Arbeitgeber

Es wurde von Seiten des TIM ein Entwurf einer Konzeption zur Automatischen Kennzeichenerfassung mit der Bitte um eine datenschutzrechtliche Stellungnahme zugeleitet. Noch bevor diese Stellungnahme erfolgte, lag zwischenzeitlich die Information vom TIM vor, dass vom Pilotprojekt Abstand genommen wird und die Ergebnisse der bundesweiten Arbeitsgruppe zur rechtlichen Bewertung entsprechend zugrunde gelegt werden sollen.

Dass Kameras zur Automatischen Kennzeichenerfassung in Thüringen im Einsatz gewesen sein sollen, habe ich aus Pressemeldungen erfahren. Dies war mir Anlass, den Sachverhalt umfassend zu kontrollieren. Es wurde festgestellt, dass im Rahmen der Installation der technischen Ausrüstung kurzzeitig unzulässigerweise außer der Polizei auch Kfz-Kennzeichen anderer öffentlicher Verkehrsteilnehmer auf einem Server gespeichert waren. Dass für das Testverfahren gemäß § 34 keine Freigabe vorlag, habe ich beanstandet. Es wurde die Forderung erhoben, die unzulässig gespeicherten Kfz-Kennzeichen öffentlicher Verkehrsteilnehmer unwiederbringlich zu löschen, was durch ein physisches Löschen des Datenbestandes vollzogen wurde.

Der Vorgang konnte im Berichtszeitraum noch nicht abgeschlossen werden.

Einhaltung der Prüffristenverordnung

Die am 28. April 2000 in Kraft getretene Thüringer Verordnung über Prüffristen bei vollzugspolizeilicher Datenspeicherung schreibt detailliert vor, nach welchen Fristen regelmäßig zu überprüfen ist, ob eine weitere Speicherung von Polizeidaten erforderlich ist. Seitens des wurde hierzu eine Kontrolle in einer PD durchgeführt, die sich auch darauf erstreckte, wie bei der Aussonderung der zugrunde liegenden Aktenbestände verfahren wird. Das Verfahren gestaltet sich so, dass vom Landeskriminalamt monatlich Prüflisten übersandt werden, anhand deren eine Überprüfung durchgeführt wird, ob entweder eine Verlängerung der Aufbewahrungsfristen erfolgt oder aber die Akten zu löschen sind. Bei Durchsicht der Vorgänge, die am Tag der Datenschutzkontrolle zur Überprüfung anstanden, stellte sich heraus, dass in einem Fall nach einer Dienstanweisung aus dem Jahr 1992 verfahren wurde, obwohl nach der Frist der vorzugehen gewesen wäre. Seitens der PD wurde dann im weiteren Verfahren die zutreffende Prüffrist zugrunde gelegt. Bei der stichprobenhaften Kontrolle der Kriminalakten in der Registratur war in einem Fall festzustellen, dass der Abschluss des Verfahrens aus der Akte nicht zu entnehmen ist, sodass eine weitere Speicherung nicht mehr angezeigt war. Die PD hat meine Feststellung zum Anlass genommen, diese Kriminalakte zu löschen. Die Archivanbietungspflichten werden beachtet. Als nicht datenschutzgerecht stellte sich das Verfahren der Vernichtung von Akten dar. Die PD hatte mit einer Privatfirma einen Vertrag zur Aktenentsorgung abgeschlossen. Die Leistungsbedingungen des Vertrags enthielten keine detaillierten Regelungen zur Auftragsdatenverarbeitung, wie dies nach § 8 Abs. 2 erforderlich ist. Die datenschutzrechtlichen Defizite des Vertrages wurden als so schwer wiegend angesehen, dass eine Beanstandung nach § 39 Abs. 1 ausgesprochen wurde und die Empfehlung gegeben wurde, den gesamten Vertrag im Hinblick auf die aufgezeigten datenschutzrechtlichen Mängel zu überarbeiten. Die PD wollte zunächst an dem Vertrag festhalten, hat aber nach einer erneuten Intervention des mitgeteilt, dass bis zu einem zu erarbeitenden Mustervertrag das Schriftgut geschreddert wird und größere Aktenbestände zugangssicher auf dem Gelände der PD in verschlossenen Räumlichkeiten verwahrt würden. Das TIM nahm einen Hinweis des zum Anlass, das Verfahren auch in den anderen PDs zu überprüfen und hat zwischenzeitlich einen Mustervertrag vorgelegt, an dessen Ausarbeitung der beteiligt war. Der kritisierte Vertrag in der kontrollierten PD ist zwischenzeitlich in datenschutzgerechter Weise ergänzt worden. Da in der Praxis beim Abschluss von Verträgen nach § 8 immer wieder Mängel festgestellt werden, soll das in der Anlage 23 beigefügte Muster einer Vereinbarung zur Auftragsdatenverarbeitung als Orientierung dazu dienen, welche wesentlichen datenschutzrelevanten Vereinbarungen Gegenstand dieser Verträge zu sein haben.

Noch während dieses Verfahrens setzte das TIM eine Richtlinie zum Umgang mit dienstlichem Schriftgut sowie zur Akten- und Schriftgutaussonderung in den Behörden, Einrichtungen und Dienststellen der Thüringer Polizei in Kraft, die zum Teil in datenschutzgerechter Weise den Umgang mit auszusonderndem Schriftgut regelte. Da die Richtlinie zur Sensibilität der Daten bei der Vernichtung von Polizeidaten den Vorgaben zum Datenschutz und der Datensicherheit nicht Rechnung trug, wurde auch sie gemäß § 39 Abs. 1 beanstandet. So war nicht eindeutig sichergestellt, dass ausgesondertes Schriftgut möglicherweise auch von unberechtigten Dritten zur Kenntnis genommen werden konnte und bei Aufträgen zur Übernahme und Vernichtung ausgesonderten Schriftguts nicht die

5. Tätigkeitsbericht des 2002/2003 strikte Einhaltung der Regelungen von § 8 vorgegeben.

Meine Vorschläge zur Änderung der Richtlinie wurden zwischenzeitlich vom TIM umgesetzt, sodass die Beanstandung als ausgeräumt angesehen werden kann.

Unzulässige Anfrage beim Arbeitgeber durch die Polizei

Eine Petentin hatte sich an mich gewandt, weil ein von ihr verfasster Leserbrief mit kritischen Äußerungen zur Darstellung der Polizei in der Presse dazu führte, dass vom Leiter der PD Kontakt zu ihrem Dienstvorgesetzten aufgenommen wurde. Sie bat um Prüfung, woher der PD Leiter die persönlichen Daten erhalten hat bzw. welche Datenermittlungen in diesem Zusammenhang angestellt worden sind.

Nach mehrmaligem Anmahnen teilte der PD Leiter in seiner Stellungnahme mit, dass der Hinweis auf die Dienststelle der Petentin sich aus der e-mail ergeben habe, die einem Leserbrief der Petentin zugrunde lag. Zwischenzeitlich nahm ich auch Kontakt mit dem TIM auf, um den vorliegenden Sachverhalt zu klären.

Gegenüber der PD habe ich infolge eine Beanstandung gemäß § 39 ausgesprochen, da es sich bei der Kontaktaufnahme zum Arbeitgeber der Petentin bezüglich des Inhalts eines privaten Leserbriefes an die Presse um eine unzulässige Datenverarbeitung gehandelt hat.

Zunächst wurde von Seiten der PD ein Verstoß gegen datenschutzrechtliche Bestimmungen nicht anerkannt. Das TIM legte dar, dass die Rechtsauffassung geteilt wird und der Vorfall mit dem PD Leiter auch in datenschutzrechtlicher Hinsicht ausgewertet wird. Auch der betreffende PD Leiter brachte schließlich sein Bedauern über den Vorfall zum Ausdruck, verbunden mit dem Hinweis, dass eine Wiederholung auszuschließen ist.

8. Verfassungsschutz

Sicherheitsüberprüfungsgesetz

Nachdem ich in den vorangegangenen Tätigkeitsberichten darauf verwiesen hatte, dass für die Durchführung von Sicherheitsüberprüfungen in Thüringen eine gesetzliche Grundlage zu schaffen ist, wurde in diesem Berichtszeitraum das Thüringer Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen und zur Änderung verfassungsschutzrechtlicher Bestimmungen vom 17. März 2003 (GVBl. S. 185 ff) beschlossen.