≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 34. TB 2024 > 2. Polizei, Justiz, Verfassungsschutz

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2024

2. Polizei, Justiz, Verfassungsschutz

2.1. Änderung des Polizeiaufgabengesetzes

Am 1. August 2024 trat das Gesetz zur Änderung des Polizeiaufgabengesetzes und weiterer Rechtsvorschriften in Kraft.

Bereits im November 2023 hatte mich das Bayerische Staatsministerium des Innern, für Sport und Integration über einen entsprechenden Gesetzentwurf unterrichtet.

Neben weiteren Änderungen sollte zum einen die Entscheidung des Bundesverfassungsgerichts vom 9. Dezember 2022, 1 BvR 1345/21, zum Gesetz über die öffentliche Sicherheit und Ordnung in Mecklenburg-Vorpommern, welche indirekt auch Auswirkungen auf mehrere Vorschriften im Polizeiaufgabengesetz hatte, umgesetzt werden. Zum anderen sollte vor allem eine Rechtsgrundlage für die zukünftige Nutzung einer verfahrensübergreifenden Recherche- und Analyseplattform zum regelbasierten und formatübergreifenden Abgleich sowie zur Zusammenführung polizeiinterner Daten (VeRA) unter Berücksichtigung der Entscheidung des Bundesverfassungsgerichts vom 16. Februar 2023, 1 BvR 15/19 und 1 BvR 2634/20, geschaffen werden. Der geplanten Einführung einer Rechtsgrundlage für VeRA ging ein längerer Austausch zwischen dem Innenministerium und mir voraus, den ich ausführlich in meinem 32. Tätigkeitsbericht 2022 unter Nr. 3.1 dargestellt habe.

Im Rahmen des Gesetzgebungsverfahrens hatte ich Gelegenheit, mich zu den geplanten Änderungen des Polizeiaufgabengesetzes zu äußern. Meine ausführliche datenschutzrechtliche Bewertung des Gesetzesvorhabens habe ich veröffentlicht. Daher gehe ich im Folgenden nur auf einige Aspekte ein, die mir als besonders wichtig erscheinen.

Eine meiner zentralen Forderungen im Gesetzgebungsverfahren betraf die Rechtsgrundlage für VeRA (Art. 61a PAG). Unter anderem wies ich diesbezüglich darauf hin, dass ich das spezifische Eingriffsgewicht der nach Art. 61a Abs. 1 PAG sowie vor allem auch in Art. 61a Abs. 2 PAG formulierten Befugnisse zur Datenanalyse oder -auswertung durch VeRA gemäß den vom Bundesverfassungsgericht in seiner Entscheidung vom 16. Februar 2023, 1 BvR 1547/19 und 1 BvR 2634/20, aufgestellten Grundsätzen für sehr hoch halte. Daher müssen diese Regelungen von Verfassungs wegen strengen Eingriffsvoraussetzungen genügen, insbesondere dem Schutz besonders gewichtiger Rechtsgüter dienen. Auch der Eingriffsanlass muss eng begrenzt sein. Aus diesem Grund habe ich die Streichung von Art. 61a Abs. 2 Satz 1 Nr. 1 PAG und die Anpassung von Art. 61a Abs. 2 Satz 1 Nr. 2 PAG gefordert. Soweit man an der Ausgestaltung von Art. 61a Abs. 2 PAG festhalte, genügten die Eingriffsschwellen nach meiner Auffassung nicht den verfassungsrechtlichen Anforderungen. Aus meiner Sicht ließe sich eine hinreichende Beschränkung des Eingriffsgewichts nur durch den normenklar festgeschriebenen Ausschluss von Systemen oder Dateien erreichen, die auf Art. 54 Abs. 1 PAG beruhen, also dem Zwecke der Aufgabenerfüllung, Dokumentation oder Vorgangsverwaltung dienen.

Aber auch im Weiteren enthielt der Gesetzentwurf aus meiner Sicht kritikwürdige Punkte:

So knüpft Art. 16 PAG die Meldeanordnung nun nicht mehr an die Bedrohung eines bedeutenden Rechtsgutes. Diese Herabsenkung der Anforderungen für eine Meldeanordnung hielt ich für nicht nachvollziehbar und ich machte im Gesetzgebungsverfahren unter anderem darauf aufmerksam, dass die Regelung trotz der Eingriffstiefe keine ausreichenden grundrechtssichernden Begleitmaßnahmen vorsehe.

Eine weitere datenschutzrechtlich problematische Neuerung stellt die Regelung des Art. 33 Abs. 10 PAG dar. Diese Vorschrift erlaubt es der Polizei, auf Bildaufnahmen und Bildaufzeichnungen anderer Betreiber von Videoüberwachungsanlagen zuzugreifen. Ich habe in meinen Stellungnahmen unter anderem angemerkt, dass die in Art. 33 Abs. 10 PAG vorgesehenen weitreichenden Zugriffsmöglichkeiten eine massive Ausdehnung der polizeilichen Nutzung von Videoüberwachungsmaterial erwarten lassen. Unter Beachtung der Verhältnismäßigkeit und vor dem Hintergrund einer Überwachungsgesamtrechnung habe ich diese Neuregelung daher aus datenschutzrechtlicher Sicht als bedenklich bewertet.

Insgesamt muss ich festhalten, dass in dem neuen Änderungsgesetz Befugnisse enthalten sind, die erwarten lassen, dass der Polizei noch mehr Datenmaterial zur Verfügung steht als bisher. Hinzukommt, dass aufgrund der fortschreitenden Digitalisierung Bürgerinnen und Bürger immer mehr Daten über die eigene Person generieren, auf welche die Polizei im Rahmen ihrer Aufgabenerfüllung dann zugreifen kann. Durch die geplante Einführung einer datenbank- und formatübergreifenden Recherche innerhalb der polizeiinternen Datenbestände zur Unterstützung der Analyse und Auswertung erhalten solche Daten einen anderen "Wert" und das Eingriffsgewicht der bloßen Speicherung erhöht sich weiter.

Vor diesem Hintergrund hielt ich eine isolierte Einführung von VeRA ohne gleichzeitige Anpassung der polizeilichen Datenverarbeitungsregelungen in Art. 54 PAG aus Sicht des Datenschutzes grundsätzlich für problematisch.

Ich habe daher im Gesetzgebungsverfahren insbesondere empfohlen, die Mitziehklausel (Art. 54 Abs. 2 Satz 6 PAG, siehe dazu insbesondere meinen 30. Tätigkeitsbericht 2020 unter Nr. 5.5) ersatzlos zu streichen, sowie in Art. 54 Abs. 1 PAG eine regelmäßige Höchstspeicherfrist von zwei Jahren sowie die Verpflichtung aufzunehmen, den Zweck der Speicherung (Aufgabenerfüllung, Vorgangsverwaltung oder Dokumentation) eindeutig und verbindlich festzuhalten.

Durch derartige gesetzgeberische Maßnahmen könnte der in der Rechtsprechung des Bundesverfassungsgerichts wesentlichen Überwachungsgesamtrechnung, aber auch allgemeinen Verhältnismäßigkeitserwägungen ein Stück weit Rechnung getragen werden. Leider ist der Gesetzgeber meinen Anregungen nicht gefolgt.

