Das BKA als nationale Zugangsstelle hatte seit Inkrafttreten der Verordnung 20 Anträge an Eurodac weitergeleitet, davon elf eigene. Von diesen elf erfolgten drei Anträge in Amtshilfe für Bundesländer, die zu diesem
Zeitpunkt noch nicht in der Lage waren, die Anfragen eigenständig durchzuführen.
Ich habe mir die Ablauforganisation sowie das Verfahren zeigen lassen und auch stichprobenartig die Anträge
geprüft. Dabei habe ich insgesamt nur kleinere Fehler feststellen können, die damit zu erklären sind, dass den
Mitarbeitern das Verfahren wegen der geringen Fallzahlen noch nicht hinreichend bekannt war. Das BKA hat
bereits die Ankündigung meiner Kontrolle zum Anlass genommen, die Mitarbeiter nochmals zu schulen und
ggf. Anpassungen am Verfahren vorzunehmen, um die bereits selbst erkannten Mängel abzustellen. Inhaltliche
Fehler waren erfreulicherweise nicht zu verzeichnen. Die Vorgaben der Verordnung, u. a. das vorherige Abfragen anderer, vorrangiger Datenbanken, wurden immer beachtet.
Perspektivisch ist davon auszugehen, dass sich die Fallzahlen und damit auch mein Kontrollaufwand deutlich
erhöhen werden. Einerseits handelt es sich hier noch um ein recht „junges“ Verfahren, dessen Nutzung
sich - sowohl bei der Erfassung, wie auch bei der Abfrage - erst noch einspielen muss. Andererseits existieren
bei der Europäischen Kommission bereits konkrete Pläne, den Anwendungsbereich von Eurodac zu erweitern
(vgl. Nr. 2.3.1). So sollen die Mitgliedsstaaten künftig die Daten von Drittstaatsangehörigen oder Staatenlosen,
die keinen Asylantrag gestellt haben, speichern und suchen können. Damit würde Eurodac nicht mehr nur eine
„Asyldatenbank“ sein, sondern auch weiteren Zuwanderungszwecken dienen, da beispielsweise Fingerabdruckabgleiche von aufgegriffenen illegalen Einwanderern möglich werden. Zudem sollen künftig neben Fingerabdrücken auch Fotos, Name, Geburtsdatum, Nationalität und Identitätsdokumente in Eurodac gespeichert werden, wodurch eine Personenidentifizierung möglich würde, ohne dass der einspeichernde Staat kontaktiert werden muss. Auch ist beabsichtigt, das Alter für die Abnahme von Fingerabdrücken von 14 auf sechs Jahre abzusenken.
10.3.4 Die Dateien „@rtus-Bund“ und „b-case“ bei der Bundespolizei
Bei der Bundespolizei habe ich eine datenschutzrechtliche Kontrolle der Dateien „@rtus-Bund“ und „b-case“
durchgeführt. Ursprünglich sollte dabei vor allem die Speicherung von Daten zu Kindern geprüft werden, es
stellten sich aber auch einige grundsätzliche Fragen, die während der Anhörung zu den Errichtungsanordnungen aufgetreten waren.
Die Datei „@rtus-Bund“ dient zunächst der Vorgangsbearbeitung. Darüber hinaus legt eine Dienstanweisung
fest, dass eine Nutzung der erfassten Daten zum Zwecke der strategischen oder operativen Auswertung möglich
ist. Die Bundespolizei nutzt diese Datei für fallübergreifende Analysen, und zwar sowohl für laufende als auch
für abgeschlossene Verfahren. Die Datei sieht keine unterschiedlichen Zugriffsrechte nach dem jeweiligen Bearbeitungsstadium vor.
„b-case“ nutzt die Bundespolizei als Fallbearbeitungssystem. Diese Datei dient ihr dazu, die polizeiliche Fallbearbeitung bei Komplex- und Strukturermittlungen sowie bei der Recherche und der Analyse von Informationen zur Aufklärung von Straftaten zu unterstützen. Erfasst werden Daten beispielsweise in den Bereichen Migration, Fahrkartenbetrug, Taschendiebstahlsbanden und Schleusung.
Strukturell ist in erster Linie zu bemängeln, dass beide Dateien nicht zwischen den verschiedenen gesetzlich
zulässigen Speicherzwecken (Aufgabenerfüllung, Gefahrenvorsorge und Strafverfolgungsvorsorge sowie befristete Dokumentation und Vorgangsverwaltung) differenzieren.
Nachdem die Vorgangsbearbeitung als Aufgabenerfüllung abgeschlossen ist, dürfen die Daten zur Gefahrenvorsorge und Strafverfolgungsvorsorge nur unter engeren Voraussetzungen und Bedingungen gespeichert werden
(§ 29 Abs. 2 und 3 BPolG). Dies berücksichtigen beide Dateien nicht ausreichend. Für die Datei „@rtus-Bund“
kommt darüber hinaus nach Abschluss der Bearbeitung eines Vorgangs in Betracht, diesen zur befristeten Dokumentation zu speichern (§ 29 Abs. 5 BPolG). Das bedingt aber eine organisatorische Trennung der Daten
vom übrigen Datenbestand. Die Zugriffsregelungen müssen dann entsprechend dem begrenzten Zweck ausgestaltet werden. Derartige organisatorische Vorkehrungen fehlen für die Datei „@rtus-Bund“.
BfDI 26. Tätigkeitsbericht 2015-2016
– 133 –