EU-Datenschutzreform

– das Ende der Einwilligung als Rechtsgrundlage für die polizeiliche Datenverarbeitung?

Von PD Dirk Staack, Owschlag¹

Die EU-Datenschutzreform mit der Datenschutzgrundverordnung (DSGVO)² und der sog. JI-Richtlinie³ wurden im April 2016 vom Europäischen Parlament und vom Rat der Europäischen Union verabschiedet.

Die Normen bilden den datenschutzrechtlichen Rahmen der Europäischen Union, sollen für eine Mindestharmonisierung des Datenschutzniveaus innerhalb der Europäischen Union sorgen und haben damit erhebliche Auswirkungen auf die Datenschutzregelungen in der Bundesrepublik. Nach einer Übergangszeit von zwei Jahren trat die DSGVO zum 25. Mai 2018 in Kraft und führte zu vielfältigen Diskussionen bei Behörden, Vereinen und Verbänden, Schulen, Firmen und auch bei Privatpersonen über die nunmehr zu beachtenden Datenschutzregelungen. In der öffentlichen Diskussion eher unbeachtet blieb die Verabschiedung der sog. JI-Richtlinie, die sich auf die Aufgabe der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten⁴ oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit bezieht und sich damit insbesondere an die Polizei und die Justiz richtet. Die JI-Richtlinie musste bis zum 6. Mai 2018 in nationales Recht umgesetzt werden, so dass in zahlreichen Bundes- und Landesgesetzen Änderungsbedarf entstand. Allerdings sind die Polizeigesetze noch nicht in allen Ländern entsprechend angepasst worden.⁵ In diesem Zusammenhang wird diskutiert, ob die Einwilligung der betroffenen Person als Rechtsgrundlage polizeilicher Datenverarbeitung noch tragfähig ist.⁶ Der vorliegende Beitrag soll daher am Beispiel des Landesrechts Schleswig-Holstein der Frage nachgehen, ob die Einwilligung in die polizeiliche Datenverarbeitung zum Zwecke der Strafverfolgung und der Gefahrenabwehr als Rechtsgrundlage durch die Umsetzung der JI-Richtlinie wegfallen wird bzw. bereits weggefallen ist.

1 Praxisrelevanz

Die Einwilligung in die Datenverarbeitung durch die betroffene Person ist für alle Felder polizeilicher Tätigkeit von Relevanz. Im Bereich der Strafverfolgung gibt es mehrere Befugnisnormen, die eine Einwilligung voraussetzen, z.B. § 81c StPO Untersuchung anderer Personen, § 81h StPO DNA-Reihenuntersuchung, § 81f StPO Verfahren bei molekulargenetische Untersuchung und § 81g StPO DNA-Identitätsfeststellung. Im präventiven Bereich regelt bereits die allgemeine Verfahrensvorschrift des § 177 LVwG, dass personenbezogene Daten zum Zwecke der Gefahrenabwehr verarbeitet werden dürfen, „soweit dies durch Gesetz ausdrücklich zuglassen ist oder die betroffene Person eingewilligt hat.“ Daneben gibt es spezifische Regelungen, wie z.B. § 179 Abs. 4 LVwG Datenerhebung zur Gefahrenvorsorge und § 195 LVwG Datenabgleich. Zudem ist die Polizei häufig auf eine nicht normgebundene Einwilligung in die Datenverarbeitung angewiesen, z.B. im Rahmen der Zuverlässigkeitsüberprüfung bei Großveranstaltungen wie dem Wacken-Open-Air, die freiwillige Herausgabe von personenbezogenen Daten, die von der Identitätsfeststellung nicht umfasst sind und damit auf Basis der Eingriffsermächtigung nicht verlangt werden dürfen, wie die Handynummer oder die Erreichbarkeit auf der Arbeitsstelle oder die Erhebung von Vergleichsfingerabdrücken des Wohnungsinhabers nach einem Wohnungseinbruchsdiebstahl.⁷

2 Ausgangslage

Die DSGVO trat zum 25. Mai 2018 in Kraft und ist als europäische Verordnung unmittelbar geltendes Recht.⁸ Sie enthält „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“⁹ und „gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“¹⁰ Die DSGVO gilt jedoch u.a. nicht für „die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“.¹¹ Diese Formulierung entspricht dem Gegenstand und den Zielen der sog. JI-Richtlinie, die den „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“¹²umfassen und damit besondere datenschutzrechtliche Anforderungen an die Polizei und die Justiz stellen. Für die polizeiliche Datenverarbeitung gehen demnach die strengeren Regelungen der JI-Richtlinie der DSGVO vor.¹³Über die Datenschutzgesetze des Bundes und der Länder sowie entsprechenden Anpassungen in zahlreichen Sicherheitsgesetzen wie der Strafprozessordnung und der Polizeigesetze entfaltet die JI-Richtlinie ihre Wirkung auch in den Datenverarbeitungsregelungen des polizeilichen Aufgabenvollzugs. Im Ergebnis sind in der Bundesrepublik eine Vielzahl von Bundesgesetzen und Landesgesetzen an den Vorgaben der JI-Richtlinie auszurichten. Der Bundesgesetzgeber hat bereits ein neues Bundesdatenschutzgesetz (BDSG)¹⁴ und der Landesgesetzgeber Schleswig-Holstein ein neues Landesdatenschutzgesetz (LDSG-SH)¹⁵ erlassen. Die erforderlichen Anpassungen der StPO und des LVwG stehen hingegen noch aus.

3 Anwendungsbereich der JI-Richtlinie

Der Anwendungsbereich der JI-Richtlinie ist aufgrund unterschiedlicher Aussagen in den Erwägungsgründen und dem eigentlichen Richtlinientext umstritten.¹⁶ Nach Art. 1 der JI-Richtlinie richtet sich die Regelung an Behörden, die „zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ Daten verarbeiten. Damit sind zunächst Strafverfolgungsbehörden und die Justiz Adressat der Richtlinie. Im polizeilichen Aufgabenfeld ist die Richtlinie damit stets dann anzuwenden, wenn die Polizei Straftaten verfolgt und damit repressiv tätig wird. Umfasst ist allerdings auch die Verhütung von Straftaten und damit ein Aufgabenfeld, das klassisch der Gefahrenabwehr zuzurechnen ist. Die Erweiterung durch den Halbsatz „einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“¹⁷ verdeutlicht diesen übergreifenden Ansatz, wobei sich die gefahrenabwehrende Datenverarbeitung an der Aufgabe der Strafverfolgung orientieren soll und nur diejenige Fälle erfasst, die im Zusammengang mit der Verfolgung einer Straftat stehen.¹⁸ Nach den Erwägungsgründen zur JI-Richtlinie „zählen dazu auch polizeiliche Tätigkeiten in Fällen, in denen nicht von vornherein bekannt ist, ob es sich um Straftaten handelt oder nicht“, wie z.B. „bei Demonstrationen, großen Sportveranstaltungen und Ausschreitungen“.¹⁹ Fraglich ist, unter welcher Regelung die polizeiliche Datenverarbeitung zur „reinen“ Gefahrenabwehr, d.h. ohne Bezug zu einer Straftat fällt. Nach enger Auslegung der JI-Richtlinie wäre in solchen Fällen die DSGVO anzuwenden. Das Ziel, dass die polizeiliche Datenverarbeitung einheitlichen Regelungen folgt, wird dadurch jedoch verfehlt. Im Gegenteil, das Aufgabengebiet der Gefahrenabwehr würde je nach Tätigkeitsbereich der JI-Richtlinie oder der DSGVO unterfallen. Dies ist nach dem Erwägungsgrund Nr. 12 der JI-Richtlinie unproblematisch möglich, denn die Mitgliedstaaten können „die zuständigen Behörden mit anderen Aufgaben betrauen, die nicht zwangsläufig für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, ausgeführt werden, so dass die Verarbeitung von personenbezogenen Daten für diese anderen Zwecke insoweit in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt, als sie in den Anwendungsbereich des Unionsrechts fällt.“ Die Polizei wäre allerdings je nach Aufgabe unterschiedlichen EU-Vorgaben unterworfen, die der Gesetzgeber im jeweiligen Polizeigesetz zu berücksichtigen hat. Der schleswig-holsteinische Gesetzgeber hat diesen Umstand bei der Umsetzung der JI-Richtlinie in das LDSG-SH Rechnung getragen, indem er die strengeren datenschutzrechtlichen Vorgaben der JI-Richtlinie auch für die „reine“ Gefahrenabwehr übernimmt. Damit ist die polizeiliche Datenverarbeitung in Schleswig-Holstein losgelöst von der jeweiligen Aufgabe einheitlichen Datenschutzregelungen unterworfen.