Sie sind hier: > Start > Tätigkeitsberichte > 26. TB 2014 > 4. Verfassungsschutz
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.01.2015
4. Verfassungsschutz
4.1. BayVSG-Änderungen bezüglich der Möglichkeit der Bestandsdatenauskunft
Der Bayerische Gesetzgeber hat in Ansehung der Entscheidung des Bundesverfassungsgerichts vom 24.01.2012 (siehe Nr. 3.1.1) auch das Bayerische Verfassungsschutzgesetz (BayVSG) geändert.
Die Bestandsdatenauskunft soll dem Landesamt für Verfassungsschutz insbesondere dazu dienen, Strukturermittlungen zu relevanten Personen und Gruppierungen sowie deren Vernetzungen untereinander zu ermöglichen.
Das BayVSG ist daher um einen neuen Art. 6g BayVSG ergänzt worden, der die Rechtsgrundlage für die Abfrage von Bestandsdaten durch das Landesamt für Verfassungsschutz darstellt. Neue Befugnisse für den Verfassungsschutz sollen damit nicht geschaffen werden.
Auch hier habe ich mich mit meiner Forderung durchsetzen können, dass zumindest für die Auskunft über sog. Zugriffssicherungscodes im Bereich des BayVSG die grundrechtssichernden Verfahrensvorschriften des Art. 6f Abs. 1 und Abs. 3 Satz 1 - 7 zur Anwendung kommen. Aus datenschutzrechtlicher Sicht kritisch bewerte ich nach wie vor die Tatsache, dass die grundrechtssichernden Verfahrensvorschriften nicht auch für eine Auskunft über sog. dynamische IP-Adressen eingeführt worden sind. Ferner ist meiner Forderung entsprechend eine Benachrichtigungspflicht für Auskünfte über Zugriffssicherungscodes und über dynamische IP-Adressen in das BayVSG aufgenommen worden
4.2. Antiterrordateigesetz
4.2.1. Folgen aus dem Urteil des Bundesverfassungsgerichts zum Antiterrordateigesetz (ATDG) vom 24.04.2013
In seinem Urteil zum Antiterrordateigesetz vom 24.04.2013 (Az.: 1 BvR 1215/ 07) hat sich das Bundesverfassungsgericht mit der Verfassungsmäßigkeit des Ge-setzes über die Antiterrordatei befasst, einer Verbunddatei verschiedener Polizei- und Verfassungsschutzbehörden des Bundes und der Länder zur Bekämpfung des internationalen Terrorismus.
Darüber hinaus hat das Gericht in seinem Urteil allgemeine verfassungsrechtliche Anforderungen an die Datenübermittlung zwischen Polizei und Nachrichtendiensten aufgestellt, die von grundlegender Bedeutung sind. Diese allgemeinen Ausführungen des Bundesverfassungsgerichts legen Änderungen in den betreffenden bayerischen Fachgesetzen insbesondere im Bayerischen Verfassungsschutzgesetz nahe.
Polizei und Nachrichtendienste verfolgen unterschiedliche Aufgaben. Sie nehmen ihre Aufgaben auf unterschiedliche Art wahr und haben bei ihrer Datenerhebung unterschiedliche Anforderungen zu beachten. Daraus folgert das Bundesverfassungsgericht, dass einer Zusammenführung von Daten und damit auch einer Datenübermittlung grundsätzlich enge Grenzen gesetzt sind. Aufgrund dieser Unterschiede zwischen Polizei und Nachrichtendiensten ergibt sich aus dem Grundrecht auf informationelle Selbstbestimmung und dem Grundsatz der Zweckbindung der erhobenen Daten ein informationelles Trennungsprinzip zwischen Polizeibehörden einerseits und Nachrichtendiensten andererseits. Ein Datenaustausch zwischen den Nachrichtendiensten und Polizeibehörden ist danach grundsätzlich nicht zulässig. Einschränkungen dieses Trennungsprinzips sind nur ausnahmsweise erlaubt. Soweit Einschränkungen des Trennungsprinzips zur operativen Aufgabenwahrnehmung erfolgen, liegt sogar ein besonders schwerer Eingriff vor.
Soweit der Datenaustausch zwischen Polizei und Nachrichtendienst daher "für ein mögliches operatives Tätigwerden" der Polizei erfolgt, sind somit folgende besondere verfassungsrechtliche Anforderungen zu stellen:
- der Datenaustausch hat einem herausragenden öffentlichen Interesse zu dienen, welches den Zugriff auf die unter erleichterten Bedingungen erhobenen Daten der Nachrichtendienste rechtfertigt; dies ist durch hinreichend konkrete und qualifizierte Eingriffsschwellen auf der Grundlage normenklarer gesetzlicher Regelung abzusichern
- die jeweiligen besonderen Eingriffsschwellen für die Erlangung der Daten dürfen durch den Datenaustausch nicht unterlaufen werden
Die einschlägigen Fachgesetze sind demzufolge dahingehend zu ändern, dass spezielle Datenübermittlungsregelungen für den Datenaustausch zwischen Polizei und Verfassungsschutz normiert werden müssen. Die bisherigen Regelungen genügen den im ATDG-Urteil insbesondere für eine Datenübermittlung von Nachrichtendiensten an die Polizeibehörden zur Wahrnehmung polizeilicher operativer Aufgaben aufgestellten Anforderungen nicht.
Für eine derartige Datenübermittlung an die Polizei ist in hinreichend konkreter und normenklarer Weise eine qualifizierte Einschränkung auf herausragende öffentliche Interessen als Zweck des Datenaustausches zu regeln. Zudem ist in den Normen sicherzustellen, dass die im Vergleich zu den Eingriffsbefugnissen des Verfassungsschutzes erhöhten Eingriffsschwellen, denen die Polizei bei der eigenen Datenerhebung unterliegt, nicht durch Datenübermittlungen des Verfassungsschutzes unterlaufen werden.
Ich habe gegenüber dem Staatsministerium des Innern, für Bau und Verkehr bereits zeitnah nach Verkündung des ATDG-Urteils auf den oben genannten Änderungsbedarf hingewiesen. Die dortigen Überlegungen zum Reformbedarf sind noch nicht abgeschlossen. Den weiteren Verlauf der Reformüberlegungen werde ich kritisch mitverfolgen.
4.2.2. Datenabrufe aus der Antiterrordatei (ATD)
Im Vorfeld der ATDG-Prüfung durch das Bundesverfassungsgericht (siehe Nr. 4.2.1) konnte ich mich erneut mit der Anwendung der ATD durch die Bayerischen Sicherheitsbehörden befassen. Mein besonderes Augenmerk legte ich diesmal auf die Anwendungs- und Auswertungsmöglichkeiten der Datei im praktischen Einsatz. So zeigten unter meiner Anleitung durchgeführte Auswerteversuche beim Landesamt für Verfassungsschutz die technische Fähigkeit der ATD, Auswertungen auch mit wenigen merkmalbezogenen Grunddaten oder erweiterten Grunddaten vorzunehmen. Zum Teil ergaben sich dabei dreistellige Auswerteergebnisse. Wenngleich ich bei meiner Prüfung nicht feststellen konnte, dass die Polizei oder das Landesamt für Verfassungsschutz solche umfassenden Auswertungen vorgenommen hat, habe ich schon wegen der bestehenden technischen Möglichkeit solcher Datenabrufe Bedenken. Immerhin scheinen diese auch zu allgemeinen Rasterungen, übergreifenden Lageauswertungen oder zur reinen Verdachtsschöpfung geeignet. Die Unzulässigkeit einer solchen ATD-Anwendung hat das Bundesverfassungsgericht in seinem Urteil vom 24.04.2013, Az.: 1 BvR 1215/07, betont. Das Bundesverfassungsgericht unterstreicht damit, dass die Vorschrift stets einen konkreten Ermittlungsanlass für Abfragen voraussetzt.
Weiterhin bewertet das Bundesverfassungsgericht diese als "Inverssuche" bezeichnete technische Auswertemöglichkeit schon grundsätzlich als unzulässig, wenn die merkmalbezogene Recherche in den erweiterten Grunddaten der abfragenden Behörde unmittelbar einen Zugang zu den einfachen Grunddaten im Trefferfall verschafft. Laut Bundesverfassungsgericht trägt eine solch weitgehende Nutzung der inhaltlichen Reichweite der erweiterten Grunddaten nicht hinreichend Rechnung. Schon die Möglichkeit der individuellen Erschließung des weitreichenden Informationsgehalts aller erweiterten Grunddaten im Rahmen von merkmalbezogenen Recherchen ist mit dem Übermaßverbot nicht vereinbar. Wenn der Gesetzgeber in diesem Umfang Daten in die Datei einzustellen anordnet, dürfen sie im Rahmen der Informationsanbahnung nur zur Ermöglichung eines Fundstellennachweises genutzt werden. Dementsprechend muss eine Nutzungsregelung so ausgestaltet sein, dass dann, wenn sich eine Recherche auch auf erweiterte Grunddaten erstreckt, nur das Aktenzeichen und die informationsführende Behörde angezeigt werden, nicht aber auch die korrespondierenden einfachen Grunddaten (Bundesverfassungsgericht, ATDG-Urteil vom 24.04.2013, Az.: 1 BvR 1215/07). Unmittelbar nach der Verkündung der Entscheidung des Bundesverfassungsgerichts wurden vom Bundesministerium des Innern bereits Sofortmaßnahmen ergriffen, die die Nutzung der ATD einschränken. Am 16.10.2014 hat der Bundestag einen Gesetzesentwurf zur Änderung des Antiterrordateigesetzes verabschiedet, der insbesondere die oben geschilderte "Inverssuche" stark einschränkt. Bei einer Suche in den erweiterten Grunddaten ohne Angabe eines Namens wird demnach im Trefferfall nur Zugriff auf folgende Daten gewährt: Angabe der Behörde, die über die Erkenntnisse verfügt, sowie das zugehörige Aktenzeichen oder sonstige Geschäftszeichen und, soweit vorhanden, die jeweilige Einstufung als Verschlusssache.
Ein weiterer Schwerpunkt meiner diesmaligen ATD-Prüfung lag in der Kontrolle von Anfragen, die eine Freischaltung der erweiterten Grunddaten in der ATD zum Ziel hatten. Hierbei schien mir zunächst die sehr geringe Anzahl solcher Anfragen innerhalb der von mir festgelegten Kontrollgruppe überraschend. Letztendlich deckt sich diese Feststellung jedoch mit dem Bericht zur Evaluierung des Antiterrordateigesetzes der Bundesregierung (Bundestags-Drucksache 17/12665), wonach Gespräche mit den Behördenvertretern gezeigt haben, dass die erweiterten Grunddaten im Rahmen der ATD-Nutzung insgesamt keine herausragende Rolle spielen würden. Sowohl mir gegenüber bei meinen Prüfungen, als auch gegenüber den Erstellern des o.g. Evaluierungsberichts wurde als Grund hierfür genannt, dass nach einem Treffer in den Grunddaten eher eine direkte Kontaktaufnahme zwischen den beteiligten Behörden erfolge. Weitergehende personenbezogene Informationen - wie auch solche, die in den erweiterten Grunddaten enthalten sind - würden dann in der Regel außerhalb der ATD ausgetauscht.
Vor diesem Hintergrund beabsichtige ich bei meinen regelmäßigen Überprüfungen der ATD zukünftig auch den - nach einer ersten Kontaktanbahnung in der ATD - außerhalb der Datei erfolgenden Datenaustausch noch näher zu beleuchten. Von besonderem Interesse wird dabei sein, wie die Sicherheitsbehörden auf das vom Bundesverfassungsgericht in seinem ATD-Urteil besonders hervorgehobene informationelle Trennungsgebot zwischen Polizeibehörden und Nachrichtendiensten in der Praxis reagieren.
4.3. Dokumentenmanagementsystem (DMS)
In meinem letzten Tätigkeitsbericht (siehe 25. Tätigkeitsbericht 2012 Nr. 4.2) habe ich bereits über Prüfungsergebnisse zu dem neuen Dokumentenmanagementsystem des Landesamts für Verfassungsschutz berichtet. Eine meiner zentralen Forderungen aus Anlass der bei der Prüfung erkannten Mängel war dabei die Erstellung eines abgestuften Löschungskonzepts. Zudem sollten entsprechende technische Vorkehrungen die Mitarbeiter des Landesamts für Verfassungsschutz bei der Festsetzung der Löschungsfristen unterstützen. Nachdem diese Forderungen mit Umstellungen in der Systemsoftware verbunden sind, hat mir das Landesamt für Verfassungsschutz mittlerweile zugesichert, in der nächsten System-Version die entsprechenden Änderungen vornehmen zu lassen. Nach derzeitigem Sachstand könnten meine Forderungen dann ab Mitte des Jahres 2015 berücksichtigt werden.
Einer weiteren von mir gestellten datenschutzrechtlichen Forderung kommt das Landesamt für Verfassungsschutz bereits seit dem Jahr 2012 nach. Seither werden auch Akten, Vorgänge oder Dokumente aus dem DMS, die eine Personenrecherche im System hervorbringt, im Rahmen von Auskünften nach Art. 11 Bayerisches Verfassungsschutzgesetz mit in die Auskunftserteilung einbezogen. Bis dahin war dies nur der Fall, wenn die Person zugleich auch in IBA (Informationssystem des Landesamts für Verfassungsschutz für die Beschaffung und Auswertung) oder in NADIS (Nachrichtendienstliches Informationssystem) gespeichert war. Sonstige Speicherungen - beispielsweise nach einer nicht IBA-relevant eingestuften Mitteilung durch eine andere Behörde - die ausschließlich im DMS vorlagen, wurden in die Auskunft nicht aufgenommen.
4.4. Prüfungen
4.4.1. Datenerhebung im Zusammenhang mit dem Aussteigerprogramm Rechtsextremismus
Seit dem Jahr 2001 bietet das Landesamt für Verfassungsschutz mit der Informationsstelle gegen Extremismus ausstiegswilligen Personen Beratungs- und Unterstützungsmöglichkeiten, um sich von der rechtsextremen Szene zu lösen. Seit dem Jahr 2012 wird dieses Programm allein von der im Jahr 2009 gegründeten Bayerischen Informationsstelle gegen Extremismus (BIGE), einer beim Landesamt für Verfassungsschutz angesiedelten Stelle des Staatsministeriums des Innern, für Bau und Verkehr, verantwortet. In welchem Umfang die dabei erlangten Erkenntnisse über Personen beim Landesamt für Verfassungsschutz gespeichert werden und ob die zu Ausstiegszwecken erlangten Daten auch zur sonstigen Aufgabenerfüllung des Landesamts für Verfassungsschutz herangezogen werden, habe ich hinterfragt.
Laut Auskunft des Landesamts für Verfassungsschutz werden die im Rahmen des Aussteigerprogramms erlangten personenbezogenen Daten lediglich im Dokumentenmanagementsystem des Landesamts für Verfassungsschutz gespeichert und nur zu Zwecken der Ausstiegshilfe verwendet. Eine Speicherung in der Amtsdatei (IBA - Informationssystem des Landesamts für Verfassungsschutz für die Beschaffung und Auswertung) oder in anderen Fachdateien findet demnach nicht statt. Zudem erfolgt die Speicherung der Daten mit der ausdrücklichen Einwilligung der Betroffenen. Die Ausstiegswilligen dokumentieren ihre Zustimmung mit ihrer Unterschrift auf einem Fragebogen, den sie zu Beginn des Programms ausfüllen.
Nach meiner Einsichtnahme in das Verfahren habe ich das Landesamt für Verfassungsschutz gebeten, diese schriftliche Einwilligung der Betroffenen an die Ausgestaltung der Einwilligungserklärung in Art. 15 BayDSG anzulehnen. Nachdem das Bayerische Verfassungsschutzgesetz (BayVSG) keine eigene Regelung für die Ausgestaltung einer Einwilligungserklärung enthält, erachte ich auch vor dem Hintergrund des Art. 10 BayVSG eine solche Handhabung aus datenschutzrechtlicher Sicht für sinnvoll. So ist laut Art. 10 BayVSG die Bestimmung aus Art. 15 BayDSG hier zwar nicht unmittelbar anwendbar, gleichwohl sollte der Betroffene jedoch unter Darlegung der Rechtsfolgen darauf hingewiesen werden, dass er die Einwilligung in die Datenerhebung - gänzlich oder teilweise - verweigern kann. Nachdem dieser Hinweis bis dahin im Fragebogen so nicht enthalten war, hat ihn das Landesamt für Verfassungsschutz nunmehr hinzugefügt.
4.4.2. Speicherung von Mandatsträgern
Das Bundesverfassungsgericht hat sich aufgrund einer Klage eines Abgeordneten der Partei Die Linke mit Beschluss vom 17.09.2013 zu den Voraussetzungen für die Beobachtung von Abgeordneten durch Behörden des Verfassungsschutzes geäußert. Die Beobachtung stellt demnach einen Eingriff in das freie Mandat dar und unterliegt strengen Anforderungen an die Verhältnismäßigkeit (Bundesverfassungsgericht, Beschluss vom 17.09.2013, Az.: 2 BvR 2436/10).
Aus diesem Anlass habe ich die Speicherungspraxis des Landesamts für Verfassungsschutz anhand der Kriterien der Entscheidung des Bundesverfassungsgerichts von Amts wegen überprüft.
Wie mir das Staatsministerium des Innern, für Bau und Verkehr mitgeteilt hat, habe das Landesamt für Verfassungsschutz im niedrigen zweistelligen Bereich Mandatsträger der Partei Die Linke gespeichert gehabt. Im Anschluss an die Entscheidung des Bundesverfassungsgerichts hat das Landesamt für Verfassungsschutz anhand der vom Gericht vorgegebenen Kriterien die Speicherungen überprüft und die Mehrzahl der Speicherungen gelöscht. Die Daten zu den verbleibenden Personen würden aufgrund ihres Bezugs zu Bayern, ihren offenen extremistischen Bestrebungen bzw. ihren Kontakten zu extremistischen Gruppen beim Landesamt für Verfassungsschutz weiterhin gespeichert werden.
In Bezug auf eine weiterhin gespeicherte Person habe ich erhebliche Zweifel an der Erforderlichkeit der weiteren Speicherung der personenbezogenen Daten geltend gemacht. Diesen Bedenken ist das Landesamt für Verfassungsschutz letztlich gefolgt und hat die Datenspeicherungen gelöscht.
4.4.3. Auskunftsverweigerungen
Zu meiner regelmäßigen Aufgabe gehört die Kontrolle von Auskunftserteilungen des Landesamts für Verfassungsschutz. So beispielsweise, wenn den Antragstellern mitgeteilt wird, über sie lägen keine Speicherungen beim Landesamt für Verfassungsschutz vor. Mehrfach habe ich mich dann bei persönlichen Besuchen davon überzeugt, dass sich in den Dateisystemen des Landesamts für Verfassungsschutz tatsächlich keine Speicherungen zu den Antragstellern recherchieren lassen. Bei keiner dieser Überprüfungen konnte ich Fehlauskünfte durch das Landesamt für Verfassungsschutz feststellen.
Ferner kommt dem Landesbeauftragten für den Datenschutz eine wesentliche Funktion zu, wenn sich das Landesamt für Verfassungsschutz gemäß Art. 11 Abs. 3 Bayerisches Verfassungsschutzgesetz (BayVSG) darauf beruft, die Auskunft an den Antragsteller aus den dort genannten Gründen zu versagen. Das Verfassungsschutzgesetz sieht in Art. 11 Abs. 4 BayVSG und das Sicherheitsüberprüfungsgesetz in Art. 28 Abs. 5 BaySÜG in solchen Fällen einer Ablehnung der Auskunft gegenüber dem Betroffenen vor, auf dessen Antrag die Auskunft zur Überprüfung an mich zu erteilen. Auch im vergangenen Berichtszeitraum habe ich auf Antrag von Betroffenen derartige Auskunftsüberprüfungen vorgenommen. Dabei konnte ich keine unzulässigen Speicherungen durch das Landesamt für Verfassungsschutz feststellen. Für die Gegebenheit, dass meine Antwort an die Betroffenen in diesen Fällen keinen Rückschluss auf den Kenntnisstand des Landesamts für Verfassungsschutz zulassen darf, sofern dieses nicht einer weitergehenden Auskunft zugestimmt hat, zeigten die Betroffenen Verständnis.
4.4.4. Datenaustausch mit ausländischen Nachrichtendiensten
Nicht zuletzt vor dem Hintergrund der öffentlichen Diskussion um die Datenausspähung durch ausländische Nachrichtendienste in Deutschland kommt der datenschutzrechtlichen Bewertung einer Zusammenarbeit zwischen deutschen und ausländischen Nachrichtendiensten besondere Bedeutung zu. Zwar fällt ein Großteil dieser Zusammenarbeit Bundesbehörden zu, gleichwohl besteht mit Art. 14 Abs. 3 Bayerisches Verfassungsschutzgesetz (BayVSG) auch für das Bayerische Landesamt für Verfassungsschutz eine Rechtsgrundlage für die Übermittlung personenbezogener Daten an ausländische Stellen.
Art. 14 BayVSG Personenbezogene Datenübermittlung durch das Landesamt für Verfassungsschutz
(3) 1Das Landesamt für Verfassungsschutz darf personenbezogene Daten an öffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes sowie an über- oder zwischenstaatliche öffentliche Stellen übermitteln, wenn die Übermittlung zur Erfüllung seiner Aufgaben nach diesem Gesetz oder zur Wahrung erheblicher Sicherheitsinteressen des Empfängers erforderlich ist; das Landesamt für Verfassungsschutz hat die Übermittlung aktenkundig zu machen. 2Die Übermittlung unterbleibt, wenn auswärtige Belange der Bundesrepublik Deutschland oder überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen. 3Sie ist aktenkundig zu machen. 4Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck verwendet werden dürfen, zu dem sie ihm übermittelt wurden.
In welchem Umfang zwischen dem Landesamt für Verfassungsschutz und ausländischen Nachrichtendiensten direkte Kontakte unterhalten werden und in welchen Fällen personenbezogene Daten - ohne vorherige Einbeziehung des Bundesamts für Verfassungsschutz - direkt mit ausländischen Nachrichtendiensten ausgetauscht werden, ließ ich mir nun vom Landesamt für Verfassungsschutz erläutern. Insgesamt vermittelte mir das Landesamt für Verfassungsschutz dabei den Eindruck, durch strikte interne administrative Regelungen der besonderen Bedeutung solcher Auslandskontakte Rechnung zu tragen. So sind in alle Vorgänge die jeweiligen Abteilungsleitungen sowie die Präsidialebene einzubinden. Soweit ich bei meiner Prüfung der Ausgestaltung der internen Regelungen Verbesserungsmöglichkeiten erkannt habe, hat mir das Landesamt für Verfassungsschutz bereits zugesichert, diese zeitnah umzusetzen.
Weiterhin habe ich für meine datenschutzrechtliche Prüfung einzelne Fallbereiche ausgewählt. Im Ergebnis kann dabei festgehalten werden, dass ich in keinem der geprüften Fälle Übermittlungen personenbezogener Daten feststellen konnte, die sich nicht im Rahmen der gesetzlichen Übermittlungsbestimmungen bewegten. Gleichwohl habe ich im Hinblick auf die erforderliche Hinweispflicht an den Datenempfänger in Art. 14 Abs. 3 Satz 4 BayVSG das Landesamt für Verfassungsschutz gebeten, den verwendeten standardisierten Hinweistext zu überarbeiten und enger an die gesetzlichen Vorgaben anzupassen. Zudem muss zur Klarstellung der Zweckbindung in den Datenübermittlungen auch der jeweils angestrebte Zweck noch deutlicher hervorgehoben werden. Das Landesamt für Verfassungsschutz hat mir zugesichert, auch diese beiden Anregungen zukünftig zu berücksichtigen.