4.2 Polizei und Verfassungsschutz
4.2.1 Neues Polizeirecht für Schleswig-Holstein
Der Landtag hat im Berichtszeitraum eine Änderung des Polizeirechts beraten. Ziel der Änderung ist u. a. die Umsetzung der EU-Richtlinie 2016/680 zum Datenschutz in der Strafverfolgung und des Urteils des Bundesverfassungsgerichts zum BKA-Gesetz. Gegenüber dem Landtag hatten wir Gelegenheit, zu dem Entwurf Stellung zu nehmen. Wir haben in unserer Stellungnahme zahlreiche Kritikpunkte wiederholt, die wir schon gegenüber dem Innenministerium vorgetragen hatten (38. TB, Tz. 4.2.1). Einige Änderungen hatte das Innenministerium aufgrund unserer Stellungnahme vorgenommen, aber in vielen Punkten war der Entwurf bei seiner Vorlage an den Landtag unverändert.
Das Gesetz enthält eine Reihe von Verbesserungen für den Datenschutz. Allerdings wiegen diese den Zuwachs an Befugnissen für die Erhebung und Verarbeitung personenbezogener Daten nicht auf, die mit dem Gesetz eingeführt werden. Zu den vorgesehenen Neuerungen gehören eingriffsintensive Maßnahmen wie z. B. GPS-Tracking, der Einsatz verdeckter Ermittler oder die Durchführung von verdachtsunabhängigen Kontrollen in Verkehrsmitteln und auf Verkehrswegen.
Kritik haben wir insbesondere zu folgenden Regelungen geäußert:
- zu der Einführung einer Befugnis zur anlasslosen Identitätsfeststellung in Verkehrsmitteln und auf Durchgangsstraßen für den grenzüberschreitenden Verkehr,
- zu dem Einsatz von Bodycams auch auf Wohngrundstücken,
- zu der neu eingeführten Definition der dringenden Gefahr und
- zu der Absenkung des Schutzes des Kernbereichs privater Lebensgestaltung bei der Wohnraumüberwachung.
Unsere Stellungnahme ist hier abrufbar:
http://www.landtag.ltsh.de/infothek/wahl19/umdrucke/04400/umdruck-19-04443.pdf
Kurzlink: https://uldsh.de/tb39-4-21
4.2.2 Stichprobenkontrolle bei Telekommunikationsüberwachung (TKÜ)
Das verdeckte Abhören von Telefongesprächen ist ein schwerer Eingriff in die Persönlichkeitsrechte der betroffenen Personen. Regelmäßig sind auch unbeteiligte Dritte davon berührt, ohne dies zu wissen. Das Verfahren ist technisch aufwendig, und neben den Providern und der Polizei sind in Strafverfahren auch die Staatsanwaltschaften und Gerichte beteiligt.
Für das Vertrauen der Bevölkerung in die Rechtmäßigkeit verdeckter Maßnahmen ist die Überzeugung entscheidend, dass diese nach rechtsstaatlichen Prinzipien durchgeführt werden. Es liegt in der Natur der Sache, dass verdeckte Maßnahmen für Betroffene sowie Außenstehende intransparent sind. Häufig reichen deshalb bereits leichte Zweifel aus, um das Vertrauen in die rechtmäßige Anwendung dieser Instrumente zu untergraben.
Hier leistet die unabhängige datenschutzrechtliche Kontrolle einen wichtigen Beitrag. Dies hat auch das Bundesverfassungsgericht beispielsweise in seinem Urteil zum BKA-Gesetz betont. Die unabhängige Kontrolle mildert die Folgen der Intransparenz, kann das Vertrauen der Öffentlichkeit in die rechtmäßige Anwendung dieser Instrumente stärken und trägt dazu bei, Prozesse und Verfahrensweisen zu verbessern.
Aufgrund mehrerer Eingaben von Bürgerinnen und Bürgern, die befürchteten, unrechtmäßig abgehört worden zu sein, haben wir bereits Mitte 2018 begonnen, Telekommunikationsüberwachungsmaßnahmen (TKÜ-Maßnahmen) bei der Landespolizei stichprobenweise zu kontrollieren. Zu der Stichprobe gehörten 20 Vorgänge, die aus der TKÜ-Anlage der Polizei ausgewählt wurden, mit insgesamt 126 einzelnen Maßnahmen. Darüber hinaus wurden die 20 ältesten Vorgänge herangezogen, zu denen noch Aufnahmen existierten.
Für alle 126 Einzelmaßnahmen wurde vor Ort geprüft, ob die erforderlichen Gerichtsbeschlüsse vorliegen. Darüber hinaus wurden in der Folge bei den betroffenen Staatsanwaltschaften die Punkte der Löschung der Daten und der Information der Betroffenen geprüft.
