Sie sind hier: > Start > Tätigkeitsberichte > 25. TB 2012 > 4. Verfassungsschutz
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 23.01.2013
4. Verfassungsschutz
Auch in diesem Berichtszeitraum habe ich sowohl anlassunabhängig, als auch aufgrund von Eingaben, beim Landesamt für Verfassungsschutz datenschutzrechtliche Prüfungen vorgenommen. Insbesondere habe ich mich dabei mit dem Dokumentenmanagementsystem, der Auskunftserteilungspraxis sowie mit Speicherungen im Zusammenhang mit Demonstrationen gegen das Versammlungsgesetz beschäftigt.
4.1. Allgemeines
Mit einer Entschließung forderte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29.09.2011 eine unabhängige Prüfung der Antiterrorgesetze in Deutschland. Insbesondere seien die Auswirkungen der bestehenden Sicherheitsgesetze - gerade in ihrem Zusammenwirken - durch eine unabhängige wissenschaftliche Evaluierung zu untersuchen. Die Wirksamkeit der Regelungen, ihre Erforderlichkeit für den gesetzgeberischen Zweck und ihre Angemessenheit, insbesondere im Hinblick auf die Bedrohungslage sowie die Auswirkungen für die Betroffenen sollten vor einer weiteren Befristung kritisch überprüft werden.
Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29.09.2011
Antiterrorgesetze zehn Jahre nach 9/11 - Überwachung ohne Überblick
In der Folge der Anschläge vom 11.09.2001 wurden der Polizei, den Strafverfolgungsbehörden und den Nachrichtendiensten zahlreiche neue Befugnisse eingeräumt, die sich durch eine große Streubreite auszeichnen und in die Grundrechte zahlreicher Bürgerinnen und Bürger eingreifen. Zunehmend werden Menschen erfasst, die nicht im Verdacht stehen, eine Straftat begangen zu haben oder von denen keine konkrete Gefahr ausgeht. Unbescholtene geraten so verstärkt in das Visier der Behörden und müssen zum Teil weitergehende Maßnahmen erdulden. Wer sich im Umfeld von Verdächtigen bewegt, kann bereits erfasst sein, ohne von einem Terrorhintergrund oder Verdacht zu wissen oder in entsprechende Aktivitäten einbezogen zu sein.
Zunehmend werden Daten, z.B. über Flugpassagiere und Finanztransaktionen, in das Ausland übermittelt, ohne dass hinreichend geklärt ist, was mit diesen Daten anschließend geschieht (vgl. dazu Entschließung der 67. Konferenz vom 25./26.03.2004 "Übermittlung von Flugpassagierdaten an die US-Behörden"; Entschließung der 78. Konferenz vom 08./09.10.2009 "Kein Ausverkauf von europäischen Finanzdaten an die USA!").
Das Bundesverfassungsgericht hat in seinem Urteil zur Vorratsdatenspeicherung von Telekommunikationsdaten vom 02.03.2010 (1 BvR 256/08) klargestellt: Es gehört zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland, dass die Freiheitswahrnehmung der Bürgerinnen und Bürger nicht total erfasst und registriert werden darf. Die Verfassung fordert vielmehr ein austariertes System, bei dem jeder Eingriff in die Freiheitsrechte einer strikten Prüfung seiner Verhältnismäßigkeit standhält.
Von einem austarierten System der Eingriffsbefugnisse kann schon deshalb keine Rede sein, weil die Wechselwirkungen zwischen den verschiedenen Eingriffsinstrumentarien nie systematisch untersucht worden sind. Bundesregierung und Gesetzgeber haben bislang keine empirisch fundierten Aussagen vorgelegt, zu welchem Überwachungs-Gesamtergebnis die verschiedenen Befugnisse in ihrem Zusammenwirken führen. Die bislang nur in einem Eckpunktepapier angekündigte Regierungskommission zur Überprüfung der Sicherheitsgesetze ersetzt die erforderliche unabhängige wissenschaftliche Evaluation nicht.
Viele zunächst unter Zeitdruck erlassene Antiterrorgesetze waren befristet worden, um sie durch eine unabhängige Evaluation auf den Prüfstand stellen zu können. Eine derartige umfassende, unabhängige Evaluation hat jedoch nicht stattgefunden. Dies hat die Bundesregierung nicht davon abgehalten, gleichwohl einen Entwurf für die Verlängerung und Erweiterung eines der Antiterrorpakete in den Gesetzgebungsprozess einzubringen (BT-Drs. 17/6925).
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert daher erneut, die Auswirkungen der bestehenden Sicherheitsgesetze - gerade in ihrem Zusammenwirken - durch eine unabhängige wissenschaftliche Evaluierung (so bereits die Entschließung der 79. Konferenz vom 17./18.03.2010 "Für eine umfassende wissenschaftliche Evaluierung im Sicherheitsbereich") zu untersuchen. Die Wirksamkeit der Regelungen, ihre Erforderlichkeit für den gesetzgeberischen Zweck und ihre Angemessenheit, insbesondere im Hinblick auf die Bedrohungslage sowie die Auswirkungen für die Betroffenen müssen vor einer weiteren Befristung endlich kritisch überprüft werden.
Im Rahmen einer Änderung des Bundesverfassungsschutzgesetzes kam die Überlegung auf, auch den Landesverfassungsschutzbehörden eine Kontostammdatenabfrage beim Bundeszentralamt für Steuern zu ermöglichen. Ich habe gegenüber dem Bayerischen Staatsministerium des Innern darauf hingewiesen, dass ich es aus datenschutzrechtlicher Sicht ablehne, dem Bayerischen Landesamt für Verfassungsschutz eine solche Befugnis einzuräumen. Die Möglichkeit des Abrufs von Kontostammdaten wurde in den letzten Jahren kontinuierlich ausgebaut, so dass sich mittlerweile Finanz-, Strafverfolgungs- und Sozialbehörden Kenntnis über das Bestehen von Konten und Depots verschaffen können. Wird diese Möglichkeit nun auch noch den Verfassungsschutzbehörden der Länder eingeräumt, so stellt dies eine datenschutzrechtlich problematische Ausweitung der Zwecke dar, zu denen die Kontostammdaten ursprünglich vorrätig gehalten wurden. Auch bestätigen sich damit Befürchtungen, dass die Einführung neuer Dateien Begehrlichkeiten weckt und der Kreis der Zugriffsberechtigten im Lauf der Zeit regelmäßig erweitert wird. Die Ermittlungen über Kontostammdaten können Maßnahmen vorbereiten, die ohne die erlangten Kenntnisse nicht ohne weiteres möglich sind und die die Belange der Betroffenen erheblich berühren. Kontenabrufe können damit Grundrechtseingriffe von großem Gewicht nach sich ziehen. Dies gilt umso mehr, wenn es sich um Ermittlungen durch Nachrichtendienste handelt, die sich typischerweise weit im Vorfeld des Verdachts kriminellen Handelns bewegen. Insbesondere das Argument, ein Abruf der Kontostammdaten wäre der mildere Eingriff gegenüber der Ermittlung der kontoführenden Kreditinstitute mit nachrichtendienstlichen Mitteln, verfängt in diesem Zusammenhang nicht. Entscheidend ist hier aus meiner Sicht, dass die rechtstaatlichen Sicherungen beim Einsatz dieser Maßnahme nicht in der erforderlichen Weise geregelt sind. Die angedachte Ergänzung des Bundesverfassungsschutzgesetzes wurde im Ergebnis nicht verabschiedet.
4.2. Neues Dokumentenmanagementsystem beim LfV
Mit Einführung des neuen Dokumentenmanagementsystems DMS steuert das Landesamt für Verfassungsschutz nun auf eine überwiegend "papierlose" Sach- und Vorgangsbearbeitung zu. Dem neuen Dateisystem obliegt dabei nunmehr nicht nur die recherchierbare Ablage von Dokumenten, sondern insbesondere auch die gesamte papierlose elektronische Vorgangsbearbeitung. Aus datenschutzrechtlicher Sicht bedingt dies beispielsweise, dass innerhalb der generierten Arbeitsabläufe, Vorgangsverknüpfungen oder durch Bearbeitungsvermerke - neben den "eigentlichen Dokumenten" und den dazu erfassten Metadaten - eine Vielzahl weiterer Speicherungen innerhalb des Verfahrens entstehen. Das Landesamt für Verfassungsschutz hat mir bereits frühzeitig den Entwurf einer Errichtungsanordnung für das Verfahren zugeleitet, zu dem ich aus dem vorgenannten Grund eine ganze Reihe von Veränderungsvorschlägen angemerkt habe.
Insbesondere muss in einem so umfassenden System, das Daten sowohl für die Fachaufgabenerfüllung des Verfassungsschutzes als auch zur reinen Vorgangsverwaltung vereint, hinsichtlich des jeweiligen Speicherungszwecks eine deutliche Trennung in den angewandten Überprüfungs- und Speicherungsfristen gewährleisten sein. Bei Dokumenten, die nach den gesetzlichen Vorschriften zur Aufgabenerfüllung des Verfassungsschutzes im Informationssystem für die Beschaffung und Auswertung (IBA) oder im Nachrichtendienstlichen Informationssystem (NADIS) gespeichert werden können, muss sich die zulässige Frist grundsätzlich an den dort vorgegebenen Fristen orientieren.
Für die Löschung der Daten, die ausschließlich im Rahmen der Vorgangsverwaltung und Vorgangsbearbeitung gespeichert werden, sind hingegen kürzere und den jeweiligen Umständen angepasste Fristen festzulegen. Bei meiner Vorortprüfung im Landesamt für Verfassungsschutz konnte ich bei mehreren Speicherungen feststellen, dass von Seiten des Systems teilweise eine Speicherdauer von 99 Jahren automatisch festgelegt war. Auch wenn neben der festgelegten Speicherdauer beispielsweise Wiedervorlagefristen zu einer früheren bzw. rechtzeitigen Löschung der Vorgänge beitragen können, halte ich diese systemseitige Frist aus datenschutzrechtlicher Sicht für problematisch. Ändert bzw. verkürzt der Sachbearbeiter diese im Rahmen der Wiedervorlage nicht, erfolgt auch keine frühere Löschung. Ich habe daher das Landesamt für Verfassungsschutz aufgefordert - ähnlich der Regelungen für die polizeiliche Vorgangsverwaltung - je nach Vorgangsrelevanz abgestufte Speicherfristen für "Verwaltungsvorgänge" festzulegen und gleichzeitig auch entsprechende technische Vorkehrungen zu treffen, welche die Festsetzung dieser Fristen gewährleisten. Eine nähere Erörterung meiner Prüfungsfeststellungen mit dem Landesamt für Verfassungsschutz steht noch aus.
Neben dieser Thematik werde ich mich bei dem neuen System weiterhin auch für die Realisierung einer technischen Protokollierungsdatei einsetzen, die eine tatsächliche datenschutzrechtliche Kontrolle erlaubt. Auch hierzu dauern meine Gespräche mit dem Landesamt für Verfassungsschutz noch an.
4.3. Speicherungen von Versammlungsteilnehmern
Für meine Prüfung von Personenspeicherungen beim Landesamt für Verfassungsschutz habe ich diesmal das Thema Versammlungsteilnehmer ausgewählt. Zunächst lies ich mir eine Liste aller Veranstaltungen eines bestimmten Zeitraumes und Themenbereiches vorlegen, zu denen beim Landesamt für Verfassungsschutz Personendaten gespeichert sind. Aus dieser Aufstellung habe ich mehrere Veranstaltungen für meine Prüfung ausgewählt. Die Speicherungen wurden dann stichprobenartig vor Ort hinsichtlich ihrer Plausibilität und der rechtlichen Zulässigkeit geprüft. Bei allen geprüften Personenspeicherungen konnten den Dateien hinreichend konkrete Anhaltspunkte entnommen werden, die eine Speicherung im Sinne des BayVSG und der darauf aufbauenden Arbeitsanweisung für die Speicherung und Löschung personenbezogener Daten zur Extremismusbeobachtung zulässig erscheinen lassen. Alle geprüften Speicherungen waren jeweils mit mehreren Dokumenten hinterlegt, aufgrund derer die Einschätzung des Verfassungsschutzes über die Betroffenen als Funktionäre, informelle Führer oder Aktivisten einer extremistischen oder extremistisch beeinflussten Gruppenbestrebung plausibel erschienen. Neben der Kontrolle der Speicherungsvoraussetzungen konnte ich mich hierbei auch davon überzeugen, dass in diesen Prüffällen auch die jeweils festgesetzten Speicherungs- bzw. Wiedervorlagefristen entsprechend der vorgegebenen Arbeitsanweisungen korrekt vergeben waren. Offensichtliche Speicherungsfehler konnte ich dabei nicht erkennen.
