In get connected der RHZ 3/2007 brachten wir „Nachrichten aus einem freien Land“, eine Art best-of der Innere Sicherheit-Kapitel der Berichte der Datenschutzbeauftragten des Bundes und der Länder (BfDI bzw. LfDI bzw. LfD). In der Zwischenzeit hat sich viel getan, von rapidem Bügerrechtsabbau zwischen StPO und Polizeigesetzen bis zur Umstellung auf DSGVO bzw. die in RHZ 3/18 besprochene JI-Richtlinie. Und so haben wir uns wieder mal durch einen ganzen Jahrgang Datenschutzberichte gelesen.
Die gegenüber 2006 auffallendste Änderung ist wohl, dass es über die Jahre immer weniger Schilderungen konkreter Fälle missbräuchlicher Speicherungen gab. Das ist schade, denn gerade diese eher anekdotischen Geschichten haben oft sehr deutlich gemacht, was die staatliche Sammelwut anrichtet. Tatsächlich scheint es auch nach unseren Erfahrugen weniger grobe handwerkliche Fehler der Polizeien zu geben (vgl. aber unten). Vielleicht hat auch die Sorge um die Privatspähre der Petent_innen zugenommen – oder werden die DSBen einfach nur normale Verwaltung, die allzu deutliche Tritte zur Seite oder nach oben scheut?
Wie auch immer: es gibt weiterhin klare Ansagen, etwa wenn der LfDI in Mecklenburg-Vorpommern zum dortigen Polizeigesetz sagt: „Das SOG M-V macht es den Anwendern kaum möglich, rechtsfehlerfrei ihre Aufgaben zu erfüllen“ (S. 70). Oder, mit weniger Dai-Dai gegenüber der Polizei, der Appell des BfDI „an die am Gesetzgebungsprozess Beteiligten, ein Sicherheitsgesetzmoratorium auszusprechen“ (S. 42). Klar ist das zahm im Vergleich mit dem eigentlich angesagten Rollback zumindest mal bis vors Kontaktsperregesetz von 1977 (was auch noch gleich das Vermummungsverbot von 1985 mitnähme). Aber es ist eben doch eine Nachricht aus einem freieren Land.
Etwas freier ist auch Schleswig-Holstein, denn die dortige LfD berichtet, dass zwar die neue Luftverkehrsverordnung – in der Flugdrohnen über Menschenmengen verboten werden – für die Polizei nicht gilt. Sie hat aber mit der Landespolizei ein Einsatzkonzept für deren Drohnen vereinbart, in dem „der Einsatz bei Versammlungen nach dem Versammlungsgesetz ausgeschlossen ist“ (S. 44). Leider sagt sie nicht, wie sie das hinbekommen hat: Auch für andere Länder wäre so etwas zweifelsohne ein Stück mehr Freiheit.
Berlin wiederum hat an anderer Stelle einen Freiheitsvorteil. Dort gibt es, wie der LfDI Baden-Württemberg seinem Parlament zur Nachahmung empfiehlt (S. 47), ein Funkzellenabfragen-Transparenzgesetz: wer seine_ihre Telefonummer unter fts.berlin.de registriert, bekommt Nachricht, wenn sie in einer Funkzellenabfrage aufgefallen ist. Für Linksradikale gäbe es vielleicht ein, zwei Gründe, da nicht mitzumachen; aber Bürger_innen, die einen Eindruck von der Freiheit im Land bekommen sollen, ist der Dienst sehr zu empfehlen.