Das Landeskriminalamt (LKA) konnte im Rahmen einer Vor-Ort-Prüfung für alle 126 Maßnahmen der Stichprobe ad hoc die entsprechenden Gerichtsbeschlüsse vorlegen. Das ULD wurde in seiner
Prüfung unterstützt, und offene Fragen wurden jeweils engagiert und zeitnah beantwortet. Die Dokumentation war vollständig und übersichtlich abgelegt.
Auffälligkeiten wurden in zwei Bereichen vorgefunden: der Löschung von Altaufnahmen sowie der Benachrichtigung Betroffener.
1. Löschung von Altdaten: Im LKA existierten noch alte Aufnahmen, die bis in die 90er-Jahre zurückreichten. Ursache dafür waren Mängel in der Zusammenarbeit zwischen der Polizei und den Staatsanwaltschaften. Über die Löschung von TKÜ-Aufnahmen in einem Strafverfahren entscheidet grundsätzlich die Staatsanwaltschaft. Das LKA wird dann angewiesen, die Löschung durchzuführen und zu bestätigen. Dies wurde offensichtlich in vielen Fällen schlicht vergessen. Nachfragen vonseiten der Polizei gab es ebenfalls nicht.
Seit dem Beginn der Prüfung haben Polizei und Staatsanwaltschaften jedoch verstärkt zusammengearbeitet, um Datenbestände zu löschen, die nicht mehr benötigt werden. So konnten seit Beginn der Prüfung gemäß einer Schätzung des LKA Daten zu ca. 8.500 (+/- 250) Leitungen in ca. 1.000 (+/- 100) Verfahren gelöscht werden.
Begriffe
„Verfahren“ sind Ermittlungsverfahren, zu denen sich einzelne „TKÜ-Maßnahmen“ zu bestimmten Personen oder Kommunikationsmitteln ergeben können. Dabei werden die anfallenden Daten für einzelne „Leitungen“ getrennt gespeichert, die auch dieselbe Rufnummer betreffen können, wenn diese etwa im In- oder Ausland oder unabhängig voneinander für verschiedene Verfahren überwacht wird.
2. Benachrichtigung Betroffener: Weiteres Verbesserungspotenzial besteht bei der Benachrichtigung der von der Telekommunikationsüberwachung betroffenen Personen. Die Strafprozessordnung sieht vor, dass die Beteiligten an der überwachten Kommunikation benachrichtigt werden sollen, sobald der Untersuchungszweck nicht mehr gefährdet ist. In diesem Zusammenhang soll auch auf die Möglichkeit des nachträglichen Rechtsschutzes sowie die entsprechenden Fristen hingewiesen werden. Das gilt grundsätzlich auch für die Kommunikationspartner einer überwachten Person. Unter bestimmten Umständen kann davon abgesehen werden: z. B. wenn der Kommunikationspartner von der Maßnahme nur unerheblich betroffen wurde und anzunehmen ist, dass er kein Interesse an einer Benachrichtigung hat. Oder falls der Aufwand für die Ermittlung des Kommunikationspartners besonders hoch und dies sehr eingriffsintensiv wäre. Eine Benachrichtigung darf jedoch nicht einfach pauschal deswegen unterbleiben, weil dies mit einem zusätzlichen Aufwand verbunden ist. Die für die Überwachung zuständige Behörde muss dokumentieren, für welche Variante sie sich jeweils entscheidet, und dabei darlegen, warum die Voraussetzungen dafür vorliegen.
In den in Augenschein genommenen Akten sind derartige Dokumentationen (bis auf eine Ausnahme) zur (Nicht-)Benachrichtigung der Betroffenen nicht gefunden worden. Betroffene werden häufig im Rahmen des Gerichtsverfahrens durch die Akteneinsicht ihrer Verteidiger auf die TKÜ-Maßnahmen aufmerksam. Dokumentierte Entscheidungen bezüglich der Benachrichtigung der einzelnen Kommunikationspartner waren ebenfalls nicht in den Akten enthalten.
Lösungsansatz: Die vorgefundenen Mängel liegen häufig in der Art begründet, wie die Akten geführt werden. Verfahren, bei denen TKÜ-Maßnahmen zum Einsatz kommen, können mitunter viele Jahre laufen, mehrere Beschuldigte umfassen, und es können jeweils viele Kommunikationsmittel eine Rolle spielen. Hierbei darf man nicht den Überblick verlieren. Es gibt zwar teilweise TKÜ-Sonderbände, in den geprüften Akten enthielten diese zumeist aber nur inhaltliche Auszüge aus einzelnen Überwachungsmaßnahmen. Es war kaum möglich, in den Aktenbergen die relevanten Dokumente zu finden.
