4.2          Polizei und Verfassungsschutz

4.2.1       Änderung des Landesverwaltungsgesetzes

Das Innenministerium hat uns im Berichtszeitraum einen Entwurf zur Änderung des Landesverwaltungsgesetzes vorgelegt, mit dem das Polizeirecht novelliert werden soll. Mit der Novelle werden drei Ziele verfolgt: Die EU-Richtlinie über den Datenschutz bei der Strafverfolgung soll umgesetzt werden, die Eingriffsbefugnisse der Polizei sollen an die Vorgaben des Bundesverfassungsgerichts aus dem Urteil zum BKA-Gesetz und die Befugnisse der Polizei sollen an eine geänderte Gefahrenlage angepasst werden.

Obwohl zwei der Ziele des Entwurfs darin bestehen, gestiegene datenschutzrechtliche Anforderungen umzusetzen, dominiert in dem vom Innenministerium vorgelegten Entwurf ganz klar der Sicherheitsgedanke. Zwar enthält der Entwurf einige Verbesserungen für den Datenschutz. Diese können aber nicht darüber hinwegtäuschen, dass mehr Befugnisse für die Erhebung und Verarbeitung personenbezogener Daten eingeführt werden und die Datenverarbeitung in diesem sensiblen Bereich dadurch

insgesamt erweitert wird. Im Entwurf finden sich eingriffsintensive Maßnahmen wie z. B. die Einführung von Befugnissen für GPS-Tracking, der Einsatz verdeckter Ermittler oder die Durchführung von verdachtsunabhängigen Kontrollen in Verkehrsmitteln und auf Verkehrswegen. Diese schwerwiegenden Eingriffe können durch die vorgesehenen, aus dem EU-Recht stammenden Maßnahmen zur Verbesserung des Datenschutzes, die eher technisch-organisatorischer Natur sind und Vorkehrungen zur Einhaltung der Zweckbindung der Daten und zur Verbesserung der nachträglichen Kontrolle treffen, nicht kompensiert werden. In der Gesamtbetrachtung führt der Gesetzentwurf daher in einem größeren Maße zu Einbußen für die Grundrechte der Bürgerinnen und Bürger, als dass er Verbesserungen für ihre Rechte brächte.

Auch zu einzelnen Regelungen haben wir Bedenken, die wir gegenüber dem Innenministerium in einer Stellungnahme vorgetragen haben. Dies betrifft insbesondere folgende Regelungen:

  • die Einführung einer Befugnis zur anlasslosen Identitätsfeststellung in Verkehrsmitteln und auf Durchgangsstraßen für den grenzüberschreitenden Verkehr,
  • den Einsatz von Bodycams auch auf Wohngrundstücken und die Befugnis für einen anlasslosen Einsatz von Bodycams im Pre-Recording-Modus,
  • die neu eingeführte Definition der dringenden Gefahr,
  • die Absenkung des Schutzes des Kernbereichs privater Lebensgestaltung.

Im Entwurf ist zudem eine Pflicht für die Landesbeauftragte für Datenschutz vorgesehen, verdeckte Maßnahmen und Übermittlungen in Drittstaaten mindestens alle zwei Jahre zu überprüfen. Dies entspricht einer Vorgabe des Bundesverfassungsgerichts. Es muss jedoch sichergestellt sein, dass die Wahrnehmung bestehender Aufgaben hierdurch nicht beeinträchtigt wird. Anderenfalls befürchten wir, dass tatsächliche Problemfelder unbearbeitet bleiben müssen, die manchmal weitaus mehr Anlass für Beschwerden geben können als die Verarbeitungen, zu deren Überprüfung wir gesetzlich verpflichtet sind.

Um diese Flexibilität zu erhalten, halten wir zwei Voraussetzungen für wesentlich: Zum einen dürfen die Prüfpflichten nicht derart starr ausgestaltet sein, dass sie selbst keinen Spielraum mehr lassen. Diese Voraussetzungen sind durch die Regelung des Entwurfs erfüllt, die wir so verstehen, dass alle zwei Jahre die Datenverarbeitung zu einer Auswahl an Maßnahmen und Übermittlungen geprüft werden muss, nicht aber, dass die Datenverarbeitung zu allen Maßnahmen im zweijährigen Abstand zu prüfen ist. Zum anderen ist für die Erfüllung der Prüfpflichten Voraussetzung, dass hierfür ausreichende Ressourcen bereitstehen. Auch ohne die neue Regelung bestehen bereits im nationalen und im EU-Recht zahlreiche Prüfpflichten für die Datenverarbeitung in polizeilichen Dateien (37. TB, Tz. 4.2.1). Die Erfüllung weiterer Prüfpflichten wird ohne Bereitstellung zusätzlicher Ressourcen nicht möglich sein. Wir begrüßen daher, dass ein erhöhter Verwaltungsaufwand und damit auch ein erhöhter Kostenaufwand für das ULD im Gesetzentwurf berücksichtigt sind.

 

Was ist zu tun?
Der Gesetzentwurf muss in einigen Punkten überarbeitet werden, um die Persönlichkeitsrechte betroffener Personen angemessen zu wahren. Die Einführung neuer Prüfpflichten für das ULD erfordert zusätzliche personelle Ressourcen.

 

4.2.2       Flugdrohnen bei der Landespolizei

Seit einigen Jahren erfreuen sich Flugdrohnen einer immer größeren Beliebtheit. Ob als Hobby oder im professionellen Einsatz, immer häufiger sieht man derartige Fluggeräte. Häufig ist nicht erkennbar, wer die Drohne steuert. Auch sind diese Fluggeräte in der Regel mit Kameras ausgestattet.

Mit Wirkung vom 7. April 2017 wurde die Luftverkehrsverordnung daher um Regelungen zum Betrieb von unbemannten Fluggeräten erweitert. Demnach ist der Flug z. B. über Menschenansammlungen oder Wohngrundstücken in der Regel verboten. Sieht man eine Drohne in diesem Kontext, könnte es sich jedoch um eine Drohne der Landespolizei handeln, für die die Verbote der Verordnung nicht gelten.

Die Landespolizei hat bisher zwei Flugdrohnen angeschafft. Zu den möglichen Einsatzzwecken gehören z. B. die Suche nach vermissten Personen oder Straftätern in unübersichtlichem Gebiet und die Erstellung von Übersichtsaufnahmen für einsatztaktische Zwecke an Unfall- oder Tatorten sowie bei Schadenslagen. Die Drohnen sind mit Kameras ausgestattet und können Aufnahmen anfertigen.

Auch wenn die Verbote der Drohnenverordnung für die Polizei nicht gelten, so sind beim Einsatz der Drohnen die grundlegenden Regelungen des Landesverwaltungsgesetzes sowie die allgemeinen Datenschutzgrundsätze zu beachten. Das Einsatzkonzept sieht deshalb u. a. vor, dass der Einsatz bei Versammlungen nach dem Versammlungsgesetz ausgeschlossen ist. Wohngrundstücke sollen nur überflogen werden, wenn dies unbedingt erforderlich ist, und dies in einer Höhe und mit einem Zoom, dass Personen zwar erkennbar, aber nicht identifizierbar sind.

Werden die Videodaten aufgezeichnet, beträgt die Löschfrist – abhängig vom Anlass der Aufzeichnung und deren Rechtsgrundlage – wenige Tage bis hin zu mehreren Jahren (z. B. bei Aufnahmen für die Aus- und Fortbildung). Personen, die vermuten, durch den Einsatz einer Polizeidrohne betroffen zu sein, können sich an die behördlichen Datenschutzbeauftragten der Landespolizei wenden und um Auskunft darüber bitten, ob und wenn ja welche personenbezogenen Daten erhoben wurden und wie diese verarbeitet werden (Tz. 4.2.3).

 

4.2.3       Erweitertes Auskunftsrecht für Bürger

Immer wieder wenden sich Bürgerinnen und Bürger an die Landesbeauftragte für Datenschutz, weil sie wissen möchten, welche Daten über sie bei der Landespolizei gespeichert sind. Viele wissen nicht, dass sie einen datenschutzrechtlichen Auskunftsanspruch gegenüber der Polizei haben. Durch die Umsetzung europäischer Rechtsakte ist der Umfang dieses Auskunftsanspruchs sogar noch erweitert worden.

Das Auskunftsrecht umfasst grundsätzlich alle personenbezogenen Daten, die verarbeitet werden. Es dient dazu, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Neben den personenbezogenen Daten selbst besteht auch ein Anspruch auf weitere Informationen, wie z. B. zu welchen Kategorien die verarbeiteten Daten gehören, die verfügbaren Informationen über die Herkunft der Daten, die Zwecke der Verarbeitung und deren Rechtsgrundlage, die Empfänger oder die Kategorien von Empfängern der Daten, die geltende Speicherdauer oder die Regeln, nach denen sie festgelegt wird, der Hinweis auf das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung durch den Verantwortlichen sowie der Hinweis auf das Beschwerderecht bei der Landesbeauftragten für Datenschutz.

Bei allgemeinen Auskunftsersuchen werden zurzeit nicht alle diese Informationen standardmäßig durch die Polizei zur Verfügung gestellt. Dies ist u. a. dem Umstand geschuldet, dass die IT-Verfahren nicht in der Lage sind, diese Informationen automatisiert zusammenzustellen. Außerdem sind personenbezogene Daten teilweise über verschiedene Dateien und Verfahren verteilt. Viele Informationen müssen daher händisch abgefragt und zusammengetragen werden. Bei konkreten Fragestellungen bietet es sich daher an, diese explizit in das Auskunftsersuchen aufzunehmen oder gegebenenfalls bei der Polizei nachzufragen, wenn wesentliche Fragen unbeantwortet geblieben sind.

Wo erhalte ich Auskunft?
Ihr unterschriebenes Auskunftsersuchen richten Sie formlos an das:

Landeskriminalamt, Mühlenweg 166,
24116 Kiel.

Um missbräuchliche Anfragen zu verhindern, besteht die Polizei auf eine Kopie des Personalausweises als Anlage.

Um zukünftig eine zeitnahe und umfassende Bearbeitung von Auskunftsersuchen zu ermöglichen, ist es erforderlich, die polizeilichen IT‑Verfahren vor dem Hintergrund der rechtlichen Vorgaben weiterzuentwickeln. Zur Auskunft berechtigte Stellen müssen in die Lage versetzt werden, zeitnah alle relevanten Informationen zusammenzutragen und bürgerfreundlich aufzuarbeiten.

Wird die Auskunft versagt oder eingeschränkt, besteht u. a. die Möglichkeit, sich an die Landesbeauftragte für Datenschutz zu wenden, um die Rechtmäßigkeit der Datenverarbeitung unabhängig prüfen zu lassen.

 

Was ist zu tun?
Betroffene sollten ihr Auskunftsersuchen so konkret wie möglich stellen.
Die IT-Verfahren der Landespolizei müssen so weiterentwickelt werden, dass Auskünfte durch die dafür berechtigten Stellen umfassend und zeitnah erteilt werden können.

 

4.2.4       Welche personenbezogenen Daten muss ich der Polizei geben?

Im Berichtszeitraum meldete sich ein Bürger bei der Landesbeauftragten für Datenschutz, der bei der Polizei eine Ruhestörung angezeigt hatte. Im Zuge des folgenden Polizeieinsatzes wurde seine Identität festgestellt. Außerdem wurde er nach seiner Handynummer und seinem Familienstand gefragt. Der Betroffene war verunsichert, welche Informationen er in dieser Situation der Polizei mitteilen muss.

Bei der Beseitigung einer Ruhestörung handelt es sich in der Regel um eine gefahrenabwehr-rechtliche Maßnahme, an die sich häufig (aber nicht zwingend) ein Ordnungswidrigkeiten-verfahren anschließt. Zur Dokumentation des polizeilichen Handelns sowie zur Vorbereitung eines möglichen Ordnungswidrigkeitenverfahrens darf die Polizei die Identität des Anzeigenden feststellen. Doch wie steht es mit der Handynummer und dem Familienstand?

Sowohl nach Gefahrenabwehrrecht als auch im Rahmen eines Ordnungswidrigkeitenverfahrens gibt es allgemeine Befugnisnormen zur Erhebung personenbezogener Daten. Nach § 22 LDSG gelten jedoch die Grundsätze der Erforderlichkeit und der Verhältnismäßigkeit. Sind bestimmte Daten z. B. zur Durchführung eines Ordnungswidrigkeitenverfahrens erforderlich, müssen Personen die entsprechenden Angaben machen.

Bei der Handynummer handelt es sich jedoch um eine Angabe, die – im vorliegenden Sachverhalt – lediglich der Verfahrensvereinfachung dient. Anstatt den Anzeigenden postalisch anzuschreiben oder aufzusuchen, kann man z. B. im Falle von Rückfragen anrufen. Ein Polizeibeamter kann in diesem Fall nicht auf die Herausgabe der Handynummer bestehen. Inwiefern der Familienstand für die Bearbeitung des Sachverhalts erforderlich war, konnte die Polizei nicht darlegen. Die Frage nach dem Familienstand war daher unzulässig.

Für betroffene Bürgerinnen und Bürger ist es schwer zu erkennen, welche von einem Polizisten abgefragten Informationen sie preisgeben müssen und bei welchen es sich um freiwillige Angaben handelt. Was kann man tun, wenn man sich nicht sicher ist oder sich bei der Frage unwohl fühlt?

Im Zweifelsfall sollte man die Beamtin oder den Beamten freundlich fragen, ob man zur Auskunft verpflichtet ist, und sich gegebenenfalls nach der Rechtsgrundlage erkundigen. Außerdem kann man sich auch nachträglich an die behördlichen Datenschutzbeauftragten der Polizei oder die Landesbeauftragte für Datenschutz wenden.

 

Was ist zu tun?
Die Polizei sollte ihre Bediensteten dafür sensibilisieren und entsprechend schulen, dass nicht zu viele Daten abgefragt werden und für die befragten Personen deutlich wird, wann es sich um freiwillige Informationen handelt.

 

4.2.5       Null Datenpannenmeldungen im Polizeibereich?!

Seit der jüngsten Anpassung des Landesdatenschutzgesetzes besteht nach § 41 LDSG eine gesetzliche Pflicht, Verletzungen des Schutzes personenbezogener Daten der Landesbeauftragten für Datenschutz zu melden. Diese Meldung muss unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden erfolgen. Worum geht es bei der Meldepflicht solcher Datenpannen, und wie kommt die Landespolizei dieser Pflicht nach?

Mit dieser Regelung werden europarechtliche Vorgaben umgesetzt. Gemeldet werden müssen Verletzungen der Sicherheit, die unbeabsichtigt oder unrechtmäßig u. a. zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führen. Dabei kann es sich z. B. um falsch zugestellte E‑Mails, Briefpost oder Faxe handeln, den Verlust von Unterlagen oder Datenträgern, die Möglichkeit der Einsichtnahme durch Unbefugte (z. B. Reinigungskräfte) in herumliegende oder nicht durch Verschluss gesicherte personenbezogene Daten oder Dateien oder ein Versagen von technisch-organisatorischen Schutzmaßnahmen bei Malware (Tz. 4.1.13), wenn personenbezogene Daten betroffen sind.

Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für betroffene Personen nach sich ziehen. Dazu zählen etwa der Verlust der Kontrolle über ihre personenbezogenen Daten oder die Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von personenbezogenen Daten, die dem Berufsgeheimnis unterliegen, oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene Person.

Deshalb ist die Polizei verpflichtet, sobald ihr eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde unverzüglich zu unterrichten. Von der Meldung kann abgesehen werden, wenn die Polizei im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen kann, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten betroffener Personen geführt hat. Ein Beispiel wäre der Verlust eines – nach dem Stand der Technik verschlüsselten – USB-Sticks mit personenbezogenen Daten, sofern nicht das Passwort für die Entschlüsselung ebenfalls betroffen sein könnte, z. B. weil jemand es auf dem USB-Stick notiert hat. In diesem Fall (ohne lesbares Passwort) bestünde voraussichtlich kein Risiko für die Rechte der betroffenen Personen, und eine Meldung an die Aufsichtsbehörde wäre nicht erforderlich.

Kann ein Risiko nicht ausgeschlossen werden, besteht jedoch die gesetzliche Pflicht zur Meldung. Die Aufsichtsbehörde wird dadurch in die Lage versetzt zu prüfen, ob die ergriffenen Maßnahmen ausreichen, um das Risiko einzudämmen und zukünftige Vorfälle dieser Art zu vermeiden.

Bei einem hohen Risiko für die Rechte betroffener Personen muss die Polizei diese sogar benachrichtigen (§ 42 LDSG). Die Benachrichtigung muss eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Die betroffenen Personen sollten so schnell wie möglich benachrichtigt werden.

Obwohl die gesetzliche Meldepflicht bereits seit Mai 2018 besteht, wird dieses Instrument zur Stärkung der Rechte schleswig-holsteinischer Bürgerinnen und Bürger im Polizeibereich anscheinend bis heute nicht angewendet. Während bei Aufsichtsbehörden anderer Bundesländer beinahe wöchentlich Meldungen der Polizei eingehen, gibt es in Schleswig-Holstein bisher keine einzige Meldung aus diesem Bereich. Seit Januar 2019 hat die Landesbeauftragte für Datenschutz dieses Thema wiederholt auf unterschiedlichen Ebenen der Landespolizei zur Sprache gebracht. Die gesetzliche Meldepflicht zu Datenpannen kann nur funktionieren, wenn die Mitarbeiterinnen und Mitarbeiter der Landespolizei sowie ihre Führungskräfte Verletzungen des Schutzes personenbezogener Daten erkennen und einen definierten Meldeweg einhalten. Bis heute gibt es weder ein Konzept zur Schulung der ca. 6.500 Bediensteten im Polizeibereich, noch ist uns ein Konzept zur Meldung und Bewertung entsprechender Verletzungen bekannt. Es wäre fatal, wenn der Eindruck entstehen würde, dass die Polizei zwar ihre gesetzlichen Befugnisse zum Eingriff in Bürgerrechte nutzt, auf der anderen Seite aber nicht dafür Sorge trägt, selbst ihre gesetzlichen Pflichten zu erfüllen, die die Bürgerrechte stärken sollen.

Die Meldepflicht zu Datenpannen dient in erster Linie dem Schutz der Rechte betroffener Bürgerinnen und Bürger. Wird sie richtig umgesetzt, bietet sie jedoch auch einen großen Mehrwehrt für die Organisation. Sind die Mitarbeitenden entsprechend sensibilisiert, führt dies insgesamt zu einem besseren Umgang mit personenbezogenen Daten. Dadurch wird auch die im Organisationsinteresse liegende Datensicherheit erhöht und möglichen „Datenskandalen“ präventiv entgegengewirkt.

 

Was ist zu tun?
Gesetzliche Pflichten müssen ernst genommen werden. Die Polizei muss ein Konzept für ein Verfahren zur Meldung von Datenpannen erstellen und landesweit umsetzen.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel