehörde hat vor Einführung eines neuen internen Datenbankverfahrens das ULD umfassend beteiligt. Datenschutzrechtliche Anregungen wurden überwiegend umgesetzt – im Ergebnis für Verfassungsschutz und Datenschutz eine gewinnbringende Zusammenarbeit für die Grundrechte der Betroffenen.

Das ULD erhielt von der Verfassungsschutzbehörde den Entwurf der Errichtungs­anordnung für eine neue Datei – DIANA. Die Details zu dem Verfahren wurden vom Innenministerium zur Verschlusssache (VS) deklariert. So viel kann dennoch mitgeteilt werden: Hinter der vielversprechenden Bezeichnung DIANA verbirgt sich ein Datenverarbeitungsverfahren, das der Information und Analyse von Daten der Verfassungsschutzbehörde dient. Die rechtlichen Bewertungen und Änderungsvorschläge des ULD wurden aufgegriffen und zum größten Teil umge­setzt. Es ging dabei um eine präzise Beschreibung des Zwecks der Datei, des Inhalts, des Umfangs, der Voraussetzungen der Speicherungen, der Übermittlung und Nutzung der Daten. Themen waren auch die Eingabe und Zugangsberechti­gung, die Überprüfungsfristen bzw. die Speicherungsdauer, die Protokollierung und die Rechte betroffener Bürgerinnen und Bürger.

Was ist zu tun?
Eine frühzeitige Beteiligung des ULD an automatisierten Datenverarbeitungs­verfahren nützt im Interesse der Sicherheit des Verfahrens sowohl der Daten verarbeitenden Stelle als auch den Betroffenen. Die hier gezeigte Zusammen­arbeit kann gern auch in anderen Bereichen Schule machen.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel