[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2022

3. Polizei und Verfassungsschutz

3.1. Verfahrensübergreifende Recherche- und Analyseplattform der Bayerischen Polizei (VeRA)

Im Juli 2019 informierte mich das Innenministerium erstmals über das "Projekt zur Einführung einer verfahrensübergreifenden Recherche- und Analyseplattform bei der Bayerischen Polizei (VeRA)". Ziel des Projekts sei es, die begrenzten personellen Ressourcen im Bereich der Bekämpfung der Schwerstkriminalität, organisierten Kriminalität und der Terrorismusbekämpfung effizient und zielgerichtet, unter Nutzung vorhandener technischer Möglichkeiten, einzusetzen. Die Automatisierung von Prozessen solle hierbei insbesondere zu einer Entlastung des eingesetzten Personals, Beschleunigung der Ermittlungen und damit der Gewährleistung der Handlungsfähigkeit der Bayerischen Polizei führen.

Den Informationen konnte ich entnehmen, dass das Projekt im Kern die Schaffung sehr umfangreicher softwarebasierter Recherche- und Analysemöglichkeiten bedeutet, um polizeiliche Dateien, angebundene Datenbanken anderer Behörden, offen im Internet verfügbare Daten und Informationen aus sichergestellten Datenträgern in bisher nicht gekannter Effektivität und Effizienz zu durchsuchen und auszuwerten.

Schon die Mitteilung erster Zielvorstellungen zu "VeRA" ließen nicht nur eine neue Dimension polizeilicher Datenverarbeitung erahnen, sondern zugleich ein völlig neues Eingriffsniveau. Nach meiner ersten Einschätzung kam ich aufgrund zahlreicher offener Fragestellungen und der absehbar hohen Eingriffsintensität nicht umhin, dem Bayerischen Staatsministerium des Innern, für Bau und Verkehr im September 2019 meine erheblichen datenschutzrechtlichen Bedenken mitzuteilen. Während und nach einer ersten Informationsveranstaltung im Landeskriminalamt konkretisierte und verdeutlichte ich diese Bedenken nochmals. Dabei wies ich insbesondere auf eine meines Erachtens fehlende Rechtsgrundlage für den Einsatz einer solch hocheffizienten Recherche- und Analysesoftware hin und empfahl vor Durchführung eines Vergabeverfahrens dringend die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Ebenso erinnerte ich das Landeskriminalamt an meine kurz davor geäußerte Kritik an der dort bereits eingesetzten Anwendung "iFinder" (siehe auch meinen 28. Tätigkeitsbericht 2018 unter Nr. 4.1.4), die- im Vergleich zum geplanten Vorhaben "VeRA" mit deutlich reduzierteren - Fähigkeiten eine dokumenten- und verzeichnisübergreifende Volltextsuche in polizeilichen Datenbeständen ermöglicht.

Generell konnte ich in den letzten Jahren zunehmend den Eindruck gewinnen, dass die Schwierigkeit der modernen Polizeiarbeit oftmals nicht mehr wie in früheren Jahren darin besteht, an Informationen zu gelangen, sondern die Vielzahl der bereits vorhandenen und verfügbaren Daten ungeachtet ihrer Qualität noch überblicken zu können. Die Verknüpfung und effiziente Analyse von unterschiedlichen Daten in unterschiedlichen Datenquellen in kurzer Zeit ist daher eine der zentralen Herausforderungen für "VeRA".

Nach meiner Wahrnehmung hatte sich das Projekt "VeRA" in der Beurteilung der Ausgangslage in erster Linie mit den fachlichen Bedürfnissen und dem technischen Status quo befasst und dabei die wesentliche Frage ausgespart, warum überhaupt voneinander getrennte "Datentöpfe" existieren. Der Grund hierfür ist jedoch ein wesentliches Grundprinzip des Datenschutzes: die sogenannte Zweckbindung. Danach dürfen rechtmäßig erhobene Daten nur für die bei der Erhebung festgelegten, eindeutigen und legitimen Zwecke verwendet und in der Folge gerade nicht voraussetzungslos für jedwede anderweitigen Zwecke weiterverarbeitet werden. Dieser Grundsatz ist auch im Polizeirecht ausdrücklich verankert, zum Beispiel in Art. 53 Abs. 2 PAG:

"1Die Speicherung und anderweitige Verarbeitung darf nur zu dem Zweck erfolgen, zu dem diese Daten erhoben worden sind. 2Die Verarbeitung einschließlich einer erneuten Speicherung und einer Veränderung sowie die Übermittlung zu einem anderen polizeilichen Zweck ist zulässig, soweit die Polizei die Daten zu diesem Zweck erheben dürfte oder dies anderweitig besonders gestattet ist."

