Zweifel an der Einhaltung gesetzlicher Kennzeichnungspflichten in polizeilichen Informationssystemen

Wenn Kontrolle fehlt, werden Gesetze ignoriert

5. Mai 2017 | Von | Kategorie: AKTUELLES, BUND-LÄNDER-VERBUNDSYSTEME, DATENBANKEN / INFORMATIONSSYSTEME, POLIZEIBEHÖRDEN DER LÄNDER, POLIZEIBEHÖRDEN DES BUNDES, POLIZEILICHER INFORMATIONSAUSTAUSCH

Strafprozessordnung und Polizeigesetze fordern, personenbezogene Daten in polizeilichen Informationssystemen zu kennzeichnen, um sie vor illegitimer Nutzung und Weitergabe zu schützen. Es ist allerdings sehr fraglich, ob die Polizeibehörden diesen Verpflichtungen schon jemals gerecht geworden sind. Zumal das Ignorieren der Kennzeichnungspflichten bisher ohne Risiko war: Denn die Datenschutz-Aufsichtsbehörden haben entsprechende Kontrollen bisher noch nie vorgenommen.

_________________________________________________________________________________________________

Mit der Verpflichtung zur Kennzeichnung von bestimmten, personenbezogenen Daten wollte der Gesetzgeber erreichen, dass Einzelangaben über eine bestimmte Person mit Kennzeichnungen versehen werden, die die zulässige Nutzung und Weitergabe dieser Daten, wo nötig, einschränken.

Gesetzliche Kennzeichnungspflichten aus der Strafprozessordnung

Umfangreiche Kennzeichnungsanforderungen enthält insbesondere die Strafprozessordnung (StPO); sie ist das in allen Bundesländern geltende Gesetz über die Durchführung von Strafverfahren. Sie wirkt sich somit auf sämtliche strafrechtlichen Ermittlungsverfahren aus, in denen Polizei als ‚Erfüllungsgehilfe‘ der Staatsanwaltschaft tätig wird. Und damit auch auf die Informationen, die bei strafrechtlichen Ermittlungsverfahren erhoben wurden.

Zweckbindung

Die Liste der Kennzeichnungsanforderungen aus der Strafprozessordnung beginnt bereits damit, dass der Zweck der Datenerhebung für personenbezogene Daten erkennbar sein muss. Der aktuelle Standardkommentar zum Polizeirecht [1] sagt darüber ganz eindeutig: „Den verfassungsrechtlichen Vorgaben entsprechend [sic!] gilt auch im Polizei- und Strafverfahrensrecht das grundsätzliche Gebot der Zweckbindung. Das bedeutet, dass Daten nur zu dem Zweck verwendet werden dürfen, zu dem sie erhoben worden sind. Dieses Prinzip soll der missbräuchlichen Verwendung von einmal beschafften Daten entgegen wirken.“

Verdeckte polizeiliche Überwachungsmaßnahmen – Pflicht zur Kennzeichnung von so erhobenen Daten aus der Strafprozessordnung (StPO)

Die Befugnisse der Polizei zur Durchführung von ‚Maßnahmen der verdeckten Datenerhebung‘ wurden in den vergangenen Jahren erheblich ausgeweitet. Dabei geht es ums „Abhören“ von Telefon oder Wohnung, um Observation und ähnliches. Das sind schwerwiegende Eingriffe in Grundrechte [a]. Bei allen dabei erhobenen Einzelangaben muss daher ausdrücklich gekennzeichnet werden, dass sie durch solche ‚verdeckten Maßnahmen‘ gewonnen wurden. Wenn Polizei als ‚Erfüllungsgehilfe der Staatsanwaltschaft‘ tätig wird, gilt die entsprechende Kennzeichnungspflicht aus §101 StPO. Die verdeckten Maßnahmen der Datenerhebung, die eine Kennzeichnung aller dabei erhobenen Daten erfoderlich machen, sind dort im Einzelnen aufgelistet:

  • Rasterfahndung (§98a StPO),
  • Postbeschlagnahme (§99 StPO),
  • Telekommunikationsüberwachung (§100a StPO),
  • akustische Wohnraumüberwachung (§100c StPO),
  • akustische Überwachung außerhalb von Wohnraum (§100f StPO),
  • Erhebung von Verkehrsdaten (§100g StPO),
  • weitere verdeckte Maßnahmen außerhalb von Wohnraum (§100h StPO),
  • technische Ermittlungsmaßnahmen bei Mobilfunk Endgeräten (§100i StPO),
  • Bestandsdatenauskunft (§100j StPO),
  • Datenerhebung durch verdeckte Ermittler (§110a StPO);
  • Speicherung und der Abgleich von Daten aus Kontrollen (§163a StPO),
  • Ausschreibung zur Beobachtung bei polizeilichen Kontrollen (§163e StPO),
  • sowie die längerfristige Observation (§163f StPO).
    • In §101, Abs. 3 StPO heißt es dann unmissverständlich: Aus solchen Maßnahmen erhobene „personenbezogene Daten … sind entsprechend zu kennzeichnen. Nach einer Übermittlung an eine andere Stelle ist die Kennzeichnung durch diese aufrechtzuerhalten.“

      Welche einzelnen Daten müssen gekennzeichnet werden?

      Der Gesetzestext ist eindeutig: Er spricht von „personenbezogenen Daten“. Die sind (im Bundesdatenschutzgesetz) definiert als „Einzelangaben über eine bestimmte Person“. In Polizeibehörden scheint allerdings die Haltung vorzuherrschen, dass es vollkommen ausreichend ist, wenn ein „Fall“ [b] entsprechend gekennzeichnet wird. Das ist durch das Gesetz allerdings in keiner Weise gedeckt und war erkennbar auch nicht die Intention des Gesetzgebers. An einem „Fall“ können nämlich hunderte von Personen hängen, als Geschädigte, Tatverdächtige/Beschuldigte, Kontaktpersonen, Zeugen, Hinweisgeber usw. Der Gesetzgeber wollte jedoch, dass die Einzelangaben zu jeder Person, wo notwendig, gekennzeichnet werden: Das ist eine Anforderung, die nach meiner Kenntnis der Praxis [d] bisher weder erfüllt ist, noch von den meisten im Einsatz befindlichen IT-Systemen aus technischen Gründen erfüllt werden kann.

      Kennzeichnungspflichten aus anderen Bundesgesetzen

      Die Strafprozessordnung ist nicht das einzige Bundesgesetz, das Kennzeichnungspflichten für personenbezogene Daten vorgibt. Ohne Anspruch auf Vollständigkeit dieser Aufzählung sind Kennzeichnungspflichten z.B. auch im Antiterrordatei-Gesetz (ATDG) enthalten und im Rechtsextremismusdatei-Gesetz (RED-G)

      Exkurs: Wer sind denn die betroffenen Personen?

      Bei manchem Zeitgenossen könnte nun der Eindruck aufkommen, dass der normale, unbescholtene Staatsbürger ja keinen Anlass dafür liefert, dass Polizei gegen ihn mit „verdeckten Maßnahmen“ ermittelt, also: Dass es schon einen Anlass geben wird, wenn Polizei solche „Geschütze“ auffährt. Eine solche Einstellung wäre allerdings grob falsch. Denn grundsätzlich kann jeder von verdeckten polizeilichen Maßnahmen werden: Zum Beispiel derjenige, der mit einer Person telefoniert, die ihrerseits das Ziel einer solchen Maßnahme ist. Oder derjenige, der in Kontakt oder als Begleitung einer solchen Zielperson von der Polizei beobachtet wird. Dazu reicht ein nachbarschaftliches Verhältnis oder ein harmloses Gespräch beim Bäcker. Das Politmagazin Monitor hat in der vergangenen Woche einen Beitrag ausgestrahlt [2], der sehr deutlich visualisiert, wie leicht eine unbescholtene Person in den Fokus der Polizei geraten kann und demzufolge auch deren Daten gespeichert werden.

      „Dann wird man aber benachrichtigt …“ wenden Sie ein?!

      Das ist alles andere als gesagt! Denn erstens hat der Gesetzgeber in der StPO den Polizeibehörden umfangreiche Ausnahmeregelungen eingeräumt, mit denen sie die an sich vorgeschriebene Benachrichtigung unbescholtener Betroffener verhindern oder zumindest für lange Zeit vermeiden können. Und zweitens könnten Polizeibehörden diese Benachrichtigung ja nur dann vornehmen, wenn die Daten der betroffenen (unbescholtenen) Person auch entsprechend gekennzeichnet sind …

      Kennzeichnungspflichten aus den Polizeigesetzen

      Während die Strafprozessordnung bundesweit für die Durchführung von strafrechtlichen Ermittlungsverfahren anzuwenden ist, hat jede Landespolizeibehörde und die beiden Bundespolizeibehörden auch noch ihr eigenes Polizei-(aufgaben-)gesetz zu beachten. In diesen Gesetzen gibt es weitere Kennzeichnungspflichten für personenbezogene Daten, insbesondere solche, die aus polizeilichen Handlungen im Rahmen der Gefahrenabwehr (und nicht der Strafverfolgung) erhoben wurden.

      Aus der polizeilichen Praxis stammende Kennzeichnungsnotwendigkeiten

      Neben den gesetzlichen gibt es weitere Kennzeichnungsnotwendigkeiten, die rein praktisch oder verfahrenstechnisch begründet sind:

      Kennzeichnungen im Zuge der Datenübermittlung

      Häufig werden Daten von einer Polizeibehörde an eine andere übermittelt.

      Insbesondere gibt es zahlreiche Meldeverpflichtungen, die die Landespolizeibehörden dazu verpflichten, bestimmte Straftaten oder Ereignisse von überregionaler Bedeutung im Rahmen des „Kriminalpolizeilichen Meldedienstes“ (KPMD) an das Bundeskriminalamt zu übermitteln. Solche Meldeverpflichtungen gibt es in nahezu allen Deliktsbereichen, von Kinderpornographie, über Falschgeld, Eigentums- und Vermögensdelikte, Rockerkriminalität, Politisch Motivierte Kriminalität (PMK) usw. usw.

      Dabei geschieht es zwangsläufig häufig, dass Daten bereits übermittelt wurden und die sachbearbeitende Polizeidienststelle danach erst feststellt, dass Korrekturen notwendig sind, z.B. weil sich ein Name oder ein Geburtsdatum im Zuge der Ermittlung als falsch herausgestellt hat. Damit solche Korrekturen „hinterhergeschickt“ werden können, muss irgendwo verzeichnet sein, welche Informationen an welche Empfänger übermittelt wurden. Das ist eine ganz praktische Anforderung an die Kennzeichnung. Wenn das nicht geschieht, häufen sich beim Empfänger (und insbesondere beim BKA) über kurz oder lang nicht gepflegte/ korrigierte Informationen. Mängel bei dieser Kennzeichnung bzw. bei der Übermittelbarkeit von Korrekturen könnten ein wesentlicher Grund dafür sein, dass das BKA in letzter Zeit über mangelnde Datenqualität klagt.

      Kennzeichnung von Qualität und Quelle einer Information („Anacapa-Bewertung“ [c])

      Polizeiliche Informationssysteme enthalten ja nicht nur hundertprozentig gesicherte, „bombenfeste“ Informationen. Gerade im Zuge der Ermittlung und Fallbearbeitung entstehen bei der Polizei eine ganze Reihe von Informationen, die bewertet werden müssen, bevor man irgenwelche Erkenntnisse darauf stützen kann: Man denke an die Aussagen eines Zeugen über einen Tatverdächtigen: Der sei ca. 1,80 groß und blond gewesen. Das wurde bisher aber nicht polizeilich überprüft, weil der Tatverdächtige noch gar nicht bekannt ist. Es ist also polizei-fachlich notwendig, dass der anzunehmende ‚Wahrheitsgehalt‘ solcher Informationen gekennzeichnet wird. International gebräuchlich ist dafür die so genannte ‚Anacapa-Bewertung‘ [c], ein Code aus einer Ziffer und einem Buchstaben. Die Ziffer kann ein Wert aus einer Skala von 1 bis 4 annehmen. ‚1‘ steht für „unzweifelhaft wahr bzw. richtig“ und ‚4‘ für „unbestätigte Information“.

      Und dann gibt es noch einen zweiten Teil, nämlich einen Buchstaben von A bis C, sowie X. Damit wird angegeben für wie belastbar die Polizei den entsprechenden Informationsgeber hält. Mit ‚A‘ wird die Information aus einer absolut zuverlässigen Quelle gekennzeichnet, mit ‚C‘ eine eher zu unzuverlässige Quelle und mit ‚X‘ eine Quelle, die überhaupt nicht bewertet werden kann.

      Zweifel an der Beachtung der Kennzeichnungspflicht in den aktuell eingesetzten polizeilichen IT-Systemen

      Es gibt inzwischen sehr begründete Zweifel daran, ob die IT-Systeme der Polizeibehörden der Länder und des Bundes überhaupt in der Lage sind, diese seit langem gegebenen gesetzlichen Kennzeichnungspflichten überhaupt einzuhalten. Diese Zweifel hat vor allem das Bundesministerium des Innern selbst hervorgerufen bei der Vorlage und Verabschiedung des neuen BKA-Gesetzes.

      In dem in der letzten Woche im Bundestag verabschiedeten Entwurf für das neue BKA Gesetz ist in §14 („Kennzeichnung“) erstmals eine Regelung über die Datenkennzeichnung aufgenommen. Was positiv klingt, lässt bei Fachleuten jedoch die Alarmglocken läuten.

      Fragen über Fragen …

      1. Denn die dort vorgesehenen Kennzeichnungspflichten sind sehr allgemein, geradezu banal und absolut nichts Neues. Sie berücksichtigen in keiner Weise die detaillierten Kennzeichnungspflichten, wie sie sich aus der Strafprozessordnung (und aus Landespolizeigesetzen) schon seit langem ergeben. Man fragt sich also: Warum werden diese Banalitäten jetzt ins Gesetz geschrieben?!
        Können die IT-Systeme der Polizeibehörden etwa gar nicht, was schon seit Jahren gesetzliche Verpflichtung ist?! Wenn diese Annahme zutrifft: Welche rechtlichen und praktischen Auswirkungen hat das dann eigentlich auf die personenbezogenen Informationen, die gespeichert sind, aber nicht gekennzeichnet sind?! Wie „verwertbar“ sind solche Informationen? Und wie werden sie tatsächlich genutzt und verwertet?
      2. Selbst wenn das BKA-Gesetz auch den Bundesrat passieren sollte – was noch lange nicht sicher ist – so stellt sich auch die Frage: Wie stellt man sich beim BMI und beim BKA eigentlich nach dem Inkrafttreten des neuen BKA-Gesetzes die gesetzeskonforme Speicherung von Daten vor, die im Zuge einer Strafverfolgungsmaßnahme von einer Polizeibehörde erhoben und dann an das BKA übermittelt wurden?! Denn das datenschutzrechtlich so aufgeweichte neue BKA-Gesetz hebt ja noch lange nicht die Regelungen aus der StPO aus den Angeln Und dann wären da auch die weiteren Kennzeichnungspflichten, die sich aus den nach wie vor geltenden zahlreichen Polizeigesetzen der Länderpolizeien ergeben.
      3. Geradezu ein Dauer-Alarmton ergab sich dann für den Beobachter aus dem Winkelzug unmittelbar vor der zweiten und dritten Lesung des BKA-Gesetzes im Bundestag. Da wurde nämlich quasi über Nacht eine Übergangsvorschrift als neuer §91 ins neue BKA-Gesetz eingefügt. Sie besagt, dass personenbezogene Daten, die noch nicht einmal diesen minimalen Kennzeichnungsanforderungen aus dem neuen §14 entsprechen, dennoch (beim BKA) weiterverarbeitet werden dürfen. Einzige Voraussetzung dafür ist, dass das BMI bzw. das BKA bis zum 28.05.2018, dem Datum des beabsichtigten Inkrafttretens des neuen BKA-Gesetzes, „im geheimen Kämmerlein“ Errichtungsanordnungen ausformulieren, die diese Aufweichung zulässig machen.

      Für Thomas Petri, den bayerischen Landesbeauftragten für Datenschutz, steht fest: „Die Kennzeichnung ist eine ganz zentrale Voraussetzung dafür, dass die Polizei personenbezogene Daten verarbeiten darf. Das gucken wir uns so bald wie möglich an.“
      Das sollte nun sehr bald geschehen. Herr Petri, Kolleginnen und Kollegen: Prüfen Sie und sorgen Sie dafür, dass heute schon geltende Gesetze auch eingehalten werden!

      _________________________________________________________________________________________________

      Fußnote

      [a]   Insbesondere in die Grundrechte nach Art. 10 GG (Post-, Brief- und Fernmeldegeheimnis) und Art. 13 GG (Unverletzlichkeit der Wohnung)

      [b]   Als „Fall“ wird in den entsprechenden polizelichen Informationssystemen ein Ermittlungsverfahren oder eine polizeiliche Maßnahme oder ein entsprechender „Fallkomplex“ betrachtet. Der „Fall“ wirkt wie eine logische Klammer für alle Informationen (Personen, Sachverhalte, Sachen, etc.), die „in“ diesem „Fall“ relevant sind.

      [c]   Anacapa-Bewertung: International weit verbreitete Kennzeichnungsmethode für den Wahrheitsgehalt und die Belastbarkeit der Quelle einer Information in einem polizeilichen Informationssystem; benannt nach der amerikanischen Firma gleichen Namens, die „Crime Analysis“ und „Crime Intelligence“ Verfahren und entsprechende Schulungsmaßnahmen entwickelt und angeboten hat.

      [d]   Die Autorin, Annette Brückner, war von 1993 bis 2013 tätig als Projektleiterin für das Polizeiliche Informationssystem POLYGON. Und in dieser Funktion über mehrere Jahre auch befasst mit der Entwicklung und Bewertung von Konzepten für die Umsetzung gesetzlicher Kennzeichnungsanforderungen in polizeilichen Informationssystemen.

      Quellen

      [1]   Denninger / Rachor ‚Handbuch des Polizeirechts‘, 5. Auflage, dort Rn G155 aus ‚G. Informationsverarbeitung im Polizei- und Strafverfahrensrecht‘

      [2]   BKA-Gesetz: Unschuldige im Visier, 27.04.2017, MONITOR
      http://www1.wdr.de/daserste/monitor/videos/video-bka-gesetz–co-unschuldige-im-visier-100.html

      Verwandte Beiträge

      [A]   Neues BKA-Gesetz beschlossen: Datenbanken der Polizei noch auf weitere Jahre Großbaustelle, 27.04.2017, POLICE-IT
      https://police-it.org/neues-bka-gesetz-beschlossen-datenbanken-der-polizei-noch-auf-weitere-jahre-grossbaustelle

      [B]   Mit der Brechstange: Wie die GroKo ihr neues BKA-Gesetz durchsetzen will, 18.04.2017, POLICE-IT
      https://police-it.org/mit-der-brechstange-wie-die-groko-ihr-neues-bka-gesetz-durchsetzen-will

      [C]   Unkeusche Begründungen im Entwurf zum neuen BKA_Gesetz, 07.04.2017, POLICE-IT
      https://police-it.org/unkeusche-begruendungen-im-entwurf-zum-neuen-bka-gesetz

      [D]   Neues BKA-Gesetz: Polizeiarbeit soll Bundessache werden, 03.02.2017, POLICE-IT
      http://cives.de/neues-bka-gesetz-polizeiarbeit-bundessache-staatsstreich-teil3-4458

      Copyright und Nutzungsrechte

      (C) 2017 CIVES Redaktionsbüro GmbH
      Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. dem oder den namentlich genannten Autor(en).

Schlagworte: , , , , , , , , , , , , , , , ,

Kommentare sind geschlossen