1.3  Starker Verbesserungsbedarf beim Gesundheitsdatenschutz Doch kann ihr überhaupt entsprochen werden? Kommen tatsächlich nur Perso- nen mit den Daten in Berührung, die selbst der strafbewehrten Schweigepflicht unterliegen? Liegt die Regelung der Zugriffsmöglichkeiten wirklich effektiv in der Hand der obersten selbst der Schweigepflicht unterliegenden Leitung? Wie weit geht z. B. das Weisungsrecht der Amtsärztinnen und Amtsärzte gegenüber den IT-Stellen der Bezirke? Was passiert, wenn ihre Dispositionsgewalt durch mangelhafte Technik und fehlende Ressourcen so eingeschränkt wird, dass es zu ungewollten Offenlegungen von Daten an unbeteiligte Beschäftigte kommen kann? Schon die Frage, auf welcher Grundlage die Beschäftigten in den IT-Stellen der Bezirksämter und anderen Behörden sowie ggf. eingeschaltete Dienstleister mit den geheim zu haltenden Daten umgehen, ist ungeklärt. Es ist unvermeidbar, dass zumindest einige der dort Beschäftigten mit den Daten in Berührung kommen und sie ggf. auch zur Kenntnis nehmen können. Diesen Personen dürfen die Daten aber nur zur Kenntnis gegeben werden, wenn sie der unmittelbaren Kontrolle und Weisung der Schweigepflichtigen unterstehen. Dies ist bereits für Beschäftigte separater IT-Stellen fraglich, für Dienstleister, darunter auch das IT-Dienstleis- tungszentrum Berlin, jedoch offensichtlich nicht der Fall. Der Landesgesetzgeber ist daher dringend aufgerufen, eine Regelung zu schaffen, die eine Weitergabe dieser besonders geheimhaltungsbedürftigen Daten unter engen Voraussetzun- gen erlaubt und die zugleich eine etwaige Verletzung der Geheimhaltungspflicht durch dieses Personal und externe Dienstleister unter Strafe stellt. Geregelt ist das Vorgehen bei der Einführung von Datenverarbeitungsverfahren: Zunächst müssen die Rechtsgrundlagen geprüft werden. Dazu muss bekannt sein, welche Daten von wem für welchen Zweck wie verarbeitet werden sollen. In der Regel handelt es sich dabei um einen komplexen Verarbeitungsprozess, der die Erledigung einer oder mehrerer Fachaufgaben unterstützt. Im Kontext von Aufgaben und Prozessen ist zu bewerten, ob der Umfang der zu verarbeitenden Daten und der Umgang mit ihnen im Rahmen des Erforderlichen bleiben. Für die Planung der nötigen technischen und organisatorischen Maßnahmen muss es eine Risikoanalyse und ein Sicherheitskonzept geben. Eine Kontrolle der vorgesehenen Verarbeitung vor ihrer Aufnahme, eine sog. Vorabkontrolle, ist vor- geschrieben. Vielfach ist unsere Behörde daran zu beteiligen. Dafür haben wir 39

Kapitel 1   Schwerpunkte eine Aufstellung der benötigten Unterlagen veröffentlicht.109 Die Unterlagen die- nen dazu, die nötigen Vorarbeiten und ihre Ergebnisse zu dokumentieren. Doch oft erhalten wir diese nicht oder müssen sogar feststellen, dass die Vorarbeiten nicht erledigt wurden. Hierfür trägt die Leitung der datenverarbeitenden Behörden die Verantwortung, auch wenn die Vorabkontrolle zunächst Aufgabe der behördlichen Datenschutzbeauftragten ist. Besonders gravierend wirkt es sich aus, wenn die Behörde oder Institution über kein Sicherheitskonzept für die eigene IT-Infrastruktur verfügt, das den Schutz- bedarf von Gesundheitsdaten berücksichtigt. Diese Infrastruktur besteht in der Regel aus dem IT-Netzwerk, den wichtigsten Servern und den von ihnen angebo- tenen allgemeinen Diensten sowie den Rechnern, die sich auf den Arbeitsplätzen der Beschäftigten befinden. Viele Anforderungen an die Sicherheit eines Fachver- fahrens lassen sich dadurch erfüllen, dass eine entsprechend vorgestaltete Inf- rastruktur in Anspruch genommen wird. Nur das Spezielle an einem Verfahren und seine Interaktion mit der bestehenden Infrastruktur bedürfen dann noch der Betrachtung. Defizitäre und gänzlich fehlende behördliche Sicherheitskonzepte haben wir insbesondere bei einigen Bezirksämtern bemängelt.110 Leider führte dies nicht durchgehend dazu, dass die Mängel abgestellt wurden. So hat das Bezirksamt Steglitz-Zehlendorf auch zwei Jahre nach unserer formellen Beanstandung111 we- der ein behördliches Sicherheitskonzept noch ein Sicherheitskonzept für das be- anstandete Verfahren mit hoch sensitiven Daten und betreibt dieses mit unklaren Risiken weiter. 2014 haben wir auch ein völlig ungeregelt eingeführtes Verfahren für den Kinder- und Jugendgesundheitsdienst (KJGD) des Bezirks Friedrichshain-Kreuzberg be- mängelt, das daraufhin pflichtgemäß eingestellt wurde. Der offenkundige Bedarf des KJGD in ganz Berlin an informationstechnischer Unterstützung sollte durch zentral beschaffte Software gedeckt werden. Wir unterstützen diesen Prozess und 109   https://datenschutz-berlin.de/attachments/1068/2014-Handreichung_beteiligung_ vorabkontrolle.pdf 110   JB 2014, 1.5 111   JB 2014, 5.6 40

1.3   Starker Verbesserungsbedarf beim Gesundheitsdatenschutz haben detaillierte Hinweise für die Verfahrenseinführung gegeben. Doch die be- nötigten Konzepte kamen bisher nicht zustande. Bezirke und das Landesamt für Gesundheit und Soziales weisen sich gegenseitig die Verantwortung zu. Die im E-Government-Gesetz112 vorgesehene Koordination und Regelung durch die zen- trale Steuerung der Informations- und Kommunikationstechnik wird das Ihre tun müssen, um Blockaden wie diese zu vermeiden. Doch bleibt es dabei: Die Verant- wortung für die korrekte Einführung eines Verfahrens liegt bei den datenverarbei- tenden Stellen, hier also bei den Bezirksämtern. Auch wenn ein Bundesgesetz Berliner Behörden Aufgaben zuweist und bestimmte Datenübermittlungen anordnet, entbindet dies die Behörden nicht von der Pflicht, die dazu nötigen informationstechnischen Verfahren datenschutzgerecht zu pla- nen und einzuführen. So weist das Infektionsschutzgesetz die Gesundheitsäm- ter der Bezirke an, Meldungen über bestimmte übertragbare Krankheiten zu erfassen. Zur Meldung sind Ärztinnen und Ärzte sowie weitere Berufsgruppen verpflichtet. Die Meldungen enthalten die Namen der Erkrankten. Die Gesund- heitsämter sind verpflichtet, die Daten ohne die Namen über das Landesamt für Gesundheit und Soziales an das Robert-Koch-Institut weiterzugeben. Zur Erfüllung dieser Pflicht und Erledigung weiterer Aufgaben haben die Gesund- heitsämter die Entwicklung einer umfangreichen Software in Auftrag gegeben. Auch hier gelang es nicht, über eine Zusammenarbeit zwischen Landesamt für Gesundheit und Soziales und Bezirksämtern die nötigen Konzepte zu entwickeln. Stattdessen entschieden sich die Gesundheitsämter, kurzfristig eine einfachere, frei verfügbare Software einzusetzen. Inwieweit sie eine Vorabkontrolle durchge- führt haben, ist uns (mit Ausnahme eines Amtes) nicht bekannt. Wir wurden le- diglich von der Aufnahme der Verfahren informiert, jedoch nicht beteiligt. Recht- mäßig ist eine Erfassung der Meldungen daher derzeit nur, wenn die Namen der Erkrankten nicht in das System aufgenommen werden, sodass für die Betroffenen keine Risiken entstehen. Intensiv einbezogen wurden wir in die Errichtung des klinischen Krebsregisters der Länder Berlin und Brandenburg. Diese erfolgte nach Verzögerungen bei der Schaffung der Rechtsgrundlagen über einen Staatsvertrag zwischen den beiden 112   § 21 E-Government-Gesetz Berlin; siehe auch 2.1 41

Kapitel 1  Schwerpunkte Ländern113 unter erheblichem Zeitdruck. Das Register wurde feierlich eröffnet, ohne dass die vorgesehene Informationstechnik bereitstand. Stattdessen griff das Register auf die Technik der brandenburgischen Vorläuferinstitution zurück. Leider wurden dabei auch einfache Anpassungen an die neuen Umstände nicht durchgeführt. So blieb die Technik einer von uns geprüften Registerstelle inte- griert in das Netzwerk eines Krankenhauses. Nur ein kleiner Teil der erfassten Krebskranken wurde jedoch dort behandelt. Die Daten der anderen Patientinnen und Patienten haben in der IT eines fremden Krankenhauses nichts zu suchen. Weitere festgestellte Mängel bezogen sich auf den mangelnden Einbruchsschutz und die freie Zugänglichkeit der Papiermeldungen in der Dienststelle, das Fehlen von vorgeschriebener Funktionalität der zentralen Registersoftware und wenig differenzierte Zugriffsberechtigungen. Einige dieser Mängel werden mit gewis- sem Aufwand zu beheben sein, ggf. durch einen Umzug der Registerstelle in ge- eignetere Räume. Unsere Zweifel an der grundsätzlichen Eignung der zentralen Registersoftware, die beibehalten werden soll, sind dagegen noch nicht ausge- räumt. Erst mit der vollständigen Umsetzung der geplanten IT-Infrastruktur wird das Re- gister über angemessene technische Maßnahmen zum Schutz von Netzwerk und Datenbanken verfügen. Wir begrüßen die Bereitschaft des klinischen Krebsregis- ters, Beratung durch unsere Behörde und die Landesbeauftragte für den Daten- schutz und für das Recht auf Akteneinsicht Brandenburg zu suchen und unsere Hinweise aufzunehmen. Die Länder tätigen die hierfür nötigen Investitionen. Die entstandene Schutzlücke ist jedoch problematisch und geht zu Lasten der Betrof- fenen. Die Nagelprobe für das Register wird darin bestehen, seine internen Prozesse mit besonderem Augenmerk auf den notwendigen besonderen Schutz der hoch sensitiven Daten auszurichten. Diese Verpflichtung hat das Register gegenüber den Krebskranken, deren Daten ihm in der Hoffnung auf eine Verbesserung der Qualität der Behandlung ohne ihr Zutun anvertraut werden. 113   Siehe JB 2015, 8.2 42

1.4   Outsourcing von Patientendaten Neue IT-Verfahren in der Gesundheitsverwaltung bedürfen der sorgfältigen Einführung. Notwendige Rechtsgrundlagen sind rechtzeitig zu schaffen. Tech- nischer Schutz ist nach dem Stand der Technik zu gewährleisten. Die Verfahren sind vor der Aufnahme ihres Betriebs zu kontrollieren, verwaltungsübergrei- fende Verfahren unter unserer rechtzeitigen Beteiligung. 1.4       Rechtliche Grenzen des Outsourcings von Patientendaten im Krankenhausbereich am Beispiel der Digitalisierung und Archivierung von Patientenakten Bedingt durch den steigenden wirtschaftlichen Kostendruck haben einige Klini- ken Tochtergesellschaften gegründet, um bestimmte im Krankenhaus anfallende Dienstleistungen auszulagern. Auf unsere Initiative hin wurde 2011 bei der No- vellierung des Landeskrankenhausgesetzes114 eine Regelung geschaffen, die es ermöglicht, dass bei der Übertragung von Dienstleistungen an Dritte, wie z. B. Patiententransport und Speisenversorgung, die für die Erbringung dieser Leis- tungen notwendigen Patientendaten den Dritten bekannt gegeben werden dür- fen. Von dieser Regelung werden jedoch nur Funktionsübertragungen erfasst, die nicht im unmittelbaren inneren Zusammenhang mit dem Behandlungsgeschehen stehen und bei denen es nicht zu einer Verarbeitung medizinischer Daten der Pa- tientinnen und Patienten kommt. Mittlerweile gibt es Bestrebungen, weitere Tätigkeiten, die den inneren Bereich des Krankenhauses betreffen und bei denen unmittelbar medizinische Daten verarbeitet werden, wie die Archivierung und Digitalisierung von Patientenak- ten, ebenfalls an Dritte auszulagern. Bei dieser Tätigkeit ist es unumgänglich, anvertraute Patientendaten zur Kenntnis zu nehmen. Es handelt sich dabei um eine Auftragsdatenverarbeitung, die für Krankenhäuser ebenfalls im Landes- krankenhausgesetz geregelt ist und für deren Zulässigkeit bestimmte Vorgaben bestehen.115 So ist eine Auftragsdatenverarbeitung nur dann zulässig, wenn die 114   Siehe JB 2011, 2.2.2 115   § 24 Abs. 7 LKG 43

Kapitel 1  Schwerpunkte Patientendaten durch das Krankenhaus selbst oder im Auftrag durch ein anderes Krankenhaus verarbeitet werden. Durch andere Stellen dürfen Patientendaten im Auftrag des Krankenhauses nur dann verarbeitet werden, wenn durch technische Schutzmaßnahmen sichergestellt ist, dass der Auftragnehmer keine Möglichkeit hat, beim Zugriff auf die Patientendaten den Personenbezug herzustellen. Soweit Archivdienstleistungen durch das Krankenhaus selbst geleistet werden, unterliegen die mit dieser Aufgabe betrauten Mitarbeiterinnen und Mitarbeiter als Gehilfen des ärztlichen Personals der beruflichen Schweigepflicht. Durch die Aus- lagerung dieser Aufgabe an einen Dienstleister, bei dem die Beschäftigten nicht der ärztlichen Schweigepflicht unterliegen, würden schweigepflichtige Daten un- zulässig und strafbewehrt offenbart. Eine Möglichkeit, dem zu begegnen, besteht darin, diese Aufgabe durch die Einbe- ziehung des Dienstleisters im Wege der Arbeitnehmerüberlassung ausführen zu lassen. Die Mitarbeiterinnen und Mitarbeiter sind in diesem Fall in den organisa- torischen und weisungsgebundenen internen Bereich des Krankenhausbetriebes eingebunden und üben innerhalb des beruflichen Wirkungskreises eines Schwei- gepflichtigen eine auf dessen berufliche Tätigkeit bezogene unterstützende Tä- tigkeit aus, die die Kenntniserlangung von fremden Geheimnissen zwingend mit sich bringt. Sie sind damit als Gehilfen des ärztlichen Personals anzusehen und unterliegen insoweit ebenfalls der Schweigepflicht. Aufgrund von Änderungen bei der rechtlichen Regelung zur Arbeitnehmerüber- lassung wurde von den Kliniken vorgetragen, dass die Einbindung eines externen Dienstleisters über den Weg der Arbeitnehmerüberlassung zukünftig keine wirt- schaftlich tragbare Lösung mehr sei. Bei allen Erwägungen, den wirtschaftlichen Belastungen begegnen zu können, muss jedoch der Schutz der sensitiven Patientendaten, die im Rahmen der ärzt- lichen Schweigepflicht anvertraut wurden, immer höchste Priorität haben. Nach jetziger Rechtslage reicht allein die Zusammenarbeit mit einem Tochterunter- nehmen oder einem externen Dienstleister nicht aus, um den Beschäftigten des Dienstleisters einen Gehilfenstatus zu verschaffen. Es bestehen zwei rechtlich selbstständige Unternehmen, die gerade nicht über eine gesellschaftsrechtliche Konstruktion zu einer maßgeblichen Funktionseinheit werden. Eine vom Kranken- 44

1.4   Outsourcing von Patientendaten haus ausgegründete Tochtergesellschaft ist nicht als funktionaler Teil der Einrich- tung Krankenhaus anzusehen. Die im Landeskrankenhausgesetz vorgenommene Definition lässt keinen Raum für eine Erweiterung auf Tochterunternehmen, die geschaffen werden, um gerade nicht Teil des Krankenhauses zu sein, sondern um selbstständig handeln zu können. Die im Landeskrankenhausgesetz vom Gesetzgeber getroffene Regelung zur Auf- tragsdatenverarbeitung im Krankenhausbereich verfolgt den Zweck, den Kreis der Personen, die mit medizinischen, also sensitiven Daten in Berührung kom- men, möglichst klein und das Schutzniveau der Patientendaten möglichst hoch zu halten. Durch die Beteiligung externer Stellen wird der Kreis derer, die mit medizinischen Daten in Berührung kommen, größer. Um dem zu begegnen, hat der Gesetzgeber ganz bewusst enge Grenzen gesteckt. Überdies entspricht die für Berliner Krankenhäuser geltende Regelung den europarechtlichen Vorgaben der Datenschutz-Grundverordnung. Danach dürfen Gesundheitsdaten zum Zwecke der Gesundheitsvorsorge nur von Fachpersonal, das dem Berufsgeheimnis un- terliegt, oder unter dessen Verantwortung verarbeitet werden oder wenn die Ver- arbeitung durch eine andere Person erfolgt, die ebenfalls einer Geheimhaltungs- pflicht unterliegt. Damit sind im Bereich der Verarbeitung von Gesundheitsdaten Übermittlungen und Outsourcing an Dritte, die nicht selbst einer Schweigepflicht unterliegen, unzulässig. Neben der Möglichkeit der Einbindung externer Kräfte im Wege der Arbeitnehmer­ überlassung wäre eine Legitimierung von an Dritte übertragenen Archivdienst- leistungen langfristig nur durch eine Anpassung der gesetzlichen Regelung zur beruflichen Schweigepflicht durch den Bundesgesetzgeber denkbar. Das grund- sätzliche Problem der Einbindung externer Dienstleister bei der Schweigepflicht unterliegenden Berufsgruppen ist dem Bundesgesetzgeber bereits bekannt, da sich auch bei anderen der Schweigepflicht unterliegenden Berufsgruppen, wie beispielsweise Rechtsanwälten, vergleichbare Probleme ergeben. Unter Berücksichtigung der Rechtslage ist eine Auslagerung von Dienstleis- tungen im Krankenhaus nur in sehr engen Grenzen zulässig, um dem Schutz- bedarf der anvertrauten sensitiven Patientendaten Rechnung zu tragen. Eine neue gesetzliche Regelung muss gewährleisten, dass die Kenntnisnahme von 45

Kapitel 1   Schwerpunkte Berufsgeheimnissen auf das unbedingt Erforderliche beschränkt wird und die Dienstleister ebenfalls der Schweigepflicht unterworfen werden. Auch muss durch Weisungsrechte der Berufsgeheimnisträger deren Verantwortlichkeit für die Berufsgeheimnisse gewahrt werden. 1.5       Einsatz von Stillen SMS in strafrechtlichen Ermittlungsverfahren Wir haben den Einsatz von Stillen SMS in strafrechtlichen Ermittlungsverfahren geprüft und hierbei gravierende Mängel festgestellt. Strafverfolgungsbehörden benutzen Stille SMS, um unbemerkt herauszufinden, wo sich das jeweils adressierte Telefon bzw. sein Besitzer befindet. Hierfür ver- senden sie einen Ortungsimpuls an ein Telefon, der nicht im Telefondisplay ange- zeigt wird und der auch kein akustisches Empfangssignal auslöst, jedoch bewirkt, dass von diesem Telefon eine technische Meldung an den Telekommunikations- anbieter übermittelt wird. Die Meldung enthält Angaben über das Telefon, insbe- sondere dessen Standort und Anschlusskennung. Die Daten werden sodann beim Telekommunikationsanbieter aus technischen Gründen bzw. zur Ermöglichung der Abrechnung von erbrachten Leistungen für einen gewissen Zeitraum gespei- chert.116 Die Notwendigkeit der Datenspeicherung durch den Telekommunikati- onsanbieter zu vorgenannten Zwecken nutzen nun die Ermittlungsbehörden, um die Daten, die sie selbst erzeugt haben, zu Strafverfolgungszwecken abzurufen.117 Zur Vorbereitung der Prüfung baten wir den Leitenden Oberstaatsanwalt und den Polizeipräsidenten um Übersendung einer Liste der zuletzt durchgeführten Er- mittlungsverfahren, in denen Stille SMS versandt worden sind. Dies war den Straf- 116   Siehe zur Zulässigkeit der Erhebung und Verwendung der Daten § 96 Abs. 1 Satz 1 TKG; Telekommunikationsanbieter sind zudem gem. § 150 Abs. 13 Satz 1 i. V. m. §§ 113 b, c TKG verpflichtet, spätestens ab dem 1. Juli 2017 Verkehrsdaten auch zu Zwe- cken der Strafverfolgung und Gefahrenabwehr zu speichern (sog. Vorratsdatenspei- cherung). 117   Siehe zur Zulässigkeit der Verwendung der Daten zu anderen Zwecken § 96 Abs. 1 Satz 2 TKG 46

1.5   Einsatz von Stillen SMS verfolgungsbehörden mangels gesonderter Erfassung des Einsatzes von Stillen SMS in den jeweiligen Informationssystemen nach eigenen Angaben nicht mög- lich. Damit wir die Prüfung dennoch durchführen konnten, bot uns der Polizeiprä- sident an, für einen bestimmten zukünftigen Erhebungszeitraum technisch eine manuelle Abfrage im System der Telekommunikationsüberwachung einzurichten. Wir haben diesem Vorschlag zugestimmt und die so dokumentierten, in der Zeit von Dezember 2014 bis August 2015 durchgeführten Strafermittlungsverfahren118 stichprobenartig geprüft. Hierfür haben wir 38 Akten im Rahmen einer Vor-Ort- Prüfung im Juni dieses Jahres bei der Staatsanwaltschaft ausgewertet. Die ge- prüften Akten betrafen insbesondere Straftaten nach dem Betäubungsmittelge- setz, Straftaten des Raubes und der Erpressung, Bandendiebstähle und schwere Bandendiebstähle, Geld- und Wertzeichenfälschung sowie Mord und Totschlag. Die rechtliche Würdigung der von uns geprüften Fälle gestaltete sich aufgrund der unklaren Rechtslage schwierig. Es gibt keine gesetzliche Norm, die nach ihrem Wortlaut den Einsatz von Stillen SMS in strafrechtlichen Ermittlungsverfahren er- laubt. Deshalb ist ihr Einsatz in Wissenschaft und Praxis äußerst umstritten. Die Rechtsprechung hat die Zulässigkeit der Maßnahme noch nicht überprüft. Der Lei- tende Oberstaatsanwalt erklärte, dass die Ermittlungsgeneralklausel § 163 Abs. 1 Strafprozessordnung (StPO) die Rechtsgrundlage für die Versendung von Stillen SMS darstelle. Die so anfallenden Daten könnten dann durch einen gerichtlichen Beschluss nach § 100g StPO erlangt werden. Der Polizeipräsident hingegen stützt die Maßnahme allein auf die Bestimmungen des § 100a StPO. Die Stille SMS sei eine Einzelmaßnahme, die im Rahmen angeordneter Maßnahmen der Telekommu- nikationsüberwachung durchgeführt werde und keiner Einzelanordnung bedürfe. Neben der unklaren Rechtslage, den widersprüchlichen Angaben der Strafverfol- gungsbehörden zur Rechtsgrundlage für den Einsatz von Stillen SMS sowie der bislang fehlenden gesonderten Dokumentation des Einsatzes von Stillen SMS in den staatsanwaltschaftlichen und polizeilichen Informationssystemen war die Er- füllung unseres gesetzlichen Prüfauftrags auch deshalb erheblich beeinträchtigt, weil aus den geprüften Ermittlungsakten größtenteils kaum ersichtlich war, zu welchem Zeitpunkt und aus welchen Gründen Stille SMS versandt worden sind, 118   Es betraf 257 Verfahren, in denen insgesamt 89.018 Stille SMS versandt wurden. 47

Kapitel 1  Schwerpunkte wer hiervon betroffen war und zu welchen Ergebnissen die Maßnahme jeweils führte. Trotz dieser Schwierigkeiten bei der Durchführung der Prüfung konnten wir fest- stellen, dass es besonders in drei Punkten strukturelle Mängel bei dem Einsatz von Stillen SMS gibt: • Oft setzten die Strafverfolgungsbehörden Stille SMS ein, ohne dass diese Maß- nahmen für die Erforschung des Sachverhalts oder die Ermittlung des Aufent- haltsortes der oder des Beschuldigten erkennbar erforderlich waren. Zudem wurde eine nicht geringe Anzahl dieser Maßnahmen durchgeführt, ohne wei- tere weniger eingreifende Ermittlungsansätze zu prüfen, Ergebnisse bereits durchgeführter Ermittlungen abzuwarten oder zu untersuchen, ob die Maß- nahmen zum Zeitpunkt ihrer Durchführung aufgrund anderer Ermittlungser- gebnisse noch notwendig waren. • Die Staatsanwaltschaft beantragte regelmäßig gerichtliche Beschlüsse für die Durchführung von TKÜ-Maßnahmen oder die Abfrage von Verkehrsdaten, die sie sodann auch für die Versendung von Stillen SMS nutzte. Sie erklärte da- bei nicht, weshalb ohne die konkrete Maßnahme die Erforschung des Sach- verhalts oder die Ermittlung des Aufenthaltsortes der oder des Beschuldigten wesentlich erschwert oder aussichtslos gewesen wäre bzw. warum sie für die Erforschung des Sachverhalts erforderlich war und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache stand. Weiterhin benannte die Staatsanwaltschaft bei der Beantragung von TKÜ-Maß- nahmen oder der Abfrage von Verkehrsdaten in keinem einzigen der geprüften Fälle den geplanten Einsatz von Stillen SMS und machte es somit dem Gericht unmöglich, die Rechtmäßigkeit genau dieser Maßnahmen zu prüfen. • In der überwiegenden Anzahl der geprüften Fälle fand keine Benachrichtigung der Betroffenen statt bzw. wurden keine Gründe für nicht oder noch nicht er- folgte Benachrichtigungen aktenkundig gemacht, obwohl dies verpflichtend vorgeschrieben ist. Weiterhin war aus dem Großteil der Akten der Einsatz von Stillen SMS nicht ersichtlich. Selbst wenn also Betroffene Kenntnis von der Durchführung von TKÜ-Maßnahmen gegen sie oder von der Abfrage sie betref- 48