Datenschutzrechtliche Aspekte polizeilicher Fachverfahren

Von RI Sofiane Benamor, Rostock¹

 

Elektronische Fachverfahren als Element der digitalen Transformation der Polizeiarbeit sind aus dem polizeilichen Arbeitsalltag nicht mehr wegzudenken. Durch ihre Möglichkeiten zur schnellen und stellenweise datenbankübergreifenden Datenabfrage effektivieren sie die polizeiliche Arbeit enorm. Gleichzeitig führt die große Anzahl personenbezogener Daten in einigen Fachverfahren auch zu deutlich erhöhten datenschutzrechtlichen Risiken, denen die verantwortliche Dienststelle durch adäquate Maßnahmen beikommen muss. Der Beitrag skizziert die Problematik und umreißt wesentliche Maßnahmen, um elektronische Verfahren effektiv und rechtskonform einsetzen zu können.

 

1 Digitale Transformation


Die Vorteile dieser Digitalisierung und damit einhergehenden zunehmenden „Datafizierung“2 der polizeilichen Arbeit liegen auf der Hand. Wichtige Informationen liegen schneller, nutzerfreundlicher, personen- und ortsflexibler vor als in der analogen Arbeit. Medienbrüche werden vermieden, der behördeninterne, aber gerade auch der behördenübergreifende Informationsaustausch wird signifikant verbessert. Hinzu kommt, dass durch die elektronische Verfügbarkeit der vorhandenen Datenbestände auch der Einsatz von KI-Systemen, etwa für Predictive-Policing-Programme möglich gemacht wird.


Die Polizeien der Länder und des Bundes haben mittlerweile eine Vielzahl unterschiedlicher und komplex vernetzter elektronischer Verfahren geschaffen, um Datenbestände zu digitalisieren und aufgabenadäquat auswertbar zu machen. So gibt es unterschiedliche Vorgangsbearbeitungssysteme bzw. Vorgangsverwaltungssysteme3 wie ComVor, RIVAR, EVA und bka-VBS zur Erfassung von Fallvorgängen4, Fallbearbeitungssysteme wie eFBS zur komplexen Bearbeitung kriminalpolizeilicher Fälle, das Verbundsystem INPOL auf Grundlage des § 29 BKAG zum länderübergreifenden Informationsaustausch oder die elektronische Akte in Strafsachen (§ 32 StPO), die spätestens ab 2026 flächendeckend eingeführt werden soll.


Die Mannigfaltigkeit der Verfahrenssysteme spiegelt sich auch in den datenschutzrechtlichen Risiken wider. So ist für die diesbezügliche Bewertung unter anderem von wesentlicher Bedeutung welche Daten in welchem Umfang und welcher Streubreite in den Verfahren gespeichert sind, wie weit die jeweiligen Zugriffsrechte gehen und ob es sich um ein behörden- oder gar länderübergreifendes Verfahren handelt.


Wesentliche Grundkriterien der Verhältnismäßigkeit und Kompensationsmaßnahmen aus dem deutschen Verfassungsrecht bzw. dem europäischen Datenschutz-Rechtsrahmen aus DSGVO und JI-RL können jedoch für alle Verfahren bestimmt werden.

 

2 Rechtsrahmen


Die in den Verfahren gespeicherten Daten sind am Rechtsmaßstab des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, den Art. 7 und 8 der europäischen Grundrechte-Charta sowie deren sekundärrechtliche Absicherungen aus DSGVO und JI-RL auf Grundlage des Kompetenztitels aus Art. 16 Abs. 2 AEUV zu messen. Der Eingriff durch Speicherung findet seine verfassungsgemäße Rechtsgrundlage in den Polizeigesetzen (z.B. §§ 12, 16, 22 Abs. 2 BKAG) bzw. im Strafverfolgungsbereich der expliziten Ermächtigung in §§ 481 Abs. 1, 483 Abs. 1 StPO. Diese generalklauselhaften Ermächtigungen, die zuvor rechtmäßig erhobenen Daten weiterzuverarbeiten berechtigt grundsätzlich zur umfassenden Speicherung und damit Digitalisierung polizeilicher Datenverarbeitung. § 483 Abs. 3 StPO legitimiert auch die Zusammenführung von Daten aus repressiven und präventiven Polizeibeständen (sog. Mischdateisysteme).


