Deutscher Bundestag – 16. Wahlperiode
– 51 –
§ 9 ATDG (Nr. 4.2.2.1). Schließlich habe ich auch im
BKA eine Schwerpunktkontrolle der polizeilichen Datenverarbeitung in der Anti-Terror-Datei (ATD) durchgeführt (Nr. 4.2.2.2).
4.2.2.1 Die Protokollierung in der Anti-TerrorDatei gestaltet sich schwierig
Zwischen dem BMI und mir besteht ein Dissens hinsichtlich des Umfangs der nach § 9 ATDG erforderlichen
Protokollierung sowie der Reichweite meiner datenschutzrechtlichen Kontrollbefugnis gemäß § 10 ATDG
bezüglich dieser Protokolldaten.
Nach Auffassung des BMI wird bei einer Abfrage, die auf
eine verdeckte Speicherung in der ATD trifft, kein Treffer
protokolliert. Andernfalls würde dies – so die Argumentation des BMI – zu einer Offenlegung einer verdeckten
Speicherung führen, was der Regelung des § 4 Absatz 1 ATDG widerspräche. Gemäß § 9 ATDG müsse nur
jeder Zugriff auf die ATD protokolliert werden. Ein „Zugriff“ im Sinne von § 5 ATDG liege nur vor, wenn die
Daten für die abfragende Behörde auch sichtbar würden.
Der Nachweis über einen Treffer auf eine verdeckte
Speicherung erfolge durch die Dokumentation bei der beteiligten Behörde, die die jeweiligen Daten verdeckt
gespeichert hat. Protokolldaten, die durch Datenbanktransaktionen beteiligter Landesbehörden in der ATD entstanden sind, würden zudem im datenschutzrechtlichen
Verantwortungsbereich dieser Behörden stehen und dürften von mir nicht eingesehen werden.
Im Rahmen der Ressortberatungen zum ATDG hatte ich
stets für eine systemseitige Vollprotokollierung, d. h. eine
automatisierte, beweissichere und lückenlose Protokollierung aller Datenbanktransaktionen auf der Grundlage von
Auswerteprogrammen in der ATD zu datenschutzrechtlichen Kontrollzwecken plädiert. Das BMI hat diesem Petitum entsprochen und meinen Formulierungsvorschlag in
die Gesetzesbegründung wortidentisch übernommen.
Diese Begründung konkretisiert inhaltlich die Regelungen des § 9 Absatz 1 ATDG. Demnach ist das BKA verpflichtet, in der ATD alle Datenbanktransaktionen lückenlos und auswertbar zu Datenschutzkontrollzwecken
zu protokollieren. Hierzu zählen auch die verdeckt erfolgten Speicherungen im Sinne von § 4 Absatz 1 Satz 1
2. Alt. ATDG sowie die durch eine Anfrage ausgelösten
Treffer auf verdeckt gespeicherte Daten. Die strenge
Zweckbindung des § 9 Absatz 1 Satz 1 ATDG gewährleistet, dass keine Offenlegung von verdeckt erfolgten
Speicherungen gegenüber den an der ATD beteiligten
Stellen erfolgt. Die umfassende Protokollierung und Auswertbarkeit der Protokolldaten ist eine zentrale Verfahrenssicherung und damit ein adäquater Ausgleich zu dem
mit dem ATDG erstmals gesetzlich legitimierten Informationspool von Polizeien und Nachrichtendiensten, der in
besonders schwerwiegender Weise in das Recht der
Betroffenen auf informationelle Selbstbestimmung
eingreift und mit erheblichen verfassungsrechtlichen Risiken behaftet ist. Eine Beschränkung der nach § 9
Absatz 1 ATDG bestehenden umfassenden Protokollierungsverpflichtung durch bzw. im Hinblick auf die Rege-
Drucksache 16/12600
lungen des § 4 Absatz 1 ATDG ist weder dem Wortlaut
dieser Regelung noch den jeweiligen Gesetzesbegründungen zu entnehmen. Bei der Durchführung datenschutzrechtlicher Kontrollen verdeckter Speicherungen in der
ATD bin ich jedoch gegenwärtig auf die Vorlage entsprechender Dokumentationen durch die jeweilige Behörde
angewiesen, ohne die Möglichkeit zu haben, diese Angaben durch Auswertung der Protokolldaten zu verifizieren.
Dies entspricht nicht den Erfordernissen einer unabhängigen und effizienten Datenschutzkontrolle.
Für eine Beschränkung meiner Kontrollbefugnisse bezüglich der durch Datenbanktransaktionen beteiligter Landesbehörden in der ATD generierten Protokolldaten sehe
ich ebenfalls keine Rechtsgrundlage. Das BKA hat die
Aufgabe, für Zwecke der Datenschutzkontrolle die Zugriffe auf die ATD zu protokollieren. Die Durchführung
dieser Aufgabe wird von meiner Behörde gemäß
§ 10 ATDG datenschutzrechtlich kontrolliert. Lediglich
die datenschutzrechtliche Kontrolle der Eingabe und Abfrage von Daten durch eine Landesbehörde richtet sich
nach dem jeweiligen Datenschutzgesetz des betreffenden
Landes. Der Umfang der datenschutzrechtlichen Verantwortung wird im Übrigen durch § 8 ATDG festgelegt.
Protokolldaten, die durch Datenverarbeitungsmaßnahmen
in der ATD entstehen, werden durch diese Regelung nicht
erfasst. Keinesfalls darf ein datenschutzrechtlich kontrollfreier Raum entstehen. Ich bin darauf angewiesen, dass
ich z. B. bei einer Auswertung von Protokolldaten zu einer bestimmten, in der ATD gespeicherten Person auch
erkennen können muss, welche Landesbehörden Daten zu
dieser Person verarbeitet haben, um den zuständigen Landesdatenschutzbeauftragten entsprechend einbinden bzw.
informieren zu können. Die Sichtweise wird von den Datenschutzbeauftragten der Länder geteilt.
Das BMI hat vorgeschlagen, dass die Landesdatenschutzbeauftragten die Protokolldaten, die durch Datenbanktransaktionen der jeweils ihrer Kontrollbefugnis unterliegen Landesstellen entstanden sind, im BKA selbst
einsehen und auswerten können. Ich habe dieses Verfahren vorerst akzeptiert. Die nächsten Jahre werden zeigen,
inwieweit dadurch eine effiziente Kontrolle der Datenverarbeitung in der ATD durch die daran beteiligten Bundesund Landesbehörden gewährleistet werden kann.
4.2.2.2 Kontrolle der Anti-Terror-Datei beim
Bundeskriminalamt
Bei der Datenverarbeitung in der ATD habe ich einige
datenschutzrechtliche Mängel festgestellt. Dies gilt insbesondere für die Problematik der Speicherung von „Randpersonen“.
Als ein zentraler Bestandteil der neuen Sicherheitsarchitektur des Bundes (vgl. 21. TB Nr. 5.1) wurde im
März 2007 die Anti-Terror-Datei (vgl. 21. TB Nr. 5.1.1)
durch den Bundesminister des Innern offiziell „freigeschaltet“. Zu Beginn wurden Informationen über rund
13 000 Personensätze in der ATD gespeichert; bis Ende
Mai 2008 wuchs diese Zahl auf 17.745 an. Die Zahl der
tatsächlich erfassten Betroffenen dürfte aber niedriger liegen, da einzelne Personen von verschiedenen Stellen
BfDI 22. Tätigkeitsbericht 2007-2008