4.4. Überprüfung einzelner Auskunftserteilungen
Wie schon anlässlich früherer Prüfungen habe ich auch diesmal Auskunftserteilungen des Landesamtes für Verfassungsschutz auf deren Vollständigkeit überprüft. Soweit trotz dargelegtem besonderen Auskunftsinteresses den Betroffenen keine Auskunft erteilt wurde, habe ich auch geprüft, ob ein hinreichender Unterlassungsgrund im Sinne des Art. 11 Abs. 3 BayVSG vorgelegen hat.
Hierbei fiel mir auf, dass Speicherungen im neuen Dokumentenmanagementsystem des Landesamtes für Verfassungsschutz, die nicht der Fachaufgabenerfüllung im Sinne des Art. 3 BayVSG, sondern reinen Verwaltungsangelegenheiten zuzurechnen sind, in den Auskunftsschreiben nicht erwähnt waren. Nicht in die Auskunft aufgenommen wurden beispielsweise allgemeine Anfragen der Betroffenen an das Landesamt oder Anforderungen von Verfassungsschutzberichten und die zugehörigen Antworten. Ergänzend zu meinen Ausführungen unter dem Thema "neues Dokumentenmanagementsystem", in dem ich für solche Speicherungen möglichst kurze Löschungsfristen fordere, erachte ich aus datenschutzrechtlicher Sicht auch für solche Speicherungen einen Auskunftsanspruch des Betroffenen als gegeben. Art. 11 Abs. 1 BayVSG unterscheidet in der dort festgelegten Auskunftsverpflichtung - bei ausreichend dargelegtem besonderen Interesse - nicht zwischen personenbezogenen Daten, die der Erfüllung der Aufgaben des LfV dienen und sonstigen Vorgängen, in denen personenbezogene Daten der Antragsteller gespeichert sind. Mein diesbezüglicher Dialog mit dem Landesamt für Verfassungsschutz ist noch nicht abgeschlossen.
Art 11 BayVSG Auskunftserteilung
(1) 1Das Landesamt für Verfassungsschutz erteilt dem Betroffenen auf Antrag kostenfrei Auskunft über die zu seiner Person in Dateien oder Akten gespeicherten Daten. 2Die Auskunftsverpflichtung besteht nur, soweit der Betroffene ein besonderes Interesse an einer Auskunft darlegt. 3Sie erstreckt sich nicht auf die Herkunft der Daten und die Empfänger von Übermittlungen. 4Das Landesamt für Verfassungsschutz bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen.
(2) Soweit eine Person einer Sicherheitsüberprüfung nach Art. 3 Abs. 2 unterzogen wird oder zu einer Person Auskunft nach Art. 3 Abs. 3 Nr. 1 erteilt wird, hat diese Person abweichend von Absatz 1 einen Anspruch auf Auskunft über die Daten des Landesamts für Verfassungsschutz, die es im Rahmen der Erfüllung dieser Aufgaben übermittelt hat.
(3) Die Auskunftserteilung unterbleibt, soweit
- eine Gefährdung der Erfüllung der Aufgaben nach Art. 3 durch die Auskunftserteilung zu besorgen ist,
- durch die Auskunftserteilung nachrichtendienstliche Zugänge gefährdet sein können oder die Ausforschung des Erkenntnisstandes oder der Arbeitsweise des Landesamts für Verfassungsschutz zu befürchten ist,
- die Auskunft die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder
- die Information oder die Tatsache der Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheimgehalten werden muss.
(4) 1Die Ablehnung der Auskunftserteilung bedarf keiner Begründung. 2Wird die Auskunftserteilung abgelehnt, ist der Betroffene auf die Rechtsgrundlage für das Fehlen der Begründung und darauf hinzuweisen, dass er sich hinsichtlich der Verarbeitung personenbezogener Daten an den Landesbeauftragten für den Datenschutz wenden kann. 3Dem Landesbeauftragten für den Datenschutz ist auf sein Verlangen Auskunft zu erteilen, soweit nicht das Staatsministerium des Innern im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. 4Mitteilungen des Landesbeauftragten an den Betroffenen dürfen keine Rückschlüsse auf den Kenntnisstand des Landesamts für Verfassungsschutz zulassen, sofern dieses nicht einer weitergehenden Auskunft zustimmt.