Bei aller Kritik ist aber die Technik des Systems durchaus positiv zu sehen. Es handelt sich um eine Eigenentwicklung des BKA. Dadurch war es dem BKA möglich,
etwa die vergebenen Zugriffsrechte und umfangreiche
Übersichten über die Datenverteilung in kurzer Zeit für
die datenschutzrechtliche Kontrolle vorzulegen. Die
Mängel sehe ich daher nicht in der Technik, sondern in
den organisatorischen Vorgaben des Hauses.
Die Aktenführung
Die Dokumentation der Rechtmäßigkeit polizeilichen
Handelns muss vollständig sein. Das VBS spiegelt jedoch
die vorhandenen Vorgänge nur ausschnittweise wieder.
Ein Großteil des Schriftverkehrs und der Vermerke sind
lediglich als Dateien in den Gruppenlaufwerken gespeichert. Dies stellt aber nicht ausreichend sicher, dass die
Akten vollständig und manipulationssicher vorgehalten
werden. Es wird auch nicht die Aktenmäßigkeit der
Unterlagen gewahrt. Denn dafür müssen Unterlagen
zwingend in der richtigen Abfolge gespeichert sein und
stets die einzelnen Verfügungswege und die jeweiligen
innerbehördlichen Urheber erkennen lassen. Anderenfalls besteht eine Auflösung der Kontextverknüpfung.
Eine ordnungsgemäße Dokumentation setzt zudem eine
systematische Registrierung der einzelnen Dokumente
einschließlich der Vergabe von Aktenzeichen voraus.
Auch eine lückenlose Ablage im Referatslaufwerk genügt
hier nicht. Dies habe ich als Verstoß gegen die Grundsätze der ordnungsgemäßen Aktenführung beanstandet.
Ich empfehle im Ergebnis, die Funktionalitäten der elektronischen Aktenführung grundlegend neu auszurichten.
Insbesondere sollte das Nebeneinander von Aktenführung und Dokumentation polizeilichen Handelns auf
ein unumgängliches Mindestmaß beschränkt werden.
Eine durchgehende Dokumentation der Rechtmäßigkeit
polizeilichen Handelns ist konsequent sicherzustellen.
6.7.4 Datenschutz bei Sicherheitsüberprüfungen
Datenschutzrechtliche Vorgaben sind auch im Bereich
des Sicherheitsüberprüfungsrechtes zu beachten.
Im Berichtszeitraum habe ich bei drei Unternehmen
kontrolliert, die den Geheimschutz des Bundesministeriums für Wirtschaft und Energie betreuen. Die Unternehmen führen dort im Rahmen des vorbeugenden
personellen Geheimschutzes Sicherheitsüberprüfungen
durch. Bei allen Unternehmen habe ich bei der Führung
der Sicherheitsakten Verstöße festgestellt, die mir bereits bei vergleichbaren Kontrollen in der Vergangenheit
aufgefallen sind (27. TB Nr. 9.3.14.). Beispiele sind hier
eine unvollständige Aktenführung, das Auffinden von
unzulässigen Unterlagen in den Sicherheitsakten oder
die Nichteinhaltung der gesetzlichen Vernichtungs- und
Löschfristen. Zumeist waren diese Verstöße auf Unkenntnis der zuständigen Sicherheitsbevollmächtigten
zurückzuführen. Ich konnte erreichen, dass die Verstöße
bei der Aktenführung überwiegend noch vor Ort oder im
Nachgang zu meinem Kontrollbesuch behoben wurden.
Auf Beanstandungen habe ich daher verzichtet.
Besonders herausstellen möchte ich, dass mit allen
geprüften Unternehmen eine konstruktive Zusammenarbeit möglich war. Meine Hinweise vor Ort wurden
von den Sicherheitsbevollmächtigten angenommen und
deren Umsetzung bzw. das Abstellen der festgestellten
Mängel zugesagt.
Ebenfalls im Berichtszeitraum habe ich beim BfV die
Führung der Sicherheits- und Sicherheitsüberprüfungsakten zu Personen kontrolliert, die sich für eine Tätigkeit
beim BfV beworben haben. Auch hier habe ich verschiedene datenschutzrechtliche Verstöße bei einzelnen Maßnahmen des Sicherheitsüberprüfungsverfahrens, bei der
Führung der Sicherheitsakten sowie bei der Einhaltung
von Vernichtungs- und Löschfristen festgestellt. Das BfV
hat jedoch im Nachgang zu meiner Prüfung die Akten
von unzulässig gespeicherten Unterlagen bereinigt sowie die Einhaltung der Vernichtungs- und Löschfristen
überprüft. So konnten die Verstöße bei der Aktenführung überwiegend noch vor Ort oder im Nachgang
zu meinem Kontrollbesuch behoben werden.
Kritisch sehe ich, wie das BfV seine Möglichkeit ausübt,
Einsicht in die Personalakten der Betroffenen zu nehmen. Hierzu bin ich mit dem BfV noch im Gespräch.
6.7.5 Fragmentierung der Aufsicht über die Nachrichtendienste
Die Aufsicht über die Nachrichtendienste in Deutschland
ist fragmentiert. Neben meinen wiederholten Appellen
an den Gesetzgeber, die Kontrolldichte in diesem Bereich zu erhöhen, versuche ich, durch Gespräche und
Kontakte zu anderen Aufsichtsinstanzen in der Praxis
möglichst Lücken in der Kontrolle zu vermeiden.
Wie bereits in den letzten Tätigkeitsberichten immer
wieder angesprochen, führt die Fragmentierung der
Aufsicht über die Nachrichtendienste zu Kontrolllücken,
die gesetzlich und tatsächlich behoben werden müssen
(vgl. 27. TB Nr. 9.1.5). Ich nehme die Pflicht zur
Zusammenarbeit mit anderen Kontrollorganen ernst
und führe weiterhin gemeinsam mit der G-10-Kommission Kontrollen der ATD und der RED durch. Diese
Verpflichtung ergibt sich aus der verfassungsrechtlichen
Rechtsprechung.
Tätigkeitsbericht zum Datenschutz für 2019
57