Fundstücke 06.2020

Wen oder was schützen eigentlich Datenschutz-Aufsichtsbehörden für die Polizei?

HINTER die hohen Mauern „der Polizei“ zu schauen, ist ja für Außenstehende unmöglich. Polizei-Beauftragte, die eine gewisse Kontrolle ermöglichen würden, werden dank der Gewerkschaften seit Jahren wirksam vermieden. Polizeiführungen sind überwiegend der Ansicht, dass „Fehler bei uns nicht vorkommen“.
Bleiben als Kontrollinstanz also nur die Datenschutz-Aufsichtsbehörden, zumindest für den Aspekt des Umgangs der Polizei mit den von ihr erhobenen bzw. genutzten Daten. Nach dem Hinweis auf einen sehr lohnenden Film folgt eine Reihe von ernüchternden Fakten zu diesem Thema und zum Schluss ein besonderes Schmankerl aus dem Hause BMI … | Lesedauer: Ca. 4 Minuten

Nichts zu verbergen, nichts zu verlieren

Ein Film über das Hessische Polizeigesetz und die Verfassungsbeschwerde dagegen und über Hessendata, das Big-Data Analyse- und Auswertungssystem von Palantir: Sehr lohnend, eine Dokumentation der Filmakademie Baden-Württemberg von einer Qualität, die man gerne (öfter) auch im öffentlich-rechtlichen Fernsehen sehen würde. Derzeit nur bei heise online über diese Seite zu erreichen. Dort bitte auf den UNTEREN Video-Kasten klicken, wenn Sie den Film ohne Werbung sehen möchten. [Disclaimer: Ich komme in diesem Film auch zu Wort.]

Außer Kontrolle

Unter diesem Titel hatte unsere Kollegin, Christiane Schulzki-Haddouti, schon 2016 in der c’t ausführlich darüber berichtet, dass der Datenschutz in Polizeisystemen „fragwürdig“ ist. In ihrem Artikel geht es vor allem um den Bayerischen KAN (Kriminalaktennachweis), ein Subsystem („Datei“) im System INPOL, in dem schon 2016 allein in Bayern 1,6 Millionen Personen-Datensätze gespeichert waren.

Fern-Kontrolle

Aus eigener Erfahrung, noch aus der Zeit, als ich hauptberuflich mit der Entwicklung von polizeilichen Informationssystemen zu tun hatte, stammt die Erkenntnis, dass die für die Kontrolle der Polizei zuständigen Mitarbeiter der Datenschutz-Aufsichtsbehörden nicht einmal selbst „Hand anlegen“ durften an die polizeilichen Systeme. Sie durften höflich fragen und um Auskünfte bitten und waren darauf angewiesen zu akzeptieren, was man ihnen sagt. Hartnäckig hielt sich damals auch das Gerücht, dass, ganz wie wenn die Schwiegermutter kommt, erst mal aufgeräumt wird vor dem Besuch der Datenschützer.

Die Gesetze verlangen die Kennzeichnung besonders schützenswerter Daten

Das neue BKA-Gesetz zum Beispiel hat einen eigenen Paragraphen:

§ 14 Kennzeichnung
(1) Bei der Speicherung im Informationssystem sind personenbezogene Daten wie folgt zu kennzeichnen:

  1. Angabe des Mittels der Erhebung der Daten einschließlich der Angabe, ob die Daten offen oder verdeckt erhoben wurden,
  2. Angabe der Kategorie nach den §§18 und 19 bei Personen, zu denen Grunddaten angelegt wurden,
  3. Angabe der
        a) Rechtsgüter, deren Schutz die Erhebung dient oder
        b) Straftaten, deren Verfolgung oder Verhütung die Erhebung dient,
  4. Angabe der Stelle, die sie erhoben hat, sofern nicht das Bundeskriminalamt die Daten erhoben hat.

Die Kennzeichnung nach Satz 1 Nummer 1 kann auch durch Angabe der Rechtsgrundlage der jeweiligen Mittel der Datenerhebung ergänzt werden.

(2) Personenbezogene Daten, die nicht entsprechend den Anforderungen des Absatzes 1 gekennzeichnet sind, dürfen so lange nicht weiterverarbeitet oder übermittelt werden, bis eine Kennzeichnung entsprechend den Anforderungen des Absatzes 1 erfolgt ist.

(3) Nach einer Übermittlung an eine andere Stelle ist die Kennzeichnung nach Absatz 1 durch diese Stelle aufrechtzuerhalten.“

BISHER ist es in den weit verbreiteten polizeilichen Informationssystemen gängige Praxis, dass allenfalls der Vorgang bzw. Fall gekennzeichnet wird [„Totschlag zum Nachteil von xyz; Zweck: Strafverfolgung“]. Das wird dem Gesetz allerdings nicht gerecht. Denn zu kennzeichnen sind die personenbezogenen Daten und zwar in der Detailtiefe, wie es der Schutz des jeweiligen Datums erfordert – also z.B. die Religionszugehörigkeit, sollte dieses Merkmal gespeichert werden. Oder die Rolle der Person im jeweiligen Verfahren, denn Abu Bin Knakr kann mal Zeuge, mal Tatverdächtiger und mal Geschädigter sein.

