Datenschutzrechtliche Aspekte polizeilicher Fachverfahren

Von RI Sofiane Benamor, Rostock¹

3 Verantwortlichkeit

Der wesentliche organisatorische Anknüpfungspunkt für die Zuweisung von normativen datenschutzrechtlichen Pflichten ist die Verantwortlichkeit. Grundsätzlich wird darunter die Stelle verstanden, die alleine oder mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 3 Nr. 8 JI-RL). Das Datenschutzrecht weist hier die Verantwortung explizit der jeweiligen öffentlichen Stelle zu (z.B. § 45 Satz 2 BDSG).⁶

Dies hat zur Folge, dass jede Behörde als Organisationseinheit zunächst selbst datenschutzrechtlich verantwortlich ist und die entsprechenden Pflichten eigenständig umsetzen muss. Eine „Globalverantwortlichkeit“ einer organisatorisch höhergestellten Stelle, z.B. des jeweiligen Innenministeriums existiert nicht. Dies bedeutet freilich nicht, dass Behörden nicht miteinander kooperieren können, um etwa Verarbeitungsverzeichnisse zusammen zu erstellen.

4 Berechtigungskonzepte

Datenschutzadäquat ausgestaltete Berechtigungskonzepte sind eine unerlässliche technisch-organisatorische Maßnahme des Verantwortlichen i.S.d. Art. 32 DSGVO, Art. 19 JI-RL. Sie bieten den wesentlichen Vorteil, dass sie bei richtiger Ausgestaltung gleich mehrere Zwecke fördern und einen wesentlichen Beitrag zur verhältnismäßigen Ausgestaltung des Verfahrens leisten.

So dienen sie zunächst dem Datenminimierungsprinzip aus Art. 5 Abs. 1 lit. c) DSGVO, welches trotz des abweichenden Wortlautes auch im Bereich der JI-RL (Art. 4 Abs. 1 lit. c), 8 Abs. 1 JI-RL, umgesetzt z.B. in § 47 Abs. 1 Nr. 3 BDSG) gelten soll.⁷ Auch innerhalb einer Behörde als Verantwortliche) sollen Verarbeitung personenbezogener Daten nur vorgenommen, wenn sie erforderlich sind⁸ (vgl. z.B. explizit § 15 Abs. 1 Nr. 2 BKAG). Dieser Maßstab ist strenger und die damit korrespondierende Einschätzungsprärogative somit geringer, soweit besondere Kategorien personenbezogener Daten gem. Art. 10 der JI-RL, § 48 BDSG (z.B. ethnische oder religiöse Zugehörigkeit) verarbeitet werden.⁹

Weiterhin dient ein Berechtigungskonzept auch der Missbrauchsprävention. Wie diverse Fälle in der Vergangenheit gezeigt haben, sind gerade polizeiliche Datenbanken mit einer hohen Zahl von personenbezogenen Daten missbrauchsanfällig.¹⁰ Das Missbrauchsrisiko steigt grundsätzlich mit jedem zusätzlichen zugriffsberechtigten Beamten. Gleichzeitig existiert selbstverständlich das Bedürfnis einer effektiven Aufgabenerfüllung, gerade in gemeinschaftlich bearbeiteten Vorgängen und die Notwendigkeit einer funktionierenden Vertretung in Abwesenheitsfällen. Schließlich wäre es wertungswidrig, wenn der Gesetzgeber elektronische Dateisysteme explizit auch mit Blick auf deren Beitrag zur Effektivierung der Gefahrenabwehr bzw. Strafverfolgung einführt, nur um genau diese Vorteile dann durch erdrückende datenschutzrechtliche Vorgaben wieder zunichte zu machen. Es muss bei der Erstellung von Berechtigungskonzepten also ein angemessener Ausgleich gefunden werden zwischen datenschutzrechtlichen Belangen und der effektiven Arbeit mit den jeweiligen Fachverfahren.

5 Transparenz

Transparenz ist ein unabdingbares Wesenselement des Datenschutzrechts. Der Gedanke, dass Betroffene die Verarbeitungsprozesse ihrer Daten nachvollziehen können, kommt schon im Volkszählungsurteil des BVerfG, der „Geburtsstunde“ des Rechts auf informationelle Selbstbestimmung, zum Vorschein.¹¹ Darauf aufbauend hat der Transparenzgrundsatz eine Kontrollfunktion, der Betroffene soll auf die Verarbeitung seiner Daten einwirken können.¹² Diese Nachvollziehbarkeit der einzelnen Verarbeitungen wird angesichts der Komplexität moderner Datenverarbeitungen mit unterschiedlichen elektronischen Verarbeitungssystemen immer illusorischer. Dies gilt umso mehr für den Sicherheitsbereich, in welchem die Ermittlungsbehörden gerade darauf angewiesen sind, dass ihre Verarbeitungsvorgänge für den Betroffenen nicht vollständig nachvollziehbar sind.

Daher normiert Art. 4 Abs. 1 JI-RL und dieser folgend § 47 BDSG im Gegensatz zu den Datenschutzgrundsätzen in Art. 5 Abs. 1 lit. a) DSGVO die Transparenz nicht explizit. Allerdings enthält auch das polizeiliche Datenschutzrecht verschiedene Instrumente zur Gewährleistung bestehender und Kompensation von verlorengegangener Transparenz.

6 Transparenzrechte

So sieht die JI-RL ebenso wie die Art. 12 ff. der DSGVO spezielle Transparenzrechte für die Betroffenen vor, um sie über die Modalitäten der Datenverarbeitung zu informieren. Grundsätzlich müssen sie demnach gem. Art. 13 JI-RL, § 55 BDSG bei der ersten Verarbeitung ihrer personenbezogenen Daten über wesentliche Modalitäten der Verarbeitung informiert werden. Auch enthält die JI-RL in Art. 14 (umgesetzt in § 56 BDSG) als Pendant zum vieldiskutierten Art. 15 DSGVO ein Auskunftsrecht über die von der betroffenen Person gespeicherten Daten. Dieses Auskunftsrecht dient nicht zuletzt der sekundärrechtlichen Ausgestaltung des bereits primärrechtlich in Art. 8 Abs. 2 EU-GRCh verankerten Rechts auf Auskunft.¹³

Um jedoch den angesprochenen Ermittlungsinteressen und damit korrespondierenden Geheimhaltungsbedürfnissen sicherheitsbehördlicher Tätigkeit gerecht zu werden, sieht Art. 15 der JI-RL (umgesetzt in § 57 Abs. 4 BDSG i.V.m. § 56 Abs. 2 BDSG) Beschränkungsmöglichkeiten dieser Transparenzrechte vor, etwa um laufende Ermittlungen nicht zu gefährden.

Wenngleich diese Ausnahme funktional notwendig ist und daher auch die gesetzgeberische Abwägungsentscheidung auf einer tragfähigen Grundlage beruht, ist sie kein Freifahrtschein, um Auskunftsersuchen ohne Begründung zurückzuweisen. Die verantwortliche Stelle ist gehalten, die Einschränkung oder vollkommene Ablehnung einer Auskunftsanfrage entsprechend substantiiert zu begründen.¹⁴ Diese Begründung erfordert eine konkret-individuelle Auseinandersetzung mit dem jeweils zugrunde liegenden Sachverhalt und eine tragfähige polizeiliche Prognose hinsichtlich der befürchteten Schutzgutgefährdung. Eine inhaltsleere Begründung, welche sich auf schematische Überlegungen oder gar eine bloße Wiederholung des Gesetzestextes stützt, ist mit der Rechtsschutzgarantie aus Art. 19 Abs. 4 GG unvereinbar.¹⁵ Gleichzeitig geht diese Begründungspflicht nicht so weit, dass die Begründung Rückschlüsse auf die geheim zu haltenden Tatsachen geben könnte.¹⁶ Letztlich ist also von der verantwortlichen Stelle ein Ausgleich zu finden zwischen der Sicherstellung des Ermittlungserfolges und dem Auskunftsrecht in Verbindung mit dem verfassungsrechtlich garantierten Recht auf effektiven Rechtsschutz aus Art. 19 Abs. 4 GG.¹⁷