Fahrzeugkontrollen auf Bundesstraßen
Fahrzeugkontrollen auf Bundesstraßen vorsieht, habe ich Bedenken im Hinblick auf die Einhaltung des Grundsatzes der Verhältnismäßigkeit geäußert.
Nach dem bisherigen § 19 Abs. 1 Nr. 2 PAG war eine Ingewahrsamnahme nur bei Straftaten von erheblicher Bedeutung möglich. Der Gesetzentwurf hierzu sah vor, dass diese Beschränkung gestrichen wird, so dass nunmehr auch in Fällen leichter Kriminalität eine Ingewahrsamnahme möglich sein soll. Den damit möglichen Eingriff in das informationelle Selbstbestimmungsrecht sehe ich als unverhältnismäßig an. Meine diesbezüglichen Hinweise sind nicht aufgegriffen worden. Europol.
Gegen Ende des Berichtszeitraums verabschiedete der Bundestag am 10.10.1997 das Gesetz zu dem Übereinkommen vom 26.07.1995 auf Grundlage von Artikel K.3 des Vertrages über die Europäische Union über die Errichtung eines europäischen Polizeiamtes (EUROPOL-Gesetz), zu dem auch der Bundesrat seine Zustimmung gegeben hat. Damit ist die ratifiziert und kann, wenn auch die anderen Staaten das Gesetz ratifiziert haben, in Kraft treten. Daß in einem zusammenwachsenden Europa grenzüberschreitende Verbrechensbekämpfung angezeigt ist, ist allgemein anerkannt. Europol soll personenbezogene Daten aus den Mitgliedstaaten zentral speichern und auswerten, wobei die Berechtigung zur Abfrage und Einspeicherung das BKA und die LKA haben. Die Zuständigkeit für Europol ist u. a. gegeben für die Bereiche Terrorismus, illegaler Drogenhandel und sonstige schwerwiegende Formen internationaler Kriminalität, zu denen unter anderem Waffenhandel und Menschenhandel zählen. Zu Europol hat die europäische Datenschutzkonferenz in Manchester am 24./25.04.1996 (Anlage 23) festgestellt, dass die Konvention dem Datenschutz erhebliche Bedeutung beimißt. Europol hat keine eigene Ermittlungszuständigkeit, sondern verfolgt das Ziel, durch die Sammlung von Informationen und deren Übermittlung an die Mitgliedsstaaten, die Leistungsfähigkeit der dort zuständigen Behörden und ihre Zusammenarbeit zu verbessern. Dies soll dadurch erreicht werden, daß die nationalen Stellen - in Deutschland das BKA - Europol aus eigener Initiative Informationen liefern. Im Informationssystem von Europol dürfen nur die für die Erfüllung der Aufgaben von Europol erforderlichen Daten über Personen, die nach Maßgabe des nationalen Rechts einer Straftat, für die Europol zuständig ist, verdächtigt werden oder wegen einer solchen Straftat verurteilt worden sind oder bei denen bestimmte schwerwiegende Tatsachen nach Maßgabe des nationalen Rechts die Annahme rechtfertigen, daß sie Straftaten im Zuständigkeitsbereich von Europol begehen werden, gespeichert werden. Um welche Daten es sich handelt, ist in der Konvention ebenfalls näher bestimmt. Die Datenschutzbeauftragten haben in ihrer Konferenz vom 17./18.04.1997 zu Europol die Forderung des Europäischen Parlaments unterstützt, dass u. a. alle Informationen persönlichen Charakters von der Erfassung in Europol auszuschließen seien (Anlage 13). Detailliert ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu den Arbeitsdateien zu Anlaysezwecken geregelt, wobei auch ausdrücklich normiert ist, dass Daten nur übermittelt werden dürfen, soweit diese nach dem jeweiligen nationalen Recht zu Zwecken der Verhütung, Bekämpfung und Analyse von Straftaten verarbeitet werden dürfen. Für bedeutsam sehe ich an, dass es bei den Durchführungsbestimmungen, die vom Verwaltungsrat zu den Dateien ausgearbeitet werden, sowie bei den Bestimmungen über die Sicherheit der Daten und die interne Kontrolle ihrer Verwendung der Einstimmigkeit des Rates bedarf. Dabei werden auch Prüffristen und die Speicherungsdauer festgesetzt. Ebenfalls ist festzulegen, an wen die Daten übermittelt werden dürfen. Eine Verwendung der Daten für andere Zwecke oder durch andere Behörden ist nur zulässig, wenn der Mitgliedsstaat, der die Daten übermittelt hat, hierzu seine Zustimmung gegeben hat und dies nach nationalem Recht des Mitgliedstaats zulässig ist. Eine Datenübermittlung an Drittstaaten oder Drittstellen kommt nur in Betracht, wenn dort ein angemessener Datenschutzstandard gewährleistet ist. Jeder kann einen Antrag stellen, um Auskunft über die von bei Europol über ihn gespeicherten Daten zu erhalten. Zur Kontrolle gibt es eine Gemeinsame Kontrollinstanz, in der neben einem auf Vorschlag des zu ernennenden Vertreter auch ein vom Bundesrat zu wählender Ländervertreter teilnimmt. Nach § 5 Abs. 2 des Gesetzes über die Zusammenarbeit von Bund und Ländern in Angelegenheiten der Europäischen Union wird die Stellungnahme des Ländervertreters hierbei maßgeblich zu berücksichtigen sein. Europol kann aufgrund der Konvention erst dann in Aktion treten, wenn auch das Gesetz zu dem Protokoll vom 19.06.1997 aufgrund des Artikel K.3 des Vertrags über die Europäische Union und von Artikel 41 Abs. 3 des Europol-Übereinkommens über die Vorrechte und Immunität für Europol, die Mitglieder der Organe, die stellvertretenden Direktoren und die Bediensteten von Europol in Kraft getreten ist. Dies steht derzeit im Bundestag zur Beratung an.
Schengener Informationssystem - Schengener Durchführungsübereinkommen
Wie im 1. TB (4.3) berichtet, ist das Schengener Durchführungsübereinkommen (SDÜ), das zum Wegfall der gemeinsamen Binnengrenzen geführt hat, am 26.03.1995 in Kraft getreten.
Die für die datenschutzrechtliche Kontrolle des in Betrieb genommenen Schengener Informationssystems (SIS) eingesetzte gemeinsame Kontrollinstanz nach Artikel 115 SDÜ, in der die deutsche Delegation durch den und den Hessischen Datenschutzbeauftragten vertreten ist, hat zwischenzeitlich einen Tätigkeitsbericht über den Zeitraum März 1995 bis März 1997 vorgelegt (Bundesratsdrucksache 423/97 vom 16.05.1997). Darin sind Ausführungen zu den Rechtsvorschriften, zum Schutz personenbezogener Daten und zu der Kontrollinstanz und deren Aufgaben sowie das Ergebnis einer Kontrolle der gemeinsamen Kontrollinstanz des ZSIS, des Zentralen Schengener Informationssystems mit Sitz in Straßburg, dargestellt.
Im Zusammenhang mit dem SDÜ ist weiterhin auch die Koordinierung der unterschiedlichen europäischen Datenverarbeitungssysteme (Schengener Informationssystem, Zollinformationssystem, Europol, Europäisches Informationssystem) sowie die Entwicklung der polizeilichen und justitiellen Zusammenarbeit zu diskutieren.
Automatisiertes Fingerabdrucksystem (AFIS)
Im 1. TB (7.6) hatte ich ausgeführt, dass AFIS ohne Errichtungsanordnung geführt wird. Im Hinblick auf das neue BKAG wird auf diesen Vorgaben die Errichtungsanordnung neu erarbeitet. Das TIM hat mir signalisiert, dass es meine Vorschläge in die erneute Abstimmung auf Länderebene einfließen lassen wird.
Datenschutzrechtliche Kontrollen im Polizeibereich
Bei den im Berichtszeitraum durchgeführten datenschutzrechtlichen Kontrollen im Polizeibereich wurde auch die Führung von polizeilichen automatisierten Verfahren einbezogen.
Bei einer Polizeidirektion (PD) habe ich mich über die Möglichkeiten von Abfragen aus den zentralen polizeilichen Dateien, unter anderem aus dem Ausländerzentralregister (AZR) und INPOL, auf die über das Landessystem Informationssystem der Thüringer Polizei (ISTPOL), das mit dem Landeskriminalamt (LKA) verbunden ist, Zugriff genommen werden kann, informiert. Bei Anfragen von Bediensteten im Streifendienst werden Auskünfte über Personen, die in diesen Dateien erfaßt sind, erteilt. Bezüglich der Zugangs- und Zugriffsberechtigungen erfolgt halbjährlich eine Prüfung durch das LKA anhand einer Zugriffsprotokollierung. Zu den technischen und organisatorischen Maßnahmen ergaben sich in diesem Zusammenhang keine weiteren Fragen.
In der PD wird auch das Integrationsverfahren Thüringen - Grundstufe (IGV-T) mit verschiedenen Programmteilen, u. a. auch Thüringer Zentraldateien genutzt. Im Rahmen dieses Verfahrens steht den PD auch die Möglichkeit offen, eigene Dateien anzulegen. Hierzu sind ebenfalls jeweils gesonderte Errichtungsanordnungen gemäß § 46 PAG, die einer datenschutzrechtlichen Freigabe nach § 34 Abs. 2 entsprechen, sowie Meldungen zum Datenschutzregister erforderlich. Da diese nicht vorlagen, erfolgte eine Beanstandung.
Bei der Kriminalinspektion der PD wird der Kriminalaktennachweis (KAN) als automatisierte Datei geführt. Die erstmalige Aufnahme von Daten führt zum Anlegen einer Grundakte, alle weiteren relevanten Ereignisse auch im Bereich anderer Dienststellen werden der aktenführenden Dienststelle zur Eintragung in diese Datei mitgeteilt. Für die PD sind alle Daten dieser Datei, die von Thüringer Polizeidienststellen angegeben werden, abrufbar. Die Überwachung der Löschfristen erfolgt durch das LKA.
Im Rahmen einer Kontrolle eines Informationssystems beim Polizeipräsidium Thüringen habe ich Empfehlungen zur Login-Protokollierung gegeben.
Bei der Protokollierung wird festgehalten, welcher Nutzer an welchem Tag und um welche Uhrzeit sein Terminal aus- und einschaltet. Eine Änderung von Daten kann sodann in Verbindung mit der Berechtigungsdatei und kriminalistischer Mittel nachvollzogen werden. Eine meinerseits geforderte erweiterte Protokollierung des Zugriffs auf bestimmte Dateien und im Abrufverfahren als technisch-organisatorische Maßnahmen gemäß § 9 Abs. 2 Nr. 5 erschien den Verantwortlichen zunächst aus Verhältnismäßigkeitsgründen nicht realisierbar. Im Rahmen der Weiterentwicklung von IBP sollen neue Sicherheitsmechanismen nach Auskunft des LKA eingearbeitet werden.
Das Fehlen von datenschutzrechtlichen Freigaben von automatisierten Verfahren im Bereich der Personalverwaltung habe ich beanstandet.
Der Einsatz eines Zutrittskontrollsystems im LKA wurde mangels Freigabe und unzureichender Sicherungsmaßnahmen beanstandet. Die Beanstandung wurde zwischenzeitlich behoben.
Beim LKA, das nach § 8 Abs. 2 des Polizeiorganisationsgesetzes Zentralstelle für die polizeiliche Datenverarbeitung und Datenübermittlung ist, ließen sich die Mitarbeiter des unter anderem das Verfahren der Personenfahndung, des Abgleichs von Fingerabdrücken sowie die Führung der Kriminalstatistik darstellen.
Das Verfahren der Personenfahndung wird auf Veranlassung der Staatsanwaltschaft von den Polizeidirektionen, soweit nicht eine eigene Zuständigkeit des LKA begründet ist, in Gang gesetzt. Die Daten der Fahndungsausschreibungen werden über das LKA an das BKA übermittelt. Da die Fahndungsausschreibungen regelmäßig befristet sind, erfolgt vor Ablauf der Fahndungsfrist vom BKA die Übersendung von Fristenüberwachungslisten, die zur weiteren Veranlassung vom LKA an die PDs weitergegeben werden, da diese die Löschung oder die Fristverlängerung zu veranlassen haben.
Neben einer alphabetischen Sammlung der Fingerabdruckblätter werden die Fingerabdrücke auch automatisiert über AFIS erfaßt, um einen bundesweiten Abgleich zu ermöglichen.