Um die mit dieser Datenzusammenführung verbundenen erhöhten Risiken abzufedern, sieht das umfassend vernetzte Regelungsregime aus Polizei- und Datenschutzgesetzen, teils in Umsetzung der DSGVO bzw. JI-RL und teils in Umsetzung verfassungsgerichtlicher Vorgaben umfangreiche prozedurale Vorgaben vor.


Hierbei gilt für weite Teile der Datenverarbeitung die DSGVO unmittelbar und vorrangig (Art. 288 Abs. 2 AEUV). Ausgenommen ist allerdings der Bereich der Straftatenverfolgung, -bekämpfung und -verhinderung durch die zuständigen Behörden (Art. 2 Abs. 2 lit. d) DSGVO) Diese unterfallen der bereichsspezifischen JI-RL, welche durch stellenweise abweichende Regelungen den Besonderheiten dieses grundrechtssensiblen Bereiches Rechnung zu tragen versucht. Die Geltungsausnahme der DSGVO und der damit korrespondierende Anwendungsbereich der Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 der JI-RL (umgesetzt in § 45 Satz 1 BDSG) enthält damit eine doppelte Straftatenverfolgungsanforderung: Es müssen Strafverfolgungsbehörden zuständige Behörden gerade in ihrer strafverfolgenden oder -verhindernden Funktion tätig werden. Die Trennung ist damit nicht rein organisatorisch, sondern funktional. Allgemeine Verwaltungsaufgaben, auch von Strafverfolgungsbehörden, unterfallen weiterhin dem Anwendungsbereich der DSGVO.5 Die Zuordnung einzelner Verarbeitungstätigkeiten zu den beiden Rechtsakten und somit die Maßstabsbildung kann damit im Einzelfall Probleme bereiten.


Die Vorgaben der JI-RL sind in einigen Ländern in speziellen Teilen der entsprechenden Datenschutzgesetze, in anderen wiederum unmittelbar fachspezifisch in den Polizeigesetzen umgesetzt.

 

 

3 Verantwortlichkeit


Der wesentliche organisatorische Anknüpfungspunkt für die Zuweisung von normativen datenschutzrechtlichen Pflichten ist die Verantwortlichkeit. Grundsätzlich wird darunter die Stelle verstanden, die alleine oder mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 3 Nr. 8 JI-RL). Das Datenschutzrecht weist hier die Verantwortung explizit der jeweiligen öffentlichen Stelle zu (z.B. § 45 Satz 2 BDSG).6


Dies hat zur Folge, dass jede Behörde als Organisationseinheit zunächst selbst datenschutzrechtlich verantwortlich ist und die entsprechenden Pflichten eigenständig umsetzen muss. Eine „Globalverantwortlichkeit“ einer organisatorisch höhergestellten Stelle, z.B. des jeweiligen Innenministeriums existiert nicht. Dies bedeutet freilich nicht, dass Behörden nicht miteinander kooperieren können, um etwa Verarbeitungsverzeichnisse zusammen zu erstellen.

 

4 Berechtigungskonzepte


Datenschutzadäquat ausgestaltete Berechtigungskonzepte sind eine unerlässliche technisch-organisatorische Maßnahme des Verantwortlichen i.S.d. Art. 32 DSGVO, Art. 19 JI-RL. Sie bieten den wesentlichen Vorteil, dass sie bei richtiger Ausgestaltung gleich mehrere Zwecke fördern und einen wesentlichen Beitrag zur verhältnismäßigen Ausgestaltung des Verfahrens leisten.


So dienen sie zunächst dem Datenminimierungsprinzip aus Art. 5 Abs. 1 lit. c) DSGVO, welches trotz des abweichenden Wortlautes auch im Bereich der JI-RL (Art. 4 Abs. 1 lit. c), 8 Abs. 1 JI-RL, umgesetzt z.B. in § 47 Abs. 1 Nr. 3 BDSG) gelten soll.7 Auch innerhalb einer Behörde als Verantwortliche) sollen Verarbeitung personenbezogener Daten nur vorgenommen, wenn sie erforderlich sind8 (vgl. z.B. explizit § 15 Abs. 1 Nr. 2 BKAG). Dieser Maßstab ist strenger und die damit korrespondierende Einschätzungsprärogative somit geringer, soweit besondere Kategorien personenbezogener Daten gem. Art. 10 der JI-RL, § 48 BDSG (z.B. ethnische oder religiöse Zugehörigkeit) verarbeitet werden.9


Weiterhin dient ein Berechtigungskonzept auch der Missbrauchsprävention. Wie diverse Fälle in der Vergangenheit gezeigt haben, sind gerade polizeiliche Datenbanken mit einer hohen Zahl von personenbezogenen Daten missbrauchsanfällig.10 Das Missbrauchsrisiko steigt grundsätzlich mit jedem zusätzlichen zugriffsberechtigten Beamten. Gleichzeitig existiert selbstverständlich das Bedürfnis einer effektiven Aufgabenerfüllung, gerade in gemeinschaftlich bearbeiteten Vorgängen und die Notwendigkeit einer funktionierenden Vertretung in Abwesenheitsfällen. Schließlich wäre es wertungswidrig, wenn der Gesetzgeber elektronische Dateisysteme explizit auch mit Blick auf deren Beitrag zur Effektivierung der Gefahrenabwehr bzw. Strafverfolgung einführt, nur um genau diese Vorteile dann durch erdrückende datenschutzrechtliche Vorgaben wieder zunichte zu machen. Es muss bei der Erstellung von Berechtigungskonzepten also ein angemessener Ausgleich gefunden werden zwischen datenschutzrechtlichen Belangen und der effektiven Arbeit mit den jeweiligen Fachverfahren.

 

5 Transparenz


Transparenz ist ein unabdingbares Wesenselement des Datenschutzrechts. Der Gedanke, dass Betroffene die Verarbeitungsprozesse ihrer Daten nachvollziehen können, kommt schon im Volkszählungsurteil des BVerfG, der „Geburtsstunde“ des Rechts auf informationelle Selbstbestimmung, zum Vorschein.11 Darauf aufbauend hat der Transparenzgrundsatz eine Kontrollfunktion, der Betroffene soll auf die Verarbeitung seiner Daten einwirken können.12 Diese Nachvollziehbarkeit der einzelnen Verarbeitungen wird angesichts der Komplexität moderner Datenverarbeitungen mit unterschiedlichen elektronischen Verarbeitungssystemen immer illusorischer. Dies gilt umso mehr für den Sicherheitsbereich, in welchem die Ermittlungsbehörden gerade darauf angewiesen sind, dass ihre Verarbeitungsvorgänge für den Betroffenen nicht vollständig nachvollziehbar sind.


Daher normiert Art. 4 Abs. 1 JI-RL und dieser folgend § 47 BDSG im Gegensatz zu den Datenschutzgrundsätzen in Art. 5 Abs. 1 lit. a) DSGVO die Transparenz nicht explizit. Allerdings enthält auch das polizeiliche Datenschutzrecht verschiedene Instrumente zur Gewährleistung bestehender und Kompensation von verlorengegangener Transparenz.

 

6 Transparenzrechte


So sieht die JI-RL ebenso wie die Art. 12 ff. der DSGVO spezielle Transparenzrechte für die Betroffenen vor, um sie über die Modalitäten der Datenverarbeitung zu informieren. Grundsätzlich müssen sie demnach gem. Art. 13 JI-RL, § 55 BDSG bei der ersten Verarbeitung ihrer personenbezogenen Daten über wesentliche Modalitäten der Verarbeitung informiert werden. Auch enthält die JI-RL in Art. 14 (umgesetzt in § 56 BDSG) als Pendant zum vieldiskutierten Art. 15 DSGVO ein Auskunftsrecht über die von der betroffenen Person gespeicherten Daten. Dieses Auskunftsrecht dient nicht zuletzt der sekundärrechtlichen Ausgestaltung des bereits primärrechtlich in Art. 8 Abs. 2 EU-GRCh verankerten Rechts auf Auskunft.13


Um jedoch den angesprochenen Ermittlungsinteressen und damit korrespondierenden Geheimhaltungsbedürfnissen sicherheitsbehördlicher Tätigkeit gerecht zu werden, sieht Art. 15 der JI-RL (umgesetzt in § 57 Abs. 4 BDSG i.V.m. § 56 Abs. 2 BDSG) Beschränkungsmöglichkeiten dieser Transparenzrechte vor, etwa um laufende Ermittlungen nicht zu gefährden.

 



Wenngleich diese Ausnahme funktional notwendig ist und daher auch die gesetzgeberische Abwägungsentscheidung auf einer tragfähigen Grundlage beruht, ist sie kein Freifahrtschein, um Auskunftsersuchen ohne Begründung zurückzuweisen. Die verantwortliche Stelle ist gehalten, die Einschränkung oder vollkommene Ablehnung einer Auskunftsanfrage entsprechend substantiiert zu begründen.14 Diese Begründung erfordert eine konkret-individuelle Auseinandersetzung mit dem jeweils zugrunde liegenden Sachverhalt und eine tragfähige polizeiliche Prognose hinsichtlich der befürchteten Schutzgutgefährdung. Eine inhaltsleere Begründung, welche sich auf schematische Überlegungen oder gar eine bloße Wiederholung des Gesetzestextes stützt, ist mit der Rechtsschutzgarantie aus Art. 19 Abs. 4 GG unvereinbar.15 Gleichzeitig geht diese Begründungspflicht nicht so weit, dass die Begründung Rückschlüsse auf die geheim zu haltenden Tatsachen geben könnte.16 Letztlich ist also von der verantwortlichen Stelle ein Ausgleich zu finden zwischen der Sicherstellung des Ermittlungserfolges und dem Auskunftsrecht in Verbindung mit dem verfassungsrechtlich garantierten Recht auf effektiven Rechtsschutz aus Art. 19 Abs. 4 GG.17

 

 

7 Transparenzkompensation


Die durch diese Umstände stark verminderte Transparenz bedarf aus grundrechtlichen Gesichtspunkten ausgleichender Kontrollinstrumente. Daher fordert das BVerfG seit ATDG-I18 in ständiger Rechtsprechung, die systeminhärent niedrige Transparenz durch eine geeignete objektive Kontrolle einer unabhängigen Aufsichtsbehörde zu kompensieren. Die datenschutzrechtlichen Aufsichtsbehörden, d.h. der Bundesbeauftragte für den Datenschutz und für Informationsfreiheit und die 16 Landesbeauftragten für Datenschutz spielen somit eine wesentliche Rolle bei der Kompensation der Transparenz und der Effektivierung der Rechtsdurchsetzung im Sicherheitsbereich.19 Ihre institutionelle Errichtung ist damit sowohl verfassungsrechtlich als auch primärrechtlich (Art. 16 Abs. 3 AEUV, Art. 8 Abs. 3 EU-GRCh) geboten.


Als prozedurale Voraussetzung der effektiven objektiven Kontrolle fordert das BVerfG zudem geeignete Zugriffs- und Verwendungsnachweise in Form einer lückenlosen Protokollierungspflicht als technisch-organisatorische Maßnahme.20 Erst diese ermöglicht, dass die angedachte Kontrollfunktion der Datenaufsicht als Kompensation für die limitierte subjektive Kontrollmöglichkeit des Betroffenen tatsächlich im vorgesehenen Umfang wahrgenommen werden kann. Diese Protokollierungspflicht ist zudem auch sekundärrechtlich in Art. 25 der JI-RL, umgesetzt in § 76 BDSG21 vorgesehen. Als Spezialregime zur allgemeinen Pflicht zur Führung eines Verarbeitungsverzeichnisses in Art. 24 der Ji-RL (umgesetzt in § 70 BDSG) sieht sie eine Pflicht zur Protokollierung bei bestimmten Verarbeitungstatbeständen vor, welche auf Anfrage der Datenschutz-Aufsicht bereitzustellen ist.22 Diese Pflicht zur Verbesserung der Rechtmäßigkeitskontrolle kann zudem auch der Missbrauchsprävention dienen, da bereits ihre Etablierung zur Verminderung von nicht dienstlich veranlassten Neugierabfragen führen kann.

 

8 Löschpflichten


Die Verarbeitung der personenbezogenen Daten in einem Verfahren endet schließlich mit deren Löschung. Grundrechtsdogmatisch handelt es sich um den Abbruch bzw. das Unterlassen des fortdauernden Grundrechtseingriffes durch die Speicherung.23


Der Rechtsmaßstab zur Beantwortung der Frage, ab wann für die verantwortliche Stelle eine Löschverpflichtung besteht, hängt davon ab, ob es sich um Daten zur Gefahrenabwehr oder zur Strafverfolgung handelt.


Daten, die der reinen Strafverfolgung dienen und nur zu diesem Zweck erhoben worden, sind im Grundsatz nach Verfahrensbeendigung zu löschen. Die Weiterverarbeitung auch nach Verfahrensbeendigung richtet sich nach dem ausdifferenzierten Spezialregime der §§ 498 Abs. 1 i.V.m. 484 und 485 StPO, welches nach dem neu eingefügten § 500 StPO von den Vorschriften des BDSG flankiert wird.24 Eine Weiterverarbeitung ist hier nur unter engen Voraussetzungen der Speicherung für zukünftige Strafverfahren (§ 484 StPO) oder zur Vorgangsverwaltung (§ 485 StPO) zulässig. Die Rechtsprechung tendiert hier zu einer sehr restriktiven, grundrechtsfreundlichen Linie und legt die Vorschriften zugunsten der Betroffenen aus.25


Für die polizeiliche Informationsverarbeitung deutlich relevanter sind Daten aus der Gefahrenabwehr. Dazu zählen wie bereits angesprochen nach der expliziten gesetzgeberischen Anordnung in § 483 Abs. 3 StPO auch die sog. Mischdateisysteme aus präventiv und repressiv erlangten Daten. Hier richtet sich die Verarbeitung der Daten nach den jeweiligen Landespolizeigesetzen bzw. für Bundespolizeibehörden aus dem jeweiligen Fachgesetz. Auch können nach § 481 Abs. 1 StPO Daten aus dem Strafverfahren für präventiv-polizeiliche Zwecke verwendet werden, soweit kein expliziter Ausschluss durch das flankierende Fachrecht erfolgt ist (§ 481 Abs. 2 StPO).


Die Löschung richtet sich regelmäßig nach dem verfassungsrechtlich geprägten, allgemeinen Erforderlichkeitsgrundsatz im Datenschutzrecht (vgl. §§ 58 Abs. 2, 75 Abs. 2 BDSG).26 Trotz der im Grunde sehr ähnlichen normativen Struktur und damit einhergehenden tatbestandlichen Anforderungen, scheint die Rechtsprechung hier einen deutlich differenzierteren Ansatz zu verfolgen. So ist eine Speicherung nach gefestigter Rechtsprechung zum Beispiel zulässig, wenn zwar eine Einstellung des Strafverfahrens nach § 153 oder § 170 Abs. 2 StPO erfolgte, allerdings ein „Restverdacht“ bleibt.27 Das BVerfG forderte diesbezüglich besonderer von der Polizeibehörde darzulegender Anhaltspunkte, die eine Speicherung trotz Einstellung rechtfertigten.28


Streitig ist hier regelmäßig die polizeibehördliche Gefahrenprognose dahingehend, ob von der betroffenen Person weiterhin Straftaten zu erwarten sind. Hier kommt es, wie auch schon bei der Ablehnung einer Auskunftserteilung, auf eine substantiierte und intersubjektiv nachvollziehbar gemachte Begründung seitens der Polizeibehörde an. Ein pauschaler Verweis auf interne Richtlinien genügt diesem Begründungserfordernis vor dem Hintergrund der teils hohen Grundrechtsintensität nicht.29 Vielmehr ist aufgrund der konkreten Umstände des Einzelfalles auszuführen, welche Tatsachen die behördliche Gefahrenprognose tragen und wieso in der Abwägung das Löschungsinteresse des Betroffenen als Ausfluss des Grundrechts auf informationelle Selbstbestimmung hinter den polizeilichen Ermittlungsinteressen und dem Schutzauftrag zurückstehen muss. Die polizeiliche Gefahrenprognose kann sich dabei wesentlich auf die tatspezifische Wiederholungsgefahr der vom Betroffenen bereits begangenen Straftaten stützen.30


Die Verarbeitungserforderlichkeit im Rahmen des polizeilichen Aufgabenkreises kann ferner auch eine effektive Vorgangsverwaltung umfassen.31 Hier wird der speicherungsfähige Datenumfang aber regelmäßig auf das für die Vorgangsverwaltung Notwendige reduziert sein.

 

9 Ausblick


Die aufgezeigten Aspekte sind nur ein Ausschnitt des datenschutzrechtlichen Instrumentariums, welches dazu beiträgt, auch bei komplex vernetzten elektronischen Dateisystemen im polizeilichen Bereich einen adäquaten Grundrechtsschutz zu gewährleisten. Da insbesondere seit den maßgeblichen Änderungen des allgemeinen und fachgesetzlichen Datenschutzrechtes durch die europäische JI-Richtlinie auch nach sechs Jahren noch verhältnismäßig wenig Literatur und Rechtsprechung zu verzeichnen ist, stehen Behördenleitungen und Datenschutzbeauftragte vor diversen Problemen. Völlige Rechtssicherheit kann nach derzeitigem Stand wohl noch nicht erreicht werden. Umso wichtiger ist es, behördenintern Verarbeitungsprozesse umfassend zu dokumentieren und in Abstimmung mit dem behördlichen Datenschutzbeauftragten risikoadäquate Maßnahmen zu treffen.


Bildrechte: Pixabay.

 

Anmerkungen

  1. Der Autor ist Regierungsinspektor (RI) im Ministerium für Inneres, Bau und Digtalisierung des Landes Mecklenburg-Vorpommern. Der Beitrag gibt ausschließlich die eigene Meinung des Autors wieder und ist nicht dienstlich veranlasst.
  2. Zum Begriff Egbert, in: Hunold/Ruch (Hrsg.), Polizeiarbeit zwischen Praxishandeln und Rechtsordnung, 2020, S. 79 ff.
  3. Näher zur rechtlichen Einordnung und landesrechtlichen Rechtsgrundlagen Schwabenbauer, in: Lisken/Denninger, Handbuch des Polizeirechts, 7. Aufl. 2021, Kapitel G Rn. 831 ff.
  4. Für eine Auflistung vgl. police-it.net/category/polizeiliche-informationssysteme/vorgangsbearbeitungsysteme-polizei (zuletzt abger. am 31.12.2023)
  5. Johannes/Weinhold, in: Johannes/Weinhold, Das neue Datenschutzrecht bei Polizei und Justiz,1. Aufl. 2018, § 1 Rn. 78.
  6. Oder durch spezialgesetzliche Verantwortungszuweisungen, z.B. in § 31 BKAG für den polizeilichen Informationsverbund.
  7. Braun, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, § 47 BDSG Rn. 16 f.  
  8. Vgl. zur Übersicht die Datenschutzbehörde des Kantons Basel-Stadt www.dsb.bs.ch/taetigkeitsbereiche/informations-und-kommunikationstechnologie/berechtigungskonzept.html2 (zuletzt abger. am 31.12.2023).
  9. Frenzel in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, § 48 Rn. 3. Zur Problematik des Erforderlichkeitsmaßstabes in Art. 10 JI-RL vgl. jüngst den Menschenrechtsbericht 2023 des Deutschen Instituts für Menschenrechte, S. 33 ff.; Arzt, DÖV 2023, 996    
  10. So wurden zwischen 2018 und 2020 laut einer Umfrage der WELT mehr als 400 Ordnungswidrigkeiten- oder Strafverfahren wegen rechtswidriger Datenverarbeitungen durch Polizeibeamte geführt, www.welt.de/politik/article212217181/Polizei-Mehr-als-400-Verfahren-gegen-Beamte-wegen-privater-Abfragen-an-Dienstrechnern.html (zuletzt abger. am 31.12.2023).
  11. BVerfGE 65, 1 Rn. 146.
  12. Voigt, in: Taeger/Gabel, DSGVO – BDSG – TTDSG, 4. Aufl. 2022, Art. 5 DSGVO Rn. 16 m.w.N.
  13. Richtigerweise enthält Art. 8 Abs. 2 EU-GRCh jedoch kein primärrechtsunmittelbares Auskunftsrecht, sondern einen Ausgestaltungsauftrag an den Sekundärrechtsgeber, dieses Auskunftsrecht im Datenschutzrecht umzusetzen und mit gegenläufigen Interessen abzuwägen, näher Marsch, Das europäische Datenschutzgrundrecht, 2018, S. 127 ff.
  14. VG Wiesbaden, Beschl. vom 30.7.2021 – 6 K 421/21.WI Rn. 29.:
  15. St. Rspr. des VG Wiesbaden, vgl. Urt. v. 26.3.2021 – 6 K 59/20.WI Rn. 18 m.w.N.
  16. VG Köln, Urt. v. 18.4.2019 – 13 K 10236/16 zu § 15 BVerfSchG.
  17. In diesem Sinne auch Paal, in: Paal//Pauly, DS-GGVO BDSG, 3. Aufl. 2021, § 56 BDSG Rn. 8.
  18. BVerfGE 133, 277 Rn. 216.
  19. Für einen Überblick über die Kontrollzuständigkeiten des BfDI vgl. Sosna, GSZ 2022, 245.
  20. BVerfGE 133, 277 Rn. 217 – seitdem ebenfalls ständige Rechtsprechung. Zur Protokollierungspflicht für Löschungen und Datenübermittlungen vgl. schon BVerfGE 100, 313 Rn. 280.  
  21. Und fachgesetzlichen Spezialnormen wie § 81 BKAG und §§ 488 Abs. 3 Satz 3, 493 Abs. 3 Satz 3 StPO.
  22. Ausführlich Benamor ZD 2023, 23.
  23. BeckOK DatenschutzR/Worms, 43. Ed. 1.11.2021, BDSG, § 58 Rn. 40 f.; etwas anderes ist die Teil-Löschung, soweit die verbliebenen Daten den Sachverhalt nicht mehr richtig wiedergeben, s. BeckOK PolR NRW/Ogorek, 27. Ed. 1.11.2023, PolG NRW § 32 Rn. 16.
  24. Dazu Benamor, K&R 2023, 95 ff.; Schelzke, StraFo 2019, 353 ff.
  25. OLG Hamm, Urt. v. 26. 2. 2021 – III-1 VAs 74/20; OLG Hamm, Urt. v. 6. 8. 2022 – 1 VAs 48/22.
  26. Vgl. Art. 62 Abs. 2 BayPAG, § 79 Abs. 1 BKAG, § 48 Abs. 2 ASOG Bln.
  27. St. Rspr des BayVGH, z.B.: Beschl. v. 17.3.2022 – 10 ZB 21.3222 Rn. 9; Beschl. v. 30.1.2020 – 10 C 20.10, Rn. 8; Beschl. vom 2.11.2020 – 10 C 20.2308 Rn. 8.; siehe auch VG Gießen, Urt. vom 09.01.2023 – 4 K 675/22.GI.
  28. BVerfG, Kammer-Beschl. v. 16.5.2022 – 1 BvR 2257/01.
  29. BayVGH, Beschl. v. 16.03.2020 – 10 ZB 19.423.
  30. VG Augsburg Urt. v. 19.7.2022 – Au 8 K 22.354 Rn. 43 ff.; In die Richtung auch VG Münster Urt. v. 9.4.2021 – 1 K 2406/17 Rn. 41.
  31. So die st. Rspr des OVG Lüneburg, vgl. z.B.: Urt. v. 08.08.2008 – 11 LA 194/08; Urt. vom 11.7.2017 – 11 LC 222/16; Urt. vom 14.1.2020 – 11 LC 191/17 Rn. 38.