Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

4.2         Polizei und Nachrichtendienste

4.2.1      Neues Polizeirecht  – Verfassungsmäßigkeit weiter fraglich

Das neue Polizeirecht sieht eine Reihe von erweiterten Befugnissen zur Erhebung und Verarbeitung personenbezogener Daten vor. In der öffentlichen Diskussion des Entwurfes sahen wir uns in unserer Kritik weitgehend bestätigt, so bei der Anhörung im Innen- und Rechtsausschuss und durch ein Gutachten des Wissenschaftlichen Dienstes.

Das ULD hatte im letzten Tätigkeitsbericht seine Bedenken gegen die zunehmende Erweiterung polizeirechtlicher Befugnisse im Gefahrenvorfeld vorgestellt (28. TB, Tz. 4.2.1). Die Kritik an solchen Vorfeldbefugnissen hat sich durch die Entscheidung des Bundesverfassungsgerichts zur Rasterfahndung vom 4. April 2006 als begründet erwiesen. Dennoch wurden in dem Entwurf an den folgenden Eingriffsbefugnissen festgehalten:

• Videoüberwachung und -aufzeichnung im öffentlichen Raum,
• präventive Telekommunikationsüberwachung,
• Kfz-Kennzeichenüberwachung,
• erweiterte Kontrollbefugnisse bei Schleierfahndung und Identitätsfeststellung,
• Erweiterung der Generalermächtigung zur vorbeugenden Straftatenbekämpfung

Lediglich die im ersten Referentenentwurf vorgesehene und vom ULD scharf kritisierte verdachtsunabhängige Tonaufzeichnung in öffentlich zugänglichen Räumen wurde gestrichen.

Mit dem Vorgangsbearbeitungssystem führt der Entwurf einen bislang im Polizeirecht unbekannten Begriff ein und gibt den Polizeibehörden extrem weit reichende Speicherungs- und Abrufbefugnisse. Wenn die Polizei Daten erhoben hat, erfolgt dies zur Erfüllung einer konkreten Aufgabe, also für einen konkreten Zweck. Speichert sie diese Daten, so darf sie das bislang, wenn es zur Erfüllung der Aufgabe notwendig ist. Nach der neu geplanten Regelung kann die Speicherung auch zu einem anderen als dem Erhebungszweck erfolgen. Darüber hinaus kann die Polizei die gespeicherten Daten für jeden anderen Zweck verwenden, wenn dieser – allgemein – im Rahmen ihrer Aufgaben liegt. Damit würde die Speicherung in Zukunft weitgehend losgelöst von der ursprünglich zu erledigenden Aufgabe möglich sein. Die Grundsätze der Zweckbindung und der Erforderlichkeit der Datenverarbeitung würden in weiten Teilen ausgehebelt. Jede Bürgerin und jeder Bürger kann davon betroffen sein: Nicht nur Daten über für eine Gefahr verantwortliche Personen werden in Vorgangsbearbeitungssystemen gespeichert, sondern z. B. auch Zeugen, Opfer oder Hinweisgeber. Die Neuregelung würde zu einer Aushöhlung des Rechts auf informationelle Selbstbestimmung führen. Der Wissenschaftliche Dienst des Landtags spricht zutreffend von einer „Entwidmung“ der Daten (siehe zum Vorgangsbearbeitungssystem @rtus Tz. 4.2.3).

Im Rahmen einer Sachverständigenanhörung haben wir nochmals zu dem Gesetzentwurf Stellung genommen. Praktisch alle weiteren hinzugezogenen Sachverständigen und Verbände haben die vom ULD dargestellten verfassungsrechtlichen Mängel des Entwurfs bestätigt. Die verfassungsrechtliche Bestandskraft verschiedener geplanter Vorschriften wurde bezweifelt, weil diese nicht verhältnismäßig sind und nicht dem verfassungsrechtlichen Bestimmtheitsgebot (siehe Kasten) entsprechen. Ein Beispiel ist die Generalklausel zur Datenerhebung im Rahmen der vorbeugenden Straftatenverhütung. Dort werden die Begriffe der „organisierten“ oder „serienmäßig begangenen“ Straftaten eingeführt. Ebenso wie das ULD hielten auch die Gewerkschaft der Polizei, mehrere Richterverbände und ein früherer Bundestagsvizepräsident diese Formulierungen für zu unpräzise. Bei der Kfz-Kennzeichenerfassung – um ein anderes Beispiel zu nennen – bleibt unklar, was unter „Fahndungsbestand“ zu verstehen sein soll. Klar gefasste verhältnismäßige Regelungen sind nicht nur aus Sicht der betroffenen Bürgerinnen und Bürger ein absolutes Muss. Auch den handelnden Polizeibeamtinnen und Polizeibeamten muss im Einsatzgeschehen durch klare gesetzliche Handlungsrichtlinien der Rücken freigehalten werden.

Uns wurde während des gesamten Gesetzgebungsverfahrens immer wieder vorgeworfen, wir nähmen uns selbst zu wichtig und wir hätten keine verfassungsrechtliche Verwerfungskompetenz. Eine solche Kompetenz hat das ULD in der Tat nicht. Es ist aber unsere gesetzliche Aufgabe, dem Gesetzgeber im Vorwege die aus unserer Sicht bestehenden datenschutzrechtlichen Risiken mitzuteilen. Unser einziges Ziel war es, eine fundierte fachliche Diskussion zu den einzelnen Vorschriften anzustoßen. Wir hätten gerne zur Kenntnis genommen, aus welchen – fachlichen oder verfassungsrechtlichen – Gründen das Innenministerium unsere Kritikpunkte für unbeachtlich hielt bzw. hält. Dieses hat sich jedoch leider einer Fachdiskussion mit uns oder auch im Landtag verweigert.

Die Stellungnahme des ULD zum Regierungsentwurf ist zu finden unter

     www.datenschutzzentrum.de/polizei/060418-lvwg.htm

Eine Übersicht zu den Stellungnahmen der Sachverständigen ist veröffentlicht unter

     www.datenschutzzentrum.de/polizei/polizeirecht.htm

Kurz vor Redaktionsschluss erreichte uns ein an die Fraktionen des Landtags gerichtetes Papier des Innenministeriums mit aktuellen Änderungsvorschlägen zum Polizeirechtsentwurf. Das darin vom Innenminister geäußerte Ziel, verfassungsrechtliche Zweifel ausräumen zu wollen, unterstützen wir nachdrücklich. Die Vorschläge führen teilweise zu Verbesserungen. So werden einige Eingriffsschwellen für polizeiliche Datenerhebungsmaßnahmen angehoben, etwa bei der Telekommunikationsüberwachung zur Gefahrenabwehr.

Die Vorschläge räumen unsere verfassungsrechtlichen Bedenken aber nicht vollständig aus. So wird z. B. bei der geplanten Regelung zu Vorgangsbearbeitungssystemen – statt den Tatbestand klar und bestimmt zu fassen oder auf eine Änderung zu verzichten – ein Satz aufgenommen, wonach „zusätzliche Aufgaben und Eingriffsbefugnisse … nicht zugewiesen“ werden sollen. Sinn und Zweck von Gesetzen ist es, Aufgaben und Eingriffsbefugnisse zu regeln. Der neue Regelungsvorschlag bleibt uns daher in seiner Bedeutung verborgen. Das ULD nahm gegenüber den Fraktionen zu den neuen Vorschlägen Stellung.

 

4.2.2      Auskunft  an Betroffene durch die Polizei – ein datenschutzrechtlicher GAU

Die Menschen haben einen verfassungsrechtlich garantierten Anspruch auf Auskunft über die zu ihrer Person gespeicherten Daten. In der Vergangenheit kam es immer wieder zu unrichtigen oder unvollständigen Auskünften durch die Landespolizei. Dies hat der Innenminister im Landtag eingestanden und Besserung zugesagt.

Wer in Datenbanken oder Akten der Polizei gespeichert ist, hat einen im Landesverwaltungsgesetz konkretisierten Anspruch auf umfassende unentgeltliche Auskunft über die zu ihm gespeicherten Daten. Es handelt sich um eine klare, über lange Zeit bewährte Regelung. Unsere Erwartung, dass deren praktische Umsetzung keine größeren Probleme verursachen könnte, erwies sich als falsch. Anhand von Eingaben mussten wir feststellen, dass es Probleme bei der Ausgestaltung des Auskunftsverfahrens gab und die Befugnis zur Auskunftsverweigerung überdehnt wurde.

Die Probleme bei der Ausgestaltung des Verfahrens (28. TB, Tz. 4.2.5) haben den Innen- und Rechtsausschuss des Landtags veranlasst, über die Praxis der Auskunftserteilung der Landespolizei einen Bericht zu erbitten. Das ULD hat dem Landtag im September 2006 einen Sonderbericht mit einzelnen Fallbeispielen vorgelegt.

Die teilweise unvollständige Auskunftserteilung hatte einen Grund darin, dass nicht alle automatisierten Datenverarbeitungssysteme der Polizei des Landes Schleswig-Holstein und der Verbundanwendungen (INPOL) beim Bundeskriminalamt (BKA) abgefragt wurden. Die Einzelfälle konnten inzwischen nachgebessert werden. Es handelte sich dabei aber nicht um „Ausreißer“, vielmehr bestanden systembedingte Mängel im Verfahren. Bereits im Juli 2005 hatte das ULD gegenüber dem Landeskriminalamt (LKA) dreizehn Punkte aufgelistet, in denen Optimierungsbedarf bestand. Ein Punkt wurde umgesetzt:

Bei der Beauskunftung von Verbunddateien haben BKA und LKA eine Regelung getroffen, die sicherstellen soll, dass der Betroffene von den Datenspeicherungen in INPOL erfährt. Im Übrigen wurde dem ULD bis heute nicht konkret mitgeteilt, wie unsere Anregungen seitens der Polizei im Einzelnen umgesetzt wurden. Bei den Beratungen des Sonderberichts im Landtag wurden vom Innenministerium Fehler eingeräumt, die aber Einzelfälle darstellten und behoben seien. Wir haben weiterhin die Hoffnung, dass die vom ULD vorgeschlagenen Anregungen umgesetzt werden.

Anhand von zwei konkreten Fällen zeigten sich fundamentale Meinungsverschiedenheiten zwischen ULD und Innenministerium in Bezug auf Auskunftsverweigerungen. In dem einen Fall bedurfte es des Verweises auf die Rechtsprechung des Bundesverfassungsgerichts, um dem Ministerium klarzumachen, dass deren Teilauskunftsverweigerung so nicht mehr haltbar war.

Der andere Fall betraf die Eingabe einer älteren, um ihre Privatsphäre besorgten Dame. Diese wollte sich Klarheit darüber verschaffen, ob über sie aus Telefonüberwachung erlangte Daten gespeichert sind. Selbst die Einschaltung des Staatssekretärs im Innenministerium führte nicht dazu, dass die erbetene Auskunft erteilt werden konnte.

Alle unsere Bemühungen sind bislang trotz parlamentarischer Unterstützung erfolglos geblieben. Der Innen- und Rechtsausschuss des Landtags wartet darauf, dass sich – unter Einbeziehung des Generalstaatsanwalts bzw. des Justizministeriums – Innenministerium und ULD auf eine rechtskonforme Auskunftspraxis verständigen. Die Betroffenen haben einen verfassungsrechtlichen Anspruch auf Antwort, ob Daten über sie erhoben wurden oder nicht – unabhängig davon, ob aus einer Telefonüberwachung Daten vorliegen oder nicht und ob eine solche Maßnahme überhaupt durchgeführt wurde. Würden sie keine Antwort erhalten, wären sie verunsichert und dadurch in ihrer Grundrechtsausübung beeinträchtigt. Dies wäre im Ergebnis – wie die umfangreiche Rechtsprechung des Bundesverfassungsgerichts herausgearbeitet hat – rechtsstaatlich einfach nicht akzeptabel. Wir werden das Thema weiterverfolgen.

 

4.2.3      @rtus

Viele Dienststellen der Landespolizei arbeiten bereits mit @rtus, bei anderen soll es sukzessiv eingesetzt werden. Mit @rtus stellen sich viele – teilweise weiterhin unbeantwortete – datenschutzrechtliche Fragen. Die Richtung der Antworten bestimmt das Polizeirecht. Die grundlegende Ausgestaltung des Systems muss die Polizei in der Errichtungsanordnung konkretisieren.

In den Tätigkeitsberichten der vergangenen Jahre hat das ULD über das neue Vorgangsbearbeitungssystem der schleswig-holsteinischen Polizei mit dem alt- und zugleich neudeutschen Namen „@rtus“ berichtet (28. TB, Tz. 4.2.3). Der Grundkonflikt zu @rtus basiert darauf, dass mit dem Verfahren zwei sehr unterschiedliche Zwecke in einem System vereint werden sollen: Das Verfahren will nämlich Vorgangsbearbeitung und Vorgangsverwaltung zugleich ermöglichen. Dies ist auf der Grundlage des bestehenden Rechts grundsätzlich möglich. Doch wird @rtus weder datenverarbeitungstechnisch noch in der Errichtungsanordnung den rechtlichen Vorgaben entsprechend abgebildet.

Das Gesetz verlangt für die Datenverarbeitung Differenzierungen. Zur aktuellen Aufgabenerledigung inklusive Auskunftserteilung dürfen vielfältige Einzelinformationen gespeichert und genutzt werden. Für die Zwecke der Vorgangsverwaltung und Dokumentation ist der Datenumfang – insbesondere für den Zeitraum nach Abschluss der Bearbeitung eines Vorgangs – erheblich auf das Maß des dann noch Erforderlichen zu reduzieren.

Vorgangsverwaltung ist im Wesentlichen nichts anderes als Registratur. Benötigt werden hierfür lediglich die Daten zum Auffinden der jeweiligen Vorgänge. Wir haben bereits im Februar 2005 das Innenministerium Schleswig-Holstein hierauf hingewiesen und Lösungsmöglichkeiten aufgezeigt, ohne uns auf eine Verfahrensvariante festzulegen. Die Entscheidung, welche konkrete Verfahrensvariante gewählt wird, liegt natürlich bei der verantwortlichen Stelle.

Zur Errichtungsanordnung erfolgte zunächst mit dem Landespolizeiamt, dann mit dem Innenministerium ein umfangreicher Schriftwechsel, der jedoch keine wesentlichen Fortschritte brachte. Auf die fachlich-rechtlichen Fragestellungen haben sich Innenministerium bzw. Landespolizeiamt bislang leider gegenüber dem ULD nicht fundiert eingelassen.

Statt die bestehenden rechtlichen Vorgaben zu prüfen und systemtechnisch umzusetzen, legte die Landesregierung den Entwurf einer neuen Vorschrift im Landesverwaltungsgesetz vor. Die darin vorgesehenen Änderungen sind aber so üppig ausgefallen, dass nicht nur das Not leidende System @rtus rechtlich saniert würde. Vielmehr ließen sich hierüber alle noch nicht bekannten, aber vermutlich anstehenden Erweiterungen von @rtus mühelos legitimieren (Tz. 4.2.1). Es spricht alles dafür, dass @rtus realisiert wurde, ohne die rechtlichen Rahmenbedingungen vorab hinreichend zu klären nach dem Grundsatz: Die Technik regiert das Recht. In einer rechtsstaatlichen Demokratie sollte aber das Recht die Technik regieren. Nicht die Anpassung des Gesetzes darf die Konsequenz sein, sondern die Anpassung des Systems an das geltende Recht, vor allem auch an das Verfassungsrecht. Der Konflikt von @rtus mit dem Recht auf informationelle Selbstbestimmung wird nicht dadurch beseitigt, dass man ihn gesetzlich für nicht existent erklärt. Die haushaltsrechtlichen Auswirkungen bewertet das ULD nicht.

 

4.2.4      INPOL-neu  – Innenminister wünscht keine datenschutzrechtliche Begleitung

INPOL-neu ist das Verbunddateisystem der Polizeibehörden des Bundes und der Länder, das sukzessive weiterentwickelt wird. Kooperation mit den Datenschutzbeauftragten und deren effektive Datenschutzberatung sichern die rechtskonforme Fortentwicklung eines derart komplexen und länderübergreifenden Systems.

Das Bundeskriminalamt (BKA) und die Polizeien der Länder arbeiten gemeinsam an der Fortentwicklung und Erweiterung des Systems INPOL-neu in einer gemeinsamen Projektgruppe. Hierbei geht es um die wichtige Frage, wie die gemeinsame Informationsverarbeitung der deutschen Polizei in der Zukunft aussehen soll und wird. Erörtert werden die gemeinsam betriebenen automatisierten Verfahren wie z. B. der Kriminalaktennachweis, die Falldateien oder die DNA-Analysedatei, um den Polizeien auch künftig leistungsfähige und für die Aufgabenerfüllung adäquate Datenverarbeitungstechniken zur Seite stellen zu können. Neben der Optimierung der bestehenden Verfahren geht es auch um die Einführung neuer Verfahren, um die aus ihrer Sicht notwendigen und wünschenswerten Ergänzungen.

Der Arbeitskreis Sicherheit der Datenschutzbeauftragten des Bundes und der Länder hatte bereits zu Zeiten der ersten Projektgruppe INPOL-neu eine eigene Arbeitsgruppe gebildet, die die Projektgruppe beim BKA beriet (22. bis 24. TB, jeweils Tz. 4.2.2 bzw. 4.2.3). Diese kleine Arbeitsgruppe von Datenschützern bestand aus drei bis fünf Mitgliedern der Datenschutzbeauftragten und konnte flexibel und angemessen reagieren. Durch die Teilnahme an den Sitzungen der Projektgruppen beim BKA und die Übersendung der erforderlichen Unterlagen waren die Voraussetzungen für eine konstruktive Kooperation gegeben. Nachdem das Bundesinnenministerium bzw. das Bundeskriminalamt aus verschiedenen Gründen die Arbeiten an INPOL-neu aussetzte, verlor auch die Arbeitsgruppe der Datenschutzbeauftragten vorübergehend ihren Wirkungskreis.

Nun hat eine neue Projektgruppe die Fortführung der Weiterentwicklung von INPOL übernommen. Die Datenschutzbeauftragten aus Bund und Ländern stehen zur datenschutzrechtlich beratenden Begleitung dieses Großprojekts der deutschen Polizei mit der Arbeitsgruppe weiter bereit. In einer ersten gemeinsamen Sitzung mit Vertretern des BKA wurde hierüber eine grundsätzliche Verständigung erzielt. Es gilt nun, die Intensität und die Modalitäten abzustimmen.

Das ULD hat den Innenminister des Landes Schleswig-Holstein um sachgerechte Beteiligung, insbesondere um frühzeitige Unterrichtung und Übersendung der einschlägigen Unterlagen, gebeten. Dem ULD geht es darum, Unterlagen über das neue Verfahren möglichst frühzeitig zu erhalten und gegebenenfalls auch bilaterale Gespräche mit dem Landeskriminalamt Schleswig-Holstein führen zu können, um gemeinsam auf sachgerechte Lösungen bei INPOL-neu hinzuwirken. Dieses gemeinsame Interesse hat das Innenministerium bisher nicht erkannt. Unabhängig davon: Die vom ULD eingeforderten Unterlagen betreffen die Verarbeitung personenbezogener Daten in Verbunddateien, an denen die Landespolizei als verantwortliche Stelle beteiligt ist. Das ULD hat nach dem Landesdatenschutzgesetz einen Anspruch, sämtliche Unterlagen hierzu einzusehen. Nur eine rechtzeitige Kooperation hilft Probleme zu erkennen und gemeinsam zu lösen. Dem hat das Innenministerium eine Absage erteilt: Sowohl die Kommission INPOL-Technik als auch die AG Kripo seien Untergremien der Innenministerkonferenz; deren Vorsitzender sei der richtige Ansprechpartner.

 

4.2.5      Zuverlässigkeitsüberprüfungen bei Großveranstaltungen

Veranstalter von Großereignissen bedienen sich zunehmend der Sicherheitsbehörden, um im Vorfeld freiwillige Helfer und Mitarbeiter in Akkreditierungsverfahren durchleuchten zu lassen. Der Verfassungsschutz und das Landeskriminalamt Schleswig-Holstein wirkten zuletzt im Rahmen der Fußball-WM 2006 und der Veranstaltungen zum Tag der Deutschen Einheit an solchen Verfahren mit.

Das Akkreditierungsverfahren zur Fußball-WM 2006 konnten wir im Rahmen unserer Zuständigkeit nur in Bezug auf die Datenverarbeitung beim Landeskriminalamt (LKA) und bei der Verfassungsschutzbehörde des Landes prüfen. Die Prüfung beim LKA zeigte zweierlei: Positiv zu bewerten ist die restriktive Handhabung von Ablehnungen bei der Akkreditierung durch das LKA. Dieses ändert jedoch nichts an unserer grundsätzlichen Bewertung des bundesweit praktizierten Akkreditierungsverfahrens, das wir als unzulässig betrachten (28. TB, Tz. 4.2.9).

In Schleswig-Holstein wurden 1814 Personen überprüft. Lediglich in drei Fällen sprach das LKA ein ablehnendes Votum aus. Wir haben uns im Rahmen der datenschutzrechtlichen Kontrolle nicht nur diese Ablehnungen angesehen, sondern auch weitere „Trefferfälle“, die am Ende nicht zu einer Ablehnung führten. Das LKA hat jeden Fall einer gründlichen Prüfung unterzogen. Dabei wurden nicht nur die zur Person vorliegenden Erkenntnisse bewertet, sondern auch die Frage, ob die betroffenen Personen aufgrund ihrer konkret geplanten Verwendung im Stadion ein Sicherheitsrisiko darstellen können. Die Art und Weise der Durchführung gab demnach keinen Grund für Beanstandungen.

Problematisch bleibt die Teilnahme der Sicherheitsbehörden an dieser Prozedur. Bereits die Durchführung einer Zuverlässigkeitsüberprüfung stellt für die Betroffenen ein persönliches Risiko dar. Im Ablehnungsfall hat dies in der Regel Konsequenzen für das Arbeitsverhältnis. Eine gesetzliche Grundlage wäre ein absolutes Muss, liegt aber nicht vor; das Sicherheitsüberprüfungsgesetz regelt völlig andere Sachverhalte und kommt daher unstreitig nicht zur Anwendung.

Das Innenministerium erachtet die Einwilligung der betroffenen Personen für ausreichend. Diese Einwilligungserklärungen lagen jedoch – was unsere Prüfung bestätigte – zu keinem Zeitpunkt bei den Landesbehörden vor. Diese hatten lediglich die Datensätze der betroffenen Personen in elektronischer Form vom BKA erhalten. Das BKA seinerseits hatte die elektronischen Datensätze vom FIFA-Organisationskomitee bekommen, das die Anmeldungen der Arbeitgeber verwaltete. Die Einwilligungserklärungen sollten bei diesen vorliegen, was jedoch für uns nicht mehr nachvollziehbar war. Eine Prüfung durch die ausführenden (Landes-)Behörden, ob die Betroffenen jemals tatsächlich eine Einwilligungserklärung unterschrieben haben, war in den Planungen nicht vorgesehen. Der Versuch des ULD, im Rahmen seiner datenschutzrechtlichen Kontrolle beim LKA diese Einwilligungserklärungen, die Grundlage für die Datenverarbeitung sein sollten, zu überprüfen, um die Authentizität zu überprüfen, blieb erfolglos. Weder das LKA noch der eigens bestellte betriebliche Datenschutzbeauftragte des Deutschen Fußball-Bundes konnten sie vorlegen. Die automatisiert gespeicherten Daten und die Originalerklärungen waren bereits vor Ablauf der Aufbewahrungsfrist gelöscht bzw. vernichtet worden.

Wegen dieses fundamentalen Mangels und der Entscheidung des Innenministeriums, das Verfahren trotz Fehlen einer Rechtsgrundlage durchzuführen, waren wir – trotz der anerkennenswert restriktiven Handhabung durch das LKA – gezwungen, in 1814 Fällen eine Beanstandung auszusprechen.

 

4.2.6      Antiterrordatei  – Angriff auf das Trennungsgebot

Nach langer Vorlaufzeit hatte es der Bundesgesetzgeber plötzlich sehr eilig beim Gesetz über gemeinsame Dateien von Nachrichtendiensten und Polizeibehörden – zum Schaden des Datenschutzes: Der Kreis der betroffenen Personen ist unverhältnismäßig und zu weit; das Gesetz ist nicht normenklar und teilweise unverständlich; das verfassungsrechtliche Trennungsgebot wird bis zur Unkenntlichkeit aufgeweicht.

Die Bekämpfung des internationalen Terrorismus ist ein hochrangiges Ziel. Daher würden wir hierfür eine reine Hinweis- bzw. Indexdatei akzeptieren (27. TB, 4.2.2). Hierdurch hätten die beteiligten Behörden die Information erhalten, ob über eine bestimmte verdächtige Person bereits ein Vorgang bei einer anderen Behörde geführt wird. Die Zulässigkeit der weiteren Übermittlung von Daten hätte dann im Einzelfall geprüft werden müssen und können. Hierbei ist es aber nicht geblieben. Das nunmehr verabschiedete Gesetz stößt auf vielfältige verfassungsrechtliche Bedenken: Es grenzt den Kreis der betroffenen Personen und Daten nicht hinreichend ein, ist in weiten Teilen unklar und unverständlich gefasst und verletzt das verfassungsrechtliche Trennungsgebot.

Als „Terrorverdächtiger“ wird nicht nur derjenige erfasst, bei dem objektive Fakten für eine Verbindung zu Terroraktivitäten sprechen. Vielmehr soll es genügen, wenn „tatsächliche Anhaltspunkte“ dafürsprechen. Ausreichend sind also Indizien, aus denen nach der behördlichen Erfahrung auf das mögliche Vorliegen eines Sachverhalts geschlossen werden kann. Diese Anhaltspunkte müssen sich nach dem Gesetz nicht auf eine konkrete Verbindung zu bestimmten Aktivitäten beziehen. Es genügt, wenn diese nach der behördlichen Erfahrung dafürsprechen, dass eine Person Gewalt zur Durchsetzung politischer Ziele in internationalem Kontext „befürwortet“. Damit sind die Sicherheitsbehörden rechtlich verpflichtet, in der Terroristendatei z. B. jeden zu speichern, der einen völkerrechtswidrigen Militäreinsatz gutheißt. Als Kontaktperson wird eine Bürgerin oder ein Bürger auch dann gespeichert, wenn z. B. tatsächliche Anhaltspunkte dafür vorliegen, dass sie – auch unwissentlich – zu einer anderen Person in Kontakt steht, die in diesem Sinne als Befürworter von Gewalt gespeichert ist. Es zeigt sich: In der Antiterrordatei landen längst nicht nur Terrorismusverdächtige. Gespeichert werden darin von den Polizei- und Nachrichtendienstbehörden nicht nur Name und Adresse der Betroffenen, sondern ein großer Katalog weiterer Daten.

Die weiten Zugriffsbefugnisse stellen wegen der Einschränkung des Trennungsgebotes eine Gefahr dar: Für die Beobachtung etwa des islamistischen Extremismus ist nach den bisherigen Regelungen ausschließlich der Verfassungsschutz zuständig, nicht die Polizei. Diese kann erst dann tätig werden, wenn eine konkrete Gefahrenlage oder ein konkreter Tatverdacht – z. B. wegen Mitgliedschaft in einer terroristischen Vereinigung – vorliegt. Umgekehrt haben die Nachrichtendienste keine polizeilichen Befugnisse. So kann es den Diensten im Einzelfall verwehrt sein, bestimmte Informationen zu erhalten, etwa wenn diese nur mit Zwangsmitteln (z. B. Beschlagnahme) zu erlangen sind. Diese beiderseitigen Befugnisbegrenzungen dürfen nicht durch eine gemeinsame Informationsbasis umgangen werden. Mit der Antiterrordatei erfolgt eine solche Umgehung.

Das Gesetz regelt nicht nur eine zentrale Antiterrordatei, sondern ermöglicht es den Nachrichtendiensten und Polizeibehörden, weitere gemeinsame Projektdateien einzurichten. Die schon erwähnten Probleme stellen sich insofern mit besonderer Dramatik, da die Regelungen praktisch keine Einschränkungen an die inhaltliche Ausgestaltung der Dateien enthalten. Zu befürchten ist, dass die Hemmungen gegen einen umfassenden Datenaustausch zwischen Nachrichtendiensten und Polizeibehörden vollends schwinden.

Angesichts des Umfangs der gespeicherten Daten ist es äußerst erstaunlich, dass sowohl die Regelungen zur zentralen Antiterrordatei als auch zu den Projektdateien keine eigenständigen Löschfristen, Berichtigungs- und Änderungspflichten enthalten.

In Anbetracht der erheblichen verfassungsrechtlichen Defizite des – nunmehr verabschiedeten – Gesetzes haben wir vor der Beratung im Bundesrat gegenüber dem Innenministerium Stellung genommen, zumal auch die Sicherheitsbehörden Schleswig-Holsteins zur Teilnahme verpflichtet werden. Allein zum Aufbau der Datei in Schleswig-Holstein sollen zehn neue Stellen geschaffen werden. Die Stellungnahme des ULD ist erhältlich unter

     www.datenschutzzentrum.de/polizei/stellungnahme-antiterrordatei.htm

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich mit einer Entschließung geäußert:

     www.sachsen-anhalt.de/LPSA/index.php?id=20561

 

4.2.7      Terrorismusbekämpfung – die Grundrechtseinschränkungen gehen weiter

„Terrorismusbekämpfungsergänzungsgesetz“ heißt das aktuelle Wortungetüm, welches die immer geringer werdende Wertschätzung des Rechts auf informationelle Selbstbestimmung um ein Weiteres dokumentiert. Es enthält zahlreiche neue Befugnisse der Nachrichtendienste, heimlich Auskünfte einzuholen.

Mit dem Terrorismusbekämpfungsgesetz (TBG) wurden bereits in der Ära Schily erweiterte Auskunftsbefugnisse der Geheimdienste eingeführt. Danach darf z. B. das Bundesamt für Verfassungsschutz in erweitertem Umfang auf die bei Telekommunikationsdienstleistern oder Fluggesellschaften vorhandenen Daten zugreifen. Diese mit diesem Gesetz ausgedehnten Auskunftsbefugnisse galten bislang nur für die Terrorismusbekämpfung, werden mit dem Terrorismusbekämpfungsergänzungsgesetz (TBEG) aber auf die Bekämpfung des Extremismus erweitert. Damit wird der von der Datenerhebung betroffene Personenkreis kaum überschaubar ausgeweitet. Auch neue Auskunftsbefugnisse sind vorgesehen, so etwa der Zugriff auf Bank- bzw. Finanzdaten.

Die Einschränkung von Bürgerrechten mit dem Hinweis auf Terrorismusbekämpfung hat zurzeit offenbar auch dann Konjunktur, wenn die Vorschriften nicht der Beobachtung von Terrorverdächtigen dienen. Der Gesetzgeber hielt es nicht für notwendig, vor der weiteren Verschärfung die bislang bestehenden Regelungen durch eine ernst zu nehmende Evaluation auf den Prüfstand zu stellen. Die präsentierte Evaluation des TBG kann nicht ernsthaft als solche bezeichnet werden – nicht nur wegen ihrer offenkundigen Oberflächlichkeit, sondern auch, weil eine seriöse Prüfung nach wissenschaftlichen Maßstäben nur durch eine unabhängige Stelle durchgeführt werden kann. Dies ist nicht geschehen.

Angesichts der Vielzahl neuer Gesetze dürfen die einzelnen Vorschriften nicht isoliert betrachtet werden. Sorge bereitet insbesondere die Gesamtheit der in den letzten Jahren durch zahlreiche Einzelgesetze neu geschaffenen Einschränkungen des Rechts auf informationelle Selbstbestimmung. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich zur aktuellen Gesetzgebung zur Terrorismusbekämpfung mit einer Entschließung geäußert:

     www.sachsen-anhalt.de/LPSA/index.php?id=20560

 

4.2.8      ED-Daten aus Schleswig-Holstein beim Bundeskriminalamt

Daten von erkennungsdienstlich behandelten Personen werden zentral beim Bundeskriminalamt gespeichert. Verantwortliche Stellen, auch im Hinblick auf die Datenlöschung, bleiben aber diejenigen Behörden, die die Daten erhoben und in die Datei eingestellt haben, also in der Regel die Landeskriminalämter.

Beim Bundeskriminalamt (BKA) sind die erkennungsdienstlichen (ED-) Daten nach festgelegten Fristen auf ihre Löschungsmöglichkeit hin zu überprüfen. Eine vorzeitige Löschung muss erfolgen, wenn das jeweilige Landeskriminalamt (LKA) eine vorzeitige Löschung der Daten verfügt, etwa aufgrund einer ergangenen gerichtlichen Entscheidung, z. B. der Einstellung des Verfahrens wegen fehlenden Tatverdachts. In der Praxis prüft das BKA in diesen Fällen aber zunächst, ob eine weitere Speicherung zu dieser Person in seinen Dateien besteht. Wenn dies der Fall ist, übernimmt das BKA den Besitz an den ED-Daten des Landes, obwohl die näheren Umstände der Datenerhebung dem BKA unbekannt sind und obwohl die bei der zuständigen Polizeidienststelle des Landes bestehende Kriminalakte gelöscht wurde.

Die sich aus der Kriminalakte ergebenden Gesamtumstände sind aber erforderlich, um die gesetzlich geforderte sogenannte Negativprognose erstellen zu können. Diese Negativprognose ist Voraussetzung für die weitere Speicherung und kann nur abgegeben werden, wenn etwa wegen der Art oder Ausführung der Tat, der Persönlichkeit des Betroffenen oder sonstiger Erkenntnisse Grund zu der Annahme besteht, dass künftig weitere Verfahren gegen ihn zu führen sind. Das BKA weiß über die ED-Behandlung in der Regel nur den Tag der Maßnahme, das Delikt und die zuständige Polizeidienststelle. Dies sind die Informationen, die auf dem verwendeten Formular – dem sogenannten „100a-Blatt“ – zusammen mit den Originalfingerabdrücken festgehalten sind. Diese Daten reichen nicht aus, um verwertbare Aussagen über die betroffene Person zu machen. Die Tatsache, dass das Verfahren zwischenzeitlich eingestellt worden ist, kann nicht hinzugespeichert werden, obwohl dies im Interesse von Objektivität und Wahrheit geboten wäre.

Die Datenschutzbeauftragten des Bundes und der Länder halten dieses Verfahren für nicht hinnehmbar. Wir haben bei unserer Prüfung bereits festgestellt, dass das BKA in einigen Fällen Datensätze aus Schleswig-Holstein nicht gelöscht hat, obwohl eine entsprechende Bitte des LKA beim BKA erfolgte. Das BKA hat in einer ersten Stellungnahme bestritten, unterrichtet worden zu sein. Das ULD ist um die weitere Aufklärung dieser Fälle und eine Änderung des Verfahrens bemüht.

 

4.2.9      Beobachtung von Versammlungen im Visier des ULD – Teil II

Das Landeskriminalamt hat in Abstimmung mit der Polizeiabteilung des Innenministeriums zum Prüfbericht über die Beobachtung von grundrechtlich besonders geschützten Versammlungen Stellung genommen, ohne aber alle Mängel behoben zu haben.

Das ULD hatte im 28. Tätigkeitsbericht (Tz. 4.2.7) über die Kontrolle der Datenverarbeitung beim Landeskriminalamt (LKA) im Zusammenhang mit Versammlungen im Jahre 2005 berichtet.

• Hinzuspeicherungen aus Anlass der erlaubten Teilnahme an Veranstaltungen

Erlaubte Teilnahmen an Veranstaltungen werden vom LKA als Erkenntnis gespeichert, sofern bereits aus anderen Gründen über den Betroffenen eine Kriminalakte besteht. Diese Speicherungen haben zwar keine Auswirkungen auf die Dauer des Fortbestandes der Kriminalakte und auf die dazugehörige Dateispeicherung. Sie sind aber datenschutzrechtlich nicht akzeptabel, weil die Bürgerinnen und Bürger durch die Teilnahme an einer solchen Veranstaltung ihre verfassungsrechtlichen Grundrechte aus Art. 8, 9 Grundgesetz (GG) wahrnehmen. Die erlaubte Teilnahme – die selbst mit Straftaten nicht zusammenhängt – darf nicht zu rechtlichen Nachteilen für Betroffene führen. Die Hinzuspeicherung von Erkenntnissen wurde von uns beanstandet. Das Landesverwaltungsgesetz und eine Verwaltungsvorschrift (z. B. Richtlinien für die Führung kriminalpolizeilicher personenbezogener Sammlungen – KpS-Richtlinien) können nichts Abweichendes bestimmen. Das LKA vertritt in Abstimmung mit dem Innenministerium die Auffassung, dass sich die Legitimation für die Datenverarbeitung insoweit aus den KpS-Richtlinien ergibt und hierüber in den Jahren 1996 und 1997 mit dem ULD gesprochen worden war.

• Datei „COMPAS“

Die Datei „COMPAS“ wird beim LKA und bei den Polizeidienststellen im Land Schleswig-Holstein als Vorgangsbearbeitungssystem geführt. Es wird nach Angaben des Innenministeriums schrittweise durch das Verfahren „@rtus“ binnen der nächsten fünf Jahre abgelöst. COMPAS wird von der Polizei auch als Posteingangs- und Postausgangsbuch sowie als Tagebuch geführt. Bei dieser Verwendung fällt eine Vielzahl von gespeicherten personenbezogenen Informationen an. Das Verfahren ist technisch so konzipiert, dass es einzelfallbezogene Löschung nicht zulässt. Die Speicherungsfristen für den Bereich „Tagebuch“ wurden, da es sich nach Angabe des LKA bei diesen Datensätzen jeweils um Urkunden handele, pauschal auf zehn Jahre festgesetzt. Nach Ablauf dieser Frist erfolge eine automatische Löschung. In keinem der Fälle ist bisher diese Löschfrist erreicht. Es stellt sich die Frage, wie diese Datensätze mit der Einführung von @rtus behandelt werden. Das ULD hatte das Fehlen von Löschmöglichkeiten bei COMPAS beanstandet und um Klärung gebeten, wie mit dem Datenbestand bei der Ablösung des Verfahrens COMPAS verfahren wird (28. TB, Tz. 4.2.7).
Das Landeskriminalamt bezieht sich auf eine eigene Geschäftsanweisung, die den Nachweis über Vorgangseingänge regelt. Danach ist der Nachweis für mindestens zehn Jahre zu führen; erst danach stünden die Datensätze zur Löschung an. Unter Beachtung dieser Vorgaben sind von der Abteilung 3 des LKA noch keine Datensätze gelöscht worden, da das Verfahren noch keine zehn Jahre eingesetzt ist. Einen Gesetzesverstoß bei der Vorgangsverwaltung und Dokumentation wollte man nicht erkennen.

Das Innenministerium hat nach unserer Intervention wegen der sich abzeichnenden schwierigen Situation für das auslaufende COMPAS im August 2006 die Aufbewahrungsfrist von Vorgängen und Durchschriften in COMPAS für die Abteilung 3 des LKA wie folgt neu geregelt:

• Im Falle der Vorgänge, bei denen die originäre Sachbearbeitung beim LKA (Abteilung 3) liegt, bleibt der Eintrag in COMPAS-AWS im Rahmen der Fristen des Durchschriftenerlasses zu Zwecken der Dokumentation des polizeilichen Handelns bestehen, auch wenn die dazugehörige Aktenunterlage bereits vernichtet ist.
• Die Speicherungen von Durchschriften aus Vorgängen über Straftaten und Ordnungswidrigkeiten, die im Rahmen des Meldedienstes (Zentralstellenfunktion vom LKA (Abteilung 3) im Bereich der politisch motivierten Kriminalität) ausgewertet, analysiert und bewertet werden und die noch zur Aufklärung ungeklärter Straftaten oder zur Aufklärung künftiger Straftaten dienen, bleiben in COMPAS-AWS so lange bestehen, wie es einen Aktenrückhalt dazu gibt. Wird der Aktenrückhalt vernichtet, ist auch die Speicherung in der Datei zu löschen, da diese ohne Aktenrückhalt keine Aussagekraft mehr besitzt und deshalb nicht mehr erforderlich ist.
• Dasselbe gilt für Durchschriften von Berichten zur Gefahrenabwehr, die im Rahmen des Meldedienstes übersandt, analysiert und bewertet werden.

Nach Auffassung des Innenministeriums Schleswig-Holstein bleibt nur noch die Frage offen, ob einzelne Datensätze gelöscht werden können oder sich nur anonymisieren lassen. Dies werde durch das LKA zu prüfen sein.

Bezüglich der Übertragbarkeit dieser Regelung auf das neue Verfahren @rtus hat sich das Innenministerium noch nicht abschließend geäußert. Das LKA verwies darauf, dass sich die Datenverarbeitung zukünftig an der @rtus-Errichtungsanordnung orientieren werde. Ein abgestimmtes Löschkonzept liege allerdings noch nicht vor. Es sei aber fraglich, ob es bei der bisher gültigen Speicherungsfrist von zehn Jahren bleiben müsse. Möglich seien differenzierte Prüffristen in Abhängigkeit von der Vorgangsart. Ungeklärt war bis vor Kurzem die Frage, ob es für die Übergangszeit einen Parallelbetrieb der beiden Verfahren geben oder ob eine Migration der Daten bevorzugt wird. Das ULD hatte bereits im Jahre 2005 darauf hingewiesen, dass vor einer Übernahme des Datenbestandes in @rtus eine Selektion der gesamten Daten unter Erforderlichkeitsgesichtspunkten im Einzelfall unerlässlich ist.

Um Datenschutzverletzungen durch die fortbestehende Speicherung in COMPAS zu minimieren, hatte das ULD empfohlen, den Datenbestand bis zur endgültigen Klärung einer einzelfallgerechten Löschung bzw. einer selektiven Übernahme in das System @rtus zu sperren. Leider nahm das LKA diese Anregung nicht an; es will die Daten zukünftig nutzen wie bisher. Diese Reaktion, die wir nicht nachvollziehen können, bedauern wir.

Wir erfuhren im Februar 2007, dass der COMPAS-Datenbestand des LKA, Abteilung 3, in das Verfahren @rtus importiert worden ist. Es handelt sich dabei um ca. 17.000 Vorgänge mit über 30.000 Personendaten. Sie sind als COMPAS-Daten in @rtus gekennzeichnet. Da vor der Migration der Daten in das neue Verfahren keine Erforderlichkeitsprüfung stattgefunden hat, will das LKA die Bestandsbereinigung nachholen und wöchentlich etwa 250 Vorgänge durch die Sachgebiete überprüfen. Nach etwa einem Jahr wird demzufolge der Datenbestand entsprechend der oben genannten Kriterien des Innenministeriums überprüft sein. Das LKA geht davon aus, dass ca. 11.000 Datensätze zu löschen sind. Die alten COMPAS-Arbeitsplätze werden abgebaut, sobald eine störungsfreie Verarbeitung der Daten in @rtus gewährleistet ist. Eine Löschung des COMPAS-Datenbestandes der Abteilung 3 des LKA wird dann ebenfalls vorgenommen.

• Datei „ISSH“

Die Notwendigkeit der Weiterführung oder Änderung der Datei „ISSH“ – Innere Sicherheit Schleswig-Holstein – (28. TB, Tz. 4.2.7) wollte das LKA kurzfristig prüfen. Sofern sie – neben @rtus – bestehen bleibe, will das LKA die fehlende Errichtungsanordnung fertigen. Das Gleiche gilt auch hinsichtlich der Datenverarbeitung in der „Warndatei Rechts“.

Wir konnten die rechtlichen Anforderungen gegenüber dem LKA und dem Innenministerium bei allem Verständnis nur bekräftigen. Die Aufbewahrungsfristen für COMPAS-AWS können wir nur mit Blick darauf akzeptieren, dass das System in Kürze ausläuft. Davon kann aber keine Präzedenzfallwirkung für andere Fallgestaltungen ausgehen.

 

4.2.10    Eine unzulässige Datenübermittlung  und ihre Folgen

Eine Petentin, die im Alter von 13 Jahren eines Ladendiebstahls verdächtigt worden war, hatte sich für den Polizeidienst eines anderen Bundeslandes beworben. Die Polizei in Schleswig-Holstein übermittelte den Kollegen des anderen Landes die „Erkenntnis“. Die Bewerbung wurde abgelehnt.

Die Petentin wollte Polizistin in Niedersachsen werden. Kurz vor Abschluss des Auswahlverfahrens erhielt sie die Nachricht, dass sie ausgeschieden sei. Mit dreizehn Jahren war sie eines Ladendiebstahls verdächtigt worden. Ihr war damals gesagt worden, dass der Eintrag nach einer bestimmten Zeit gelöscht werde.

Die für das Auswahlverfahren zuständige Polizeibehörde hatte bei der Wohnsitzpolizeidienststelle in Schleswig-Holstein nachgefragt, ob über die Bewerberin Erkenntnisse hinsichtlich eines gegen sie geführten polizeilichen, staatsanwaltschaftlichen oder gerichtlichen Ermittlungsverfahrens vorliegen. In den Dateien der Polizei waren zum Zeitpunkt unserer Kontrolle keine Informationen mehr gespeichert. Der von uns mit eingeschaltete Landesbeauftragte für den Datenschutz Niedersachsen prüfte parallel bei der für das Auswahlverfahren zuständigen Polizeidirektion und erfuhr, dass die Dienststelle des Wohnortes der Bewerberin mitgeteilt hatte, dass ein Verfahren bei der Staatsanwaltschaft Itzehoe geführt wurde, das mangels Tatverdachts eingestellt worden ist. Diese Mitteilung war der Grund für den Ausschluss der Bewerberin aus dem Auswahlverfahren. Die Information hätte schon längst gelöscht sein müssen und nicht mehr mitgeteilt werden dürfen.

Da die Petentin nach dem bisherigen Stand des Auswahlverfahrens ein gutes Ergebnis erzielt hatte, entschloss sich die Polizei in Niedersachsen, die Bewerberin nach unserer Prüfung doch in den Polizeidienst einzustellen. Die Auskunft über das eingestellte Verfahren hatte die Polizei aus dem Verfahren MESTA erhalten. Die Übermittlung wurde von uns beanstandet. Die Polizei teilte uns mit, sie werde durch interne Regelungen sicherstellen, dass in vergleichbaren Fällen keine Auskunft mehr erteilt wird.

4.2.11    Auskunftsverweigerungen durch Verfassungsschutzbehörde

Auskünfte an mögliche Betroffene können von der Verfassungsschutzbehörde verweigert werden, wenn das öffentliche Interesse an der Geheimhaltung überwiegt.

Der Verfassungsschutz ist wieder seit den jüngsten terroristischen Anschlägen und der Veröffentlichung von angeblichen behördlichen Unregelmäßigkeiten im Fokus der öffentlichen Auseinandersetzung. Dies gilt ebenso für die Verfassungsschutzbehörde des Landes, was u. a. dazu führt, dass verstärkt Personen nachfragen, ob Daten über sie dort gespeichert sind. Ein solcher gesetzlicher Anspruch besteht und führt in vielen Fällen zur Auskunftserteilung.

Eine Auskunftsverweigerung ist aber im Einzelfall zulässig. Dies gilt, wenn über die Auskunft geheime Erkenntnisse offengelegt werden müssten oder Schlüsse auf nachrichtendienstliche Arbeitsmethoden oder Mittel gezogen werden können. Wird eine Auskunft verweigert, so muss dies dem Betroffenen nicht begründet werden, wenn dadurch das Geheimnis herauskäme. Doch müssen die Gründe für die Ablehnung aktenkundig gemacht werden. Die Antragsteller werden dann darauf hingewiesen, dass sie sich an das ULD wenden können. Einige solche Fälle hat es im Berichtszeitraum gegeben.

Dabei erfolgt im jeweiligen Einzelfall eine aufwendige Prüfung des ULD in der Verfassungsschutzbehörde und eine Erörterung der Gründe. Haben diese Gründe uns überzeugt, so wie dies bisher der Fall war, so teilt das ULD dem Betroffenen lediglich mit, dass eine Prüfung stattgefunden hat und hierbei keine Verstöße festgestellt werden konnten. In vielen Fällen liegt einer Auskunftsverweigerung der Umstand zugrunde, dass über die Person aus Sicht der Behörde sensible Daten vorhanden sind. Will eine Person es genauer wissen, so bleibt ihr nur die gerichtliche Prüfung der als Verwaltungsakt erlassenen Auskunftsverweigerung.

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel