Zurück zur Übersicht
14.03.2021

Prüfung von Dateien im Sicherheitsbereich

Der HmbBfDI ist seiner gesetzlichen Verpflichtung zur Prüfung der Antiterrordatei (ATD) und Rechtsextremismus-Datei (RED) sowohl bei der Polizei Hamburg als auch beim Landesamt für Verfassungsschutz (LfV) Hamburg nachgekommen. Zudem wurde die Prüfung der CRIME-Datei „Aurelia“ bei der Polizei Hamburg begonnen.

Pflichtkontrolle der RED und ATD beim LKA und LfV

Sowohl bei der ATD als auch der RED handelt es sich um eine gemeinsame standardisierte zentrale Datei die jeweils von verschieden Sicherheitsbehörden des Bundes sowie der Landeskriminalämter und der Verfassungsschutzbehörden der Länder beim Bundeskriminalamt geführt wird. Während die ATD dem Zweck der Aufklärung oder Bekämpfung des internationalen Terrorismus mit Bezug zur Bundesrepublik Deutschland dient (§ 1 Abs. 1 Antiterrordateigesetz (ATDG), wurde die RED zum Zweck der Aufklärung oder Bekämpfung des gewaltbezogenen Rechtsextremismus, insbesondere der Verhinderung und Verfolgung von Straftaten mit derartigem Hintergrund geschaffen (§ 1 Abs. 1 Rechtsextremismus-Datei-Gesetz (REDG)). Mit diesen Dateien sollen Erkenntnisse von Polizeibehörden und Nachrichtendiensten aus den genannten Bereichen vernetzt und die Informationen für die beteiligten Behörden gegenseitig auffindbar gemacht werden. Sowohl die Polizei Hamburg als auch das LfV Hamburg sind verpflichtet, von ihnen erhobene personenbezogene Daten nach den Vorgaben des jeweiligen Gesetzes in der Datei zu speichern (vgl. § 2 ATDG bzw. REDG). Die datenschutzrechtliche Verantwortung für die in der Datei gespeicherten Daten, namentlich für die Rechtmäßigkeit der Erhebung, die Zulässigkeit der Eingabe sowie die Richtigkeit und Aktualität der Daten, trägt die Behörde, die die Daten eingegeben hat (vgl. § 9 Abs. 1 S. 1 REDG bzw. § 8 Abs. 1 S. 1 ATDG).

Der HmbBfDI hat bei den in seinen Zuständigkeitsbereich fallenden Sicherheitsbehörden am 23.1.2020 (LfV Hamburg) und am 24.1.2020 (Polizei Hamburg LKA 7 – Staatschutzabteilung) eine Vor-Ort-Prüfung dieser Dateien durchgeführt. Neben der Prüfung der vorgelegten Dokumentationen und der technischen Rahmenbedingungen wurde stichprobenhaft die Speicherung von einzelnen Personen auf Plausibilität und Schlüssigkeit in den Dateien überprüft. Bei beiden Stellen konnten keine Mängel erkannt werden, die Prüfung führte somit nicht zu Beanstandungen: Dem HmbBfDI konnte im Hinblick auf beide Dateien jeweils erfolgreich dargelegt und demonstriert werden, dass beim Zugang zu den personenbezogenen Daten deren Sensibilität entsprechend hinreichend technisch gesichert und personell begrenzt ist. Insbesondere wurde dabei der Fokus der technischen Überprüfung auf Zugriffs- sowie Zugangsschutz gelegt und Berechtigungen der Sachbearbeitungen nachvollzogen. Die kontrollierten Speicherungen waren zudem jeweils fachlich nachvollziehbar. Die stichprobenhaften gesichteten Speicherungen entsprachen den gesetzlichen Voraussetzungen des ATDG bzw. REDG. Dabei ließ sich der HmbBfDI pro Datei bei jeweils ca. 10 Prozent der Speicherungen die Voraussetzungen bzw. den Grund der Speicherung darlegen. Ein besonderes Augenmerk wurde dabei darauf gelegt, dass eine aktive Pflege der Datei erkennbar war (z.B. bei laufenden Ermittlungsverfahren zu erwartende Verfahrensausgänge im Blick des Verantwortlichen stehen). Auch wurde geprüft, dass in sog. Freitextfeldern bei betroffenen Personen keine personenbezogenen Daten durch den Verantwortlichen in die Datei eingeführt werden, deren Speicherung das Gesetz nicht vorsieht.

Ähnlich wie der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) gelangt der HmbBfDI im Rahmen seiner Prüfung auch zu dem Schluss, dass andere Kommunikationswege und Kooperationsformen in der Praxis mehr Relevanz bei der Arbeit der Sicherheitsbehörden aufweisen dürften als die ATD- und RED-Dateien . Anlass für die vom HmbBfDI durchgeführte Prüfung waren die gesetzlichen Vorgaben, die vorschreiben, dass mindestens alle zwei Jahre eine Überprüfung des Datenbestandes durch die Datenschutzaufsicht zu erfolgen hat. Damit ist der Gesetzgeber wiederum den Vorgaben des Bundesverfassungsgerichts gefolgt (BVerfG, Urteil v. 24.4.2013 – Az. 1 BVR 1215/07). Das höchste deutsche Gericht hatte bezüglich dieser Dateien entschieden, dass im Hinblick auf den schwach ausgestalteten Individualrechtsschutz der Kompensationsfunktion der aufsichtsrechtlichen Kontrolle besondere Bedeutung dann zukommt, wenn es sich um regelmäßige Kontrollen in angemessen Abständen handelt. (BVerfG a.a.O, Rn. 217). Bei der nunmehr im Januar 2020 durchgeführten Prüfung handelt es sich bereits um die jeweils zweite Prüfung des HmbBfDI der fraglichen Dateien bei den genannten Landesbehörden (vgl. zu vorherigen Prüfungen: Tätigkeitsbericht Datenschutz 2014/2015, S. 66 und 2016/17, S. 26). Obwohl das BVerfG die besondere Bedeutung der datenschutzrechtlichen Aufsicht gerade bei für den Bürger undurchsichtiger Datenverarbeitung hervorhebt und ausdrücklich anmahnt, diese besondere Bedeutung bei der Ausstattung der Aufsichtsbehörden zu berücksichtigen (BVerfG a.a.O, Rn. 217), ist es dem HmbBfDI gerade aufgrund von unzureichender personeller Ausstattung nicht möglich gewesen, die gesetzlich verankerte Prüfpflicht im Abstand von zwei Jahren einzuhalten. Auch im Hinblick auf die stets zunehmende Anzahl von turnusmäßig durchzuführenden Pflichtprüfungen von Dateien und Ermittlungsmaßnahmen im Sicherheitsbereich (vgl. § 73 des Gesetz über die Datenverarbeitung der Polizei) deutet sich bereits jetzt an, dass der HmbBfDI Schwierigkeiten haben wird, auch in Zukunft die gesetzlich verankerte Prüfpflicht mindestens alle zwei Jahre zu erfüllen. Dass trotz eindeutiger Vorgabe bislang keine personelle Verstärkung in diesem Bereich erfolgte, ist unverständlich und steht in Widerspruch zu verfassungsgerichtlichen Vorgaben.

Prüfung CRIME-Datei Aurelia

Der HmbBfDI hat zudem eine Prüfung der beim Landeskriminalamt 71 (Staatsschutz) geführten Datei „Aurelia“ begonnen. Diese landeseigene CRIME-Datei („Ciminal Research and Investigation Management Software“) dient der Gefahrenabwehr einschließlich der vorbeugenden Bekämpfung von Straftaten, einschließlich extremistischer und terroristischer Straftaten aus den Bereichen politisch motivierter Kriminalität Rechts, Links, sowie ausländische Ideologien und nicht zuzuordnenbare politisch motivierte Kriminalität.

Auftakt der Prüfung des HmbBfDI war ein erster Vor-Ort Termin zur Sichtung der Datei beim LKA im November 2020. Der Schwerpunkt der laufenden Prüfung liegt – neben der Frage einer hinreichenden Zugriffssicherung und Protokollierung – auf der Einhaltung der Lösch-, Prüf- und Speicherfristen. Es ist insbesondere für den HmbBfDI von Interesse, ob bei Verlängerungen der Speicherungen die geforderten Einzelfallprüfungen durchgeführt wurden. Die gespeicherten Daten sind nämlich nach Ablauf von festgelegten Aussonderungsprüfungsfristen dahingehend zu überprüfen, ob die suchfähige Speicherung der Daten weiterhin erforderlich ist. Eine Verlängerung der Speicherung ist nur dann möglich, wenn besondere Gründe im Einzelfall gegeben sind (vgl. § 35 Gesetz über die Datenverarbeitung der Polizei). Der HmbBfDI hat im Berichtszeitraum damit begonnen, stichprobenhaft zu überprüfen, ob anhand von tragfähigen Begründungen die Erforderlichkeit einer weiteren Speicherung für die Erfüllung der Aufgaben nachvollziehbar und plausibel ist.

Anlass dieser Prüfung war, dass der HmbBfDI bei der Prüfung der CRIME-Datei „Gruppen und Szenegewalt“ im Berichtszeitraum 2016/2017 erhebliche Defizite bei der polizeilichen Datenverarbeitung feststellen musste und letztlich auch eine formelle Beanstandung gegenüber der Behörde für Inneres und Sport (BIS) ausgesprochen hatte (vgl. HmbBfDI Tätigkeitsbericht Datenschutz 2016/17, S. 23 ff.). Im Rahmen der Beanstandung hatte der HmbBfDI eine Reihe von Empfehlungen an die BIS ausgesprochen um sicherzustellen, dass die Datei(en) in Zukunft datenschutzkonform geführt werden. Diese Umsetzung gilt es auch bei der nun in Prüfung befindlichen CRIME-Datei zu kontrollieren.

Der HmbBfDI wird im nächsten Tätigkeitsbericht über dem Ausgang der Prüfung berichten.

Quelle: HmbBfDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks