Unterschiede zwischen den Revisionen 141 und 228 (über 87 Versionen hinweg)
Revision 141 vom 2006-11-13 21:40:34
Größe: 15760
Autor: LilaBlume
Kommentar:
Revision 228 vom 2020-10-10 09:31:58
Größe: 21098
Autor: anonym
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 1: Zeile 1:
[[TableOfContents]]

= Überblick =

Für das Datenbank(un)wesen der "Sicherheits"organe sind in erster Linie einschlägig:

 * Die Datenschutzgesetze des Bundes und der Länder
 * Die Polizei- und Verfassungsschutzgesetze der Länder
 * Das BKA-Gesetz und das Verfassungsschutzgesetz
 * Die Strafprozessordnung ([http://www.jwilhelm.de/stpofol1.pdf Ein paar halbwegs verständliche Worte dazu])

Dazu kommen im Einzelnen noch ein ganzer Schwung weiterer Gesetze.

Das Datenschutzrecht in der BRD ist noch nicht alt. Es begann eigentlich erst 1985 mit dem sog. "Volkszählungsurteil" des Bundesverfassungsgerichts, das im Groben feststellte, dass ein Staat, dessen Bürger``Innen nicht zu jederzeit wüssten, was wer über sie speichert, keine funktionierende Demokratie mehr sein kann, weil der/die Bürger``In keine Möglichkeit mehr hat, die Konsequenzen einer Handlung oder Äußerung zu übersehen und daher Handlungen und Äußerungen nach vorauseilenden Opportunitätskriterien organisieren wird.

Die Datenschutzregelungen im Gefolge dieses bahnbrechenden Urteils dienten dann eigentlich nur noch dazu, die Realität (in der natürlich fast alle Panik haben, wegen Bibifax in fiesen Datenbanken zu landen) zu dieser Forderung hinzuschönen bzw. die vom Gericht zugelassene Einschränkung auf der Basis von Gesetzen zu bestimmen. Spätestens seit Kochs Wahlsieg in Hessen und der folgenden Panik der ersten rot-grünen Regierung beginnt dann die offene Missachtung der Grundsätze von 1985.

= Das Volkszählungsurteil =

Das Volkzählungsurteil definiert das '''Recht auf informationelle Selbstbestimmung'' ("Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen") (BVerfG 15.12.1985) als Grundrecht. Es darf, wie das mit Grundrechten mal so ist, auf Grundlage eines Gesetzes eingeschränkt werden.

Darauf ergibt sich u.a. das '''Finalitätsprinzip''': Zweckbindung von der Erhebung der Daten bis zu
ihrer Löschung (auch "informationelle Gewaltenteilung", BVerfGE 65, 1, 46, da Daten, die für einen Zweck erhoben wurden, in der Regel nicht für einen anderen Zweck verwendet werden dürfen).

= Bereichsspezifische Regelungen =

Die erwähnten gesetzlichen Einschränkungen des Grundrechts --
sie regeln u.a. die Erhebung und Weiterverwendung personenbezogener Daten regeln -- gehen als "bereichsspezifische Regelungen" dem Bundesdatenschutzgesetz bzw. den Landesdatenschutzgesetzen der Bundesländer vor.
 
Die Wahrnehmung polizeilicher Aufgaben liegt (nach wie vor weitgehend) in der Hoheitsgewalt der einzelnen Bundesländer, die Rechtslage variiert dementsprechend bisweilen beträchtlich.

Datenbanken der Polizei, die personenbezogene Daten speichern,
brauchen in der Regel eine '''Einrichtungsanordnung''' samt genauer
Zweckbestimmung. Diese kommt wohl in Regel vom zuständigen Innenministerium. Eine parlamentarische Befassung findet nur dann statt, wenn die geltende Rechtslage die Einrichtung einer bestimmten Datenbank nicht hergibt; dies war etwa bei der ["DAD"] oder der [""Anti-Terror-Datenbank""] der Fall.

Allerdings können Datenbanken offenbar auch über lange Zeit im "Probebetrieb" ohne Einrichtungsanordnung laufen (vgl. z.B. ["AFIS"]), ohne dass das für irgendwen ernsthaftere Konsequenzen hätte.

In Baden-Württemberg und vermutlich auch anderen Ländern müssen öffentliche Stellen, die Daten per EDV verarbeiten, zusätzlich ein Verfahrensverzeichnis führen, in dem insbesondere festzulegen ist, über welche Personen denn Daten gespeichert werden dürfen.
<<TableOfContents>>

= Grundlegende Normen =

Der rechtliche Rahmen für Datenbanken von Staatsicherheits- und
Repressionsbehörden wird abgesteckt von den staatlichen Interessen an
Verfügung über und Kontrolle der Bevölkerung sowie an Repression
unerwünschten Verhaltens auf der einen Seite und den Prinzipen des
[[DatenSchutz]]es, die Einzelnen Schutzrechte gegenüber solchen
Ansprüchen einräumen auf der anderen (mehr zu dieser Abwägung in
<<Rellink(gc/html/burger.html,RHZ 3/14)>>.
Diese Abwägung wird jedenfalls in
der Rechtstheorie durch das Verhältnismäßigkeitsprinzip vorgenommen.

Im Datenschutz werden aus grundrechtlichen Erwägungen hehre Prinzipien von
Datensparsamkeit, Zweckbindung und Transparenz. Näher geregelt wird die
Umsetzung dieser Prinzipien außerhalb des Sicherheitsbereichs in der
Datenschutzgrundverordnung der EU (<<Ratsdokument(EU 2016/679V)>>) sowie in
diversen nationalen Anpassungen (Bundes- und Landesdatenschutzgesetzen).
Diese sind aber durchweg subsidiär. Ihre Garantien werden also von
anderen Gesetzen überschrieben (z.B. G10-Gesetz, TKÜV,
Melderegistergesetz usf).

== Repressiv vs. Präventiv ==

Im Sicherheitsbereich konnte sich die EU nicht auf direkt geltendes
Recht einigen, hat aber, damit die Daten auch unter den entsprechenden
Behörden frei fließen können, <<Ratsdokument(EU 2016/680)>>
(kurz JI-Richtlinie oder JI-RL) verabschiedet;
diese setzt einen Rechtsrahmen, der dann in nationale Gesetze umgesetzt
werden muss. In der BRD geschieht das in erster Linie durch das
Bundesdatenschutzgesetz, nachrangig aber auch durch die Polizeigesetze
der Länder, das BKAG usf.

Ansprüche gegen den Datenschutz aus Strafverfolgungskreisen sind
prototypisch in §484 StPO niedergelegt:

{{{#!blockquote
(1) Strafverfolgungsbehörden dürfen für Zwecke künftiger Strafverfahren

1. die Personendaten des Beschuldigten und, soweit erforderlich, andere zur Identifizierung geeignete Merkmale,
2. die zuständige Stelle und das Aktenzeichen,
3. die nähere Bezeichnung der Straftaten, insbesondere die Tatzeiten, die Tatorte und die Höhe etwaiger Schäden,
4. die Tatvorwürfe durch Angabe der gesetzlichen Vorschriften,
5. die Einleitung des Verfahrens sowie die Verfahrenserledigungen bei der Staatsanwaltschaft und bei Gericht nebst Angabe der gesetzlichen Vorschriften in Dateien speichern, verändern und nutzen.

(2) Weitere personenbezogene Daten von Beschuldigten und Tatbeteiligten dürfen
sie in Dateien nur speichern, verändern und nutzen, soweit dies erforderlich ist,
weil wegen der Art oder Ausführung der Tat, der Persönlichkeit des Beschuldigten
oder Tatbeteiligten oder sonstiger Erkenntnisse Grund zu der Annahme besteht, dass
weitere Strafverfahren gegen den Beschuldigten zu führen sind. Wird der Beschuldigte
rechtskräftig freigesprochen, die Eröffnung des Hauptverfahrens gegen ihn unanfechtbar
abgelehnt oder das Verfahren nicht nur vorläufig eingestellt, so ist die Speicherung,
Veränderung und Nutzung nach Satz 1 unzulässig, wenn sich aus den Gründen der
Entscheidung ergibt, dass der Betroffene die Tat nicht oder nicht rechtswidrig begange
hat.

