– 64 –
dieses Sicherheitskonzepts bildet ein polizeiliches Rahmenkonzept über den Einsatz und die Aufgaben der Polizeien des Bundes und der Länder. Für mich ist hier von
besonderem Interesse, in welchem Umfang personenbezogene Daten von Stadionbesuchern erhoben und verarbeitet werden sollen.
Auch die beabsichtigte Personalisierung der Eintrittskarten und der Einsatz von RFID-Chips werfen datenschutzrechtliche Fragen auf. Bei der Online-Ticketbestellung
werden personenbezogene Daten des Bestellers erhoben.
Um zu verhindern, dass Personen, denen gegenüber ein
Stadionverbot ausgesprochen wurde, Eintrittskarten erhalten, werden diese Daten mit der beim Deutschen
Fußballbund (DFB) geführten Stadionverbotsdatei abgeglichen. Ein Abgleich mit der von den Polizeien des Bundes und der Länder geführten Datei „Gewalttäter Sport“
findet dagegen nicht statt. Einige der bei der Ticketbestellung erhobenen personenbezogenen Daten wie Name,
Geburtsdatum, Pass- oder Personalausweisnummer, werden auf die Eintrittskarte gedruckt. Es ist vorgesehen, die
Kontrolle des Zugangs zu den Stadien in mehreren Phasen durchzuführen. Bei einer stichprobenartig durchgeführten Ausweiskontrolle erfolgt ein optischer Abgleich
des Ausweispapiers mit dem Ticketaufdruck. Im Rahmen
einer weiteren technischen Kontrolle wird geprüft, ob die
auf dem RFID-Chip gespeicherten Daten mit den Daten
aus dem Ticketverkaufssystem identisch sind. Erhebliche
Zweifel habe ich an der Zulässigkeit der Erhebung und
Verarbeitung der Pass- bzw. Personalausweisnummer von
Karteninteressenten, die der DFB aufgrund entsprechender Sicherheitsempfehlungen des BMI vorsieht. Nach
dem Pass- bzw. Personalausweisgesetz ist die Verwendung der Seriennummer im nicht-öffentlichen Bereich
unzulässig, soweit mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von
Dateien möglich ist. Der Gesetzgeber wollte damit die
Gefahr einer Nutzung der Seriennummer als eindeutige
Personenkennziffer ausschließen. Die Seriennummer darf
damit nicht als Ordnungsmerkmal gespeichert werden.
Aber auch darüber hinaus halte ich die Verwendung der
Seriennummer durch den DFB nicht für erforderlich,
wenn diese nur der Legitimation des Ticketinhabers beim
Zutritt zu den Stadien dienen soll.
Meine Bedenken habe ich gegenüber dem BMI und dem
für die datenschutzrechtliche Bewertung des TicketingKonzepts zuständigen Regierungspräsidium Darmstadt
geäußert und angeregt, das Verfahren dadurch datenschutzfreundlicher zu gestalten, indem nur ein Teil der
Seriennummer erfasst wird.
Die mit der Vorbereitung und Durchführung der FußballWeltmeisterschaft 2006 verbundenen datenschutzrechtlichen Aspekte können erst dann abschließend bewertet
werden, wenn alle erforderlichen Informationen über die
beabsichtigten Maßnahmen vorliegen. Ich rechne damit,
dass mir das BMI die erbetenen Auskünfte kurzfristig erteilen wird.
BfD
20. Tätigkeitsbericht
2003–2004
5.3.8
Kontrolle der Ausschreibungen
gem. Artikel 96 Abs. 2 des Schengener
Durchführungsübereinkommens durch
die Grenzschutzdirektion
Die Grenzschutzdirektion schreibt aufgrund der Erkenntnismitteilung anderer öffentlicher Stellen Drittausländer
zur Einreiseverweigerung im SIS aus. Als problematisch
erwiesen sich Ausschreibungen aufgrund von Informationen des BfV.
Im Sommer 2003 führte ich in der Grenzschutzdirektion
einen Beratungs- und Kontrollbesuch durch, bei dem ich
die von ihr vorgenommenen Ausschreibungen zur Einreiseverweigerung im SIS gem. Artikel 96 Abs. 2 SDÜ
überprüfte. Die Situation ist dadurch gekennzeichnet,
dass die Erkenntnisse, die die Grenzschutzdirektion zum
Anlass für die Ausschreibungen nimmt, von anderen öffentlichen Stellen – u. a. BfV, BKA und deutsche Auslandsvertretungen – übermittelt werden. Die Grenzschutzdirektion trägt jedoch die Verantwortung für die
Rechtmäßigkeit der Ausschreibungen. Dieser Verantwortung kann sie aber nur gerecht werden, wenn sie den
Sachverhalt dahingehend bewertet, ob eine Gefahr für die
öffentliche Sicherheit und Ordnung oder die nationale Sicherheit für die Bundesrepublik Deutschland oder einen
anderen Schengen-Vertragsstaat besteht. Dies setzt aber
voraus, dass der Grenzschutzdirektion konkrete Tatsachen übermittelt werden, die es ihr ermöglichen, das Vorliegen einer Gefahrenlage nach polizeirechtlichen Maßstäben selbst festzustellen.
In vielen der von mir geprüften Ausschreibungsersuchen
haben die ihnen zugrunde liegenden Erkenntnismitteilungen diesen Anforderungen nicht genügt. Denn die übermittelnden Stellen beschränken sich auf die Übermittlung
der eigenen Einschätzung der Gefahrenlage, ohne dass
die Fakten, die zu dieser Einschätzung geführt haben, der
Grenzschutzdirektion mitgeteilt werden. Gleichwohl hat
die Grenzschutzdirektion allein auf Basis dieser Erkenntnismitteilungen die betreffenden Personen im SIS ausgeschrieben. Die Grenzschutzdirektion hat damit ohne ausreichende Beurteilungsgrundlage die Verantwortung für
die Rechtmäßigkeit der von ihr im SIS gespeicherten Datensätze übernommen. Sinn und Zweck der Regeln zur
datenschutzrechtlichen Verantwortung laufen damit ins
Leere.
Das BMI hat im Wege eines Erlasses diesem Mangel
Rechnung getragen. Danach sind der Grenzschutzdirektion Erkenntnisse so zu übermitteln, dass es ihr aufgrund
des Inhalts möglich ist, das Vorliegen der Voraussetzungen für eine Ausschreibung im konkreten Einzelfall eigenständig zu bewerten. Der Erlass bezieht sich jedoch
nur auf Erkenntnismitteilungen des BfV. Bei Informationen des BKA soll die Grenzschutzdirektion weiterhin
darauf vertrauen dürfen, dass das BKA die polizeiliche
Bewertung der Ausschreibungsvoraussetzungen nach
Artikel 96 Abs. 2 SDÜ bereits selbst sachgerecht vorgenommen hat. Da die Grenzschutzdirektion aber auch in
diesen Fällen die datenschutzrechtliche Verantwortung
für die Richtigkeit der Ausschreibung trägt, halte ich es