Der LfDI Sachsen-Anhalt wiederum argumentiert gegen die seit der Männerfußball-WM 2006 in die Repressionspraxis sickernden „Zuverlässigkeitsprüfungen“, bei denen Würstelbrater und andere erstmal im Polizeicomputer gecheckt werden. In Sachsen-Anhalt wurden diese im Zuge der regelmäßigen Polizeigesetz-Verschärfung verrechtlicht, was den LfDI zur Feststellung nötigte, sie stellten die „schutzwürdigen Interessen der Bewerber (Persönlichkeitsrecht, Grundrecht auf informationelle Selbstbestimmung) in Frage.“ Auch ist „eine Berücksichtigung von nur bedingt belastbaren Polizeiinformationen auch nicht mit den entgegenstehenden Maßgaben des Bundesrechts im Bundeszentralregistergesetz vereinbar“ (S. 41). Der Abschluss der Passage dürfte Anti-PolG-Aktivist_innen bekannt vorkommen: „Im Ergebnis blieb es jedoch bei der fragwürdigen Regelung (§ 29 SOG LSA).“
Ähnlich vertraut dürfte Roten Helfer_innen die Erfahrung des LfDI Hamburg sein, der der Polizei die maschinelle Analyse der 17 Terabyte G20-Videos untersagt hatte. Dagegen klagte der Innensenator, und es kam zum Prozess: „Auch das Gericht schien erhebliche Zweifel an der Rechtmäßigkeit der Datenverarbeitung zu haben. Zur Überraschung aller Anwesenden wirkten sich diese Mängel im Ergebnis aber nicht aus. Das Gericht verkündete am gleichen Tag sein Urteil und gab der Klage der Innenbehörde darin statt“ (S. 97). Der freundliche Begriff für so etwas ist: Opportunität.
Wie schwer es ist, menschenrechtliche Standards wiederzugewinnen, wenn sie einmal verloren sind, zeigen die „gemeinsamen Dateien“ von Geheimdiensten und Polizei (vgl. RHZ 1/07). So stellt sich heraus, dass die besonders anrüchige Speicherung von Kontaktpersonen (also Menschen, die z.B. Faschos nur kennen und/oder von ihnen zusammengeschlagen wurden) zumindest in Rheinland-Pfalz und in der zumindest von der Idee her gegen Rechts gerichteten RED gar nicht stattfindet (S. 30). Ebensowenig haben Dienste beschränkt oder verdeckt gespeichert (vgl. dazu wieder RHZ 1/07).
Ein ähnliches Ergebnis fand der BfDI bei der Prüfung der „Anti-Terror“-Datei (die sich gegen nach §129b StGB Verfolgte richtet): „Wie sich allerdings vor allem bei der ATD zeigte, tauschten die beteiligten Behörden die wesentlichen Informationen außerhalb dieser Datei aus [...] Vor diesem Hintergrund tragen diese gemeinsamen Dateien aus meiner Sicht letztlich nicht zu einer effektiveren Aufgabenerledigung des BKA bei.“ (S. 52) – und trotzdem konnte sich die Regierung nicht durchringen, den Mist wieder abzuschaffen, sie hat im Gegenteil nochmal nachgelegt, nachdem das Verfassungsgericht 2013 das zugrundeliegende Gesetz gerügt hatte (und hat speziell für den dabei eingführten Data-Mining-Paragrphen 6a im November 2020 schon wieder eine Rüge aus Karlsruhe eingefangen).
Ähnlich war in Bayern 2018 mit viel Tamtam und Terrorgeraune der Polizei das Recht verliehen worden, Daten direkt bei Dienstleistern abzuziehen („Cloud-Durchsuchung“). Ergebnis laut LfDI: „Die Prüfung führte zu dem Ergebnis, dass diese neue polizeiliche Befugnis seit ihrer Einführung lediglich in einem Fall zur Anwendung kam. Bei der Durchsuchung konnten keine weiteren Erkenntnisse gewonnen werden, sodass keine personenbezogenen Daten verwertet wurden“ (S. 29). Aber keine Frage: Alle anderen Polizeien jammern jetzt schon, weil sie das nicht haben. Und die Parlamente werden es ihnen freudig geben, wenn wir nicht ordentlich die Zähne fletschen.
Aber kurz zurück zur ATD: Für uns als Betreiber von datenschmutz.de sehr naheliegend war die Beobachtung des BfDI, dass das Zollkriminalamt dabei alles falsch gemacht hat: „Als Konsequenz muss das ZKA alle ATD-Einträge nochmals überprüfen und solche Einträge löschen, die nur darauf basieren, dass eine andere Stelle die Person auch gespeichert hat“ (S. 53). Das fanden wir plausibel, denn rund die Hälfte der Beschwerden, die in den letzten zwei Jahren bei uns wegen Behinderung des Auskunftsrechts eingelaufen sind, betrafen das ZKA.
Insofern könnte mensch PIAV schon fast begrüßen, den großen Plan des BKA, alle Polizei-EDV bei sich zu versammeln (vgl. RHZ 3/17). Inzwischen unter dem Label „Polizei 2020“ laufend, ist das auch Thema in einigen Berichten, und wir hofften schon, endlich Antworten auf unsere Fragen aus dem RHZ-Artikel von 2017 zu bekommen. Aber, so der LfD aus Sachsen-Anhalt zu den Plänen für das „Datenhaus“ PIAV: „Tatsächlich belastbare Erkenntnisse zum Projekt »Polizei 2020« liegen dem Landesbeauftragten bisher kaum vor“ (S. 42). Das liegt bei einem Projekt, das schon 2017 eine lange Geschichte hatte, nicht nur daran, dass sich die Polizeien gegenseitig blockieren, wie der BfDI zu erzählen weiß: „Nachdem ich jedoch erhebliche Einwände gegen das der Erprobung zu Grunde liegende System geäußert hatte, wurde ich für künftige Termine vom BMI zu meinem Bedauern nicht mehr eingeladen“ (S. 50).
Defizite beim Respekt für Grundrechte konnte der BfDI auch bei der Vorgangsbearbeitung des BKA, dem VBS, feststellen; Vorgangsbearbeitungen dienen, wie der Name schon sagt, nicht etwa der Fahndung oder Analyse, sondern der Abwicklung der täglichen Arbeit und ihrer Dokumentation (vgl. RHZ 1/14). Nicht so beim BKA: „[Das VBS] enthält jedoch eine Funktion mit dem Namen »Dateienrundlauf«. Damit können die Anwendenden alle Informationen im VBS durchsuchen. [...] Diese Funktion wird häufig genutzt und führt nach meiner Einschätzung unter anderem dazu, dass Personen teilweise nur deshalb im VBS gespeichert werden, um einen Dateienrundlauf überhaupt durchführen zu können“ (S. 56). Ebenfalls beanstandete der BfDI, dass das BKA im VBS regelmäßig kriminaltechnische Anfragen von Landesbehörden speicherte und auch recherchierbar machte. Auf die Weise ergab sich im Effekt etwas wie eine kleine Verbunddatenbank durch die Hintertür.
Moral: Wenn in euren Auskünften komischer Kram aus den Vorgangsbearbeitungen eures LKA auftaucht, fragt doch auch mal den_die zuständige_n LfD.
Wir hatten einleitend erwähnt, dass sich beim Datenschutz-Handwerk bei der Polizei in den vergangenen 15 Jahren ein, zwei Dinge verbessert haben. Angesichts der totalen Hemdsärmeligkeit von 2005 heißt das aber nicht viel. Der hessische LfDI etwa hätte berichten können von 83 Abfragen über Helene Fischer, die Polizist_innen 2019 am Abend eines Konzerts der, nun, Künstlerin in Frankfurt in Polizeicomputern laufen ließen (was im Übrigen nur wegen NSU 2.0-bedingt verdichteten Loggings auffiel) – hat das aber erstaunlicherweise nicht getan. Sein Kollege aus Mecklenburg-Vorpommern räumt nüchtern ein: „Insgesamt wurden und werden bei uns bislang 16 Verfahren [wegen missbräuchlicher Datenbank-Nutzung] geführt. Wir betrachten diese Zahlen allerdings nur als die Spitze des Eisberges“ (S. 77).
Immer noch ganz üblich sind völlig überzogene Speicherfristen; so berichtet der LfD Bayern, der irgendwann durchgesetzt hatte, dass kiffende Kids immerhin nach zwei Jahren wieder aus der Datenbank entkommen, es sei „in beinahe allen Fällen entweder aus mangelnder Kenntnis der neuen Verwaltungsvorschrift oder aus Versehen keine verkürzte Speicherfrist geprüft worden“ (S. 27).
Auch in Baden-Württemberg fiel „wieder auf, dass teilweise zu lange Speicherfristen vergeben wurden, insbesondere wenn die Ermittlungsverfahren in der Verbunddatei »Kriminalaktennachweis« (KAN) gespeichert wurden“ (S. 54).
Das gleiche Bild im Saarland, wo bei der Speicherung von Bodycam-Aufnahmen „schon bei der Umsetzung der technisch-organisatorischen Maßnahmen erhebliche Defizite zu Tage getreten sind. In vielen Fällen konnte nicht mehr festgestellt werden von welchem Polizeibeamten die Aufnahmen getätigt wurden. Speicherfristen wurden nicht eingehalten und in erheblichem Maß überschritten, Datenexporte waren zum Teil nicht nachvollziehbar“ (S. 135).
Die Speicherfristen waren nur eines von vielen Themen, die vergleichbar auch vor 15 Jahren schon dabei waren. In Brandenburg kam heraus, dass Autokennzeichen aus kennzeichenlesenden Streckenkameras unkontrolliert recherchierbar gespeichert wurden (S. 101); in Hamburg hat die Polizei Videokameras in Cola-Flaschen im Schanzenviertel platziert und den ganzen Skandal dann per Deklaration als Verschlusssache einfangen wollen (S. 27).
Anderer Grusel klingt ganz nach moderner Digitalisierung: Im Saarland probiert die Polizei Telearbeit samt Recherche in den polizeilichen Datenbanken aus dem gemütlichen Heim heraus (S. 92); in Niedersachsen versucht die Polizei, die Nutzung von Whatsapp auf den privaten Mobiltelefonen der Beamt_innen irgendwie absegnen zu lassen (S. 108). Was kann da schon schiefgehen?
Zum Thema Smartphone passt eine der wenigen Anekdoten, die sich doch noch fanden, und zwar im Bericht des bayrischen LfD: Es geht um einen Opa, der für seinen Enkel ein Video von einer Hüpfburg aufgenommen hatte, daraufhin wegen Verdacht auf sexuelle Interessen das volle Programm bis hin zu DNA-Abgleich abbekommen hat und schließlich den LfD einschalten musste, um den freidrehenden Apparat wenigstens etwas in die Schranken zu weisen. Der LfD wunderte sich nicht wenig, als das LKA ihn wissen ließ, sofern „die betroffene Person »zum heutigen Zeitpunkt eine Löschung beantragen sollte« [es] den Sachverhalt neu bewerten könne, da die Speicherung aus polizeilicher Sicht nicht mehr notwendig sei“ (S. 26). Dass eine Speicherung Unrecht ist, wenn sie nicht notwendig ist, scheint den Beamt_innen in München niemand beigebracht zu haben.
Wir wollen nicht schließen, ohne auf unsere Kritik des bürgerlichen Datenschutzes aus RHZ 3/14 zu verweisen. Das dort angesprochene Elend der Datenschutzbeauftragten findet sich natürlich auch im letzten Jahr, vielleicht am deutlichsten in einer längeren Abhandlung des BfDI zum Haber-Diwell-Erlass, nach dem ausgerechnet der „Verfassungsschutz“ darüber bestimmt, wer von Bundesministerien Fördergelder erhalten kann. Der BfDI kritisiert den daraus resultierenden freihändigen Datenaustausch zwischen Geheimdienst und Ministerien, kann sich dann aber doch nur durchringen zu einem: „Ich empfehle, für das sogenannte Haber-Verfahren eine ausdrückliche und umfassende gesetzliche Grundlage zu schaffen” (S. 52). Nun, hier müssen wir, ob als Linksradikale, Menschenrechtsaktivist_innen oder ganz schlicht nette Leute, widersprechen: Nee, wirklich, den VS reguliert mensch nicht, den VS macht mensch dicht. Damit das auch was wird mit dem freieren Land.
Alle Berichte der Datenschutzbeauftragten sind bei https://www.zaftda.de verfügbar. Die Zitate hier sind aus den PDF-Fassungen von: 29. TB Bayern, 35. TB Ba-Wü, 28. TB Bund, 28. TB Hamburg, 48. TB Hessen, 15. TB Meck-Vop, 25. TB. Niedersachsen, 27. TB RLP, 28. TB Saarland, 16. TB Sachsen-Anhalt, 38. TB Schleswig-Holstein. Wenn ihr Gefallen daran findet: Wir suchen immer Leute, die die Sachen regelmäßig im Auge behalten.
Datenschutzgruppe der Roten Hilfe HD/MA
Kontakt und Artikel-Archiv: https://datenschmutz.de
PGP Fingerprint: 4FD3 B3EE 7FCE 9FFD EC75 CAF9 4847 5F52 5C0C 5DB1
Dieser Artikel ist in der Kolumne get connected der Zeitung der Roten Hilfe erschienen. Das Material kann gerne gemäß CC-0 weiterverwendet werden.
get connected wird von der Datenschutzgruppe der Roten Hilfe Heidelberg betreut.