(3) Das Bundesministerium der Justiz und die Landesregierungen bestimmen für ihren
jeweiligen Geschäftsbereich durch Rechtsverordnung das Nähere über die Art der Daten,
die nach Absatz 2 für Zwecke künftiger Strafverfahren gespeichert werden dürfen. Dies
gilt nicht für Daten in Dateien, die nur vorübergehend vorgehalten und innerhalb von
drei Monaten nach ihrer Erstellung gelöscht werden. Die Landesregierungen können die
Ermächtigung durch Rechtsverordnung auf die zuständigen Landesministerien übertragen.

(4) Die Verwendung personenbezogener Daten, die für Zwecke künftiger Strafverfahren
in Dateien der Polizei gespeichert sind oder werden, richtet sich, ausgenommen die
Verwendung für Zwecke eines Strafverfahrens, nach den Polizeigesetzen.
}}}

Auch zur „Gefahrenabwehr” oder noch schlimmer dem praktisch unbestimmten
„Schutz der öffentliche Sicherheit und Ordnung“ darf der Staat in die
informationelle Selbstbestimmung eingreifen. Dies ist gemäß
föderalistischer Arbeitsteilung in den Polizeigesetzen der Länder (dann
und wann auch Sicherheits- und Ordnungsgesetz o.ä. genannt) geregelt
(oder eben nicht). Durch BKA, Zoll, „Verfassungsschutz” und Co
genehmigt sich aber auch der Bund einige Gefahrenabwehr. Dass die konkreten
Regelungen kaum zu unterscheiden sind von denen zur Strafverfolgung darf
als Hinweis gelten, dass die Normen weitgehend Wunschzetteln der
Behörden entstammen.

== Verhältnismäßigkeit ==

Da die Gesetze die Behörden praktisch nicht mehr beschränken, ist das
wesentliche Mittel gegen, nun, übermäßige Polizei-EDV das Übermaßverbot.
Nach diesem muss, unabhängig von allen anderen legalen Erwägungen,
ein Eingriff in ein
Grundrecht (und angesichts des Gedanken des [[DatenSchutz]]es ist praktisch
jeder EDV-Einsatz bei der Polizei über die Ausführung von Solitaire
hinaus ein Grundrechtseingriff) zur Erreichung eines (hoffentlich überhaupt formulierten) Zwecks

 1. ''geeignet'' sein, d.h. tatsächlich dazu führen, dass das Ziel erreicht wird. Daher ist nach allen ernstzunehmenden Untersuchungen etwa Videoüberwachung nicht verhältnismäßig zur Verbrechensreduzierung, da sich eine solche mit noch so viel Videoüberwachung nicht einstellt.
 2. ''erforderlich'' sein. Das heißt, dass ohne den Eingriff das Ziel nicht erreicht werden kann. In Gesetzestexten wird meist noch ein "oder erheblich erschwert" hinzugefügt, womit Missbrauch Tür und Tor geöffnet ist. Beispielsweise sind Reihen-DNA-Tests nicht verhältnismäßig, da auch ohne sie die Aufklärungsquote bei einschlägigen Verbrechen sehr hoch ist.
 3. ''angemessen'' sein. Damit ist gemeint, dass die Schwere des Eingriffs in einem, nun, angemessenen Verhältnis zum intendierten Zweck steht. So ist beispielsweise die [["Anti-Terror-Datenbank"]] nicht verhältnismäßig, weil die Vertiefung eines geheimpolizeilichen Komplexes die Gesellschaft umkrempelt, während Terrorismus in der BRD verglichen mit z.B. Kettensägen, Trittleitern oder Ski eine praktisch vernachlässigbare Bedrohung für Leben und Gesundheit darstellt.

== Speichergründe ==

Wenn die Polizei Daten speichert, muss sie dafür Gründe angeben. Praktisch
alle einschlägigen Gesetze folgen der StPO in der Angabe von zwei Kategorien:

 * Gefahrenabwehr, "Prävention" (z.B. Anlegen von Terrorlisten, so dass die Leute nicht fliegen können; Listen von bekannten Linksradikalen, die dann vor Großereignissen mit "Gefährderansprachen" eingeschüchtert werden können; die berühmten Sport-Dateien zur Aufrechterhaltung von Stadionverboten; die meisten Speicherungen unter diesem Label sind allerdings kaum wirklich erklärbar)
 * Aufklärung künftiger Straftaten (z.B. Fingerabdruck-, DNA-Datenbanken, aber auch Kram wie KAN, unter dem Motto „Round up the usual suspects“).

In beiden Fällen muss die Polizei eine „Negativprognose“ stellen, also belegen,
dass Daten Personen betreffen, von denen tatsächlich eine Gefahr ausgeht, der
durch die Speicherung wirksam begegnet werden kann bzw. die tatsächlich mit
hoher Wahrscheinlichkeit eine Straftat begehen, bei deren Aufklärung die
Daten helfen können.

Im <<Doclink(2015-bfdi-tb.pdf, 25. TB (2015))>> (S. 90) weist die BfD noch
einmal darauf hin, dass diese Negativprognose nicht formal sein darf (dazu gibt
es auch umfangreiche Rechtssprechung, die allerdings die Latte eher tief hängt).
Aber: "Ein bloßer fortbestehender Verdacht genügt für die Speicherung nicht" (BfDI). Sie fand bei ihrer Prüfung des [[KAN]] druchweg keine adäquate
Dokumentation der Negativprogonose, auch wenn das BKA auf Nachfrage immer etwas
produzieren konnte, das sie zufriedenstellte (sie sieht also "strukturellen
Verbesserungsbedarf").

Fazit: Nachfragen bezüglich der Negativprognose sind sicher keine schlechte
Idee; mensch muss bei den Antworten allerdings mit Bullshit rechnen.

= Realitäten bei der Polizei =

Natürlich sind diese Dinge in der "Verfassungspraxis" nur fromme Wünsche, aber es ist doch tröstend, um die Verfassungswidrigkeit polizeilichen Handelns zu wissen. Beispiele aus der Gesetzgebung dazu:


 * Das Erforderlichkeitsprinzip wird mit großer Kreativität vom 2008er Polizeigesetz in BaWü verhöhnt. Es sieht vor, dass die Polizei für zwei Jahre ''beliebige'' Daten speichern darf, also nicht mal mehr probieren muss, irgendwelche "Gefahrenprognosen" zusammenzustöpseln, aus denen der Zweck ([[Prävention]] oder Aufklärung d.h. Strafverfolgung) ableitbar wäre. Zwar kräht auch andernorts kein Hahn nach diesen Zwecken, aber dort stehts wenigstens nicht im Gesetz.
 * Die Zweckbindung wird zu einer Farce, wenn z.B. Ausschreibungen in [[SIS]] "wenn es die Staatssicherheit verlangt" in nationale Datenbanken übernommen werden.
 * Von Transparenz kann natürlich nicht mehr annähernd die Rede sein, wenn Bürger``Innen bei der [["Anti-Terror-Datenbank"]] anfangs rund 40 Behörden hätten fragen müssen, um rauszukriegen, ob sie gespeichert sind. Inzwischen übernimmt das zwar im Prinzip das BKA, viele Geheimdienste entziehen sich aber nach wie vor ihrer Auskunftspflicht (und haben dafür auch eine Rechtsgrundlage).
 * Darüber hinaus dokumentieren rasche Blicke in Datenschutzberichte oder Pressemitteilungen der Innenministerien, dass selbst die schon verfassungswidrigen Gesetze von den Behörden häufig zuungunsten der Bevölkerung gebrochen werden. Immerhin lässt sich da dann aber manchmal noch was reparieren, wenn es rauskommt.
 * Ein makaberes Beispiel zur Zweckbindung und ihrer Verletzung aus Opportunitätsgründen hat der [[LfDI]] [[Sachsen]] in seinem <<Doclink(2009-LfDSachsen-Bericht14.pdf,14. TB (2009))>>, 5.9.3: Eine HIV-positive Blutspenderin begeht Selbstmord, in ihrem Notizbuch finden sich Namen von acht Männern, mit denen sie in den vergangenen drei Monaten Sex hatte. Die lokale Blutbank fragt die Polizei nach diesen acht Namen; der [[LfDI]] sagt, die Änderung des "Speicherzwecks" (in dem Fall dürften die Namen noch nicht mal in der [[Vorgangsverwaltung]] aufgetaucht sein, aber grundsätzlich ist sowas ein klassischer Fall von "sonstiger Person") sei ok, aber im vorliegenden Fall (Daten zu Gesundheit und Sexualität) nur mit Zustimmung der Betroffenen.


= Verfahrensverzeichnisse =

Bis zur EU-DSGVO (und PIAV) war es in den meisten Ländern und Polizeien
üblich, dass jede Datenbank eine Errichtungsanordnung hatte, aus der
die Zweckbestimmung, die Typen der gespeicherten Daten, die Zielgruppe,
die Lese- und Schreibberechtigten usf. hervorgingen. Mit der DSGVO
dürfte das ein Ende haben; <<Ratsdokument(EU 2016/680)>> (JI-RL) sieht in
Artikel 24 stattdessen die Führung eines Verfahrensverzeichnisses vor,
und §70 BDSG (im dritten Teil, also für Sicherheitsbehörden gedacht)
schließt sich dem an.

In Errichtungsanordnungen waren traditionell fast immer einzusehen,
meist per IFG-Anfrage, gelegentlich auch mal per Klage (vgl. auch
<<Rellink(/gc/html/errao.html, get connected 2/15)>>. Die
Post-DSGVO-Regelungen sagen dazu nichts Explizites. §70 Abs. 4 BDSG
lässt allerdings nichts Gutes ahnen: „Verantwortliche und
Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der oder
dem Bundesbeauftragten zur Verfügung zu stellen.“

Im Sicherheitsbereich ist das ein deutlicher Rückschritt gegenüber der
vorherigen Zustand; zwar wurden die Errichtungsanordnungen auch unter
Ausschluss der Öffentlichkeit zwischen Polizei und Innenministerien
ausgehandelt, doch war eine Beteiligung des [[BfDI]] oder [[LfDI]] in
der Regel vorgeschrieben.

Um einen Eindruck zu geben, was wir das so verloren haben (dürften):
<<Doclink(IgaSt.pdf,Errichtunganordnung Igast)>> beim BKA (ist
inzwischen aufgelöst und in [PMK links-Z] aufgegangen);
<<Doclink(FIT_anordnung.pdf,Errichtungsanordnung FIT)>>
(„Fundstellennachweis islamischer Terrorismus”, ebenfalls BKA).

= Merkwürdigkeiten =

 * Wenn es kein Verfahrensverzeichnis gibt, ist nur das Datenschutzgesetz verletzt, was nach Ansicht des Hessischen Verwaltungsgerichtshofs (11 UE 2982/02, 16.12.2004) aber nicht schadet, wenn irgendwann mal ein Waschzettel nachgereicht wird.
 * Eine parlamentarische Befassung findet nur dann statt, wenn die geltende Rechtslage die Einrichtung einer bestimmten Datenbank nicht hergibt; dies war etwa bei der [[DAD]] (DNA-Auskunftsdate) oder der [["Anti-Terror-Datenbank"]] der Fall.
 * Dazu laufen Datenbanken gerne auch über lange Zeit im "Probebetrieb" ohne Errichtungsanordnung (vgl. z.B. [[AFIS]], Automatisierte Fingerabdruck-Indentifizierungssytem)
 * Das BKA-Gesetz sieht vor, dass das Innenministerium (ggf. im [[Benehmen]] mit dem Bundesrat) die Natur der zu speichernden Daten per Rechtsverordnung (die veröffentlicht wird) genau spezifizieren muss. Unter Hinweis auf diese Regelung hat etwa das (typischerweise recht progressive) VG Hannover (10 A 2412/07) 2008 geurteilt, die Datei "Gewalttäter Sport" (analog wohl die übrigen Gewalttäter-Dateien) werde rechtswidrig betrieben. Leider stehen dem Urteile etwa des VG Mainz (1 K 363/08.MZ) ebenfalls von 2008 entgegen, die finden, die Rechtsverordnung sei "deklaratorisch" und nicht "konstitutiv" (also: Es braucht sie nur, damit was gesagt ist).
Zeile 42: Zeile 172:
Grundsätzlich legt das Finalitätsprinzip fest, dass Daten zu löschen sind, wenn der Grund ihrer Erhebung und Speicherung nicht mehr besteht. Nun ist das aus Sicht der Polizei und schon gar des Verfassungsschutzes (a) hinderlich und (b) auch schwierig, etwa, wenn eine Dienststelle nichts von der Einstellung eines Verfahrens mitbekommt.

Deshalb sind grundsätzlich in allen Datenbanken "Aussonderungsprüfungsfristen" vorgesehen, nach denen ein Datensatz ''angesehen'' werden ''muss''. Er muss aber normalerweise nicht gelöscht werden, wenn ein Grund gefunden werden kann, warum der Zweck seiner Speicherung doch weiter besteht.

In der Praxis sieht das typischerweise so aus, dass für eine Datenbank eine Prüffrist festgelegt wird, typischerweise fünf bis zehn Jahre, für Jugendliche und Kinder gern etwas weniger, dann und wann auch mal mehr -- etwa für
"gewaltgeneigten Ausländerterrorismus" und "völkerrechtswidrige
Bestrebungen" beim VS 15 Jahre. Das reflektiert die Verjährung bei Straftaten und Ordnungswidrigkeiten. In üblichen Datenbanken wird nach dieser Frist reichlich bedingungslos gelöscht, im politischen Bereich kann davon allerdings nicht ausgegangen werden.

Weiter laufen die Fristen normalerweise bei "Zuspeicherung" neu an. Was genau eine Zuspeicherung darstellt, obliegt natürlich einem weiten Ermessenspielraum -- Datenbanken sind normalerweise nicht so organisiert, dass es einen Eintrag "Friedrich Schmidt" gibt, bei dem alles steht, was er so angestellt hat, sondern in Tabellen. Dabei steht in einer Tabelle ("Personen") Friedrich Schmidt, in einer anderen ("Taten") was von illegalem Plakatieren, einer Sitzblockade und einer Demoteilnahme. Dass all diese Verbrechen gerade Friedrich Schmidt zur Last gelegt werden, geht aus einer weiteren Tabelle hervor, die Personen und Taten verbindet. Dass nun die Speicherfrist fürs Plakatieren neu anläuft, wenn Friedrich Schmidt in der Nähe eines AKWs wandernd aufgefunden wurde, ist eigentlich nicht klar, wird aber üblicherweise so gehandhabt.

Die übliche Begründung dafür ist, dass all die mit Friedrich Schmidt zusammenhängenden Vergehen zur Prävention oder Aufklärung künftiger Straftaten hilfreich sein können (das ist der "Zweck", an den sie gebunden sind) und jede Zuspeicherung dokumentiert, dass dies auch weiter der Fall ist (hätte Schmidt nicht weiter Staatsfeindliches im Sinn, wäre er woanders spazieren gegangen).

Auf der anderen Seite zeigt das Verhalten der Behörden bei Auskunftsersuchen, dass durchaus Unrechtsbewusstsein vorhanden ist, denn nicht selten scheint vor der Auskunft eine Aussonderungsprüfung mit positivem Ausgang zu stehen...
Grundsätzlich folgt aus der Zweckbindung, dass Daten zu löschen sind,
wenn der Grund ihrer Erhebung und Speicherung nicht mehr besteht; dazu
kommt eine Analogie zur Verjährung, die ihrerseits auf Artikel 1 und 2
des Grundgesetzes zurückgeführt wird – im Groben muss jedeR eine zweite,
dritte, vierte und fünfte Chance bekommen, weil er/sie ein Mensch ist.
Deswegen gibt es in allen Datenbanken "Aussonderungsprüfungsfristen"
vorgesehen, nach denen ein Datensatz ''angesehen'' werden ''muss''. Er
muss aber normalerweise nicht gelöscht werden, wenn ein Grund gefunden
werden kann, warum der Zweck seiner Speicherung doch weiter besteht.

== Speicherfristen bei der Polizei ==

Für eine polizeiliche Datenbanken wie [[INPOL]] oder [[POLAS]] auf
[[Datenbanken auf Länderebene|Länderebene]] werden je nach Fallgruppe
Prüffristen festgelegt; typischerweise liegen sie bei fünf bis zehn
Jahren.
Im BKA-Gesetz ist für die Löschung und Sperrung von Daten
[[http://www.gesetze-im-internet.de/bkag_1997/__32.html|§32 BKA Gesetz]]
zuständig. Danach sind für Erwachsene in der Regel 10 Jahre
Speicherdauer und 5 Jahre Speicherdauer bei Jugendlichen vorgesehen.

Das heißt natürlich nicht, dass eine vorherige Löschung ausgeschlossen
ist; zu jeder Zeit muss die Polizei sagen können, welchen Zweck sie mit
der Speicherung verfolgt und die Geeignetheit der Speicherung für diesen
Zweck glaubhaft machen können. Die Maßstäbe sind da gewiss nicht
streng, aber vorzeitige Löschungen sind nach Intervention nicht unüblich.
Eine (etwas mickrige) Statistik gibt es in <<BtDS(17/9003)>> (S. 9): So gab es
für die (rund 250) Einträge der Bundespolizei in der [[Gewalttäter
Sport]] zwischen 2005 und 2012 26 Löschersuchen, von denen 14, also über
50% ohne weiteres nachgekommen werden musste; das umfasst noch nicht
Löschungen, die nach Gerichtsverfahren o.ä. vorgenommen werden mussten.

=== Sonderfall Zuspeicherung ===

Weiter laufen die Speicherfristen normalerweise bei "Zuspeicherung" (d.h. neuen Einträgen bei anderen Verfahren) neu an (das wurde dann und wann auch von Gerichten kritisiert, aber nie endgültig verurteilt).

Was genau eine Zuspeicherung darstellt, obliegt natürlich einem weiten
Ermessenspielraum. Dass nun die Speicherfrist fürs Plakatieren neu
anläuft, wenn Friedrich Schmidt in der Nähe eines AKWs wandernd
aufgefunden wurde (um eine Speicherung zu ermöglichen, kann immer mal
kurz ein 129a-Verfahren eröffnet werden), ist eigentlich nicht klar,
wird aber üblicherweise so gehandhabt.

Die übliche Begründung dafür ist, dass all die mit Friedrich Schmidt
zusammenhängenden Vergehen zur [[Prävention]] oder Aufklärung künftiger
Straftaten hilfreich sein können (das ist ja der "Zweck", an den sie
gebunden sind) und jede Zuspeicherung dokumentiert, dass dies auch
weiter der Fall ist ("hätte Schmidt nicht weiter Staatsfeindliches im
Sinn, wäre er woanders spazieren gegangen").

Eine besonders kafkaeske Variation der Fristverlängerung beschreibt der
LfD BaWü im <<Doclink(2011-lfdbawue-tb30.pdf,30 TB (2011))>>, S. 92:
Dabei hat das BKA die "Eigentümerschaft" eines erkennungsdienstlichen
Datensatzes aus Baden-Württemberg übernommen, nachdem die entsprechenden
Daten in Baden-Württemberg gelöscht worden waren (eine Praxis, die für
sich schon sehr zweifelhaft ist). Als allerdings in Baden-Württemberg
die Aussonderungsprüfung für andere Daten zum Betoffenen gekommen war,
war der Umstand der Speicherung beim BKA Grund für den Sachbearbeiter,
die Speicherung um drei Jahre zu verlängern.

=== Sonderfall PKS ===

Besonders kitzlig ist die Frage bei Speicherungen in der PKS
(Polizeiliche Kriminalitäts-Statistik), wie sie im <<Doclink(2008-LfDBaWue-Bericht29.pdf,29. TB LfD BaWü)>>, 2.1/2.2.3,
diskutiert werden. Diese Speicherungen dienen zur polizeilichen
Kriminalstatistik, werden aber trotzdem im Auskunftssystem [[POLAS]]
geführt.


=== Vorgangsverwaltungen ===

[[Länderübergreifende Software#Vorgangsverwaltungen|Vorgangsverwaltungen]]
speichern alles, was beim Polizeialltag so passiert, d.h. auch
Ordungswidrigkeiten oder ggf. sogar Personenkontrollen. Dafür gibt es
in der Regel (d.h.je nach Bundes- oder Länderregelung) eine
Speicherfrist von ein bis fünf Jahren. Danach sollten die Daten in
gelöscht werden. Bei einer Neueröffnung eines alten Vorganges können
damit verbundene Daten länger gespeichert werden
(siehe
[[http://www.datenschutz-bayern.de/tbs/tb21/k7.html#7.2|21. Tätigkeitsbericht LfD Bayern, 7.2]]).

Fristverlängerungen bei Zuspeicherung sollte es bei Vorgangsverwaltungen
nicht geben; es wäre aber überraschend, wenn es sie nicht trotzdem gäbe.

=== 170 (2)-Einstellungen ===

Im Prinzip sollen Daten, die nach [[http://www.gesetze-im-internet.de/stpo/__170.html|§170 (2) StPO]] eingestellt wurden, gelöscht werden. Da nach §170 (2) die Staatsanwaltschaft vor einer Klageerhebung vor Gericht abgesehen hat. Bei [[http://www.gesetze-im-internet.de/stpo/__153.html|§153 StPO]] ist das schon schwieriger, denn dort wurden die Verfahren erst vor dem Gericht eingestellt.

 '''Vgl''' [[Eingestellte Verfahren]]

== Staatsanwaltschaften ==

In Strafverfahren, die mit einem Urteil (ohne Freispruch) enden, erfolgt die Löschung aus dem [[ZStV]] bei gleichzeitiger sofortiger Eintragung der Urteilsdaten in das [[Bundeszentralregister]]. Wird der Beschuldigte freigesprochen oder die Eröffnung des Hauptverfahrens abgelehnt, sind sie Daten nach zwei Jahren zu löschen. Wird in dieser Zeit jedoch ein weiteres Verfahren eröffnet, bleiben die alten Daten bis zur Löschung auch der neueren erhalten ([[http://www.gesetze-im-internet.de/stpo/__493.html|§ 493 StPO]]).

== Verfassungsschutz ==

In der Regel sollen die Daten 5 Jahre (Prüffrist), 10 Jahre (Zwingende Löschung, Weiterspeichung nur dbei OK des Chefs) oder 15 Jahre (Zwingende Löschung bei Agententätigkeit oder islamischen Terrorismus) nach [[http://www.gesetze-im-internet.de/bverfschg/__12.html|§12 Bundesverfassungsschutzgesetz]] nach dem letzten Eintrag gelöscht werden. D.h. nach den 5, 10 oder 15 Jahren wird der [[Datenbanken der Dienste/NADIS|NADIS]]-Eintrag gelöscht, die korrespondierenden Sachakten werden in der Regel nicht vernichtet (denn da stehen noch andere Personen drin). Sogar die korrespondierenden Personenakten werden nur als Sachakten umbenannt, falls dort noch andere Personen erwähnt werden (zumindestens nach dem [[http://www.deutschesfachbuch.de/info/detail.php?isbn=3415037738|Handbuch des Verfassungsschutzrechts]] geschrieben von einer ehemaligen leitenden Mitarbeiterin des [[Datenbanken der Dienste|BfV]]).
Zeile 59: Zeile 273:
Ebenfalls auf das Volkszählungsurteil geht ein recht weitgehendes Auskunftsrecht der in den Datenbanken erfassten Personen zurück (in der am weitesten gültigen Fassung steht das heute in §19 Bundesdatenschutzgesetz).

Dabei ist Betroffenen von der speichernden Stelle grundsätzlich unentgeldlich Auskunft zu erteilen über
die zu seiner Person gespeicherten Daten, oft auch den Zweck der Speicherung, eventuelle Übermittlungen usf. Details regeln jeweils die Polizeigesetze der Länder. Eine gerade im politischen Bereich mit häufigen Spitzeleinsätzen ernsthafte Einschränkung des Auskunftsrechts ist, dass bei Gefährdung der öffentlichen Sicherheit und Ordnung, bei Gefährdung von Ermittlungspersonal u.ä. die Auskunft unterbleiben darf. In solchen Fällen erfolgt eine Rechtsbehelfsbelehrung, und man sollte nicht zögern, mit solchen Nummern zum/zur zuständigen Datenschutzbeauftragten zu gehen, da eine solche Grundrechtsbeschränkung in jedem Fall ernst ist.

Zur Auskunft muss die Polizei die Identität des Anfragenden prüfen, was in der Regel durch eine beglaubigte Kopie des Personalausweises passiert. Weitergehende Anforderungen sind nicht statthaft (vgl. [http://www.lfd.m-v.de/taetberi/tb6/6_203.html 6. TB des LfD MV]).

Leider hängt die Auskunftspflicht stark davon ab, welche Behörde in welchem Bundesland die Datei führt (wobei nicht immer klar ist, wann verfassungsmäßige Grenzen überschritten werden). Besonders krass ist in diesem Zusammenhang (wenig überraschend) Bayern, wo der Verfassungsschutz das Recht auf Auskunftserteilung gänzlich negiert und nur ein paar Ausnahmetatbestände aufzählt, und im Polizeigesetz kurzerhand erklärt wird: "Art. 8 Abs. 1 , Art. 10 bis 13 , 15 Abs. 5 bis 8 , Art. 16 bis 22 und
26 bis 28 des Bayerischen Datenschutzgesetzes finden keine Anwendung." (Art. 49 im 3. Unterabschnitt) -- diese Artikel sind genau die, die überhaupt Anwendung finden könnten. Frech? Ja.

Einer Auskunftspflicht gegenüber den Betroffenen hat auch der Verfassungsschutz nach zu kommen (§ 15 Bundesverfassungsschutzgesetz). Der Antragsteller hat jedoch auf einen konkreten Sachverhalt und eine besonderes Interessen an der Auskunft nachzuweisen. Auch hier kann die Auskunftserteilung jedoch aus diversen Gründen ohne Benennung der Gründe unterbleiben. Der Betroffene ist jedoch darauf hinzuweisen, dass er sich an den Bundesbeauftragten für Datenschutz wenden kann. Diesem wiederum ist auf ein Ersuchen hin Auskunft zu erteilen.

Ähnliche Regelungen beinhaltet auch §15 des Landesverfassungsschutzgeseztes des Landes Baden-Württemberg und analoge Regelungen vieler anderer Länder: Pflicht zur unentgeldlichen Auskunftserteilung über gespeicherte Daten, die im Normalfall ohne Nennung der Gründe unterbleibt.

Es muss wohl nicht eigens betont werden, dass gerade in einem praktisch nicht kontrollierten Bereich wie den Geheimdiensten so etwas der Intention des Verfassungsgerichts beim Volkszählungsurteil ins Gesicht fliegt, zumal z.B. Brandenburg vormacht, dass keineswegs der Russe kommt, wenn man hier etwas verfassungsgemäßer vorgeht. Nach Lage der Dinge raten wir jedenfalls in der Regel von Auskunftsersuchen bei den Geheimdiensten ab. Der Deal, nach dem man zunächst selbst Information preiszugeben hat, um häufig banale und unvollständige Infos vom Verfassungsschutz zu bekommen und dann nicht viel gegen die Frechheit tun zu können, dieser Deal ist ein Mist.

Wer möchte, könnte die Frage, ob der VS sowas darf, mal bis zu Verfassungsgericht durchklagen. Wir betreuen und teilfinanzieren das gern, Kontakt über die Adresse unten.

= Daten aus eingestellten Ermittlungsverfahren =

Vor allem im politischen Bereich, in dem der Einsatz von oft hanebüchenen Ermittlungsverfahren nicht selten als informelles und außergesetzliches Bestrafungsinstrument der Polizei eingesetzt wird, ist die Einstellung von Verfahren Regel und nicht Ausnahme.
 
Nach der Einstellung eines Ermittlungs- oder Gerichtsverfahrens ''muss'' die Polizei ''anhand des Urteils'' prüfen, ob ein Tatvorwurf zu löschen ist und darf nur weiterspeichern, wenn ein "Verdacht übrig bleibt" und/oder tatsächliche Anhaltspunkte vorliegen, dass der/die Betroffene künftig eine Straftat begehen wird.

Die Polizei geht dabei in der Regel viel zu restriktiv vor und speichert mehr als sie dürfte. Ein Fall dieser Art ist im [http://www.baden-wuerttemberg.datenschutz.de/lfd/tb/2005/tb-2.htm 2005er-Bericht des LfD Ba-Wü] unter 4.2 beschrieben. Grundsätzlich gilt: Eine Einstellung wegen mangelnden Tatverdachts legt ''sehr'' nahe, dass gelöscht werden muss.

= Allgemeine gesetzliche Grundlagen =

== Europäisches Datenschutzrecht ==

http://www.lfd.nrw.de/fachbereich/fach_3_0.html#europ%E4isches

== Bundesgesetze ==

 *[^http://www.gesetze-im-internet.de Alle Bundesgestzte sind hier zu finden]
  * [^http://www.baden-wuerttemberg.de/sixcms/media.php/835/bundesdatenschutzgesetz_2003.pdf Bundesdatenschutzgesetz]; [http://www.bfd.bund.de/information/BDSG_syn.pdf Synopse der 2001er Änderungen zum Umsetzung der EU-Richtline]
 *[^http://www.baden-wuerttemberg.de/sixcms/media.php/835/tdg_neu.pdf Teledienstegesetz]
 *[^http://www.baden-wuerttemberg.de/sixcms/media.php/835/tddsg_neu.pdf Teledienstedatenschutzgesetz]
 *[^http://www.gesetze-im-internet.de/tkg_2004/ Telekommunikationsgesetz]
 *[^http://217.160.60.235/BGBL/bgbl1f/bgbl102s3317.pdf Telekommunikationsüberwachungsverordnung (TKÜV)]
 *[^http://bundesrecht.juris.de/bundesrecht/bverfschg/ Bundesverfassungsschutzgesetz]
  * [^http://bundesrecht.juris.de/bundesrecht/bzrg/Bundeszentralregistergesetz]
 * [^http://www.bnd.bund.de/cln_028/nn_373286/SharedDocs/Publikationen/DE/Downloads/Dateien/bnd__gesetz,templateId=raw,property=publicationFile.pdf/bnd_gesetzBND-Gesetz]
 *[^http://www.verfassungsschutz-mv.de/download/MADG.pdf MAD-Gesetz]
 *[^http://bundesrecht.juris.de/bundesrecht/bkag_1997/ BKA-Gesetz]
 *[^http://www.bka.de/profil/bka_gesetz.pdf BKA-Gesetz]
 *[^http://bundesrecht.juris.de/bundesrecht/bgsg_1994/ Bundesgrenzschutzgesetz]
 *[^http://bundesrecht.juris.de/bundesrecht/stpo/ Strafprozeßordnung]
 *[^http://www.datenschutz-berlin.de/recht/de/rv/tk_med/fuev.htm Fernmeldeüberwachungsverordnung (FÜV)] wurde von TKÜV abgelöst
 *[^http://217.160.60.235/BGBL/bgbl1f/bgbl102003s0361.pdf Terrorismusbekämpfungsgesetz]
 *[^http://www.verfassungsschutz-mv.de/download/PkgrG.pdf Kontrollgremiumsgesetz-PKGrG]
 *[^http://kai.iks-jena.de/law/iukdg.html Teledienstegesetz - TDG]
 *[^http://kai.iks-jena.de/law/awg.html Aussenwirtschaftsgesetz (AWG) § 39-41]
 *[^http://kai.iks-jena.de/misc/filterpilot4.html#mdstv Mediendienstestaatsvertrag]
 *[^http://kai.iks-jena.de/law/appell.html Grosser Lauschangriff (Artikel 13 GG)]
 *[^http://kai.iks-jena.de/law/vbkg.html Verbrechensbekämpfungsgesetz]
 *[^http://bundesrecht.juris.de/bundesrecht/g10_2001/ Gesetz zur Beschränkung des Brief-, Post- undFernmeldegeheimnisses (G-10 Gesetz)]
 *[^http://www.lrz-muenchen.de/~rgerling/gesetze/ZFdG.html Zollfahndungsdienstgesetz]
 *[^http://www.bundesrecht.juris.de/bundesrecht/owig_1968/ Gesetz über Ordnungswidrigkeiten]
 *[^http://www.gesetze-im-internet.de/stgb/index.html Strafgesetzbuch (StGB)]
 *[^http://www.rechtliches.de/info_Informationsfreiheitsgesetz.html Gesetz zur Regelung des Zugangs zu Informationen des Bundes - Informationsfreitsgesetz (IFG)]
 *[^http://www.iukdg.de/Telemediengesetz_Entwurf.pdf Entwurf Telemediengesetz von Bundeswirtschaftsministerium]
 *[^http://www.telemediengesetz.de.vu/
Neues Telemedienrecht  Forderungen aus Sicht der Nutzerinnen und Nutzer
]

== Landesgesetze ==

Vgl. die Seiten zu den einzelnen Ländern.

== detailliertere Betrachtungen ==

[^http://kai.iks-jena.de/law/ Die rechtlichen Waffen des Überwachungsstaates]
 *[^http://kai.iks-jena.de/law/tkuev.html Die Telekommunikations-Überwachungsverordnung und Technische Richtlinie (Internet) (TKÜV-E/TKÜV-TR)]
 * Der BfD zur [http://www.bfd.bund.de/information/tb9900/kap11/11_03.html Zulässigkeit der Speicherung verdachtsunabhängiger Daten im KAN] -- im Gegensatz zu Spudok?
 * Übersicht über die [http://www.uni-mainz.de/~pommeren/DSVorlesung01/Grundprobleme/Gesetze.html Datenschutzgesetze]

= KPMD =

Die "Richtlinien für den kriminalpolizeilichen Meldedienst" sind wohl eine Art Durchführungsverordnung zur Datenerhebung und legen fest, wann was gemeldet (und damit potenziell in EDV-Anlagen gespeichert) werden muss.

Vor allem im politischen Bereich interessant sind die Richtlinien für den kriminalpolizeilichen Meldedienst in Staatsschutzsachen (KPMD-S) -- hat wer eine Quelle dafür?

Unklar ist uns, ob die KPMD-S mittlerweile durch die neue KPMD-PMK von 2001 abgelöst sind. In diesen steht jedenfalls, dass Straftaten, die in Würdigung der Umstände, der Tat und/oder der Einstellung des Täters Anhaltspunkte dafür geben, dass sie den demokratischen Willensbildungsprozess beeinflussen sollen, der Erreichung oder Verhinderung politischer Ziele dienen oder sich gegen die Realisierung politischer Entscheidungen richten, meldepflichtig seien.

[http://www.bmi.bund.de/cln_007/nn_122778/sid_0319BC9F7BAD1ADD3C02B90CA7B06618/Internet/Content/Nachrichten/Pressemitteilungen/2004/05/Schily__Politisch__motivierte__Id__94880__de.html]
----
CategoryCategory
Vgl. [[RechtsLage/Auskunftsrecht|Auskunftsrecht]].

= Datensammeln =

Die Strafprozessordnung, die Polizeigesetze, die Außenwirtschafts- und Zollgesetze, die Geheimdienstgesetze und das Gesetz zu Artikel 10 GG bieten eine Vielzahl von Gesetzenvorschriften zum [[/Datensammeln]], aufgrund derer Sicherheitsbehörden und Geheimdienste nicht nur Täter, sondern auch Personen, die vermeintlich dem Täterumkreis zugeordnet werden, (auch [[Prävention|präventiv]]) überwacht werden können. Die Überwachung geschieht dabei mit technischen Hilfsmitteln (siehe [[Überwachungstechnik]] ) oder klassisch durch [[Observation]], [[Verdeckte Ermittler]] und [[V-Leute]].
Ganz besonders viele Rechte haben die Repressionsbehörden bei angeblichem Terrorismus, d.h. [[129a Verfahren]].

Grundlegende Normen

Der rechtliche Rahmen für Datenbanken von Staatsicherheits- und Repressionsbehörden wird abgesteckt von den staatlichen Interessen an Verfügung über und Kontrolle der Bevölkerung sowie an Repression unerwünschten Verhaltens auf der einen Seite und den Prinzipen des DatenSchutzes, die Einzelnen Schutzrechte gegenüber solchen Ansprüchen einräumen auf der anderen (mehr zu dieser Abwägung in RHZ 3/14. Diese Abwägung wird jedenfalls in der Rechtstheorie durch das Verhältnismäßigkeitsprinzip vorgenommen.

Im Datenschutz werden aus grundrechtlichen Erwägungen hehre Prinzipien von Datensparsamkeit, Zweckbindung und Transparenz. Näher geregelt wird die Umsetzung dieser Prinzipien außerhalb des Sicherheitsbereichs in der Datenschutzgrundverordnung der EU (Verordnung 2016/679) sowie in diversen nationalen Anpassungen (Bundes- und Landesdatenschutzgesetzen). Diese sind aber durchweg subsidiär. Ihre Garantien werden also von anderen Gesetzen überschrieben (z.B. G10-Gesetz, TKÜV, Melderegistergesetz usf).

Repressiv vs. Präventiv

Im Sicherheitsbereich konnte sich die EU nicht auf direkt geltendes Recht einigen, hat aber, damit die Daten auch unter den entsprechenden Behörden frei fließen können, Richtlinie 2016/680 (kurz JI-Richtlinie oder JI-RL) verabschiedet; diese setzt einen Rechtsrahmen, der dann in nationale Gesetze umgesetzt werden muss. In der BRD geschieht das in erster Linie durch das Bundesdatenschutzgesetz, nachrangig aber auch durch die Polizeigesetze der Länder, das BKAG usf.

Ansprüche gegen den Datenschutz aus Strafverfolgungskreisen sind prototypisch in §484 StPO niedergelegt:

(1) Strafverfolgungsbehörden dürfen für Zwecke künftiger Strafverfahren

1. die Personendaten des Beschuldigten und, soweit erforderlich, andere zur Identifizierung geeignete Merkmale, 2. die zuständige Stelle und das Aktenzeichen, 3. die nähere Bezeichnung der Straftaten, insbesondere die Tatzeiten, die Tatorte und die Höhe etwaiger Schäden, 4. die Tatvorwürfe durch Angabe der gesetzlichen Vorschriften, 5. die Einleitung des Verfahrens sowie die Verfahrenserledigungen bei der Staatsanwaltschaft und bei Gericht nebst Angabe der gesetzlichen Vorschriften in Dateien speichern, verändern und nutzen.

(2) Weitere personenbezogene Daten von Beschuldigten und Tatbeteiligten dürfen sie in Dateien nur speichern, verändern und nutzen, soweit dies erforderlich ist, weil wegen der Art oder Ausführung der Tat, der Persönlichkeit des Beschuldigten oder Tatbeteiligten oder sonstiger Erkenntnisse Grund zu der Annahme besteht, dass weitere Strafverfahren gegen den Beschuldigten zu führen sind. Wird der Beschuldigte rechtskräftig freigesprochen, die Eröffnung des Hauptverfahrens gegen ihn unanfechtbar abgelehnt oder das Verfahren nicht nur vorläufig eingestellt, so ist die Speicherung, Veränderung und Nutzung nach Satz 1 unzulässig, wenn sich aus den Gründen der Entscheidung ergibt, dass der Betroffene die Tat nicht oder nicht rechtswidrig begange hat.

(3) Das Bundesministerium der Justiz und die Landesregierungen bestimmen für ihren jeweiligen Geschäftsbereich durch Rechtsverordnung das Nähere über die Art der Daten, die nach Absatz 2 für Zwecke künftiger Strafverfahren gespeichert werden dürfen. Dies gilt nicht für Daten in Dateien, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden. Die Landesregierungen können die Ermächtigung durch Rechtsverordnung auf die zuständigen Landesministerien übertragen.

(4) Die Verwendung personenbezogener Daten, die für Zwecke künftiger Strafverfahren in Dateien der Polizei gespeichert sind oder werden, richtet sich, ausgenommen die Verwendung für Zwecke eines Strafverfahrens, nach den Polizeigesetzen.

Auch zur „Gefahrenabwehr” oder noch schlimmer dem praktisch unbestimmten „Schutz der öffentliche Sicherheit und Ordnung“ darf der Staat in die informationelle Selbstbestimmung eingreifen. Dies ist gemäß föderalistischer Arbeitsteilung in den Polizeigesetzen der Länder (dann und wann auch Sicherheits- und Ordnungsgesetz o.ä. genannt) geregelt (oder eben nicht). Durch BKA, Zoll, „Verfassungsschutz” und Co genehmigt sich aber auch der Bund einige Gefahrenabwehr. Dass die konkreten Regelungen kaum zu unterscheiden sind von denen zur Strafverfolgung darf als Hinweis gelten, dass die Normen weitgehend Wunschzetteln der Behörden entstammen.

Verhältnismäßigkeit

Da die Gesetze die Behörden praktisch nicht mehr beschränken, ist das wesentliche Mittel gegen, nun, übermäßige Polizei-EDV das Übermaßverbot. Nach diesem muss, unabhängig von allen anderen legalen Erwägungen, ein Eingriff in ein Grundrecht (und angesichts des Gedanken des DatenSchutzes ist praktisch jeder EDV-Einsatz bei der Polizei über die Ausführung von Solitaire hinaus ein Grundrechtseingriff) zur Erreichung eines (hoffentlich überhaupt formulierten) Zwecks

  1. geeignet sein, d.h. tatsächlich dazu führen, dass das Ziel erreicht wird. Daher ist nach allen ernstzunehmenden Untersuchungen etwa Videoüberwachung nicht verhältnismäßig zur Verbrechensreduzierung, da sich eine solche mit noch so viel Videoüberwachung nicht einstellt.