Die Situation könnte beispielsweise dadurch verbessert werden, dass man in den TKÜ-Sonderbänden alle TKÜ-relevanten Informationen zentral sammelt. Dazu gehören Unterlagen wie die gerichtlichen Anordnungen, eine Übersicht der an der überwachten Kommunikation beteiligten Personen, eine Übersicht der überwachten Leitungen bzw. Kommunikationsmittel sowie die Dokumentation von Löschverfügungen und von erteilten oder nicht notwendigen Benachrichtigungen.
Mit einer auf diese Weise verbesserten Übersichtlichkeit könnte auch einfacher sichergestellt werden, dass die Rechte betroffener Personen – z. B. durch fristgerechte Löschung oder Benachrichtigung – gewahrt werden. Außerdem kann dies das Vertrauen in verdeckte Maßnahmen stärken, da so eine effektive unabhängige Kontrolle unterstützt wird.
Was ist zu tun?
Die Dokumentation bezüglich der Benachrichtigung betroffener Personen sowie die Kommunikation der Staatsanwaltschaften mit dem LKA bezüglich der fristgerechten Löschung von Aufnahmen müssen verbessert werden. Um den Überblick zu behalten, Löschfristen und Benachrichtigungsverpflichtungen nicht zu übersehen sowie eine unabhängige Kontrolle zu erleichtern, könnten alle TKÜ-relevanten Dokumente und Vermerke in einem Sonderband gesammelt werden.
4.2.3 Protokollierung von Abfragen aus polizeilichen Systemen
Immer häufiger liest man in letzter Zeit davon, dass offenbar personenbezogene Daten aus polizeilichen Systemen zweckentfremdet genutzt werden. Besondere Aufmerksamkeit bekommt das Thema rund um die Aktivitäten des sogenannten NSU 2.0. Dies ist ein besonders gravierender Missbrauch, der in unserer Aufsichtspraxis glücklicherweise keine Rolle gespielt hat. Missbräuchliche Abrufe beschäftigen uns dagegen seit langer Zeit. Meist steckt die persönliche Neugier der Polizeibeamtinnen und -beamten dahinter.
Unzulässige Abfragen fallen in der Regel nur auf, wenn es einen konkreten Verdacht gibt. Selbst dann ist es häufig mühsam oder gar nicht möglich, einen Verstoß nachzuweisen. Abfragen werden grundsätzlich protokolliert und lassen sich dem Nutzerkonto einer bestimmten Beamtin oder eines bestimmten Beamten zuordnen. Liegt eine Abfrage länger zurück und soll dann auf Nachfrage begründet werden, ist es bei der Vielzahl an Abfragen oft schwierig, sich zu erinnern, warum eine zurückliegende Abfrage (rechtmäßig) getätigt wurde.
Diese Situation ist in mehrfacher Hinsicht problematisch. Einerseits haben es diejenigen Polizistinnen und Polizisten, die sich an die Regeln halten, häufig schwer, die Rechtmäßigkeit ihrer Abfrage nachträglich zu belegen. Gibt es bereits einen Verdacht auf Missbrauch, geraten sie in einen Rechtfertigungszwang. Andererseits fällt eine missbräuchliche Nutzung selten auf und kann manchmal durch Schutzbehauptungen verschleiert werden. Personen, die von solchen Abfragen betroffen sind, fühlen sich dadurch wehrlos und ausgeliefert. Und wie die öffentliche Diskussion zeigt, sind diese Umstände auch geeignet, das Vertrauen in den Umgang mit polizeilichen Daten sowie das Ansehen der Polizei im Allgemeinen zu schädigen. Doch die derzeitigen Inhalte der Protokolldateien sind nicht dazu geeignet, um effektive verdachtsunabhängige Kontrollen durch Datenschutzaufsichtsbehörden oder behördliche Datenschutzbeauftragte zu bewerkstelligen.
Mit der Umsetzung der EU-Richtlinie 2016/680 in nationales Recht hat der Landesgesetzgeber die rechtliche Grundlage für eine Verbesserung der Situation gelegt. § 52 Abs. 2 LDSG legt nun erstmals fest, dass die Protokolle über Abfragen und Offenlegungen es ermöglichen müssen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, sowie die Identität des Empfängers der Daten festzustellen.