2.2. Einsatz von Unbemannten Luftfahrtsystemen (ULS) im Rahmen von Fußballspielen

Unbemannte Luftfahrtsysteme (ULS), umgangssprachlich auch als Drohnen bekannt, kommen bei polizeilich relevanten Anlässen immer häufiger zum Einsatz. Ausgestattet mit Video- und Wärmebildkameras wird die Technik beispielsweise bei der Suche nach vermissten Personen im unwegsamen Gelände, zur Fertigung von Übersichtsaufnahmen nach größeren Unfällen oder im Rahmen von Veranstaltungen wie etwa Fußballspielen genutzt.

Art. 47 Abs. 1 Nr. 1 PAG in Verbindung mit Art. 33 Abs. 1 bis 3 PAG gestattet der Polizei offene Bild- und Tonaufzeichnungen mittels Drohne. So können unter den Voraussetzungen des Art. 33 PAG auch während öffentlichen Veranstaltungen personenbezogene Daten offen erhoben oder Übersichtsaufzeichnungen gefertigt werden. Die Polizei treffen hier Transparenzpflichten (vgl. Art. 47 Abs. 2 PAG, siehe bereits meinen 29. Tätigkeitsbericht 2019 unter Nr. 3.5).

Aufgrund bei mir eingegangener Beschwerden habe ich den Einsatz von ULS im Rahmen von Fußballspielen bei zwei Polizeipräsidien datenschutzrechtlich überprüft. Insbesondere die Wahrung der Offenheit einer solchen Maßnahme stand dabei im Vordergrund.

Bei einem Präsidium waren Drohneneinsätze bei zwei Fußballspielen insgesamt nicht zu beanstanden. Transparenzmaßnahmen wie eine gezielte Fanansprache durch sogenannte Kommunikationsbeamte, wiederkehrende Lautsprecherdurchsagen sowie ein Informationsschreiben an die Fanbeauftragten flankierten die Polizeieinsätze und führten so zu einer ausreichenden Wahrnehmbarkeit der Videoaufnahmen durch Drohnen.

Auch die Überwachungsmaßnahmen des anderen Polizeipräsidiums bewegten sich grundsätzlich im Rahmen der oben angeführten Rechtsgrundlagen. Die Offenheit der Maßnahme sollte hier allerdings allein durch den Schriftzug "POLIZEI" auf dem ULS gewährleistet werden. Aufgrund der zum Teil großen Distanzen von ULS zur überwachten Menschenmenge oder auch bei schlechten Sichtverhältnissen durch Nebel oder Dämmerung bewerte ich die Aufschrift "POLIZEI" auf der Drohne oder auch eine angepasste, polizeitypische Farbgebung (blau-gelb) jedoch als allein nicht ausreichendes Mittel, um die Offenheit der polizeilichen Videoüberwachung sicherzustellen. Zudem befinden sich ein ULS fliegende Polizeikräfte nicht unbedingt in Sichtweite der Drohne, so dass der Hinweispflicht auch mit einer gekennzeichneten Einsatzkleidung nicht in jedem Fall Genüge getan wird. Geeignete zusätzliche Maßnahmen wären daher etwa die Anbringung von gut sicht- und lesbaren Hinweisschildern mit einem Verweis auf die Videoaufzeichnungen (zum Beispiel mit Piktogrammen), oder bei Bedarf auch Lautsprecherdurchsagen. Da das Polizeipräsidium in diesem Fall die Drohne nicht konspirativ eingesetzt hatte, hielt ich weitere aufsichtsrechtliche Maßnahmen nicht für geboten und beließ es bei einem Hinweis darauf, meine Ausführungen zur Kenntlichmachung eines ULS-Einsatzes künftig zu beachten.

Unabhängig davon bin ich vor dem Hintergrund der wachsenden Bedeutung des Einsatzmittels "Drohne" weiterhin im Austausch mit der Bayerischen Polizei.

2.3. Prüfung der Speicherung jugendlicher Intensivtäter

Als jugendliche Intensivtäter gelten junge Menschen im Alter von zehn bis 20 Jahren, die durch wiederholtes delinquentes Verhalten in Erscheinung treten. Nachdem diese relativ kleine Gruppe häufig für einen Großteil der Straftaten in diesem Altersspektrum verantwortlich gemacht wird, stellt sie eine besondere Herausforderung für die Polizei dar. In vielen Bundesländern werden daher spezielle Jugendintensivtäter-Programme mit entsprechenden Dateien geführt, um die jungen Menschen vor einer lebenslangen Karriere als Kriminelle abzuhalten. So werden auch bei bayerischen Polizeipräsidien in solchen Dateien polizeilich relevante Ereignisse gesammelt, ausgewertet und zusammengeführt. Dadurch sollen polizeiliche Präventivmaßnahmen zur unmittelbaren Straftatenverhinderung, jedoch auch eine Umsetzung längerfristiger behördenübergreifender Präventionsansätze ermöglicht werden.

Nachdem von den Speicherungen vornehmlich Kinder und Jugendliche betroffen sind, habe ich die entsprechende Datei eines Polizeipräsidiums im Berichtszeitraum einer datenschutzrechtlichen Prüfung unterzogen. Von den als Intensivtäter geführten Personen habe ich die Speicherungen der drei Jüngsten - ein Kind im Alter von 13 Jahren und zwei 14-jährige Jugendliche - überprüft.

Rechtsgrundlage für derartige Speicherungen ist regelmäßig Art. 54 Abs. 2 Polizeiaufgabengesetz (PAG). Nach dieser Vorschrift kann die Polizei zur Gefahrenabwehr, insbesondere zur vorbeugenden Bekämpfung von Straftaten, Daten von Kindern in der Regel für zwei und von Jugendlichen in der Regel für fünf Jahre speichern.

Allein die Tatsache, dass lediglich ein Kind, welches im Zeitraum der Prüfung schon das 14. Lebensjahr erreicht hatte, gespeichert wurde, spricht für eine datenschutzfreundliche und verhältnismäßige Umsetzung der Speichermöglichkeiten durch die Polizei. Ebenfalls positiv kann ich die umfassende und zielorientierte Dokumentation der Prognoseentscheidung hervorheben, die zu jeder gespeicherten Person aufgrund des jeweiligen Tatverhaltens sowie individueller Schutz- und Risikofaktoren erstellt wurde. Schließlich ist diese auch die Bewertungsgrundlage für die Erforderlichkeit zur Fortführung der polizeilichen Präventionsmaßnahmen und damit für die Speicherdauer.

Einträge sind bei diesen jungen Delinquenten jedoch nicht ausschließlich in der genannten Datei, sondern auch in INPOL und IGVP vorhanden. Hier musste ich feststellen, dass die rechtlichen Vorgaben aus Art. 54 PAG in Bezug auf die Festlegung von Aussonderungsprüffristen nicht immer eingehalten wurden. In einem Fall führte beispielsweise die Klarstellung der Ermittlungszuständigkeit in INPOL zur Speicherverlängerung. Diese fehlerhaften Fristsetzungen wurden nach meiner Anregung vollumfänglich korrigiert.

Im Ergebnis kann ich jedoch festhalten, dass die Speicherungen in der oben erwähnten Datei dem präventiven Ziel dienen, die drohende "Kriminalitätsspirale" bei diesen jungen Menschen nachhaltig zu durchbrechen, und datenschutzrechtlich nicht zu beanstanden waren.

2.4. Prüfung der Vergabe des personengebundenen Hinweises "Psychische und Verhaltensstörung (PSYV)"

INPOL (das Informationssystem der Polizei) ist ein elektronischer Datenverbund für die Polizeibehörden des Bundes und der Länder. Betrieben wird INPOL vom Bundeskriminalamt; Daten speichern und abrufen können dort alle teilnehmenden Polizeibehörden. Das System stellt auch einen Katalog mit sog. personengebundenen Hinweisen (PHW) zur Verfügung. Die dort festgelegten Kriterien wie etwa "gewalttätig", "bewaffnet", "Ausbrecher" usw. sollen dem Bundeskriminalamt zufolge "dem Schutz des Betroffenen und der Eigensicherung von Polizeibediensteten" dienen.

Ist zu einer Person ein PHW vergeben, wird dieses bei einem Datenabruf aus INPOL, beispielsweise im Rahmen einer Personenkotrolle, bei der Ausgabe auffällig angezeigt, damit die kontrollierenden Beamtinnen und Beamten ohne weitere aufwändige Auswertungen von Einzelspeicherungen mit wesentlichen Hinweisen zur überprüften Person versorgt werden. Eine maßgelbliche gesetzliche Regelung zu PHW findet sich in § 29 Abs. 4 Satz 2 in Verbindung mit § 16 Abs. 6 Nr. 1 Bundeskriminalamtgesetz. Danach kann das Bundeskriminalamt in den Fällen, in denen bereits Daten zu einer Person vorhanden sind, zu dieser Person auch personengebundene Hinweise, die zum Schutz dieser Person oder zur Eigensicherung von Beamten erforderlich sind, weiterverarbeiten.

Die fallbezogene Zuweisung eines PHW unterliegt bundesweit einheitlich festgelegten Vergabekriterien. Diese Kriterien müssen bundesweit einheitlich angewendet werden, damit die Datenqualität auch hinsichtlich der PHW verlässlich gesichert ist. Nimmt es eine Polizeidienststelle mit den festgelegten Vergabekriterien nicht so genau, kann sie dadurch den polizeilichen Zweck verfehlen, aber auch die Datenschutzrechte der betroffenen Person verletzen.

Aus diesem Grund habe ich im Berichtszeitraum bei der Bayerischen Polizei die Vergabe des besonders sensiblen PHW "Psychische und Verhaltensstörung (PSYV)" geprüft.

Eine erste Bestandsaufnahme beim Bayerischen Landeskriminalamt ergab, dass der PHW "PSYV" von der Bayerischen Polizei im Zeitraum von drei Jahren insgesamt 1.301-mal vergeben wurde.

Diese hohe Anzahl hatte mich überrascht, da die bundesweit einheitlich festgelegten Vergabekriterien des PHW "PSYV" durchaus anspruchsvoll sind. Demnach darf dieser PHW nur vergeben werden, wenn ärztlich festgestellt ist, dass der Betroffene an einer psychischen Erkrankung leidet und daraus Gefahren für ihn selbst oder andere, insbesondere für Polizeibedienstete, resultieren können. Darüber hinaus muss die Information über das Vorliegen einer solchen Erkrankung schriftlich dokumentiert sein (etwa durch ein Attest oder Gutachten).

Führt man sich vor Augen, dass nach Angaben des Bundesministeriums für Gesundheit fast jeder dritte Mensch im Laufe seines Lebens an einer behandlungsbedürftigen psychischen Erkrankung leidet, so sind die oben beschriebenen Eingrenzungen in Form der Vergabekriterien hin auf eine polizeiliche Relevanz dringend notwendig.

Aufgrund der überraschend hohen Zahl der von der Bayerischen Polizei vergebenen PHW konnte ich mich bei meiner Prüfung des PHW "PSYV" letztlich nur auf Stichprobenfälle innerhalb von drei ausgewählten Polizeipräsidien beschränken.

Meine Prüfungserkenntnisse zur Vergabe des PHW "PSYV" durch die Bayerische Polizei ließen deutliche Mängel erkennen und zeigten dringenden Handlungsbedarf bei den Polizeipräsidien und auch dem Bayerischen Staatsministerium des Innern, für Sport und Integration als Führungsstelle der Bayerischen Polizei. Drei Viertel der von mir überprüften PHW "PSYV" entsprachen nicht den oben genannten Vergabekriterien und mussten daher gelöscht werden.

Dabei hatte ich für die Stichprobe von vornherein keine Altfälle, sondern PHW-Vergaben ausgewählt, die in den Zeitraum vom 1. Januar 2020 bis 31. Dezember 2022 fielen. Zu dieser Zeit war das seit Mai 2018 geltende neue Datenschutzrecht etabliert; ein entsprechendes Grundverständnis sowie eine zeitgemäße Sensibilität im Umgang mit Gesundheitsdaten konnten daher vorausgesetzt werden.

Nach meiner Prüfung habe ich das Innenministerium ersucht, im Hinblick auf die von mir bei den Polizeipräsidien festgestellten Problemfelder, insbesondere was die Einhaltung der verbindlichen Vergabekriterien und Maßnahmen zur zeitgerechten Aussonderung angeht, wirksame Überlegungen anzustellen und umzusetzen. Ich erwarte Maßnahmen, die sowohl künftig als auch rückwirkend zur dringend notwendigen Qualitätssicherung und Wahrung der Datenschutzrechte von betroffenen Personen bei der polizeilichen Vergabe des PHW "PSYV" - und zugleich auch bei allen anderen PHW - beitragen.

Einer ersten Rückmeldung ist zu entnehmen, dass sich das Innenministerium des Themas angenommen und insbesondere zeitnah alle Polizeipräsidien auf die Problematik hingewiesen hat.

Ich werde dem Thema auch künftig meine Aufmerksamkeit schenken und die weitere Entwicklung genau verfolgen.

2.5. Speicherungen im Kriminalaktennachweis trotz unbekannter Verfahrensausgänge

Zu Speicherungen im Kriminalaktennachweis (KAN) erreichen mich kontinuierlich Anfragen und Beschwerden. Die Speicherungen sind daher regelmäßig Gegenstand meiner Prüfungs- und Beratungstätigkeit. Maßgeblich ist insofern Art. 54 Abs. 2 Polizeiaufgabengesetz:

"1Die Polizei kann insbesondere personenbezogene Daten, die sie im Rahmen strafrechtlicher Ermittlungsverfahren oder von Personen gewonnen hat, die verdächtig sind, eine Straftat begangen zu haben, speichern und anderweitig verarbeiten, soweit dies zur Gefahrenabwehr, insbesondere zur vorbeugenden Bekämpfung von Straftaten erforderlich ist. 2Entfällt der der Speicherung zugrunde liegende Verdacht, sind die Daten unverzüglich zu löschen. 3Die nach Art. 53 Abs. 5 festzulegenden Prüfungstermine oder Aufbewahrungsfristen betragen in der Regel bei Erwachsenen zehn Jahre, bei Jugendlichen fünf Jahre und bei Kindern zwei Jahre. 4In Fällen von geringerer Bedeutung sind kürzere Fristen festzusetzen. 5Die Frist beginnt regelmäßig mit dem Ende des Jahres, in dem das letzte Ereignis erfaßt worden ist, das zur Speicherung der Daten geführt hat, jedoch nicht vor Entlassung des Betroffenen aus einer Justizvollzugsanstalt oder der Beendigung einer mit Freiheitsentziehung verbundenen Maßregel der Besserung und Sicherung. 6Werden innerhalb der Frist der Sätze 3 bis 5 weitere personenbezogene Daten über dieselbe Person gespeichert, so gilt für alle Speicherungen gemeinsam der Prüfungstermin, der als letzter eintritt, oder die Aufbewahrungsfrist, die als letzte endet."

Eine wesentliche Voraussetzung für eine Speicherung im KAN ist, dass gegen die betroffene Person ein sogenannter polizeilicher Restverdacht besteht (siehe hierzu auch mein 27. Tätigkeitsbericht 2016 unter Nr. 3.6.5). Auch wenn der strafprozessuale Tatnachweis hinsichtlich einer Straftat nicht geführt werden konnte, können Zeugenaussagen oder sonstige Anhaltspunkte dafür sprechen, dass ein Restverdacht fortbesteht; eine Speicherung für präventiv polizeiliche Zwecke bleibt dann möglich.

Im Berichtszeitraum stach in diesem Zusammenhang ein Fall besonders hervor: Ein Beschwerdeführer hatte bei einem Polizeipräsidium um Auskunft und zugleich Löschung seiner personenbezogenen Daten ersucht. Die Bearbeitungsstelle der Polizei hatte der Person daraufhin umfassend Auskunft erteilt und eine Speicherung gelöscht. Im Hinblick auf die weiteren Eintragungen zu dieser Person erklärte die Polizei, diese ebenfalls geprüft, aber für zulässig befunden zu haben. Daher komme eine Löschung nicht in Betracht. Gleichwohl fiel mir in dem Bescheid der Polizei der Satz auf, dass die jeweiligen Verfahrensausgänge zu den gespeicherten Ermittlungsergebnissen im KAN nicht bekannt seien.

Solche "Verfahrensausgänge" geben Auskunft darüber, welches Ergebnis die Justiz aus den polizeilichen Ermittlungen gewonnen hat, ob es etwa zu einer Verurteilung, einer Verfahrenseinstellung wegen Geringfügigkeit oder wegen eines nicht zu führenden Tatnachweises gekommen ist, oder aber zu einem Freispruch wegen erwiesener Unschuld.

Dies macht deutlich, wie wichtig die Kenntnis der Verfahrensausgänge ist und, dass ohne diese Kenntnis die Frage, ob ein polizeilicher Restverdacht - als Grundlage einer Speicherung im KAN - vorliegt, nicht abschließend beantwortet werden kann.

Aus diesem Grund findet sich auch im in meinem 33. Tätigkeitsbericht 2023 unter Nr. 3.2 erwähnten Konzept der Bayerischen Polizei zur Bearbeitung von Auskunfts- und Löschungsersuchen die Vorgabe, dass die Verfahrensausgänge für die Sachverhaltswürdigung eines Löschungsantrags benötigt werden und daher - falls noch nicht vorhanden - bei der zuständigen Staatsanwaltschaft anzufordern sind.

In dem betreffenden Fall habe ich dem zuständigen Polizeipräsidium daher mitgeteilt, dass ich dessen Bewertung zur Zulässigkeit der Speicherungen gegenüber der antragstellenden Person für nicht vertretbar erachte. Des Weiteren sah ich mich veranlasst, das Polizeipräsidium um Einholung aller erforderlichen Verfahrensausgänge zu ersuchen, um auf dieser Grundlage erneut die Speicherungsvoraussetzungen zu prüfen und zu dokumentieren. Das Polizeipräsidium kam meiner Aufforderung nach und versicherte mir, die Hinweise künftig zu beachten.

2.6. Beanstandung wegen unzulässiger polizeilicher Beobachtung

Die polizeiliche Beobachtung ist eine eingriffsintensive präventive Maßnahme der Polizei. Sie ist in Art. 40 Abs. 1 Polizeiaufgabengesetz (PAG) geregelt. Dort heißt es:

"Unbeschadet der Möglichkeiten zur Ausschreibung nach dem Recht der Europäischen Union kann die Polizei personenbezogene Daten, insbesondere die Personalien einer Person sowie Kennzeichen eines von ihr benutzten Fahrzeugs, zur polizeilichen Beobachtung oder gezielten Kontrolle ausschreiben, wenn

  1. die Gesamtwürdigung der Person einschließlich ihrer bisher begangenen Straftaten erwarten lässt, dass von ihr auch künftig eine Gefahr für bedeutende Rechtsgüter ausgeht,
  2. sie für eine drohende Gefahr für bedeutende Rechtsgüter verantwortlich ist oder
  3. tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass es sich um eine mutmaßlich mit der Gefahrenlage im Zusammenhang stehende Kontaktperson einer Person nach Nr. 1 oder Nr. 2 handelt."

Die polizeiliche Beobachtung dient dem Zweck, polizeiliche Zufallserkenntnisse über das Antreffen einer bestimmten ausgeschriebenen Person zusammenzuführen. Die ausschreibende Dienststelle gewinnt diese Erkenntnisse, um insbesondere punktuell die Reisewege der Person sowie andere Zusammenhänge und Querverbindungen nachvollziehen zu können.

Im Falle von verdeckten polizeilichen Eingriffsmaßnahmen hat grundsätzlich jede betroffene Person einen Anspruch auf eine nachträgliche Benachrichtigung. Aufgrund der Mitteilungspflicht aus Art. 50 PAG hatte ein Bürger erfahren, dass er insgesamt fast acht Jahre zur polizeilichen Beobachtung ausgeschrieben war.

Der Bürger sah für seine langjährige "Überwachung" keine Rechtsgrundlage und wandte sich mit der Bitte um Überprüfung an mich. Dem bin ich nachgekommen und habe mir von der Polizei die entsprechenden Anordnungen (Erstanordnung sowie Anordnungen der jeweils einjährigen Verlängerungen) vorlegen lassen.

Hierbei musste ich feststellen, dass diese nicht den gesetzlichen Vorgaben des Art. 40 PAG (beziehungsweise der Vorgängerregelung des Art. 36 PAG in der bis zum 24. Mai 2018 geltenden Fassung) entsprachen:

Dem Wortlaut nach wurden die Erstanordnung sowie die ersten drei Verlängerungen auf Art. 36 Abs. 1 Nr. 1 PAG in der bis zum 24. Mai 2018 geltenden Fassung gestützt. Hiernach musste "die Gesamtwürdigung der Person und ihrer bisher begangenen Straftaten erwarten lassen, daß sie auch künftig Straftaten von erheblicher Bedeutung begehen wird".

Dass der Beschwerdeführer bereits mehrfach, beispielsweise durch versuchte Nötigung, Hausfriedensbruch und Körperverletzung, strafrechtlich in Erscheinung getreten war, genügte für eine polizeiliche Beobachtung nicht, weil es sich dabei nicht um Straftaten von erheblicher Bedeutung handelte. Außerdem fehlte es in den Anordnungen an einer fundierten Prognose zur Begehung künftiger Straftaten von erheblicher Bedeutung.

Ähnliches galt für die ab dem Jahr 2019 auf Art. 40 Abs. 1 PAG gestützten Anordnungen. Nach dieser Vorschrift muss die Gesamtwürdigung erwarten lassen, dass von der Person auch künftig eine Gefahr für bedeutende Rechtsgüter im Sinne des Art. 11 Abs. 3 Satz 2 PAG ausgeht.

Insofern fehlten in den Anordnungen ebenfalls eine Gefahrenprognose und eine ausreichende Begründung. Bisher begangene Straftaten sind nach dem Willen des Gesetzgebers von besonderer Bedeutung und in die Gefahrenprognose mit einzubeziehen. In den geprüften Unterlagen zur Anordnung stellte die Polizei jedoch ausdrücklich fest, dass im zurückliegenden Beobachtungszeitraum gar keine Straftaten bekannt geworden waren. Bei den aufgelisteten Aktivitäten, auf welche sich die Anordnung stützen sollte, handelte es sich zwar um auffällige, jedoch nicht illegale Tätigkeiten im Zusammenhang mit einer vom Verfassungsschutz beobachteten Kleinpartei.

Darüber hinaus hätte vor dem Hintergrund der langen Maßnahmedauer mit jeder Verlängerung eine stets noch kritischere Prüfung der Verhältnismäßigkeit stattfinden müssen. Dies ist bedauerlicherweise unterblieben. Insbesondere mit Blick auf die hohe Dauer der verdeckten Maßnahme habe ich eine Beanstandung gemäß Art. 16 Abs. 4 BayDSG ausgesprochen. Das betreffende Polizeipräsidium räumt die Datenschutzverletzung ein und hat sofort Maßnahmen getroffen, damit vergleichbare Verstöße nicht mehr vorkommen.

2.7. Beanstandung wegen der nicht fristgerechten Löschung von Akkreditierungsdaten

Im Rahmen von Zuverlässigkeitsüberprüfungen nach Art. 60a Bayerisches Polizeiaufgabengesetz (PAG) fallen regelmäßig Akkreditierungsdaten, welche im Vorgangsbearbeitungssystem "Integrationsverfahren Polizei" (IGVP) gespeichert werden, an (zum Thema "Zuverlässigkeitsüberprüfungen" siehe auch meinen 31. Tätigkeitsbericht 2021 unter Nr. 3.2 und meinen 33. Tätigkeitsbericht 2023 unter Nr. 3.7).

Derartige Akkreditierungsdaten dürfen von der Polizei nur solange gespeichert werden, wie dies für die Durchführung des Zuverlässigkeitsüberprüfungsverfahrens erforderlich ist.

Durch zwei Datenpannen-Meldungen des zuständigen Polizeiverbands gemäß Art. 33 DSGVO in Verbindung mit Art. 28 Abs. 1 Satz 1 Nr. 1, Abs. 2 Satz 2, Art. 33 BayDSG, die im Abstand von zehn Monaten bei mir eingingen, wurde mir bekannt, dass es wiederholt Fehler bei der fristgerechten Löschung von Akkreditierungsdaten aus dem Vorgangsbearbeitungssystem IGVP gegeben hatte und diese Daten somit zu lange gespeichert wurden.

Dabei hatte ich schon nach der ersten Datenpannen-Meldung, die mir übersandt worden waren, sehr kritisch die Umstände hinterfragt, wie es dazu kommen konnte, dass eine zunächst unbestimmte Anzahl von Personendaten nicht rechtzeitig gelöscht worden war. Vor allem fand ich die in der Meldung vorhandene Einschätzung nicht schlüssig, dass eine Wiederholung des Vorfalls nicht zu befürchten sei, obwohl die tatsächlichen Ursachen des Vorfalls zu diesem Zeitpunkt offensichtlich noch nicht aufgeklärt waren. Ich hatte daher den zuständigen Polizeiverband nachdrücklich um eine Aufklärung der Ursachen ersucht und gebeten, mich darüber und in Bezug auf eine mögliche Wiederholungsgefahr auf dem Laufenden zu halten.

Nachdem ich keine Rückmeldung erhalten hatte, habe ich mit mehreren Erinnerungsschreiben nachgefasst.

Anstatt einer erwarteten detaillierten Aufklärung der näheren Umstände der nicht fristgerechten Aussonderung von Akkreditierungsdaten erreichte mich schließlich rund zehn Monate nach der ersten Datenpannen-Meldung eine zweite Mitteilung, wonach bei einer erneuten Prüfung festgestellt worden sei, dass trotz zweier Löschläufe weiterhin vereinzelt Daten im Vorgangsbearbeitungssystem IGVP vorhanden seien, obwohl diese bereits seit Monaten der Löschung unterlagen.

Auch wenn fortan ernsthafte und sehr aufwändige Bemühungen zur Klärung der wesentlichen Ursachen und deren Beseitigung sowie umfangreiche Abstimmungen insbesondere mit anderen Polizeiverbänden stattfanden, so musste ich, den Gesamtverlauf betrachtend, gleichwohl feststellen, dass dies insbesondere anfänglich nicht der Fall war. Trotz meiner wiederholt ergangenen kritischen Hinweise waren letztendlich zehn Monate verstrichen, in denen durch den zuständigen Polizeiverband keine für mich akzeptable Aufarbeitung erfolgte, das heißt keine genügende Ermittlung der Ursache und keine effektive Verhinderung der Wiederholung beziehungsweise keine hinreichende Beseitigung der kausalen Mängel.

In Anbetracht des für mich zunächst nicht erkennbaren ausreichenden Aufklärungsinteresses, der mangelhaften Transparenz mir gegenüber und der Anzahl der betroffenen Datensätze im unteren vierstelligen Bereich war für mich eine aufsichtliche Maßnahme unumgänglich.

Aus diesem Grund habe ich die nicht fristgerechte Löschung der Akkreditierungsdaten wegen der Verletzung der polizeilichen Löschpflichten nach Art 62 Abs. 2 Satz 1 Nr. 2 und 3 PAG in Verbindung mit Art. 53 Abs. 5 Sätze 1, 2 und 5 PAG sowie wegen des Verstoßes gegen die gemäß Art. 28 Abs. 1 Satz 1 Nr. 1, Abs. 2 Satz 1 Nr. 2 in Verbindung mit Art. 66 Satz 1 PAG anwendbaren Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO, namentlich gegen die Grundsätze der Speicherbegrenzung (Buchst. e) sowie der Vertraulichkeit und Integrität (Buchst. f), beanstandet.

2.8. Datenschutzrechtliche Prüfung polizeilicher Observationen

Im Rahmen meiner gesetzlichen Verpflichtung nach Art. 51 Abs. 2 Satz 1 Polizeiaufgabengesetz (PAG), Art. 15 BayDSG habe ich im Berichtszeitraum bei einem Polizeipräsidium die Befugnis zur polizeilichen Observation nach Art. 36 Abs. 1, Abs. 2 PAG geprüft.

Hierfür habe ich das Polizeipräsidium zunächst um eine Auflistung aller längerfristigen Observationen in einem bestimmten Zeitraum gebeten. Das Polizeipräsidium meldete insgesamt vier Fälle. Im Rahmen eines Vor-Ort-Termins habe ich sodann Einsicht in die betreffenden Unterlagen genommen. Dies gab mir die Gelegenheit, unmittelbar Nachfragen zu stellen, die das Polizeipräsidium auch beantworten konnte. Dabei waren einige Mängel festzustellen, was die Erfüllung der Dokumentationspflicht sowie der Pflicht zur Benachrichtigung der betroffenen Person betraf:

Nach Art. 51 Abs. 1 PAG muss die längerfristige Observation protokolliert werden. Das von der Polizei dafür eingesetzte Tool "ProMa" (Protokollierung polizeilicher Maßnahmen) erscheint mir als grundsätzlich gut geeignet. Insbesondere waren die vorgelegten Ausdrucke übersichtlich gestaltet. Die vom Bundesverfassungsgericht in seinem BKAG-Urteil aufgestellten Anforderung, dass die Protokolle der kontrollierenden Stelle in praktikabel auswertbarer Weise zur Verfügung stehen sollen, war in Bezug auf die nach Art. 51 Abs. 1 Satz 2 PAG erforderlichen Daten grundsätzlich erfüllt.

Nicht umfassend einverstanden war ich hingegen mit der konkreten "Befüllung" der Eingabemasken: So genügten beispielsweise die Angaben zum Zweck der Observation, zur Art ihrer Ausführung, zur Weiterverarbeitung der erhobenen Daten oder zum wesentlichen Ergebnis der Maßnahme nicht durchgehend den gesetzlichen Vorgaben aus Art. 51 Abs. 1 Satz 2 Nr. 3 ff. PAG.

Nach Art. 50 Abs. 1 Satz 1 Nr. 3 PAG hat unverzüglich eine Benachrichtigung der betroffenen Person zu erfolgen, sobald dies ohne Gefährdung des Zwecks der Maßnahme, der eingesetzten Polizeibeamten beziehungsweise Vertrauenspersonen oder der in der jeweiligen Befugnisnorm genannten Rechtsgüter geschehen kann.

In einem der geprüften Fälle musste ich feststellen, dass die Benachrichtigung fehlte. Die Polizei sah die Benachrichtigung im konkreten Fall als entbehrlich an, da die betroffene Person anderweitig von den Maßnahmen erfahren habe, etwa im Rahmen der Akteneinsicht oder der mündlichen Verhandlung, in welcher die Maßnahmen umfangreich erörtert worden seien.

Ich habe die Polizei darauf hingewiesen, dass diese Vorgehensweise den klaren gesetzlichen Vorgaben nicht gerecht wird - umso mehr, als mir die Polizei nicht nachweisen konnte, dass die betroffene Person auch tatsächlich Kenntnis vom Mindestinhalt der Benachrichtigung nach Art. 50 Abs. 2 in Verbindung mit Art. 31 Abs. 4 Satz 5 und Satz 6 PAG erlangt hatte.

Unter bestimmten Voraussetzungen kann eine Benachrichtigung zwar zunächst zurückgestellt werden, jedoch sind gemäß Art. 50 Abs. 5 PAG die Gründe hierfür zu dokumentieren. Dies dient vor allem auch einer effektiven datenschutzrechtlichen Kontrolle. Leider musste ich auch hier feststellen, dass das von der Polizei verwendete Tool "ProMa" zwar die entsprechenden Angaben vorgesehen hätte, jedoch nicht immer ausreichend befüllt worden war.

Ich habe das betreffende Polizeipräsidium über die festgestellten Mängel informiert und um zukünftige Beachtung der gesetzlichen Vorgaben gebeten.

2.9. Eurodac

Das europäische Fingerabdruck-Identifizierungssystem (Eurodac) dient dazu, Fingerabdrücke von Asylbewerbern und Geflüchteten europaweit zu erheben und zentral zu speichern. Dadurch soll verhindert werden, dass Personen in mehreren EU-Mitgliedstaaten Asyl beantragen. Auch die Polizei kann im Rahmen der festgelegten gesetzlichen und sicherheitstechnischen Vorgaben die gespeicherten Daten verarbeiten, um terroristische oder sonstige schwere Straftaten zu verhüten, aufzudecken und zu untersuchen.

Um gemäß meiner Verpflichtung nach Art. 33 Abs. 2 Eurodac-VO zu überprüfen, ob die Bayerische Polizei den Zugriff auf die Eurodac-Daten rechtskonform umsetzt, habe ich im Prüfungszeitraum Abfragen, die nicht im Zusammenhang mit der sogenannten Altfallsachbearbeitung ("cold cases") stehen, stichprobenartig kontrolliert. Hierzu habe ich mir die diesbezüglichen Anträge für Eurodac-Abfragen aus einem Jahr vorlegen lassen. Der Schwerpunkt meiner Prüfung lag hierbei auf den formalen und inhaltlichen Voraussetzungskriterien des Artikels 20 Abs. 1 Eurodac-VO:

Demnach ist der Abgleich formal nur zulässig, sofern nicht bereits eine Abfrage in nationalen Fingerabdruck-Datenbanken, in nationalen daktyloskopischen Identifizierungssystemen aller anderen Mitgliedsstaaten (sog. PRÜM-Recherche) oder im Visa-Informationssystem zur Feststellung der Identität der betreffenden Person geführt hat ("Abfrage-Kaskade"). Inhaltliches Ziel muss zudem die Verhütung, Aufdeckung oder Untersuchung terroristischer oder sonstiger schwerer Straftaten sein - also ein öffentliches Sicherheitsinteresse bestehen -, der Abgleich muss im Einzelfall erforderlich sein und es müssen hinreichende Gründe zur Annahme vorliegen, dass der Abgleich wesentlich zur Verhütung, Aufdeckung oder Ermittlung einer der fraglichen Straftaten beitragen wird.

Anhand vorgelegter ausgefüllter Antragsformulare zu Eurodac-Anfragen konnte ich jeweils sowohl die durchgeführte Abfrage-Kaskade als auch die inhaltlichen Voraussetzungen, wie Straftatbestand, Darlegung der Erforderlichkeit und die Verdachtsbegründung weitgehend nachvollziehen. Dennoch war es in einem Fall notwendig, weitere Stellungnahmen von der sachbearbeitenden Dienststelle anzufordern, da aus den Anträgen nicht klar hervorging, weshalb in diesem konkreten Fall der begründete Verdacht bestand, dass der unbekannte Täter in der Vergangenheit einen Asylantrag im Dublin-Vertragsgebiet gestellt beziehungsweise eine EU-Außengrenze illegal übertreten haben sollte.

Um die Nachvollziehbarkeit für eine effektive datenschutzrechtliche Kontrolle zukünftig zu verbessern, habe ich angeregt, die Dokumentation in den Antragsformularen insbesondere bei unklarer Sachlage zu intensivieren. Dies kommt vor allem zum Tragen, wenn sich ein begründeter Verdacht oder die Wahrung des Verhältnismäßigkeitsgrundsatzes nicht offensichtlich ergibt. Letztendlich muss die Schwelle für die Abfrage in Eurodac signifikant höher sein als die Schwelle für eine Abfrage strafrechtlicher Datenbanken.

Im Ergebnis waren die geprüften Zugriffe der Bayerischen Polizei auf das europäische Fingerabdruck-Identifizierungssystem jedoch nicht zu beanstanden. Alle formalen und inhaltlichen Voraussetzungen waren in den geprüften Fällen eingehalten.

In einem nächsten Schritt habe ich begonnen, mich mit Eurodac-Anträgen im Zusammenhang mit Altfällen zu beschäftigen und stehe hierzu im Austausch mit der Polizei.

2.10. Beanstandung einer Staatsanwaltschaft wegen unzulässiger Datenübermittlung

Immer wieder wenden sich Bürgerinnen und Bürger an mich, die sich durch die Mitteilung von Informationen aus Strafsachen durch Staatsanwaltschaften an andere öffentliche Stellen in ihren subjektiven Datenschutzrechten verletzt sehen.

Grundsätzlich sind Staatsanwaltschaften in Strafsachen zwar nach Maßgabe von §§ 12 ff. Einführungsgesetz zum Gerichtsverfassungsgesetz (EGGVG) zur Mitteilung personenbezogener Daten an andere öffentliche Stellen auch für verfahrensfremde Zwecke befugt. Verpflichtet sind sie zu entsprechenden Mitteilungen allerdings nur, wenn dies im Rahmen der Anordnung über Mitteilungen in Strafsachen (MiStra) angeordnet oder in besonderen Vorschriften bestimmt ist (siehe Nr. 1 Abs. 1 Satz 2 MiStra).

Nach Nr. 39 Abs. 1 MiStra sind in Strafsachen gegen Inhaberinnen und Inhaber von Berechtigungen und gegen Gewerbetreibende rechtskräftige Entscheidungen mitzuteilen, wenn Grund zu der Annahme besteht, dass Tatsachen, die den Gegenstand des Verfahrens betreffen und auf eine Verletzung von Pflichten schließen lassen, die bei der Ausübung des Berufs oder des Gewerbes zu beachten oder in anderer Weise geeignet sind, Zweifel an der Eignung, Zuverlässigkeit oder Befähigung hervorzurufen, den Widerruf, die Rücknahme oder die Einschränkung einer behördlichen Erlaubnis, Genehmigung oder Zulassung zur Ausübung eines Gewerbes oder eines Berufs, zum Führen einer Berufsbezeichnung, die Untersagung der gewerblichen Tätigkeit oder der Einstellung, Beschäftigung oder Beaufsichtigung von Kindern und Jugendlichen zur Folge haben können. Die Mitteilungen sind nach Nr. 39 Abs. 5 MiStra an die Behörde zu richten, die die Berechtigung erteilt hat oder für die Untersagung der Berufs- oder Gewerbeausübung zuständig ist.

Vor diesem Hintergrund stand eine Beschwerde, die ein betroffener Gewerbetreibender bei mir erhob. Der Beschwerdeführer war Inhaber von Erlaubnissen nach § 34c Gewerbeordnung (GewO). Gegen ihn hatte die Staatsanwaltschaft beim Amtsgericht einen Strafbefehl wegen Urkundenfälschung beantragt. Dem lag die Mitwirkung des Beschwerdeführers an der Beschaffung eines falschen Impfnachweises zugrunde. Mit dem Strafbefehlsantrag verfügte die Staatsanwaltschaft auch eine Mitteilung nach Nr. 39 MiStra an das Landratsamt. Das Landratsamt reichte die Mitteilung an die Industrie- und Handelskammer als die für Erlaubnisse nach § 34c GewO zuständige Stelle weiter. Diese wandte sich daraufhin an den Beschwerdeführer und forderte diesen auf, auf die ihm erteilten gewerberechtlichen Erlaubnisse zu verzichten. Da der Beschwerdeführer dem nicht nachkam und seine betreffende Verurteilung bestritt, wandte sich die Industrie- und Handelskammer telefonisch an die Staatsanwaltschaft und erhielt von dort die unzutreffende Auskunft, gegen den Beschwerdeführer sei eine Geldstrafe wegen Urkundenfälschung festgesetzt worden, obwohl zuvor auf gerichtlichen Hinweis hin der Strafbefehlsantrag durch die Staatsanwaltschaft zurückgenommen und das Verfahren schließlich nach § 170 Abs. 2 Strafprozeßordnung eingestellt worden war.

Die Datenschutzrechte des Beschwerdeführers wurden vorliegend gleich mehrfach verletzt, insbesondere da seine Daten unzulässigerweise übermittelt wurden: So war die initiale Mitteilung durch die Staatsanwaltschaft bereits mit dem Strafbefehlsantrag und nicht - wie in Nr. 39 Abs. 1 MiStra vorgesehen - nach Vorliegen einer rechtskräftigen Entscheidung gegen den Beschwerdeführer verfügt worden.

Zudem ging die Mitteilung an das sachlich unzuständige Landratsamt und nicht an die nach Nr. 39 Abs. 5 MiStra in Verbindung mit § 34c GewO und § 37 Abs. 7 Satz 1 Nr. 2 Zuständigkeitsverordnung zuständige Industrie- und Handelskammer.

Die Staatsanwaltschaft bedauerte den Vorgang und ergriff Sensibilisierungsmaßnahmen. Gleichwohl habe ich die Datenschutzverstöße nach Art. 16 Abs. 4 BayDSG förmlich beanstandet.

2.11. Dauer der Speicherung von Kontaktdaten beim Landesjustizprüfungsamt

Im Rahmen meiner Bearbeitung von Beschwerden wurde ich darauf aufmerksam, dass das Landesjustizprüfungsamt die Kontaktdaten von (ehemaligen) Prüfungsteilnehmerinnen und Prüfungsteilnehmern für 20 Jahre nach Abschluss des jeweiligen Prüfungsverfahrens speicherte. Dies galt auch für die E-Mail-Adressen.

Auf meine Anfrage teilte das Landesjustizprüfungsamt mit, dass erfahrungsgemäß auch noch viele Jahre nach Abschluss des Prüfungsverfahrens von Prüflingen Anfragen und Anträge - zum Beispiel auf Ausstellung von Zeugniszweitschriften - gestellt würden, zu deren Bearbeitung man die Kontaktdaten noch benötige. Nach 20 Jahren würden sie dann aber gelöscht und nur noch sogenannte Restdaten (insbesondere der Namen der Prüflinge sowie Prüfungsdaten) gespeichert. Diese Restdaten würden dauerhaft aufbewahrt, da dies für die Erledigung der dem Landesjustizprüfungsamt als zeugnisausstellender Behörde obliegenden Aufgaben notwendig sei. Denn auch nach Ablauf von 20 Jahren bestehe noch das Bedürfnis, etwa beim Verdacht einer Zeugnisfälschung, feststellen zu können, ob und in welchem Termin Prüflinge vor dem Landesjustizprüfungsamt eine Prüfung abgelegt und welches Ergebnis sie dabei erzielt hätten.

