Als Ersatz für die bisherigen Dateien wird nunmehr der Begriff der Kategorien benutzt. Es ist aber nicht klar,
was darunter zu verstehen ist, wie die Kategorien genau gebildet werden sollen und wie sie voneinander abzugrenzen sind. Nicht hinreichend präzise ist geregelt und von den Behörden verbindlich festzulegen, zu welchen
Zwecken in den jeweiligen Kategorien personenbezogene Daten gespeichert werden dürfen. Die Zweckbindung
ist aber das zentrale Element der verfassungsgerichtlichen Rechtsprechung zum Datenschutz. Speichern und
verknüpfen die Polizeibehörden personenbezogene Daten, dann kann dies intensiv in Grundrechte eingreifen.
Die bisherige Rechtsprechung des Bundesverfassungsgerichts, die auf die Gefahren der automatisierten Datenverarbeitung hinweist, gilt weiterhin. Diese setzt voraus, für jedes gespeicherte Datum zu bestimmen, für welche konkreten Zwecke es gespeichert wird. Der Grundsatz der Zweckbindung gilt also weiterhin auch dann,
wenn die Behörde die Daten nur intern und innerhalb derselben Aufgabenstellung verarbeitet.
Aussonderungsprüffristen
Wie der Gesetzentwurf ursprünglich vorsah, sollten diese künftig für alle zu einer Person gespeicherten Daten
einheitlich an dem Tag beginnen, an dem die letzte Eintragung erfolgt ist. Diese Regelung orientiert sich nicht
mehr daran, was für die Aufgabenerfüllung erforderlich ist und welchen Anlass der Betroffene für eine spätere
Speicherung gegeben hat. Diese „Mitziehautomatik“, die einheitliche Speicherfristen ohne Differenzierung der
einzelnen Speicherungen festlegt, hat der Bundestag aber im Gesetzgebungsverfahren gestrichen. Meine Kritik
daran war also erfolgreich. Damit gilt insoweit weiter die bislang im BKAG vorgesehene Regelung.
Speicherungen zu einer Person können Ereignisse von unterschiedlichem Gewicht betreffen oder auf einer unterschiedlichen Tatsachenbasis beruhen. Der Betroffene kann rechtskräftig verurteilt sein oder nur wegen vager
Verdachtsmomente gespeichert sein, etwa aufgrund einer später nicht verifizierbaren Anzeige, oder nur als Kontaktperson oder Opfer. Daher können nicht alle Fälle über einen Kamm geschoren werden. Eine „Mitziehautomatik“ in Verbundsystemen verstößt gegen Artikel 7 Absatz 2 der JI-Richtlinie und ist unverhältnismäßig.
Dieser Effekt wird durch neue IT-Strukturen nochmals verstärkt: Zunehmend basieren polizeiliche Datenbanken
auf Systemen, die auf eine Verknüpfung von Daten ausgelegt sind (vgl. u. Nr. 10.2.9.3). Diese speichern nicht
mehr personenorientierte Datensätze, sondern speichern ereignisorientiert. Die Daten zu einer Person werden
mit einem Ereignis verknüpft, das seinerseits mit weiteren Personen, Ereignissen, Institutionen oder Sachen
verknüpft wird. Die Zahl der Verknüpfungsebenen ist nicht begrenzt, so dass die zu einer Person gespeicherten
Daten zunehmend diffundieren. Im Laufe der Zeit „reichern sie sich an“. Nach dem Entwurf soll die Berechnung der Fristen nicht mehr von dem zu der Person gespeicherten Ereignis abhängen. Das Gesetz will stattdessen auf die „letzte Eintragung“ und auf „alle zu einer Person gespeicherten Daten“ abstellen. Damit wird eine
Person auch dann länger gespeichert, wenn zum Beispiel zu einem Mittäter später ein Eintrag ergänzt wird. Es
„nützt“ dem Betroffenen dann nichts, wenn er inzwischen auf den Pfad der Tugend zurückgefunden hat („mitgefangen, mitgehangen“). Ich begrüße deshalb sehr, dass der Bundestag sich meiner Kritik angenommen hat
und die Mitziehklausel aus dem Entwurf nicht übernommen hat.
Zusätzliche datenschutzrechtliche Änderungsvorschläge zur Novellierung des BKAG
1. Datenschutzkontrolle: Der Gesetzentwurf sollte die Datenschutzaufsicht stärken - sowohl hinsichtlich der
Sachmittel- und Personalausstattung als auch der Kompetenzen. Sicherzustellen ist nicht nur die Kontrollbefugnisse auf dem Stand der Zeit zu halten, sondern auch die Durchsetzung. Stelle ich Verstöße gegen geltendes Recht fest, muss ich dagegen auch vorgehen können. Dazu bedarf es mindestens der Möglichkeit, ein
gerichtliches Verfahren einzuleiten, damit unabhängige Richter entscheiden können.
2. Zweckbindung: Das Bundesverfassungsgericht hat in seinem Urteil zum BKAG (vgl. o. Nr. 1.3) den
Grundsatz der Zweckbindung dogmatisch umrissen. Dabei hat es höhere Maßstäbe angelegt, wenn die Datenverarbeitung besonders intensiv in Grundrechte eingreift. Das Bundesverfassungsgericht hebt in verschiedenen Entscheidungen die spezifisch breitenwirksamen Grundrechtsgefährdungspotentiale hervor und
betont dabei besonders die Auswirkungen der elektronischen Datenverarbeitung als intensiven Grundrechtseingriff. Wenn ein Datum im Einzelfall aufgrund eines Ermittlungsansatzes genutzt werden darf, be– 108 –
BfDI 26. Tätigkeitsbericht 2015-2016