{"id":21040,"date":"2021-12-05T20:47:53","date_gmt":"2021-12-05T20:47:53","guid":{"rendered":"https:\/\/www.cilip.de\/?p=21040"},"modified":"2021-12-05T20:47:53","modified_gmt":"2021-12-05T20:47:53","slug":"eu-datenschutz-und-polizei-die-ji-richtlinie-im-deutschen-polizeirecht","status":"publish","type":"post","link":"https:\/\/wp-dev.daten.cool\/?p=21040","title":{"rendered":"EU-Datenschutz und Polizei:\u00a0Die JI-Richtlinie im deutschen Polizeirecht"},"content":{"rendered":"

von Clemens Arzt[1]<\/a><\/h3>\n

Weitgehend unbeachtet neben der EU-Datenschutz-Grundverordnung landete die sogenannte JI-Richtlinie[2]<\/a> auf den Tischen der Legislative und bedurfte der Umsetzung in nationales Recht. Die Bundesl\u00e4nder sind dabei sehr unterschiedliche Wege gegangen. Eine ambitionierte Neuausrichtung des in die Jahre gekommen Rechts der polizeilichen Datenverarbeitung ist dabei ausgeblieben.<\/strong><\/p>\n

Mit der JI-Richtlinie (JI-RL) wird erstmals die rein innerstaatliche Datenverarbeitung durch Polizei und Strafjustiz direkt von europarechtlichen Vorgaben ber\u00fchrt. Fr\u00fchere Regelungen betrafen allein den Datenaustausch zwischen den Mitgliedstaaten. Die JI-Richtlinie ist Teil der Novelle des EU-Datenschutzrechtes und steht gleichsam als \u201ekleine Schwester\u201c[3]<\/a> neben der allseits bekannten Datenschutz-Grundverordnung (DSGVO). Bis zum 6. Mai 2018 sollte die Richtlinie in nationales Recht umgesetzt werden. In Deutschland haben sowohl Bund als auch L\u00e4nder diese Frist \u00fcberschritten, obgleich die Notwendigkeit seit April 2016 bekannt war.<\/p>\n

Nach Art. 1 Abs. 1 enth\u00e4lt die JI-Richtlinie \u201eBestimmungen zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten durch die zust\u00e4ndigen Beh\u00f6rden zum Zwecke der Verh\u00fctung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschlie\u00dflich des Schutzes vor und der Abwehr von Gefahren f\u00fcr die \u00f6ffentliche Sicherheit.\u201c Nach Art. 2 Abs. 1 JI-RL gilt diese \u201ef\u00fcr die Verarbeitung personenbezogener Daten durch die zust\u00e4ndigen Beh\u00f6rden zu den in Artikel 1 Absatz 1 genannten Zwecken\u201c. Dies bedeutet, jenseits dieser Zwecke gilt unmittelbar die DSGVO, auch f\u00fcr die Polizei. Dies ist z.\u00a0B. der Fall, wenn diese zum Schutz privater Rechte t\u00e4tig wird, aber unter Umst\u00e4nden auch bei der Amts- oder Vollzugshilfe oder in Bereichen der Gefahrenabwehr, die nicht auf die Abwehr oder Verh\u00fctung einer m\u00f6glichen Verletzung von Verbotsnormen im Straf- oder Ordnungswidrigkeitenrecht abzielen. Diese Anwendungsfelder der DSGVO sind im Einzelfall zu ermitteln und die Abgrenzung ist durchaus schwierig, wie etwa im Fall der Verarbeitung von Fingerabdr\u00fccken Asylsuchender nach \u00a7 16 Abs. 3 Asylgesetz durch das Bundeskriminalamt.<\/p>\n

Die DSGVO und die JI-Richtlinie weisen eine hohe inhaltliche \u00dcbereinstimmung im Aufbau wie auch den rechtlichen Regelungen auf. Dabei kommt der DSGVO im Zweifelsfall ein inhaltlicher \u201eF\u00fchrungsanspruch\u201c zu. Dass die Richtlinie gleichwohl deutliche Abweichungen von der DSGVO beinhaltet, d\u00fcrfte vor allem dem politischen Willen geschuldet sein, die Polizeien der Mitgliedstaaten nicht umfassend den vergleichsweise hohen Standards der DSGVO zu unterwerfen. Diese Absicht setzt sich eindeutig fort in ihrer Umsetzung im deutschen Recht.<\/p>\n

Anpassungsbedarf aus Sicht der Datenschutzaufsicht<\/h4>\n

Die Konferenz der unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder hatte im Oktober 2016 ein Positionspapier mit 33 Empfehlungen zur nationalen Umsetzung der JI-Richtlinie erarbeitet: So sei etwa zu vermeiden, dass Betroffenenrechte gegen\u00fcber der bisherigen Rechtslage etwa durch Begr\u00fcndungspflichten oder obligatorische Identit\u00e4tsnachweise bei Auskunftsersuchen verk\u00fcrzt werden. Die Anforderungen an den Nachweis einer ordnungsgem\u00e4\u00dfen Datenverarbeitung durch Polizei- und Justizbeh\u00f6rden sollten pr\u00e4zisiert werden, u.a. durch klare gesetzliche Anforderungen an technische und organisatorische Ma\u00dfnahmen, weil effektiver Datenschutz gerade im Bereich der polizeilichen Datenverarbeitung nicht allein mit gesetzlichen Regelungen durchgesetzt werden k\u00f6nne. Entscheidungen der Polizeibeh\u00f6rden, Datenschutzverletzungen nicht zu melden, m\u00fcssten f\u00fcr die Aufsichtsbeh\u00f6rden kontrollierbar und nachvollziehbar sein. F\u00fcr Daten\u00fcbermittlungen an Drittstaaten solle zum Zweck einer effektiven Kontrolle eine zentrale Protokollierung (vgl. Art. 25 JI-RL) mit ausreichenden Mindestfristen f\u00fcr die Speicherung der Protokolldaten gesetzlich vorgeschrieben werden. Untersuchungs-, Anordnungs- und Klagebefugnisse der Datenschutzaufsichtsbeh\u00f6rden sollten bei der Umsetzung der JI-RL weitgehend \u00fcbereinstimmend mit denen nach der DSGVO geregelt werden.[4]<\/a><\/p>\n

Transformation der JI-Richtlinie durch \u201ecopy & paste\u201c<\/h4>\n

Der Bund hat bei der Umsetzung der JI-RL f\u00fcr die Strafprozessordnung den Weg einer teilweisen direkten Implementation gew\u00e4hlt[5]<\/a> und verweist im \u00dcbrigen auf eine entsprechende Anwendung der \u00a7\u00a7 45 bis 84 des Bundesdatenschutzgesetzes (BDSG), welche Bestimmungen f\u00fcr Verarbeitungen zu Zwecken gem\u00e4\u00df der JI-Richtlinie beinhalten. Dieses Regelungsmodell gilt auch f\u00fcr das Bundeskriminalamtgesetz. F\u00fcr das Bundespolizeigesetz ist eine Novelle in der 19. Legislaturperiode im Bundesrat gescheitert.[6]<\/a> Damit ist der Bund mit der Umsetzung bis zur Vorlage eines neuen Novellierungsvorschlages und einer Umsetzung dann vermutlich vier bis f\u00fcnf Jahre im Verzug.<\/p>\n

Die Umsetzung in den einzelnen Bundesl\u00e4ndern kann hier aus Platzgr\u00fcnden nicht im Detail nachvollzogen werden. Der s\u00e4chsische Gesetzgeber etwa hat sich dazu entschlossen, das Recht der (vollzugs-)polizeilichen Datenverarbeitung in zwei getrennten Gesetzen \u2013 dem S\u00e4chsischen Datenschutz-Umsetzungsgesetz (S\u00e4chsDSUG) und dem S\u00e4chsischen Polizeivollzugsdienstgesetz (S\u00e4chsPVDG) \u2013 zu regeln. Dagegen hat sich der Gesetzgeber in Mecklenburg-Vorpommern dezidiert f\u00fcr eine bereichsspezifische Anpassung der datenschutzrechtlichen Bestimmungen im Sicherheits- und Ordnungsgesetz des Landes entschieden hat.[7]<\/a> In Berlin wurden die datenschutzrechtlichen Regelungen im Allgemeinen Sicherheits- und Ordnungsgesetz (ASOG) im Zuge der Novelle 2021 nicht einmal \u201eangefasst\u201c. So verweist das ASOG beispielsweise weiter auf eine Fassung des Berliner Datenschutzgesetzes (BlnDSG), die seit langem au\u00dfer Kraft ist. Bei der Novelle des BlnDSG hat der Gesetzgeber \u2013 wie die meisten anderen Bundesl\u00e4nder \u2013 die JI-Richtlinie soweit irgend m\u00f6glich wortw\u00f6rtlich \u00fcbernommen. Dabei bedient sich die JI-Richtlinie zum Teil g\u00e4nzlicher anderer Begrifflichkeiten als das deutsche Polizeirecht. Deutlicher konnten die betroffenen L\u00e4nder kaum demonstrieren, dass an einer aktiven Umsetzung auch der Intentionen des europ\u00e4ischen Datenschutzrechts kein Interesse bestand.<\/p>\n

Die Umsetzung der JI-Richtlinie durch eine Trennung von Polizeigesetzen und dem allgemeinen Datenschutzrecht ist mit Blick auf die ohnehin schon komplexen Regelungen im Recht der polizeilichen Datenverarbeitung sowohl f\u00fcr Polizeivollzugsbeamt*innen als auch f\u00fcr Betroffene polizeilicher Ma\u00dfnahmen von Nachteil. Zur Beurteilung der Rechtm\u00e4\u00dfigkeit einer Ma\u00dfnahme im Bereich der Gefahrenabwehr sind nunmehr zwei getrennte Gesetze bei \u201eklassischen\u201c polizeilichen T\u00e4tigkeiten heranzuziehen. Bei einer nicht der JI-Richtlinie unterfallenden polizeilichen Verarbeitung personenbezogener Daten, also etwa beim Schutz privater Rechte, ist dann neben dem Polizeirecht auch noch die DSGVO zu konsultieren, um die rechtlichen Voraussetzungen der Datenverarbeitung bestimmen zu k\u00f6nnen. Nachfolgend sollen hier exemplarisch einige Umsetzungsprobleme am Beispiel Sachsen dargestellt werden.[8]<\/a><\/p>\n

Polizeiliche Datenverarbeitung nach \u201eTreu und Glauben\u201c<\/h4>\n

In Sachsen hat der Gesetzgeber das Datenschutzrecht f\u00fcr die Polizei durch eine (nahezu) w\u00f6rtliche \u00dcbernahme der JI-Richtlinie oder der \u00a7\u00a7\u00a045\u00a0ff. BDSG in ein eigenes Gesetz allein f\u00fcr die Datenverarbeitung durch die Polizei (S\u00e4chsDSUG) \u00fcbernommen. Damit scheint die Sache einfach und unangreifbar, verfehlt aber im Ergebnis das Ziel einer Einpassung in die Systematik des deutschen Polizeirechts[9]<\/a> einerseits, insbesondere aber einen materiell-rechtlichen Ansatz bestm\u00f6glichen Schutzes des Grundrechts auf informationelle Selbstbestimmung andererseits. Ein Beispiel: Nach \u00a7 3 Abs. 2 Nr. 1 S\u00e4chsDSUG sind personenbezogene Daten nach \u201eTreu und Glauben\u201c durch die Polizei (!) zu verarbeiten. Soll hier ein anderer, weiterer Ma\u00dfstab neben der \u201eRechtm\u00e4\u00dfigkeit\u201c im Sinne des Art. 4 Abs. 1 lit. a JI-RL und der Gesetzm\u00e4\u00dfigkeit und Gesetzesgebundenheit der Verwaltung wie auch dem Grundsatz der Verh\u00e4ltnism\u00e4\u00dfigkeit im Sinne des deutschen Rechts eingef\u00fchrt werden oder dominierte hier einfach die Angst vor einer R\u00fcge mangelhafter Umsetzung?<\/p>\n

Verarbeitung besonderer Kategorien von Daten<\/h4>\n

Nach \u00a7 4 Abs. 1 Nr. 1 S\u00e4chsDSUG ist jede \u201eVerarbeitung\u201c und damit auch die Erhebung besonderer Kategorien personenbezogener Daten i.\u00a0S. v. \u00a7 2 Nr. 15 des Gesetzes nur zul\u00e4ssig, wenn diese unbedingt erforderlich und \u201ein einer Rechtsvorschrift vorgesehen ist\u201c. Bei jeder Verarbeitung solcher Daten handelt es sich um einen schwerwiegenden Eingriff in die Grundrechte.[10]<\/a> Entsprechende Eingriffsbefugnisse sollen ausweislich der Gesetzesbegr\u00fcndung im Fachrecht erfolgen. Sucht man indes im S\u00e4chsPVDG nach spezifischen Erhebungs- oder Speicherungsregelungen f\u00fcr allt\u00e4gliche polizeiliche Ma\u00dfnahmen, wie etwa Speicherungen zur Zuordnung von Personen zu einem bestimmten politischen Spektrum, der ethnischen Herkunft oder zu HIV- oder anderen Infektionskrankheiten, so ist nicht erkennbar, wo das Polizeirecht solche Speicherungen ausdr\u00fccklich und begrenzend regeln w\u00fcrde.<\/p>\n

Nach \u00a7 4 Abs. 2 Satz 1 sind bei der Verarbeitung besonderer Kategorien personenbezogener Daten geeignete Garantien f\u00fcr die Rechtsg\u00fcter der betroffenen Personen vorzusehen. Satz 2 legt diese indes nicht verbindlich fest, sondern beinhaltet nur unverbindliche Schutzoptionen. \u201eDie konkrete Anforderung der Ma\u00dfnahmen kann also von Einzelfall zu Einzelfall variieren\u201c,[11]<\/a> ohne dass das Gesetz hier verbindliche Ma\u00dfgaben festlegte.<\/p>\n

Betroffenenrechte<\/h4>\n

Abschnitt 3 des S\u00e4chsDSUG regelt die Rechte der von der polizeilichen Datenverarbeitung betroffenen Personen. \u00a7 12 regelt die Benachrichtigung, soweit im S\u00e4chsPVDG eine solche vorgeschrieben ist, was insbesondere bei verdeckten Ma\u00dfnahmen der Regelfall ist. Allerdings ist nicht f\u00fcr alle Datenverarbeitungen, die ohne Wissen des Betroffenen durchgef\u00fchrt werden, eine Benachrichtigungspflicht vorgesehen. So ist es beispielsweise g\u00e4ngige Polizeipraxis, bei einer Identit\u00e4tsfeststellung zugleich einen Datenabgleich durchzuf\u00fchren, ohne dass der Betroffene hiervon verpflichtend Kenntnis erlangte oder informiert w\u00fcrde. Gravierender noch ist aber die fehlende Benachrichtigungspflicht bei jedweder Speicherung und weiteren Verarbeitung in Datensammlungen der Polizei,[12]<\/a> gerade in Zeiten zunehmender proaktiver Nutzung von Datenbest\u00e4nden durch die Polizei.[13]<\/a><\/p>\n