BfDI zum Umgang der Politik und Polizei des Bundes mit dem Datenschutzrecht

Polizeibehörden des Bundes: Diskrepanz zwischen Befugnissen und Pflichten

Wenn es um die Einhaltung der gesetzlichen Pflichten für ihre eigenen Tätigkeiten geht, gibt es bei den drei Bundespolizeibehörden durchaus Verbesserungsbedarf. So lässt sich der Bericht zusammenfassen, den der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)- Ulrich Kelber- in dieser Woche vorgelegt hat [1]. Bemerkenswert ist an seinen Feststellungen insbesondere die Diskrepanz zwischen den ständigen Forderungen nach noch mehr EINGRIFFSBEFUGNISSEN für die Polizeibehörden des Bundes einerseits; und dem recht laxen Umgang des gleichen Gesetzgebers, wenn es um die gesetzliche Regelung von PFLICHTEN dieser Behörden, insbesondere im Umgang mit personenbezogenen Daten geht … | Lesedauer: Ca. 5 Minuten

Innere Sicherheit ist Sache der Bundesländer

Schon die Einleitung, wo es um die Polizeigesetze geht, ist bemerkenswert: Innere Sicherheit, betont der BfDI, liegt „eigentlich in der Kompetenz der Bundesländer“. Dass und wie der Bund seit Jahren versucht, die Länder auszutrocknen und mehr polizeiliche Befugnisse an sich zu ziehen, hatte wir auf POLICE-IT ja schon in mehreren Artikeln berichtet [Siehe A1 und A2]. Der Bund habe nur eine ergänzende und das Bundeskriminalamt nur eine koordinierende Funktion, sagt der BfDI. Die Polizeibehörden der Länder benötigten das BKA als eine GUT FUNKTIONIERENDE ZENTRALSTELLE. Das BKA müsse „koordinieren und auf einen zielgerichteten, effektiven Informationsaustausch zwischen den zuständigen Polizeibehörden hinwirken“. Die Zentralstellenaufgabe sei jedoch begrenzt. [Hervorhebungen / d. Verf]

Mehr zentrale Datensammlungen führen NICHT zu mehr Sicherheit

In den vergangenen Jahren wurden jedoch immer mehr Aufgaben und Befugnisse Bundesbehörden zugewiesen [siehe insbesondere die §§4 und 5 des neuen BKA-Gesetzes]. Dies führte zu MEHR DATENVERARBEITUNG an zentraler Stelle, aber nicht zu mehr Sicherheit. Die werde nicht im Bund und vor allem NICHT DURCH UMFANGREICHE ZENTRALE DATENBESTÄNDE produziert. Viel zu wenig werde die Frage gestellt, ob die Polizeibehörden in der Praxis gut aufgestellt sind oder ob Vollzugsdefizite bestehen. „GESETZGEBERISCHER AKTIONISMUS“ helfe hier nicht. [Hervorhebungen / d. Verf]

Das sind deutliche Worte. Man hätte sie sich so deutlich auch von der Vorgängerin im Amt des BfDI gewünscht; insbesondere in der Zeit zwischen 2015 und bis nach der Bundestagswahl, als die Verschärfung der Gesetzgebung zur Inneren Sicherheit ein politisches Haupt- und Wahlkampfthema von CDU/CSU waren und insbesondere vom früheren Bundesinnenminister De Maizière vorangetrieben wurde [A1 – A2]. Man denke nur an das Gesetz zur Vorratsdatenspeicherung und das neue BKA-Gesetz, die beide entgegen den deutlichen Klarstellungen gegenüber der Vorgängerversion durch das Bundesverfassungsgericht mehr dem gesetzgeberischen Stinkefinger Richtung Karlsruhe ähneln als tatsächlichen Korrekturen der vom Gericht beanstandeten Regulierungen.

JI-Richtlinie für die Bundespolizei bis heute nicht umgesetzt

In der sogenannten JI-Richtlinie sind Mindeststandards für die Verarbeitung personenbezogener Daten durch Polizei- und Justizbehörden vorgegeben. Sie gelten in allen EU-Mitgliedsstaaten und waren bis Mai 2018 in nationales Recht umzusetzen. In Deutschland trat am 25. Mai 2018 zwar ein neues Bundesdatenschutzgesetz in Kraft, und es gibt verschiedene Änderungen in Fachgesetzen [2].

Für die Bundespolizei (und übrigens auch für den Zollfahndungsdienst) wurde die zweijährige Umsetzungsfrist der JI-Richtlinie allerdings versäumt. Der Gesetzentwurf, der für „Anfang 2019“ angekündigt wurde, ist auch Anfang Mai 2019 noch nicht im Bundestag eingebracht. Was, auch für Betroffene und deren Anwälte, die Frage aufwerfen sollte: Auf welcher Rechtsgrundlage erhebt, verarbeitet und nutzt die Bundespolizei aktuell personenbezogene Daten??

Die Speicherung der Bodycam-Daten der Bundespolizei bei einem US-Cloud-Anbieter ist rechtswidrig

Wichtiger war aus Sicht des Bundesgesetzgebers eine Änderung am Bundespolizeigesetz vom Mai 2017: Seitdem dürfen Beamte der Bundespolizei Bodycams einsetzen. Zur Speicherung der großen Datenmengen, die dabei entstehen, werden – vermutlich weil’s so einfach und preiswert ist – die Cloud-Services [von Amazon] genutzt. Das ist rechtswidrig, sagt der BfDI: Denn

„in diesem Fall hat die Bundespolizei wegen des amerikanischen Cloud-Acts keine ausschließliche Weisungshoheit an den Auftragnehmer. Es besteht die Möglichkeit des Herausgabeverlangens von amerikanischen Behörden. Diesem kann nur der Cloud-Anbieter widersprechen, nicht die verantwortliche (deutsche) Bundespolizei. Über den Widerspruch entscheiden dann amerikanische Gerichte. Das entspricht nicht den klaren Vorgaben für eine Auftragsverarbeitung nach §62 BDSG …“

Gesichtserkennung(sprojekt) der Bundespolizei: Nach derzeitiger Rechtslage rechtswidrig

Die Bundespolizei startete im August 2017 ein Pilotprojekt am Bahnhof Südkreuz in Berlin: Dabei wurden verschiedene Softwareprodukte zur Gesichtserkennung in einem Livebetrieb unter idealisierten Bedingungen getestet. Nach Auffassung des BfDI ist

„der Einsatz dieser neuen, über die herkömmliche Videoüberwachung hinausgehenden Technik im polizeilichen Alltag nach derzeitiger Rechtslage … rechtswidrig.“ Denn …“ Gesichtserkennung stellt eine eingriffsintensive Maßnahme dar, die eine Vielzahl von Menschen betrifft. Dieser Eingriff bedarf einer hinreichend bestimmten Rechtsgrundlage, die es derzeit nicht gibt. Ob die hohen verfassungsrechtlichen Anforderungen an entsprechend tiefgehende Grundrechtseingriffe überhaupt erfüllt werden können, ist zweifelhaft.“

Dennoch wird derzeit eine zweite Testphase geplant, bei der verschiedene Szenarien erprobt werden sollen, wie das Betreten festgelegter Bereiche und das Erkennen von liegenden Personen.

Für eine datenschutzrechtliche Bewertung von ‚Polizei 2020‘ fehlen derzeit die Grundlagen

Ist es „nur“ Verwunderung oder doch schon Sarkasmus, wenn der BfDI zum neuen BKA-Gesetz ausführt:

„Das neue BKAG ist im Mai 2016 in Kraft getreten. Es war unter hohem Zeitdruck durchgesetzt worden, weshalb für ausführliche inhaltliche Diskussionen im parlamentarischen Raum wenig Zeit blieb. Gerade das gegen mein Votum geregelte neue Informationssystem – ein zentrales Informationssystem war auch schon nach altem Recht erlaubt – wurde während der Verhandlungen als höchst dringlich dargestellt. Umso mehr verwundert es, wenn es jetzt in der Praxis plötzlich nicht mehr so eilig ist.“ [Mehr dazu in B1 – B5]

Diese Feststellungen decken sich mit meinen Beobachtungen während des Europäischen Polizeikongresses im Februar 2019 in Berlin: Es war sozusagen der „Running Gag“ der Veranstaltung, dass man die Bezeichnung Polizei 2020 nicht so ernst nehmen sollte und besser durch Polizei 2030 ersetzen sollte: Nicht zuletzt auch mit der Begründung, dass das zentrale Datenbanksystem [in Polizei 2020] „völlig neu aufgesetzt“ werden müsse. [Ein Thema, das einen eigenen Artikel verdient und daher auch weit oben auf meiner To-Do-Liste steht.]

Auch der BfDI stellt fest:

„Bei Polizei 2020 handelt es sich um ein auf mehrere Jahre angelegtes Programm wann die neue IT-Landschaft eingeführt wird, ist derzeit noch offen. Die bisherigen Dateien bleiben aber aufgrund einer Übergangsregelung gleichzeitig erhalten. Aus heutiger Sicht ist kaum zu erwarten, dass die Einführung trotz des ambitionierten Projektnamens schon im Jahr 2020 erfolgen wird.“
Und teilt mit:
„dass weder BMI noch BKA mir bislang detaillierte und aussagekräftige Unterlagen für die geplante neue IT-Struktur der deutschen Polizei vorgelegt haben. … Für eine ausführliche datenschutzrechtliche Bewertung fehlen daher derzeit die Grundlagen.

Antiterrordatei (ATD) und Rechtsextremismusdatei (RED): Am besten einfach abschaffen!

Hier kommt, zunächst jedenfalls, eine gute Nachricht: Bei diversen Kontrollen des BfDI bei den verschiedenen Behörden zu diesen gemeinsame Dateien – sie werden gemeinsam von den Polizeibehörden, Verfassungsschutzbehörden und Nachrichtendiensten genutzt – hat der BfDI, insbesondere bei den Polizeibehörden, keinen Anlass für formelle Beanstandungen gefunden. Seine Empfehlung berührt jedoch die Grundfesten dieser Konstruktion Gemeinsamer Dateien:

Der Nutzwert beider Dateien zur Terrorabwehr und Extremismusbekämpfung wird in den geprüften Behörden als eher gering eingeschätzt. Auch der Zweck der Dateien, ein Kontaktanbahnungsinstrument für die beteiligten Behörden zu schaffen wird nicht erreicht. Für den polizeilichen Alltag ist die Konzeption beider Dateien nicht flexibel genug.

Die für die Terrorismusabwehr und Extremismusbekämpfung wesentlichen Informationen werden in der Praxis in den gemeinsamen Zentren der Behörden – gemeinsames Extremismus-und Terrorismusabwehrzentrum (GETZ) und gemeinsames Terrorismusabwehrzentrum (GTAZ) – ausgetauscht. Die Arbeit dort wurde mir als zielführender geschildert als der Betrieb der Dateien RED und ATD. Dies entspricht auch der Einschätzung bei den Nachrichtendiensten. Im Verhältnis zum Nutzen müssen die zuständigen Mitarbeiter der Behörden einen enorm hohen Aufwand betreiben, um die entsprechenden Daten einzupflegen, aktuell zu halten und gesetzeskonform zu löschen. Hinzu kommen die bereits in den vergangenen Tätigkeitsberichten angesprochenen technischen Probleme, die die Nutzung der ATD und der RED zusätzlich erschweren.

Quellen

[1]   27. Tätigkeitsbericht (2017-2018) des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
https://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/27TB_17_18.pdf

[2]   Umsetzung der JI.Richtlinie in Deutschland, Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
https://www.bfdi.bund.de/DE/Datenschutz/Themen/Sicherheit_Polizei_Nachrichtendienste/SicherheitArtikel/JI-Richtlinie.html

Artikel zu verwandten Themen

[A1]   Politik der Inneren Sicherheit 2007 – 2017, 28.06.2017, POLICE-IT
https://police-it.net/politik-der-inneren-sicherheit-2007-2017

[A2]   Die Megatrends in der POLITIK der Inneren Sicherheit 2018ff, 09.02.2018, POLICE-IT
https://police-it.net/die-megatrends-in-der-politik-der-inneren-sicherheit-2018ff

[B1]   Neues BKA-Gesetz: Polizeiarbeit soll Bundessache werden, 07.02.2017, POLICE-IT
https://police-it.net/neues-bka-gesetz-staatsstreich-teil3

[B2]   Unkeusche Begründungen im Entwurf zum neuen BKA-Gesetz, 07.04.2017, POLICE-IT
https://police-it.net/unkeusche-begruendungen-im-entwurf-zum-neuen-bka-gesetz

[B3]   Mit der Brechstange: Wie die GroKo ihr neues BKA-Gesetz durchsetzen will, 18.04.2017, POLICE-IT
https://police-it.net/mit-der-brechstange-wie-die-groko-ihr-neues-bka-gesetz-durchsetzen-will

[B4]   Will das BMI mit dem neuen BKA-Gesetz eigene Fehler der Vergangenheit kaschieren?!, 26.04.2017, POLICE-IT
https://police-it.net/will-das-bmi-mit-dem-neuen-bka-gesetz-eigene-fehler-der-vergangenheit-kaschieren

[B5]   Neues BKA-Gesetz beschlossen: Datenbanken der Polizei noch auf weitere Jahre Großbaustelle, 27.04.2017, POLICE-IT
https://police-it.net/neues-bka-gesetz-beschlossen-datenbanken-der-polizei-noch-auf-weitere-jahre-grossbaustelle

Copyright und Nutzungsrechte

(C) 2018 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.