Akteneinsicht und Aktenauskunft

Mit der Senatsverwaltung für Inneres und dem Polizeipräsidenten in Berlin konnte eine grundsätzliche Übereinstimmung dahingehend erzielt werden, dass der Betroffene, der einen Antrag auf Auskunft über die zu seiner Person gespeicherten Daten gestellt hat (§ 50 Abs. 1 ASOG), in die Lage versetzt werden muß, die ihm erteilte Auskunft nachzuvollziehen.

Voraussetzung dafür ist jedoch, dass dem Antragsteller Art und Umfang der Datenspeicherung sowie Anlaß und Umstände der Datenerhebung mitgeteilt werden. Diese Kriterien gelten unabhängig davon, ob über den Betroffenen nur einige wenige oder aber eine Fülle von personenbezogenen Daten zu einer Vielzahl von unterschiedlichen Sachkomplexen gespeichert sind.

Das in § 50 ASOG geregelte Auskunfts- und Akteneinsichtsrecht des Betroffenen ist Bestandteil des Grundrechtes auf informationelle Selbstbestimmung. Danach hat der Betroffene einen grundsätzlichen Anspruch darauf zu wissen, wer was wann und bei welcher Gelegenheit über ihn weiß. Das bedeutet, dass ihm alle gespeicherten Daten mitzuteilen sind, die sich auf seine Person beziehen. Der Anspruch erstreckt sich dabei grundsätzlich auch auf Daten und Informationen Dritter (z.B. anderer Personen = Anzeigende, Zeugen, Hinweisgeber), wenn diese mit den Daten des Betroffenen verbunden sind. So können z. B. auch die Aussagen von Zeugen vom Auskunftsanspruch berührt werden, wenn sich diese gegenüber der Polizei zu einem Sachverhalt geäußert haben, der auch den Auskunftsbegehrenden betrifft. Es handelt sich dann um Angaben mit doppeltem Personenbezug. Beide Beteiligte ­ der Zeuge und der Auskunftsbegehrende ­ sind Betroffene i.S.v. § 4 Abs. 1 Satz 1 BlnDSG. Die Auskunft kann nur verweigert werden, wenn für einen der Beteiligten ein Geheimhaltungsinteresse besteht, das gegenüber dem Auskunftsanspruch des anderen überwiegt.

Das Aktenauskunfts- bzw. -einsichtsrecht in § 50 ASOG dient auch dem Zweck, polizeiliches Handeln im Zusammenhang mit der Verarbeitung von personenbezogenen Daten überprüfen zu können. Die in § 48 ASOG geregelten Berichtigungs-, Löschungs- bzw. Sperrungsansprüche können nur wirksam umgesetzt werden, wenn dem Auskunftsbegehrenden zuvor umfassend und für ihn nachvollziehbar Auskunft über die zu seiner Person gespeicherten Daten gewährt wird. Bei korrekter Rechtsanwendung hat dies zur Folge, dass im Rahmen der Auskunftserteilung gemäß § 50 Abs. 1 ASOG aus jeder vorhandenen Unterlage ein Extrakt zu fertigen ist, der den Auskunftsbegehrenden auch in die Lage versetzt, die über seine Person im einzelnen gespeicherten Daten auf ihre Richtigkeit hin zu überprüfen.

Häufig dürfte wegen des damit einhergehenden erheblichen Arbeitsaufwandes eine Akteneinsicht deutlich zweckmäßiger sein als eine Auskunft nach § 50 Abs. 6 ASOG.

Das vom Berliner Datenschutzbeauftragten reklamierte Recht auf Akteneinsicht gibt es gegenüber Ordnungsbehörden und der Polizei nicht.

Das allgemeine Datenschutzrecht enthält in § 16 Abs. 4 des Berliner Datenschutzgesetzes in der Tat einen Anspruch des Betroffenen auf Akteneinsicht. Der Gesetzgeber hat aber in § 51 ASOG den § 16 BlnDSG für unanwendbar bei der Erfüllung der Aufgaben nach dem ASOG erklärt. Der allgemeine datenschutzrechtliche Akteneinsichtsanspruch gilt also nicht gegenüber der Polizei. Statt dessen hat der Gesetzgeber in § 50 Abs. 1 ASOG einen Anspruch der betroffenen Person auf Auskunft über gespeicherte Daten geregelt. Das macht deutlich, dass er bewußt von dem allgemeinen Grundsatz der Akteneinsicht abweichen wollte. Dementsprechend gibt § 50 Abs. 6 ASOG der Polizei auch nur die Möglichkeit, statt einer Auskunft auch Akteneinsicht zu gewähren. Die Ausgestaltung des § 50 Abs. 6 ASOG als „Kann-Vorschrift" zeigt, dass damit gerade kein Akteneinsichtsrecht des Betroffenen geschaffen werden sollte. Ob die Behörde Auskunft erteilt oder Einsicht gewährt, liegt danach in deren Ermessen.

Die Beschränkung auf einen Auskunftsanspruch ist wegen der Besonderheiten insbesondere der polizeilichen Aufgabenerfüllung auch zwingend geboten. Der Inhalt von Kriminalakten ist anderer Natur als der Akteninhalt in Bereichen der allgemeinen Verwaltung. In fast jeder Kriminalakte sind Daten oder Informationen enthalten, auf deren Mitteilung der Betroffene keinen Anspruch hat. Dabei handelt es sich nicht nur um Daten über andere Personen, sondern auch um Informationen über polizeiliche Arbeitsabläufe und Ermittlungsmethoden oder andere behördliche Maßnahmen oder Vorgehensweisen. Gerade bei Kriminalakten besteht die Gefahr, dass sich ein Betroffener in Kenntnis solcher Informationen auf polizeiliche Maßnahmen einstellen und diese unterlaufen könnte. Andererseits verbietet es sich aus arbeitsökonomischen und auch aus kriminaltaktischen Gründen, Kriminalakten durch Umkopieren, Schwärzen oder das Einlegen von Leerblättern so „aufzubereiten", dass sie nur noch die zur Kenntnisnahme des Betroffenen bestimmten Informationen enthalten und zur Einsichtnahme geeignet sind. Auch dies könnte zu Rückschlüssen des Betroffenen mit der Folge der vorgenannten Gefahren führen.

Die Verkehrsverwaltung hat daraus die Konsequenzen gezogen und folgerichtig das Landeseinwohneramt gebeten, angesichts des erheblichen Verwaltungsaufwandes, der mit der Auskunftserteilung aus Führerscheinakten verbunden ist, zukünftig regelmäßig von der Möglichkeit der Akteneinsicht gemäß § 50 Abs. 6 ASOG Gebrauch zu machen.

Die Entscheidung der Verkehrsverwaltung, bei Auskunftsbegehren aus Führerscheinakten regelmäßig Akteneinsicht nach § 50 Abs. 6 ASOG zu gewähren, beruht auf der Tatsache, daß Führerscheinakten ­ anders als polizeiliche Ermittlungsakten ­ in der Regel weder Daten Dritter noch geheimhaltungsbedürftige Daten enthalten. Außerdem erreichen Führerscheinakten oftmals einen Umfang.

Wir haben der Polizei empfohlen, entsprechend zu verfahren.

Zumindest sollte ein zweistufiges Verfahren eingeführt werden.

In der ersten Stufe kann ­ in reduzierter Form ­ Auskunft über den Akteninhalt gewährt werden. In der zweiten Stufe sollte dem Betroffenen allerdings die Möglichkeit einer Akteneinsicht angeboten werden. Eine Beschränkung auf die Auskunftserteilung kommt nur in Betracht, wenn die Daten des Betroffenen mit Daten Dritter oder geheimhaltungsbedürftigen Daten derart verbunden sind, dass ihre Trennung auch durch Vervielfältigung und Unkenntlichmachung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. zweckmäßig erscheinen läßt. Dabei war der Verkehrsverwaltung bei ihrer Entscheidung bekannt, dass die Polizei die Einsicht in ihre Ermittlungsakten regelmäßig verweigert und statt dessen Auskünfte nach § 50 Abs. 1 ASOG erteilt.

Da die Gewährung von Akteneinsicht nach dem Wortlaut des § 50 Abs. 6 ASOG im Ermessen der jeweiligen Behörde steht, hält der Senat die unterschiedliche Handhabung für sachlich geboten und rechtmäßig.

Die Polizei hat den Vorschlag bisher lediglich insoweit aufgegriffen, als sie zukünftig in dem Auskunftsbescheid darauf hinweisen wird, dass bei Bedarf einzelne, dem Betroffenen unverständliche Angaben anhand der Kriminalakte erläutert werden können. Akteneinsicht wird nach wie vor grundsätzlich nicht gewährt.

Datenschutzrechtliche Kontrolle der polizeilichen Einsatzleitzentrale PELZ beim Polizeipräsidenten in Berlin

Im August 1995 wurde die neue polizeiliche Einsatzleitzentrale in Betrieb genommen. Eine erste Unterrichtung erreichte uns jedoch erst knapp zwei Wochen vor der Inbetriebnahme. Diese bestand in der Übersendung eines 31 Monate alten Pflichtenheftes und einer 20 Monate alten Softwarespezifikation, also veralteter Materialien. Eine Beratung bei der Gestaltung des Verfahrens war uns somit nicht mehr möglich.

Zweck der in § 24 Abs. 3 Satz 3 BlnDSG formulierten Forderung, den Berliner Datenschutzbeauftragten über die Einführung neuer Automationsvorhaben zu informieren, ist es, uns Gelegenheit zu geben, zu dem Verfahren Stellung zu nehmen, auf datenschutzrechtliche Defizite hinzuweisen und Empfehlungen zur datenschutzgerechten Gestaltung der Verfahren zu geben. Dies setzt jedoch voraus, dass wir rechtzeitig detailliert und mit revisionsfähigen Unterlagen unterrichtet werden. Die verspätete Unterrichtung erstaunt um so mehr, als wir bei der Durchführung des letztlich gescheiterten Vorgängerprojektes ELSY (Einsatzleitsystem) intensiv eingeschaltet waren.

Da also anders Fragen des technischen Datenschutzes nicht mehr in das Projekt eingebracht werden konnten, wurde das Verfahren einer technisch-organisatorischen Kontrolle unterzogen.

Das informationstechnische Gerüst des PELZ-Verfahrens bilden drei miteinander vernetzte UNIX-Rechner. Die beim Betrieb dieser Systeme festgestellten technischen und organisatorischen Mängel betreffen ausschließlich Standardfragestellungen der ordnungsgemäßen Datenverarbeitung und der informationstechnischen Sicherheit, auf die bei rechtzeitiger Unterrichtung hingewiesen worden wäre.

Als besonders problematisch stellte sich der Einsatz der Fernwartung heraus. Über eine ISDN-Schnittstelle am sog. Test- und Schulungsrechner, der auch als Ausweichrechner für die beiden Echtsysteme fungiert, erfolgt die Fernwartung durch eine externe Firma. Der Aufbau der Verbindung kann zwar nur von der Polizei veranlaßt werden, denn die Telekommunikationsanlage ist so konfiguriert, daß ausschließlich eine Verbindung zur externen Firma, nicht aber zu anderen Stellen aufgebaut werden kann. Dies entspricht den technisch-organisatorischen Anforderungen.

Die Aktivitäten der Fremdfirma während der Fernwartung wurden jedoch in keiner Weise kontrolliert, obwohl sie ausschließlich und uneingeschränkt mit den allumfassenden ZuBericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats griffsrechten des Systemverwalters durchgeführt wurden. Die Fremdfirma konnte daher beliebig Anwender- und Systemdateien lesen, kopieren und verändern, ohne dass diese sicherheitsrelevanten Vorgänge kontrolliert wurden. Die Übermittlung personenbezogener Daten hätte auf diese Weise nicht erkannt und daher auch nicht verhindert werden können.

Alle Systemverwalter ­ sowohl die für das Betriebssystem als auch die für die Datenbank ­ sowie weitere Mitarbeiter arbeiteten gemeinsam unter einer Kennung und verfügten damit über das gleiche Paßwort. Eine individuelle Einräumung von Benutzer- und Administratorrechten konnte somit nicht erfolgen.

Ebensowenig konnte das System die Aktivitäten der Benutzer und Systemverwalter individuell zuordnen und protokollieren.

Es war auch nicht eindeutig bekannt, wie viele Mitarbeiter über die Paßwörter für die System- oder Datenbank-Administration verfügten. Regelungen zur Herausgabe und Neuvergabe der Administratoren-Paßwörter konnten ebensowenig vorgelegt werden wie eine Dokumentation über Herausgabe und Neuvergabe von Paßwörtern. Es bestand damit keine Übersicht über die vergebenen Administratorrechte.

Es gab viele Benutzerkennungen von Mitarbeitern von Fremdfirmen, die berechtigt waren, auf der BetriebssystemEbene zu arbeiten. Diese konnten also Betriebssystemkommandos absetzen und Shell-Programme entwickeln, obwohl ihre Zugriffsberechtigungen inzwischen unnötig oder zumindest fragwürdig waren. Es existierten Benutzerkennungen von Mitarbeitern des Polizeidienstes, die entweder aus dem Dienst ausgeschieden oder versetzt worden waren.

Diese zum Teil gravierenden Mängel wurden beanstandet, in der Stellungnahme wurde mitgeteilt, dass sie unseren Empfehlungen entsprechend unverzüglich beseitigt wurden. Auf eine Fernwartung soll nunmehr vollkommen verzichtet werden.

Strafverfolgung in der Informationsgesellschaft

Die Entwicklung moderner Informations- und Telekommunikationstechniken führt dazu, dass das Kommunikationsverhalten der Bürger in bisher nicht für möglich gehaltenem Ausmaß registriert wird. Die Nutzung der neuen Medien hinterläßt zahllose personenbezogene Datenspuren. Nicht nur Daten über den Inhalt und Umfang der Kommunikation sind auswertbar vorhanden, sondern auch Bewegungsprofile aufgrund von Aktiv-Meldungen von Mobiltelefonen können erstellt werden. Die Telekommunikationsnetze verändern dadurch ihre Struktur und Funktion: sie können von Kommunikationsnetzen der Bürger zu Überwachungsnetzen der Sicherheitsbehörden werden. Eine ähnliche Entwicklung droht im Bereich der Nutzung von Telediensten.

In einer Entschließung hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder festgestellt, dass die herkömmlichen, weitreichenden Eingriffsbefugnisse der Strafverfolgungsbehörden unter wesentlich veränderten Bedingungen nicht einfach auf die neuen Formen der Individual- und Massenkommunikation übertragen werden können. Die zum Schutz der Persönlichkeitsrechte des Einzelnen gezogenen Grenzen müssen auch unter den geänderten Bedingungen der modernen Informationstechnologie gewährleistet werden.