4.2 Polizei und Verfassungsschutz
4.2.1 Allgemeine Entwicklungen
Die Datenverarbeitung durch die Polizei ist durch eine hohe Dynamik gekennzeichnet. Zwar waren landespolitisch im Berichtszeitraum, bedingt durch die Landtagswahl, weniger Rechtssetzungsvorhaben zu verzeichnen als in den Vorjahren. Doch ein Blick in den schleswig-holsteinischen Koalitionsvertrag zeigt, dass die neue Landesregierung sich für die neue Legislaturperiode viel vorgenommen hat (siehe auch Tz. 1.1). So soll der Einsatz von Bodycams durch die Polizei auch in Wohnungen ermöglicht werden. Auch die Anschaffung von Dashcams für Streifenwagen der Polizei soll geprüft werden. Zudem soll die notwendige Technik für die automatische Kennzeichenerfassung zur Verfolgung von Straftaten beschafft werden. Zur Auswertung großer Datenmengen bei der Polizei soll auch der Einsatz von künstlicher Intelligenz fortentwickelt werden.
Die größte Veränderung der polizeilichen Datenverarbeitung entsteht jedoch im Verbund der Polizeibehörden des Bundes und der Länder. Unter der Bezeichnung „Programm P20“ wird die gesamte Datenverarbeitung der Polizei neu aufgestellt. Die Grundlage für die Datenverarbeitung soll künftig ein gemeinsames Datenhaus der Polizei bilden. Dort sollen alle Daten der Länder- sowie der Bundespolizeien gespeichert werden. Das Programm verfolgt dabei das Ziel der Einmalspeicherung. Jedes Datum soll im Datenhaus nur einmal gespeichert werden und für alle Behörden und Anwendungen im Rahmen der gesetzlichen Verwendungsmöglichkeiten zur Verfügung stehen. Gleichzeitig sollen die von den Polizeibehörden genutzten Systeme, wie Vorgangs- und Fallbearbeitungssysteme, vereinheitlicht werden. Hinzu kommen Basisdienste, teilweise auch mit dem Ziel einer Verbesserung des Datenschutzes oder der Datensicherheit, und einzelne Anwendungen zur Datennutzung. Ziel des Gesamtvorhabens ist es, die polizeiliche Fall- und Sachbearbeitung und somit auch Ermittlungen zu vereinfachen, Informationen schneller miteinander abgleichen, verifizieren und austauschen zu können. Die Polizei soll dadurch effizienter zusammenarbeiten und zielgerichteter agieren können.
Im Zusammenhang mit diesem Vorhaben stellen sich eine ganze Reihe datenschutzrechtlicher Fragen. Diese werden gemeinsam mit den Datenschutzbeauftragten des Bundes und weiterer Länder in einer Arbeitsgruppe behandelt. Die Arbeitsgruppe steht in einem direkten Austausch mit den Verantwortlichen für das Programm P20. Zugleich sind wir hierzu regelmäßig im direkten Kontakt mit dem Innenministerium des Landes Schleswig-Holstein.
Eine wichtige Rolle für die polizeiliche Datenverarbeitung sowie für den Bereich des Verfassungsschutzes spielt – wie schon immer – das Bundesverfassungsgericht. Im Berichtszeitraum wurde eine Verfassungsbeschwerde gegen die Regelungen in Hessen und Hamburg zum Einsatz von Auswertesoftware bei der Polizei vor dem Bundesverfassungsgericht verhandelt. Die in Kürze erwartete Entscheidung wird sicherlich richtungsweisend auch für das Programm P20 sein.
In einem anderen Bereich hat das Bundesverfassungsgericht im Berichtszeitraum deutlichen Nachbesserungsbedarf aufgezeigt: Mit Urteil vom 26. April 2022 – 1 BvR 1619/17 – hat das Bundesverfassungsgericht zahlreiche Vorschriften des Bayerischen Verfassungsschutzgesetzes für unvereinbar mit dem Grundgesetz erklärt. Diese Entscheidung hat umfassenden Reformbedarf für das Bayerische Verfassungsschutzgesetz ausgelöst. Auch das Verfassungsschutzgesetz Schleswig-Holstein bedarf vor dem Hintergrund dieser Entscheidung einer Überprüfung. Wir begrüßen daher, dass im Koalitionsvertrag eine Reformierung des Verfassungsschutzgesetzes angekündigt ist.
Was ist zu tun?
Die genannten Vorhaben haben
teilweise erhebliche Auswirkungen auf die Datenschutzrechte der Bürgerinnen und
Bürger. Sowohl bei der Rechtssetzung als auch bei der Umsetzung in der Praxis
sollte das ULD frühzeitig einbezogen werden.
4.2.2 Durchgeführte Prüfungen (SIS II und ATD/RED)
Die Koordinierungsgruppe des SIS II (SIS II SCG) hat beschlossen, dass die Datenschutzaufsichtsbehörden der Mitgliedstaaten eine gemeinsame Kontrolle der Personenausschreibungen zur verdeckten oder gezielten Kontrolle nach Artikel 36 des Beschlusses (EU) 2007/533/JI des Rates (SIS-II-Beschluss) vornehmen.
Die SIS II SCG ist ein Gremium, das den Schutz personenbezogener Daten im Informationssystem SIS II überwacht. Die Gruppe besteht aus Vertretern der nationalen Aufsichtsbehörden der Mitgliedstaaten sowie dem Europäischen Datenschutzbeauftragten.
Für Schleswig-Holstein hat sich das ULD an der Prüfung der polizeilichen Ausschreibungen beteiligt. Ausschreibungen nach Artikel 36 SIS-II-Beschluss werden hier zentral durch das Landeskriminalamt (LKA) eingestellt. Geprüft wurde u. a., ob die erforderlichen gerichtlichen Beschlüsse nach nationalem Recht vorhanden waren sowie ob die materiellen Voraussetzungen für eine Ausschreibung im SIS vorgelegen haben.
Was ist das Schengener Informationssystem (SIS II)?
Das SIS II ermöglicht es den zuständigen Behörden der Schengener Mitgliedstaaten, Ausschreibungen zu Personen oder Gegenständen vorzunehmen. Dazu zählen beispielsweise Einreiseverweigerungen von Personen, die den Schengenraum nicht betreten dürfen, Fahndungen nach Personen, die mittels Europäischem Haftbefehl gesucht werden, die Suche nach vermissten Personen oder die Fahndung nach verlorenen oder gestohlenen Gegenständen (z. B. Reisepässe oder Autos). Eine SIS-II-Ausschreibung beinhaltet Informationen zu einer bestimmten Person oder eines Gegenstandes sowie klare Anweisungen, was zu tun ist, wenn die Person oder der Gegenstand gefunden wird.
Zum Stichtag der Prüfung gab es nur wenige aktive Ausschreibungen. Alle geprüften Ausschreibungen waren datenschutzrechtlich nicht zu beanstanden.
Ebenfalls beim LKA wurden die Antiterrordatei (ATD) sowie die Rechtsextremismusdatei (RED) geprüft. Dabei handelt es sich um sogenannte Pflichtprüfungen. Gemäß § 10 Abs. 2 ATDG und § 11 Abs. 2 RED-G besteht für die Datenschutzaufsichtsbehörden eine Verpflichtung zur regelmäßigen Prüfung der jeweiligen Dateien in bestimmten Abständen.
Im Vorwege wurde eine Stichprobe festgelegt. Sie bestand aus 34 Personendatensätzen in der ATD sowie 67 Personendatensätzen in der RED. Die geprüften Personendatensätze waren datenschutzrechtlich nicht zu beanstanden. In einem Fall konnte im Rahmen der Vor-Ort-Prüfung zunächst nicht geklärt werden, ob der korrekte Speichergrund angegeben war. Die Speicherung wäre aber auch aus einem anderen Grund rechtmäßig gewesen. Nach LKA-interner Prüfung wurde der Speichergrund dann tatsächlich korrigiert.
Was sind die Antiterrordatei (ATD) und die Rechtsextremismusdatei (RED)?
Als Verbunddateien sind die ATD wie die RED bundesweit nutzbare Datenbestände, in denen Erkenntnisse von Polizei und Nachrichtendiensten zur Terrorismusbekämpfung bzw. zur Bekämpfung des gewaltbereiten Rechtsextremismus zusammengeführt werden. Gespeichert werden bestimmte Informationen zu Ziel- und Randpersonen (mutmaßlichen Unterstützern, Kontaktpersonen usw.) aus dem Bereich des internationalen Terrorismus (ATD) bzw. des Rechtsextremismus (RED).
4.2.3 Transparenz für Zeugen im Ordnungswidrigkeitenverfahren
Im Berichtszeitraum ging eine Beschwerde gegen eine Verkehrsordnungswidrigkeitenbehörde ein. Der Beschwerdeführer hatte ein wiederholt falsch parkendes Fahrzeug der zuständigen Ordnungsbehörde über eine App gemeldet. Im Rahmen des OWi-Verfahrens wurde dem Fahrzeughalter der Name des Beschwerdeführers als Zeuge mitgeteilt. Der Beschwerdeführer sah in der Übermittlung seiner personenbezogenen Daten an den Fahrzeughalter einen Verstoß gegen datenschutzrechtliche Vorschriften. Insbesondere sei er vorab weder über die geplante Weitergabe informiert worden, noch habe man seine Erlaubnis eingeholt.
Für das OWi-Verfahren finden die Regelungen des Gesetzes über Ordnungswidrigkeiten (OWiG) sowie sinngemäß die der Strafprozessordnung (StPO) Anwendung. Danach sind dem Empfänger eines Bußgeldbescheides die Beweismittel zu benennen. Dazu gehört auch die Benennung von Zeugen (in diesem Fall der Anzeigende). Der Empfänger des Bußgeldbescheides soll die Beweiskraft des gegen ihn erhobenen Vorwurfs überprüfen können und in der Lage sein, die Erfolgsaussichten eines Einspruchs gegen den Bußgeldbescheid einzuschätzen.
Die Erforderlichkeit beachten!
Anzeigende oder Hinweisgeber dürfen nur als Zeugen im Bußgeldverfahren benannt werden, wenn dies erforderlich ist, um das Verfahren rechtssicher abzuschließen. Entsendet eine Behörde aufgrund eines Hinweises beispielsweise eigenes Personal, das dann vor Ort selbst Zeuge des Verstoßes wird, so ist die Benennung des ursprünglichen Hinweisgebers als Zeuge in der Regel nicht mehr erforderlich und damit unzulässig.
Dies ist seit Jahrzehnten gelebte Praxis und auch gerichtlich so bestätigt. Vielen Anzeigenden ist dies jedoch nicht bewusst – so auch im vorliegenden Fall. Und die Zahl betroffener Anzeigender nimmt zu. Zum einen ist es heute viel einfacher, eine Ordnungswidrigkeit anzuzeigen, da viele ein Smartphone besitzen und entsprechende Apps die Übersendung an die Ordnungsbehörde/Polizei übernehmen. Zum anderen hat die mediale Aufmerksamkeit der DSGVO dazu geführt, dass viele Bürgerinnen und Bürger sich an die Bekanntmachungs- und Informationspflichten der DSGVO gewöhnt haben und – irrtümlicherweise – davon ausgehen, dass diese auch bei einer OWi-Anzeige zur Anwendung kommen. Über die (stillschweigende) Weitergabe ihrer Daten an die angezeigte Person sind viele Anzeigende deshalb überrascht.
