Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.01.2017

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

3. Polizei

3.1. Allgemeines

3.1.1. Änderungsbedarf des Polizeiaufgabengesetzes

Im Berichtszeitraum ist eine wegweisende Gerichtsentscheidung des Bundesverfassungsgerichts ergangen, die einen erheblichen Anpassungsbedarf des Polizeiaufgabengesetzes zur Folge hat:

Das Bundesverfassungsgericht hat in seinem Urteil vom 20. April 2016 - 1 BvR 966/09, 1 BvR 1140/09 - entschieden, dass die angegriffenen Regelungen des Bundeskriminalamtsgesetzes in ihrer jetzigen Ausgestaltung weitgehend verfassungswidrig sind. Die Ermittlungsbefugnisse des Bundeskriminalamts zum Einsatz von heimlichen Überwachungsmaßnahmen zur Abwehr von Gefahren des internationalen Terrorismus sind zwar im Grundsatz mit den Grundrechten vereinbar, die derzeitige Ausgestaltung verstößt aber gegen den Verhältnismäßigkeitsgrundsatz. Die beanstandeten Vorschriften gelten mit Einschränkungen überwiegend bis zum Ablauf des 30. Juni 2018 weiter.

Die Entscheidung betrifft, eine langjährige Rechtsprechung zusammenführend, sowohl die Voraussetzungen für die Durchführung von heimlichen Überwachungsmaßnahmen als auch die Frage der grundsätzlichen Verwendung der erhobenen Daten und der Datenübermittlung an andere inländische Behörden sowie schließlich erstmals auch die Anforderungen an eine Datenübermittlung an ausländische Behörden. In seiner aktuellen Entscheidung führt das Gericht seine bisherige Rechtsprechung in grundsätzlicher Weise zusammen und setzt zugleich neue Maßstäbe. Unter anderem fordert das Bundesverfassungsgericht:

  • Besondere Schutzregelungen für den Kernbereich privater Lebensgestaltung,
  • einen hinreichenden Schutz von Berufsgeheimnisträgern,
  • eine regelmäßige effektive aufsichtliche Kontrolle. Das heißt, dass Datenerhebungen vollständig protokolliert werden müssen und es muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass die Daten in praktikabler, auswertbarer Weise zur Verfügung stehen und die Protokollierung hinreichende Angaben zu dem zu kontrollierenden Vorgang enthält,
  • Berichtspflichten gegenüber Parlament und Öffentlichkeit,
  • umfangreiche Löschungspflichten,
  • eine Unterscheidung zwischen einer grundsätzlich zulässigen weiteren Nutzung der Daten im Rahmen des ursprünglichen Erhebungszweckes (Zweckbindung) und einer Zweckänderung, die nur in bestimmten Grenzen erlaubt werden darf,
  • eine Begrenzung für die Datenübermittlung an ausländische Sicherheitsbehörden.

Weiterer wesentlicher Anpassungsbedarf des Polizeiaufgabengesetzes besteht aufgrund der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI (im Folgenden "Richtlinie"), die am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht wurde (siehe Nrn. 1.1.1.2, 1.1.1.4, 5.1.1). Die Richtlinie ist Teil eines Datenschutzpaketes und entfaltet im Gegensatz zur Grundverordnung keine unmittelbare Wirkung in den Mitgliedstaaten. Vielmehr legt sie einen datenschutzrechtlichen Rahmen in Form eines Mindeststandards fest. Es obliegt den Mitgliedstaaten, die Richtlinie innerhalb der vorgegebenen Zeit von zwei Jahren in nationales Recht umzusetzen. Daraus ergibt sich aber auch ein gewisser Spielraum zur Umsetzung durch die jeweiligen Gesetzgeber. Es wird klargestellt, dass die nationalen Regelungen auch ein höheres Schutzniveau als von der Richtlinie vorgegeben gewähren dürfen (vgl. Art. 1 Abs. 3 der Richtlinie und Nr. 15 der Erwägungsgründe).

Ziel der Richtlinie ist, eine wirksame justizielle Zusammenarbeit in Strafsachen und eine wirksame polizeiliche Zusammenarbeit sicherzustellen und den Austausch personenbezogener Daten zwischen den zuständigen Behörden der Mitgliedstaaten zu erleichtern. Gleichzeitig soll ein einheitlich hohes Schutzniveau für die personenbezogenen Daten natürlicher Personen gewährleistet werden. Anders als der Rahmenbeschluss 2008/977/JI des Rates, der durch die Richtlinie ersetzt wird, deckt die Richtlinie jetzt auch die innerstaatliche Verarbeitung personenbezogener Daten ab, da die Union mit Art. 16 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) über eine neue Rechtsgrundlage verfügt, die auch für die Verarbeitung personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit gilt.

Zu den wesentlichen Vorgaben der Richtlinie gehören unter anderem:

  • Bildung von Kategorien bei der Datenerhebung und Unterscheidung nach der Verfahrensrolle: Beschuldigte, Verurteilte, Geschädigte, Zeugen, sonstige Dritte; zudem Differenzierung nach Verdachtsgraden mit Pflicht zur laufenden Anpassung,
  • Nachweispflicht der Behörden, dass die Datenschutzbestimmungen eingehalten werden (Dokumentation),
  • Pflicht zur Einführung von Datenschutzmanagementsystemen, datenschutzfreundlicher Technik, Verzeichnissen für Datenverarbeitungsverfahren, umfassenden Protokollierungen, Folgenabschätzungen bei neuen Vorhaben,
  • der Landesbeauftragte für den Datenschutz wird in eine Datenschutzaufsichtsbehörde umgestaltet, die über Untersuchungs- und Abhilfebefugnisse verfügt. Im Gegenzug sind Rechtsmittel der Behörden gegen Anordnungen des Landesbeauftragten für den Datenschutz vorgesehen.

Im Ergebnis muss daher insbesondere das Polizeiaufgabengesetz an zahlreichen Stellen angepasst werden. Dazu stehe ich im engen Austausch mit dem zuständigen Staatsministerium des Innern, für Bau und Verkehr. Über konkrete Ergebnisse, die zum Redaktionsschluss noch nicht feststanden, werde ich weiter berichten.

3.1.2. Precobs

Polizeibeamte kontrollieren Bürger, weil eine Software dies vorgibt - solche oder ähnliche Szenarien wurden in den Medien befürchtet, als das Staatsministerium des Innern, für Bau und Verkehr im Sommer 2014 eine neue Polizeisoftware der Öffentlichkeit vorstellte. Diese Aussicht ließ selbstverständlich auch mich aufhorchen. In der Folge habe ich mich mit der "Precobs" genannten Software und deren Anwendung bei der Polizei kritisch auseinandergesetzt. Hierbei kam ich zu dem Ergebnis, dass das verwendete Analysesystem in der aktuellen Ausgestaltung datenschutzrechtlich nicht zu beanstanden ist.

Abgesehen von Angaben zum Tatort, zur Tatzeit und zu besonderen Tatumständen bereits zurückliegender Einbrüche verwendet das System keine personenbezogenen Daten um die Tatvorhersagen zu berechnen. Auch muss der zuständige Lagesachbearbeiter der Polizei das Analyseergebnis der Software nochmals gegenprüfen, bevor er es freigibt. Die Einbruchsprognose für einen bestimmten Bereich wird dann den Beamtinnen und Beamten visuell dargestellt. So vorinformiert will die Polizei zukünftig zur richtigen Zeit am richtigen Ort präsent sein.

Neben den verwendeten Datenbeständen habe ich ein weiteres Augenmerk darauf gelegt, dass eine Polizeibeamtin oder ein Polizeibeamter und nicht die Software - sprich ein unbekannter Algorithmus - die Entscheidung bezüglich einer Maßnahme trifft. Bei allen Rechtseingriffen der Polizei - wie beispielsweise vermehrten Personenkontrollen in einem bestimmten Gebiet - gelten weiterhin die gesetzlichen Schranken. Prognose hin oder her, in jedem Einzelfall müssen die rechtlichen Vorgaben durch die Polizei vor Ort strikt eingehalten werden. Natürlich werde ich auch weiterhin die Entwicklung des Analysesystems genau im Auge behalten. Was nicht passieren darf, ist eine schleichende Übernahme der eigentlichen Polizeiarbeit durch einen Computer.

Auch die Datenschutzbeauftragten des Bundes und der Länder haben sich auf ihrer 89. Konferenz am 18./19. März 2015 mit dieser Thematik befasst. In der nachstehenden Entschließung werden die allgemeinen Gefahren und Risiken im Zusammenhang mit dem zunehmenden Einsatz von Datenanalysesystemen durch die Polizei kritisch hinterfragt.

Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 18./19.03.2015 in Wiesbaden

Big Data zur Gefahrenabwehr und Strafverfolgung: Risiken und Nebenwirkungen beachten

Zunehmend sind Systeme zur Datenanalyse auch für Polizeibehörden am Markt verfügbar. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist daher frühzeitig - bevor diese Systeme in der Fläche beschafft werden - darauf hin, dass der Einsatz solcher Systeme durch die Polizei geeignet ist, elementare Grundsätze des Datenschutzes und des Rechts auf informationelle Selbstbestimmung in Frage zu stellen. Solche Verfahren können enorme Mengen von heterogenen - strukturierten wie unstrukturierten - Daten mit hoher Geschwindigkeit auswerten. Sogenannte selbst lernende Algorithmen sind in der Lage, die Kriterien für die Auswertung selbst zu entwickeln und an neue Erkenntnisse anzupassen. Damit sollen Zusammenhänge zwischen Straftaten erkannt werden und Vorhersagen über künftige Straftaten oder Gefahren bereits im Vorfeld getroffen werden ("Predictive Policing").

Dies kann zu einer weiteren Verschiebung der polizeilichen Eingriffsschwelle in das Vorfeld von Gefahren und Straftaten führen. Die Gefahr fehlerhafter Prognosen ist der Vorfeldanalyse stets immanent - mit erheblichen Auswirkungen auf die dabei in Verdacht geratenen Personen.