Auch aufgrund der Zweckbindung hat die Polizei daher nicht nur eine, sondern viele verschiedene Datenbanken. So gibt beispielsweise der Kriminalaktennachweis (KAN) Auskunft über alle Personen, bei denen die Polizei strafverfahrensrechtliche Ermittlungen aufgenommen hat. Das sogenannte Vorgangsverwaltungssystem IGVP hingegen betrifft die Verwaltung aller Vorgänge - also auch solcher, die unter Umständen überhaupt keinen Bezug zur Kriminalität haben, sondern beispielsweise nur das polizeiliche Vorgehen dokumentieren sollen (etwa die Feststellung von Zeugen bei einem einfachen Verkehrsunfall). Daneben gibt es eine Fülle an Spezialdatenbanken, die unterschiedlichen Zwecken dienen. Diese Unterscheidung nach dem Zweck hat mehrere Funktionen, insbesondere aber gibt sie der Polizei eine Orientierung, wofür sie die Daten gerade konkret verwenden darf und wofür nicht.

Wenn die Polizei jedoch Verfahren und Methoden einsetzt, um mit deren Hilfe bereits vorhandene, große Datenbestände zu recherchieren und selbständig auf Zusammenhänge zu analysieren, um auf diesem Wege "neues Wissen" zu generieren, bewegt sie sich nach der Rechtsprechung des Bundesverfassungsgerichts im Bereich des sogenannten Data-Mining.

Das bedeutet, dass die Polizei aus den zur Verfügung stehenden Daten mit praktisch allen informationstechnisch möglichen Methoden weitreichende Erkenntnisse abschöpfen sowie aus der Datenauswertung neue Zusammenhänge erschließen kann. Mit der Verknüpfung von Daten könnten etwa mehrstufige Analysen angestoßen werden, die neue Verdachtsmomente erst erzeugen. Weitere Analyseschritte oder auch daran anschließende operative Maßnahmen wären möglich. Die Nachteile, die Betroffenen auf Grund einer solchen Maßnahme drohten, könnten aus Sicht des Bundesverfassungsgerichts daher erheblich sein und das Gewicht der individuellen Beeinträchtigung bedeutend erhöhen. Hinzu käme, dass von den betreffenden Datenverarbeitungen durch "VeRA" in erheblichem Maße solche Personen betroffen wären, die in keinem Bezug zur anlassgebenden Situation stünden. Die Streubreite des mit "VeRA" verbundenen Eingriffs wäre daher enorm und bewegte sich im Bereich der Rasterfahndung.

Auch wenn die oben genannten Feststellungen des Bundesverfassungsgerichts im Zusammenhang mit der informationellen Kooperation zwischen Polizeibehörden und Nachrichtendiensten getroffen wurden, ist ihr Grund- und Schutzgedanke auch auf innerpolizeiliche Data-Mining-Systeme übertragbar. Damit brächte "VeRA" eine erheblich höhere Eingriffsintensität gegenüber herkömmlichen Datenabgleichen/-verarbeitungen mit sich. Nach ständiger Rechtsprechung des Bundesverfassungsgerichts müssen Befugnisse mit einem derartig hohen Eingriffsgewicht dem Schutz von besonders gewichtigen Rechtsgütern dienen und auf Grundlage präzise bestimmter und normenklarer Regelungen an hinreichende Eingriffsschwellen gebunden sein.

Das ursprüngliche Ansinnen des Landeskriminalamts und des Innenministeriums, die Recherche- und Analyseplattform "VeRA" ohne Schaffung einer spezifischen Rechtsgrundlage betreiben zu wollen, kritisierte ich daher mehrfach. Zudem wies ich deutlich auf die Notwendigkeit einer Datenschutzfolgenabschätzung hin.

Im März 2022 musste ich schließlich einer Pressemitteilung des Landeskriminalamts entnehmen, dass bezüglich "VeRA" bereits der Zuschlag zugunsten des Unternehmens "Palantir Technologies GmbH" erfolgte.

Ich nahm dies zum Anlass, den Sachverhalt und die damit verbundenen datenschutzrechtlichen Problemstellungen nochmals zusammenfassend aus meiner Perspektive dem Innenministerium zu erläutern.

In der Folge zeigten sich Landeskriminalamt und Innenministerium offener für die Schaffung einer Befugnis zum Betrieb von "VeRA" und die Durchführung einer tragfähigen DSFA. Schließlich wurde ich über die beabsichtigte Schaffung einer neuen, spezifischen Rechtsgrundlage für den Einsatz von "VeRA" innerhalb des Polizeiaufgabengesetzes informiert. In diesem Zusammenhang wies ich unter anderem auf folgende Punkte hin:

  • In Hamburg und Hessen, wo für den vergleichbaren Einsatz der Palantir-Software bereits Rechtsgrundlagen geschaffen wurden, stehen diese zur Überprüfung durch das Bundesverfassungsgericht an. Aus Gründen der Rechtssicherheit wäre es empfehlenswert, die Entscheidungen zu diesen beiden Verfassungsbeschwerden abzuwarten.
  • Die mit VeRA verbundenen Datenverarbeitungen weisen - insbesondere im Vergleich zu einer händischen Auswertung - ein enormes Eingriffsgewicht mit immenser Streubreite auf und erlangen auch im Rahmen einer Überwachungsgesamtrechnung Bedeutung.
  • Die Anwendung von VeRA ist grundsätzlich auf solche Daten zu beschränken, die die Polizeibehörden unter besonderen Voraussetzungen für Zwecke der vorbeugenden Gefahrenabwehr speichern. Eine Einbeziehung von Daten aus der polizeilichen Vorgangsverwaltung IGVP, die einen enormen Umfang hat und größtenteils Daten von unbescholtenen Bürgern enthält, lehne ich ab.
  • Das Eingriffsgewicht bei der Nutzung von VeRA ist mit dem einer Rasterfahndung zumindest vergleichbar. In diesem Fall wird den verfassungsrechtlichen Anforderungen nur genügt, wenn die Ermächtigung eine konkrete Gefahr für hochrangige Rechtsgüter vorsieht. Eine "drohende Gefahr" reicht dafür nicht aus.

Die Sicherheitslage scheint sich nahezu jährlich zu verbessern. So wurde für die Polizeiliche Kriminalstatistik (PKS) im Jahr 2021 in Bayern die niedrigste Kriminalitätsbelastung seit 44 Jahren und gleichzeitig die höchste Aufklärungsquote seit 27 Jahren vermeldet. Darüber hinaus nimmt das Projekt "Polizei 20/20", das die Sicherheitsarchitektur der Polizeien des Bundes und der Länder in den kommenden Jahren gravierend verändern und weitest möglich vernetzen soll, zunehmend Fahrt auf (siehe auch meinen 30. Tätigkeitsbericht 2020 unter Nr. 5.1).

All dies führt schlussendlich zu der Fragestellung, ob angesichts dieser Sachlage noch ein derart eingriffsintensives Instrument wie "VeRA" zusätzlich erforderlich ist und wenn ja, wie der Einsatz verhältnismäßig ausgestaltet werden kann.

Am 16. Februar 2023 hat das Bundesverfassungsgericht ein Urteil zu den oben erwähnten Regelungen in Hessen und Hamburg erlassen. Es bleibt nun abzuwarten, wie der bayerische Gesetzgeber bei der beabsichtigten Schaffung einer Rechtsgrundlage die dort aufgestellten verfassungsrechtlichen Rahmenbedingungen umsetzen wird.

3.2. Dauer der Bearbeitung von Auskunftsersuchen

Nach Art. 65 Polizeiaufgabengesetz (PAG) hat die Polizei einer Person auf Antrag unter anderem mitzuteilen, ob und welche personenbezogenen Daten sie über die antragstellende Person verarbeitet.

Art. 65 PAG

Auskunftsrecht

(1) 1Die Polizei teilt einer Person auf Antrag mit, ob sie betreffende personenbezogene Daten, einschließlich Bild- und Tonaufnahmen, verarbeitet werden. 2Ist dies der Fall, erhält die Person ihrem Antrag entsprechend Auskunft über sie betreffende personenbezogene Daten und über

  1. die Rechtsgrundlage und die Zwecke der Verarbeitung,
  2. verfügbare Informationen zur Herkunft der Daten oder, falls dies im Einzelfall nicht möglich ist, zu den Kategorien personenbezogener Daten, die verarbeitet werden,
  3. die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt wurden,
  4. die für deren Speicherung vorgesehene Dauer oder, falls dies im Einzelfall nicht möglich ist, die Kriterien für deren Festlegung,
  5. die bestehenden Rechte auf Berichtigung, Löschung oder Verarbeitungseinschränkung und
  6. die Kontaktdaten des Landesbeauftragten und die Möglichkeit, bei ihm Beschwerde einzulegen.

3Bestehen begründete Zweifel an der Identität der antragstellenden Person, kann die Erteilung der Auskunft von der Erbringung geeigneter Nachweise abhängig gemacht werden. 4Auskunft zur Herkunft personenbezogener Daten von oder zu deren Übermittlung an Verfassungsschutzbehörden des Bundes oder der Länder, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, wird nur mit Zustimmung dieser Stellen erteilt.

(2) 1Die Auskunft kann unterbleiben, soweit und solange andernfalls

  1. die Erfüllung polizeilicher Aufgaben gefährdet oder wesentlich erschwert würde,
  2. die öffentliche Sicherheit oder Ordnung gefährdet würde oder
  3. die im Einzelfall, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, erforderliche Geheimhaltung verarbeiteter Daten gefährdet würde und das Interesse der antragstellenden Person an der Auskunftserteilung nicht überwiegt.

2Art. 50 bleibt unberührt.

(3) 1Art. 62 Abs. 5 gilt entsprechend. 2Die Gründe für die Ablehnung eines Antrags sind von der Polizei zu dokumentieren. 3Sie sind dem Landesbeauftragten für dessen Kontrolle in auswertbarer Weise zur Verfügung zu stellen, soweit nicht das Staatsministerium des Innern, für Sport und Integration im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. 4Eine Mitteilung des Landesbeauftragten an den Betroffenen im Beschwerdeverfahren darf keine Rückschlüsse auf den Erkenntnisstand der Polizei zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.

(4) Art. 62 Abs. 6 gilt entsprechend.

Dieses Auskunftsrecht ist aus datenschutzrechtlicher Sicht von sehr großer Bedeutung, da betroffene Personen häufig erst durch die Kenntnis, was über sie gespeichert ist, in die Lage versetzt werden, weitere Rechte, wie etwa das Recht auf Löschung, auszuüben. Auskunftsersuchen nach Art. 65 PAG sind für mich daher ein datenschutzrechtliches Dauerthema im Austausch mit der Bayerischen Polizei. Dementsprechend häufig sind sie auch in meinen Tätigkeitsberichten präsent (siehe zuletzt meinen 28. Tätigkeitsbericht 2018 unter Nr. 4.6).

Aufgrund von Beschwerden rückte in der Vergangenheit neben der Frage des Umfangs der Auskunft immer wieder der Aspekt in den Mittelpunkt, welche Zeit die Polizei für die Bearbeitung derartiger Anträge in Anspruch nehmen darf.

Schon im Berichtszeitraum 2015/2016 (siehe meinen 27. Tätigkeitsbericht 2016 unter Nr. 3.10.2) hatte ich dem Bayerischen Landeskriminalamt mitgeteilt, dass die Bearbeitung sowohl von Auskunfts- als auch von Löschungsanträgen in der Regel nicht länger als drei Monate dauern darf. Maßgeblich hierfür ist zum einen die allgemeine Entscheidung des Gesetzgebers, nach drei Monaten grundsätzlich den Weg für eine Untätigkeitsklage zu öffnen (siehe § 75 Verwaltungsgerichtsordnung). Zum anderen sieht die Datenschutz-Richtlinie für Polizei und Strafjustiz im Speziellen vor, dass derartige Anträge grundsätzlich unverzüglich zu beantworten sind (siehe Erwägungsgrund 40 RLDSJ).

In der Folge erreichten mich dennoch immer wieder begründete Eingaben zur Bearbeitungsdauer bei Auskunftsersuchen. So wandten sich wiederholt betroffene Personen an mich, die mehr als vier Monate nach Stellung eines Auskunftsantrags lediglich eine Eingangsbestätigung, aber keine endgültige Antwort oder Zwischennachricht erhalten hatten. Vor diesem Hintergrund bat ich das Landeskriminalamt, mir zu bestimmten Zeitpunkten über die Zahl der drei Monate nach Antragsstellung noch unerledigten Auskunftsersuchen zu berichten.

Auf meine erste diesbezügliche Anfrage hin teilte mir das mir das Landeskriminalamt mit, dass einige Anträge noch nicht abgeschlossen seien. Ich habe dies gegenüber dem Landeskriminalamt kritisiert und sinngemäß darauf hingewiesen, dass die Polizei bei der Bearbeitung von Auskunftsanträgen einer gesetzlichen Verpflichtung nachzukommen habe, die nicht ohne Weiteres zugunsten anderer Schwerpunkte zurückgestellt werden könne. Auch habe ich gegenüber dem Landeskriminalamt deutlich gemacht, dass der in den letzten Jahren zu verzeichnende kontinuierliche Anstieg bei den an die Polizei gerichteten Auskunftsanträgen mit Blick auf das stetig wachsende gesellschaftliche Interesse und Bewusstsein für die Thematik Datenschutz durchaus vorhersehbar gewesen sei.

In der Folge konnte mir das Landeskriminalamt erfreulicherweise berichten, dass man entsprechende Maßnahmen ergriffen habe und die Fälle mit einer überlangen Bearbeitungsdauer (also länger als drei Monate) "auf null" habe reduzieren können. Gleichwohl werde ich beim Landeskriminalamt weiterhin regelmäßig entsprechende Berichte einholen, um den weiteren Verlauf dieser - zuletzt wieder positiven - Entwicklung zu verfolgen.

3.3. Unsachgemäßer E-Mail-Versand durch die Polizei im Rahmen eines Ermittlungsverfahrens

Die E-Mail ist zum Standard-Kommunikationsmittel unserer Zeit geworden. Jeder bzw. jede schätzt die damit verbundenen Vorzüge eines direkten und schnellen Informationsaustauschs. Allzu häufig wird dabei jedoch vergessen, dass der Inhalt einer E-Mail grundsätzlich nicht gesichert ist. Nur durch eine Verschlüsselung der Daten lassen sich wichtige Sicherheitsstandards gewährleisten (siehe hierzu etwa meinen 26. Tätigkeitsbericht 2014 unter Nr. 3.6.6).

Dass aber nicht nur dies beim Umgang mit E-Mails datenschutzrechtlich problematisch sein kann, zeigt folgendes Beispiel:

Im Wege einer Eingabe beschwerte sich ein Bürger über folgenden Sachverhalt: Im Rahmen eines Online-Betrugsverfahrens kontaktierte eine Polizeiinspektion alle Geschädigten mittels E-Mail. Diese Nachricht, welche auch Fragen zum betreffenden Warenkauf enthielt, wurde an den Petenten und gleichzeitig an etwa 20 weitere Geschädigte gesandt. Da die E-Mail-Adressen im für alle Empfängerinnen und Empfänger einsehbaren Adressfeld und nicht unter "BCC" aufgeführt wurden, erhielten alle angeschriebenen Geschädigten Kenntnis von den E-Mail-Adressen der übrigen, ihnen unbekannten Geschädigten.

Ich habe das zuständige Polizeipräsidium darauf hingewiesen, dass der Schutz personenbezogener Daten auch im E-Mail-Verkehr Berücksichtigung finden muss. Das betrifft neben den Informationen in Form von Texten und Anhängen auch die Adressen der Empfängerinnen und Empfänger. Insbesondere ist darauf zu achten, dass bei Nachrichten an mehrere Personen das "BCC"-Feld genutzt wird, um die Offenlegung der einzelnen E-Mail-Adressen an alle Empfängerinnen und Empfänger zu verhindern.

Nach Prüfung des Sachverhaltes räumte das Polizeipräsidium ein, dass die gewählte Vorgehensweise zweifelsfrei nicht die richtige gewesen und dem Schutz der personenbezogenen Daten der Geschädigten nur unzureichend Rechnung getragen worden sei. Es habe sich um einen Fehler im Einzelfall und keineswegs um eine gängige Ermittlungsmethode der betreffenden Polizeiinspektion gehandelt.

Um künftig derartige Fälle zu vermeiden, sei eine Sensibilisierung aller Beschäftigten der Polizeiinspektion erfolgt. Der Rückmeldung des Polizeipräsidiums war zu entnehmen, dass die Einhaltung datenschutzrechtlicher Aspekte auch im Zusammenhang mit dem E-Mail-Verkehr weiterhin im Fokus behalten werde.

Im Ergebnis diente die Beschwerde somit dazu, auf einen datenschutzrechtlich korrekten Umgang mit dem Kommunikationsmittel E-Mail im Rahmen polizeilicher Ermittlungstätigkeit aufmerksam zu machen.

3.4. Unzulässiges Abfotografieren eines Ausweises mittels eine privaten Smartphones

Im Berichtszeitraum monierte eine Beschwerde die Vorgehensweise der Polizei im Zusammenhang mit einer Identitätsfeststellung. Eine lautstarke Auseinandersetzung hatte einen Polizeieinsatz zur Folge gehabt. Im Verlauf des Einsatzes stellte die Polizei die Identität der anwesenden Personen fest. Hierzu ließen sich die Beamten auch einen Ausweis der Petentin aushändigen. Ein Polizeibeamter fotografierte den Ausweis mit seinem privaten Smartphone, um in der Situation vor Ort handlungsbereit zu bleiben und später am Schreibtisch eine sorgfältige Sachbearbeitung zu ermöglichen.

Durch die Verwendung des privaten Smartphones war allerdings die Sicherheit der Verarbeitung personenbezogener Daten auf dem Ausweis nicht gewährleistet; gleichzeitig wurde gegen eine entsprechende polizeiinterne Richtlinie verstoßen, die eine Nutzung privater EDV-Anlagen zu dienstlichen Zwecken untersagt (Art. 66 Polizeiaufgabengesetz in Verbindung mit Art. 28 Abs. 1, Abs. 2 Satz 2, Art. 32 BayDSG und Art. 32 Abs. 1 DSGVO).

Das betroffene Polizeipräsidium räumte ein, dass das Vorgehen des Polizeibeamten fehlerbehaftet war. Auch teilte es mir auf mein entsprechendes Schreiben mit, dass das Foto nach der Sachbearbeitung umgehend sowohl vom privaten Smartphone als auch aus dem dazugehörigen Cloud-Speicher gelöscht worden sei. Weiterhin werde die Problematik im Rahmen einer Dienstbesprechung mit den nachgeordneten Dienststellen erörtert. Vor diesem Hintergrund habe ich von weiteren Maßnahmen abgesehen.

3.5. Parlamentarische Untersuchungsausschüsse und Löschmoratorien

Im Zusammenhang mit der Tätigkeit parlamentarischer Untersuchungsausschüsse habe ich die Zunahme von Löschmoratorien bereits in meinem 27. Tätigkeitsbericht 2016 kritisch gewürdigt. Dabei habe ich auf zahlreiche Aspekte einer möglichst datenschutzfreundlichen Verfahrensweise hingewiesen. Dies betraf insbesondere die strikte Zweckbindung von über die eigentliche Speicherdauer hinausgehend aufbewahrten Daten, die ausschließlich dem Zweck des Untersuchungsausschusses dienen dürfen, sowie eine Einschränkung des zugriffsberechtigten Personenkreises. Gleichzeitig hatte ich meine datenschutzrechtlichen Bedenken gegenüber den umfassenden Speicherungs- und Aufbewahrungsverlängerungen gerade auch im Hinblick auf die verfassungsrechtlich gebotene Aufklärungsarbeit von Untersuchungsausschüssen vorerst zurückgestellt.

Vor diesem Hintergrund bin ich im Juni 2021 gerne der Aufforderung aus den Beschlüssen des Bayerischen Landtags (Landtags-Drucksache 18/14524 und 18/14525) nachgekommen, zur Frage der Fortführung oder Aufhebung des bestehenden Löschmoratoriums "NSU" Stellung zu nehmen. Im Kern betraf dies Überlegungen zum weiteren Umgang mit dem im Rahmen von NSU-Untersuchungsausschüssen verhängten Löschmoratorium für Akten und Daten des Bayerischen Landesamts für Verfassungsschutz und der Bayerischen Polizei.

Aus meiner Sicht waren hierbei zwei unterschiedliche Kategorien von Daten und Akten zu beurteilen:

Die erste Kategorie bildeten solche Daten und Akten, die in einem erkennbaren Kontext mit dem Untersuchungsauftrag "NSU" standen und daher auch den jeweiligen Untersuchungsausschüssen vorgelegt wurden. Auch wegen der herausragenden Bedeutung dieser Untersuchungsausschüsse, der daraus gewonnenen Erkenntnisse und ihrer nachwirkenden gesamtgesellschaftlichen Aufgabenstellung hatte ich aus datenschutzrechtlicher Sicht keine Bedenken, wenn diese Daten und Akten nicht gelöscht und vernichtet, sondern - wie vom Bayerischen Staatsministerium des Innern, für Sport und Integration vorgeschlagen - den zuständigen staatlichen Archiven angeboten werden.

Ein anderes Bild zeichnete sich jedoch bezüglich der zweiten Kategorie, also jenen Daten und Akten, die ebenfalls über die gesetzlich vorgesehenen Speicherfristen hinaus bevorratet wurden, jedoch in keinem erkennbaren Bezug zu dem Untersuchungsgegenstand "NSU" standen. Nach Abschluss der Untersuchungsausschüsse des Bayerischen Landtags sowie des Bundestags existierte keine Rechtsgrundlage für eine weitere Aufbewahrung bzw. Speicherung. Im Ergebnis habe ich mich für eine zeitnahe Aufhebung des verfügten Löschmoratoriums betreffend die Daten und Akten der "zweiten Kategorie" ausgesprochen.

Die endgültige Entscheidung über den weiteren Umgang mit dem im Rahmen von NSU-Untersuchungsausschüssen verhängten Löschmoratorium wurde letztlich zurückgestellt, als sich der Bayerische Landtag am 19. Mai 2022 für die Einsetzung eines Zweiten Untersuchungsausschusses des Landtags zur weiteren Aufklärung des NSU-Komplexes (Landtags-Drucksache 18/22844) entschied. Da der Untersuchungsgegenstand und der daraus resultierende Beweisbeschluss erneut Fragestellungen betraf, die auch im Kontext mit den bereits früher gesicherten Daten des ersten Untersuchungsausschusses standen, wurden bis auf Weiteres keine der betreffenden Daten und Akten der Löschung zugeführt.

Abschließend möchte ich zur komplexen Thematik "Untersuchungsausschüsse - Beweisbeschlüsse - Löschmoratorien" noch auf folgende Entschließung der 103. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 23. März 2022 hinweisen:

Parlamentarische Untersuchungsausschüsse und Löschmoratorien: Datenschutz durch klare Vorgaben und Verarbeitungsbeschränkungen für Behörden

In den vergangenen Jahren gab es zahlreiche Parlamentarische Untersuchungsausschüsse im Bundestag und in den Landtagen, die das Handeln von Polizei- und Sicherheitsbehörden untersucht haben. Prominente Beispiele sind die Untersuchungsausschüsse zur "Terrorgruppe nationalsozialistischer Untergrund" (sog. NSU).

Die Untersuchungsausschüsse möchten eine für die Aufklärung notwendige Datengrundlage sicherstellen. Deshalb fordern sie die Behörden regelmäßig auf, sämtliche personenbezogenen Daten weiterhin zu speichern, die in irgendeinem Bezug zum Untersuchungsgegenstand stehen können (etwa zum Thema "Rechtsextremismus"). Diese Daten sind dann für die Arbeit des Untersuchungsausschusses vorzuhalten. Dies soll auch solche Daten umfassen, die nach den gesetzlichen Regeln eigentlich zu löschen wären (so genanntes Löschmoratorium).

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hält das Interesse der Parlamentarischen Untersuchungsausschüsse an dem Erhalt personenbezogener Daten für nachvollziehbar und gewichtig, um den Untersuchungsauftrag umzusetzen. Es ist ihr insbesondere bewusst, dass dem parlamentarischen Informationsinteresse ein besonders hohes Gewicht zukommt, soweit es um die Aufdeckung möglicher Rechtsverstöße und vergleichbarer Missstände geht. Gleichzeitig gilt es allerdings zu berücksichtigen, dass dadurch erheblich in Grundrechte der betroffenen Personen eingegriffen wird, insbesondere dann, wenn diese Personen tatsächlich in keinerlei Bezug zum Untersuchungsgegenstand stehen bzw. gesetzliche Löschungsverpflichtungen suspendiert werden.

Um parlamentarischen Kontrollrechten und Grundrechten betroffener Personen gleichermaßen Geltung zu verschaffen, weist die Konferenz auf folgende Punkte hin:

  • Ohne die förmliche Einsetzung eines Untersuchungsausschusses und Anforderungen von Beweisunterlagen gibt es keine Rechtsgrundlage dafür, die gesetzlich vorgeschriebene Löschung personenbezogener Daten zu suspendieren.

Hierzu gehört, dass der Untersuchungsgegenstand klar definiert ist und die Beweisbeschlüsse hinreichend bestimmt formuliert sind (BVerfG, Beschluss vom 17.6.2009 - 2 BvE 3/07). Zudem müssen die Ausnahmen zeitlich auf die Arbeit des Untersuchungsausschusses begrenzt sein. Nur auf diese Weise können unnötige Datenspeicherungen und die damit verbundenen Risiken für die Rechte der betroffenen Personen vermieden werden.

  • "Löschreife" Daten, die die Behörden für Zwecke eines Untersuchungsausschusses zur Verfügung halten, dürfen sie im weiteren Verwaltungsvollzug nicht nutzen. Die DSK hält es daher für erforderlich, diese Daten in Anlehnung an § 58 Abs. 3 BDSG in ihrer Verarbeitung zu beschränken. Hierfür sollte der jeweilige Gesetzgeber Voraussetzungen und Grenzen präzise beschreiben. Einige Landesgesetzgeber haben dies bereits umgesetzt.

Die DSK appelliert deshalb an die Gesetzgeber des Bundes und der Länder, den Sicherheitsbehörden klare gesetzliche Vorgaben zum Umgang mit zu löschenden Daten zu machen. Diese müssen den Untersuchungsausschüssen den Zugriff auf die Daten sichern. Gleichzeitig ist sicherzustellen, dass die Daten dem Verwaltungsvollzug der Behörden entzogen sind. So werden das Untersuchungsinteresse der Parlamentarischen Untersuchungsausschüsse und die Grundrechte der betroffenen Personen gewahrt.

3.6. Datenschutzrechtliche Prüfung beim Bayerischen Landesamt für Verfassungsschutz

Nicht nur bei der Polizei wird eine Vielzahl personenbezogener Daten verarbeitet, auch beim Bayerischen Landesamt für Verfassungsschutz ist dies der Fall. Die Behörde ist ein wichtiges Frühwarnsystem für Bestrebungen, die gegen die freiheitliche demokratische Grundordnung gerichtet sind.

Rechtsgrundlagen für Datenverarbeitungen des Landesamtes für Verfassungsschutz finden sich insbesondere in Art. 5 Abs. 1 BayVSG.

Art. 5 BayVSG

Allgemeine Befugnisse

(1) 1Soweit nicht besondere Bestimmungen gelten, darf das Landesamt Informationen einschließlich personenbezogener Daten auch ohne Kenntnis der Betroffenen verarbeiten, soweit dies erforderlich ist

  1. zur Erfüllung seiner Aufgaben nach Art. 3,
  2. zur Erforschung und Bewertung von Bestrebungen und Tätigkeiten sowie der hierfür erforderlichen Nachrichtenzugänge oder
  3. zum Schutz seiner Mitarbeiter, Einrichtungen, Gegenstände und Nachrichtenzugänge gegen sicherheitsgefährdende oder geheimdienstliche Tätigkeiten.

2Voraussetzung für die Sammlung und Auswertung von Informationen ist, dass tatsächliche Anhaltspunkte für Bestrebungen oder Tätigkeiten nach Art. 3 vorliegen. 3Informationen, die nach Satz 1 gespeicherte Angaben belegen, dürfen auch gespeichert werden, wenn darin weitere personenbezogene Daten Dritter enthalten sind; die Abfrage dieser Daten ist insoweit unzulässig. 4Das Landesamt darf personenbezogene Daten auch für die Vorgangsverwaltung verarbeiten.

[...]

Da Speicherungen für die Betroffenen weitreichende Konsequenzen haben können, führe ich beim Landesamt für Verfassungsschutz regelmäßig datenschutzrechtliche Kontrollen durch.

Im Berichtszeitraum fand eine Vor-Ort-Prüfung statt, bei der speziell die Speicherung personenbezogener Daten von Personen, die das 14. Lebensjahr noch nicht vollendet hatten, im Fokus meiner Aufmerksamkeit stand. Grundsätzlich möglich sind solche Speicherungen, nachdem die bis 31. Juli 2016 geltende Altersgrenze von 14 Jahren (Art. 7 Abs. 2 Satz 1 BayVSG-alt) für die Speicherung von Daten Minderjähriger vom Gesetzgeber aufgehoben wurde.

Im Zuge meiner Prüfung konnte ich feststellen, dass das Landesamt für Verfassungsschutz maß- und verantwortungsvoll mit dieser gesetzlich eingeräumten Befugnis zur Speicherung personenbezogener Daten von Kindern umgeht.

Bereits wenige Tage vor meinem Besuch wurde ich darüber informiert, dass man im Zuge der fachlichen Vorbereitung des Termins selbständig auf einen Fall gestoßen sei, der nach aktueller Erkenntnislage keiner fortdauernden Speicherung mehr bedürfe.

Im Rahmen der Vor-Ort-Prüfung wurde unter anderem dieser Fall eingehend erörtert. Wenngleich die Speicherung personenbezogener Daten dieser Person datenschutzrechtlich ursprünglich vertretbar war, hatten sich seitdem keine weiteren Erkenntnisse ergeben, die für eine längerfristige Aufbewahrung des Datensatzes gesprochen hätten. Insofern sprach sich das Landesamt für Verfassungsschutz selbst für eine zeitnahe Löschung aus, was ich aus datenschutzrechtlicher Sicht nur begrüßen konnte. Zwei Tage nach meiner Prüfung erhielt ich bereits die schriftliche Bestätigung über den Vollzug der Löschung.

Trotz des durchweg positiven Prüfungsergebnisses habe ich die Behördenleitung des Landesamtes für Verfassungsschutz ersucht, mich aufgrund der besonderen Sensibilität derartiger Speicherungen von Kindern über die weiteren Entwicklungen auf dem Laufenden zu halten.

  1. Bundesverfassungsgericht, Beschluss vom 10. November 2020, 1 BvR 3214/15, BeckRS 2020, 34607. [Zurück]
  2. Dazu im Überblick Schwabenbauer, in: Lisken/Denninger, Handbuch des Polizeirechts, 7. Aufl. 2021, Kap. G Rn. 348 f. [Zurück]
  3. Bundesverfassungsgericht, Urteil vom 16. Februar 2023, 1 BvR 1547/19 und 1 BvR 2634/20, BeckRS 2023, 1828. [Zurück]