Mit der Umsetzung der „EU-Richtlinie 2016/680 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“ in nationales Recht sind jedoch auch im Bereich der Gefahrenabwehr und Strafverfolgung (einschließlich der Verfolgung von Ordnungswidrigkeiten) erweiterte Transparenzvorschriften erlassen worden. Für das OWi-Verfahren gelten damit neben dem OWiG und der StPO die Regelungen des dritten Teils des Landesdatenschutzgesetzes (LDSG). Bezüglich der Transparenz im OWi-Verfahren sind u. a. § 22 Nr. 1 LDSG und § 31 LDSG zu beachten.
Nach dem Grundsatz aus § 22 Nr. 1 LDSG müssen personenbezogene Daten „auf rechtmäßige Weise und nach Treu und Glauben“ verarbeitet werden. Dies bedeutet, dass die Datenverarbeitung für die betroffenen Personen grundsätzlich nachvollziehbar und im Allgemeinen erwartbar sein sollte (Grundsatz der Transparenz).
§ 31 LDSG regelt im Sinne dieses Grundsatzes, welche Informationen zur Datenverarbeitung bekannt zu geben sind. Während nach der DSGVO solche Informationen dem einzelnen Betroffenen im Hinblick auf die konkrete Datenverarbeitung mitzuteilen sind, reicht es nach § 31 LDSG aus, dass der Verantwortliche Informationen zur Datenverarbeitung „in allgemeiner Form und für jedermann zugänglich“ zur Verfügung stellt. In der Regel kann dem durch eine Veröffentlichung auf der Homepage entsprochen werden. Zu den Informationen nach § 31 LDSG gehört es u. a., die „Zwecke“ zu benennen, zu denen personenbezogenen Daten verarbeitet werden.
Es wäre durchaus möglich und damit auch geboten, auf allgemeine Weise und für jedermann zugänglich darauf hinzuweisen, für welche Zwecke die personenbezogenen Daten von Anzeigenden verwendet werden.
Im vorliegenden Fall hat der verantwortliche Kreis auf seiner Homepage allgemeine Informationen zum Datenschutz veröffentlicht. Diese Informationen sind sogar einzeln für jeden Aufgabenbereich der Kreisverwaltung abrufbar. Darunter findet man auch den Bereich der „allgemeinen Ordnungswidrigkeiten“. Leider sind diese Informationen nicht leicht zu finden, selbst wenn man danach sucht. Außerdem verweisen die Datenschutzhinweise in Bezug auf Ordnungswidrigkeiten nicht auf § 31 LDSG, sondern fälschlicherweise auf die DSGVO. Des Weiteren beziehen sich die Angaben nur auf die Verarbeitung der personenbezogenen Daten der Betroffenen des OWi-Verfahrens. Auf die Verarbeitung der Daten von Anzeigenden, Hinweisgebern oder Zeugen wird nicht eingegangen.
Dies ist leider kein Einzelfall. Bisher hat kaum eine Ordnungs- oder Sicherheitsbehörde Informationen nach § 31 LDSG veröffentlicht, und wenn doch, liegt der Schwerpunkt auf der Verarbeitung der personenbezogenen Daten der Betroffenen des OWi-Verfahrens. Meist muss man lange suchen, um überhaupt Informationen zu finden. Für Anzeigende, Hinweisgeber oder Zeugen bleiben die Zwecke, für die ihre Daten verarbeitet werden, damit intransparent und kaum nachvollziehbar.
Was ist zu tun?
Behörden, die personenbezogene Daten
nach dem dritten Abschnitt des LDSG verarbeiten, sollten prüfen, ob sie ihrer
Transparenzpflicht nach § 31 LDSG nachkommen. Dies schließt den Umgang mit
den Daten von Anzeigenden und Hinweisgebern ein. Außerdem sollten diese
Informationen leicht zugänglich und schnell auffindbar sein.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |