4.2          Polizei und Verfassungsschutz

4.2.1       @rtus beschäftigt die Polizei  – und das ULD

Seit der Einführung von @rtus als Vorgangsbear­beitungssystem (VBS) der schleswig-holsteinischen Polizei wird an vielen Stellen versucht, Mängel der Anfangsphase zu beseitigen und Optimierungen vorzunehmen. Bei dem laufenden Verfahren beste­hen aber auch noch lange währende Unzulänglich­keiten. Aus unserer Sicht muss eine Trennung der Datenbestände, die für unterschiedliche Zwecke gespeichert werden, erfolgen. Hier wie auch in anderen Bereichen, etwa der Weiterentwicklung von @rtus, gibt es positive Entwicklungen.

  • @rtus-VBS – unterschiedliche Nutzung durch separate Datenspeicherung

Das Vorgangsbearbeitungssystem @rtus dient der Polizei primär dazu, alles, was in den Akten der Polizei festgehalten wird, elektronisch zu erfassen und für die Bearbeitung zu speichern. Dies erlaubt das Gesetz; dieses sieht aber für eine weitere Speicherung und Nutzung der Daten einschrän­kende Regelungen vor, nämlich eine Begrenzung der Datenspeicherung und -nutzung für Zwecke der Dokumentation und der Vorgangsverwaltung. Die nötige Trennung der für die Vorgangsbear­beitung gespeicherten Daten von denen, die für die Dokumentation und Vorgangsverwaltung gespeichert werden dürfen, bereitete lange Zeit nicht nur technische Schwierigkeiten. Schon in der Planungsphase legten wir der Polizei nahe, @rtus entsprechend diesen gesetzlichen Vorgaben zu konzipieren. Die Polizei hat nun, auch auf Druck des Innenministeriums, ein Konzept erarbeitet, das im Wege der Zugriffsbeschränkung eine logisch differenzierte Nutzung der Daten aus @rtus-VBS vorsieht. Durch die vorgesehene abgestufte Zugriffsregelung wird in vielen Fällen bereits ein Zustand erreicht, der den bestehenden gesetzes­fernen Zustand minimiert.

Die Polizei hat eine erste Aufstellung der Daten vorgelegt, die sie für die Zwecke Vorgangs­verwaltung und Dokumentation für erforderlich erachtet. Der diesbezüglich genannte Umfang der Daten ist nach unserer Auffassung noch zu weit. Hierzu sind noch Gespräche mit dem ULD vereinbart. Gleichwohl plant die Polizei, das Gesamtkonzept im Zusammenhang mit der Erstellung der notwendigen Errichtungsanord­nung umzusetzen. Das Innenministerium sicherte uns zu, dass mit der vorgesehenen Implemen­tierung der Trennung der Datenbestände die notwendige Abstimmung mit dem ULD weder verhindert noch ausgeschlossen werden soll. Ein Präjudiz für künftige Beteiligungen des ULD sei mit dem hier praktizierten Verfahren ausdrücklich nicht beabsichtigt. Unter diesen Voraussetzungen haben wir uns mit dem Vorgehen einverstanden erklärt. Die Lösungen zu verbleibenden kritischen Fällen sollen nach Abstimmung mit dem ULD dann zeitnah in das Verfahren eingearbeitet werden. Das ULD wird das neue Verfahren baldmöglichst unter rechtlichen und technischen Aspekten durch­leuchten.

  • @rtus-VBS – Evaluierung notwendig

Das ULD bat nach vorausgegangenen Gesprächen mit dem Innenministerium und der Polizei im Mai 2010 die Polizei, eine Evaluierung des vorhan­denen @rtus-VBS-Datenbestandes durchzuführen, um zunächst aus polizeilicher Sicht eine sach­gerechte Differenzierung vorzunehmen, welche Daten für andere Zwecke, insbesondere spezifi­sche Auswertungen, erforderlich sind. Gleichzeitig kann dabei nach unserer Empfehlung bei den Datensätzen die festgelegte Dauer der Speiche­rung überprüft werden. Die Richtwerte für die Speicherungsdauer, die in der Errichtungsanord­nung teilweise sehr pauschal festgelegt sind, lassen sich bei der Evaluierung ohne nennens­werten Mehraufwand mit überprüfen. Eine auf Erfahrung und konkrete Feststellungen bei der Evaluierung basierende Korrektur der Fristen könnte die Folge sein. Die Errichtungsanordnung wäre gegebenenfalls anzupassen. Die zurzeit gültige Frist von pauschal fünf Jahren ist aus Datenschutzsicht nicht hinnehmbar. Die zuvor mit dem Innenministerium des Landes vereinbarte differenzierte Aussonderungsprüffrist wurde im Rahmen technischer Umstellungen zur Vorberei­tung der Auswertung (siehe unten) absprache­widrig verlängert. Das Innenministerium hat zuge­sagt, nach erfolgter Evaluierung wieder differen­zierte Fristen in @rtus einzuführen.

Soweit neue Verfahren auf der Basis der ursprüng­lich für den Zweck der polizeilichen Vorgangsbear­beitung erhobenen und gespeicherten Daten beabsichtigt sind, ist stets zu prüfen, ob die geplante weitere Verarbeitung von Daten aus dem Vorgangsbearbeitungssystem durch das Polizei­recht gedeckt ist. Wenn dabei rechtliche Vorgaben programmtechnisch umgesetzt werden, ist dies aus unserer Sicht zu begrüßen. Das ULD ist weiter­hin der Auffassung, dass eine Evaluierung von @rtus-VBS nach etwa sechs Jahren Betrieb drin­gend angezeigt ist. Die Polizei gewinnt dadurch Rechtssicherheit.

  • @rtus-Datenqualität – mehr als nur ein leeres Wort

Eigentlich sollte Datenqualität spätestens seit dem Volkszählungsurteil des Bundesverfassungsge­richts etwas Normales und Selbstverständliches in der elektronischen Welt der Verarbeitung von personenbezogenen Daten sein. Es geht darum, sicherzustellen, dass möglichst alle gespeicherten Daten der Wirklichkeit entsprechen und korrekt gespeichert sind. Daten, deren Wahrheitsgehalt zweifelhaft ist, nutzen der Polizei wenig. Daten­qualität ist bereits bei der Aufnahme von Daten relevant und macht bei nicht feststehenden Daten turnusmäße Überprüfungen nötig, wobei die Richtigkeit jedes einzelnen gespeicherten Datums verifiziert werden kann. Nur so kommt man zu verlässlichen Informationen. Bei dem Verfahren @rtus, das für vielfältige Anwendungsbereiche der Polizei zur Verfügung stehen soll, ist die Daten­richtigkeit unerlässlich. Mangelt es hieran, so können gerade in zeitkritischen Situationen, bei denen eine klärende Nachfrage bei der Polizei­dienststelle unterbleibt, unberechtigte Eingriffs­maßnahmen bis hin zur Festnahme von Personen nicht ausgeschlossen werden. Das Nachsehen haben dann die von der Maßnahme betroffenen Bürger, aber auch die Polizei, die rechtswidrig und ineffektiv handelt.

Bei einem Verfahren wie @rtus, das aus einer Vielzahl von Komponenten besteht, die alle auf den Bestand des Vorgangsbearbeitungssystems zurückgreifen bzw. diesen teilweise für weitere Verarbeitungen ganz oder teilweise heranziehen, potenziert sich leicht die Gefahr von Fehlern. Das ULD hat daher der Polizei eindringlich geraten, der Datenqualität eine hohe Priorität einzuräumen, auch wenn dies in der Anfangsphase scheinbar zu Mehraufwand führt. Ein nicht verlässlicher Daten­bestand verlangt von dem einzelnen Anwender ein hohes Maß an Fehlertoleranz. Zugleich führt er dazu, dass die Akzeptanz des Datenverarbeitungs­verfahrens verloren geht.

  • @rtus-Recherche – nur ein Hilfsmittel

Unter dem Begriff „@rtus-Recherche“ ist die Gesamtheit der Anwendungen zu verstehen, die eine Selektion personenbezogener Daten für spe­zielle Bereiche durch Dienststellen der Landespoli­zei im zentralen Verfahren @rtus ermöglichen. Die aus @rtus auswählbaren strukturierten Daten sollen die Ermittlungstätigkeit der Polizei unter­stützen. Die Zugriffe sind entsprechend der Funk­tion des Bearbeiters begrenzt. Die Polizeien der Länder sind verpflichtet, zu bestimmten Delikts­bereichen Daten an das Bundeskriminalamt (BKA) zu übermitteln. Die Polizei des Landes Schleswig-Holstein hat hierzu den Meldedienst „PolDok“ so umgestellt, dass die Zentralstellen der Landes­polizei auf die Datenbestände der Dienststellen zugreifen können. In der Übergangsphase wird @rtus-Recherche von den Zentralstellen der Polizei des Landes Schleswig-Holstein zur Erfüllung der Meldeverpflichtungen gegenüber dem Bundes­kriminalamt und zur Unfallanalyse genutzt. Soweit sich das nun implementierte Verfahren „PolDok“ auf die gleichen Daten wie bisher beschränkt, stellt die technische Neuerung letztendlich ein Mehr an Datensicherheit dar. Das Innenministerium hat zugesagt, den Datenumfang erneut zu hinter­fragen, um nicht gewollte Veränderungen auszu­schließen.

Bei dem Meldedienst „PolDok“ strebt die Polizei des Landes längerfristig an, auf die – grundsätzlich fehleranfällige – doppelte Erfassung der melde­pflichtigen Daten zu verzichten. Die Daten sollen künftig unmittelbar aus dem Ursprungsbestand von @rtus-VBS an das BKA abfließen. So gelangen sie schneller, ohne Medienbruch oder mögliche Eingabefehler an das BKA. Das ULD befürwortet grundsätzlich alle Prozesse, die ohne Weiterungen der bisherigen Datenübermittlung mehr Daten­sicherheit mit sich bringen und auch eine Entlas­tung in der täglichen Arbeit darstellen.

  • @rtus-Auswertung

Zwei Anwendungen sind derzeit bei der Landes­polizei in Schleswig-Holstein unter dem Begriff „@rtus-Auswertung“ konzipiert: „Lage“ und „Unfall­auswertung“. Diese Anwendungen greifen auf den Datenbestand von @rtus-VBS zu, jedoch sind die Auswertungen so angelegt, dass auf die Verar­beitung und Nutzung von personenbezogenen Daten grundsätzlich verzichtet wird. Die polizei­lichen Fragestellungen zielen auf nicht personen­beziehbare Ergebnisse ab.

Die „Lage“ soll einen Überblick über relevante Ereignisse in einer bestimmten Region in einem bestimmten Zeitraum gewähren, um methodische Ansätze zur Verhinderung und Bekämpfung von Straftaten usw. zu erhalten. Es geht nicht um konkrete Angaben zu bestimmten Personen, sondern um einen Überblick über ein bestimmtes Lageereignis. Auch bei der „Unfallauswertung“ geht es um eine nicht fallbezogene Sachaussage. Diese Auswertung wird derzeit noch über @rtus-Recherche abgebildet.

Was ist zu tun?

Die vertrauensvolle Kooperation mit dem Innenministerium und der Polizei des Landes hat sich bewährt und sollte fortgesetzt werden. Defizite in der Umsetzung müssen abgebaut werden.

4.2.2       Sicherheitsüberprüfungen

Nach wie vor finden bei Großveranstaltungen ohne Rechtsgrundlage Sicherheitsüberprüfungen statt, so im Jahr 2011 im Vorfeld der Minister­präsidentenkonferenz in SH.

Das ULD hat in der Vergangenheit immer wieder auf die datenschutzrechtlichen Bedenken im Zusammenhang mit Sicherheitsüberprüfungen bei Großveranstaltungen hingewiesen (28. TB, Tz. 4.2.9; 29. TB, Tz. 4.2.5; 30. TB, Tz. 4.2.3). Obwohl Großveranstaltungen wie z. B. die Fußball-WM 2006, die Frauen-Fußball-WM 2010 und 2011, die Veranstaltungen zum Tag der Deutschen Einheit, der Papstbesuch und die Ministerpräsidenten­konferenz 2011 aus polizeilicher Sicht die Über­prüfung beteiligter Personen auf Sicherheitsrisiken erfordern, wurde hierfür bisher keine gesetzliche Ermächtigungsgrundlage geschaffen. Wegen der damit verbundenen Eingriffe in das Recht auf informationelle Selbstbestimmung ist diese jedoch notwendig. Das Innenministerium meint dagegen, eine Einwilligung der Betroffenen sei ausreichend. Das ULD hat wiederholt darauf hingewiesen, dass eine Einwilligung als Rechtsgrundlage aus diversen Gründen für die Sicherheitsüberprüfung nicht genügt (siehe dazu die obigen Nachweise). Wesentlich ist u. a., dass in der Regel nicht von einer Freiwilligkeit der Einwilligung ausgegangen werden kann. Bedienstete bei den Veranstaltern und am Veranstaltungsort, z. B. Hotelangestellte oder Sicherheitsleute, können sich mit gutem Grund in ihrer beruflichen Existenz bedroht sehen, wenn sie sich einer Sicherheitsüberprüfung entzie­hen möchten.

Die Polizei hält an der Praxis weiterhin fest. Soweit fachlicher Bedarf besteht, müsste eine verhältnis­mäßige gesetzliche Grundlage einen Ausgleich der beiderseitig betroffenen Interessen herbeiführen. Nur so kann sowohl für die Polizei als auch für die betroffenen Bürgerinnen und Bürger die notwen­dige Rechtssicherheit und -klarheit geschaffen werden.

Was ist zu tun?

Der Gesetzgeber sollte die Regelungslücke schließen und die erforderliche gesetzliche Rechtsgrundlage schaffen.

4.2.3       Gemeinsames TKÜ-Zentrum Nord

Die Innenminister der norddeutschen Küstenlän­der haben beschlossen, Telekommunikationsüber­wachung künftig in einem gemeinsamen Rechen-

und Dienstleistungszentrum durchzuführen. Das Vorhaben wird von den Datenschutzbeauftragten begleitet.

Das von der Innenministerkonferenz der norddeut­schen Küstenländer begonnene Projekt zur Reali­sierung des gemeinsamen Rechen- und Dienst­leistungszentrums zur Telekommunikationsüber­wachung (RDZ TKÜ) ist zweistufig angelegt. In einer ersten Stufe sollen alle Länder miteinander kooperieren. Dies bedeutet, dass bei Ausfall oder Überlastung der TKÜ-Anlage in Schleswig-Holstein die TKÜ-Anlage in Hamburg oder Niedersachsen die Überwachungsmaßnahme durchführen kann. Diese erste Phase hat bereits begonnen. Die Länder haben mit Hamburg und mit Nieder­sachsen Auftragsdatenverarbeitungsverträge ge­schlossen, welche die Rahmenbedingungen für eine tatsächliche Übernahme einer Telekommu­nikationsüberwachung regeln.

Die technische Infrastruktur für die Kooperation ist ebenfalls eingerichtet. In rechtlicher Hinsicht ist die Zusammenarbeit datenschutzkonform gelöst. Die Projektgruppe konnte allerdings nicht zu unserer Überzeugung darlegen, dass an den Standorten Hamburg und Niedersachsen die erforderliche und vertraglich zugesicherte Datensicherheit gewähr­leistet wird. Die Dokumentation der Anlagen war bei Vertragsschluss äußerst lückenhaft, sodass wir dem Landeskriminalamt Schleswig-Holstein gera­ten haben, keine Einzelaufträge für TKÜ-Maßnah­men an die Kooperationspartner zu erteilen, bis die Einhaltung des erforderlichen Sicherheitsniveaus durch Dokumentation der Sicherheitsmaßnahmen nachgewiesen werden kann.

In der zweiten Phase wird ein Konzept für eine vollständige Zentralisierung der TKÜ ab dem Jahr 2016 erstellt. Zu diesem Zeitpunkt soll es ein gemeinsames Zentrum für die fünf beteiligten Länder geben (Hamburg, Niedersachsen, Mecklen­burg-Vorpommern, Bremen und Schleswig-Hol­stein), in dem alle TKÜ-Maßnahmen zentralisiert durchgeführt werden.

Die rechtliche Konstruktion dieses gemeinsamen Zentrums und der Verantwortlichkeit für die Datenverarbeitung steht noch nicht fest. Aus unserer Sicht sollte die Verteilung der Aufgaben und der Verantwortung durch einen Staatsvertrag geregelt werden, damit eine gesetzliche Grund­lage für die Zentralisierung geschaffen wird.

Was ist zu tun?

Die Kooperation zwischen den Datenschutzbeauftragten und den Verantwortlichen im Projekt hat sich bewährt und sollte fortgesetzt werden. Für die Zentralisierung der TKÜ sollte ein Staatsvertrag geschlossen werden.

4.2.4       Sicherheitsbehörden  in sozialen Netzwerken: Öffentlichkeitsfahndung

War der Beschuldigte zur Tatzeit im Urlaub? Wo arbeitet er? Lebt er allein oder in einer Beziehung? Wer sind seine Freunde? Was macht er in seiner Freizeit? Antworten auf diese Fragen findet man mitunter mit einem Klick – im Profil im sozialen Netzwerk. Kein Wunder, dass soziale Netzwerke als Informationsquelle für Sicherheitsbehörden immer wichtiger werden.

Über die Voraussetzungen und den Umfang zuläs­siger Recherchen in sozialen Netzwerken besteht in der Praxis große Unsicherheit. Dies liegt nicht zuletzt an einer ganzen Reihe von Abgrenzungen und Abwägungen, die im Einzelfall zu treffen sind. Am Anfang steht die Frage, ob die Polizei über­haupt in Grundrechte eingreift, wenn sie im Internet allgemein zugängliche veröffentlichte Daten erhebt. Dies ist der Fall, wenn die Infor­mationen gezielt zusammengetragen und gespei­chert sowie eventuell zusätzlich mit anderen Daten ergänzt werden, insbesondere aber, wenn sie bestimmten Personen zugeordnet werden. Bei gezielten polizeilichen Recherchen zur Strafverfol­gung oder Gefahrenabwehr ist dies meist der Fall. Hierfür bedarf es einer Rechtsgrundlage. Werden allgemein zugängliche Daten aus sozialen Netz­werken erhoben, wiegt der Grundrechtseingriff in der Regel nicht besonders schwer. Deshalb können Recherchen im allgemein zugänglichen Bereich sozialer Netzwerke auf der Grundlage der Ermitt­lungsgeneralklauseln durchgeführt werden. Anders sind dagegen Recherchen in Bereichen zu beur­teilen, die nicht jedermann im sozialen Netzwerk offenstehen und aus denen die Polizei nur Infor­mationen erlangen kann, indem sie ein schutz­würdiges Vertrauen des Betroffenen in die Iden­tität seiner Kommunikationspartner ausnutzt. Hier­bei handelt es sich um einen weitaus gewichti­geren Grundrechtseingriff. Die Generalklauseln können nicht mehr angewendet werden, passende spezifische Rechtsgrundlagen gibt es mit Ausnah­me der Vorschriften über den Einsatz verdeckter Ermittler nicht.

Schwierigkeiten bereitet die Abgrenzung, ob die Betroffenen in schutzwürdiger Weise darauf ver­trauen, dass Informationen im sozialen Netzwerk nur einem abgegrenzten Personenkreis mit be­kannter Identität zur Verfügung stehen, oder ob sie an jedermann oder zumindest an Empfänger mit beliebiger Identität gerichtet sind. Dies kann nur im Einzelfall bestimmt werden. Für die Ent­stehung eines schutzwürdigen Vertrauens spricht es, wenn die oder der Betroffene den Personen­kreis, der die Informationen erhalten soll, durch bestimmte Maßnahmen eingegrenzt hat und die Einhaltung dieser Beschränkung durch geeignete Maßnahmen sichert.

Da die Recherchetätigkeit der Polizei vom Betrei­ber des sozialen Netzwerks registriert werden kann und bei einigen Betreibern auch gezielt ausge­wertet wird, sollte die Polizei nicht offen, sondern unter einem Pseudonym recherchieren. Hierfür sollten keine privaten Accounts der Polizeibeam­ten, sondern polizeieigene, regelmäßig zu wech­selnde Pseudonyme verwendet werden.

Ein ausführliches Gutachten zur Zulässigkeit poli­zeilicher Recherchen in sozialen Netzwerken haben wir auf unserer Webseite veröffentlicht unter:

https://www.datenschutzzentrum.de/polizei/20120312-polizeiliche-recherche-soziale-netzwerke.pdf

Bei der Polizei wird auch über eine aktive Nutzung von sozialen Netzwerken diskutiert, insbesondere zur Öffentlichkeitsfahndung. In Schleswig-Holstein werden Fahndungsaufrufe bislang nicht in sozia­len Netzwerken veröffentlicht. Eine solche Ver­öffentlichung provoziert mehrere Probleme: Die Fahndungsdaten werden bei einem privaten Betreiber gespeichert, der faktisch über deren weitere Verwendung einschließlich der Löschung entscheidet. Bei Betreibern aus den Vereinigten Staaten unterliegen die Fahndungsdaten außer­dem dem US-amerikanischen Recht und werden damit dem Zugriff durch US-amerikanische Behör­den freigegeben. Dies kann zwar durch eine IFrame-Lösung, bei der die Fahndungsdaten auf einem polizeieigenen Rechner gespeichert sind und im sozialen Netzwerk lediglich angezeigt werden, unterbunden werden. Doch gerade die weltweit agierenden Betreiber wie Facebook registrieren das Verhalten der Nutzer auf ihren Seiten und werten dieses personenbezogen aus (Tz. 7.1.1). Diese Reichweitenanalyse kann auch durch eine IFrame-Lösung nicht abgestellt werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat die Innen- und Justiz­minister der Länder auf diese Probleme hinge­wiesen. Eine Öffentlichkeitsfahndung ist allenfalls bei privaten Betreibern zulässig, die die Einhaltung des deutschen Rechts gewährleisten.

https://www.datenschutzzentrum.de/facebook/JBOES-2012-2013-Sonderdruck-Weichert.pdf

 

4.2.5       Umgang mit Auskunftssperren im Melderegister  in Strafverfahren

Ein Polizeibeamter und seine Ehefrau wurden Opfer einer Straftat. Daraufhin wurde im Melde­register eine Auskunftssperre eingetragen. Als der Täter seinerseits, um sich zu wehren, einen Straf­antrag gegen den Polizisten und dessen Ehefrau stellte und das Ehepaar Einsicht in die Strafakte nahm, wunderten sie sich. Darin war ihre Anschrift eingetragen, nicht aber die Herkunft dieser Information und der Umstand, dass im Melde­register eine Auskunftssperre bestand.

Die Polizei erhält eine Auskunft aus dem Melde­register auch, wenn eine Auskunftssperre einge­tragen ist. Es bestehen keine Bedenken dagegen, dass die Strafverfolgungsbehörden für ihre Zwecke die Adresse trotz Auskunftssperre verwenden. Sie müssen dann aber besonders sorgfältig prüfen, ob sie Dritten im Wege der Akteneinsicht oder der Auskunftserteilung die im Melderegister gesperrte Adresse mitteilen. Beantragen Beschuldigte oder Verletzte einer Straftat sowie Dritte Akteneinsicht oder Auskunft aus der Akte, ist stets darauf zu achten, ob schutzwürdige Interessen entgegen­stehen. Eine Auskunftssperre im Melderegister ist insofern ein wichtiges Indiz. Zuständig für Akteneinsicht und Auskünfte sind in der Regel die Staatsanwaltschaft oder das Gericht. Damit diese die Interessenabwägung umfänglich vornehmen können, müssen sie über alle relevanten Umstände informiert sein. Dazu gehört auch der Eintrag einer Auskunftssperre beim Melderegister. Die Polizei, die die Adresse ermittelt, muss daher das Bestehen einer Auskunftssperre in der Akte vermerken. Wird die Anschrift direkt beim Betroffenen erhoben, ist eine zusätzliche Abfrage des Melderegisters nicht erforderlich. Der Betroffene kann in dieser Situa­tion die Polizei selbst darauf hinweisen, dass seine Adresse nicht an Dritte weitergegeben werden soll. Kann die Anschrift nicht beim Betroffenen erhoben werden, ist diese durch Abfrage beim Melderegister zu erheben.

Was ist zu tun?

Wenn Anschriftendaten nicht beim Betroffenen erhoben werden können, sind sie durch Auskunft aus dem Melderegister zu ermitteln. Besteht dort eine Auskunftssperre, ist dies in der Akte zu vermerken und bei einer Auskunftserteilung zu beachten.

 

4.2.6       Was für die Polizei  INPOL  ist, ist für die Dienste NADIS  – in neuem Gewand

Es scheint die Zeit der Erneuerungen zu sein. Nach der deutschen Polizei haben nun die Verfassungs­schutzbehörden des Bundes und der Länder eine neue Datenverarbeitungstechnik erhalten.

Es bedurfte einiger Jahre, um das Ziel der grund­legenden Neugestaltung des Nachrichtendienst­lichen Informationssystems (NADIS) von der Idee über ein Konzept hin zur technischen Realisierung und Inbetriebnahme zu erreichen. Zu Recht wurde am Anfang festgestellt, dass das bisherige Ver­bunddatenverarbeitungssystem NADIS technisch in die Jahre gekommen und gegen ein neues, zukunftssicheres Verfahren auszutauschen sei. Technisch begründete Zwänge eröffnen regel­mäßig auch neue Möglichkeiten zur Verarbeitung von Daten. Moderne Datenbanktechnik gepaart mit intelligenten und leistungsfähigen Werkzeu­gen schafft mehr als Synergieeffekte, Leistungs­fähigkeit und Benutzerfreundlichkeit. Veränderun­gen in der Struktur der Daten, in der Verknüpf­barkeit und in den Analysemöglichkeiten sind bei neuer Technik selbstverständlich, stellen jedoch Datenschützer und letztlich auch die Gesetzgeber vor neue Herausforderungen. Was technisch machbar ist, ist nicht immer rechtlich gewollt und zulässig. Wird etwa durch ein neues Verfahren die Option geschaffen, freitextliche Dokumente in Datenbanken zu erfassen und nach beliebigen Kriterien zu recherchieren, eröffnet sich eine Quali­tät der Datenverarbeitung, die von den Gesetz­gebern bei Erlass der Verfassungsschutzgesetze auf Bundes- wie auf Landesebene nicht im Fokus stand. Die Datenschutzbeauftragten des Bundes und der Länder formulierten im November 2010 frühzeitig ihre Bedenken gegen die Erfassung und Verarbeitung von Freitextdokumenten in Daten­banken der Sicherheitsbehörden (33. TB, Tz. 4.2.7). Die Verfassungsschutzbehörden teilten diese je­doch nicht und genehmigten sich ein Mehr an Datenverarbeitung. Immerhin wurde zugesichert, Namen von Personen, die nicht für die Aufgaben­wahrnehmung der Verfassungsschutzbehörde rele­vant sind, elektronisch zu „schwärzen“.

Eine weitere Neuerung von NADIS besteht darin, dass das Bundesamt für Verfassungsschutz (BfV) den Landesbehörden für Verfassungsschutz anbie­tet, ihren Datenbestand beim BfV verarbeiten, also hosten zu lassen. Für die Länder fallen keine Kosten an, wenn der Umfang der Datenverar­beitung nicht den Rahmen der in Betrieb befind­lichen Version von NADIS sprengt und somit keine Aufwände für Zusatzleistungen entstehen. Die Abschottung der einzelnen Datenbestände, Fra­gen der Benutzerverwaltung, der Datensicherheit, der Protokollierung usw. werden in einer ergän­zenden Verwaltungsvereinbarung geregelt.

Offen ist die Frage, auf welcher Rechtsgrundlage das BfV personenbezogene Daten der Landes­ämter für Verfassungsschutz verarbeitet. Ein Auftragsdatenverarbeitungsverhältnis nach den Bestimmungen des Bundes- bzw. des jeweiligen Landesdatenschutzgesetzes (LDSG) soll jedenfalls nach dem Willen der Verfassungsschutzbehörden durch diese Form der technischen Kooperation nicht begründet werden. Die Alternative wird vom BfV in einer mit den einzelnen Landesbehörden für Verfassungsschutz abzuschließenden Verwaltungs­vereinbarung gesehen, die auf die Regelungen über die ausschließliche Gesetzgebungskompe­tenz des Bundes über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes (Art. 73 Nr. 10 b und c GG) in Verbindung mit der entsprechenden Norm im Bundesverfassungsschutzgesetz (§ 1 Abs. 3 BVerfSchG) Bezug nimmt. Das Bereitstellen einer technischen Plattform durch das BfV stelle eine gegenseitige Unterstützung im Sinne der genannten Regelung des BVerfSchG dar. Die Regelungen über die Auftragsdatenverarbeitung im BDSG bzw. LDSG seien deshalb nicht anzuwenden. Das ULD teilt diese Rechtsauffassung des Bundesministeriums des Innern, der sich die Verfassungsschutzbehör­den angeschlossen haben, nicht. Dies haben wir der Behörde für Verfassungsschutz in Schleswig-Holstein, die uns die entsprechenden Unterlagen zur Stellungnahme überlassen hat, ausführlich be­gründet mitgeteilt.

Wir haben angeregt, die Vereinbarung an die tat­sächlichen Rahmenbedingungen für eine Über­nahme des Hostings der Amtsdatei anzupassen und den Vertrag im Sinne einer Auftragsdaten­verarbeitung nach § 17 LDSG SH zu gestalten.

Was ist zu tun?

Das ULD rät, von einer technischen Kooperation mit dem BfV bis zu einer rechtskonformen Lösung der rechtlichen Fragestellungen Abstand zu nehmen.

 

4.2.7       Entwicklungen im Verfassungsschutz

  • Verlängerung der Antiterrorgesetze

Die Befugnisse, die den Nachrichtendiensten infol­ge der Anschläge am 11. September 2001 befristet eingeräumt wurden, um den Gefahren des inter­nationalen Terrorismus besser begegnen zu kön­nen, sind im Berichtszeitraum größtenteils ver­längert worden. Ob sie in der Vergangenheit etwas gebracht haben, blieb dabei weitgehend offen.

Mit dem Terrorismusbekämpfungsgesetz und dem Terrorismusbekämpfungsergänzungsgesetz (29. TB, Tz. 4.2.7) hat der Gesetzgeber die Auskunftsbefug­nisse der Nachrichtendienste umfänglich erweitert. Möglich ist etwa die Abfrage von Telekommunika­tionsdaten, Flugdaten oder Kontodaten. Im Landes­recht sind diese Befugnisse weitgehend übernom­men worden (31. TB, Tz. 4.2.6).

Der Gesetzgeber hat mit gutem Grund die Rege­lungen befristet und für den Fall ihrer Verlän­gerung eine Evaluierung angeordnet, um die Wirksamkeit der neuen Befugnisse im Verhältnis zu der Schwere der damit verbundenen Eingriffe in die Freiheit der Bürgerinnen und Bürger zu beur­teilen.

Die Konferenz der Datenschutzbeauftragten hat Anforderungen an die Evaluierung formuliert: Jede Evaluation, auch die landesrechtlicher Vorschriften, muss auf der Grundlage valider, strukturierter Daten unter Mitwirkung aller relevanten Stellen in einem transparenten Verfahren durch ein unab­hängiges Expertengremium erfolgen. Die Nach­vollziehbarkeit und Überprüfbarkeit der Evaluie­rung ist zu gewährleisten. Der Evaluationsbericht muss dem Gesetzgeber eine umfassende Bewer­tungsgrundlage zur Optimierung bestehender Regelungen zur Verfügung stellen.

http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/79DSK_EvaluierungSicherheitsgesetze.pdf?__blob=publicationFile

http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/82DSK_AntiTerrorgesetze.html?nn=409240

Ob eine solche Evaluierung vorgenommen wurde und ob deren Ergebnisse nachvollziehbar die Not­wendigkeit einer Verlängerung der Maßnahmen belegen, konnten wir leider nicht überprüfen. In der Gesetzesbegründung wird auf einen Evalua­tionsbericht verwiesen; dieser ist aber nicht öffent­lich.

  • Antiterrordatei und Rechtsextremismusdatei

Mit den Gesetzen zur Antiterrordatei und zur Ver­besserung der Bekämpfung des Rechtsextremis­mus soll die Zusammenarbeit zwischen Diensten und Polizei verbessert werden. Der Datenschutz droht dabei auf der Strecke zu bleiben.

Mit dem Ende Dezember 2006 in Kraft getretenen Antiterrordateigesetz (ATDG) wurde für den Be­reich der Terrorismusbekämpfung eine Verbund­datei geschaffen, die von Polizeien und Nachrich­tendiensten gemeinsam genutzt wird. In Anleh­nung an das Antiterrordateigesetz trat Ende August 2012 das Gesetz zur Verbesserung der Bekämpfung des Rechtsextremismus (RED-G) in Kraft. Das RED-G wurde infolge der Straftaten des Nationalsozialistischen Untergrundes (NSU) und der sich anschließenden polizeilichen Ermittlungs­tätigkeiten errichtet. Ziel beider Gesetze ist eine verbesserte Bekämpfung des Terrorismus bzw. des Rechtsextremismus insbesondere durch einen erweiterten Informationsfluss zwischen Polizeien und Nachrichtendiensten. Gegen beide Gesetze bestehen verfassungsrechtliche Bedenken.

Beide Gesetze – also auch das im Laufe der Gesetzesabstimmung wiederholt nachgebesserte RED-G – zeichnen sich durch unbestimmte Rechts­begriffe aus. Diese führen nicht zu Rechtssicherheit und begründen die Gefahr einer unzulässigen Erweiterung des ohnehin schon sehr weiten Anwendungsbereichs dieser Gesetze. So ist z. B. in beiden Gesetzen das Speichern der Daten von Kontaktpersonen vorgesehen. Bei der Einstufung als Kontaktperson gibt es nur vage Vorgaben und keine klar definierten Parameter. Für den einzelnen Bürger besteht die Gefahr, dass er – nur durch einen unglücklichen Zufall – als Kontaktperson eingestuft, einer Personengruppe zugeordnet und deshalb diskreditiert wird. Dass diese Bedenken nicht nur theoretischer Natur sind, zeigt die Praxis der Antiterrordatei. Für die mündliche Verhand­lung des Bundesverfassungsgerichts (BVerfG) im November 2012 hat das ULD die Erfahrungen der Datenschutzbeauftragten aus den Kontrollen der Antiterrordatei zusammengetragen. Dabei ergab sich, dass keine umfassende Kontrolle der Zugriffe auf die in der Datei gespeicherten Daten möglich war. In einigen Fällen wurden die Speicherfristen bei der Erfassung der Antiterrordatei nicht korrekt festgesetzt, teilweise wurden die Betroffenen in eine falsche Personengruppe eingeordnet.

Wegen der datenschutzrechtlichen und verfas­sungsrechtlichen Bedenken wurde gegen das ATDG eine Verfassungsbeschwerde erhoben. Die Datenschutzbeauftragten des Bundes und der Länder haben zu dem Gesetz Stellung genommen. Themen der mündlichen Verhandlung vor dem BVerfG waren die hinreichende Bestimmtheit der erfassten Personengruppen, die Garantie effek­tiven Rechtsschutzes und die Möglichkeiten bzw. Grenzen der bestehenden Kontrollrechte der Datenschutzbeauftragten. Die Entscheidung des Gerichts steht noch aus.

Was ist zu tun?

Die aktuelle Diskussion über eine Neustrukturierung des Verfassungsschutzes sollte von einer bisher fehlenden umfassenden unabhängigen Evaluierung aller bislang ergriffenen Maßnahmen einschließlich ihres Zusammenwirkens ausgehen.

 

4.2.8       Neuorganisation der behördlichen Datenschutzbeauftragte n der Polizei

Die bisherige dezentrale Aufgabenwahrnehmung der behördlichen Datenschutzbeauftragten bei den einzelnen Polizeidirektionen, beim Landes­kriminalamt und beim Landespolizeiamt wurde aufgegeben. Nun steht eine zentrale Organisa­tionseinheit beim Landespolizeiamt bereit, um die Aufgaben der behördlichen Datenschutzbeauftrag­ten wahrzunehmen.

Die wesentliche Neuerung dieser Organisations­entscheidung des Innenministeriums besteht in einer räumlichen Zusammenführung der bisher bei den einzelnen Behörden tätigen behördlichen Datenschutzbeauftragten. Am Aufgabenzuschnitt, insbesondere an der vom ULD geforderten „Vor-Ort-Betreuung“, soll sich nichts ändern. Der durch diese Zentralisierung erwartete Vorteil besteht in einer besseren Kommunikation und einem besser aufeinander abgestimmten Vorgehen. Die Zuwei­sung von bestimmten Themenbereichen auf die einzelnen behördlichen Datenschutzbeauftragten kann auch die Qualität der Tätigkeit erhöhen.

Wichtig ist, dass der unmittelbare Kontakt zu den jeweiligen Ämtern und Polizeidirektionen durch die Umorganisation nicht leidet, denn die Gewähr­leistung von Praxisnähe ist zentral für die Realisie­rung eines effektiven Datenschutzes bei den Dienststellen der Polizei. Das ULD hatte zunächst den Weg zur Zentralisierung kritisch gesehen. Erste positive Auswirkungen in der unmittelbaren Zu­sammenarbeit zeigen, dass die Organisationsent­scheidung richtig war.

Was ist zu tun?

Bei all den positiven Effekten der Zusammenfassung der behördlichen Datenschutzbeauftragten ist darauf zu achten, dass die Aufgabenwahrung der behördlichen Datenschutzbeauftragten vor Ort uneingeschränkten Vorrang hat.

4.2.9       Die Polizei  als Informant des Arbeitgebers

Wegen Kostenerstattung in einem Ordnungswid­rigkeitenverfahren hatte ein Petent das Landes­polizeiamt kontaktiert. Die Antwort per E‑Mail erhielt nicht nur er selbst, sondern – nachrichtlich (cc) – auch sein Arbeitgeber. Für die Datenüber­mittlung an die Poststelle des Arbeitgebers gab es weder einen sachlichen Grund noch eine recht­liche Grundlage, weshalb wir diese Datenübermitt­lung beanstanden mussten.

Was ist zu tun?

Die Behörden sollten ihre Bediensteten in geeigneter Form darauf hinweisen, dass Korrespondenz grundsätzlich nur mit dem Betroffenen selbst zu erfolgen hat.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel