Deutscher Bundestag – 17. Wahlperiode
105 ––
–– 105
Behörde erhält nicht mehr und nicht weniger Informationen, als zur jeweiligen Aufgabenerfüllung erforderlich
sind. „Need to Share“ ist das genaue Gegenteil: Ohne
konkrete Anfrage werden Informationen mit allen anderen Stellen geteilt, die vielleicht etwas damit anfangen
können – Datenübermittlung auf Vorrat.
In Deutschland ist der bekannteste Ausfluss dieses Paradigmenwechsels die Anti-Terror-Datei (ATD) (vgl. Nr. 7.2)
Sobald eine der an dieser Datei beteiligten Behörden eine
Person in der ATD gespeichert hat, müssen alle anderen
angeschlossenen Stellen Informationen, die sie zu dieser
Person besitzen, dazu speichern.
Völlig unabhängig von der Bewertung, inwieweit die
neuen gemeinsamen Dateien und Kooperationsplattformen mit dem Trennungsgebot von Nachrichtendiensten
und Polizei vereinbar sind: An dieser Stelle hat sich die
Schere zwischen der Qualität des denkbaren Grundrechtseingriffs und den Möglichkeiten einer effizienten Datenschutzkontrolle weit geöffnet (zur Evaluationsnotwendigkeit vgl. Nr. 7.1.).
Zwar wurde für die gemeinsamen Dateien eine Inhaltsund Transaktionsvollprotokollierung implementiert. Außerdem hat der Deutsche Bundestag die lückenlose datenschutzrechtliche Kontrolle der Rechtsextremismusdatei
gefordert, um so ein umfassendes und möglichst einheitliches und hohes Datenschutzniveau zu gewährleisten.
Die Praxis wird diesen Anforderungen jedoch nicht gerecht. Während Polizei und Nachrichtendienste, Landesund Bundesbehörden über gemeinsame Dateien jederzeit
auf die Gesamtheit der zu einem Betroffenen gespeicherten Daten zugreifen können, ist die Datenschutzkontrolle
Stückwerk geblieben. Weder ich noch ein Landesbeauftragter für den Datenschutz erhalten aufgrund eigener
Kompetenz einen vollständigen Überblick über Speicherung und Verwendung der Daten eines Betroffenen. Eine
umfassende datenschutzrechtliche Prüfung wäre somit
theoretisch nur mit erheblichem Koordinierungsaufwand
aller zuständigen Datenschutzbehörden möglich und ist
faktisch schon auf Grund fehlender Personalausstattung
ausgeschlossen.
Darüber hinaus erfordert die Auswertung der Protokolldaten mit dem dazu vom BKA bereitgestellten Analysetool in aller Regel einen hohen technischen und zeitlichen
Programmieraufwand. Für noch gravierender halte ich es,
dass meine zu Datenschutzkontrollzwecken bestehende
Nutzungsmöglichkeit der ATD-Protokolldaten (in der
Praxis) unzulässig (weit) eingeschränkt wird, indem ich
z. B. Protokolldaten, die von an der Datei beteiligten Landesbehörden generiert wurden, nicht einsehen darf. Auch
bei der Prüfung der Dateien selbst wurde durch die kontrollierten Stellen die Auffassung vertreten, ich dürfe nur
die Speicherungen sehen, die von den meiner Kontrolle
unterfallenden (Bundes-)Behörden veranlasst wurden.
Ich muss jedoch in der Lage sein, die Gesamtheit der personenbezogenen Daten zu sehen, die in den beim Bundeskriminalamt geführten Dateien zu einer Person gespeichert und verwendet werden.
Um einem Missverständnis vorzubeugen: Hier geht es
nicht darum, dass ich die durch eine Landesbehörde ge-
Drucksache 17/13000
speicherten Daten kontrollieren möchte. Wenn ich jedoch
– sei es auf Ersuchen eines Betroffenen, sei es im Rahmen einer allgemeinen Kontrolle – eine Prüfung vornehme, kann es nicht sein, dass ich bei den Datenschutzbeauftragten aller Länder einzeln anfragen muss, ob die
jeweils ihrer Kontrolle unterfallenden Stellen Speicherungen oder Abrufe vorgenommen haben, und dass ich dann
die Antworten nach Art eines Puzzles zu einer Gesamtschau zusammenfügen muss.
Wenn dem Grundsatz „Need to Share“ die Erkenntnis zu
Grunde liegt, nur die Gesamtschau aller zu einer Person
vorhandenen Daten mache eine werthaltige Einschätzung
eventueller Gefahren möglich, dann muss dies auch für
den Datenschutz gelten. Die ansonsten unvermeidlichen
datenschutzrechtlichen Kontrolldefizite dürfen nicht hingenommen werden und führen im Ergebnis zu einem verfassungswidrigen Zustand.
7.7.2
Vom Unterschied zwischen Kontrolle
und Kenntnisnahme …
Mehrere Kontrollgremien führen faktisch zu kontrollfreien Räumen.
Die Kontrolle, ob Daten nach dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Artikel 10-Gesetz – G 10), rechtmäßig erhoben und verwendet
werden, unterliegt ausschließlich der G 10-Kommission
des Deutschen Bundestages. Das darf aber nicht bedeuten, dass mir die Einsichtnahme in diese Daten verwehrt
wird, wenn sie zur Beurteilung der Rechtmäßigkeit nachgelagerter Eingriffe in das informationelle Selbstbestimmungsrecht des Betroffenen erforderlich ist.
Nicht nur bei der Kontrolle gemeinsamer Datenbestände
von Bund und Land bin ich im Berichtszeitraum an Grenzen gestoßen, die im Ergebnis kontrollfreie Räume markieren. Derzeit existieren drei unabhängige Kontrollorgane: Die G 10-Kommission, das Parlamentarische
Kontrollgremium und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Nach dem Gesetz
existieren keine kontrollfreien Räume – aber faktisch
sieht die Sache anders aus.
So unterfallen gem. § 24 Absatz 2 Satz 3 BDSG personenbezogene Daten, die der Kontrolle durch die G 10Kommission des Deutschen Bundestages unterliegen,
nicht meiner Prüfung.
Diese Vorschrift des BDSG wird nun aber seitens der
meiner Datenschutzaufsicht unterliegenden Stellen so interpretiert, dass mir nicht nur die Kontrolle, sondern darüber hinaus die Einsicht in Daten, die nach Artikel 10Gesetz erhoben wurden, verwehrt wird. Personenbezogene Daten dürfen mit nachrichtendienstlichen Mitteln
oder besonderen Befugnissen, wie Sie im Rahmen der
Anti-Terror-Gesetzgebung neu für die Nachrichtendienste
des Bundes geschaffen wurden, nur erhoben werden,
wenn bestimmte Voraussetzungen vorliegen. Auch die
weitere Verwendung personenbezogener Daten (z. B. die
Speicherung in der Anti-Terror-Datei) ist nur dann datenschutzrechtlich nicht zu beanstanden, wenn gesetzlich
vorgeschriebene Bedingungen erfüllt sind.
BfDI 24. Tätigkeitsbericht 2011-2012