Besonders kritisch ist es, wenn Analysesysteme vermeintlich harmlose, allgemein zugängliche Daten aus dem Internet auswerten, etwa aus Foren oder sozialen Netzwerken. Diese können zudem mit polizeilichen Speicherungen verknüpft und einer konkreten Person zugeordnet werden. Es besteht das Risiko, dass die Systeme die Daten aus einem ganz anderen Zusammenhang verwenden, denen kein gefährdendes oder strafbares Verhalten zu Grunde liegt. Dann können Bürgerinnen und Bürger nicht mehr sicher sein, welche ihrer Handlungen von der Polizei registriert und nach welchen Kriterien bewertet werden - zumal diese stets nur auf statistischen Erfahrungswerten beruhen, die im Einzelfall nicht zutreffen müssen. Sind die Kriterien und die Funktionsweise der Auswertealgorithmen nicht bekannt, ist es den Betroffenen unmöglich, das Ergebnis mit eigenen Angaben zu widerlegen.

Auch wenn die derzeit in der Praxis bei einzelnen Länderpolizeien eingesetzten Verfahren, mit denen relevante polizeiliche Daten ausschließlich ortsbezogen und nicht personenbezogen ausgewertet werden, nicht die beschriebenen Risiken hervorrufen, kann die Bewertung bei nur geringfügigen Änderungen eine ganz andere sein. Die ständig weiterentwickelten technischen Auswertemöglichkeiten bergen schon heute das Potential dafür, dass Bürgerinnen und Bürger die Kontrolle über ihre Daten - in einem Umfang und auf eine Art und Weise - verlieren könnten, die in der Vergangenheit nicht vorstellbar gewesen ist.

Die derzeitigen gesetzlichen Vorschriften in Bund und Ländern enthalten - mit Ausnahme der Regelungen zur Rasterfahndung - keine ausdrücklichen Vorgaben für den Einsatz weit gefasster Analysesysteme. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist angesichts der beschriebenen Gefahren darauf hin, dass der Einsatz solcher Systeme durch die Polizei nur in engen Grenzen als verfassungsrechtlich zulässig zu betrachten ist.

3.1.3. Erlass einer neuen Meldedatenverordnung

Im Berichtszeitraum habe ich zur Neufassung der Verordnung zur Übermittlung von Meldedaten - Meldedatenverordnung kritisch Stellung genommen und Verbesserungen gefordert. Für den Bereich der Polizei regelt die Verordnung - wie auch ihre Vorgängerversion - insbesondere, dass dem Landeskriminalamt bei einer An- und Abmeldung, einem Sterbefall oder einer Namensänderung automatisch und tagesaktuell bestimmte Daten übermittelt werden. Diese Datenübermittlung an das Landeskriminalamt dient dem automatisierten Abgleich mit den polizeilichen Fahndungsdateien nach Art. 43 Abs. 1 Polizeiaufgabengesetz (PAG). Für die Neufassung habe ich zunächst die Aufnahme einer ausdrücklichen Zweckbestimmung für diese Datenübermittlung gefordert. Diese Forderung wurde berücksichtigt. Weiter habe ich gefordert, durch eine spezielle gesetzliche Regelung sicherzustellen, dass die übermittelten Meldedaten zwingend sofort und spurenlos gelöscht werden, sofern der automatisierte Abgleich mit den Fahndungsdateien keinen Treffer ergeben hat. Das Staatsministerium des Innern, für Bau und Verkehr hält eine ausdrückliche gesetzliche Regelung hierzu demgegenüber nicht für erforderlich. Es beruft sich auf die allgemeine Regelung des Art. 45 Abs. 2 Nr. 2 PAG, wonach personenbezogene Daten zu löschen sind, wenn festgestellt wird, dass ihre Kenntnis zur Aufgabenerfüllung nicht mehr erforderlich ist. Weiterhin beruft sich das Staatsministerium des Innern, für Bau und Verkehr darauf, dass die gebotene Löschung bereits jetzt in der entsprechenden Errichtungsanordnung vorgesehen sei. Ich habe demgegenüber an meiner Auffassung festgehalten, zumal die derzeitige Speicherungspraxis dieser Daten zeigt, dass eine klare gesetzliche Regelung sinnvoll wäre. Hierauf sicherte man mir zumindest zu, meinen diesbezüglichen Hinweisen nachzugehen und die betreffende Errichtungsanordnung zu aktualisieren.

3.2. G7-Gipfel

Anfang Juni 2015 fand in Elmau der G7-Gipfel statt. Bereits frühzeitig wurde ich vom Planungsstab der Polizei über die beabsichtigten Maßnahmen informiert. Unter anderem plante die Polizei, die Gegend um Elmau mit stationären Videokameras zu überwachen. Daneben sollten auch mobile Videokameras in Form von Fußtrupps mit Schulterkameras zum Einsatz kommen. Ich überprüfte im Vorfeld des Gipfeltreffens das Videokonzept der Polizei. Meine Anregungen und Bedenken, beispielsweise zur Notwendigkeit etwaiger Hinweisschilder, wurden weitgehend berücksichtigt.

Im Nachgang zum G7-Gipfel kontrollierte ich zudem im Zusammenhang mit dem Gipfeltreffen erstellte Videoaufzeichnungen auf deren Zulässigkeit und Einhaltung der Löschungsfristen. Erforderlich ist für jede Videoüberwachung grundsätzlich eine tragfähige Rechtsgrundlage. Die Besonderheit lag hier darin, dass die Videoaufnahmen - je nach Situation - aufgrund unterschiedlicher Rechtsgrundlagen angefertigt wurden. Neben dem Polizeiaufgabengesetz kamen das Bayerische Versammlungsgesetz, das Ordnungswidrigkeitengesetz sowie - im Falle von Straftaten - die Strafprozessordnung zur Anwendung. Die Rechtsgrundlagen knüpfen je nach Zweck an unterschiedliche Voraussetzungen an und erfordern die Beachtung verschiedentlicher Löschungsfristen, Dokumentations- und Hinweispflichten. Hierbei konnte ich jedoch keine nennenswerten Verstöße gegen die einschlägigen Bestimmungen feststellen.

Im Anschluss an den G7-Gipfel erstellte die Polizei einen Schulungsfilm über die Vorbereitung des Einsatzes und den Einsatzverlauf. Der Schulungsfilm dient in erster Linie der Aus- und Fortbildung von Polizeibeamtinnen und -beamten. Das Videomaterial dazu wurde überwiegend von der Polizei selbst erstellt. Hierbei wirkte ich darauf hin, dass die aufgezeichneten Personen durch Verpixelung unkenntlich gemacht wurden, sofern sie nicht vorab in die Videoaufnahmen eingewilligt hatten. Auch Kfz-Kennzeichen mussten verpixelt werden, da auch über sie ein Personenbezug hergestellt werden kann.

Des Weiteren hatte ich mein Augenmerk auf Speicherungen im Zusammenhang mit den Zuverlässigkeitsüberprüfungen gelegt, die im Vorfeld des G7-Gipfels vom Landeskriminalamt durchgeführt wurden. Alle Beschäftigten externer Dienstleistungsunternehmen, die Sicherheitsbereiche betreten durften, wurden hinsichtlich ihrer Zuverlässigkeit überprüft. Hierfür glich das Landeskriminalamt die vom Landratsamt Garmisch-Partenkirchen übermittelten Beschäftigtendaten mit dem polizeilichen Datenbestand, insbesondere INPOL, ab und teilte das Ergebnis in Form eines Positiv- oder Negativvotums dem Landratsamt mit. Die Speicherung der im Zusammenhang mit der Akkreditierung übermittelten Daten war nur für die Dauer von drei Monaten, in Ausnahmefällen maximal ein Jahr, ab Beendigung des G7-Gipfels vorgesehen. Auf meine Nachfrage im September 2015 teilte mir das Landeskriminalamt mit, dass mittlerweile sämtliche Personendaten in der betreffenden Datenbank gelöscht seien.

Anlässlich des G7-Gipfels setzte die Polizei erstmalig ein so genanntes elektronisches Freiheitsentziehungsbuch ein, da eine größere Zahl an Festnahmen und Ingewahrsamnahmen nicht auszuschließen war. Das elektronische Freiheitsentziehungsbuch ermöglicht es dann, die Abläufe innerhalb einer Gefangenensammelstelle für spätere gerichtliche Überprüfungen präzise zu dokumentieren. Erfasst werden unter anderem die Personalien der Beschuldigten und Betroffenen, der sachbearbeitenden Polizeibeamtinnen und -beamten sowie von Auskunftspersonen. Des Weiteren enthält es Details zum Vorfall, Angaben zur Freiheitsentziehung (Rechtsgrundlage, Dauer, Verpflegung, gerichtliche oder staatsanwaltschaftliche Entscheidung, Entlassung etc.) und zu etwaigen Besuchen. Die Einführung des elektronischen Freiheitsentziehungsbuchs habe ich kritisch begleitet, um eine überschießende Datenspeicherung zu vermeiden. So habe ich darauf hingewiesen, dass etwa Angaben zur Verfassung der Person, zu ärztlichen Untersuchungen, zur Medikamenteneinnahme oder zu vorliegenden Erkrankungen nur erfasst werden dürfen, soweit dies zur ordnungsgemäßen Durchführung des Gewahrsams erforderlich ist. Dies kann zum Beispiel der Fall sein, wenn eine in Gewahrsam genommene Person auf die Einnahme von Medikamenten angewiesen ist.

Darüber hinaus überprüfte ich im Anschluss an den G7-Gipfel die in diesem Zusammenhang getroffenen erkennungsdienstlichen Maßnahmen der Polizei. Hierbei konnte ich keine nennenswerten Mängel feststellen. Erfreulich war zudem, dass sich die Zahlen erkennungsdienstlich behandelter Personen wie auch der insgesamt (vorläufig) Festgenommenen in Grenzen hielten.

Schließlich habe ich mich noch mit der Erfassung der Videokameras von Privatpersonen in der Umgebung des G7-Gipfels durch die Polizei befasst; nähere Einzelheiten hierzu siehe Nr. 3.5.2.

3.3. Polizeiliche Kontrolle von Schmuckankaufstellen

Die Kontrolle seiner An- und Verkaufsbelege hat einen Schmuckhändler dazu veranlasst, mich um die Überprüfung der polizeilichen Vorgehensweise zu bitten. Aus seiner Sicht würden er sowie seine Kundinnen und Kunden dabei unter einen Generalverdacht gestellt. Die Polizei argumentierte hingegen, die Kontrollen dienten unter anderem der Bekämpfung der Eigentumskriminalität. Die Auswahl der in solche Kontrollmaßnahmen einbezogenen Geschäfte ergebe sich anlassbezogen, beispielsweise nach Erkenntnissen aus Ermittlungsverfahren, aus Auswertungen der täglichen Kriminalitätslageberichte oder nach Hinweisen aus der Bevölkerung. Zudem erfolgten die Recherchen grundsätzlich mit Zustimmung der jeweiligen Geschäftsleitung. Eine Datenerhebung gegen deren Willen erfolge nicht.

In der Gesamtbetrachtung halte ich die Auffassung der Polizei, die Aufforderung zur Übergabe von Geschäftsbüchern und Belegen zur Einsichtnahme an die Polizei könne auf Art. 31 Abs. 1 Nr. 1 Polizeiaufgabengesetz (PAG) gestützt werden, für vertretbar. Die Bestimmung erlaubt es der Polizei, personenbezogene Daten über Verantwortliche, Nichtverantwortliche und über "andere Personen" zu erheben, wenn dies zur Gefahrenabwehr - insbesondere zur vorbeugenden Bekämpfung von Straftaten - "erforderlich" ist und die Art. 11 bis 48 PAG die Befugnisse der Polizei nicht besonders regeln. Laut Vollzugsbekanntmachung zu Art. 31 Abs. 1 PAG ist eine in diesem Sinne vorgenommene Datenerhebung möglich, "auch wenn nicht oder noch nicht von dem Vorliegen einer im Einzelfall bestehenden (konkreten) Gefahr ausgegangen werden kann."

Gerade die von der Polizei vorgelegten Fallzahlen und Kontrolltreffer konnten mich davon überzeugen, dass es sich bei den Kontrollen um ein effektives Mittel zur Gefahrenabwehr und zur Verfolgung von Straftaten (Eigentumsdelikte) handelt. Denn immer wieder werden durch diese Überprüfungen rechtmäßige Eigentümerinnen und Eigentümer abhandengekommener Wertgegenstände vor dem endgültigen Verlust der Sachen bewahrt. Gleichwohl habe ich das betroffene Polizeipräsidium darauf aufmerksam gemacht, dass, wenn eine Datenerhebung auf freiwilliger Basis erfolgt, nach Art. 30 Abs. 4 PAG auf die Freiwilligkeit der Auskunft hinzuweisen ist.

3.4. Polizeiliche Beobachtung

Als ein Pkw-Besitzer von der Fahndungsausschreibung seines Fahrzeugs erfuhr, ersuchte er mich um Rat. Auf meine Nachfrage hin erläuterte das ausschreibende Polizeipräsidium den Fall. Hintergrund der Fahndungsausschreibung war die Nutzung des Wagens durch den Sohn des Halters, der sich mutmaßlich in einem extremistischen Umfeld bewegte. Die Polizei wollte mehr über seine Kontakte zu der Szene, aber auch über Treffpunkte sowie Veranstaltungsörtlichkeiten in Erfahrung bringen. Nach polizeilicher Einschätzung lagen in dem Fall die erforderlichen Voraussetzungen für eine polizeilichen Beobachtung im Sinne des Art. 36 Abs. 1 Polizeiaufgabengesetz (PAG) jedoch nicht vor.

Art. 36 PAG Polizeiliche Beobachtung

(1) Die Polizei kann personenbezogene Daten, insbesondere die Personalien einer Person sowie das amtliche Kennzeichen des von ihr benutzten Kraftfahrzeugs, zur polizeilichen Beobachtung ausschreiben, wenn

  1. die Gesamtwürdigung der Person und ihrer bisher begangenen Straftaten erwarten lassen, daß sie auch künftig Straftaten von erheblicher Bedeutung begehen wird oder
  2. Tatsachen die Annahme rechtfertigen, daß die Person Straftaten von erheblicher Bedeutung begehen wird,

und die polizeiliche Beobachtung zur vorbeugenden Bekämpfung dieser Straftaten erforderlich ist.

(2) Im Fall eines Antreffens der Person oder des Kraftfahrzeugs können Erkenntnisse über das Antreffen sowie über Kontakt- und Begleitpersonen und mitgeführte Sachen an die ausschreibende Polizeidienststelle übermittelt werden.

(3) 1Die Ausschreibung zur polizeilichen Beobachtung darf nur durch eine in Art. 33 Abs. 5 Sätze 1 und 2 genannte Stelle angeordnet werden.2Die Anordnung ist auf höchstens ein Jahr zu befristen.3Zur Verlängerung der Laufzeit bedarf es einer neuen Anordnung.

(4) Liegen die Voraussetzungen für die Anordnung nicht mehr vor, ist der Zweck der Maßnahme erreicht oder zeigt sich, daß er nicht erreicht werden kann, ist die Ausschreibung zur polizeilichen Beobachtung unverzüglich zu löschen.

(5) 1Von Maßnahmen nach Abs. 1 sind

  1. die Personen zu unterrichten, gegen die die Maßnahme gerichtet war, sowie
  2. diejenigen, deren personenbezogene Daten gemeldet worden sind.

2Die Unterrichtung erfolgt, sobald dies ohne Gefährdung des Zwecks der Maßnahme oder der eingesetzten nicht offen ermittelnden Beamten geschehen kann.3Ist wegen desselben Sachverhalts ein strafrechtliches Ermittlungsverfahren gegen den Betroffenen eingeleitet worden, ist die Unterrichtung in Abstimmung mit der Staatsanwaltschaft nachzuholen, sobald dies der Stand der Ermittlungen zulässt.4Erfolgt die Benachrichtigung nicht binnen zwölf Monaten nach Beendigung der Maßnahme, bedarf die weitere Zurückstellung der richterlichen Zustimmung.5 Art. 34 Abs. 6 Sätze 4 und 5 gelten entsprechend.6Die gerichtliche Zuständigkeit und das Verfahren richten sich im Fall des Satzes 3 nach den Regeln der Strafprozessordnung, im Übrigen ist für die richterliche Entscheidung Art. 24 Abs. 1 Satz 3 entsprechend anzuwenden; zuständig ist das Amtsgericht, in dessen Bezirk die ausschreibende Polizeidienststelle ihren Sitz hat.

Gleichwohl entschloss die Polizei sich, das Fahrzeug mit dem Zusatz, die Daten der Insassen bei einer Kontrolle an die zuständige Kriminalpolizeiinspektion zu senden, zur Fahndung auszuschreiben. Als Rechtsgrundlage hierfür zog sie die polizeiliche Generalklausel zur Datenerhebung, Art. 31 Abs. 1 PAG, heran.

Art. 31 PAG Datenerhebung

(1) Die Polizei kann personenbezogene Daten über die in Art. 7, 8 und 10 genannten Personen und über andere Personen erheben, wenn dies erforderlich ist

  1. zur Gefahrenabwehr, insbesondere zur vorbeugenden Bekämpfung von Straftaten (Art. 2 Abs. 1),
  2. zum Schutz privater Rechte (Art. 2 Abs. 2),
  3. zur Vollzugshilfe (Art. 2 Abs. 3) oder
  4. zur Erfüllung ihr durch andere Rechtsvorschriften übertragener Aufgaben (Art. 2 Abs. 4)

und die Art. 11 bis 48 die Befugnisse der Polizei nicht besonders regeln.

Betrachtet man die getroffene Maßnahme und deren Zielrichtung, ging es im vorliegenden Fall gerade um die Sammlung von Erkenntnissen (etwa durch Kontrollmitteilungen), die von der ausschreibenden Dienststelle ausgewertet und zu einem punktuellen Bewegungsbild des Fahrzeugnutzers zusammengefasst werden sollten. Auch Zusammenhänge und Querverbindungen zwischen dem Fahrzeugnutzer und anderen Personen wollte man dabei erkennen. Entsprechend der Vollzugsbekanntmachung zu Art. 36 PAG verfolgt die Maßnahme der polizeilichen Beobachtung eben diese Zielrichtung, polizeiliche Zufallserkenntnisse über das Antreffen einer Person zusammenzutragen. Dabei kann die Polizei auch, wie im vorliegenden Fall, ein genutztes Fahrzeug im Fahndungssystem ausschreiben. Nachdem der Rahmen für diese Maßnahmen in Art. 36 PAG jedoch speziell geregelt ist, kommt ein Rückgriff auf Art. 31 Abs. 1 PAG nicht in Betracht.

Dies habe ich dem betroffenen Polizeipräsidium mitgeteilt. Es bestätigte mir, dass die auf dieser Grundlage getroffenen Ausschreibungen inzwischen gelöscht und die Betroffenen im Sinne des Art. 36 PAG über die Maßnahme unterrichtet wurden.

3.5. Einsatz von Videotechnik

3.5.1. Videoüberwachung durch Zugriff auf Kameras der Verkehrsbetriebe

Ein wiederkehrendes Thema in meinen Tätigkeitsberichten ist die präventive Videoüberwachung durch die Polizei. Ob an Kriminalitätsschwerpunkten oder bei Sport- und Großveranstaltungen, den Rechtsrahmen für solche Maßnahmen bietet in erster Linie Art. 32 Polizeiaufgabengesetz. Dabei ist es zunächst nachrangig, wem die Kamera gehört, mit der die Polizei ihre Videoüberwachung betreibt. Handelt die Polizei als die speichernde Stelle im Sinne des Art. 4 Abs. 9 BayDSG, obliegt ihr ohnehin die datenschutzrechtliche Verantwortung der Maßnahme. Aber auch bei einer Mischnutzung der Anlage muss die Polizei für einen datenschutzkonformen Umgang und für die fristgerechte Löschung ihrer Aufzeichnungen sorgen. Unter Umständen kommt der Polizei dann auch die systemtechnische und organisatorische Verantwortung für die gesamte Anlage zu. Schon bei meiner Überprüfung der polizeilichen Videoüberwachung in Fußballstadien habe ich darauf hingewirkt, eine klare Regelungslage der Nutzungs- und Überlassungsstruktur sowie der Rahmenbedingungen für den Umgang mit den Bilddaten zu schaffen. In diesem Berichtszeitraum trug ich wesentlich dazu bei, dass die Mitbenutzung einzelner Videokameras der Verkehrsbetriebe durch die Polizei neu gestaltet wurde. Die Verträge zwischen dem zuständigen Polizeipräsidium und den städtischen Verkehrsbetrieben enthalten nun alle erforderlichen technischen und organisatorischen Regelungen für den datenschutzkonformen Betrieb des Systems.

3.5.2. Erhebung der Daten nichtpolizeilicher Videokameras anlässlich des G7-Gipfels

Polizei sammelt Daten von Überwachungskameras - so und ähnlich berichteten lokale und überregionale Medien im Vorfeld des G7-Gipfels. Laut Berichterstattung sammelten Kriminalbeamtinnen und -beamte die Daten von Geschäftsleuten in Garmisch-Partenkirchen, die eine eigene Videoüberwachung betrieben. Gerüchte kamen auf, die Polizei habe Geschäftsleute aufgefordert, Kamerabereiche extra so auszurichten, dass Teile des öffentlichen Raumes mitgefilmt werden. Teilweise wurde sogar vermutet, die Polizei wolle auf diese privaten Kameras online zugreifen.

Wie sich bei meiner Überprüfung hingegen herausstellte, war die Polizei im Vorfeld des Großeinsatzes bemüht, ihre sogenannte "Objektdatenbank" auf den aktuellen Stand zu bringen. In solchen polizeilichen Dateien können gemäß Art. 31 Abs. 2 Polizeiaufgabengesetz neben Daten über die betreffenden Objekte selbst auch Daten zu den Personen und deren Erreichbarkeit aufgenommen werden, die für gefährdete Einrichtungen verantwortlich sind. Vor dem Hintergrund der teilweise erheblichen Ausschreitungen bei ähnlichen Veranstaltungen in der Vergangenheit wurde von der Polizei vorübergehend diese Gefährdungseinschätzung für Gewerbebetriebe im Umfeld der Veranstaltung beziehungsweise der geplanten Versammlungsorte weiter gefasst. Die Begründung der Polizei hierfür erschien mir nachvollziehbar.

Im Fall von Ausschreitungen oder gar Anschlägen hätten so Verantwortliche und Ansprechpartner schneller erreicht und gegebenenfalls Fahndungsmaßnahmen durch Auswertung der privaten Videoaufzeichnungen zügiger eingeleitet werden können. Jedoch habe ich die Polizei frühzeitig darauf hingewiesen, dass - soweit die Betroffenen nicht ohnehin bereits förmlich in ihre Speicherung eingewilligt haben - die Datensätze nach dem G7-Gipfel wieder gelöscht werden müssen. Nach Angabe der Polizei ist dies bereits geschehen.

3.6. Speicherungen in polizeilichen Dateien

Die Polizei unterhält zur Erfüllung ihrer gesetzlichen Aufgaben eine Vielzahl unterschiedlicher Dateien. Von überregionaler Bedeutung ist hierbei das Informationssystem Polizei (INPOL). INPOL ist eine polizeiliche Datenbank, die für Bundes- und Länderpolizeien kriminalpolizeiliche Daten bereithält. Wichtiger Bestandteil von INPOL ist der sogenannte Kriminalaktennachweis (KAN), der Angaben zu erkennungsdienstlichen Behandlungen, Haftdaten, Strafanzeigen und Beschreibungen auffällig gewordener Personen enthält. Ebenso wichtig für die alltägliche Arbeit der Polizei ist das Integrationsverfahren der Bayerischen Polizei (IGVP), welches vor allem der Vorgangsverwaltung beim jeweiligen Polizeiverband dient. Darin sind wesentliche Vorgänge dokumentiert, die bei der polizeilichen Arbeit anfallen. Aufgrund der datenschutzrechtlichen Bedeutung polizeilicher Speicherungen beschäftige ich mich regelmäßig mit diesem Themenbereich.

3.6.1. Prüfung der Speicherungsvoraussetzung "polizeilicher Restverdacht" - grundlegende Folgerungen aus meiner Prüfung

Im letzten Tätigkeitsbericht habe ich über die Ergebnisse meiner Prüfung der Speicherung in polizeilichen Dateien trotz Verfahrenseinstellung und der Speicherungsvoraussetzung "polizeilicher Restverdacht" berichtet (siehe 26. Tätigkeitsbericht 2014 unter Nrn. 3.5.3 und 5.3.5). Dort habe ich auch die geltende Rechtslage zur Speicherung personenbezogener Daten nach Art. 38 Abs. 2 Polizeiaufgabengesetz (PAG) dargestellt.

Aus den damaligen Prüfungsergebnissen haben sich für mich, losgelöst von den geprüften Einzelfällen, grundlegende Schlussfolgerungen und Forderungen ergeben. Damit habe ich mich an das Staatsministerium des Innern, für Bau und Verkehr gewandt:

Zunächst habe ich die Regelungslage in den einschlägigen Verwaltungsvorschriften der Polizei kritisiert. Die Verwaltungsvorschriften können so verstanden werden, dass nur in denjenigen Fällen eine Einzelfallprüfung der Fortdauer einer Speicherung durchzuführen wäre, in denen die Staatsanwaltschaft das Verfahren nach § 170 Abs. 2 Strafprozessordnung (StPO) einstellt, weil sich herausstellt, dass Beschuldigte unschuldig sind oder kein begründeter Verdacht mehr gegen sie besteht. In den übrigen Fällen der Einstellung, insbesondere im Regelfall des § 170 Abs. 2 StPO, bei dem schlicht mangels Tatnachweises eingestellt wird, wäre danach eine Einzelfallprüfung hingegen nicht durchzuführen. Dies entspricht jedoch nicht der aktuellen Rechtslage. Eine Einzelfallprüfung der Polizei zur weiteren Speicherung (Bewertung zum Vorliegen eines Restverdachts und zusätzlich Bewertung zur Erforderlichkeit der weiteren Speicherung) ist grundsätzlich in allen Fällen der Einstellung nach § 170 Abs. 2 StPO durchzuführen. Auf eine Einzelfallprüfung zum Restverdacht kann die Polizei allenfalls verzichten, soweit die Einstellung bereits eine ausdrückliche Feststellung zum weiteren Bestehen eines Restverdachts enthält. Eine Einzelfallprüfung und damit eine eigene Bewertung hat die Polizei hingegen zu unterlassen, wenn die Staatsanwaltschaft in ihrer Einstellung ausdrücklich feststellt, dass der Tatverdacht vollständig entfallen ist (etwa weil keine Straftat vorliegt, der oder die Beschuldigte die Tat nicht oder nicht rechtswidrig begangen hat); von dieser Bewertung der Staatsanwaltschaft darf die Polizei nicht von sich aus abweichen. Nichts anderes kann im Übrigen für den Fall eines Freispruchs gelten. Auch der Bayerische Verwaltungsgerichtshof (BayVGH) hat dementsprechend entschieden, dass die Daten im Fall der Feststellung der Staatsanwaltschaft oder des Gerichts über ein vollständiges Entfallen des Verdachts zu löschen sind (Art. 38 Abs. 2 Satz 2 PAG). Eine eigenständige Prüfung der Polizei zum Restverdacht hält der Bayerische Verwaltungsgerichtshof nur in denjenigen Fällen für erforderlich, in welchen bei Einstellung gemäß § 170 Abs. 2 StPO, bei Ablehnung der Eröffnung des Hauptverfahrens oder bei rechtskräftigem Freispruch keine derartige Feststellung der Staatsanwaltschaft oder des Gerichts zum Restverdacht erfolgt (BayVGH vom 1. August 2012 - 10 ZB 11.2438, Rn. 3). Ich habe daher gefordert, die betreffenden Verwaltungsvorschriften der Rechtslage anzupassen. Das Staatsministerium des Innern, für Bau und Verkehr ist dem gefolgt und hat die Verwaltungsvorschrift entsprechend überarbeitet.

Zudem habe ich eine allgemeine Nachfragepflicht der Polizei bei der Staatsanwaltschaft über den Verfahrensausgang nach entsprechenden Zeitabläufen gefordert. Eine solche Nachfragepflicht der Polizei kann verhindern, dass Speicherungen, die aufgrund des abschließenden Ergebnisses des Strafverfahrens unzulässig werden, nur deshalb in den polizeilichen Dateien unverändert weitergespeichert werden, weil die vorgeschriebene Ausgangsmitteilung der Staatsanwaltschaft nicht bei der Polizei eingegangen ist und der Polizei Abschluss und Ausgang des Verfahrens daher noch nicht bekannt sind. Bezüglich dieses Punktes wurde mir eine Prüfung der Umsetzbarkeit zugesagt.

Besonders erfreulich ist des Weiteren, dass mir in Aussicht gestellt wurde, meine Forderung zu prüfen, in den polizeilichen Dateien wie INPOL/KAN und IGVP auch den Ausgang des jeweiligen Strafverfahrens einzutragen (soweit nach Abschluss des Verfahrens von der Zulässigkeit der fortdauernden Speicherung ausgegangen wird). Dies ist derzeit in den Vorschriften der Polizei nicht vorgesehen und wird auch nicht durchgeführt. Für eine sinnvolle und korrekte Nutzung der einzelnen präventiven Speicherungen kann jedoch gerade die Kenntnis auch des Verfahrensausgangs zur jeweiligen Speicherung von erheblicher Bedeutung sein. Schließlich macht es bei der Nutzung der Dateien für alle Betroffenen einen erheblichen Unterschied, ob ein Ermittlungsverfahren bei verbleibendem Restverdacht eingestellt wurde oder ob das Verfahren sogar mit einer rechtskräftigen Verurteilung endete. Eine Datei, die personenbezogene Daten aus strafrechtlichen Ermittlungen speichert, jedoch den Ausgang dieser Ermittlungen nicht in der Datei vermerkt, besitzt nur sehr eingeschränkte Aussagekraft.

Wichtig ist mir ferner, dass die Entscheidung, ob ein Restverdacht besteht, nachvollziehbar zu dokumentieren ist. Auch diesbezüglich wurde mir eine Umsetzung zugesagt.

Insgesamt gestützt werde ich in meiner Haltung von der Richtlinie über den Datenschutz der Strafjustiz (RLDSJ, Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI). Diese sieht in Art. 4 Abs. 1 Buchst. d) vor, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen.

3.6.2. Bundesweite Speicherung polizeilicher Daten in PIAV

Wie in meinem 26. Tätigkeitsbericht 2014 erwähnt, planen die Polizeien der Länder und des Bundes seit geraumer Zeit, mit dem neuen Polizeilichen Informations- und Analyseverbund (PIAV) Personen-, Fall- und Sachdaten aus der Kriminalitätsbekämpfung in einem neuen präventiven Dateisystem zusammenzufassen. Seit Bekanntwerden dieser Absicht habe ich mich auf Bundes- und Landesebene für eine datenschutzkonforme Entwicklung des PIAV-Systems eingesetzt. Nicht zuletzt sehe ich in der Neustrukturierung - beispielsweise der bisherigen INPOL-Falldateien - aber auch eine günstige Gelegenheit, schon länger gebotene Nachbesserungen beim Umgang mit personenbezogenen Daten in bundesweiten polizeilichen Verbundsystemen vorzunehmen. Ganz wesentlich scheint dabei, den Betroffenenkreis für solche Speicherungen einzugrenzen.

In der Praxis sieht das übergreifende PIAV-Konzept vor, je Deliktsbereich eine eigene Datei einzurichten, für die jeweils auch eine eigene Errichtungsanordnung zu erstellen ist. Die Bereitstellung der Daten aus den Bundesländern wird dann über sogenannte Quelldateien gewährleistet. In Bayern stellt das Fallbearbeitungssystem EASy mit seinen verschiedenen delikts- beziehungsweise phänomenologisch strukturierten Arbeitsdateien die Basis für die Datenübertragung in das bundesweite Verbundsystem dar. Dementsprechend ist es vorgesehen, die PIAV-Quelldateien in Bayern deckungsgleich zu den PIAV-Zentraldateien beim Bundeskriminalamt aufzugliedern.

Mittlerweile konnte ich mit dem Staatsministerium des Innern, für Bau und Verkehr und mit dem in Dateiangelegenheiten federführendem Landeskriminalamt übereinkommen, bei der Neukonzeption der Quelldateien ein besonderes Augenmerk darauf zu legen, dass bei der Datenspeicherung nicht nur die Bestimmungen des Landesrechts, sondern auch die einschlägigen Vorschriften des Bundeskriminalamtsgesetzes (BKAG) beachtet werden. Dies umfasst insbesondere die in § 8 BKAG vorgegebene negative Prognoseentscheidung, die entsprechend nachvollziehbar dokumentiert werden muss.

§ 8 BKAG Dateien der Zentralstelle

(1) Das Bundeskriminalamt kann zur Erfüllung seiner Aufgaben nach § 2 Abs. 1 bis 3

  1. die Personendaten von Beschuldigten und, soweit erforderlich, andere zur Identifizierung geeignete Merkmale,
  2. die kriminalaktenführende Polizeidienststelle und die Kriminalaktennummer,
  3. die Tatzeiten und Tatorte und
  4. die Tatvorwürfe durch Angabe der gesetzlichen Vorschriften und die nähere Bezeichnung der Straftaten

in Dateien speichern, verändern und nutzen.

(2) Weitere personenbezogene Daten von Beschuldigten und personenbezogene Daten von Personen, die einer Straftat verdächtig sind, kann das Bundeskriminalamt nur speichern, verändern und nutzen, soweit dies erforderlich ist, weil wegen der Art oder Ausführung der Tat, der Persönlichkeit des Betroffenen oder sonstiger Erkenntnisse Grund zu der Annahme besteht, daß Strafverfahren gegen den Beschuldigten oder Tatverdächtigen zu führen sind.

(3) Wird der Beschuldigte rechtskräftig freigesprochen, die Eröffnung des Hauptverfahrens gegen ihn unanfechtbar abgelehnt oder das Verfahren nicht nur vorläufig eingestellt, so ist die Speicherung, Veränderung und Nutzung unzulässig, wenn sich aus den Gründen der Entscheidung ergibt, daß der Betroffene die Tat nicht oder nicht rechtswidrig begangen hat.

(4) Personenbezogene Daten solcher Personen, die bei einer künftigen Strafverfolgung als Zeugen in Betracht kommen oder bei denen Anhaltspunkte bestehen, daß sie Opfer einer künftigen Straftat werden könnten, sowie von Kontakt- und Begleitpersonen der in Absatz 2 bezeichneten Personen, Hinweisgebern und sonstigen Auskunftspersonen können nur gespeichert, verändert und genutzt werden, soweit dies zur Verhütung oder zur Vorsorge für die künftige Verfolgung einer Straftat mit erheblicher Bedeutung erforderlich ist. Die Speicherung nach Satz 1 ist zu beschränken auf die in Absatz 1 Nr. 1 und 2 bezeichneten Daten sowie auf die Angabe, in welcher Eigenschaft der Person und in Bezug auf welchen Sachverhalt die Speicherung der Daten erfolgt. Personenbezogene Daten über Zeugen, mögliche Opfer, Hinweisgeber und sonstige Auskunftspersonen nach Satz 1 dürfen nur mit Einwilligung des Betroffenen gespeichert werden. Die Einwilligung ist nicht erforderlich, wenn das Bekanntwerden der Speicherungsabsicht den mit der Speicherung verfolgten Zweck gefährden würde.

(5) Personenbezogene Daten sonstiger Personen kann das Bundeskriminalamt in Dateien speichern, verändern und nutzen, soweit dies erforderlich ist, weil bestimmte Tatsachen die Annahme rechtfertigen, daß die Betroffenen Straftaten von erheblicher Bedeutung begehen werden.

(6) Das Bundeskriminalamt kann zur Erfüllung seiner Aufgaben nach § 2 Abs. 4 personenbezogene Daten, die bei der Durchführung erkennungsdienstlicher Maßnahmen erhoben worden sind, in Dateien speichern, verändern und nutzen, wenn eine andere Rechtsvorschrift dies erlaubt oder dies erforderlich ist,

  1. weil bei Beschuldigten und Personen, die einer Straftat verdächtig sind, wegen der Art oder Ausführung der Tat, der Persönlichkeit des Betroffenen oder sonstiger Erkenntnisse Grund zu der Annahme besteht, daß gegen ihn Strafverfahren zu führen sind, oder
  2. zur Abwehr erheblicher Gefahren.

Absatz 3 gilt entsprechend.

Des Weiteren dürfen aus den PIAV-Quelldateien nur Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung zur Übertragung in den PIAV-Verbund freigegeben werden. Zu beachten ist dabei, dass die PIAV-Relevanz eines Vorganges nicht mit den rechtlichen Voraussetzungen einer Speicherung, insbesondere der oben genannten Negativprognose, gleichgesetzt werden darf.

3.6.3. Speicherung von Lichtbildern

Im vorangegangenen Tätigkeitsbericht habe ich mich ausführlich mit den rechtlichen Hürden bei der Erhebung und Speicherung erkennungsdienstlicher Daten (ED-Daten) befasst. Gewöhnlich erfolgt die Speicherung dieser ED-Daten bei der Bayerischen Polizei in einem Verfahren mit der Bezeichnung Erkennungsdienst Digital (ED-DI). Von dort werden die ED-Daten dann in das INPOL-System übertragen und stehen im Grunde jeder Polizeibeamtin und jedem Polizeibeamten zum Abruf zur Verfügung.

Mit der fortwährenden Entwicklung des Fallbearbeitungssystem EASy eröffnet sich zunehmend die Möglichkeit, Bilder von Betroffenen als Dateianhänge auch in sonstigen polizeilichen Dateien (etwa in PIAV-Quelldateien) recherchierbar vorzuhalten. Aus datenschutzrechtlicher Sicht bedürfen diese Bildspeicherungen einer näheren Betrachtung.

Erfolgen Zuordnungen oder Verknüpfungen der Bilddaten mit sonstigen Personendaten in einer präventiv ausgerichteten Datei, ist dies durchaus mit der allgemeinen Bereithaltung von erkennungsdienstlichen Unterlagen vergleichbar. Die dann zu beachtenden rechtlichen Voraussetzungen sind dabei nicht an ein bestimmtes Dateisystem gebunden. Ob die Voraussetzungen für die Speicherung solcher (erkennungsdienstlicher) Daten gegeben sind, richtet sich nach denselben Kriterien wie die Entscheidung, ob eine erkennungsdienstliche Behandlung angeordnet werden darf.

In meinen Vorbereitungsgesprächen auf Landes- und Bundesebene zum polizeilichen Informations- und Analyseverbund PIAV löste diese Auslegung zunächst Diskussionen aus. Gleichwohl habe ich inzwischen mit dem Landeskriminalamt vereinbart, dass zukünftig bei der Erfassung von Lichtbildern in bayerischen Quelldateien zu PIAV grundsätzlich die rechtlichen Voraussetzungen für eine erkennungsdienstliche Behandlung vorliegen müssen. Dies ist in den entsprechenden Errichtungsanordnungen ausdrücklich vorzusehen.

3.6.4. Löschung von IGVP-Speicherungen

"Keine Volltextsuche in Dateien der Sicherheitsbehörden" war die Überschrift einer Entschließung der 80. Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Jahr 2010 in Freiburg. Diese Forderung habe ich in der Folge gegenüber dem Staatsministerium des Innern, für Bau und Verkehr immer wieder hervorgehoben, insbesondere als es um die Realisierung der Freitextsuche im Integrationsverfahren der Bayerischen Polizei (IGVP) ging (siehe 24. Tätigkeitsbericht 2010 unter Nr. 3.5.2 und 26. Tätigkeitsbericht 2014 unter Nr. 3.5.2). Meine konkrete Befürchtung war, die Einhaltung von Prüfungs- und Löschungsterminen für die suchfähige Speicherung personenbezogener Daten in Dateien könne möglicherweise ausgehebelt werden, da diese Löschvorgaben regelmäßig nur bezüglich festgelegter Datenfelder greifen.

Aus diesem Grund ist es wichtig, auf die Nennung von Namen im Freitextfeld "Kurzsachverhalt" zu verzichten und nur auf die dafür vorgesehenen Datenfelder zu verweisen. Dies wird nach meiner Erfahrung zwar weitgehend beachtet, aber eben nur weitgehend. Auch in diesem Berichtszeitraum wurde ich wieder auf Speicherungen von Klarnamen in IGVP-Kurzsachverhalten aufmerksam. In einem Fall hatte das betreffende Polizeipräsidium gegenüber der betroffenen Person sogar schon die Löschung der Daten schriftlich bestätigt. Trotzdem blieben der Name der Person und weitere Daten im Kurzsachverhalt gespeichert. Von einer tatsächlich vollzogenen Datenlöschung konnte insoweit nicht gesprochen werden. Auf meinen Einwand hin löschte die Polizei die Namensdaten aus dem Kurzsachverhalt umgehend.

3.6.5. Speicherungen im Kriminalaktennachweis trotz fehlenden Restverdachts - Einzelfälle

Grundsätzlich ist es der Polizei nach Art. 38 Abs. 2 Polizeiaufgabengesetz (PAG) erlaubt, personenbezogene Daten auch nach Abschluss eines Strafverfahrens zu speichern soweit dies zur Gefahrenabwehr erforderlich ist. Selbst wenn die Staatsanwaltschaft ein Verfahren einstellt oder ein gerichtlicher Freispruch ergeht, kann die Polizei die erhobenen personenbezogenen Daten weiterhin speichern. Voraussetzung hierfür ist, dass ein Tatverdacht von ausreichender Substanz verbleibt und nicht auszuschließen ist, dass die Datenspeicherung künftig bei der vorbeugenden Straftatenbekämpfung von Nutzen sein könnte (sogenannter Restverdacht). Der für eine weitere Speicherung erforderliche polizeiliche Restverdacht ist von dem hinreichenden Tatverdacht im Sinne der Strafprozessordnung zu unterscheiden. Die Einstellung eines Verfahrens für sich alleine beseitigt den Tatverdacht grundsätzlich nicht. Es gelten für die polizeilichen Dateien im Sinne des Art. 38 PAG im Hinblick auf die Speicherung und Löschung damit andere Voraussetzungen als etwa für die Ermittlungsakten der Staatsanwaltschaft oder Eintragungen im Bundeszentralregister (siehe zu den Voraussetzungen der Restverdachtsspeicherung auch ausführlich 26. Tätigkeitsbericht 2014 unter Nr. 3.5.3; siehe zu meinen grundlegenden Forderungen in diesem Zusammenhang Nr. 3.6.1).

Auch in diesem Berichtszeitraum konnte ich bei meinen Überprüfungen Fälle feststellen, in denen die Polizei im Kriminalaktennachweis Daten von Personen gespeichert hatte, obwohl kein polizeilicher Restverdacht bestand.

So kam beispielsweise in einem Fall der zuständige Polizeiverband aufgrund der von mir angestoßenen Überprüfung selbst zu dem Ergebnis, dass für insgesamt vier Eintragungen zu einer Person keine Notwendigkeit für eine weitere Speicherung dieser Daten im Kriminalaktennachweis bestand. Bei einer weiteren Speicherung war zudem der Ausgang des zugrundeliegenden Verfahrens nicht bekannt. Da eine Beurteilung des Restverdachts somit nicht möglich und nicht begründbar war, mussten auch diese Daten gelöscht werden.

In einem anderen Fall etwa musste ich eine Speicherung wegen Nötigung im Kriminalaktennachweis feststellen, obwohl die zuständige Staatsanwaltschaft der Polizei bereits im Vorfeld ihre Zweifel an der Strafbarkeit des Handelns der Petentin mitgeteilt hatte. Auch in diesem Fall veranlasste der zuständige Polizeiverband im Rahmen der von mir angestoßenen Überprüfung die Löschung dieser Speicherung.

3.6.6. Reduzierte Dauer bei der Speicherung von Erstkonsumenten "weicher" Drogen

Über die vergangenen Jahre hinweg erreichten mich immer wieder Eingaben von Betroffenen, die als Jugendliche (14 bis 18 Jahre) oder Heranwachsende (18 bis 21 Jahre) wegen eines einmaligen Erwerbs oder Besitzes von Marihuana im Bagatellbereich langfristig im Kriminalaktennachweis der Polizei gespeichert wurden.

Soweit sich in diesen Fällen der Tatverdacht als solcher nicht ausreichend belegen lässt, muss die Polizei die Speicherung im Kriminalaktennachweis sofort löschen.

Aber auch bei nachweisbaren Verstößen empfinde ich die Anwendung der ungekürzten Regelspeicherfrist in diesen Fällen oftmals als zu einschneidend. Das Polizeiaufgabengesetz sieht bei Erwachsenen immerhin eine Regelspeicherungsdauer von zehn Jahren vor. Dabei schildern mir die Betroffenen oft, welche Auswirkungen solche Speicherungen bei Polizeikontrollen noch über Jahre hinweg hervorrufen. Vor diesem Hintergrund habe ich mich wiederholt dafür eingesetzt, bei jugendlichen und heranwachsenden Ersttäterinnen und -tätern, die lediglich eine geringe Menge "weicher" Drogen wie Marihuana für ihren Eigenkonsum erwerben oder besitzen, eine reduzierte Speicherfrist anzusetzen.

Im vergangenen Jahr ist nun ein Polizeipräsidium dieser Bitte gefolgt und hat meine Anregung aufgenommen. Bei jugendlichen und heranwachsenden Ersttäterinnen und -tätern im Zusammenhang mit dem Erwerb und Besitz von sogenannten "weichen" Drogen wird dort nun die Regelspeicherfrist für Speicherungen im Kriminalaktennachweis grundsätzlich auf zwei Jahre reduziert. Ich begrüße diese Entwicklung ausdrücklich und werde mich in den kommenden Jahren dafür einsetzen, dass auch die anderen Polizeipräsidien eine ähnliche Verfahrensweise übernehmen.

3.6.7. Speicherungen in der Falldatei Rauschgift (FDR)

Seit der Einführung der bundesweiten Falldatei Rauschgift (FDR) vor über 30 Jahren entbrennt regelmäßig zwischen Polizei und Datenschutzbehörden eine Diskussion um den zulässigen Umfang des Personenkreises, der in diese Datei aufgenommen werden darf.

Unterschiedliche Meinungen bestehen immer wieder bei der Frage, ob die Polizei zur umfassenden Rauschgift-Lagedarstellung auch Fälle in die FDR aufnehmen darf, die gerade keine erhebliche, länderübergreifende oder internationale Bedeutung haben. Betroffen sind beispielsweise die Daten von erstauffälligen Beschuldigten, die mit einer geringen Menge sogenannter "weicher" Drogen - teilweise auch lediglich für den Eigenkonsum - aufgegriffen werden.

Bereits vor einigen Jahren hatte sich das Bundeskriminalamt nach längeren Verhandlungen der Rechtsauffassung der Datenschutzbeauftragten des Bundes und der Länder angeschlossen und in die Errichtungsanordnung für die Datei ausdrücklich die Einschränkung auf Taten mit erheblicher, länderübergreifender oder internationaler Bedeutung eingefügt. Anders als in Arbeits- und Ermittlungsdateien, die unter Umständen auch noch unbestätigte Ermittlungserkenntnisse enthalten können, dürfen in die FDR zudem nur sogenannte "gesicherte" Daten einfließen. Die Datengrundlage der FDR soll hierdurch den beteiligten Behörden die Erstellung von belastbaren Statistiken und Analysen ermöglichen, in Einzelfällen aber auch den Rückgriff auf täterbezogene Auskünfte im Bereich der Betäubungsmittelkriminalität erlauben.

Wie sich nun bei einer gemeinsamen Prüfung der Bundes- und der Landesbeauftragten für den Datenschutz zeigte, gelangen trotz der oben genannten Vorgaben und der erfolgten Klarstellung in der Errichtungsanordnung weiterhin Sachverhalte in die Datei, die den festgelegten Kriterien nicht entsprechen. So konnte ich bei der Durchsicht der ausgewählten Prüffälle zahlreiche Speicherungen entdecken, bei denen sich kein ausreichender Tatverdacht belegen lässt oder die eben gerade keinen erheblichen, länderübergreifenden oder internationalen Bezug haben. Die fraglichen Fälle wurden nach Auskunft der Polizei inzwischen gelöscht.

Von Beginn an positiv stellte sich bei meiner Prüfung die konstruktive Zusammenarbeit mit dem Landeskriminalamt dar. Auch wenn dort, nach der bisherigen Interpretation der Errichtungsanordnung, zur Erstellung eines umfassenden und überregionalen Rauschgiftlagebildes sämtliche Rauschgiftmeldungen der Polizeipräsidien in der FDR erfasst wurden, wird diese Verfahrensweise durch das Landeskriminalamt nunmehr neu bewertet.

Mit der Einführung des "Polizeilichen Informations- und Analyseverbundes (PIAV)" sowie der damit einhergehenden Umstellung des kriminalpolizeilichen Meldedienstes Rauschgift scheint eine Erfassung von Personendaten unter einer festgelegten Relevanzschwelle nicht mehr erforderlich. Derzeit erarbeitet eine Bund-Länder-Arbeitsgruppe unter Mitwirkung Bayerns entsprechende Regelungen. Wie mir das Landeskriminalamt dazu versicherte, ist die Umsetzung der datenschutzrechtlichen Vorgaben ein wesentliches Ziel dieser Arbeitsgruppe.

Im Rahmen der 92. Konferenz haben sich die Datenschutzbeauftragten des Bundes und der Länder am 9./10. November 2016 mit dieser Thematik befasst und gemeinsam folgende Entschließung verabschiedet:

Entschließung der 92. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 10.11.2016

Gemeinsame Prüfung der Falldatei Rauschgift deckt gravierende Mängel auf Konsequenzen für polizeiliche Datenverarbeitung notwendig

Die Datenschutzbeauftragten des Bundes und der Länder Baden-Württemberg, Bayern, Berlin, Brandenburg, Bremen, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen-Anhalt, Schleswig-Holstein und Thüringen haben parallel die bundesweit geführte "Falldatei Rauschgift" (FDR) datenschutzrechtlich geprüft.

Die FDR ist eine bundesweite Verbunddatei, in der Informationen über sichergestellte Drogen und Verstöße gegen das Betäubungsmittelgesetz gespeichert werden. Sie wird auf Grundlage des Bundeskriminalamtgesetzes (BKAG) zentral beim Bundeskriminalamt geführt. Die Polizeien aller Länder und die Zollfahndung haben Zugriff auf die Datei und können direkt Daten einspeichern und abrufen. Die Datenschutzbeauftragten haben im Rahmen ihrer Kontrollen sowohl die Struktur der Datei als auch Einzelspeicherungen überprüft.

Die Prüfung hat im Wesentlichen folgende Mängel aufgedeckt:

  • Vielfach haben die Behörden nicht ausreichend geprüft, ob die Voraussetzungen des § 2 BKAG (Straftat von länderübergreifender oder erheblicher Bedeutung) und des § 8 Abs. 2 BKAG (Negativprognose) vorliegen.
  • Verbreitet fehlt es an einer nachvollziehbaren Dokumentation des Vorliegens der gesetzlichen Speicherungsvoraussetzungen.
  • Dementsprechend fanden sich in der bundesweit abrufbaren Datei vielfach Speicherungen, die dem Bereich der Bagatellkriminalität zuzuordnen sind. Auch wurden Personen gespeichert, bei denen kein hinreichender polizeilicher Restverdacht festzustellen war.
  • Das Ergebnis des jeweiligen Strafverfahrens war bei vielen Einträgen nicht berücksichtigt - entweder aufgrund organisatorischer Mängel oder weil die nach § 482 Absatz 2 Strafprozessordnung (StPO) notwendige Mitteilung der Staatsanwaltschaft unterblieb.

Die Ergebnisse machen deutlich:

  1. Es ist wichtig, die konkrete Zwecksetzung jeder Datei in einer Errichtungsanordnung festzulegen. Die Voraussetzungen, wann welche Daten für den jeweiligen Zweck erforderlich sind und welcher Personenkreis erfasst werden darf, müssen genau definiert werden.
  2. Bagatellfälle in Verbunddateien zu speichern, ist auch im Hinblick auf die bundesweite Abrufbarkeit der Daten unverhältnismäßig.
  3. In der Praxis ist sicherzustellen, dass in Verbunddateien alle Speichervoraussetzungen, vor allem die Negativprognose, durchgehend und gründlich bezogen auf den jeweiligen Einzelfall dokumentiert werden.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) fordert, nicht nur in der Falldatei Rauschgift die Mängel zu beheben. Vielmehr fordert sie die Einhaltung der grundlegenden Standards für jedwede Speicherung in Verbunddateien der Polizei. Erst recht ist dies erforderlich vor dem Einsatz der neuen Datei zur Betäubungsmittelkriminalität im Polizeilichen Informations- und Analyseverbund (PIAV), die voraussichtlich im kommenden Jahr die FDR ablösen wird. Die Daten aus der FDR dürfen nicht pauschal übernommen werden.

3.6.8. Prüfung erkennungsdienstlicher Maßnahmen

Einen besonderen Stellenwert bei meinen datenschutzrechtlichen Überprüfungen nehmen immer wieder die erkennungsdienstlichen Maßnahmen der Polizei ein. Auch in diesem Berichtszeitraum konnte ich bei meinen Überprüfungen erkennungsdienstliche Maßnahmen feststellen, die nicht den erforderlichen Vorgaben entsprachen und die daher gelöscht werden mussten. Zu den Voraussetzungen im Allgemeinen darf ich auf meine zurückliegenden Tätigkeitsberichte verweisen (siehe 25. Tätigkeitsbericht 2012 unter Nr. 3.5.5 sowie 26. Tätigkeitsbericht 2014 unter Nr. 3.5.4). Im Folgenden schildere ich zwei Beispielsfälle aus meiner Prüfpraxis:

In einem Fall behandelte die Polizei eine Person erkennungsdienstlich, nachdem sie in einem Supermarkt Süßigkeiten im Wert von 7,76 Euro gestohlen hatte. Zwar war sie bereits wenige Monate zuvor in eine wechselseitige Körperverletzung verwickelt. Bei diesem Sachverhalt konnte aber bis zuletzt nicht nachvollzogen werden, wer die Auseinandersetzung tatsächlich begonnen hatte. In der Gesamtbetrachtung folgte das zuständige Polizeipräsidium dann auch ohne Widerspruch meiner Auffassung, dass in diesem Fall eine erkennungsdienstliche Behandlung zur künftigen Aufklärung von Straftaten nicht erforderlich war.

Bei einem weiteren Fall war nach Auffassung der Staatsanwaltschaft schon der Straftatbestand als solcher entfallen. In der Einstellungsverfügung kam sie daher zu dem Ergebnis, dass keine Bedrohung stattgefunden habe. Auch andere Straftatbestände sah die Staatsanwaltschaft als nicht erfüllt an. Das zuständige Polizeipräsidium veranlasste daher nach meinem Einwand die Löschung der erkennungsdienstlichen Unterlagen sowie der Speicherung im Kriminalaktennachweis.

3.7. Anfertigen einer Personalausweiskopie durch die Polizei

Eine Petentin wandte sich an mich, nachdem ihr Personalausweis von einem Ladendetektiv und der Polizei kopiert worden war. Sie teilte mir mit, dass sie eines Ladendiebstahls verdächtigt worden sei und sich daraufhin mit ihrem Personalausweis habe ausweisen müssen. Zusätzlich seien jedoch auch noch Kopien von ihrem Ausweis gefertigt worden.

Ich habe der Petentin die strengen Maßstäbe, die für die Anfertigung von Personalausweiskopien gelten, dargelegt. Die Rechtslage stellt sich hierzu folgendermaßen dar: Nach dem Personalausweisgesetz (PAuswG) ist insbesondere zu prüfen, ob nicht bereits die Vorlage des Ausweises an sich und gegebenenfalls die Anfertigung eines entsprechenden Vermerks über die Personalien ausreichend ist. Die Erforderlichkeit der Ausweiskopie wird - abgesehen von gesetzlichen Sonderregelungen wie etwa § 64 Abs. 1 Nr. 2 Fahrerlaubnis-Verordnung oder § 8 Abs. 1 Satz 3 Geldwäschegesetz - bei einer Identifizierung unter Anwesenden in der Regel nicht vorliegen. Auch wenn die Notwendigkeit der Vervielfältigung gegeben sein sollte, ist weiter insbesondere darauf zu achten, dass dem Betroffenen ermöglicht wird, diejenigen Daten zu schwärzen, die nicht zur Identifizierung benötigt werden. Letzteres gilt insbesondere für die Zugangs- und Seriennummer des Personalausweises. Zudem sind die Kopien regelmäßig unverzüglich zu vernichten, sobald der mit der Kopie verfolgte Zweck der Identitätsfeststellung erreicht ist (siehe zum Anfertigen von Personalausweiskopien auch 26. Tätigkeitsbericht 2014 unter Nrn. 2.1.5 und 3.7).

Die Petentin hatte bereits vor ihrer Eingabe die betreffende Polizeiinspektion um Vernichtung der Ausweiskopie gebeten. Noch ehe ich mich in dieser Angelegenheit an das zuständige Polizeipräsidium wenden konnte, informierte mich die Petentin darüber, dass ihre Ausweiskopie von der Polizei zwischenzeitlich vernichtet worden sei. Zudem habe ihr der stellvertretende Polizeiinspektionsleiter mitgeteilt, dass er den Supermarkt zur Herausgabe der dort verbliebenen weiteren Ausweiskopie aufgefordert habe.

Positiv hervorzuheben ist in diesem Fall, dass die Polizei von sich aus gegenüber der Petentin den Fehler umgehend eingeräumt und beseitigt hat.

3.8. Datenübermittlungen

3.8.1. Weitergabe von Zeugendaten bei einem Verkehrsunfall

Kurze Zeit nachdem ein Bürger sich als Zeuge eines Verkehrsunfalles, an dem er nicht beteiligt war, der Polizei zur Verfügung gestellt hatte, bekam er auf seinem Handy einen Anruf des Unfallverursachers. An die Telefonnummer war der Unfallverursacher über eine von der Polizei ausgefüllte Personalienaustauschkarte gelangt, die auch die Daten und die Telefonnummer des Zeugen enthielt. Wenig begeistert über die Weitergabe seiner privaten Handynummer, bat mich der Zeuge um eine datenschutzrechtliche Abklärung des Sachverhalts. Ich habe mich daher an das betreffende Polizeipräsidium gewandt und mir zu der Verfahrensweise in diesem Fall berichten lassen.

Grundsätzlich erachte ich es als zulässig, wenn die Polizei als Serviceleistung den Personalienaustausch nach einem Verkehrsunfall unterstützt und dabei die Daten der Unfallbeteiligten untereinander weitergibt. Sie unterstützt dabei letztlich nur die rechtliche Verpflichtung der Unfallbeteiligten, selbst nach § 34 Straßenverkehrsordnung anderen am Unfallort anwesenden Beteiligten und Geschädigten gegenüber den eigenen Namen und die eigene Anschrift anzugeben (siehe auch § 142 Strafgesetzbuch). Insoweit wird sich gegen die Befugnis der polizeilichen Datenübermittlung nach Art. 41 Abs. 2 Nr. 1 Polizeiaufgabengesetz im Regelfall auch kein schutzwürdiges Interesse eines Unfallbeteiligten am Ausschluss der Übermittlung seiner Daten herleiten lassen. Zu beachten ist jedoch, dass sich dieser Personenkreis in der Regel auf die Unfallbeteiligten beschränkt. Folgt man der Definition aus § 142 Strafgesetzbuch, so ist Unfallbeteiligter jeder, dessen Verhalten nach den Umständen zur Verursachung des Unfalls beigetragen haben kann. Ein Zeuge kann zu diesem Personenkreis zunächst nicht zugerechnet werden.

Im oben genannten Fall hat das betreffende Polizeipräsidium dann auch festgestellt, dass die Polizeistreife vor der Weitergabe der Zeugendaten zunächst dessen Einverständnis hätte einholen müssen. Im vorliegenden Fall unterblieb dies. Die Polizei nahm den Vorfall daher zum Anlass, die Personalienaustauschkarte, die sie in solchen Fällen verwendet, zu ergänzen und darin auf die entsprechenden datenschutzrechtlichen Vorgaben hinzuweisen. Die Änderung wird derzeit noch mit den anderen Polizeiverbänden und dem Staatsministerium des Innern, für Bau und Verkehr abgestimmt. Zu Redaktionsschluss lag mir noch kein Entwurf für die angepasste Personalienaustauschkarte vor.

3.8.2. Datenübermittlungen an Fahrerlaubnisbehörden

Um den Fahrerlaubnisbehörden die Überprüfung hinsichtlich der Nichteignung oder Nichtbefähigung zum Führen von Kraftfahrzeugen zu ermöglichen, hat die Polizei den Fahrerlaubnisbehörden ihr bekannt gewordene Informationen über Tatsachen zu übermitteln, die auf nicht nur vorübergehende Mängel hinsichtlich der Eignung oder auf Mängel hinsichtlich der Befähigung einer Person zum Führen von Kraftfahrzeugen schließen lassen. Diese Verpflichtung findet ihre gesetzliche Grundlage in § 2 Abs. 12 Satz 1 Straßenverkehrsgesetz (StVG).

§ 2 StVG Fahrerlaubnis und Führerschein

(12) Die Polizei hat Informationen über Tatsachen, die auf nicht nur vorübergehende Mängel hinsichtlich der Eignung oder auf Mängel hinsichtlich der Befähigung einer Person zum Führen von Kraftfahrzeugen schließen lassen, den Fahrerlaubnisbehörden zu übermitteln, soweit dies für die Überprüfung der Eignung oder Befähigung aus der Sicht der übermittelnden Stelle erforderlich ist. Soweit die mitgeteilten Informationen für die Beurteilung der Eignung oder Befähigung nicht erforderlich sind, sind die Unterlagen unverzüglich zu vernichten.

Meine datenschutzrechtliche Prüfung polizeilicher Mitteilungen an Fahrerlaubnisbehörden ergab keine Hinweise auf wesentliche datenschutzrechtliche Verstöße der Polizei. Die geprüften Behörden orientierten sich regelmäßig an einem - im Grundsatz die Rechtslage zutreffend würdigenden - Rundschreiben des Innenministeriums (IMS) aus dem Jahr 2001. Gleichwohl nutzte ich die Gelegenheit, beim Staatsministerium des Innern, für Bau und Verkehr eine Aktualisierung dieses Rundschreibens anzustoßen. Hierbei konnte ich erfreulicherweise einige datenschutzrechtliche Verbesserungen erreichen: So wurde etwa eine Empfehlung aufgenommen, in Zweifelsfällen vor einer Datenübermittlung den Sachverhalt zunächst in anonymisierter Form mit der Fahrerlaubnisbehörde zu klären. Auch wird künftig darauf hingewiesen, dass die gelegentliche Einnahme von Cannabis alleine noch nicht die Annahme von Eignungszweifeln rechtfertigt, sondern noch weitere Umstände (zum Beispiel kein Trennen zwischen Konsum und Fahren) hinzukommen müssen. Ähnliches gilt bei Straftaten, die im Zusammenhang mit dem Straßenverkehr und der Kraftfahreignung stehen. Auch diesbezüglich wird nunmehr klargestellt, dass in jedem Einzelfall zu prüfen ist, ob Tatsachen vorliegen, die den Verdacht auf einen Mangel im Sinne von § 2 Abs. 12 StVG rechtfertigen.

Hinsichtlich der Speicherung der von der Polizei übermittelten Daten bei den Fahrerlaubnisbehörden darf ich auf Nr. 13.7 verweisen.

3.8.3. Prüfung des Gemeinsamen Terrorismusabwehrzentrums (GTAZ)

Im Rahmen einer datenschutzrechtlichen Prüfung des Gemeinsamen Terrorismusabwehrzentrums (GTAZ) habe ich unter anderem die Datenübermittlungen der meiner Kontrollkompetenz unterliegenden bayerischen Behörden - dies sind das Landeskriminalamt und das Landesamt für Verfassungsschutz - näher untersucht.

Hintergründe zum GTAZ sowie das Ergebnis meiner Prüfung sind unter Nr. 4.4.1 zu finden.

3.9. Ermittlungen in sozialen Netzwerken

Für polizeiliche Ermittlungen in sozialen Netzwerken hat das Staatsministerium des Innern, für Bau und Verkehr einen Leitfaden für die Polizeibehörden entwickelt. Zu diesem Leitfaden habe ich im Berichtszeitraum wiederholt kritisch Stellung bezogen. Das Innenministerium hat einige meiner Hinweise aufgegriffen und diverse Ausführungen im Leitfaden ergänzt beziehungsweise präzisiert.

Eine sehr grundrechtssensible Form der Ermittlung in sozialen Netzwerken ist die verdeckte polizeiliche Kommunikation im nicht-öffentlichen Bereich, also in geschlossenen Benutzergruppen. Dabei nimmt die Polizei heimlich, etwa unter Verwendung eines Ermittlungsaccounts, an der Kommunikation innerhalb einer Gruppe teil, die die Erteilung einer Zugangsberechtigung, die Bestätigung einer Freundschaftsanfrage oder ähnliches voraussetzt. Hier konnte ich mich mit meiner Forderung nicht durchsetzen, diesen heimlichen Eingriff aufgrund seiner Intensität in jedem Fall den Regelungen über den Einsatz eines verdeckten Ermittlers (§ 110a Strafprozessordnung beziehungsweise Art. 33 Polizeiaufgabengesetz) zu unterstellen statt in gewissen Fallgestaltungen lediglich die gesetzlichen Ermittlungsgeneralklauseln als Rechtsgrundlage ausreichen zu lassen. Die Anwendung der Vorschriften über verdeckte Ermittler hätte den Vorteil, dass besondere grundrechtssichernde Verfahrensregelungen, wie etwa die nachträgliche Benachrichtigungspflicht der Betroffenen, gelten.

3.10. Auskunftsersuchen

3.10.1. Rücksendung von Ausweiskopien

Im 26. Tätigkeitsbericht 2014 unter Nr. 3.7 habe ich mich mit dem Thema "Ausweiskopien zum Identitätsnachweis bei Auskunftsersuchen" befasst. In diesem Berichtszeitraum hat sich nun ein Bürger an mich gewandt und hinterfragt, was bei der Polizei mit seiner Ausweiskopie, die er als Identitätsnachweis an die Polizei senden sollte, geschehe. Er erhielt von dem betroffenen Polizeipräsidium die Antwort, dass seine Ausweiskopie dort aufbewahrt und frühestens nach fünf Jahren vernichtet werde.

An der Zweckmäßigkeit einer so langen Aufbewahrung habe ich große Zweifel und teilte dies der Behörde mit. Wie bereits in meinem letzten Tätigkeitsbericht erläutert, halte ich die Einforderung einer Ausweiskopie zum Zwecke der Identitätsfeststellung zwar nicht grundsätzlich für unzulässig. Ihre längere Aufbewahrung ist jedoch nicht notwendig. Schließlich muss die Behörde auch darauf achten, dass ihre Verfahrensweise nicht als Hemmnis für einen Auskunftsantrag gesehen wird. Eine überlange Aufbewahrung der Ausweiskopie könnte von vielen Auskunftssuchenden sicherlich negativ aufgefasst werden. Ich habe daher das Polizeipräsidium gebeten, seine diesbezügliche Verfahrensweise zu überdenken und anzupassen.

Mit dem Ergebnis bin ich sehr zufrieden. So sollen bei dem Polizeipräsidium zukünftig Ausweiskopien, die für einen Identitätsnachweis übersandt werden, mit den Auskunftsschreiben an die Betroffenen zurückgesandt werden. Ausweiskopien, die aus zurückliegenden Anträgen noch vorliegen, wurden zudem bereits vernichtet. Diese Regelung scheint insgesamt eine sinnvolle und datenschutzfreundliche Ergänzung zu dem bislang bereits praktizierten Verfahren.

3.10.2. Bearbeitungsdauer von Auskunfts- und Löschanträgen

Regelmäßig wenden sich Bürgerinnen und Bürger an mich, da ihnen die Bearbeitungsdauer ihrer Auskunfts- und Löschungsanträge zu lange erscheint. Dies habe ich zum Anlass genommen, die Verfahrenspraxis des Landeskriminalamts hinsichtlich der Bearbeitungsdauer von Auskunfts- und Löschungsanträgen von Amts wegen datenschutzrechtlich zu überprüfen.

Im Ergebnis konnte ich feststellen, dass die Polizei bereits unterschiedliche strukturelle und organisatorische Maßnahmen ergriffen beziehungsweise angeregt hat, um die Bearbeitungsdauer von Auskunfts- und Löschungsanträgen zu verbessern. Dies kann ich aus datenschutzrechtlicher Sicht nur begrüßen. Ob diese Maßnahmen tatsächlich zu einer Verbesserung führen, wird die weitere Entwicklung zeigen.

Gleichwohl habe ich dem Landeskriminalamt mitgeteilt, dass die Bearbeitung sowohl von Auskunfts- als auch von Löschungsanträgen in der Regel nicht länger als drei Monate dauern darf. Maßgeblich hierfür ist zum einen die allgemeine Entscheidung des Gesetzgebers, nach drei Monaten grundsätzlich den Weg für eine Untätigkeitsklage zu öffnen (siehe § 75 Verwaltungsgerichtsordnung). Zum anderen sieht die Richtlinie über den Datenschutz der Strafjustiz (RL 2016/680/EU) im Speziellen vor, dass derartige Anträge grundsätzlich unverzüglich zu beantworten sind (siehe Erwägungsgrund 40 RL 2016/680/EU).