– 69 –
5.5.5
Datenschutzrechtliche Kontrollen
beim BfV – Probleme mit der
Kontrollkompetenz
Meine Kontrollbefugnis erstreckt sich auch auf die Kontrolle der Datenverarbeitungsprogramme beim Verfassungsschutz. Aus Quellenschutzgründen darf eine Beschränkung meiner Kontrollbefugnis nur zum Schutz der
Anonymität natürlicher Personen erfolgen.
Anlässlich der Kontrolle einer Datei beim BfV hatte das
BMI als zuständige Fachaufsichtsbehörde einer Kontrolle
des Datenverarbeitungsprogramms durch eine Einsichtnahme in das Programm widersprochen, da eine derartige
Kontrollmaßnahme des BfD generell unzulässig sei.
Nach meinem Hinweis auf die mir auch insoweit vom
Gesetzgeber verliehene Kontrollbefugnis nach § 24
Abs. 4 Satz 2 Nr. 1 BDSG hat das BMI seine Auffassung
revidiert.
Auch hatte das BMI zunächst die Auffassung vertreten,
dass Informationen beim BfV, die von dritter Seite, beispielsweise von Partnerdiensten, stammen, in Gänze dem
Quellenschutz unterfielen und damit von meiner Kontrollkompetenz ausgenommen seien. Dies habe ich als
eine unzulässige Beschränkung meiner Kontrollkompetenz erachtet und das BMI um die Änderung seiner Auffassung gebeten. Meinem Petitum ist das BMI insoweit
nicht gefolgt, als es eine Offenlegung des jeweiligen
Nachrichtengebers unter Hinweis auf den Quellenschutz
weiterhin verwehrt. Nach Auffassung des BMI umfasst
der Quellenschutz die Pflicht zur Wahrung der Anonymität aller Nachrichtengeber, d.h. sowohl von natürlichen
als auch von juristischen Personen. Dieser Auffassung
habe ich widersprochen und darauf hingewiesen, dass nur
das Anonymitätsinteresse natürlicher Personen schutzwürdig ist und insoweit eine Einschränkung meiner Kontrollkompetenz rechtfertigen könnte; die zwischen dem
BfV und mir getroffene Quellenschutzvereinbarung habe
ich stets in diesem Sinne interpretiert (vgl. 17. TB
Nr. 14.1, 18. TB Nr. 14.2). Die weite Interpretation durch
das BMI und das BfV hätte zur Folge, dass ich im Falle
der Speicherung eines Nachrichtengebers in einer Datei
generell keine unmittelbare Einsicht in diese Datei nehmen könnte, auch wenn die Einsichtnahme zur Kontrolle
des Datenverarbeitungsprogramms unerlässlich ist. Technisch ist es derzeit nicht möglich, den Hinweis auf den
Nachrichtengeber auszublenden. Da viele Dateien des
BfV Quelleninformationen von Organisationen wie etwa
anderen Nachrichtendiensten enthalten, hätte die weite
Auslegung zur Folge, dass ich meinen gesetzlichen Kontrollauftrag in Bezug auf die Kontrolle der Datenverarbeitung nach § 24 Abs. 4 Satz 2 Nr. 1 BDSG vielfach nicht
oder nur sehr eingeschränkt erfüllen könnte. Daher habe
ich das BMI und das BfV gebeten, ihre Auffassung zu ändern. Zudem steht es dem BfV frei, seine DV-Programme
so zu modifizieren, dass geschützte Quellen bei Prüfungen nicht aufgedeckt werden. Die Gespräche zur Erarbeitung eines gemeinsamen Lösungskonzeptes waren bei
Redaktionsschluss noch im Gange.
5.6
Militärischer Abschirmdienst
5.6.1
Änderung des Gesetzes über den MAD
Der mir zur Anhörung zugeleitete Entwurf einer Dienstvorschrift zum automatisierten Abruf aus dem Personalführungs- und Informationssystem der Bundeswehr durch
den MAD wird den gesetzlichen Vorgaben nicht gerecht.
Nach langjährigen Erörterungen mit dem BMVg hat der
Deutsche Bundestag am 8. März 2004 das Erste Gesetz
zur Änderung des MADG verabschiedet. Damit ist er meiner Forderung nachgekommen, den Zugriff des MAD auf
Daten aus dem Personalführungs- und Informationssystem der Bundeswehr (PERFIS) auf eine gesetzliche
Grundlage zu stellen (vgl. 18. TB Nr. 15.1 und 19. TB
Nr. 18.1.1). Nach dem ergänzten § 10 Abs. 2 MADG darf
der MAD im Rahmen der Erfüllung seiner Aufgaben zur
Feststellung, ob eine Person dem Geschäftsbereich des
BMVg angehört oder in ihm tätig ist, den Familiennamen,
den Vornamen, frühere Namen, das Geburtsdatum, den
Dienstgrad, die Dienststellennummer und das Dienstzeitende des Betroffenen aus PERFIS abrufen. Nähere Einzelheiten zum Kreis der zum Abruf berechtigten Angehörigen
des MAD und zum Verfahren sind in einer Dienstvorschrift zu regeln, vor deren Erlass ich angehört werde. Im
Rahmen dieser Anhörung habe ich festgestellt, dass der
MAD einen vom Gesetz vorgesehenen Abruf von Daten
im automatisierten Verfahren nicht beabsichtigt und stattdessen an dem vor der Gesetzesänderung praktizierten
Verfahren festhält. Dieses Verfahren sieht die Übermittlung
der genannten Daten aller Angehörigen des Geschäftsbereichs des BMVg mittels eines Datenträgers an den
MAD vor. Im MAD-Amt werden diese Daten gespeichert.
Hierdurch entsteht eine MAD-eigene Datei, die für die
Fachbereiche des MAD zur Nutzung bereit gehalten wird.
Bei diesem Verfahren, mit dem ich mich bereits vor Jahren nur vorübergehend und unter Vorbehalt einer gesetzlichen Änderung einverstanden erklärt hatte, handelt es
sich um die Übermittlung von Daten im Sinne von
§ 3 Abs. 4 Nr. 3 Buchst. a) BDSG. Durch die Übermittlung und anschließende Speicherung des Gesamtbestandes aller Angehörigen des Geschäftsbereichs des BMVg
aus PERFIS – wenn auch auf die nach § 10
Abs. 2 MADG zulässigen sieben Daten beschränkt – entsteht beim MAD-Amt ein Datenbestand, der überwiegend
nicht zur Aufgabenerfüllung des MAD erforderlich und
somit unzulässig ist.
Die Fortführung des bisher praktizierten Verfahrens trotz
der Gesetzesänderung ist mit dem Wortlaut des Gesetzes
und mit dem Willen des Gesetzgebers nicht vereinbar und
daher unzulässig. Ich habe das BMVg gebeten, ein dem
§ 10 Abs. 2 MADG entsprechendes automatisiertes Abrufverfahren einzurichten. Eine Stellungnahme des BMVg
lag mir bei Redaktionsschluss noch nicht vor.
5.6.2
Stellung des behördlichen Datenschutzbeauftragten beim MAD
Der MAD bedarf als Nachrichtendienst eines eigenen Beauftragten für den Datenschutz. Es genügt nicht, für den
„Beauftragten für den Datenschutz in der Bundeswehr“
beim MAD einen „Vertreter vor Ort“ zu bestellen.
BfD
20. Tätigkeitsbericht
2003–2004