In meiner Prüfung kam ich zu dem Ergebnis, dass die Speicherung der genannten Daten durch das Landesjustizprüfungsamt im Grundsatz nach Art. 4 Abs. 1 BayDSG zulässig ist, da sie zur Erfüllung der Aufgaben des Landesjustizprüfungsamtes erforderlich ist.

Für eine Speicherung von Kontaktdaten nach Abschluss des Prüfungsverfahrens über den langen Zeitraum von 20 Jahren sah ich jedoch keine Erforderlichkeit., insbesondere da zu erwarten sei, dass Kontaktdaten viele Jahre nach dem Prüfungsverfahren nicht mehr mit den beim Landesjustizprüfungsamt gespeicherten Daten übereinstimmen.

Das Landesjustizprüfungsamt antwortete mir, dass eine Löschung der Kontaktdaten unmittelbar nach Abschluss des jeweiligen Prüfungsverfahrens nicht sachgerecht sei, da sich unter anderem bei einem erheblichen Teil der Prüflinge eine weitere Prüfung anschließe, etwa zum Zweck der Notenverbesserung. Würden die Kontaktdaten bereits unmittelbar nach dem ersten Prüfungsversuch gelöscht, müssten sie dann erneut erhoben und in die EDV eingepflegt werden. Allerdings beabsichtige man, die Kontaktdaten künftig einheitlich bereits fünf Jahre nach der (letzten) Prüfungsteilnahme zu löschen.

Ich teilte dem Landesjustizprüfungsamtes daraufhin mit, dass ich die Verkürzung der Speicherfristen für Kontaktdaten begrüße und eine fünfjährige Aufbewahrung dieser für vertretbar halte.

2.12. Kommunikation mittels nicht ausreichend verschlüsselter E-Mail

Aufgrund einer Beschwerde wurde ich darauf aufmerksam, dass eine Gerichtsverwaltung mit einem Rechtsanwalt mittels nicht ausreichend verschlüsselter E-Mail kommuniziert hatte. In diesem Zusammenhang waren personenbezogene Daten des Rechtsanwalts in der E-Mail selbst sowie in den dort beigefügten Anhängen enthalten. Im Rahmen meiner datenschutzrechtlichen Prüfung stellte sich zusätzlich heraus, dass die Anhänge inhaltlich für die Kommunikation nicht zwingend erforderlich waren.

Ich musste daher Verstöße gegen den Grundsatz der Integrität und Vertraulichkeit der Datenverarbeitung gemäß Art. 5 Abs. 1 Buchst. f DSGVO einerseits sowie gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c DSGVO andererseits feststellen.

Des Weiteren wies ich die betroffene Gerichtsverwaltung darauf hin, künftig die ressorteigenen Vorgaben zur Kommunikation mittels E-Mail zu beachten und die Mitarbeiter entsprechend zu sensibilisieren. Gerade bei der Kommunikation mit Rechtsanwälten existieren mit dem Besonderen elektronischen Behördenpostfach (BeBPo, vgl. § 6 Abs. 1, 2 Elektronischer-Rechtsverkehr-Verordnung - ERVV) und dem Elektronischen Gerichts- und Verwaltungsportal (EGVP, vgl. § 6 Abs. 3 ERVV) einerseits sowie dem Besonderen elektronischen Anwaltspostfach andererseits (BeA, vgl. § 31a BRAO) technische und organisatorische Maßnahmen, die gemäß Art. 32 Abs. 1 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignet sind, ein angemessenes Schutzniveau bei der Kommunikation zu gewährleisten.

2.13. Prüfung der Info- und Hinweistelefone beim Bayerischen Landesamt für Verfassungsschutz

Das Bayerische Landesamt für Verfassungsschutz bietet vor dem Hintergrund seiner gesetzlichen Aufgabenstellung mehrere Info- und Hinweistelefone an, darunter ein Aussteigertelefon Rechtsextremismus, ein Hinweistelefon Scientology, ein Hinweistelefon für Verdachtsfälle und Salafismus-Prävention, ein Hinweis- und Beratungstelefon Wirtschaftsschutz und Cyber-Allianz-Zentrum sowie das Bürgertelefon Bayerische Informationsstelle gegen Extremismus.

Im Berichtszeitraum habe ich den Betrieb dieser Info- und Hinweistelefone überprüft. Dafür habe ich vom Landesamt Informationen unter anderem zum jeweiligen Hinweisaufkommen erbeten sowie erfragt, ob die Info-/Hinweistelefone in entsprechende Konzeptionen eingebettet sind, ob eine Rufnummernanzeige auch bei unterdrückter Anruferkennung erfolgt, schließlich, welche Datenverarbeitungen sich im Nachgang zu einem Anruf ergeben können.

Da die entsprechenden Antworten des Landesamts als Verschlusssache eingestuft, mithin geheim sind, kann ich nur berichten, dass ich eine transparente und schlüssige Rückmeldung erhalten habe, die meine Fragen beantwortete.

Insgesamt kam ich zu dem Ergebnis, dass mögliche Datenverarbeitungen im Rahmen des Betriebs der Info- und Hinweistelefone in einem datenschutzrechtlich vertretbaren Rahmen liegen, weshalb von mir nichts weiter zu veranlassen war.

  1. Vom 23. Juli 2024 (GVBl. S. 247). [Zurück]
  2. Bayerischer Landesbeauftragter für den Datenschutz, Stellungnahme zum Fragenkatalog im Rahmen der Anhörung des Ausschusses für Kommunale Fragen, Innere Sicherheit und Sport zum Gesetzentwurf zur Änderung des Polizeiaufgabengesetzes und weiterer Rechtsvorschriften am 16. Mai 2024, Internet: https://www.datenschutz-bayern.de, Rubrik „Themengebiete – Polizei“. [Zurück]
  3. Vgl. Bundesverfassungsgericht, Urteil vom 2. März 2010, 1 BvR 256/08, 1 BvR 263/08 und 1 BvR 586/08, BeckRS 2010, 46771, Rn. 218. [Zurück]
  4. Zu diesen Dateien siehe die Erläuterungen auf https://www.datenschutz-bayern.de unter „Themengebiete – Polizei – Speicherung personenbezogener Daten durch die Polizei“. [Zurück]
  5. Vgl. Bundesverfassungsgericht, Beschluss vom 16. Mai 2002, 1 BvR 2257/01, BeckRS 2002, 30260253, sowie Beschluss vom 1. Juni 2006, 1 BvR 2293/03, BeckRS 2009, 35816. [Zurück]
  6. Vgl. Bundesverfassungsgericht, Beschluss vom 20. April 2016, 1 BvR 966/09 und 1 BvR 1140/09, BeckRS 2016, 44821, Rn 141. [Zurück]