Die Polizei stört es überhaupt nicht, wenn sich niemand um die Kennzeichnungspflicht schert; viele Politiker der Inneren Sicherheit übrigens auch nicht. Sie rütteln ohnehin heftig an diesem Prinzip und fordern „Weg mit der Zweckbindung“.

Und die Datenschützer?! Kommen gar nicht dazu, solche Prüfungen vorzunehmen: Das ergab ein Gespräch, das ich schon vor Jahren mit einer generell als besonders rührig bekannten Aufsichtsbehörde im hohen Norden geführt hatte. Der Mann, der für die Datenschutzkontrolle bei der Polizei des Landes zuständig war – geschätzte drei Jahre vor Erreichen der Pensionsgrenze – hatte sich ersichtlich eingerichtet mit den polizeilichen Systemen und Strukturen, die er kontrollieren sollte. Im Großen und Ganzen sei dort schon alles in Ordnung. Und MEHR wollte er auch gar nicht wissen, hätten doch aufgedeckte Defizite u.U. auch auf die Datenschutzkontrolle zurückfallen können.

Freibrief für technisches Unvermögen

Kurz vor Redaktionsschluss für diese ‚Fundstücke‘ flatterte mir noch das auf den Tisch, was man in Oberbayern ein Schmankerl nennt: Wir hatten beim Bundesinnenministerium vor etlichen Tagen angefragt, wie es denn so steht um die aktuelle Realisierung der Vorschrift zur Kennzeichnung personenbezogener Daten im neuen BKA-Gesetz. Die Antwort eines BMI-Sprechers hier im Original [Die Buchstaben wurde von mir eingefügt als Bezugspunkt für die folgenden Anmerkungen]:

(A)    “Sofern die polizeilichen Systeme bereits die entsprechenden technischen Möglichkeiten bieten, wird eine Umsetzung der Kennzeichnung bereits realisiert. Sollten Systeme die technischen Möglichkeiten noch nicht bieten, wird derzeit auch nicht gekennzeichnet.

(B)    Dies ist vor dem Hintergrund der Regelung des §91 BKAG auch nicht zwingend erforderlich, da diese die Weiterverarbeitung auch von nicht nach §14 Abs.1 BKAG gekennzeichneten Daten – bis zur vollständigen technischen Implementierung der Kennzeichnungsmöglichkeiten – ermöglicht.

(C)    Hinsichtlich der ab dem 25.05.18 [= Datum des Inkrafttretens des neuen BKA-Gesetzes] gespeicherten Daten gilt, dass eine Kennzeichnung nur vorzunehmen ist, wenn diese in einer neu vom BKA angelegten Datei gespeichert werden.“

(D)    Eine Aufstellung in Bezug auf die einzelnen Systeme kann Ihnen zum jetzigen Zeitpunkt nicht zur Verfügung gestellt werden.

Anmerkungen dazu

Zu (A)    Nichts gegen diesen Sprecher des BMI. Die ersten zwei Sätze allerdings sollte er nicht die Kollegen vom Verkehrsministerium wissen lassen. Die könnten sonst glatt auf die Idee kommen, dem Kraftfahrtbundesamt in ihrem Hause einen Wink zu geben, wie einfach man das Problem mit den schadstoffreduzierenden Maßnahmen in PKWs vom Tisch kriegen könnte: Nach dem BMI-Muster hieße das: Wenn die PKWs „die technischen Möglichkeiten noch nicht bieten“ wird eben auch nicht schadstoffreduziert.

Zu (B)    Die Übergangsvorschrift aus §91 BKAG-neu, ohnehin in letzter Minute im Gesetzgebungsverfahren in den Text gedrückt, wird offensichtlich dringend gebraucht. NUR: Für die BUNDESLÄNDER gelten weder die beiden ersten Sätze, noch diese Übergangsvorschrift des BKA-Gesetzes. Deren Informationssystemen können jedoch auch nicht „kennzeichnen“. Da es jedoch auch in den Polizeigesetzen der Länder Kennzeichnungspflichten gibt, folgt daraus: Das Gros der polizeilichen Informationssysteme kann NICHT, was im Gesetz zwingend verlangt ist.

Zu (C)    Man muss also NEUE Daten nur in ALTE Datentöpfe stopfen und schon ist die gesetzliche Pflicht zur Kennzeichnung ausgehebelt.

Zu (D)    Zu schade! Wir wollten nämlich wissen, wie und in welcher Detailtiefe die Kennzeichnungspflichten umgesetzt werden in INPOL, dem PIAV Operativ Zentral, in b-case und in den Verbunddateien des kriminalpolizeilichen Meldedienstes, die (noch) mit INPOL-Fall betrieben werden. Zumindest dort gäbe es ja die technische Möglichkeit der Kennzeichnung, wenn man den wollte …

Doch generell stellt sich die Frage: Gibt es in diesem Lande eigentlich noch Datenschutz-Aufsichtsbehörden, die nicht achselzuckend hinnehmen, dass Gesetze – und Rechte von Bürgern – so zurecht gebogen werden, wie es dem BMI in seiner saloppen Hemdsärmeligkeit beliebt?

Copyright und Nutzungsrechte

(C) 2020 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.