[datensicherheit.de, 01.10.2024] Prof. Dr. Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), hat in einer Stellungnahme vom 1. Oktober 2024 die Bedeutung der Entscheidung des Bundesverfassungsgerichts (BVerfG) an diesem Tag zu Regelungen, nach denen das Bundeskriminalamt (BKA) personenbezogene Daten in seinem Informationssystem nur unter bestimmten Voraussetzungen weiterverarbeiten darf, betont. Diese schafft aus Sicht der BfDI Klarheit für die geplante Zusammenführung und Modernisierung der polizeilichen Computersysteme – „auch im System ,P20‘“.

Foto: BfDI/DH

Prof. Dr. Louisa Specht-Riemenschneider: Das Urteil enthält entscheidende Aussagen für den polizeilichen Informationsverbund!

Laut BfDI bleibt sichergestellt, dass die Polizei handlungsfähig ist

„Das Urteil enthält entscheidende Aussagen für den polizeilichen Informationsverbund. Es bleibt sichergestellt, dass die Polizei handlungsfähig ist“, kommentiert Frau Prof. Specht-Riemenschneider.

Aber es dürften auch keine Daten „ins Blaue“ gespeichert werden, wenn Menschen kein Fehlverhalten vorzuwerfen ist. „Das bestätigt die bisherige Kontroll- und Beratungspraxis meiner Behörde.“

Die BfDI sieht außerdem ein Zeichen für den Gesetzgeber

Die BfDI sieht demnach außerdem ein Zeichen für den Gesetzgeber: „Der Kreis der Zielpersonen im sogenannten Sicherheitspaket ist zu weit gefasst.“ Der Gesetzgeber könne jetzt beim Informationsverbund nachjustieren.

Ihr Fazit: „Es wäre sinnvoll, nun gemeinsam datenschutzkonforme Lösungen auszuarbeiten. Freiheit und Sicherheit müssen in einem Rechtsstaat Hand in Hand gehen!“

Weitere Informationen zum Thema:

Bundesverfassungsgericht, 01.10.2024
Einzelne gesetzliche Befugnisse des BKA zur Datenerhebung (§ 45 Abs. 1 Satz 1 Nr. 4 BKAG) und Datenspeicherung (§ 18 Abs. 1 Nr. 2 BKAG) sind in Teilen verfassungswidrig / Urteil vom 01. Oktober 2024 / 1 BvR 1160/19

datensicherheit.de, 01.10.2024
BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt / Das BVerfG hat Teile des BKA-Gesetzes am 1. Oktober 2024 für verfassungswidrig erklärt

datensicherheit.de, 03.09.2024
BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens / BfDI möchte vor allen Dingen lösungsorientierten Umgang beim Thema Datenschutz erreichen

[datensicherheit.de, 16.02.2023] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) meldet, dass das Bundesverfassungsgericht (BVerfG) mit seiner Entscheidung vom 16. Februar 2023 den § 49 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) für nichtig erklärt hat. Diese Vorschrift verstoße gegen das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Informationelle Selbstbestimmung.

Bisher nicht zwischen Daten über Personen, die Anlass für eine Maßnahme gegeben haben, und jenen anderer unterschieden

„§ 49 PolDVG gestattete die automatisierte Auswertung von bei der Polizei Hamburg vorhandenen Daten zur vorbeugenden Bekämpfung bestimmter Straftaten. Es ließ die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu.“ Dabei wurde demnach nicht zwischen Personen, die einen Anlass für eine Maßnahme gegeben haben, und den Daten anderer unterschieden. Dadurch habe die Gefahr bestanden, dass auch zahlreiche rechtlich unbeteiligte Personen von weiteren polizeilichen Maßnahmen betroffen gewesen wären, die z.B. als Zeuge oder Erstatter einer Anzeige in einem polizeilichen Datensystem gespeichert sind.

Perspektivisch gehe es nicht um ein grundsätzliches Verbot der Nutzung von Auswertungssoftware durch die Polizei, sondern vielmehr um eine klare Definition der sog. Eingriffsschwelle und damit um eine Begrenzung des Einsatzes auf konkrete Gefahren für bedeutende Rechtsgüter oder bevorstehende schwere Straftaten. Aus geringerem Anlass würden solche Auswertungen in Zukunft
nur dann möglich sein, „wenn die Auswertungsmethoden durch den Gesetzgeber klarer begrenzt werden und dadurch auch das Eingriffsgewicht geringer ausfällt“.

Automatisierte Auswertungen von Daten auf Grundlage von § 49 PolDVG in Hamburg noch nicht durchgeführt

Unmittelbare praktische Auswirkungen auf die Arbeit der Polizei Hamburg und des HmbBfDI habe diese Entscheidung des BVerfG zunächst nicht, denn bisher seien automatisierte Auswertungen von Daten auf der Grundlage von § 49 PolDVG in Hamburg noch nicht durchgeführt worden. „Deswegen wurde durch das BVerfG für Hamburg auch – anders als für Hessen – keine übergangsweise Anwendung der Norm angeordnet, da dies für Hamburg praktisch nicht notwendig ist.“

Allerdings habe die Entscheidung Auswirkungen auf den potenziellen Einsatz von Analysesoftware im Rahmen des Bund-Länder-Vorhabens „Polizei 2020“. In dessen Kontext sei bereits federführend durch das Bayerische Landeskriminalamt der Zuschlag an das Unternehmen Palantir für ein neues verfahrensübergreifendes Recherche- und Analysesystem (VeRa) erteilt worden. Die Hamburger Polizei habe ihr Interesse an VeRA bekundet, aber noch keine Entscheidung getroffen. Für den Einsatz dieser Software sei die rechtliche Grundlage nun erstmal entfallen.

Durch neue Datenauswertungstechnologien schwere Grundrechtseingriffe möglich

Thomas Fuchs, als Sachkundiger bei der Verhandlung des BVerfG in Karlsruhe aufgetreten, begrüßt nach eigenen Angaben das Urteil:„Das Gericht ist im Wesentlichen unserer Argumentation gefolgt, dass die durch neue Datenauswertungstechnologien möglichen schweren Grundrechtseingriffe nur aufgrund eindeutiger rechtlicher Grundlagen erfolgen können.“ Dies sei durch das sehr unbestimmte Hamburgische Gesetz nicht gegeben gewesen.

Darüber hinaus gebe das Urteil wichtige Hinweise für die Möglichkeiten und Grenzen beim Einsatz automatisierter Systeme. Die Hamburgische Bürgerschaft sei nun aufgefordert, dies neu und grundrechtskonform zu regeln. Bei der Gelegenheit sollten auch andere polizeiliche Eingriffsnormen nachgeschärft und mit der aktuellen Rechtsprechung des BVerfG in Einklang gebracht werden.

Weitere Informationen zum Thema:

Bundesverfassungsgericht
Leitsätze zum Urteil des Ersten Senats vom 16. Februar 2023 / – 1 BvR 1547/19 – / – 1 BvR 2634/20 – / Automatisierte Datenanalyse

[datensicherheit.de, 16.02.2022] Laut einer aktuellen Warnung auf dem Präventionsportal der Gewerkschaft der Polizei (polizei-dein-partner.de) wird seit mindestens 15 Jahren von betrügerischen Firmen versucht, „unberechtigte Forderungen für die Nutzung teurer Telefon-Hotlines einzutreiben“. Wer auf seinem Mobiltelefon den Anruf einer unbekannten Telefonnummer vorfindet und in Erwartung es könnte doch etwas Wichtiges sein zurückruft, wird demnach entweder auf eine teure Telefonverbindung ins Ausland umgeleitet, „bei der die Betrüger die hohen Verbindungskosten kassieren“, oder die Service-Nummer eines vermeintlichen Telefondienstleisters vorgetäuscht.

Erpressung mittels Behauptung der Kontaktaufnahme zu Telefonsex-Hotline

Beim Rückruf werde die Rufnummer registriert und das Unternehmen stelle im Anschluss eine hohe Rechnung. „Manche Firmen setzen die Menschen mit der Behauptung unter Druck, die Adressaten hätten bei einer Telefonsex-Hotline angerufen.“

In diesen Rechnungen bzw. den Mahnschreiben sei dann von einem „Service für Erwachsene“, von einer „Telefonsexdienstleistung“ oder einem „Service für besondere sexuelle Ansprüche“ die Rede. Formulierungen wie z.B. „Vermeiden Sie weitere Maßnahmen“ könnten betroffene Opfer einschüchtern: „Viele Menschen begleichen solche erfundenen Forderungen stillschweigend.“

Laut des Europäischen Verbraucherzentrums Deutschland (EVZ) hätten 2021 derartige Betrugsversuche wieder zugenommen. Die Täter agierten derzeit „unter wechselnden Firmennamen aus Tschechien“. Bis zu drei unterschiedliche Unternehmen kontaktierten die Opfer mit Mahnschreiben – der vermeintliche Dienstleister, ein Inkassobüro und das Forderungsmanagement.

Schriftlicher Widerspruch: Rückruf zu unbekannter Telefonnummer kann keine Abmahn-Forderung begründen

Empfohlen wird, sich auf der Website der EVZ ein Muster-Anschreiben herunterzuladen, um den unberechtigten Forderungen der Betrugsfirmen zu widersprechen. „Um einen Nachweis über den Versand dieses Schreibens zu erhalten, sollte dies per Einschreiben erfolgen.“

Zudem sollte bei der Polizei Anzeige erstattet werden. Zudem könnten sich Betroffene auch an ihre zuständige Verbraucherberatung wenden und sich mit deren Experten über das weitere Vorgehen beraten.

Es gelte übrigens der Grundsatz, dass mit einem spontanen und unüberlegten Rückruf zu einer unbekannten Telefonnummer keine Abmahn-Forderungen begründet werden könnten. „Und wenn ein Mahnschreiben eine reale Grundlage hat und jemand wirklich die Dienste einer Telefonsex-Hotline in Anspruch genommen hat, so muss er in der Regel nur die angefallenen Verbindungskosten des Mobilfunkanbieters zahlen, nicht aber hohe zusätzliche Mahnkosten.“ Weitere Kosten fielen nur bei einem vorher abgeschlossen Vertrag mit Preisfestlegung an.

Weitere Informationen zum Thema:

Gewerkschaft der Polizei, Das Präventionsportal, 28.01.2022
Telefonsex-Fallen aus Tschechien / Alte Abzock-Masche wurde neu belebt

Europäisches Verbraucherzentrum Deutschland, 17.11.2021
Betrug aus Tschechien: hohe Rechnungen für angeblichen Telefonsex

[datensicherheit.de, 18.11.2021] Im Januar 2021 hatte Europol vermeldet, dass es gelungen sei die Infrastruktur und Täter der „Emotet“-Gruppe zu identifizieren. Videos der Polizei hätten sich auf „YouTube“ verbreitet, um den Cyber-Kriminellen zu signalisieren: „Wir haben Euch.“ Geld und Goldbarren, in der Ukraine von den dortigen Behörden gefunden, seien vor laufender Kamera gezählt und sichergestellt worden. Bei dieser Szene habe es sich indes um einen psychologischen Trick gehandelt. Nun tauche „Emotet“ in den aktuellen Nachrichten wieder auf. Richard Werner, „Business Consultant“ bei Trend Micro, kommentiert in seiner aktuellen Stellungnahme die vermeintliche Überraschung.

Bedrohung durch Emotet: Trend Micro sah bereits im Januar 2021 nur eine Atempause

Es sei eigentlich keine Überraschung. Bereits im Januar 2021, als Reaktion auf die polizeilichen Ermittlungserfolge, habe Trend Micro nur von einer „Atempause“ geschrieben, welche abhängig vom Erfolg der Polizei kürzer oder länger ausfallen könne.
Werner führt aus: „Um den Hintergrund zu verstehen, muss man wissen, dass es sich bei jenen Kriminellen eben nicht um hoody-tragende, pickelige Jugendliche in Mamis Keller handelt. Vielmehr geht es um organisierte Verbrecher mit mafiösen Strukturen.“ – es gehe um eine Untergrundwirtschaft, welche sich der ökonomischen Prinzipien „Kauf“ und „Verkauf“ bediene und von einer Marketing-Maschinerie beflügelt werde.

Geschäftsmodell Emotet aus Untergrundsicht eines der erfolgreichsten der letzten Jahre

Das Geschäftsmodell von „Emotet“, inklusive der von der Gruppierung erstellten Datenbasis, sei – aus Untergrundsicht – eines der erfolgreichsten der letzten Jahre gewesen. Nun gebe es viele Möglichkeiten, „warum es gerade zu diesem Zeitpunkt wieder das Tageslicht erblickt“. Werner wirf die Frage auf: „Sind es tatsächlich dieselben Täter wie letztes Mal, die nach dem ,Takedown‘ verunsichert waren?“ Eine Möglichkeit wäre, dass diese ihr Geschäft einfach weitergegeben und verkauft haben oder dieses gezielt eingesetzt werde, um einem möglichen Komplizen ein Alibi zu verschaffen.
Ohne an dieser Stelle über die wahren Hintergründe zu spekulieren, müssten wir davon ausgehen, „dass in der Cyber-Kriminalität – ebenso wie im wahren Geschäftsleben – erfolgreiche Geschäftsmodelle nicht einfach vom Erdboden verschwinden“. Diese Situation erlebten wir jetzt hier. Werner rät abschließend dazu, die „neue“ Version der „Emotet“-Schadsoftware länger zu beobachten, um Rückschlüsse darüber tätigen zu können, „ob es sich noch um dieselben Akteure handelt oder, ob sich eine andere Handschrift dahinter verbirgt“.

Weitere Informationen zum Thema:

datensicherheit.de, 15.11.2021
G DATA warnt: Emotet ist zurück / Emotet war über Jahre hinweg Cybercrime-Allzweckwaffe

[datensicherheit.de, 29.09.2021] Am 6. Oktober 2021 in der Zeit von 13.00 bis 16.30 Uhr veranstaltet der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nach eigenen Angaben ein per Live-Stream verfolgbares virtuelles Symposium, um über datenschutzrechtliche Aspekte der Verarbeitung personenbezogener Daten in polizeilichen Informationssystemen im Zeitalter von Künstlicher Intelligenz (KI) und „Big Data“ zu diskutieren.

Abbildung: BfDI

Live-Stream am 6. Oktober 2021

Polizeiliche Informationsverarbeitung mit starkem Trend zur Zentralisierung

Die polizeiliche Informationsverarbeitung habe sich in den letzten Jahrzehnten stark in Richtung einer Zentralisierung bewegt. Ein gemeinsamer Informationsverbund zwischen Bund und Ländern sowie zahlreiche „INPOL“-Dateien prägten das Bild der polizeilichen Informationslandschaft in Deutschland.
Der aktuelle Transformationsprozess, welcher unter dem Begriff „Polizei 2020“ firmiere, bringe weitere wesentliche Veränderungen mit sich.

Balance zwischen Datenschutz und effektiver Polizeiarbeit

Datenbestände der Sicherheitsbehörden würden zunehmend vernetzt. Die Polizeibehörden könnten mehr und schneller Daten austauschen. Denkbar seien zudem Algorithmen, mit denen die Polizeibehörden Daten multifunktional auswerten könnten.
Die Frage sei aber: „Wo sind die rechtlichen Grenzen? Was benötigen die Polizeibehörden, um zeitgemäß und effektiv ihre wichtige Arbeit erledigen zu können? Wann hingegen überschreiten wir diese Grenzen und schaffen Informationsbestände, die die Bevölkerung mit ,Big-Data‘ und KI unberechtigt durchleuchten?“

Polizeiliche Informationssysteme treffen auf grundlegende verfassungsrechtliche Anforderungen

Polizeiliche Informationssysteme träfen deshalb unter den Bedingungen der digitalen Welt auf grundlegende verfassungsrechtliche Anforderungen: Der Mensch müsse vor unbegrenzter Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten geschützt werden.
Der zum Teil bereits praktizierte Einsatz von KI im Polizeibereich werfe schwierige verfassungs-, datenschutzrechtliche und ethische Fragen auf, welche laut BfDI auf diesem Symposium näher beleuchtet werden sollen.

Diskurs mit Vertretern der Wissenschaft, Politik, Zivilgesellschaft, Polizei und Datenschutzaufsicht

Ziel der Veranstaltung sei ein breiter und offener Diskurs mit Vertretern aus Wissenschaft, Politik, Zivilgesellschaft, Polizeipraxis und Datenschutzaufsichtsbehörden:
„Wir freuen uns daher sehr, dass wir die ehemalige Bundesjustizministerin Frau Sabine Leutheusser-Schnarrenberger, die Landesbeauftragte für Datenschutz Schleswig-Holstein Frau Marit Hansen, Herrn Prof. Dr. Matthias Bäcker von der Universität Mainz und den Präsidenten des Bundeskriminalamtes Herrn Holger Münch als Teilnehmer gewinnen konnten.“ Die Moderation werde Frau Sandra Schulz vom Deutschlandfunk übernehmen.

Die Veranstaltung kann als Live-Stream verfolgt werden:

BfDI
Live-Stream am 06.10.2021

Weitere Informationen zum Thema:

BfDI
Polizeiliche Informationssysteme im Zeitalter von KI und Big Data – Notwendig für polizeiliche Aufgaben oder multifunktionaler Datenspeicher auf Vorrat?

[datensicherheit.de, 22.04.2021] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Prof. Dieter Kugelmann, geht in seiner aktuellen Stellungnahme auf die Diskussion um die Neuausrichtung der Datei „Gewalttäter Sport“ und fordert: „Behörden müssen betroffene Fans aktiv informieren!“ Bei dieser handelt es sich um eine bundesweite Verbunddatei, mit gespeicherten Daten von Personen, welche Polizeibehörden im Zusammenhang mit Sportveranstaltungen (vor allem Fußballspielen) aufgefallen sind. Zugriff haben demnach Polizeibeamte sowie Beamten der Länder und des Bundes. Die Behörden, in denen Vorfälle registriert werden, speicherten die Daten und seien für Auskünfte verantwortlich. In den vergangenen Monaten sei es verstärkt zu Kritik an dieser Datei gekommen.

Gewalttäter Sport: Neuausrichtung der Datei sinnvoll laut LfDI RLP sinnvoll

Kugelmann führt hierzu aus: „Aus meiner Sicht wäre eine Neuausrichtung der Datei ,Gewalttäter Sport‘ sinnvoll und könnte dazu führen, dass die Datensammlung transparenter und nachvollziehbarer ausgestaltet wird. Es ist überfällig, dass die Betroffenenrechte gestärkt werden: Personen, deren Daten in die Datei eingespeist wurden, müssen proaktiv von den Behörden benachrichtigt werden; bisher geschieht dies erst in einzelnen Bundesländern, etwa in Rheinland-Pfalz.“
Betroffene müssten überdies verbindlich wissen, an wen sie sich bei Nachfragen und Beschwerden wenden könnten – „etwa wenn Informationen aus ihrer Sicht falsch gespeichert wurden oder Verfahren mittlerweile eingestellt sind“. Damit würde endlich ein zentrales Prinzip des Datenschutzrechts Berücksichtigung finden. Das Auskunftsrecht sei auch Voraussetzung dafür, dass Betroffene ihren Rechtsschutz wahrnehmen könnten.

