Drucksache 17/13000
104 –
–
–– 104
dete. Zudem sollten „Personen, die in die Verarbeitung
ihrer Daten eingewilligt haben (insbesondere Geschädigte
und Zeugen für zukünftige Strafverfahren) sowie personenbezogene Daten der Angehörigen von Dienststellen“
in der „eKA“ gespeichert werden. Hierfür sehe ich keine
hinreichende Rechtsgrundlage, denn gerade bei derartigen, für hoheitliche Zwecke geführten Datensammlungen
scheidet die Einwilligung als Rechtsgrundlage weitgehend aus. Zudem sind im Kriminalaktennachweis (KAN)
und im BAN solche Personenkategorien nicht vorgesehen. Auf einen entsprechenden Hinweis hin hat mir die
Bundespolizei zugesagt, diese Personenkategorien nicht
in der „eKA“ zu speichern.
Bei der Löschung von Daten aus der „eKA“ halten sich
die Aussonderungsprüffristen zwar im gesetzlichen Rahmen und sehen eine gewisse Abstufung angesichts der
Schwere der Tat vor. Sie gehen allerdings über die im
BAN vorgesehene regelmäßige Speicherdauer erheblich
hinaus. Dies ist für mich nicht nachvollziehbar. Ich halte
insofern eine Verkürzung der Aussonderungsprüffristen
für geboten; sie sollten die im BAN enthaltenen Fristen
nicht übersteigen.
Positiv sehe ich das Verfahren zum Löschen von Daten aus
der „eKA“. Wird zu einer natürlichen Person eine „eKA“
angelegt, wird jedes einzelne Delikt in einem gesonderten
virtuellen „Merkblatt“ gespeichert. Jedes Merkblatt hat
ein eigenes Aussonderungsprüfdatum und kann unabhängig von ggf. weiteren bestehenden Merkblättern gelöscht
werden. Außerdem setzt die Verlängerung jedes Aussonderungsprüfdatums grundsätzlich voraus, dass neue Erkenntnisse in der Zwischenzeit hinzugekommen sind. Die
Verlängerung muss immer begründet und dokumentiert
werden.
Ich werde die zukünftige Entwicklung und praktische
Nutzung der „eKA“ auch weiterhin kritisch begleiten.
7.6.2
Unzulässige Übermittlung personenbezogener Daten an Europol
Die Bundespolizei hat jahrelang rechtswidrig personenbezogene Daten von geschleusten Personen an das Europol-Informationssystem (EIS) übermittelt.
Das Europäische Polizeiamt „Europol“ betreibt zur Erfüllung seiner Aufgaben verschiedene Informationsverarbeitungssysteme (vgl. Nr. 2.2.2). Eines davon ist das Europol-Informationssystem (EIS). Dort dürfen nur solche
Personen gespeichert werden, die verdächtig oder verurteilt sind oder bei denen faktische Anhaltspunkte für die
zukünftige Begehung einer Straftat vorliegen, die in den
Zuständigkeitsbereich von Europol fallen muss (Artikel 12 Absatz 1 i. V. m. Artikel 4 des Europol-Beschlusses (2009/371/JI)).
Wie meine bei der Bundespolizei durchgeführte Kontrolle gezeigt hat, lagen den an Europol übermittelten Daten ausschließlich Fälle von „Schleusungsdelikten“ zugrunde. Dabei hat die Bundespolizei in sämtlichen
(überprüften) Sachverhalten nicht nur die der Schleusung
verdächtigen Personen, sondern ganz überwiegend geschleuste Personen im EIS ausgeschrieben. Dies ist mit
dem Europol-Beschluss nicht vereinbar. Ursache dieses
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
Fehlers war das seinerzeit genutzte wenig flexible technische Verfahren, das es nur ermöglichte, entweder alle Personendaten eines relevanten Sachverhalts an Europol zu
übermitteln oder gar keine. Der Bundespolizei hätte dieser Fehler bereits vor Jahren auffallen müssen, da ich sie
seit 2007 immer wieder auf unzulässige Ausschreibungen
im EIS hingewiesen hatte. Passiert war jedoch nichts.
Bei meiner Kontrolle musste ich zudem feststellen, dass
auch die besondere Vorschrift zur Löschung von Daten
im Europol-Beschluss keine Anwendung in der Praxis
findet. Danach sind die Daten des Betroffenen zu löschen,
wenn das Verfahren gegen ihn endgültig eingestellt oder
er rechtskräftig freigesprochen wird (Artikel 12 Absatz 5
des Europol-Beschlusses). Eine Löschung erfolgte jedoch
nicht, obwohl die Bundespolizei nach eigener Aussage in
der Regel eine Mitteilung der Staatsanwaltschaft über den
Ausgang des Verfahrens erhält. Auch hier musste Abhilfe
geschaffen und die Anwendung spezieller Löschvorschriften gem. § 12 Absatz 5 Europol-Beschluss in allen
Bundespolizeidirektionen sichergestellt werden.
Die Bundespolizei hat auf meine Kontrolle unmittelbar
reagiert. Alle neuen Ausschreibungen im EIS sind sofort
gestoppt worden. Außerdem wurden alle bisher an das
EIS übermittelten Datensätze gelöscht. Zwischenzeitlich
wurde das System angepasst, so dass es nun möglich ist,
nur die zulässigen Personendaten an das EIS zu übermitteln. Alte wie neue Personendatensätze werden nun daraufhin überprüft, ob ihre Übermittlung an das EIS zulässig ist. Die Bundespolizei hat zudem sichergestellt, dass
die Daten eines Betroffenen im EIS nun gelöscht werden,
wenn das Verfahren gegen ihn endgültig eingestellt oder
der Betroffene rechtskräftig freigesprochen wird.
Ich begrüße die sofortige und umfassende Reaktion der
Bundespolizei auf meine Feststellungen. Dies hat mich
auch dazu bewogen, von einer Beanstandung nach § 25
Absatz 2 BDSG abzusehen. Dennoch hätte insbesondere
der technische Mangel des Systems deutlich früher aufgedeckt werden müssen. Dies hätte nicht nur Eingriffe in
die Rechte der Betroffenen verhindert. Auch die Bundespolizei hätte sich einigen Ärger und Aufwand erspart.
7.7
Nachrichtendienste
7.7.1
„Need to Share“ für die Sicherheitsbehörden – „Need to Know“ im
Datenschutz?
Der Paradigmenwechsel von „Need to Know“ zu „Need
to Share“ und die damit verbundenen neuen Mechanismen des Datenaustauschs bei den Sicherheitsbehörden
machen entsprechende übergreifende Kontrollbefugnisse
bei den Kontrollgremien erforderlich.
Die staatliche Präventionslogik, die sich in der Auseinandersetzung mit dem islamistischen Terrorismus nach den
Terroranschlägen 2001 verstärkte, führte zu zahlreichen
neuen Befugnissen für Polizei, Strafverfolgungsbehörden
und Nachrichtendiensten (vgl. Nr. 7.1 ff). Hinter fast allen neuen Befugnissen steht die Ablösung des alten
Grundsatzes „Need to Know“, durch „Need to Share“.
Dabei war „Need to Know“ praktisch dasselbe wie der
Erforderlichkeitsgrundsatz im Datenschutzrecht: Eine