Recht und Justiz

Datenschutzrechtliche Aspekte polizeilicher Fachverfahren

Von RI Sofiane Benamor, Rostock¹

 

Elektronische Fachverfahren als Element der digitalen Transformation der Polizeiarbeit sind aus dem polizeilichen Arbeitsalltag nicht mehr wegzudenken. Durch ihre Möglichkeiten zur schnellen und stellenweise datenbankübergreifenden Datenabfrage effektivieren sie die polizeiliche Arbeit enorm. Gleichzeitig führt die große Anzahl personenbezogener Daten in einigen Fachverfahren auch zu deutlich erhöhten datenschutzrechtlichen Risiken, denen die verantwortliche Dienststelle durch adäquate Maßnahmen beikommen muss. Der Beitrag skizziert die Problematik und umreißt wesentliche Maßnahmen, um elektronische Verfahren effektiv und rechtskonform einsetzen zu können.

 

1 Digitale Transformation


Die Vorteile dieser Digitalisierung und damit einhergehenden zunehmenden „Datafizierung“2 der polizeilichen Arbeit liegen auf der Hand. Wichtige Informationen liegen schneller, nutzerfreundlicher, personen- und ortsflexibler vor als in der analogen Arbeit. Medienbrüche werden vermieden, der behördeninterne, aber gerade auch der behördenübergreifende Informationsaustausch wird signifikant verbessert. Hinzu kommt, dass durch die elektronische Verfügbarkeit der vorhandenen Datenbestände auch der Einsatz von KI-Systemen, etwa für Predictive-Policing-Programme möglich gemacht wird.


Die Polizeien der Länder und des Bundes haben mittlerweile eine Vielzahl unterschiedlicher und komplex vernetzter elektronischer Verfahren geschaffen, um Datenbestände zu digitalisieren und aufgabenadäquat auswertbar zu machen. So gibt es unterschiedliche Vorgangsbearbeitungssysteme bzw. Vorgangsverwaltungssysteme3 wie ComVor, RIVAR, EVA und bka-VBS zur Erfassung von Fallvorgängen4, Fallbearbeitungssysteme wie eFBS zur komplexen Bearbeitung kriminalpolizeilicher Fälle, das Verbundsystem INPOL auf Grundlage des § 29 BKAG zum länderübergreifenden Informationsaustausch oder die elektronische Akte in Strafsachen (§ 32 StPO), die spätestens ab 2026 flächendeckend eingeführt werden soll.


Die Mannigfaltigkeit der Verfahrenssysteme spiegelt sich auch in den datenschutzrechtlichen Risiken wider. So ist für die diesbezügliche Bewertung unter anderem von wesentlicher Bedeutung welche Daten in welchem Umfang und welcher Streubreite in den Verfahren gespeichert sind, wie weit die jeweiligen Zugriffsrechte gehen und ob es sich um ein behörden- oder gar länderübergreifendes Verfahren handelt.


Wesentliche Grundkriterien der Verhältnismäßigkeit und Kompensationsmaßnahmen aus dem deutschen Verfassungsrecht bzw. dem europäischen Datenschutz-Rechtsrahmen aus DSGVO und JI-RL können jedoch für alle Verfahren bestimmt werden.

 

2 Rechtsrahmen


Die in den Verfahren gespeicherten Daten sind am Rechtsmaßstab des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, den Art. 7 und 8 der europäischen Grundrechte-Charta sowie deren sekundärrechtliche Absicherungen aus DSGVO und JI-RL auf Grundlage des Kompetenztitels aus Art. 16 Abs. 2 AEUV zu messen. Der Eingriff durch Speicherung findet seine verfassungsgemäße Rechtsgrundlage in den Polizeigesetzen (z.B. §§ 12, 16, 22 Abs. 2 BKAG) bzw. im Strafverfolgungsbereich der expliziten Ermächtigung in §§ 481 Abs. 1, 483 Abs. 1 StPO. Diese generalklauselhaften Ermächtigungen, die zuvor rechtmäßig erhobenen Daten weiterzuverarbeiten berechtigt grundsätzlich zur umfassenden Speicherung und damit Digitalisierung polizeilicher Datenverarbeitung. § 483 Abs. 3 StPO legitimiert auch die Zusammenführung von Daten aus repressiven und präventiven Polizeibeständen (sog. Mischdateisysteme).


Um die mit dieser Datenzusammenführung verbundenen erhöhten Risiken abzufedern, sieht das umfassend vernetzte Regelungsregime aus Polizei- und Datenschutzgesetzen, teils in Umsetzung der DSGVO bzw. JI-RL und teils in Umsetzung verfassungsgerichtlicher Vorgaben umfangreiche prozedurale Vorgaben vor.


Hierbei gilt für weite Teile der Datenverarbeitung die DSGVO unmittelbar und vorrangig (Art. 288 Abs. 2 AEUV). Ausgenommen ist allerdings der Bereich der Straftatenverfolgung, -bekämpfung und -verhinderung durch die zuständigen Behörden (Art. 2 Abs. 2 lit. d) DSGVO) Diese unterfallen der bereichsspezifischen JI-RL, welche durch stellenweise abweichende Regelungen den Besonderheiten dieses grundrechtssensiblen Bereiches Rechnung zu tragen versucht. Die Geltungsausnahme der DSGVO und der damit korrespondierende Anwendungsbereich der Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 der JI-RL (umgesetzt in § 45 Satz 1 BDSG) enthält damit eine doppelte Straftatenverfolgungsanforderung: Es müssen Strafverfolgungsbehörden zuständige Behörden gerade in ihrer strafverfolgenden oder -verhindernden Funktion tätig werden. Die Trennung ist damit nicht rein organisatorisch, sondern funktional. Allgemeine Verwaltungsaufgaben, auch von Strafverfolgungsbehörden, unterfallen weiterhin dem Anwendungsbereich der DSGVO.5 Die Zuordnung einzelner Verarbeitungstätigkeiten zu den beiden Rechtsakten und somit die Maßstabsbildung kann damit im Einzelfall Probleme bereiten.


Die Vorgaben der JI-RL sind in einigen Ländern in speziellen Teilen der entsprechenden Datenschutzgesetze, in anderen wiederum unmittelbar fachspezifisch in den Polizeigesetzen umgesetzt.

 

Seite: 1234weiter >>