Beratungs- und Kontrollbesuch beim Bundeskriminalamt: Speicherung erkennungsdienstlicher Daten (ED-Daten) in INPOL

Beanstandungen gemäß § 16 Absatz 2 Satz 1 Bundesdatenschutzgesetz (BDSG)

Dieses Dokument ist Teil der Anfrage „Prüfberichte zur Datei INPOL-Z.

/ 15
PDF herunterladen
s                           Der Bundesbeauftragte N                             für den Datenschutz und die Informationsfreiheit Seite 11 von 15 kennzeichnet und somit auf eine eigene gesonderte ED-Behandlung verzichtet. Ich habe mit Blick auf den Grundsatz der Datensparsamkeit daher keine datenschutzrechtlichen Bedenken gegen das FastID-Verfahren. An dem aktuellen Lösch- und Bereinigungsverfahren habe ich keine grundsätzlichen da- tenschutzrechtlichen Bedenken. Ich halte es aber nicht für ausgeschlossen, dass es teil- nehmerübergreifend zu Fehlanwendungen kommen kann. Zuletzt wurde bekannt, dass das am Informationsverbund teilnehmende Bundesland Sachsen-Anhalt 40.000 Datensät- ze versehentlich gelöscht hatte. Grund dafür sei eine falsche Anwendung der Löschfunkti- onen gewesen. Das BKA hat mir mitgeteilt, dass regelmäßig Sitzungen auf Bund-Länder- Ebene stattfinden, damit die Löschmöglichkeiten in INPOL fehlerfrei und einheitlich ange- wendet werden können. Zudem seien Handlungshilfen erarbeitet worden. Vor diesem Hin- tergrund behalte ich mir eine gesonderte Prüfung in einem Beratungs- und Kontrolltermin vor. Es besteht immer noch ein zu bereinigender Altbestand an ED-Daten. Ich empfehle dem BKA daher, diesen Bestand bis zum 31.12.2022 abzubauen. 4. BKAals technischer Verantwortlicher nach $ 31 Abs. 1 BKAG für INPOL-Zentral Soweit einzelne Landesfälle an mich herangetragen wurden, unterliegen diese der jeweili- gen Landeszuständigkeit. Ich bin den Hinweisen jedoch strukturell nachgegangen und sehe meine Zuständigkeit hinsichtlich der technischen Grundfunktionalitäten in INPOL gegeben, sofern das BKA technisch Verantwortlicher ist. Nach 8 31 Abs. 1 BKAG hat das BKA als Zentralstelle für den polizeilichen Informationsverbund die Einhaltung der Rege- lungen zur Zusammenarbeit und zur Führung des Verbundsystems zu überwachen. Darauf bezieht sich auch meine datenschutzrechtliche Kontrollzuständigkeit. a. Abhängigkeiten der unterschiedlichen (P-, A-, E-, D-) Gruppen in INPOL-Z Die Fälle, in denen die Vermutung geäußert wurde, unterschiedliche Gruppen in INPOL-Z könnten einer Person fehlerhaft zugeordnet werden, habe ich im BKA strukturell in INPOL- Z geprüft. Die Bedenken konnte ich aber nicht bestätigen und sehe insoweit keine techni- schen Mängel des Systems INPOL-Z. Die D-Nummer (D-Gruppe) wird verwendet, um alle erkennungsdienstlichen Maßnahmen einer Person zu referenzieren, die E- Gruppennummer führt lediglich zu einer einzelnen erkennungsdienstlichen Maßnahme. Außerdem dient die D-Nummer als strukturelles Dach, um Finger- und Handflächenabdrü- cke mittels AFIS zusammenzuführen, die unter Angabe unterschiedlicher Personalien er- 101120/2021
11

3                          Der Bundesbeauftragte V                            für den Datenschutz und die Informationsfreiheit Seite 12 von 15 hoben wurden (z.B: missbräuchliche Alias- oder Falschnamensverwendung durch die ed- behandelte Person. Tatsächlich werden Personenbestände gerade nicht zusammengeführt, wenn sie sich durch ED-Behandlungen und unterschiedliche D-Nummern unterscheiden. In Fällen, in denen geprüft wurde, dass zwei Personen nicht identisch sind, kann ein Freitextfeld mit dem Eintrag „Nicht identisch mit ...“ gefüllt werden. In diesem Zuge habe ich auch überprüft, in welcher Weise polizeiliche ED-Behandlungen und ED-Behandlungen, die in Zusammenhang mit ausländerrechtlichen bzw. asylrechtli- chen Zwecken erhoben und gespeichert werden, technisch in INPOL-Z getrennt werden. Eine Vermengung der Datenbestände ist technisch nicht möglich. Es erfolgt eine Trennung in INPOL-Z Schutzklasse 4 für polizeiliche ED-Daten und in Schutzklasse 5 bei ausländer- rechtlichen ED-Behandlungen. Der Grundsatz der Zwecktrennung wird insoweit entspre- chend technisch umgesetzt. b. Speicherung von ED-Daten im Zuge von Ordnungswidrigkeitenverfahren In INPOL-Z habe ich auch insgesamt sechs Fälle geprüft, in denen eine erkennungsdienstli- che Behandlung aus Anlass einer Ordnungswidrigkeit (z.B. $ 120 OWiG verbotene Aus- übung der Prostitution) erfolgt ist und die Daten sodann in INPOL-Z gespeichert wurden. Diese Einzelfälle habe ich wegen der jeweiligen Zuständigkeit der Landesdatenschutzauf- sichtsbehörden nicht geprüft, sondern im Hinblick auf $ 31 Abs. 1 BKAG nur die strukturelle Grundsatzfrage, ob Daten über Ordnungswidrigkeiten im INPOL gespeichert werden dür- fen. Bereits in meiner Stellungnahme vom 08. Oktober 2019 (32-642-3/001#0227) habe ich aus- geführt, dass ich keine rechtliche Grundlage für die Speicherung von ED-Daten aus Ord- nungswidrigkeiten in INPOL-Z sehe. Für die Speicherung von Daten aus Verfahren nach dem OWiG gilt zunächst $ 49c Abs. 2 OWiG. Eine Speicherung ist demnach nur dann zulässig, wenn die Voraussetzungen der 88 483, 484 Abs. 1 und 8 485 StPO erfüllt sind. In Betracht käme vorliegend lediglich die Speicherung in einer Vorsorgedatei nach $ 484 Abs. 1 StPO. Hier gilt jedoch der Ausschlus- statbestand des Abs. 4. Diese Vorschrift bestimmt, dass sich die Verwendung personenbe- zogener Daten für Zwecke künftiger Strafverfahren regelmäßig nach den Polizeigesetzen richtet wenn diese in Dateien der Polizei gespeichert sind, da es sich hier in der Regel um 101120/2021
12

&                           Der Bundesbeauftragte V                             für den Datenschutz und die Informationsfreiheit Seite 13 von 15 sog. Mischdateien handelt (vgl. Karlsruher Kommentar, $ 484, Rn. 22). Das Informations- system beim BKA und der Informationsverbund sind eine solche Mischdatei. Für eine Spei- cherung im INPOL-Bund kommt 8 49c OWiG folglich als Rechtsgrundlage nicht in Betracht. Eine Rechtsgrundlage lässt sich auch dem BKAG nicht entnehmen. $ 30 Abs. 1 Nr. 2a) BKAG verweist auf 8 16 Abs. 5 BKAG und lässt eine Weiterverarbeitung von personenbezogenen Daten, die bei der Durchführung erkennungsdienstlicher Maßnahmen erhoben wurden nur in den dort genannten Fällen zu. Dies ist zunächst der Fall, wenn eine andere Rechtsvor- schrift dies erlaubt. Eine derartige Rechtsvorschrift besteht für die Speicherung erken- nungsdienstlicher Daten im Zuge von Ermittlungen in OWiG-Verfahren aber gerade nicht. Es mangelt also an einer rechtlichen Grundlage für die Speicherung von erkennungsdienst- lichen Daten aus Anlass von OWiG-Verfahren im Informationsverbund. Deshalb empfehle ich dem BKA als verantwortliche Stelle für die Einhaltung der INPOL-Regelungen dringend, dafür Sorge zu tragen, dass derartige Speicherungen technisch in INPOL-Z nicht umgesetzt werden können. 4. Stichproben zu der Thematik „Änderung der Katalogdaten“ in INPOL-Z In dem konkreten Einzelfall des Petenten hatte die technische Umstellung und Zuordnung eines schwereren Delikts nicht nur eine erhöhte stigmatisierende Wirkung zur Folge. Unter Umständen kann durch diese Zuordnung auch eine Verlängerung der Aussonderungs- prüffristen nach & 77 BKAG einhergehen. Das BKA teilte mir während des Beratungs- und Kontrolltermins mit, sämtliche Datenspeicherungen zu dem Petenten seien gelöscht wor- den. Diese Aussage konnte ich durch eine eigene Abfrage in INPOL-Z bestätigen. Weitere Stichproben, um die ich im Vorfeld zu dieser Thematik gebeten hatte, konnten derartige Änderungen in den Katalogdaten, bzw. die fehlerhafte Zuordnung eines schwerwiegende- ren Anlassdelikts nicht bestätigen. Ich werde diese Thematik aber auch in Zukunft noch einmal prüfen. Im Zuge dieser Stichprobenprüfung bin ich zufällig auf zwei Fälle aufmerksam geworden. In dern Fall EEE war die Bezeichnung „Polizeigesetz BW“ als Anlass für die Maßnahme einer ED-Behandlung eingetragen. Im BKA war kein Aktenrückhalt vorhanden. Da das BKA diese Speicherung noch vor Ort an das zuständige Bundesland zurückübertra- gen hat, sehe ich von einer Beanstandung ab. Darüber hinaus habe ich in dem Fa!               EEE   in dem das BKA Datenbesitzer ist, festgestellt, dass zu der betroffenen Person drei personengebundene Hinweise (PHW) „bewaffnet“, „gewalttätig“ und „BtM-Konsument“ vorhanden waren. Zu sämtlichen PHW 101120/2021
13

3                           Der Bundesbeauftragte V        13     f             für den Datenschutz und die Informationsfreiheit Seite 14 von 15 konnten weder der Aktenrückhalt und noch ein Grund für die Speicherungen nachvollzo- gen werden. Bei allen W-Gruppen wurde im Freitextfeld „Vermerk“ ausgeführt: „ALTBE- STAND BESITZER NICHT GEPRÜFT.“ Das BKA führte aus, die-Übernahme der PHW sei wohl durch die ED-Übernahme erfolgt. Da das BKA noch vor Ort zugesagt hat, den Fall zu lö- schen, sehe ich von einer Beanstandung ab. 5, Ergebnis und Zusammenfassung Die Kontrolle der Datenverarbeitung von ED-Daten hat insgesamt drei datenschutzrechtli- che Mängel ergeben. In diesen drei Fällen hat das BKA keine Negativprognose nach $ 16 Abs. 5 Nr. 2a) BKAG durchgeführt. Die Prognoseentscheidung nach 88 18 und 19 BKAG ent- sprach nicht den gesetzlichen Anforderungen, weil sie sich lediglich in der Kopie des reinen Gesetzeswortlauts erschöpfte. Diese Fälle beanstande ich nach $ 16 Abs. 2 BDSG. Bei den Anforderungen an eine Negativprognose scheint es sich um eine grundlegende Problemstellung im BKA zu handeln. Ich begrüße daher die Initiative des BKA, meine Bera- tung zu diesem Themenkomplex in Anspruch zu nehmen. Das BKA hat mir im Nachgang zu meinem Beratungs- und Kontrollbesuch konkret einen Austausch in dem Format eines „Workshops“ vorgeschlagen. Diese Initiative begrüße ich sehr und greife sie gerne auf. Ich halte einen weiteren Austausch --auch vor dem Hintergrund des Projekts „WiPras“ (Wie- derholungs- und Prognoseassistent) als Teilprojekt von „Polizei 2020“ - für zielführend. Der Thematik werde ich zu einem späteren Zeitpunkt in einem gesonderten Beratungs- und Kontrollbesuchen noch einmal nachgehen. Ich empfehle dem BKA dringend, den mit der Übernahme von ED-Daten in Zusammenhang stehenden Bereinigungsprozess des Altbestandes fortzuführen und bis zum 31.12.2022 umzusetzen. Ich empfehle dem BKA dringend als technisch verantwortliche Stelle nach $ 31 Abs. 1 BKAG dafür Sorge zu tragen, dass Daten aus erkennungsdienstlichen Behandlungen von OWIG- Verfahren technisch nicht in dem Informationsverbund gespeichert werden können, weil für derartige Speicherungen keine Rechtsgrundlage besteht. 101120/2021
14

S                           Der Bundesbeauftragte V   :                        für den Datenschutz und die Informationsfreiheit u son     D, Aufforderung zur Stellungnahme gem. $ 16 Abs. 2 BDSG Das Bundesministerium des Innern, für Bau und Heimat wird hiermit gemäß$ 16 Abs. 2 S. 1 BDSG aufgefordert, bis zum 17. Januar 2021 Stellung zu nehmen. Ich möchte darum bitten, im Rahmen der Stellungnahme gemäß 5 16 Abs. 2 S. 3 BDSG auch darzustellen, ob und welche Maßnahmen aufgrund meiner Mitteilung getroffen wor- den sind. E. Hinweis Veröffentlichung Erlauben Sie mir abschließend noch den folgenden Hinweis: Der BfDI strebt ein modernes Informationsmanagement zwischen Bürger und Staat an, das - eine Begegnung auf Augenhöhe ermöglichen soll. In Verfolgung dieses Ziels werden Kon- trollberichte und/oder die jeweiligen Bescheide im rechtlich zulässigen Rahmen ver- öffentlicht. Sofern die kontrollierte Stelle dies wünscht, wird auch deren Stellungnahme veröffentlicht. Sofern der Kontrollbericht und/oder der darauf eventuell folgende Be- scheid Namen einzelner natürlicher Personen enthalten, werden diese vor Veröffentli- chung geschwärzt. Die Veröffentlichung erfolgt ca. einen Monat nach Übersendung des Kontrollberichts.Sofern Sie Bedenken gegen die geplante Veröffentlichung haben, bitte ich Sie, mir diese rechtzeitig mitzuteilen. Über eine eventuelle Pflicht zur Herausgabe nach den Regelungen des Informationsfrei- heitsgesetzes des Bundes (IFG) ist im Einzelfall gesondert zu entscheiden. Mit freundlichen Grüßen AHLL Prof. Ulrich Kelber 101120/2021
15