  2. erforderlich sein. Das heißt, dass ohne den Eingriff das Ziel nicht erreicht werden kann. In Gesetzestexten wird meist noch ein "oder erheblich erschwert" hinzugefügt, womit Missbrauch Tür und Tor geöffnet ist. Beispielsweise sind Reihen-DNA-Tests nicht verhältnismäßig, da auch ohne sie die Aufklärungsquote bei einschlägigen Verbrechen sehr hoch ist.

  3. angemessen sein. Damit ist gemeint, dass die Schwere des Eingriffs in einem, nun, angemessenen Verhältnis zum intendierten Zweck steht. So ist beispielsweise die "Anti-Terror-Datenbank" nicht verhältnismäßig, weil die Vertiefung eines geheimpolizeilichen Komplexes die Gesellschaft umkrempelt, während Terrorismus in der BRD verglichen mit z.B. Kettensägen, Trittleitern oder Ski eine praktisch vernachlässigbare Bedrohung für Leben und Gesundheit darstellt.

Speichergründe

Wenn die Polizei Daten speichert, muss sie dafür Gründe angeben. Praktisch alle einschlägigen Gesetze folgen der StPO in der Angabe von zwei Kategorien:

  • Gefahrenabwehr, "Prävention" (z.B. Anlegen von Terrorlisten, so dass die Leute nicht fliegen können; Listen von bekannten Linksradikalen, die dann vor Großereignissen mit "Gefährderansprachen" eingeschüchtert werden können; die berühmten Sport-Dateien zur Aufrechterhaltung von Stadionverboten; die meisten Speicherungen unter diesem Label sind allerdings kaum wirklich erklärbar)
  • Aufklärung künftiger Straftaten (z.B. Fingerabdruck-, DNA-Datenbanken, aber auch Kram wie KAN, unter dem Motto „Round up the usual suspects“).

In beiden Fällen muss die Polizei eine „Negativprognose“ stellen, also belegen, dass Daten Personen betreffen, von denen tatsächlich eine Gefahr ausgeht, der durch die Speicherung wirksam begegnet werden kann bzw. die tatsächlich mit hoher Wahrscheinlichkeit eine Straftat begehen, bei deren Aufklärung die Daten helfen können.

Im 25. TB (2015) (S. 90) weist die BfD noch einmal darauf hin, dass diese Negativprognose nicht formal sein darf (dazu gibt es auch umfangreiche Rechtssprechung, die allerdings die Latte eher tief hängt). Aber: "Ein bloßer fortbestehender Verdacht genügt für die Speicherung nicht" (BfDI). Sie fand bei ihrer Prüfung des KAN druchweg keine adäquate Dokumentation der Negativprogonose, auch wenn das BKA auf Nachfrage immer etwas produzieren konnte, das sie zufriedenstellte (sie sieht also "strukturellen Verbesserungsbedarf").

Fazit: Nachfragen bezüglich der Negativprognose sind sicher keine schlechte Idee; mensch muss bei den Antworten allerdings mit Bullshit rechnen.

Realitäten bei der Polizei

Natürlich sind diese Dinge in der "Verfassungspraxis" nur fromme Wünsche, aber es ist doch tröstend, um die Verfassungswidrigkeit polizeilichen Handelns zu wissen. Beispiele aus der Gesetzgebung dazu:

  • Das Erforderlichkeitsprinzip wird mit großer Kreativität vom 2008er Polizeigesetz in BaWü verhöhnt. Es sieht vor, dass die Polizei für zwei Jahre beliebige Daten speichern darf, also nicht mal mehr probieren muss, irgendwelche "Gefahrenprognosen" zusammenzustöpseln, aus denen der Zweck (Prävention oder Aufklärung d.h. Strafverfolgung) ableitbar wäre. Zwar kräht auch andernorts kein Hahn nach diesen Zwecken, aber dort stehts wenigstens nicht im Gesetz.

  • Die Zweckbindung wird zu einer Farce, wenn z.B. Ausschreibungen in SIS "wenn es die Staatssicherheit verlangt" in nationale Datenbanken übernommen werden.

  • Von Transparenz kann natürlich nicht mehr annähernd die Rede sein, wenn BürgerInnen bei der "Anti-Terror-Datenbank" anfangs rund 40 Behörden hätten fragen müssen, um rauszukriegen, ob sie gespeichert sind. Inzwischen übernimmt das zwar im Prinzip das BKA, viele Geheimdienste entziehen sich aber nach wie vor ihrer Auskunftspflicht (und haben dafür auch eine Rechtsgrundlage).

  • Darüber hinaus dokumentieren rasche Blicke in Datenschutzberichte oder Pressemitteilungen der Innenministerien, dass selbst die schon verfassungswidrigen Gesetze von den Behörden häufig zuungunsten der Bevölkerung gebrochen werden. Immerhin lässt sich da dann aber manchmal noch was reparieren, wenn es rauskommt.
  • Ein makaberes Beispiel zur Zweckbindung und ihrer Verletzung aus Opportunitätsgründen hat der LfDI Sachsen in seinem 14. TB (2009), 5.9.3: Eine HIV-positive Blutspenderin begeht Selbstmord, in ihrem Notizbuch finden sich Namen von acht Männern, mit denen sie in den vergangenen drei Monaten Sex hatte. Die lokale Blutbank fragt die Polizei nach diesen acht Namen; der LfDI sagt, die Änderung des "Speicherzwecks" (in dem Fall dürften die Namen noch nicht mal in der Vorgangsverwaltung aufgetaucht sein, aber grundsätzlich ist sowas ein klassischer Fall von "sonstiger Person") sei ok, aber im vorliegenden Fall (Daten zu Gesundheit und Sexualität) nur mit Zustimmung der Betroffenen.

Verfahrensverzeichnisse

Bis zur EU-DSGVO (und PIAV) war es in den meisten Ländern und Polizeien üblich, dass jede Datenbank eine Errichtungsanordnung hatte, aus der die Zweckbestimmung, die Typen der gespeicherten Daten, die Zielgruppe, die Lese- und Schreibberechtigten usf. hervorgingen. Mit der DSGVO dürfte das ein Ende haben; Richtlinie 2016/680 (JI-RL) sieht in Artikel 24 stattdessen die Führung eines Verfahrensverzeichnisses vor, und §70 BDSG (im dritten Teil, also für Sicherheitsbehörden gedacht) schließt sich dem an.

In Errichtungsanordnungen waren traditionell fast immer einzusehen, meist per IFG-Anfrage, gelegentlich auch mal per Klage (vgl. auch get connected 2/15. Die Post-DSGVO-Regelungen sagen dazu nichts Explizites. §70 Abs. 4 BDSG lässt allerdings nichts Gutes ahnen: „Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der oder dem Bundesbeauftragten zur Verfügung zu stellen.“

Im Sicherheitsbereich ist das ein deutlicher Rückschritt gegenüber der vorherigen Zustand; zwar wurden die Errichtungsanordnungen auch unter Ausschluss der Öffentlichkeit zwischen Polizei und Innenministerien ausgehandelt, doch war eine Beteiligung des BfDI oder LfDI in der Regel vorgeschrieben.

Um einen Eindruck zu geben, was wir das so verloren haben (dürften): Errichtunganordnung Igast beim BKA (ist inzwischen aufgelöst und in [PMK links-Z] aufgegangen); Errichtungsanordnung FIT („Fundstellennachweis islamischer Terrorismus”, ebenfalls BKA).

Merkwürdigkeiten

  • Wenn es kein Verfahrensverzeichnis gibt, ist nur das Datenschutzgesetz verletzt, was nach Ansicht des Hessischen Verwaltungsgerichtshofs (11 UE 2982/02, 16.12.2004) aber nicht schadet, wenn irgendwann mal ein Waschzettel nachgereicht wird.
  • Eine parlamentarische Befassung findet nur dann statt, wenn die geltende Rechtslage die Einrichtung einer bestimmten Datenbank nicht hergibt; dies war etwa bei der DAD (DNA-Auskunftsdate) oder der "Anti-Terror-Datenbank" der Fall.

  • Dazu laufen Datenbanken gerne auch über lange Zeit im "Probebetrieb" ohne Errichtungsanordnung (vgl. z.B. AFIS, Automatisierte Fingerabdruck-Indentifizierungssytem)

  • Das BKA-Gesetz sieht vor, dass das Innenministerium (ggf. im Benehmen mit dem Bundesrat) die Natur der zu speichernden Daten per Rechtsverordnung (die veröffentlicht wird) genau spezifizieren muss. Unter Hinweis auf diese Regelung hat etwa das (typischerweise recht progressive) VG Hannover (10 A 2412/07) 2008 geurteilt, die Datei "Gewalttäter Sport" (analog wohl die übrigen Gewalttäter-Dateien) werde rechtswidrig betrieben. Leider stehen dem Urteile etwa des VG Mainz (1 K 363/08.MZ) ebenfalls von 2008 entgegen, die finden, die Rechtsverordnung sei "deklaratorisch" und nicht "konstitutiv" (also: Es braucht sie nur, damit was gesagt ist).

Speicherfristen

Grundsätzlich folgt aus der Zweckbindung, dass Daten zu löschen sind, wenn der Grund ihrer Erhebung und Speicherung nicht mehr besteht; dazu kommt eine Analogie zur Verjährung, die ihrerseits auf Artikel 1 und 2 des Grundgesetzes zurückgeführt wird – im Groben muss jedeR eine zweite, dritte, vierte und fünfte Chance bekommen, weil er/sie ein Mensch ist. Deswegen gibt es in allen Datenbanken "Aussonderungsprüfungsfristen" vorgesehen, nach denen ein Datensatz angesehen werden muss. Er muss aber normalerweise nicht gelöscht werden, wenn ein Grund gefunden werden kann, warum der Zweck seiner Speicherung doch weiter besteht.

Speicherfristen bei der Polizei

Für eine polizeiliche Datenbanken wie INPOL oder POLAS auf Länderebene werden je nach Fallgruppe Prüffristen festgelegt; typischerweise liegen sie bei fünf bis zehn Jahren. Im BKA-Gesetz ist für die Löschung und Sperrung von Daten §32 BKA Gesetz zuständig. Danach sind für Erwachsene in der Regel 10 Jahre Speicherdauer und 5 Jahre Speicherdauer bei Jugendlichen vorgesehen.

Das heißt natürlich nicht, dass eine vorherige Löschung ausgeschlossen ist; zu jeder Zeit muss die Polizei sagen können, welchen Zweck sie mit der Speicherung verfolgt und die Geeignetheit der Speicherung für diesen Zweck glaubhaft machen können. Die Maßstäbe sind da gewiss nicht streng, aber vorzeitige Löschungen sind nach Intervention nicht unüblich. Eine (etwas mickrige) Statistik gibt es in Bundestags-Drucksache 17/9003 (S. 9): So gab es für die (rund 250) Einträge der Bundespolizei in der [[Gewalttäter Sport]] zwischen 2005 und 2012 26 Löschersuchen, von denen 14, also über 50% ohne weiteres nachgekommen werden musste; das umfasst noch nicht Löschungen, die nach Gerichtsverfahren o.ä. vorgenommen werden mussten.

Sonderfall Zuspeicherung

Weiter laufen die Speicherfristen normalerweise bei "Zuspeicherung" (d.h. neuen Einträgen bei anderen Verfahren) neu an (das wurde dann und wann auch von Gerichten kritisiert, aber nie endgültig verurteilt).

Was genau eine Zuspeicherung darstellt, obliegt natürlich einem weiten Ermessenspielraum. Dass nun die Speicherfrist fürs Plakatieren neu anläuft, wenn Friedrich Schmidt in der Nähe eines AKWs wandernd aufgefunden wurde (um eine Speicherung zu ermöglichen, kann immer mal kurz ein 129a-Verfahren eröffnet werden), ist eigentlich nicht klar, wird aber üblicherweise so gehandhabt.

Die übliche Begründung dafür ist, dass all die mit Friedrich Schmidt zusammenhängenden Vergehen zur Prävention oder Aufklärung künftiger Straftaten hilfreich sein können (das ist ja der "Zweck", an den sie gebunden sind) und jede Zuspeicherung dokumentiert, dass dies auch weiter der Fall ist ("hätte Schmidt nicht weiter Staatsfeindliches im Sinn, wäre er woanders spazieren gegangen").

Eine besonders kafkaeske Variation der Fristverlängerung beschreibt der LfD BaWü im 30 TB (2011), S. 92: Dabei hat das BKA die "Eigentümerschaft" eines erkennungsdienstlichen Datensatzes aus Baden-Württemberg übernommen, nachdem die entsprechenden Daten in Baden-Württemberg gelöscht worden waren (eine Praxis, die für sich schon sehr zweifelhaft ist). Als allerdings in Baden-Württemberg die Aussonderungsprüfung für andere Daten zum Betoffenen gekommen war, war der Umstand der Speicherung beim BKA Grund für den Sachbearbeiter, die Speicherung um drei Jahre zu verlängern.

Sonderfall PKS

Besonders kitzlig ist die Frage bei Speicherungen in der PKS (Polizeiliche Kriminalitäts-Statistik), wie sie im 29. TB LfD BaWü, 2.1/2.2.3, diskutiert werden. Diese Speicherungen dienen zur polizeilichen Kriminalstatistik, werden aber trotzdem im Auskunftssystem POLAS geführt.

Vorgangsverwaltungen

Vorgangsverwaltungen speichern alles, was beim Polizeialltag so passiert, d.h. auch Ordungswidrigkeiten oder ggf. sogar Personenkontrollen. Dafür gibt es in der Regel (d.h.je nach Bundes- oder Länderregelung) eine Speicherfrist von ein bis fünf Jahren. Danach sollten die Daten in gelöscht werden. Bei einer Neueröffnung eines alten Vorganges können damit verbundene Daten länger gespeichert werden (siehe 21. Tätigkeitsbericht LfD Bayern, 7.2).

Fristverlängerungen bei Zuspeicherung sollte es bei Vorgangsverwaltungen nicht geben; es wäre aber überraschend, wenn es sie nicht trotzdem gäbe.

170 (2)-Einstellungen

Im Prinzip sollen Daten, die nach §170 (2) StPO eingestellt wurden, gelöscht werden. Da nach §170 (2) die Staatsanwaltschaft vor einer Klageerhebung vor Gericht abgesehen hat. Bei §153 StPO ist das schon schwieriger, denn dort wurden die Verfahren erst vor dem Gericht eingestellt.

Staatsanwaltschaften

In Strafverfahren, die mit einem Urteil (ohne Freispruch) enden, erfolgt die Löschung aus dem ZStV bei gleichzeitiger sofortiger Eintragung der Urteilsdaten in das Bundeszentralregister. Wird der Beschuldigte freigesprochen oder die Eröffnung des Hauptverfahrens abgelehnt, sind sie Daten nach zwei Jahren zu löschen. Wird in dieser Zeit jedoch ein weiteres Verfahren eröffnet, bleiben die alten Daten bis zur Löschung auch der neueren erhalten (§ 493 StPO).

Verfassungsschutz

In der Regel sollen die Daten 5 Jahre (Prüffrist), 10 Jahre (Zwingende Löschung, Weiterspeichung nur dbei OK des Chefs) oder 15 Jahre (Zwingende Löschung bei Agententätigkeit oder islamischen Terrorismus) nach §12 Bundesverfassungsschutzgesetz nach dem letzten Eintrag gelöscht werden. D.h. nach den 5, 10 oder 15 Jahren wird der NADIS-Eintrag gelöscht, die korrespondierenden Sachakten werden in der Regel nicht vernichtet (denn da stehen noch andere Personen drin). Sogar die korrespondierenden Personenakten werden nur als Sachakten umbenannt, falls dort noch andere Personen erwähnt werden (zumindestens nach dem Handbuch des Verfassungsschutzrechts geschrieben von einer ehemaligen leitenden Mitarbeiterin des BfV).

Auskunftsrecht

Vgl. Auskunftsrecht.

Datensammeln

Die Strafprozessordnung, die Polizeigesetze, die Außenwirtschafts- und Zollgesetze, die Geheimdienstgesetze und das Gesetz zu Artikel 10 GG bieten eine Vielzahl von Gesetzenvorschriften zum /Datensammeln, aufgrund derer Sicherheitsbehörden und Geheimdienste nicht nur Täter, sondern auch Personen, die vermeintlich dem Täterumkreis zugeordnet werden, (auch präventiv) überwacht werden können. Die Überwachung geschieht dabei mit technischen Hilfsmitteln (siehe Überwachungstechnik ) oder klassisch durch Observation, Verdeckte Ermittler und V-Leute. Ganz besonders viele Rechte haben die Repressionsbehörden bei angeblichem Terrorismus, d.h. 129a Verfahren.