wurden befolgt. Inhalt und Umfang von Treffermeldungen sollen in künftigen Kontrollen noch einmal genauer
untersucht werden. Der Hauptkritikpunkt dieser Kontrolle betraf wie auch bei der BPol die Protokollierung.
Die Speicherdauer der Protokolldaten zur Historie von
Ausschreibungen ist zu kurz und dringend den europäischen Vorgaben anzupassen; das BKA hat Abhilfe
zugesagt.
Im Berichtszeitraum habe ich beim BND eine Kontrolle
zum SIS II durchgeführt. Die deutschen Nachrichtendienste dürfen das SIS II nur für sogenannte verdeckte
Ausschreibungen nach Art. 36 Abs. 3 SIS-Beschluss
i. V. m. § 17 Abs. 3 BVerfSchG nutzen, um Reisebewegungen nachzuvollziehen, nicht aber beispielsweise
zur Festnahme bei der Einreise. Voraussetzung hierfür
ist, dass die dabei gewonnenen Informationen zur
Abwehr einer von der betroffenen Person ausgehenden erheblichen Gefährdung oder anderer erheblicher
Gefahren für die Sicherheit des Staates erforderlich sind.
Die Bewertung der geprüften Stichprobe dauert noch
an, allerdings kann ich bereits jetzt festhalten, dass ich
die Dokumentation des Verfahrens nicht durchgängig
nachvollziehen kann.
Abfrage von Daten aus VIS und EURODAC
Im Jahre 2019 habe ich beim BKA die Rechtmäßigkeit
von Recherchen in VIS und EURODAC überprüft. Solche
Recherchen dürfen unter bestimmten Voraussetzungen
ausschließlich zum Zwecke der Verhütung, Aufdeckung
oder Ermittlung terroristischer oder sonstige schwerer
Straftaten durchgeführt werden. Ich habe für beide
Systeme Stichproben durchgeführt. In allen Fällen war
die Rechtmäßigkeit der Abfragen nachvollziehbar, im
Bereich der VIS-Abfragen ist die Dokumentation allerdings verbesserungsfähig. Hier habe ich eine entsprechende Empfehlung ausgesprochen.
Bereits im Jahr 2018 hatte ich bei der Bundepolizei eine
Kontrolle zur Rechtmäßigkeit von EURODAC-Recherchen begonnen, bei der sich schnell Dokumentationsdefizite abzeichneten. Nach Auswertung ergänzender
Unterlagen und Protokolldaten war im Ergebnis nicht
in allen Fällen nachvollziehbar dokumentiert, ob die
Voraussetzungen für die Zulässigkeit des Abgleiches
tatsächlich vorlagen. Dies habe ich in 2019 als Verstoß
gegen die aus dem Rechtsstaatsprinzip des Art. 20 Abs. 3
GG abzuleitende Pflicht zur Führung ordnungsgemäßer
Akten beanstandet. Infolge der Beanstandung hat die
Bundespolizei inzwischen Maßnahmen getroffen, um
das vorgefundene Dokumentationsdefizit für die Zukunft
abzustellen. Diese erscheinen nach derzeitigem Stand
geeignet. In einer künftigen Kontrolle werde ich noch
einmal überprüfen, ob die Maßnahmen zum gewünschten Ergebnis geführt haben.
54
Tätigkeitsbericht zum Datenschutz für 2019
Fazit
Turnusmäßige Pflichtkontrollen leisten einen wichtigen
Beitrag zur Einhaltung der jeweiligen datenschutzrechtlichen Vorgaben. Allerdings binden sie auch erhebliche
personelle Ressourcen. Mittel- und langfristig darf das
nicht dazu führen, dass dies zu Lasten nicht ausdrücklich regulierter Bereiche geht, die sich gegebenenfalls
sogar als datenschutzrechtlich problematischer erwiesen haben, als die Bereiche, in denen Pflichtkontrollen
vorgeschrieben sind. Im wichtigen Bereich der Aufsicht
über sicherheitsbehördliches Handeln müssen die
Voraussetzungen für eine ausgewogene Kontrollpraxis
stets gegeben bleiben, die vom Bundestag genehmigten zusätzlichen Stellen beim BfDI leisten hierzu einen
wichtigen Beitrag.
Querverweise:
6.7.5 Fragmentierung der Aufsichtslandschaft über die
Nachrichtendienste
6.7.2 Quellen-Telekommunikationsüberwachung
beim BKA
Das Bundeskriminalamt (BKA) hat die datenschutzrechtlichen Anforderungen zur Nachvollziehbarkeit
ihrer TKÜ-Überwachungsmaßnahmen verbessert.
Bei einer datenschutzrechtlichen Kontrolle habe ich
auch Teile des Quellcodes einsehen können.
Bereits in der Vergangenheit habe ich Quellen-TKÜ-Maßnahmen u. a. wegen der technischen Funktionalitäten
und Risiken der verwendeten Softwareprodukte kritisiert.
Als Ergebnis der Diskussion zwischen Datenschutz- und
Sicherheitsbehörden wurde ein strengerer Anforderungskatalog erarbeitet. Bereits damals bestand ich auf
der uneingeschränkten Nachvollziehbarkeit der Umsetzung dieser aus den rechtlichen Befugnissen abgeleiteten
Anforderungen bis hin zur Offenlegung des Quellcodes
des Softwareprodukts. Denn in einer solchen Konstellation ist es generell schwierig, die genaue Funktionsweise
einerseits und die Seiteneffekte andererseits zu kennen
und zu beherrschen. Bei der seinerzeit eingesetzten
Überwachungssoftware bemängelte ich vor diesem
Hintergrund die fehlende Dokumentation und praktisch
unmögliche Einsichtnahme in den Quellcode zur Überprüfung des Bezugs zu den rechtlichen Vorgaben.
Mittlerweile hat das BKA mit erheblichem Aufwand eine
eigene Entwicklung einer Quellen-TKÜ-Software vorangetrieben. Dabei sollte die zuvor bemängelte Intransparenz bei der durchgängigen Umsetzung von Vorgaben in
Quellcode beseitigt werden. In einer Kontrolle im Jahr
2019 überprüfte ich daher, ob der Entwicklungsprozess
der Software so ausgestaltet ist, dass zu jedem Entwicklungsschritt der Bezug zu den Anforderungen und Rechts-