Auf dieser Grundlage wird es zukünftig möglich sein, Missbrauch effektiver zu bekämpfen, aber im Bedarfsfall auch die rechtmäßige Verwendung von personenbezogenen Daten nachzuweisen. Um dies zu bewerkstelligen, sind umfangreiche Anpassungen der polizeilichen IT-Systeme erforderlich. Dabei sind noch viele Fragen offen. Dazu gehört beispielsweise, wie die Identität der abfragenden Person sowie des Empfängers zweifelsfrei festgestellt werden soll (Authentifizierung). Auch ist noch unklar, welche Voraussetzungen und Merkmale eine Begründung erfüllen muss, um die Rechtmäßigkeit einer Abfrage effektiv überprüfen zu können. Dabei ist nicht nur die konsequente Erfassung der notwendigen Informationen in den bestehenden Protokollen von Bedeutung. Durch die Einführung automatisierter Plausibilitätschecks sowie technisch auswertbarer Protokollformate könnte man die anstehenden Änderungen auch nutzen, um anlasslose, unabhängige Kontrollen trotz begrenzter personeller Ressourcen deutlich zu erleichtern.
Das Gesetz sieht für die Anpassung bestehender IT‑Systeme eine Übergangsfrist bis zum 06.05.2023 vor. Die Praxis zeigt, dass diese Anpassungen dringend nötig sind.
Was ist zu tun?
Es sollte zeitnah für die jeweils betroffenen IT-Systeme ein Lastenheft für die konkrete Umsetzung der neuen Regelungen zur Protokollierung erstellt werden. Entscheidend ist dabei, dass die Anforderungen an eine effektive Kontrolle der Protokolldaten ebenfalls Berücksichtigung finden. Die Übergangszeit bis 2023 muss nicht ausgeschöpft werden – je schneller der aktuelle unbefriedigende Zustand behoben wird, desto besser.
4.2.4 Kein Zugriff auf Corona-Kontaktdaten für die Polizei!
§ 28a Abs. 4 Infektionsschutzgesetz
Im Rahmen der Kontaktdatenerhebung nach Absatz 1 Nummer 17 dürfen von den Verantwortlichen nur personenbezogene Angaben sowie Angaben zum Zeitraum und zum Ort des Aufenthaltes erhoben und verarbeitet werden, soweit dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist. Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen verwendet werden und sind vier Wochen nach Erhebung zu löschen. Die zuständigen Stellen nach Satz 3 sind berechtigt, die erhobenen Daten anzufordern, soweit dies zur Kontaktnachverfolgung nach § 25 Absatz 1 erforderlich ist. Die Verantwortlichen nach Satz 1 sind in diesen Fällen verpflichtet, den zuständigen Stellen nach Satz 3 die erhobenen Daten zu übermitteln. Eine Weitergabe der übermittelten Daten durch die zuständigen Stellen nach Satz 3 oder eine Weiterverwendung durch diese zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen. Die den zuständigen Stellen nach Satz 3 übermittelten Daten sind von diesen unverzüglich irreversibel zu löschen, sobald die Daten für die Kontaktnachverfolgung nicht mehr benötigt werden.
Im Zuge der Erhebung von Kontaktdaten von Gästen in der Gastronomie und in anderen Freizeiteinrichtungen stellte sich immer wieder die Frage, ob auch die Polizei diese Daten für strafrechtliche Ermittlungen oder für Gefahrenabwehrmaßnahmen erhalten darf. Dies hat der Bundesgesetzgeber nun mit einem klaren „Nein“ beantwortet.
Seit der Einführung der Pflicht zur Erhebung der Kontaktdaten enthielt die Corona-Bekämpfungsverordnung des Landes eine Zweckbeschränkung dieser Daten. Die Gastwirte und andere Einrichtungen durften diese Daten nur für die Nachverfolgung von Infektionsketten an die Gesundheitsbehörden herausgeben. Für andere Zwecke durften die Daten nicht genutzt werden.
Diese Zweckbeschränkung in einer Rechtsverordnung eines Landes war jedoch nicht geeignet, Anforderungen vonseiten Dritter standzuhalten, die auf einer gesetzlichen Grundlage die Herausgabe verlangen können, wie z. B. eine Beschlagnahme durch Strafverfolgungsbehörden.
Durch eine Änderung im Infektionsschutzgesetz hat nun der Bundesgesetzgeber eine klare und abschließende Zweckbeschränkung für solche Kontaktdaten geregelt.
Damit ist nun sichergestellt, dass die Kontaktdaten ausschließlich für die Zwecke der Nachverfolgung von Kontaktpersonen einer mit dem Coronavirus infizierten Person verwendet werden dürfen. Für Zwecke der Strafverfolgung oder Gefahrenabwehr dürfen sie nicht verwendet werden.
Was ist zu tun?
Die enge Zweckbestimmung der Kontaktdaten ist zu beachten. Sie dürfen durch die erhebenden Stellen und die Gesundheitsbehörden nur für den Zweck der Kontaktnachverfolgung genutzt werden. Für andere Zwecke und für die Nutzung durch andere Stellen stehen sie nicht zur Verfügung.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |