Gericht

Auskunft über geringfügige Strafen, die nicht in ein Führungszeugnis für Private aufgenommen werden, wenn es sich um Straftaten handelte, die bei der Ausübung eines Gewerbes begangen wurden und das Führungszeugnis für die behördliche Entscheidung über eine Gewerbeerlaubnis dienen soll. Diese Führungszeugnisse für Behörden werden zwar von den Betroffenen beantragt, aber nicht ihnen, sondern nur der Behörde übersandt. Dies führt nicht selten zu der ­ unzutreffenden ­ Vermutung, das Führungszeugnis habe irgendeinen „geheimen" Inhalt, den sie nicht erfahren könnten. Vielmehr haben die Betroffenen verschiedene Möglichkeiten, auch den Inhalt behördlicher Führungszeugnisse zu erfahren. Zum einen können sie das Führungszeugnis bei der Behörde einsehen, an die es adressiert wird. Wenn sie es einsehen wollen, bevor es an die Behörde gesandt wird, können sie verlangen, dass es zunächst an ein von ihnen benanntes Amtsgericht geschickt wird, wo sie Einblick nehmen und entscheiden können, ob es an die Behörde weitergeleitet wird.

Hier wird deutlich, dass die Beantragung eines Führungszeugnisses eine vielschichtige, recht sensible Angelegenheit sein kann und daher zunächst einmal ­ als Vorstufe zur eigentlichen Antragstellung ­ entsprechende Erläuterungen der Gemeinde bereitzustellen sind, um die Bürgerinnen und Bürger zu „informierten Antragstellern" zu machen.

Die auf diese Art und Weise „Vorinformierten" müssen dann in die Lage versetzt werden, einen korrekten Antrag zu stellen. Dazu müssen sie wissen, welche Daten sie per elektronischer Post preiszugeben haben. Ihnen muss deutlich gemacht werden, dass theoretisch für jeden anderen Besitzer eines Internet-Anschlusses die Möglichkeit besteht, die eingegebenen Daten zu lesen, sofern die übertragenen Daten nicht verschlüsselt werden.

Bei entsprechender Hinweisgestaltung bestehen nach Auffassung des LfD insoweit keine datenschutzrechtlichen Bedenken gegen die Beantragung eines Führungszeugnisses per elektronischer Post im Internet, denn die Antragsteller nehmen hier selbstbestimmt die Risiken hinsichtlich der Datensicherheit in Kauf. Auch im Bereich der Datenkontrolle und Gebührenkontrolle könnten aufgrund der vorstehenden Erwägungen z. B. erforderliche Datenabgleiche zwischen den Beteiligten im Rahmen des § 5 Abs. 1 LDSG per E-Mail im Internet vorgenommen werden.

Nicht zur Disposition der Beteiligten steht allerdings die Identitätskontrolle. Der Antragsteller hat gemäß der Regelung in § 30 Abs. 2 Satz 2 BZRG seine Identität nachzuweisen. Sinn und Zweck dieser Vorschrift ist es auszuschließen, dass unter falschem Namen Anträge gestellt werden. Diesem Erfordernis kann gegenwärtig aus der Sicht des LfD nur dadurch Rechnung getragen werden, dass der Antragsteller seine Identität durch Vorlage seines Passes oder Personalausweises nachweist.

An der Rechtslage könnte sich erst dann etwas ändern, wenn in den einschlägigen Bestimmungen die elektronische Signatur eingeführt wird.

Zuständigkeit bei der Beantragung eines Führungszeugnisses

Die an den LfD herangetragene Frage, ob Bedenken bestehen, Bundeszentralregister-Anträge für Personen aufzunehmen, die nicht im Zuständigkeitsbereich der aufnehmenden Behörde gemeldet sind, hat er wie folgt beantwortet:

Aus datenschutzrechtlicher Sicht bestehen keine Bedenken, es jenen Ämtern, die im Online-Verfahren auf Melderegisterdaten zugreifen können, zu ermöglichen, die Informationen, die sie derzeit aufgrund melderechtlicher Übermittlungsbestimmungen bereits aus EWOIS abrufen können, automatisiert in die Anfrage zum Bundeszentralregister zu übernehmen.

So besteht das „Produkt Führungszeugnis" aus den beim Bundeszentralregister zur Person des Antragstellers (bezogen auf die jeweils beantragte Ausprägung des Führungszeugnisses) gespeicherten Daten, und zwar unabhängig davon, über welches Meldeamt des Landes die Beantragung erfolgt. Hinzu kommt, dass es aus dem Blickwinkel des Datenschutzes ­ beispielsweise bei kleinräumig gegliederten Verbandsgemeinden ­ für die Betroffenen durchaus ein Anliegen sein kann, das Führungszeugnis gerade nicht im sozialen Umfeld des Wohnorts zu beantragen.

In diesem Zusammenhang ist insbesondere von Bedeutung, dass die antragstellende Person gemäß der Regelung in § 30 Abs. 2 Satz 2 BZRG ihre Identität nachzuweisen hat (vgl. hierzu auch Tz. 4.8). Sinn und Zweck dieser Vorschrift ist es auszuschließen, dass unter falschem Namen Anträge gestellt werden. Diesem Erfordernis wird dadurch Rechnung getragen, dass der Antragsteller seine Identität durch Vorlage seines Passes oder Personalausweises nachweist.

4.10 Örtliche Feststellungen bei der automatisierten Übermittlung von Meldedaten

Es ist im Grunde genommen nichts dagegen einzuwenden, wenn die Verwaltungen immer mehr dazu übergehen, sachbearbeitenden Personen den Online-Zugriff auf Meldedaten einzuräumen, vorausgesetzt, die gesetzlichen Bestimmungen über die automatisierte Datenübermittlung, insbesondere die Erforderlichkeit und Angemessenheit im Rahmen des § 7 LDSG, werden beachtet.

Örtliche Feststellungen haben allerdings ergeben, dass dies wohl nicht immer der Fall ist. So hat sich z. B. bei einer großen Gebietskörperschaft herausgestellt, dass dort die automatisierte Übermittlung von Meldedaten an andere Stellen außerhalb des Meldeamtes in einem außerordentlich weit gehenden Umfang ermöglicht wurde. Die Einrichtung solcher Verfahren steht gem. § 7 Abs. 1 LDSG unter dem Vorbehalt der Angemessenheit und Erforderlichkeit. Ein entscheidender Gesichtspunkt für die Prüfung der Angemessenheit ist die Zahl der zu erwartenden Abrufe. Es ist danach unverhältnismäßig, die mit der Einrichtung eines automatisierten Übermittlungsverfahrens einhergehenden Missbrauchsgefahren in Kauf zu nehmen, nur um einen gelegentlichen Abruf von Daten zu ermöglichen. In dem angesprochenen Fall hatte es die öffentliche Stelle über Jahre hinweg unterlassen, die gesetzlichen Vorgaben umzusetzen. Aus den vom DIZ zur Verfügung gestellten Statistiken über die Zugriffshäufigkeit auf die Einwohner-Datenbank wurden keine Folgerungen bzgl. der Angemessenheit i. S. von § 7 LDSG gezogen. So wurde aufgrund einer näheren Prüfung offenbar, dass von 344 Zugriffsberechtigungen rund 80 hätten aufgehoben werden müssen. Diesen Umgang mit personenbezogenen Daten hat der LfD als Verstoß gegen datenschutzrechtliche Vorschriften beanstandet.

5. Polizei

Örtliche Feststellungen bei Polizeidienststellen

Im Berichtszeitraum wurden bei 20 Polizeidienststellen örtliche Feststellungen getroffen. Außerdem wurden zahlreiche Beratungsbzw. Informationsgespräche bei der Projektgruppe des Innenministeriums zur Entwicklung des EDV-Systems „POLADIS-neu" und beim LKA geführt.

Beanstandungen wurden hierbei nicht ausgesprochen. Es bestand jedoch Anlass, zahlreiche Verbesserungsvorschläge aus datenschutzrechtlicher Sicht zu formulieren, wobei in allen Fällen ein Einvernehmen mit dem Innenministerium erreicht wurde.

Im Einzelnen sah der LfD bei folgenden Themen Handlungsbedarf:

­ Kriminalpolizeiliche Sammlungen über Straftaten mit nicht eindeutiger Beweislage waren in POLIS über längere Zeiträume gespeichert, obwohl kein MiStra-Rücklauf über den Ausgang des Strafverfahrens erfolgt war. Der LfD empfahl, in Zweifelsfällen zunächst eine Prüffrist von maximal zwei Jahren vorzusehen und vor einer Verlängerung ggf. Informationen über den Ausgang des Verfahrens einzuholen.

­ Bei einer Polizeibehörde eingesetzte PCs waren mit einer für alle Nutzer zugänglichen Kopierfunktion ausgestattet und verfügten zudem über ein offenes Diskettenlaufwerk. Dies ermöglicht ein unbemerktes Kopieren großer Datenmengen, was nach Auffassung des LfD insbesondere beim Umgang mit sensiblen Daten zu verhindern ist.

­ Wie in den Jahren zuvor wurden bei verschiedenen Dienststellen Dateien festgestellt, die beim LfD nicht angemeldet waren.

­ Bei einer Polizeibehörde war zwischen Behördenleitung und dem Personalrat noch keine Dienstvereinbarung mit Detailregelungen über die Nutzung des EDV-Systems für Personaldaten (PINS) getroffen worden.

­ Waren in den vergangenen Jahren die Einsichtnahmen in die Pass- und Personalausweis-Register mehrfach nicht dokumentiert worden, so wurde neuerdings auf einer Dienststelle eine Dokumentierungsform angetroffen, die der LfD für nicht erforderlich und damit nicht für zulässig hält: Von der Dienststelle war der Ausweis der überprüften Person einschließlich des Lichtbildes kopiert und in einem Ordner verwahrt worden.

­ Im Berichtszeitraum wurde bei einer Dienststelle festgestellt, dass bei POLIS-Abfragen, die für andere getätigt wurden, die erforderlichen Zusatzprotokollierungen in weitem Umfang nicht durchgeführt wurden. Hinzu kam noch, dass zumindest in Einzelfällen der Systemnutzer den Raum bzw. sogar die Dienststelle verlassen hatte, ohne sich im System abzumelden. Hierdurch war es anderen Bediensteten möglich, Abfragen durchzuführen, ohne dass diese protokolliert wurden.

­ Zahlreiche Patientenunterlagen, die in Arztpraxen sichergestellt worden waren, wurden bei einer Polizeidienststelle in einem Raum verwahrt, bei dem die Sicherheitsvorkehrungen gegen unbefugtes Eindringen nach Ansicht des LfD verstärkt werden müssten.

­ In dem Bereich einer Polizeibehörde wurde festgestellt, dass keine Regelung für den Zugang zu den Serverräumen und dem Knotenrechner des LDKN bestand. Dadurch war die Gefahr erhöht, dass sich Unbefugte Zugang zu diesen Räumen hätten verschaffen können.

­ Die Erforderlichkeit der im polizeilichen Informationssystem vergebenen personengebundenen Hinweise „fremdenfeindlich", „Prostitution", „Sebsttötungsgefahr", „geisteskrank" und „Ansteckungsgefahr" hat der LfD anlässlich einer örtlichen Feststellung bei einer Behörde überprüft. Es hat sich gezeigt, dass allgemein restriktiv bei der Anwendung vorgegangen wurde und lediglich einer der Hinweise nicht zulässig war und somit gelöscht werden musste.

POLADIS-neu

Nach einer mehrjährigen Entwicklungszeit wurde im Jahr 2001 bei der rheinland-pfälzischen Polizei das EDV-System POLADISneu eingeführt. In zeitlichem Zusammenhang damit wurden alle Arbeitsplätze bei der Polizei mit vernetzten PCs ausgestattet.

Bei POLADIS-neu handelt es sich um ein umfassendes Vorgangsbearbeitungssystem, das auch eine elektronische Vorgangsübermittlung zwischen allen Dienststellen des Landes ermöglicht und innerhalb einer Dienststelle den Zugriff auf grundsätzlich alle Daten von jedem Arbeitsplatz aus ermöglicht. Außerdem wird über eine Schnittstelle eine Verbindung zu dem in der Entstehungsphase befindlichen bundesweiten polizeilichen Informationssystem INPOL-neu hergestellt. Zugriffsberechtigungen auf den Datenbestand in POLADIS-neu erfolgen durch Zuweisung von vorher festgelegten Nutzerrollen. Von besonderer Bedeutung bei POLADIS-neu ist die Vermeidung der mehrfachen Erfassung derselben Daten; das bedeutet, dass einmal erfasste Daten zu verschiedenen Zwecken sowohl innerhalb des Systems als auch für Speicherungen in den Verbunddateien beim BKA genutzt werden können.

Die Entwicklung von PPLADIS-neu wurde durch den LfD von Anfang an begleitet. Dabei wurden zunächst im technischen Bereich zahlreiche Hinweise zu den datenschutzrechtlichen Anforderungen gegeben.

­ Zur Löschung der „Vorgangsdaten":

Die Vorgangsdaten umfassen sämtliche zur Sachbearbeitung im Rahmen von POLADIS-neu erfassten Informationen unter Einschluss von Vernehmungsniederschriften. Diese sollen grundsätzlich so lange im automatisierten Verfahren gespeichert werden, wie es zur Sachbearbeitung erforderlich ist; bei Abschluss der Sachbearbeitung wird eine weitere Frist eingegeben, die sich an so genannten „Regelfristen" orientiert. Anschließend sollen die Daten auf einen Kerndatenbestand reduziert werden, für den weitere Fristen gelten. Die Regelfristen für die Aufbewahrung der Vorgangsdaten waren aus Sicht des LfD zum Teil unangemessen lang bemessen. Es ist nicht plausibel, wieso, wie beabsichtigt, z. B. der Verdacht eines Ladendiebstahls grundsätzlich fünf Jahre lang mit allen Unterlagen im System gespeichert sein muss.

Nach Gesprächen mit dem Ministerium des Innern und für Sport wurden die Regelfristen im Wesentlichen im Sinne der Anregungen des LfD geändert.

Aus datenschutzrechtlicher Sicht ist weiterhin zu bemängeln, dass derzeit der Ausgang des Verfahrens keine Rolle bei der automatischen Setzung von Regelfristen spielen soll. Verfahren, bei denen kein Täter ermittelt wurde, werden in gleicher Weise behandelt wie Verfahren, bei denen ein Täter feststeht und verurteilt wurde. Diese Kriterien müssten jedoch für eine sachangemessene Bewertung und Festlegung von Fristen der Vorgangsdaten maßgeblich sein. Zwar kann und soll die Löschungsfrist für die Vorgangsdaten individuell bestimmt werden; nur für den Fall, dass keine individuelle Bestimmung erfolgt, sollen die Regelfristen greifen. Angesichts des Verfahrens aber, wonach die Regelfristen dem Sachbearbeiter bei Abschluss der Bearbeitung automatisiert vorgeschlagen werden und wonach ein Abweichen von den Regelfristen in jedem Fall individuell zu begründen ist, steht aus Sicht des LfD zu erwarten, dass die automatisiert vorgegebenen Fristen regelmäßig (oder zumindest sehr häufig) Verwendung finden und nur in Ausnahmefällen davon abgewichen werden wird.

Die Anregung des LfD, eine Regelung im System vorzusehen, wonach die Klärung eines Falles zwingend zu erfassen und daraufhin eine im Einzelfall gesondert festzulegende Löschungsfrist einzutragen ist, konnte bisher aus technischen Gründen nicht umgesetzt werden.

­ Zur Aufbewahrungsdauer der „Kerndaten":

Der Umfang der nach Löschung der „Vorgangsdaten" verbleibenden „Kerndaten" ist so groß, dass diese Daten aus datenschutzrechtlicher Sicht sensible personenbezogene Informationen enthalten. Andererseits sind die Informationen aber auch so reduziert, dass allein dadurch für betroffene Personen ein erheblicher Belastungseffekt entstehen kann. Hinzu kommt, dass sie mit Hilfe einer Suchfunktion uneingeschränkt auswertbar sind.

Angesichts der Zugriffsmöglichkeiten auf die Kerndaten und ihrer Auswertbarkeit werden diese auch für die Ermittlungstätigkeit eine Rolle spielen. Dieser Umstand hat nach Auffassung des LfD wiederum Auswirkungen auf die zulässige Dauer der Speicherungen. So äußerte er erhebliche Bedenken gegen eine Speicherfrist von pauschal zehn Jahren für die Kerndaten, wobei die Frist erst mit der Löschung der Vorgangsdaten beginnen würde.

Das Innenministerium hat daraufhin deliktsbezogen differenzierte Speicherfristen festgelegt, die zwischen drei Monaten und ­ in einer geringen Zahl der Fälle ­ zehn Jahren betragen.

­ Zur Zugriffsmöglichkeit auf „Belegdaten":

Im Rahmen von POLADIS-neu beabsichtigt das Innenministerium ergänzend, dass sog. Belegdaten von jedem PC der Polizei, also auch außerhalb des Exekutivbereichs, abfragbar sein sollen. Bei diesen Daten handelt es sich um Informationen, die zum Auffinden von Vorgängen bzw. zum Erkennen der sachbearbeitenden Stelle dienen sollen. Belegdaten enthalten zwar keine personenbezogenen Daten, jedoch ist es mit ihrer Kenntnis möglich, bei entsprechendem Teilwissen wie z. B. Delikt, Tatzeit, Tatort die Zuordnung von Straftaten zu Personen vornehmen zu können.

Gegen die ursprünglich vorgesehene umfassende Datenfreigabe hatte der LfD Bedenken und regte deshalb eine Begrenzung des Nutzerkreises im Rahmen des Erforderlichen an. Daraufhin schränkte das Ministerium durch eine entsprechende Änderung der Errichtungsanordnung den Nutzerkreis auf die Stellen ein, die bei der Polizei mit der regelmäßigen Suche nach Vorgängen beauftragt sind. Es ist jedoch zurzeit nicht möglich, durch technische Regelungen den Zugriff auf den Belegdatenbestand durch nicht berechtigte Polizeibedienstete zu verhindern. Der LfD hält diese Situation aus datenschutzrechtlicher Sicht noch nicht für zufrieden stellend.