den RR       Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Einsiußun eufphobe u POSTANSCHRIFT ai                        rim:                      Hausanschrift Husarenstraße 30, 53117 Bonn Heer a                                              =              Ro Fiiediichsiate 50, 10117 Berlin errn Holger Münc Nr| Thaerstraße 11                                                Teuerax. (0228) 097799-550 65193 Wiesbaden                                                 E.maL arbeitsgruppe22a@bfdi.bund.de BEARBEITETVON Nils INTERNET : www.datenschutz.bund.de nachrichtlich:                                                  barum Bonn, 24.05.2018 seschArtsz. 22-642109341275 VS-NfD 1. Bundesministerium des Innern                                         Bäte geben Sie das vorstehende Geschäftszeichen bei allen Antwortschreiben unbedingt an. Referat ÖS I 3 Alt-Moabit 140 10557 Berlin 2. Bundeskriminalamt Behördlicher Datenschutzbeauftragter Herrn Dr. Thomas Mentzel, Thaerstraße 11 65193 Wiesbaden BETREFF  Datenschutz beim Bundeskriminalamt HIER Bericht über den datenschutzrechtlichen Kontrollbesuch zu Datenerhebungen nach 87 Abs.2-7BKAG zuletzt mein Schreiben vom 16.08.2017; zuletzt Ihre E-Mail vom 04.09.2017 Sehr geehrter Herr Präsident, am 28. — 30.09.2017 führten meine Mitarbeiterin und Mitarbeiter RD BEE, ORR K                     AR      und OAR'in WÄREN einen Informations-, Beratungs- und Kontrollbesuch an den Standorten Wiesbaden und Meckenheim gemäß 88 24 bis 26 BDSG durch. Gegenstand war die Erhebung personenbezogener Daten auf Grundlage des 8 7 Abs. 2- 7 BKAG. ZUSTELL- UND LIEFERANSCHRIFT     Husarenstraße 30, 53117 Bonn 45095/2017                                            VERKEHRSANBINDUNG       Straßenbahn 61, Husarenstraße

AYS—Nurfürden-Bienstgebraueh RR      Die Bundesbeauftragte für den Datenschutz und         £: die Informationsfreiheit        —nL tufund           aufk loben SETE2VON4 Ihr Haus hat meine Mitarbeiterin und Mitarbeiter freundlich aufgenommen und sehr konstruktiv unterstützt. Dafür bedanke ich mich. Seitens Ihres Hauses waren maßgeblich der behördliche. Datenschutzbeauftragte ünd - zeitlich versetzt — die Referate SO 32 und 42 sowie ST 11, 13, 14, und 15 be- teiligt. A. Die-Kontrolle führte zu folgendem wesentlichen Ergebnis: Die Voraussetzungen der Datenerhebungen gemäß $ 7 Abs. 2 bis 7 BKAG hat das Bundeskriminalamt (BKA) in den geprüften Fällen im Wesentlichen eingehalten. Problematisch waren allerdings teilweise die Datenerhebungen, die auf Anfragen ausländischer Behördenfolgten. In diesen Fällen hat das BKA teilweise eine Daten- erhebung durchgeführt, obwohl die Anfragen unsubstantiiert waren. Von einer for- mellen Beanstandung sehe ich aber ab, weil das BKA gegenüber den anfragenden- Stellen nur sehr restriktiv Auskunft erteilt und’ in den meisten Fällen um Konkretisie- rung der Anfragen gebeten hat. Ich empfehle in diesen Fällen, auch die Datenerhe- bung gemäß $ 7 BKAGin der Regel erst durchzuführen, wenn die Anfrage konkreti- siert wurde: Dringend verbesserungsbedürftig ist die Dokumentation der Datenerhebungen. Von einer Beanstandung seheich hier deshalb vorläufig ab, weil die Dokumentation der- zeit Gegenstand einer weiteren Kontrolle ist (Vorgangsbearbeitungssystem). B. Zur Kontrolle im Einzelnen: Ziel des Beratungs- und Kontrollbesuches war es, zunächst einen Überblick zu erhal- ten und datenschutzrechtlich zu bewerten, in welchen Fallgestaltungen das BKA von den Befugnissen des $ 7 Abs. 2 - 7 BKAG Gebrauch macht, insbesondere aus wel- chem Anlass und in welchem Umfang es Daten nach dieser Rechtsgrundlage erhebt. Eingesehen wurden dazu ausschließlich Fälle, die von den Organisationseinheiten selbst herausgesucht wurden. Die Datenerhebungen werden nicht zentral protokol- liert oder dokumentiert. Datenerhebungen nach $ 7 Abs. 2 -7 BKAGsind nicht ein- heitlich gekennzeichnet. oder für Zwecke des Datenschutzes recherchierbar. Viel- mehr werden sie auf unterschiedliche Weise in den einzelnen Organisationseinheiten 45095/2017

.                      gen FR      Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit      Easlu RErd          auf geh oben SETESVN4 festgehalten. Deshalb war eine Stichprobenziehung durch mich nicht mit vertretba- rem Aufwandzurealisieren. Als Organisationseinheiten wurden Referate geprüft, die nach dem Geschäftsvertei- lungsplan des BKA Zentralstellenauswertungen ausführen. SO 32 ist insb. Auswerte- referat im Bereich der Geldwäsche und SO 42 ist Auswerte- und ermittlungsunter- stützendes Referat für den Bereich Cybercrime. Das Referat ST11 ist Zentralstelle im Bereich PMKlinks, ST 13 — 15 sind im Bereich PMK Rechtstätig. I. Sachverhalt Das BKA nutzt die Datenerhebungsbefugnisse des $ 7 Abs. 2 - 7 BKAGin denge- prüften Organisationseinheiten aus unterschiedlichen Anlässen und in unterschiedli- chem Umfang. 1. Anlässe In einem Teil der Fälle lagen. konkrete Verdachtsmomentefür strafbare Handlungen vor. Diese hatten andere Behörden dem BKA mitgeteilt oder es war selbst auf diese gestoßen, als es offene Inhalte im Internet sichtete. Eine typische Konstellation dafür ist etwa die Anfrage bzw. der Hinweis einer ausländischen Behörde oder Europol, ggf. über Interpol oder ein Verbindungsbüro bei Europol. In solchen Fällen erhebt das BKA die Daten mit dem Ziel, die schnelle Fortsetzung der Ermittlungen oder die Vorabsicherung von Beweismitteln zu gewährleisten. Dies betraf etwa sämtliche vom Referat SO 42 berichteten Fälle. Dieses Referat zur Verfolgung von sog. Cyberkriminalität erhält oft Anfragen, in denen nur eine IP- Adresse der verdächtigen Person vorliegt, z.B. bei über das Internet durchgeführten Angriffen. Aufgrund der kurzen Speicherzeiten bemüht sich das BKA: insofern, schnell zu reagieren und eine Anfrage gemäß $ 113 TKG durchzuführen. Sofern eine konkrete Personfestgestellt werden kann und diese weitere Daten bei einem Anbie- ter speichert (z.B. bei Hosting), bittet das BKA denjeweiligen Providerin bestimmten Fällen, Daten für einen behördlichen Zugriff bereitzustellen bzw. zu sichern. Das BKA erhebe aber die Datenbestände nicht auf Grundlage des $ 7 Abs. 2 BKAG, sondern beschränke sich auf die Bitte zur Vorabsicherung der Daten. Die Beschlagnahme oder Erhebung derDaten bleibe allein dem Strafverfahren bzw. 'bei ausländischen Ersuchen dem Rechtshilfeverfahren. vorbehalten und werde nicht auf Grundlage des $ 7 Abs. 2 BKAG durchgeführt. 45095/2017

den AR     Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit          Ein tu £un d        au Q gehob en SETEAVON4 Klare Hinweise auf strafrechtlich relevante Sachverhalte liegen als weiteres Beispiel auch in den von ST 13 oder ST 14 genannten Fällen vor, in denen die verdächtigen Personen verfassungsfeindliche Symbole nutzen oder beispielsweise konkrete volksverhetzende Formulierungen verwenden. Teilweise warallerdings unklar, welche Straftaten Anlass einer Abfrage waren. Dies betraf zum einen Fälle, in denen das Ersuchen ausländischer Behördenschlicht ungenau bzw. unklar gehalten war. Beispiel ist eine Anfrage der BEREIT Bez ist ein                                           Controller von Geldwä- scherei mit Auswirkungen auf                  . Folgende Telefonnummern wurden im Oktober 2016 von Personen, ee in Verbindung gebracht wer- den, verwendet.“ Die Behördebittet das BKA um Informationen, ob die Te- lefonnummern bekannt sind und darum, ggf. in Erfahrung zu bringen, welchen Per- sonen. diese Telefonnummern zugeordnet sind. Weitere Informationen zum Sachver- halt oder zur strafrechtlichen Relevanz enthält das knapp gehaltene Ersuchennicht. Insbesondere wird der Grund der Anfrage nicht deutlich. Dieser könnte sowohlin ei- nem konkreten Strafverfahren liegen als auch in einer allgemeinen geheimdienstli- chen Lageeinschätzung. Das BKA erläuterte allgemein, dass manche Länder möglichst wenige ihrer Erkennt- nisse preisgeben wollten, um Ermittlungen nicht zu gefährden. Manche Länderfrag- ten allerdings immer zu denselben Personen an, weshalb der Verdacht naheliege, dass Geheimdienste beteiligt seien. In solchen Fällen verweigere das BKA die Ant- wort (siehe unten3.). In anderen Fällen. ging es um Ersuchen, bei denen nach dem Maßstab inländischen Rechts unklar war, ob es um Straftaten oder um Extremismus unterhalb der Strafta- tenschwelle ging. Beispiel sind verschiedene Anfragen DE. Unter der Rubrik ‚Emmmmmmmmmn En \Neitere Informationen zu konkreten Tatvorwürfen enthält das Schrei- 45095/2017

fürden-Dienstgebrauch- Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit     Em sulL                 aufJe Ges | SETESVON4 hen nicht. Als Hintergrundinformationteilten die Mitarbeiter des Referates     mit, die Behörden in EEE unterlägen keinem strikten Trennungsgebot zwischen Polizei und Geheimdiensten. MER . Weiteres Beispiel ist etwa die Datenerhebung zur genutzten Telefonnummer zur Versammlung an der auch „Anarchisten“ teilgenommen hätten . Hier sei polizeiliches Erfahrungswissen Grundlage der Datenerhebung gewesen, weil der Begriff „Anarchisten“ in synonym für Gewalttäter aus dem linken Spektrum verwendet würde. Aus der Unter- lage — die kein Aktenzeichenträgt — ist nicht ersichtlich, um welche konkreten Straf- tatbestände oder sonstigen Vorwürfe es geht. Verschiedene Teilnehmer hatten of- fenbar eine auf den Namen der betroffenen Person registrierte Mobilfunknummer genutzt. Zu der betroffenen Person liegen keine Staatsschutzerkenntnisse vor. a Eine Ausnahmebildete eine komplette Hausanfrage bei dem Melderegister, zur Ab- frage der sonstigen Bewohnerunter der Adresse eines ermittelten Verdächtigen. Weiteres Beispiel sind Geldwäscheverdachtsanzeigen nach dem Geldwäschegesetz, die zu Anfragen beim BKA führen können. 2. Umfang Soweit Telefonnummer oderIP-Adressen bekanntsind, führt das BKA Bestandsda- tenabfragen nach 88 112, 113 TKG durch TE IE EEE Sofern die Abfragen zu einem plausiblen Ergebnis führen, führt das BKA fallabhängig unterschiedliche weitere Schritte durch. Teilweise führen die betreffenden Organisationseinheiten einen Dateienrundlauf aAuurch. EEE ER ME (auf eine nähere Darstellung wird hier verzichtet, diese bleibt der da- 45095/2017

FR     Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit     .   Eiastu fung          2 Phob en SETESVON4 teanschutzrechtlichen Bewertung des VBS vorbehalten). Ggf. wird zusätzlich das Mel- deregister abgefragt. Dabei wird ggf. auch abgefragt, EEE a Oft führen die Abfragen zu Treffern, die andere Behörden- also die Polizeibehörden der Länder, die Bundespolizei oder die Behörden der Zollfahndung -— in INPOL ge- speichert haben. Dies ermöglicht weitere gezielte Nachfragenbei den jeweiligen Be- hörden. Weitere Nachfragen sind auch möglich, wenn eine Abfrage der Daten des Melderegisters auf einen bestimmten Wohnort der Person verweist. Dann fragt das _BKA ggf. auch im jeweiligen Bundesland nachweiteren Informationen. Die von den Ländern an das BKA zurückgelieferten Informationen waren vielgestal- tig. Teilweise antworteten die Landesbehörden umfangreich an das BKAzurück. Da- bei war nicht durchgehend klar, ob die Landesbehörden nur aufgrund der Anfrage des BKA Informationen erst erhoben hatten oder ob die Antworten lediglich aus be- reits vorhandenen Informationen zusammengestellt worden waren. Die von den Lan- desbehörden zurückgemeldeten Ergebnisse betrafen zudem Sachverhalte von un- terschiedlichem Gewicht. Teilweise betrafen sie Personen, die.nicht als Beschuldigte, sondernallenfalls als Zeugen oder Kontaktpersonenin Betracht kommen. Beispiel: 45095/2017

dep FR     Die Bundesbeauftragte de Inlormsorfehen für den Datenschutz und Einstufung aufgehoben © SEIETVON4 Der weitere Bearbeitungsweg ist unterschiedlich, je nach Organisationseinheit ünd Fallgestaltung. 3. Weitere Verarbeitung und Übermittlung Vielfach werden die Sachverhalte weiter aufbereitet, insbesondere wenn es darum geht, Anfragen ausländischerBehörden zu bearbeiten oder wenn dies für das BKA als Zentralstelle relevantist. In anderen Fällen erfolgt eine zügige Abgabe an andere Stellen. Dies war insbeson- dere in den von Referat SO 42 (Cybercrime) betrachteten Fällen der Fall. Dort ist die Bearbeitung zügig an die jeweils zuständige Polizeibehörde der Länder abgegeben worden, sobald dies aufgrund der Zuordnung der IP-Adresse zu einer Person mög- lich war. SO 42 ist oft Anlaufstelle für Fälle, die keinem Bundesland sicher zugeord- net werden können, weil nur eine IP-Adresse bekanntist. Dann trifft das Referat als erste Anlaufstelle eine Zuordnung. Dies betrifft zuweilen auch Sachverhalte der Ge- fahrenabwehr, z.B. in Fällen von Suizid-Androhungen. Keine plausiblen Ergebnisse und damit kein weiterer Ermittlungsansatz liegen vor, wenn etwa Di Teilweise habe ich Antwortschreiben vorgefunden, in denen die Antwort zunächst verweigert und um ergänzendeInformationen gebeten wird. EEE in dem das BKA insbesondere um Angabe eines konkreten verfolgten Straftatbestandes und des zugrundeliegenden Sachverhaltes bittet. EEE 45095/2017

Nurfürden R       Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit { Ein gtu [&un [       cu P gro ben SEMESVON4 Dokumentation Die Dokumentation ist nicht einheitlich, sondern jede Organisationseinheit entschei- det selbst, in welcher Weise sie Datenerhebungen dokumentiert. Auch die Ausson- derungsprüffristen sind höchst unterschiedlich. So habe ich 10 Jahre als Standard bei SO32 festgestellt und 2 Jahre bei SO42. Teilweise wird das VBS durchgehend genutzt(so z.B. im Referat SO 32). In anderen Referaten wird das Referatslaufwerk genutzt, also ein Windows-Verzeichnis im BKA-Haüsnetz: Akten wurden mir nicht vorgelegt. Notiert werden die erhobenen Daten also lediglich elektronisch, entweder im VBS oderals einfache Word- oder pdf-Datei. Für die datenschutzrechtliche Kontrolle war es nicht möglich, eine eigene Auswahl der zu kontrollierenden Datensätze zu treffen. Die Dokumente zu Datenerhebungen sind unterschiedlich bezeichnet, weshalb eine Recherche nach Dateinamen nicht dazu führen kann, entsprechende Sachverhalte aufzufinden. Eine zentrale Protokol- lierung oder Dokumentation zu Datenerhebungennach $ 7 BKAGexistiert nicht. ll. Bewertung Rechtsgrundlage der Datenerhebungenist $ 7 Abs. 2 bis 7 BKAG. Dessen Voraus- setzungen. hat das BKA im Wesentlichen eingehalten. Problematisch waren aber teilweise die Datenerhebungen, die auf Anfragen ausländischer Behördenfolgten. 1. Anlässe                             - Anders als die Generalklauseln in den Landespolizeigesetzen oder in & 29 Abs. 1 S. 1 BPoIG knüpft $.7 Abs. 2 BKAG nicht an eine konkrete Aufgabe zur Gefahren- abwehr an, sondern vielmehr nur an die Aufgabe der Zentralstelle. Innerhalb dieser Aufgabe verlangt die Vorschrift keinen konkreten Anlass für Datenerhebungen. Ge- mäß 8 7 Abs. 2 S. 1 BKAG müssendie Datenlediglich der „Ergänzung vorhandener Sachverhalte“ oder „sonst zu Zwecken der Auswertung“ (nach 88 9, 10 i.V.m. $ 2 Abs. 6BKAG n.F. darüber hinaus Analysen u.a.) dienlich sein. Die Zentralstellenaufgabe ist abstrakter als die sonst von Polizeibehörden wahrge- nommenen Aufgaben. Sie umfasst — unabhängig von der konkreten Zuständigkeit zur Abwehr bestimmter Gefahren — allgemeine Tätigkeiten der Gefahrenvorsorge: und der vorbeugendenStraftatenbekämpfung. Sie beschränktsich also nicht darauf, 45095/2017

fürden-Bienstgebrauch AR     Die Bundesbeauftragte       e für den Datenschutz und        k die Informationsfreiheit      meh Lu 5d          aufgeho 5 en SETESVONM konkrete Gefahren abzuwehren oder aktuelle Strafverfahren durchzuführen (Bäcker, Terrorismusabwehr durch das Bundeskriminalamt, Mannheim 2009, S. 22). Der Begriff und Umfang der Zentralstellenaufgabe ist nur sehr vage definiert. & 7 Abs. 2 S. 1 BKAG verweist auf 8 2 Abs. 2 Nr. 1 BKAG, der seinerseits auf $ 2 Abs. 1 BKAG Bezug nimmt. Gemäß $ 2 Abs. 2 Nr. 1 BKAG hat das BKA ‚alle Informationen zu sammeln und auszuwerten“, die erforderlich sind, um die Polizeibehörden: des Bundes und der Länder gemäß $ 2 Abs. 1 BKAG bei der Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung zu „unterstützen“. Gesetzlich normiert sind als Unterstützungsbefugnisse die zentrale Datenhaltung (88 7 bis 13 BKAG),die internationale Zusammenarbeit ($$ 14 bis 15a BKAG) sowie Unterstützung und Koordination bei der Strafverfolgung (88 16 bis 20 BKAG). Entsprechend dieser Koordinierungsaufgabe waren die Datenerhebungsbefugnisse in $ 7 BKAG ursprünglich darauf beschränkt, Daten bei öffentlichen Stellen, insbe- söndere Polizeidienststellen zu sammeln, um diese — ggf: in Zentralstellendateien — zusammenfassen und im polizeilichen Verbund an die zuständigen Behörden steu- em zu können. Die Befugnis, Daten bei privaten Dritten erheben zu können, wurde erst später mit den Terrorismusbekämpfungsgessetzen hinzugefügt. Angesichts dieser niedrigen Erhebungsschwelle boten auch die beim BKA in der Kontrolle konkret geprüften Fälle im Wesentlichen einen hinreichenden - also geset- zeskonformen - Anlassfür die jeweiligen Datenerhebungen. Soweit der Anlass einem Anfangsverdacht nach der StPO entsprach, war die weitere Datenerhebung aus meiner Sicht unproblematisch. Dies war in den meisten Fällen gegeben. Dannführt $ 7 Abs. 2 BKAGletztlich nur dazu, dass das BKA trotz der vor- rangigen Zuständigkeit der Landesbehördeneine erste koordinierende Tätigkeit aus- üben kann und dem Verlust wichtiger Informationen — die ansonsten über 8$ 161, 163 StPO oder andere strafprozessuale Vorschriften erhoben werden können -— vor- beugen kann. Konkret ging es vor allem um End teilweise um die Frage, welcheStelle einen Fall weiter bearbeitet. Dies entspricht der Koordinierungsaufgabe als Kern der Zentralstellenfunktion. Dies gilt auch, soweit das BKA mit der Vorabsi- cherung auf 8 67 IRG gestützte Beschlagnahmenergänzte. Soweit der Anlass deutlich darunter lag — EEE — ist eine engere Auslegung des $ 7 Abs. 45095/2017

Dienstgebrauch- FR     Die Bundesbeauftragte            £ für den Datenschutz und            i die Informationsfreiheit           gu ßo %            aufgeh oheu see 0voN4 2 BKAG geboten. In den Fällen der „extremistischen Vereinigung“ war in der Kontrol- le nicht durchgehendersichtlich, welche strafbare Tat konkret verfolgt werdensolite. Unklar war teilweise der Bezug zu Einzelpersonen. So war im Falle der Anfrage nicht deutlich, welche Rolle den Anschlussinhabern — ggf. auch nur auf der Basis einer auf tatsächlichen Anhaltspunkten gegründeten Verdachtslage — zuge- rechnet wurde. Angesichts der Aufgabe der Straftatenverfolgung sollte zumindest ein Bezug zu einem konkreten Straftatverdacht dokumentiert sein. Beispiel dafür ist auch der Fall der EEE Versammlung. Dort fehlte ebenfalls ein — konkreter — Tat- vorwurf. Nach meinem Eindruck ging es hier vielmehr darum, — allgemein - Netz- werke beteiligter Personen zu einer Szene zu. eruieren. Derartige Ermittlungen lässt das Gesetz jedoch auf polizeilicher Seite nicht unabhängig von einem Tatvorwurf odereiner hinreichend konkretisierten Gefahrenlage zu.- Die Bestandsdaten zu einem weiten Umkreis abzufragen, wie in dem 0.9. Beispiel ne, ist Satenschutzrechtlich. unzu- - lässig. Hier ist es insbesondere fragwürdig, ob ein Anfangsverdachtdiese umfangrei- che Datenerhebung stützt. Das schien in der Kontrolle jedoch ein Einzelfall zu sein, weshalb ich insoweit von einer formellen Beanstandung absehe. In diesem Fall ist auch die lange Aufbewahrungsfrist von 10 Jahren sehr fragwürdig. In diesen Fällen empfehle ich, künftig bereits auf der Ebene der Datenerhebung zu- rückhaltender: vorzugehen, nicht erst auf der Ebene der an die Datenerhebung an- schließenden Datenübermittlung. Die Datenerhebung benötigt als solche bereits auf eine hinreichende Tatsachengrundlage gestützte Anhaltspunkte, die sich auf einen konkreten Straftatenvorwurf oder eine Gefahr beziehen müssen. 2. Umfang Welche Daten für die Koordinierung erforderlich sind, bestimmt das Gesetz nicht nä- her. Durch den Verweis auf $ 2 BKAGstellt $ 7 Abs. 2 BKAG darauf ab, die Polizei- behörden der Länder zu „unterstützen“. Im Ergebnis begrenzt &$ 7 Abs. 2 BKAG des- halb nur wenig, welche Daten das BKA aufgrund dieser weiten Anlassschwelle (dazu 1.) erheben darf. Dies wirft aus meiner Sicht erhebliche verfassungsrechtliche Fra- gen auf (kritisch etwa Bäcker, Terrorismusabwehr durch das Bundeskriminalamt, Mannheim 2009, S. 23). Zu Recht wird deshalb betont, die Generalklausel zur Da- tenerhebung für Zwecke der Zentralstelle sei zu weit und zu pauschal, um schwerer wiegende Grundrechtseingriffe zu. rechtfertigen. Die Praxis muss sich deshalb auf weniger schwer wiegende Grundrechtseingriffe beschränken und dies beim Umfang der Datenerhebung berücksichtigen. 45095/2017