1.2.1 „DSGVO-freie Räume“ im Bereich der Nachrichtendienste
Die Regelungen der DSGVO betreffen weder die Arbeit
des Bundesnachrichtendienstes (BND) noch die Aufgabenwahrnehmung durch das Bundesamt für Verfassungsschutz (BfV) bzw. den Militärischen Abschirmdienst (MAD). Einige grundlegende Vorschriften gelten
allerdings für das Militärische Nachrichtenwesen.
Die Auswirkungen der DSGVO sowie der Richtlinie für
den Datenschutz im Polizei- und Justizbereich (JI-Richt‑
linie) sind im Bereich der Nachrichtendienste bzw. beim
Sicherheitsüberprüfungsrecht vergleichsweise gering.
Weder die DSGVO noch die JI-Richtlinie finden Anwen‑
dung auf das Recht der Nachrichtendienste im engeren
Sinne oder den Bereich des Sicherheitsüberprüfungsge‑
setzes (SÜG). Die Nachrichtendienste müssen die DSGVO
lediglich im Bereich der allgemeinen Behördenverwal‑
tung anwenden. Der nationale Gesetzgeber hat ein‑
zelne Begrifflichkeiten sowie einige Normen, die er in
Ergänzung der DSGVO bzw. in Umsetzung der JI-Richt‑
linie erlassen hat, für (entsprechend) auf die nachrich‑
tendienstlichen Aufgabenbereiche des BND, des BfV und
des MAD sowie im SÜG anwendbar erklärt. Im Wesentli‑
chen bleibt hier allerdings alles so, wie es war.
Eine Ausnahme bildet das Militärische Nachrichtenwe‑
sen (MilNw): Dieser Bereich der Bundeswehr ist, wie der
Name schon sagt, ähnlich wie die Nachrichtendienste,
auf Nachrichten- und Informationsgewinnung angelegt,
die auch die Erhebung und Verarbeitung personenbe‑
zogener Daten betreffen können. Die dazu eingesetzten
Mittel ähneln im Einzelfall denen, die man aus dem
nachrichtendienstlichen Bereich kennt. Ich habe daher
schon immer vertreten, dass auch hier eine spezialge‑
setzliche Grundlage erforderlich ist. Diese fehlt bislang.
Das Bundesministerium der Verteidigung (BMVg) ist
anderer Auffassung. Es sieht Artikel 87 a und Artikel 24
Absatz 2 GG als ausreichende verfassungsrechtliche
Grundlage für das Tätigwerden der Bundeswehr im
Rahmen des MilNW und für die Verarbeitung personen
bezogener Daten in diesem Zusammenhang.
Unabhängig davon arbeitet das BMVg derzeit an einem
Erlass, wie Vorgaben des BDSG für das MilNW umgesetzt
werden können. Dies betrifft u. a. die Vorschriften über
die Meldung von Datenschutzverstößen sowie die Pflicht
zur Durchführung einer Datenschutzfolgenabschätzung.
Ich bin mit dem BMVg hierzu im Gespräch.
Im Zuge der Umsetzung der DSGVO sowie der JI-Richt‑
linie hat der Gesetzgeber auch das Bundesnachrichten‑
dienstgesetz, das Bundesverfassungsschutzgesetz sowie
das Gesetz über den militärischen Abschirmdienst geän‑
dert. Anders als im Anwendungsbereich der DSGVO und
der JI-Richtlinie verfüge ich gegenüber den Nachrich‑
tendiensten weiter über keinerlei Sanktionsbefugnisse,
wenn ich der Auffassung bin, dass eine Verarbeitung
personenbezogener Daten rechtswidrig ist. Die Einstel‑
lung rechtswidriger Tätigkeiten der Nachrichtendienste
kann daher weiterhin letztlich nur gerichtlich durch
Klagen einzelner Betroffener erzwungen werden, was
bei den ohnehin eingeschränkten Rechtsschutzmöglich‑
keiten der Betroffenen faktisch aber nur sehr schwierig
erreichbar ist.
Ich empfehle daher dem Gesetzgeber, Sanktionsbefugnisse für meine Behörde auch im Bereich der Nachrichtendienste einzuführen.
1.3 Neue Entwicklungen im Be‑
reich Grenzkontrollen und Flug‑
gastdaten
Daten zu Reisebewegungen stehen verstärkt im Fokus
der Sicherheitsbehörden. Die bestehenden Informationssysteme werden in den nächsten Jahren mit Daten
angereichert, neue Systeme kommen hinzu und alle
Systeme werden nach einem gerade verhandelten Verordnungsentwurf unter dem Dach der Interoperabilität
miteinander verflochten. So soll dem Identitätsbetrug
und damit verbundenen Sicherheitsrisiken Einhalt geboten werden. Die Datenschutzaufsichtsbehörden wird
dieses Projekt vor enorme Herausforderungen stellen.
In meinen vergangenen Tätigkeitsberichten habe ich
sowohl die unter dem Schlagwort „Smart Borders“ ver‑
folgten Projekte (vgl. 24. TB Nr. 2.5.3.4; 25. TB Nr. 3.3;
26. TB Nr. 2.3.1) als auch alle Projekte rund um die Ver‑
wendung von Fluggastdaten für den Sicherheitsbereich
(vgl. 22. TB Nr. 13.5.5; 26. TB Nr. 2.3.2) kritisch beleuchtet.
Inzwischen ist hier überall ein neues Stadium erreicht
worden.
Der Startschuss für die erste neue Großdatenbank erfolg‑
te bereits Ende Dezember 2017 mit der Verordnung (EU)
2017/2226 über ein Einreise-/Ausreisesystem (Entry Exit
System, EES). Auf dieser Grundlage wird eine Datenbank
errichtet, in der künftig alle Grenzübertritte von Dritt‑
staatsangehörigen an den Schengen-Außengrenzen er‑
fasst und für mindestens drei Jahre ab Ausreise gespei‑
chert werden. Zum Datensatz gehören Lichtbilder und
Fingerabdrücke. Wenn zwischen Ausreise und nächster
Einreise weniger als drei Jahre liegen, werden außerdem
alle vorhandenen Daten weiter gespeichert. Durch diese
Mitziehautomatik können umfassende Reisehistorien
entstehen.
Die zweite neue Datenbank soll das Visa-Informati‑
onssystem (VIS) ergänzen. Die Rechtsgrundlagen für
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
31