Sie sind hier: > Start > Tätigkeitsberichte > 33. TB 2023 > 3. Polizei, Justiz, Verfassungsschutz
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2023
3. Polizei, Justiz, Verfassungsschutz
3.1. Stellungnahme gegenüber dem Bayerischen Landtag zu Datenlöschungen bei der Bayerischen Polizei
Nach Art. 15 Abs. 3 BayDSG können mich der Landtag oder die Staatsregierung unbeschadet meiner Unabhängigkeit ersuchen, zu bestimmten Vorgängen aus meinem Aufgabenbereich Stellung zu nehmen. Im Jahr 2011 war dies beispielsweise im Zusammenhang mit dem sogenannten "Staatstrojaner" der Fall, als mich der Bayerische Staatsminister des Innern bat, die technische Umsetzung der Maßnahmen zur sog. Quellen-TKÜ sowie die Einhaltung der rechtlichen Vorgaben zu überprüfen. Der damalige Prüfbericht ist nach wie vor auf meiner Homepage abrufbar.
Im Herbst 2022 hat mich der Zweite Untersuchungsausschuss des Landtags zur weiteren Aufklärung des NSU-Komplexes (UA "NSU II") um eine Stellungnahme ersucht. Meine Stellungnahme sollte ich dem Ersuchen zufolge "im Rahmen der schon laufenden datenschutzrechtlichen Überprüfung" erstatten.
Anlass für diese bereits initiierte Prüfung waren im Oktober 2021 durchgeführte Datenlöschungen im Ermittlungs- und Analyseunterstützendes System (EASy). EASy steht landesweit allen Ermittlungsdienststellen der Bayerischen Polizei als Fallbearbeitungssystem zur Verfügung. Mit Hilfe von EASy lassen sich ermittlungsrelevante Daten und Sachverhalte, die bereits in unterschiedlichen polizeilichen Quellen (wie beispielsweise als Zeugenaussagen in Vernehmungsprotokollen) vorhanden sind, in eine einheitlich festgelegte Struktur übertragen und insbesondere grafisch darstellen.
Über die Datenlöschungen in EASy hatte mich das Bayerische Landeskriminalamt (BLKA) im Zuge einer Meldung von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO in Verbindung mit Art. 2 Satz 1, Art. 28 Abs. 1, Abs. 2 Satz 2, Art. 33 BayDSG am 28. Juni 2022 informiert. Das BLKA nahm eine Datenpanne an, da die gelöschten Daten von einem vom damaligen Bayerischen Staatsministerium des Innern, für Bau und Verkehr am 23. November 2015 (Az. IC5-1334.1-438) anlässlich des 3. Parlamentarischen Untersuchungsausschusses des 18. Deutschen Bundestages zur Thematik "NSU" angeordneten sowie im Wesentlichen immer noch geltenden Löschmoratorium umfasst und daher nicht zur Aussonderung bestimmt waren. Das BLKA meldete vor diesem Hintergrund eine Verletzung der Integrität und der Verfügbarkeit der betroffenen Daten.
Da den Mitteilungen des BLKA in diesem Zusammenhang zu entnehmen war, dass an einer Wiederherstellung der gelöschten Daten gearbeitet werde, sah ich mich veranlasst, eine datenschutzrechtliche Prüfung bezüglich der Löschroutinen im Fallbearbeitungssystem EASy der Bayerischen Polizei einzuleiten. Bei dieser Prüfung ging es vor allem um die Frage, ob es sich in datenschutzrechtlicher Hinsicht überhaupt um Löschungen handelt, wenn Daten nach einer fristgerechten Aussonderung aus EASy-Dateien beispielsweise aus Protokolldaten rekonstruiert werden können. Meine Prüfung zielte darauf ab, zu klären, ob im Falle umfassender Rekonstruktionsmöglichkeiten die Datenschutzrechte von betroffenen Bürgerinnen und Bürgern grundsätzlich gewahrt werden.
Die bereits laufende Prüfung zu alltäglichen Löschroutinen wies einige Überschneidungen mit den an mich gerichteten Fragestellungen des UA "NSU II" auf, insbesondere im Hinblick auf das technische Grundverständnis der Anwendung EASy. Daher konnte ich hierzu in großen Teilen Stellung beziehen und dem UA "NSU II" in meinem Bericht im Frühjahr 2023 letztendlich eine intensive datenschutztechnische Plausibilitätsprüfung der Angaben des BLKA zum fraglichen Löschvorgang präsentieren. Ebenso konnte ich die Fragestellungen meines ursprünglichen Prüfungsanlasses umfassend aufklären. Dabei habe ich unter anderem die Oberfläche des Systems EASy, Auszüge aus den Protokolldaten sowie Auszüge des fehlerhaften Skripts überprüft, das wohl zur unbeabsichtigten vorzeitigen Löschung von Daten beigetragen hat. Gegenstand meiner Prüfung waren des Weiteren das Betriebskonzept sowie das Nutzungs- und Berechtigungskonzept. Diese und weitere für die Prüfung notwendige Informationen wurden im Zuge zweier Vor-Ort-Termine im BLKA und mehrerer begleitender schriftlicher Anfragen eingeholt.
Da die Ergebnisse meiner Prüfung als "Verschlusssache - Nur für den Dienstgebrauch" eingestuft sind, kann ich zum genauen Inhalt meiner Stellungnahme gegenüber dem UA "NSU II" keine tiefergehenden Informationen veröffentlichen. Allgemein kann ich aber festhalten, dass die alltäglichen Löschroutinen in EASy die Datenschutzrechte von Bürgerinnen und Bürgern grundsätzlich wahren und es für mich nachvollziehbar wurde, dass die personenbezogenen Daten in EASy technisch gesetzeskonform gelöscht werden.
Wichtig ist mir an dieser Stelle noch zu erwähnen, dass ich im Rahmen meiner Stellungnahme erneut auf meine generell kritische Haltung hinsichtlich der zunehmenden Anzahl an Löschmoratorien, die mit Parlamentarischen Untersuchungsausschüssen einhergehen, hingewiesen habe (siehe auch in meinem 27. Tätigkeitsbericht 2015/2016 unter Nr. 4.3 sowie in meinem 32. Tätigkeitsbericht 2022 unter Nr. 3.5).
3.2. Konzept zur Bearbeitung von Auskunfts- und Löschersuchen durch die Bayerische Polizei
Eine Vielzahl von Anfragen und Beschwerden, die mich rund um die Speicherung von personenbezogenen Daten durch die Bayerische Polizei erreicht haben, betraf wieder das Thema "Auskunft und Löschung aus polizeilichen Dateien". Die dafür maßgeblichen Bestimmungen finden sich vor allem im Polizeiaufgabengesetz (PAG):
Art. 65 PAGAuskunftsrecht
(1) 1Die Polizei teilt einer Person auf Antrag mit, ob sie betreffende personenbezogene Daten, einschließlich Bild- und Tonaufnahmen, verarbeitet werden. 2Ist dies der Fall, erhält die Person ihrem Antrag entsprechend Auskunft über sie betreffende personenbezogene Daten und über
- die Rechtsgrundlage und die Zwecke der Verarbeitung,
- verfügbare Informationen zur Herkunft der Daten oder, falls dies im Einzelfall nicht möglich ist, zu den Kategorien personenbezogener Daten, die verarbeitet werden,
- die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt wurden,
- die für deren Speicherung vorgesehene Dauer oder, falls dies im Einzelfall nicht möglich ist, die Kriterien für deren Festlegung,
- die bestehenden Rechte auf Berichtigung, Löschung oder Verarbeitungseinschränkung und
- die Kontaktdaten des Landesbeauftragten und die Möglichkeit, bei ihm Beschwerde einzulegen.
3Bestehen begründete Zweifel an der Identität der antragstellenden Person, kann die Erteilung der Auskunft von der Erbringung geeigneter Nachweise abhängig gemacht werden. 4Auskunft zur Herkunft personenbezogener Daten von oder zu deren Übermittlung an Verfassungsschutzbehörden des Bundes oder der Länder, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, wird nur mit Zustimmung dieser Stellen erteilt.
[...]
Art. 62 PAG
Berichtigung, Löschung und Verarbeitungseinschränkung von Daten
[...]
(2) 1In Dateien gespeicherte personenbezogene Daten sind unverzüglich zu löschen und die zu dem Betroffenen geführten Akten zu vernichten, wenn
- ihre Erhebung oder weitere Verarbeitung unzulässig war,
- sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder
- bei der zu bestimmten Fristen oder Terminen vorzunehmenden Überprüfung oder aus Anlaß einer Einzelfallbearbeitung festgestellt wird, daß ihre Kenntnis für die speichernde Stelle zur Erfüllung der ihr obliegenden Aufgaben nicht mehr erforderlich ist. Art. 54 Abs. 2 Satz 3 bis 5 gilt entsprechend.
2Wurden die Daten übermittelt, ist dem Empfänger die Löschung unverzüglich mitzuteilen.
[...]
In den letzten Jahren konnte ich oftmals keine einheitliche Vorgehensweise feststellen, was den praktischen Umgang der verschiedenen Präsidien der Bayerischen Polizei mit Bürgeranträgen auf Auskunft gemäß Art. 65 PAG und/oder Löschung gemäß Art. 62 PAG aus den komplexen polizeilichen Dateisystemen anging. Daher war die Absicht des Bayerischen Staatsministeriums des Innern, für Sport und Integration zu begrüßen, mit einem zentralen Konzept eine hohe Qualität sowie eine einheitliche Form bei der Bearbeitung von Auskunfts- und Löschersuchen durch die Bayerische Polizei zu gewährleisten. Daneben soll durch die Harmonisierung von Abläufen eine Effizienzsteigerung der Arbeitsprozesse bei der Polizei erzielt werden, was vor dem Hintergrund stetig steigender Zahlen von Auskunfts- und Löschersuchen geboten erscheint. Aus meiner Sicht könnte sich dies insgesamt positiv auf die Bearbeitungsdauer entsprechender Anträge auswirken, was ich ausdrücklich gutheiße, sofern es dadurch keine Einbußen bei der Qualität in der Bearbeitung solcher Bürgerersuchen gibt (zur Bearbeitungsdauer von Auskunftsersuchen bei der Polizei siehe auch meinen 32. Tätigkeitsbericht 2022 unter Nr. 3.2).
Nachdem mir das Innenministerium den Entwurf für ein derartiges Konzept zugesandt hatte, konnte ich dazu umfassend Stellung nehmen. Dabei habe ich unter anderem auf Aspekte hingewiesen, die nach meiner Erfahrung immer wieder zu Beschwerden über die Polizei und zu Anfragen bei mir geführt hatten. Dies betraf beispielsweise die Frage, ob die Polizei auch Kurztexte in der sog. Vorgangsverwaltung (Integrationsverfahren Polizei - IGVP) beauskunften muss, oder wie konkret die Polizei im Rahmen der Auskunftserteilung Empfänger von Datenübermittlungen benennen muss.
Ende 2022 hat mich das Innenministerium schließlich darüber in Kenntnis gesetzt, dass das entstandene "Konzept zur Bearbeitung von Auskunfts- und Löschersuchen nach Art. 65, 62 PAG durch die Bayerische Polizei" in Kraft getreten und von den Polizeipräsidien ab sofort umzusetzen sei.
Wie ich erfreut feststellen konnte, wurden einige meiner Hinweise wie etwa bei der Auskunft zur Festlegung des maßgeblichen Zeitpunkts (Eingang des Antrags) oder bei der Prüfung von Löschungsanträgen zur besonderen Gewichtung der datenschutzrechtlichen Erforderlichkeit im Zusammenhang mit sog. Mitziehfällen (vgl. hierzu in meinem 30. Tätigkeitsbericht 2020 unter Nr. 5.5) berücksichtigt und in das Konzept aufgenommen.
Weitere positive Aspekte sind die nun einheitlich vorgesehene Beauskunftung von IGVP-Kurztexten (beschränkt auf die Daten der antragstellenden Person; siehe hierzu meinen 28. Tätigkeitsbericht 2017/2018 unter Nr. 4.6), die möglichst konkrete Darlegung der Empfänger von Datenübermittlungen anstatt der früheren oftmals nur allgemeinen Aussagen sowie die Offenlegung etwaiger Datenabfragen (zumindest, wenn der Auskunftsantrag eine konkrete Anfrage dazu enthält).
Auch wenn das Konzept gewiss in die richtige Richtung weist, habe ich dem Innenministerium im Februar 2023 den aus meiner Sicht bestehenden Optimierungsbedarf erläutert, insbesondere was die Vorgehensweise bei der Beauskunftung aus Fachdateien betrifft, die nur einzelnen Fachdienststellen zugänglich sind.
Wie das Konzept in der Praxis umgesetzt wird, und ob sich daraus die erhofften Vorteile sowohl für die Bürgerinnen und Bürger als auch für die Polizei ergeben, wird sich im weiteren Verlauf zeigen. Erfahrungsgemäß bedarf es einer gewissen Übergangszeit, bis sich neue Richtlinien bei allen relevanten Stellen etabliert haben.
Die besten Anlässe und Beispiele, um ein gutes Konzept noch besser zu machen, liefert regelmäßig die Praxis. Aus diesem Grund werde ich dem Innenministerium auch weiterhin Hinweise geben, wie das Konzept innerhalb der gesetzlichen Rahmenbedingungen datenschutzfreundlich fortentwickelt werden kann.
3.3. Antrag auf Löschung führt zu weiteren Speicherungen im Vorgangsbearbeitungssystem IGVP
Speicherungen im polizeilichen Vorgangsbearbeitungssystem IGVP werden von mir regelmäßig - aufgrund von Eingaben wie auch von Amts wegen - geprüft (siehe aus den letzten zehn Jahre die Beiträge in meinem 31. Tätigkeitsbericht 2021 unter Nr. 3.5, in meinem 30. Tätigkeitsbericht 2020 unter Nr. 5.4, in meinem 29. Tätigkeitsbericht 2019 unter Nr. 3.2, in meinem 28. Tätigkeitsbericht 2017/2018 unter Nr. 4.4.1, in meinem 27. Tätigkeitsbericht 2015/2016 unter Nr. 3.6.4 und in meinem 26. Tätigkeitsbericht 2013/2014 unter Nr. 3.5.1).
Einen Fall, bei dem ich aufgrund einer Eingabe tätig wurde, möchte ich beispielshaft schildern:
Eine Anwältin wandte sich im Auftrag ihres Mandanten an mich, der ihn betreffende Speicherungen der Bayerischen Polizei überprüft haben wollte. Zuvor hatte die Anwältin bereits ein Auskunftsersuchen gestellt, das vom zuständigen Polizeipräsidium ordnungsgemäß beantwortet worden war. In dem Schreiben der Polizei wurden eine Speicherung nach Art. 54 Abs. 2 Satz 1 Polizeiaufgabengesetz (PAG) im Kriminalaktennachweis (KAN) und mehrere nach Art. 54 Abs. 1 PAG im IGVP genannt.
Art. 54 PAG
Speicherung, Veränderung und Nutzung von Daten
(1) Die Polizei kann personenbezogene Daten in Akten oder Dateien speichern und anderweitig verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben, zu einer zeitlich befristeten Dokumentation oder zur Vorgangsverwaltung erforderlich ist.
(2) 1Die Polizei kann insbesondere personenbezogene Daten, die sie im Rahmen strafrechtlicher Ermittlungsverfahren oder von Personen gewonnen hat, die verdächtig sind, eine Straftat begangen zu haben, speichern und anderweitig verarbeiten, soweit dies zur Gefahrenabwehr, insbesondere zur vorbeugenden Bekämpfung von Straftaten erforderlich ist. [...]
Im Nachgang wandte sich die Kanzlei erneut an die Polizei, begründete, dass eine Fortsetzung der Speicherungen zur Erfüllung polizeilicher Aufgaben nicht mehr erforderlich sei und beantragte die Löschung der Einträge. Daraufhin löschte die Polizei die Speicherung im KAN. Die Speicherung im IGVP hierzu erhielt sie zu Dokumentationszwecken (Art. 54 Abs. 1 PAG) aufrecht, schrieb allerdings die Personenart von "Beschuldigter" auf "Auskunftsperson" sowie die Vorgangsart von "Anzeige" auf "Meldung" um. Dieses Vorgehen ist, sofern eine Speicherung etwa zur Dokumentation des polizeilichen Handelns erforderlich ist, aus datenschutzrechtlicher Sicht grundsätzlich vertretbar, da durch die Änderung die bisherige, nunmehr aber weggefallene Beschuldigteneigenschaft nicht mehr genannt wird.
Anlässlich der Beschwerde habe ich die Speicherungen des Petenten im IGVP geprüft. Im Rahmen meiner Prüfung musste ich feststellen, dass das zuständige Polizeipräsidium in IGVP Folgendes gespeichert hatte: "Aufgrund Antrag Löschung personenbezogener Daten aus dem KAN [...] wurden [...] die KAN-Einträge gelöscht". Außerdem wurde die oben beschriebene Änderung der Personen- sowie Vorgangsart erwähnt. Es liegt auf der Hand, dass eine solche Vorgehensweise den Sinn und Zweck einer Löschung aus dem KAN sowie der Umbenennung der Personen- und Vorgangsart konterkariert. Nach Darlegung meiner datenschutzrechtlichen Bewertung konnte ich die Löschung des Zusatzes erreichen.
3.4. Privatzonenausblendungen bei Videoüberwachungsmaßnahmender Polizei
Als ein wesentliches Instrument der Gefahrenabwehr nimmt die polizeiliche Videoüberwachung von öffentlichen Straßen und Plätzen seit Jahren einen immer größeren Stellenwert in der Polizeiarbeit ein. Daher muss ich mich mit datenschutzrechtlichen Fragen solcher Maßnahmen regelmäßig kritisch beschäftigen (siehe meinen 30. Tätigkeitsbericht 2020 unter Nr. 5.2, meinen 29. Tätigkeitsbericht 2019 unter Nr. 3.5, meinen 28. Tätigkeitsbericht 2017/2018 unter Nr. 4.3, meinen 27. Tätigkeitsbericht 2015/2016 unter Nr. 3.5 sowie meinen 26. Tätigkeitsbericht 2013/2014 unter Nr. 3.4).
Dass die polizeiliche Videoüberwachung von öffentlichen Straßen und Plätzen einen wichtigen Beitrag zur Prävention und zur Aufklärung von Straftaten leisten kann, steht außer Frage. Gleichwohl muss das rechte Verhältnis von Überwachungszweck und Grundrechtsschutz zu jeder Zeit gewahrt werden. Eine offene polizeiliche Videoüberwachung ist unter anderem an gefährlichen Orten unter den Voraussetzungen von Art. 33 Abs. 2 Nr. 2 und Nr. 3 Polizeiaufgabengesetz (PAG) möglich. Grundlage für die Auswahl der zu überwachenden Örtlichkeiten sind dabei konkrete polizeiliche Lageerkenntnisse.
Bei der Erfüllung des polizeilichen Präventionsziels darf der Schutz der Privatsphäre allerdings nicht vernachlässigt werden. Bei einer grundsätzlich rechtmäßigen polizeilichen Datenerhebung mittels Videokamera kann es aufgrund der geografischen Gegebenheiten an öffentlichen Straßen und Plätzen leicht zu einer ungewollten Aufnahme angrenzender Wohn- und Geschäftsbereiche kommen. Soweit Kameras den Innenbereich von Wohnungen erfassen, ist das Grundrecht auf Unverletzlichkeit der Wohnung (Art. 13 Grundgesetz) beeinträchtigt. Überdies können besondere Kategorien personenbezogener Daten verarbeitet werden, etwa wenn durch die Videoüberwachung der Publikumsverkehr einer Arztpraxis aufgezeichnet wird.
Diesem Problem kann inzwischen durch technische Mittel unkompliziert begegnet werden. Die entsprechenden Erfassungsbereiche werden irreversibel verpixelt beziehungsweise schwarz dargestellt, so dass selbst bei einer schwenkbaren Kamera keine Möglichkeit besteht, den besagten Bereich einzusehen und personenbezogene Daten zu verarbeiten (sogenannte Privatzonenausblendung). So kann einer datenschutzrechtlichen Vorgabe in der Regel ohne Probleme entsprochen werden.
