Finanzamt

9.5 Discomeile

Razzia der Polizei Bremen in der Diskothek Stubu

In der Nacht vom 27. zum 28. August 2006 hat die Polizei Bremen in einer groß angelegten Razzia das Tanzlokal Stubu und angrenzende Räume durchsucht. Von den dabei angetroffenen 1.500 Besuchern wurden die Personalien festgestellt, es erfolgte eine Abfrage im Fahndungsbestand der Polizei und verschiedentlich eine körperliche Durchsuchung. Hierfür wurden die Besucher in Gruppen nach und nach abgeführt und in Räumlichkeiten u. a. des Finanzamtes Bremen-West gebracht. Hier hatte die Polizei Bremen insgesamt 40 Arbeitsplätze auf drei Etagen eingerichtet.

Die verwendeten Räume betrafen drei Sachgebiete des Finanzamtes, u. a. den Kassenbereich und die Veranlagung.

Nach § 7 Abs. 4 Bremisches Datenschutzgesetz haben öffentliche Stellen, die personenbezogene Daten verarbeiten, technische und organisatorische Maßnahmen zu treffen, um deren Schutz zu gewährleisten. Der Schutzumfang richtet sich u. a. nach dem Umfang und der Sensibilität der verarbeiteten personenbezogenen Daten. Im Finanzamt werden in großem Umfang besonders sensible personenbezogene Daten verarbeitet, die dem Steuergeheimnis (§ 30 Abgabenordnung) unterliegen. Schutzziel der technisch-organisatorischen Maßnahmen ist u. a., Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zutrittskontrolle), zu verhindern, dass eine Nutzung durch Unbefugte erfolgt (Zugangskontrolle) sowie zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).

Es ist bedenklich, wenn eine Vielzahl von Polizeibeamten und Diskothekenbesucher sich über einen mehrstündigen Zeitraum in den Räumen des Finanzamtes aufgehalten haben, in denen sich Steuerunterlagen befinden. Die Anwesenheit einer Vielzahl finanzamtsexterner Personen in den Räumen des Finanzamtes erhöht das Risiko einer unbefugten Kenntnisnahme oder des Verlustes von Steuerdaten beträchtlich.

Vor diesem Hintergrund wäre es erforderlich gewesen, ergänzende Sicherheitsmaßnahmen zu treffen, um dieser Risikoerhöhung entgegenzuwirken und das im Datenschutzkonzept niedergelegte Sicherheitsniveau aufrecht zu halten, etwa durch Anwesenheit von Finanzamtsmitarbeitern, das vorherige Verbringen aller Akten mit personenbezogenen Angaben in verschlossene Schränke sowie ein Ausweichen der Polizei in Räume, z. B. Besprechungsräume, in denen keine personenbezogenen Daten gelagert werden.

Ich habe mich daher zum einen an die Polizei Bremen gewandt, um festzustellen, welche Daten erhoben und wie diese weiterverarbeitet worden sind und zum anderen an das betroffene Finanzamt, um zu klären, zu welchem Zeitpunkt und in welchem Umfang das Finanzamt im Vorfeld von der Polizei Bremen bzw. dem Senator für Finanzen über die Inanspruchnahme der Räumlichkeiten informiert worden ist, und welche Maßnahmen daraufhin veranlasst worden sind, um einen angemessenen Schutz personenbezogener Daten, insbesondere von Daten, die dem Steuergeheimnis unterliegen, sicherzustellen.

Meine Anfrage ist vom Finanzamt Anfang Oktober 2006 an den Senator für Finanzen weitergeleitet worden. Eine Antwort steht derzeit noch aus. Bei der Polizei Bremen konnte ich feststellen, dass keine eigenständige Datei errichtet wurde und die Daten nur in geringem Umfang, soweit ein Tatverdacht bestand, zur Anfertigung von Anzeigen und Speicherungen im polizeilichen Informationssystem geführt haben.

Zuverlässigkeitsüberprüfungen von Türstehern von gastgewerblichen Diskotheken

Die Ankündigung des Senators für Inneres und Sport Ende Januar 2006, zur Befriedung der Discomeile hätten sich Türsteher einer Zuverlässigkeitsüberprüfung wie im privaten Sicherheitsgewerbe zu unterwerfen, habe ich zum Anlass genommen, mich bei der Polizei Bremen über das geplante Vorgehen zu erkundigen.

Anfang Februar 2006 wurde mir mitgeteilt, zur Beschleunigung und Vereinfachung der Zuverlässigkeitsüberprüfung sei geplant, die Türsteher um eine schriftliche Einverständniserklärung zur Weitergabe ihrer bei der Polizei Bremen gespeicherten Daten an die jeweiligen Diskothekenbetreiber zu bitten. Es erfolge zunächst eine Einzelfallprüfung durch die Polizei, aus der sich eine Gesamtprognose mangelnder Zuverlässigkeit ergeben könne. Diese Gesamtprognose sollte dem Diskothekenbetreiber mitgeteilt werden. Zugleich wurde der Entwurf des hierfür vorgesehenen Formulars übermittelt.

Ich hatte datenschutzrechtliche Bedenken sowohl gegen die inhaltliche Ausgestaltung des Formulars als auch die Vorgehensweise, und habe diese der Polizei Bremen umgehend mitgeteilt.

Ich wies auf die bestehenden Möglichkeiten einer Zuverlässigkeitsüberprüfung nach der Gewerbeordnung in Verbindung mit der Bewachungsverordnung sowie nach dem Gaststättenrecht hin, für die das Stadtamt Bremen zuständig sei. Da insoweit eine Rechtsgrundlage besteht, bedarf es keiner Einwilligung der Betroffenen. Für ein zusätzliches Zuverlässigkeitsüberprüfungsverfahren der Polizei Bremen sei neben diesen vorhandenen Möglichkeiten kein Raum. Wie bereits beim Akkreditierungsverfahren zur Fußball-WM 2006 ausgeführt, stehe ich Zuverlässigkeitsüberprüfungen auf Einwilligungsbasis generell ablehnend gegenüber. In aller Regel fehlt es an einer wirksamen Einwilligungserklärung, da die Betroffenen, so auch hier, ihr Einverständnis im Rahmen ihres Beschäftigungsverhältnisses faktisch nicht freiwillig abgeben. Zudem war nach dem mir vorliegenden Formular auch ein informiertes Einverständnis nicht möglich, da der Umfang der Datenverarbeitung, insbesondere welche Daten verarbeitet werden und unter welchen Umständen es zu einer negativen Gesamtprognose kommt, nicht im Ansatz erläutert wurde. Problematisch war zudem aus Rechtsschutzgründen die Weitergabe der Prognose an den Diskothekenbetreiber, ohne den Betroffenen vorab die Möglichkeit zu geben, unrichtige Angaben berichtigen, sperren oder löschen zu lassen.

Die Polizei Bremen nahm dann Abstand von der vorgesehenen Einverständniserklärung. Tätig wurde das Stadtamt Bremen, das nach Gaststättenrecht eine fehlende Zuverlässigkeit der in den Diskotheken Beschäftigten, vor allem der Türsteher, überprüfte. Im Rahmen dieser Überprüfung wirkte die Polizei Bremen durch Übermittlung von Angaben aus dem polizeilichen Informationssystem mit. Die Überprüfung führte in einer Reihe von Fällen zur Annahme der Unzuverlässigkeit der Beschäftigten. Das Stadtamt Bremen forderte von dem Betreiber der Diskothek deren Entlassung und begründete später auch einen beabsichtigten Entzug der Gaststättenlizenz u. a. mit der Unzuverlässigkeit bestimmter Mitarbeiter.

Videoüberwachung der Discomeile

Im Anschluss an die Schießerei auf der so genannten Discomeile entnahm ich der Presse Überlegungen der Polizei Bremens und des Senats, die Discomeile mit Videokameras zu überwachen. Auf meine Anfrage bei der Polizei Bremen Anfang Februar 2006 wurde mir schließlich Ende Juli 2006 ein dreiseitiger Vermerk zu einer Ortsbesichtigung im Mai 2006 und das Richtpreisangebot eines Unternehmens mit der Bitte um Stellungnahme übersandt.

Anfang August 2006 habe ich zu den mir bekannten Unterlagen Stellung genommen. Mangels technischen Konzepts, insbesondere der Vernetzung der Komponenten und der Übertragungswege, war dies aus technischer Sicht nur eingeschränkt möglich. Aus rechtlicher Sicht habe ich angemerkt, dass der technischen Ausgestaltung (wie) eine Entscheidung über das ob der Maßnahme vorauszugehen hat und auf die Anforderungen des § 29 Abs. 3 Bremisches Polizeigesetz hingewiesen. Insbesondere fehlten Unterlagen zur erhöhten Kriminalitätsbelastung und zum Ausscheiden anderer Maßnahmen, wie eine verstärkte Polizeipräsenz. Zudem wies ich auf Einschränkungen bei der Videoüberwachung in zeitlicher, örtlicher und technischer Sicht hin, die sich aus dem Grundsatz der Verhältnismäßigkeit ergeben können. Ich wies ferner auf die fehlende örtliche Abgrenzung der Discomeile hin sowie das Verbot, anliegende Wohnhäuser und private Zufahrten, Geschäftshäuser und den angrenzenden Verkehr auf der Hochstraße zu überwachen.

Anfang November 2006 übersandte mir die Polizei Bremen verschiedene Tabellen zur Kriminalitätsbelastung einzelner Straßen in Bremen. Der Rembertiring als Teil der Discomeile befand sich, je nach Deliktart, in einer größeren oder kleineren Spitzengruppe.

Mitte Dezember kam es aufgrund der fortgeschrittenen Planungen zu einem weiteren Gespräch bei der Polizei Bremen, in der diese nähere Aussagen zur technischen Gestaltung und Übermittlung der Daten an die Polizei Bremen traf. Neben meinen bisherigen Anmerkungen habe ich vor allem Bedenken hinsichtlich einer 24-Stunden-Überwachung geltend gemacht. Die Videoüberwachung stellt einen besonders intensiven Eingriff in das Recht auf informationelle Selbstbestimmung dar und darf nur unter engen Voraussetzungen eingesetzt werden. Hierzu gehört insbesondere der Nachweis eines Kriminalitätsschwerpunktes, der zu allen Zeiten der Überwachung vorhanden sein muss. Sofern vormittags oder tagsüber die Discomeile als öffentlich zugänglicher Ort keine erhöhte Kriminalitätsbelastung aufweist, fehlt die Notwendigkeit einer Videoüberwachung. Dies liegt auch im Interesse der Polizei, da eine 24-Stunden-Überwachung der Videokameras deutlich mehr Personal bindet. Die am Wochenende oder in den Abend- und Nachtstunden im Zusammenhang mit dem Besuch von Diskotheken anzutreffende Kriminalität ist ferner zeitlich fixiert, so dass beim zeitweisen Abschalten der Videoüberwachung tagsüber innerhalb der Woche weder ein Ausweich- noch Verdrängungseffekt zu erwarten ist.

Die Polizei Bremen kündigte an, mich im weiteren Verlauf rechtzeitig über die Planungen zu unterrichten.

Datei Türsteher/Rocker

Aufgrund des erhöhten Kriminalitätsaufkommens, der Gewaltbereitschaft und der Verbindungen zur organisierten Kriminalität dieses Personenkreises führt die Polizei Bremen eine Arbeitsdatei Türsteher/Rocker.

Nach Durchsicht der Verfahrensbeschreibung hatte ich eine Reihe Kritikpunkte.

Der Zweck der Datei und damit die Zweckbindung der erhobenen Daten war unklar gefasst. Die angeführten Rechtsgrundlagen für die Erhebung waren nicht zutreffend. Es wurden Daten erhoben, deren Erforderlichkeit für die Sachbearbeitung nicht erkennbar war. Zudem bestand die Möglichkeit, in einem Freitextfeld unkanalisiert weitere Anmerkungen vorzunehmen. Die technischen und organisatorischen Maßnahmen waren unzulänglich dargestellt. Anfang September 2006 habe ich mich bei der Polizei Bremen über die Anwendungspraxis der Datei informiert.

Dabei musste ich feststellen, dass die technischen und organisatorischen Maßnahmen aus einer anderen Verfahrensbeschreibung übernommen worden waren, jedoch tatsächlich nicht zutrafen. Damit konnte auch die gesetzlich vorgesehene Vorabkontrolle unter Einbeziehung des behördlichen Datenschutzbeauftragten im Vorfeld nicht ordnungsgemäß stattgefunden haben. Hierauf habe ich den behördlichen Datenschutzbeauftragten hingewiesen. Ich stellte vor Ort auch fest, dass zwei Mitarbeiter, die früher einmal berechtigt waren, mit der Datei zu arbeiten, nunmehr aber anderen Aufgabengebieten zugewiesen waren, weiter zugriffsberechtigt waren.

Zudem konnte auf Betriebssystemebene ein weiterer nicht berechtigter Mitarbeiter Zugriff auf die Daten nehmen. Etwaige Zugriffe wurden nicht protokolliert. Den Entzug dieser Zugriffsberechtigungen habe ich im September 2006 angemahnt.

Anfang Dezember 2006 teilte mir die Polizei Bremen mit, dass eine Überarbeitung der Verfahrensbeschreibung einschließlich der technischen und organisatorischen Maßnahmen noch nicht erfolgen konnte. Dazu habe ich weiter aufgefordert.

Datenbank TOP-Täter Anfang September 2006 habe ich die Polizei Bremen über meine datenschutzrechtlichen Bedenken beim Betrieb der Datenbank TOP-Täter unterrichtet. Die Datenbank führt über Intensivtäter Angaben aus den polizeilichen Systemen ISAWeb und INPOL sowie dem Meldewesenverfahren MESO zusammen. Diese Daten sollen einer besonderen Analyse zugeführt werden, um gezielte Einzelmaßnahmen vornehmen zu können. Die mir übersandte Verfahrensbeschreibung wies erhebliche formale und inhaltliche Defizite auf. Daraufhin habe ich mir kurzfristig den Betrieb der Datenbank bei der Polizei Bremen angeschaut.

Dabei stellte ich fest, dass die Zusammenführung und Pflege der Daten manuell erfolgt und der Datenbestand zum Zeitpunkt der Prüfung nicht aktuell war. Es erfolgte auch keine Protokollierung der Eingaben, so dass missbräuchliche Veränderungen oder Löschungen nicht aufgedeckt hätten werden können. Ferner stellte ich fest, dass über das Intranet der Polizei auf die Datenbank zugegriffen werden kann und damit auch bei der Polizei Bremen Beschäftigte, die diese Daten nicht zu dienstlichen Zwecken benötigen, Zugriff nehmen können. Es konnten keine Angaben zu weiteren technischen und organisatorischen Maßnahmen, insbesondere der Zugriffs-, Weitergabe- und Verfügbarkeitskontrolle gemacht werden.