eines US-amerikanischen Konzerns genutzt. In diesem
Fall hat die Bundespolizei wegen des amerikanischen
Cloud-Acts keine ausschließliche Weisungshoheit an den
Auftragnehmer. Es besteht die Möglichkeit des Heraus‑
gabeverlangens von amerikanischen Behörden. Diesem
kann nur der Cloud-Anbieter widersprechen, nicht die
verantwortliche Bundespolizei. Über den Widerspruch
entscheiden dann amerikanische Gerichte. Das ent‑
spricht nicht den klaren Vorgaben für eine Auftragsver‑
arbeitung nach § 62 BDSG und ist deshalb rechtswidrig.
Die Bundespolizei habe ich mehrfach darauf hingewie‑
sen (vgl. auch Nr. 9.3.3).
Ebenfalls neu ist die Kfz-Kennzeichenerfassung. Diese
kann unter anderem eingerichtet werden, wenn Strafta‑
ten von erheblicher Bedeutung im Bereich der Grenzen
zu befürchten sind. Gerade in diesem Bereich habe ich
Zweifel angemeldet, ob die Maßnahmen zeitlich hin‑
reichend begrenzt sind. Es besteht insofern die Gefahr,
eine dauerhafte Maßnahme zu etablieren. Nicht geklärt
ist zudem, mit welchem Fahndungsbestand die Daten
abgeglichen werden können. Gerade an dieser Stelle
hatte das Bundesverfassungsgericht gesetzliche Klarstel‑
lungen eingefordert.
9.1.4 Neues Zollfahndungsdienstgesetz
Für den Zollfahndungsdienst hätten die Vorgaben
der Richtlinie für den Datenschutz im Polizei- und
Justizbereich (JI-Richtlinie) eigentlich bereits bis zum
6. Mai 2018 umgesetzt sein müssen (vgl. o. Nr. 1.2). Dies
betrifft auch die Maßgaben des Bundesverfassungsgerichts zum Umgang von Ermittlungsbehörden mit
Daten aus heimlichen Ermittlungsmaßnahmen (dazu
26. TB Nr. 1.3). Der bislang vorliegende Gesetzentwurf
entspricht dem nur zum Teil.
Zunächst hält der Entwurf an der bisher wenig diffe‑
renzierten Aufgabenverteilung zwischen allgemeiner
Zollverwaltung und Zollfahndungsdienst fest. Die Aufga‑
benzuweisung an den Zollfahndungsdienst beschränkt
sich nicht auf die Verhütung und Verfolgung von Straf‑
taten und Ordnungswidrigkeiten sowie die Aufdeckung
unbekannter Straftaten und die Vorsorge für künftige
Strafverfahren im Zuständigkeitsbereich der Zollverwal‑
tung. Sie umfasst zusätzlich diverse Unterstützungs- und
Mitwirkungsaufgaben zugunsten der Behörden der
allgemeinen Zollverwaltung. Die Befugnisse sind nicht
ausreichend klar voneinander abgegrenzt.
Das Zollkriminalamt (ZKA) als Zentralstelle erhält zudem
den Auftrag eines umfassenden Risikomanagements für
sämtliche Aufgaben der Zollverwaltung einschließlich
der Zollfahndung. Diese Aufgabe ist weit im Vorfeld an‑
gesiedelt und mit ihr korrespondieren niedrigschwellige
Datenverarbeitungsbefugnisse, so etwa schon bei einer
Teilnahme am grenzüberschreitenden Warenverkehr.
Es fehlt eine differenzierte Regelung, die zwischen Erhe‑
bung und weiterer Verwendung für die diversen Aufga‑
benfelder der Zollfahndung unterscheidet und hierfür
gegebenenfalls eigene Schwellen setzt. Im Rahmen des
Risikomanagements verarbeitete Daten dürfen nicht
automatisch und ohne zusätzliche Anforderungen auch
für Zwecke der Gefahren- und Strafverfolgungsvorsorge
weiter verwendet werden.
Die fehlende Differenzierung zwischen der Erhebung
und der weiteren Verwendung von Daten zieht sich
durch den gesamten Gesetzentwurf. Die vom Bundesver‑
fassungsgericht aufgestellten Grundsätze zur Zweckbin‑
dung bei der weiteren Verwendung von Daten können so
nicht ausreichend abgebildet werden. Die JI-Richtlinie
steht einer weiteren Ausdifferenzierung nicht im Wege,
denn sie setzt nur einen Mindeststandard und lässt hö‑
here nationale Schutzstandards ohne weiteres zu.
Für unverhältnismäßig halte ich die Regelung zur
Bestandsdatenauskunft und Zuordnung von IP-Adres‑
sen. Diese wird ermöglicht, wann immer dies für die
Aufgaben des Zollfahndungsdienstes erforderlich ist.
Im Ergebnis können diese Informationen permanent
abgerufen und fortlaufend für die gesamte Speicherdau‑
er hinzugespeichert werden.
Auch die sogenannten Prüffalldateien halte ich für
unzulässig. Hier werden Daten zu Personen in Vorsor‑
gedateien gespeichert und weiter verarbeitet, gegen die
rechtlich im Zeitpunkt der Speicherung keine Negativ
prognose festgestellt werden kann. Die Speicherung er‑
möglicht eine anschließende „Anreicherung“ der Daten
mit dem Ziel, im weiteren Verlauf eine Negativprognose
begründen zu können. Die Daten werden hier zur Ver‑
dachtsgenerierung auf Vorrat gespeichert. Eine bloße
Befristung der Speicherung löst das Problem nicht.
Nicht hinreichend begründet ist die Erforderlichkeit der
neuen Befugnis zum Einsatz verdeckter Ermittler.
Immerhin konnten im Laufe der Abstimmungen zum
Gesetzentwurf schon einige Verbesserungen erreicht
werden, die ich ausdrücklich begrüße. So wurde eine
Regelung über Errichtungsanordnungen in den Entwurf
aufgenommen, die Prognoseanforderungen in den
Vorschriften zur Telekommunikationsüberwachung,
zur Erhebung von Verkehrs- und Nutzerdaten sowie
zur Identifizierung und Lokalisierung von Mobilfunk‑
karten und Telekommunikationsendgeräten wurden
konkretisiert und die bei den Aussonderungsprüffristen
zunächst vorgesehene Mitziehautomatik wurde wieder
gestrichen.
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
67