Im Rahmen von Prüfungen stellte ich fest, dass die dauerhaft installierten polizeilichen Videoanlagen am Plärrer und am Königstor in Nürnberg in diesem Punkt anfänglich Schwierigkeiten bereiteten: Zwar war bei beiden Anlagen die Technik der Privatzonenausblendung implementiert. Allerdings konnte die Privatzonenausblendung zunächst anlassbezogen für einen gewissen Zeitraum ausgeschaltet werden. Diese Vorgehensweise habe ich kritisch gewürdigt. Ich konnte schließlich erreichen, dass diese Deaktivierungsoption technisch blockiert wurde und eine Einsichtnahme in Privatzonen somit auch für einzelne Situationen nicht mehr möglich ist.
3.5. Datenschutzrechtliche Prüfung des Abrufs von Daten aus dem Ausländerzentralregister (AZR) im automatisierten Verfahren durch die Bayerische Polizei
Das Ausländerzentralregister (AZR) wird vom Bundesverwaltungsamt betrieben und vom Bundesamt für Migration und Flüchtlinge geführt. Mit seinen rund 26 Millionen personenbezogenen Datensätzen ist das AZR eines der umfangreichsten automatisierten Register der öffentlichen Verwaltung in Deutschland. Es besteht aus einem allgemeinen Datenbestand und einer Visadatei. Im allgemeinen Datenbestand werden unter anderem Daten von Ausländerinnen und Ausländern gespeichert, die sich längerfristig, also mindestens drei Monate, in Deutschland aufhalten, die einen Asylantrag gestellt haben oder gegen deren Einreise Bedenken bestehen. Die Visadatei enthält die Daten von Visumantragstellerinnen und Visumantragstellern, die im Regelfall nur kurz in Deutschland bleiben.
Gemäß § 22 Abs. 1 Nr. 4 AZR-Gesetz (im Folgenden: AZRG) sowie § 32 Abs. 1 Nr. 4 und 5 AZRG in Verbindung mit § 33 AZRG ist die Bayerische Polizei berechtigt, im automatisierten Verfahren Daten aus dem AZR abzurufen.
Um zu prüfen, ob hierbei die rechtlichen Voraussetzungen des AZR-Gesetzes eingehalten werden, habe ich ein Polizeipräsidium insofern einer anlasslosen datenschutzrechtlichen Kontrolle unterzogen. Zugleich kam ich hiermit meiner gesetzlichen Verpflichtung aus § 34a AZRG nach, hinsichtlich des AZR "regelmäßig die Durchführung des Datenschutzes zu kontrollieren".
Schon zu Beginn meiner Prüfung musste ich feststellen, dass es für die gesamte Bayerische Polizei kein spezielles Berechtigungskonzept für das AZR gab, obwohl § 22 Abs. 3 Satz 3 AZRG ein solches ausdrücklich verlangt. Um eine wirksame Zugangskontrolle zu etablieren und den rechtmäßigen Abruf grundrechtssensibler Daten zu gewährleisten, habe ich daher das Bayerische Staatsministerium des Innern, für Sport und Integration darauf hingewiesen, dass ein entsprechendes Berechtigungskonzept gesetzlich vorzusehen ist. Hierauf teilte mir das Innenministerium mit, das Bayerische Landeskriminalamt (BLKA) über meine ausführlichen Anmerkungen zum Thema "Berechtigungskonzept der Bayerischen Polizei zum Abruf von AZR-Daten im automatisierten Verfahren" unterrichtet zu haben. Zeitgleich sei das BLKA beauftragt worden, ein Berechtigungskonzept für die Bayerische Polizei zeitnah zu erarbeiten.
Auch die Prüfung von AZR-Abrufen gab Anlass zu Kritik. So war eine nicht korrekte Angabe des Abfrageanlasses festzustellen: Bei allen Stichproben war - offensichtlich standardisiert und/oder gewohnheitsmäßig - als Abfrageanlass "asylrechtliche Aufgaben" angegeben. Diese Eingabe führte zur weitestreichenden Einsichtnahme in die gespeicherten Datensätze. Denn der gewählte Abfrageanlass bestimmt den Umfang der Auskunft und dokumentiert gleichzeitig die rechtliche Grundlage. So stehen etwa die Abfrageanlässe "ausländer- oder asylrechtliche Aufgaben" und "Strafverfolgung gegen Betroffenen" oder "Gefahrenabwehr" zur Verfügung. Beim Abfrageanlass "Strafverfolgung" oder "Gefahrenabwehr" werden die angezeigten Datensätze um mögliche Treffer zu freizügigkeitsberechtigten Unionsbürgern bereinigt. Beim Abfrageanlass "asylrechtliche Aufgaben" ist dies jedoch nicht der Fall, so dass hier ein umfangreicherer Datenbestand abgerufen werden kann, der auch alle Speicherungen zu freizügigkeitsberechtigten Unionsbürger umfasst. Zumindest in einem Fall war dies rechtlich nicht zulässig (siehe § 10 Abs. 1a AZRG). Daher habe ich auch diese Vorgehensweise bemängelt und angeraten, Weiterbildungs- und Sensibilisierungsmaßnahmen zu diesem Thema durchzuführen. Gerade bei automatisierten Verfahren ist es erforderlich, sowohl die Einhaltung der rechtlichen Zugangsvoraussetzungen als auch die praktische Handhabung stets im Blick zu behalten. Vor diesem Hintergrund werde ich künftig die polizeilichen Datenabrufe aus dem AZR im Rahmen meiner Möglichkeiten verstärkt kontrollieren.
3.6. Postsicherstellung nach Art. 35 Polizeiaufgabengesetz - turnusmäßige Prüfung
Mit dem PAG-Neuordnungsgesetz wurde das Polizeiaufgabengesetz 2018 um zahlreiche Befugnisse erweitert. So nahm der Gesetzgeber unter anderem die präventivpolizeiliche Postsicherstellung in Art. 35 Polizeiaufgabengesetz (PAG) neu auf.
Art. 35 PAG
Postsicherstellung
(1) 1Die Polizei kann auf Anordnung durch den Richter ohne Wissen des Betroffenen Postsendungen sicherstellen, wenn sich diese im Gewahrsam von Personen oder Unternehmen befinden, die geschäftsmäßig Post- oder Telekommunikationsdienste erbringen oder daran mitwirken (Postdienstleister), und von einer Person versandt wurden oder an eine Person gerichtet sind,
- die für eine Gefahr oder eine drohende Gefahr für ein in Art. 11a Abs. 2 Nr. 1, 2 oder Nr. 4 genanntes bedeutendes Rechtsgut verantwortlich ist, oder
- bei der bestimmte Tatsachen die Annahme rechtfertigen, dass sie für eine Person nach Nr. 1 bestimmte oder von dieser herrührende Postsendungen entgegennimmt oder weitergibt und sie daher in Zusammenhang mit der Gefahrenlage steht, ohne diesbezüglich das Recht zur Verweigerung des Zeugnisses nach den §§ 53, 53a StPO zu haben,
sofern die Abwehr der Gefahr auf andere Weise aussichtslos oder wesentlich erschwert wäre. 2Postdienstleister haben die Sicherstellung zu ermöglichen und unter den Voraussetzungen des Satzes 1 der Polizei auf Verlangen Auskünfte über derzeit oder ehemals in ihrem Gewahrsam befindliche oder angekündigte Postsendungen zu erteilen.
[...]
In Anbetracht meiner nach Art. 51 Abs. 2 Satz 1 PAG bestehenden Prüfungsverpflichtung hatte ich für den Berichtszeitraum die Prüfung der Befugnis zur Postsicherstellung nach Art. 35 PAG vorgesehen. 2021 war überhaupt keine Postsicherstellung nach dieser Vorschrift angeordnet worden; 2022 kam es zu einer einzigen Anordnung. So wurde lediglich in einem Fall die Sicherstellung von Postsendungen in Form eines Auskunftsersuchens zu Absender- und Empfängerdaten angeordnet. Grundlage hierfür war ein amtsgerichtlicher Beschluss nach Art. 35 Abs. 1 Satz 1 Nr. 1 in Verbindung mit Satz 2 PAG wegen einer konkreten Gefahr für die Gesundheit und das Leben der Kundinnen und Kunden eines Webshops für neue psychoaktive Stoffe.
Zwar untersagt Art. 34 Abs. 2 Satz 2 BayDSG eine datenschutzrechtliche Überprüfung einer Datenverarbeitung, die gerichtlich überprüft wurde. Unabhängig davon lagen die gesetzlichen Voraussetzungen nach Art. 35 Abs. 1 Satz 1 Nr. 1, Satz 2 PAG unzweifelhaft vor. Letztendlich kam es zu keiner weiteren Nutzung der übersandten Daten, da der betreffende Webshop seine Tätigkeit einstellte. Die Maßnahme war zutreffend nach Art. 35 Abs. 2 Satz 2 PAG auf drei Monate befristet. Auch die Zentrale Datenprüfstelle wurde im Vorfeld der Maßnahme eingebunden (siehe Art. 35 Abs. 3 Satz 3, Art. 41 Abs. 5 Satz 1 PAG, Art. 13 und 14 Polizeiorganisationsgesetz). Des Weiteren waren weder der Kernbereich privater Lebensgestaltung noch ein Berufsgeheimnisträger betroffen.
Die Prüfung konnte ich daher ohne Feststellung eines datenschutzrechtlichen Mangels abschließen.
3.7. Zuverlässigkeitsüberprüfungen beim G7-Gipfel 2022
Zuverlässigkeitsüberprüfungen sind in Akkreditierungsverfahren bei Großereignissen seit Jahren ein fester Bestandteil der polizeilichen Praxis. Sie haben mich in der Vergangenheit häufig beschäftigt (siehe etwa in meinem 31. Tätigkeitsbericht 2021 unter Nr. 3.2 sowie in meinem 27. Tätigkeitsbericht 2015/2016 unter Nr. 3.2). Zuverlässigkeitsüberprüfungen führen insbesondere bei Großveranstaltungen aufgrund ihrer Bedeutung und ihres Umfangs zu erheblichen Eingriffen in das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz) einer Vielzahl betroffener Personen. Von besonderer Bedeutung ist dabei, dass die Polizei auch solche Daten speichert, die etwa in das Bundeszentralregister gar nicht eingetragen werden, dort bereits getilgt sind oder aus diesem Register - sofern es um ein Führungszeugnis und nicht um eine unbeschränkte Auskunft geht - nicht übermittelt werden dürfen.
Seit 2021 sind Zuverlässigkeitsüberprüfungen in Art. 60a Bayerisches Polizeiaufgabengesetz (PAG) geregelt (zur Entstehungsgeschichte dieser Vorschrift siehe bereits in meinem 31. Tätigkeitsbericht 2021 unter Nr. 3.2).
Eine der bislang wichtigsten polizeilichen Zuverlässigkeitsüberprüfungen fand im Rahmen des Akkreditierungsverfahrens für den G7-Gipfel 2022 vom 26. bis 28. Juni 2022 auf Schloss Elmau (G7-Gipfel) statt. Das ursprüngliche Konzept sah unter anderem auch eine Überprüfung von Anwohnerinnen und Anwohnern und anderen Personen ohne Tätigkeitsbezug zur Veranstaltung (beispielsweise Forstwirtinnen und Forstwirte, Postzustellerinnen und Postzusteller), durch die Bayerische Polizei vor.
Nach Art. 60a Abs. 1 Satz 1 PAG kann eine Zuverlässigkeitsüberprüfung bei Personen stattfinden, "soweit dies im Hinblick auf den Anlass und die Tätigkeit der betroffenen Person erforderlich und angemessen ist." Aus dieser gesetzlichen Formulierung folgt, dass eine sicherheitsrechtliche Überprüfung von Personen, die keine berufliche Verbindung zu der Veranstaltung haben, auf Grundlage von Art. 60a PAG nicht möglich ist. Eine Überprüfung stünde nicht nur im Widerspruch zum klaren Wortlaut der gesetzlichen Regelung, sondern auch zu ihrer Entstehungsgeschichte sowie der mittlerweile ergangenen Rechtsprechung des Bayerischen Verfassungsgerichtshofes. Dieser hatte in seiner Entscheidung vom 17. Mai 2022 hervorgehoben, Art. 60a Abs. 1 Satz 1 PAG stelle durch den geforderten tätigkeitsbezogenen Konnex hinreichend sicher, dass regelmäßig nur solche Personen überprüft würden, deren spezifische "Tätigkeit" im Rahmen des mit einem erheblichen Sicherheitsrisiko verbundenen Anlasses Grund für die Überprüfung biete. Mit anderen Worten: Art. 60a PAG kann nicht die Grundlage für Sicherheitsüberprüfungen von Anwohnerinnen und Anwohnern oder sonstigen Personen sein, die keinen tätigkeitsbasierten Bezug zur Veranstaltung haben.
Da demgemäß schon die Tatbestandsvoraussetzungen von Art. 60a Abs. 1 Satz 1 PAG nicht gewahrt waren, spielte auch die in dem polizeilichen Konzept geplante abgestufte Überprüfungsintensität, die für Anwohnerinnen und Anwohner vorgesehen war, von vornherein keine Rolle.
Auf meinen Hinweis hin wurde die Überprüfung von Anwohnerinnen und Anwohnern sowie weiteren Personen, die keine in unmittelbaren Zusammenhang mit der Veranstaltung stehende Tätigkeit ausüben, ersatzlos gestrichen.
3.8. Verfolgung von Verkehrsordnungswidrigkeiten - überschießende Datenübermittlungen bei Lichtbildanforderungen
Im Zuge einer Prüfung fielen mir einige Anfragen nach Lichtbildern aus dem Personalausweisregister und entsprechende Übermittlungen durch die zuständigen Verwaltungsgemeinschaften und Gemeinden auf. Den um Übermittlung (nur) eines Lichtbildes nachsuchenden Zweckverbänden waren weitere - nicht angeforderte Daten - aus dem Personalausweisregister übermittelt worden. Die gesetzlichen Rahmenbedingungen bei Lichtbildanforderungen im Rahmen von Verkehrsordnungswidrigkeiten habe ich zuletzt in meinem 31. Tätigkeitsbericht 2021 unter Nr. 4.5 dargestellt.
Das geschilderte Vorgehen der Verwaltungsgemeinschaften und Gemeinden war von den Übermittlungsbefugnissen in § 24 Abs. 2 Satz 1 Nr. 2 Personalausweisgesetz (PAuswG) sowie entsprechend in § 22 Abs. 2 Nr. 2 Paßgesetz nicht gedeckt. Danach hätten nur solche Daten an die Zweckverbände übermittelt werden dürfen, die für deren Aufgabenerfüllung erforderlich waren; das waren im Hinblick auf die Übermittlungsersuchen nur die Lichtbilder.
§ 24 PAuswG
Verwendung im Personalausweisregister gespeicherter Daten
(2) Die Personalausweisbehörden dürfen anderen Behörden auf deren Ersuchen Daten aus dem Personalausweisregister übermitteln, wenn
- die ersuchende Behörde auf Grund von Gesetzen oder Rechtsverordnungen berechtigt ist, solche Daten zu erhalten,
- die ersuchende Behörde ohne Kenntnis der Daten nicht in der Lage wäre, eine ihr obliegende Aufgabe zu erfüllen, und
- die ersuchende Behörde die Daten bei dem Betroffenen nicht oder nur mit unverhältnismäßig hohem Aufwand erheben kann oder wenn nach der Art der Aufgabe, zu deren Erfüllung die Daten erforderlich sind, von einer solchen Datenerhebung abgesehen werden muss.
[...]
Ich habe die betroffenen Verwaltungsgemeinschaften und Gemeinden darauf hingewiesen, dass im Zusammenhang mit Lichtbildanfragen auf den Umfang des zu übermittelnden Datensatzes zu achten ist und nicht relevante Daten wie beispielsweise der Körpergröße oder Augenfarbe von einer Übermittlung auszunehmen sind. Des Weiteren habe ich die jeweiligen Stellen zur Vermeidung künftiger überschießender Datenübermittlungen gebeten, die Mitarbeiterinnen und Mitarbeiter entsprechend zu sensibilisieren.
3.9. Abfragen aus dem Fahreignungsregister
Die datenschutzrechtliche Zulässigkeit von Maßnahmen im Rahmen der Verfolgung und Ahndung von Ordnungswidrigkeiten im Straßenverkehr ist ein wiederkehrendes Thema in meiner Prüfungs- und Beratungspraxis. Dies zeigen meine Tätigkeitsberichte; Ausführungen zu diesem Thema bieten der Schwerpunktbeitrag in meinem 30. Tätigkeitsbericht 2020 unter Nr. 2, ferner der 29. Tätigkeitsbericht 2019 unter Nr. 4.5, der 27. Tätigkeitsbericht 2015/2016 unter Nr. 5.6 und der 26. Tätigkeitsbericht 2013/2014 unter Nr. 5.5.
Im Berichtszeitraum habe ich drei kommunale Zweckverbände um Darlegung gebeten, wie bei Abfragen aus dem Fahreignungsregister (FAER) verfahren wird. Dieses Register wird vom Kraftfahrt-Bundesamt nach §§ 28 ff. Straßenverkehrsgesetz (StVG) und §§ 59 ff. Fahrerlaubnis-Verordnung geführt. Es dient unter anderem der Ahndung von Verkehrsordnungswidrigkeiten, da verwertbare Voreintragungen im FAER gemäß § 3 Abs. 1 Bußgeldkatalog-Verordnung (BKatV) zur Erhöhung der verhängten Bußgelder führen können: § 3 Abs. 1 BKatV stellt klar, dass Voreintragungen im Fahreignungsregister bei der Festlegung des Regelsatzes grundsätzlich unberücksichtigt geblieben sind, soweit im Bußgeldkatalog (bezüglich der Nr. 152.1, 241.1, 241.2, 242.1 und 242.2) nichts anderes bestimmt ist. Daraus folgt, dass entsprechende Voreintragungen besondere Umstände darstellen, die gegen das Vorliegen eines Regelfalles sprechen, so dass die Geldbuße erhöht werden kann.
§ 3 BKatVBußgeldregelsätze
(1) Etwaige Eintragungen des Betroffenen im Fahreignungsregister sind im Bußgeldkatalog nicht berücksichtigt, soweit nicht in den Nummern 152.1, 241.1, 241.2, 242.1 und 242.2 des Bußgeldkatalogs etwas anderes bestimmt ist.
[...]
Die Rechtsgrundlage für die Führung und den Inhalt des FAER ist in § 28 StVG normiert.
§ 28 StVGFührung und Inhalt des Fahreignungsregisters
(1) Das Kraftfahrt-Bundesamt führt das Fahreignungsregister nach den Vorschriften dieses Abschnitts.
(2) Das Fahreignungsregister wird geführt zur Speicherung von Daten, die erforderlich sind
- für die Beurteilung der Eignung und der Befähigung von Personen zum Führen von Kraftfahrzeugen oder zum Begleiten eines Kraftfahrzeugführers entsprechend einer nach § 6e Abs. 1 erlassenen Rechtsverordnung,
- für die Prüfung der Berechtigung zum Führen von Fahrzeugen,
- für die Ahndung der Verstöße von Personen, die wiederholt Straftaten oder Ordnungswidrigkeiten, die im Zusammenhang mit dem Straßenverkehr stehen, begehen oder
- für die Beurteilung von Personen im Hinblick auf ihre Zuverlässigkeit bei der Wahrnehmung der ihnen durch Gesetz, Satzung oder Vertrag übertragenen Verantwortung für die Einhaltung der zur Sicherheit im Straßenverkehr bestehenden Vorschriften.
(3) Im Fahreignungsregister werden Daten gespeichert über
- rechtskräftige Entscheidungen der Strafgerichte wegen einer Straftat, die in der Rechtsverordnung nach § 6 Absatz 1 Satz 1 Nummer 4 bezeichnet ist, soweit sie auf Strafe, Verwarnung mit Strafvorbehalt erkennen oder einen Schuldspruch enthalten,
- rechtskräftige Entscheidungen der Strafgerichte, die die Entziehung der Fahrerlaubnis, eine isolierte Sperre oder ein Fahrverbot anordnen, sofern sie nicht von Nummer 1 erfasst sind, sowie Entscheidungen der Strafgerichte, die die vorläufige Entziehung der Fahrerlaubnis anordnen,
- rechtskräftige Entscheidungen wegen einer Ordnungswidrigkeit
- nach den § 24 Absatz 1, § 24a oder § 24c, soweit sie in der Rechtsverordnung nach § 6 Absatz 1 Satz 1 Nummer 4 bezeichnet ist und gegen die betroffene Person
- ein Fahrverbot nach § 25 angeordnet worden ist oder
- eine Geldbuße von mindestens sechzig Euro festgesetzt worden ist und § 28a nichts anderes bestimmt,
- nach den § 24 Absatz 1, § 24a oder § 24c, soweit kein Fall des Buchstaben a vorliegt und ein Fahrverbot angeordnet worden ist,
- nach § 10 des Gefahrgutbeförderungsgesetzes, soweit sie in der Rechtsverordnung nach § 6 Absatz 1 Satz 1 Nummer 4 bezeichnet ist,
- unanfechtbare oder sofort vollziehbare Verbote oder Beschränkungen, ein fahrerlaubnisfreies Fahrzeug zu führen,
- unanfechtbare Versagungen einer Fahrerlaubnis,
- unanfechtbare oder sofort vollziehbare
- Entziehungen, Widerrufe oder Rücknahmen einer Fahrerlaubnis,
- Feststellungen über die fehlende Berechtigung, von einer ausländischen Fahrerlaubnis im Inland Gebrauch zu machen,
- Verzichte auf die Fahrerlaubnis,
- unanfechtbare Ablehnungen eines Antrags auf Verlängerung der Geltungsdauer einer Fahrerlaubnis,
- die Beschlagnahme, Sicherstellung oder Verwahrung von Führerscheinen nach § 94 der Strafprozessordnung,
- (weggefallen)
- Maßnahmen der Fahrerlaubnisbehörde nach § 2a Abs. 2 Satz 1 Nr. 1 und 2 und § 4 Absatz 5 Satz 1 Nr. 1 und 2,
- die Teilnahme an einem Aufbauseminar, an einem besonderen Aufbauseminar und an einer verkehrspsychologischen Beratung, soweit dies für die Anwendung der Regelungen der Fahrerlaubnis auf Probe (§ 2a) erforderlich ist,
- die Teilnahme an einem Fahreignungsseminar, soweit dies für die Anwendung der Regelungen des Fahreignungs-Bewertungssystems (§ 4) erforderlich ist,
- Entscheidungen oder Änderungen, die sich auf eine der in den Nummern 1 bis 13 genannten Eintragungen beziehen.
[...]
Um die Rechtsfolge im Bußgeldbescheid - insbesondere das Bußgeld - zutreffend bemessen zu können, sind daher Abfragen der Ordnungswidrigkeitenbehörden im FAER unerlässlich. Bereits in meinem 30. Tätigkeitsbericht 2020 unter Nr. 2.4 habe ich mich umfassend zur Fahrerermittlung geäußert. Zur Feststellung der Fahreridentität werden in der Regel zunächst Anhörungsbögen oder Zeugenfragebögen an die jeweiligen Halter oder Halterinnen versandt.
Bei zwei Zweckverbänden musste ich im Rahmen meiner Prüfung feststellen, dass die Abfragen im FAER bereits zeitlich mit der Versendung der ersten Anhör- oder Zeugenfragebögen zusammenfielen. In diesem Zeitpunkt besteht aber noch kein gesicherter Tatnachweis gegen eine konkrete Betroffene oder einen konkreten Betroffenen. Die Daten aus dem FAER wurden in diesen Fällen daher gewissermaßen "ins Blaue" abgerufen.
Dieses Vorgehen verstößt gegen § 30 Abs. 1 Nr. 2 in Verbindung mit § 28 Abs. 2 Nr. 3 StVG, da nach diesen Vorschriften eine Datenübermittlung aus dem FAER an die für die Verfolgung von Ordnungswidrigkeiten zuständige Stelle nur gestattet ist, wenn dies zur Erfüllung der dieser Stelle obliegenden Aufgabe erforderlich ist. Wird ein Auszug aus dem FAER bereits zu einem Zeitpunkt eingeholt, in welchem noch nicht geklärt ist, ob gegen die jeweilige Person überhaupt ein gesicherter Tatnachweis im Ordnungswidrigkeitenverfahren besteht, verstößt die betreffende Behörde gegen den oben genannten Grundsatz der Erforderlichkeit.
Die beiden Zweckverbände wurden von mir auf diese Zusammenhänge aufmerksam gemacht und haben in der Folge mit Änderungen in den entsprechenden Softwareeinstellungen) geeignete Maßnahmen ergriffen, um eine datenschutzkonforme Vorgehensweise zu erreichen. So konnte ich erreichen, dass die datenschutzrechtlich fehlerhafte Verwaltungspraxis revidiert wurde.
3.10. Datenschutz bei der Staatsanwaltschaft: Nennung personenbezogener Daten in einer Einstellungsverfügung
Weiterhin erhalte ich Eingaben, mit denen betroffene Personen die Nennung personenbezogener Daten im Rahmen von Anklageschriften oder Einstellungsverfügungen der Staatsanwaltschaften rügen (siehe zuletzt den 32. Tätigkeitsbericht 2022 unter Nr. 4.4).
Auch im Berichtszeitraum wandte sich eine durch eine Straftat geschädigte Person an mich, weil ihre personenbezogenen Daten durch eine Einstellungsverfügung allen weiteren Geschädigten zur Kenntnis gelangt waren.
Das betreffende Ermittlungsverfahren hatte vier Betrugsvorwürfe umfasst, die zu einem gemeinsamen Verfahren gegen einen Beschuldigten verbunden worden waren. Zwar war dessen Vorgehensweise in allen vier Fällen ähnlich, es waren jedoch unterschiedliche Geschädigte betroffen. Mangels Tatnachweises stellte die Staatsanwaltschaft schließlich das Verfahren nach § 170 Abs. 2 Strafprozessordnung (StPO) ein. Dabei wurde versehentlich eine gemeinsame Einstellungsverfügung mit einer gemeinsamen Begründung für alle vier Taten verfasst, in der neben dem jeweils vergleichbar gelagerten Tathergang auch der Vor- und Nachnamen aller vier Geschädigten aufgeführt wurden. Mit der Mitteilung der Einstellung an die Geschädigten wurde auch die gemeinsame Einstellungsbegründung mit der Nennung aller vier Geschädigten an die jeweiligen Geschädigten übermittelt.
Diese nicht erforderliche Offenlegung personenbezogener Daten läuft dem in § 47 Nr. 3 BDSG verankerten Grundsatz der Datenminimierung entgegen. Sie war daher nach Art. 1 Abs. 5 BayDSG, § 500 Abs. 1 StPO, § 47 Nr. 3 Var. 2 BDSG datenschutzrechtlich unzulässig.
Die betreffende Staatsanwaltschaft räumte den Verstoß ein, bedauerte ihn und ergriff weitergehende Maßnahmen zur Sensibilisierung ihrer Bediensteten, um zukünftige Verstöße möglichst auszuschließen.
3.11. Prüfung eines abgelehnten Löschungsantrags beim Bayerischen Landesamt für Verfassungsschutz
Das Bayerische Landesamt für Verfassungsschutz hat den gesetzlichen Auftrag, Informationen unter anderem über Bestrebungen, die gegen die freiheitliche demokratische Grundordnung gerichtet sind, zu sammeln und auszuwerten. Im Rahmen dieser Aufgabe wird zwangsläufig eine Vielzahl an personenbezogenen Daten verarbeitet.
Auch im Bereich nachrichtendienstlicher Arbeit muss für Bürgerinnen und Bürger ein ausreichendes Maß an Transparenz sichergestellt sein. Zu diesem Zweck sieht Art. 23 Abs. 1 Bayerisches Verfassungsschutzgesetz (BayVSG) ein Recht auf Auskunft vor (siehe bereits meine Ausführungen im 28. Tätigkeitsbericht 2017/2018 unter Nr. 5.4 und 5.5 sowie im 29. Tätigkeitsbericht 2019 unter Nr. 3.6).
Teilweise wenden sich die von Speicherungen betroffenen Personen nach einer erteilten Auskunft mit einem Löschungsantrag an das Landesamt als speichernde Behörde. Die Voraussetzungen für eine Löschung legt Art. 21 Abs. 1 Satz 1 BayVSG fest:
"Personenbezogene Daten sind zu löschen, wenn
- ihre Speicherung unzulässig ist,
- ihre Kenntnis zur Erfüllung der Aufgaben nicht mehr erforderlich ist oder
- seit der letzten gespeicherten relevanten Information 15 Jahre vergangen sind, es sei denn, die zuständige Abteilungsleitung oder deren Vertretung trifft im Einzelfall ausnahmsweise eine andere Entscheidung."
Vor dem Hintergrund meiner Verpflichtung aus Art. 32 Abs. 2 BayVSG, mindestens alle zwei Jahre die Einhaltung der Vorschriften über den Datenschutz zu kontrollieren, lasse ich mich durch das Landesamt regelmäßig über abgelehnte Löschungsanträge informieren. So kann ich die Entscheidung der Behörde über die Ablehnung einer Datenlöschung auch ohne Beschwerde der betroffenen Person nachprüfen.
Im Berichtszeitraum habe ich bei einem Vor-Ort-Termin den betreffenden Aktenrückhalt zu den Erkenntnissen eingesehen, die maßgeblich für die Ablehnung des Löschungsantrags und für die Aufrechterhaltung der Speicherungen waren. Hierbei konnte ich in dem gesichteten Material keine Mängel feststellen. Gleichwohl werde ich auch zukünftig an dieser Praxis festhalten, weil sie ein wirksames Mittel ist, die Zulässigkeit nachrichtendienstlicher Speicherungen zu überprüfen.
3.12. Prüfung Antiterrordatei (ATD) und Rechtsextremismus-Datei (RED)
Seit 2007 werden in der Antiterrordatei (ATD) Erkenntnisse von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder aus dem Bereich des internationalen, vor allem islamistisch motivierten Terrorismus verarbeitet. Das Antiterrordateigesetz, das die Voraussetzungen der betreffenden Datenverarbeitungen regelt, enthält auch die Verpflichtung, mindestens alle zwei Jahre "die Durchführung des Datenschutzes" zu kontrollieren.
Auch in diesem Berichtszeitraum habe ich daher eine entsprechende Vor-Ort-Prüfung beim Bayerischen Landesamt für Verfassungsschutz durchgeführt. Dabei habe ich stichprobenartig die Speicherungen durch das Landesamt überprüft.
Meine Prüfung gab keinen Anlass zu Beanstandungen. In allen überprüften Fällen wurden die gesetzlichen Speicherungsvoraussetzungen des Antiterrordateigesetz eingehalten. Aus datenschutzrechtlicher Sicht erfreulich ist im Übrigen, dass sich die Einträge in der ATD seit der letzten Prüfung nahezu halbiert haben.
Weiterhin werden seit 2012 Daten zur Bekämpfung des gewaltbezogenen Rechtsextremismus in der Rechtsextremismus-Datei (RED) gespeichert. Gesetzliche Grundlage hierfür ist das Rechtsextremismus-Datei-Gesetz (RED-G), das hinsichtlich der Rahmenbedingungen mit dem Antiterrordateigesetz vergleichbar ist und ebenfalls mindestens alle zwei Jahre datenschutzrechtliche Pflichtprüfungen vorsieht.
Dem Rechnung tragend habe ich im Berichtszeitraum vor Ort beim Bayerischen Landesamt für Verfassungsschutz Datensätze geprüft, die von dort in die Rechtsextremismus-Datei eingespeichert wurden. Auch hier hat sich die Anzahl der Einträge beträchtlich vermindert. Entsprechend dem Vorgehen bei der Antiterrordatei wurden auch hier stichprobenartig Speicherungen geprüft.
Im Rahmen dieser Prüfung ließen sich bei einer Person, deren Speicherung sich auf § 2 Satz 1 Nr. 1 Buchst. b RED-G stützte, weder die der betroffenen Person konkret vorgeworfenen Tathandlungen noch eine strafrechtliche Verfolgung aus dem Aktenrückhalt entnehmen. Auf meinen Hinweis prüfte das Landesamt nochmals die Speicherungsvoraussetzung und löschte die betreffende Speicherung schließlich.
Zudem fiel mir bei Prüfung eine Speicherung auf, die nach Auskunft des Landesamtes eigentlich bereits aus der RED gelöscht worden sein sollte, aber wegen des im Rahmen von NSU-Untersuchungsausschüssen verhängten Löschmoratoriums für Akten und Daten des Landesamtes (siehe hierzu meinen 32. Tätigkeitsbericht 2022 unter Nr. 3.5) nach wie vor dort sichtbar war. Eine Sperrung der betreffenden Person in der RED - wie bei Löschmoratorien aufgrund von Art. 21 Abs. 2 Nr. 2 Bayerisches Verfassungsschutzgesetz vorgesehen- war nicht vorgenommen worden, weil dies als technisch unmöglich angesehen wurde. Ich äußerte hier rechtliche Bedenken und konnte schließlich erreichen, dass die betreffende technische Gestaltung datenschutzgerecht überarbeitet wurde.
- Internet: https://www.datenschutz-bayern.de/0/bericht-qtkue.pdf. [Zurück]
- Einsetzungsbeschluss: Landtags-Drucksache 18/22844. [Zurück]
- Bayerischer Verfassungsgerichtshof, Entscheidung vom 17. Mai 2022, Vf. 47-VII-21, Rn. 93, juris. [Zurück]
- Euler, in: Graf, Beckscher Online-Kommentar OWiG, Stand 1/2023, § 3 BKatV Rn. 2. [Zurück]