Höhere Datenqualität der Datei Gewalttäter Sport wäre auch im Sinne der Sicherheitsbehörden

Nach eigenen Angaben seit über zehn Jahren mit der Datei „Gewalttäter Sport“ befasst, erläutert Kugelmann ein zusätzliches Problem: „Eine weitere Schwachstelle der aktuellen Datei ist die mangelnde Transparenz mit Blick auf die gespeicherten Daten. Welche Datenkategorien aufgrund welcher Erhebung überhaupt versammelt sind, ist zum Teil nicht bekannt. Im Zuge einer Neuausrichtung der Datei sollte auch überprüft werden, ob die Schwellenwerte erhöht werden können, ob also leichte Delikte oder Vergehen, die derzeit zu einer Aufnahme führen, gestrichen werden können.“
Dass Behörden grundsätzlich eine entsprechende Datei befürworteten, sei indes nachvollziehbar. Eine neue Struktur und eine höhere Datenqualität wären aber auch im Sinne der Sicherheitsbehörden. „Es würde den Polizeien des Bundes und der Länder ermöglichen, Sicherheit im Fußball effektiv zu gewährleisten“, betont der LfDI RLP.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2021
LfDI RLP warnt: Registermodernisierungsgesetz gefährdet Informationelle Selbstbestimmung

POLIZEI Nordrhein-Westfalen
Datei Gewalttäter Sport

[datensicherheit.de, 06.04.2021] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben ein Positionspapier zum „Grundsatz der Zweckbindung in polizeilichen Informationssystemen“ vorgelegt: Der BfDI bezieht demnach „Stellung zu Zwecktrennung, Zugriffrechten, Recherchemöglichkeiten und weiteren Aspekten der Datenverarbeitung in polizeilichen Informationssystemen“.

Polizei hat zur Verarbeitung und Auswertung von Informationen immer mehr Möglichkeiten erhalten

In den letzten Jahren habe die Polizei zur Verarbeitung und Auswertung von Informationen immer mehr Möglichkeiten erhalten. Deshalb dürften gerade in diesem sensiblen Bereich Daten grundsätzlich nur für solche Zwecke verarbeitet werden, für die sie erhoben wurden.

Positionspapier als Beitrag zur datenschutzgerechten Weiterentwicklung der Informationssysteme der Polizei

Ausnahmen bedürften einer gesetzlicher Grundlage und seien streng auszulegen. Das Positionspapier ist demnach „ein Beitrag zur datenschutzgerechten Weiterentwicklung der Informationssysteme“ der Polizeien.

Weitere Informationen zum Thema:

BfDI, 06.04.2021
Positionspapier zur Zweckbindung bei der Polizei

[datensicherheit.de, 21.01.2021] Nach eigenen Angaben ist der Europaabgeordnete (Piratenpartei) und Bürgerrechtler Dr. Patrick Breyer seit Jahren gerichtlich gegen den massenhaften Abgleich von Kfz-Kennzeichen vorgegangen – aktuell kritisiert er die „Pläne der Bundesregierung zur bundesweiten Einführung der fehleranfälligen Überwachungstechnik“. Das Bundesverfassungsgericht habe bereits wiederholt Landesgesetze zum Kfz-Massenabgleich für teils verfassungswidrig erklärt. Seine Partei veröffentliche „geheim gehaltene Standorte der Kennzeichenscanner und eine Bauanleitung für ein Gerät zum Aufspüren solcher Anlagen“.

Abbildung: Piratenpartei Deutschland

Kfz-Massenabgleich: Kritik und Warnung der Piratenpartei

Breyer warnt vor über 90 Prozent falschen Treffermeldungen

„Der massenhafte Abgleich von Kfz-Kennzeichen führt selten und allenfalls zufällig einmal zur Aufklärung von Straftaten. Auf der anderen Seite verschwendet er die wertvolle Arbeitskraft von Polizeibeschäftigten damit, die zu über 90 Prozent falschen Treffermeldungen der fehleranfälligen Technik auszusortieren“, kommentiert Dr. Breyer.
Die permanente massenhafte automatisierte Kontrolle der gesamten Bevölkerung drohe „wie ein Krebsgeschwür“ immer weitere Kreise zu ziehen – heute zur Fahndung und Beobachtung, morgen für Knöllchen gegen Temposünder und zur Diesel-Fahrverbotsüberwachung und übermorgen werde womöglich eine biometrische Gesichtserkennung an jeder Straßenecke eingeführt…

Vom Grundgesetz garantierte Handlungsfreiheit geht laut Breyer verloren

Die vom Grundgesetz garantierte Handlungsfreiheit gehe verloren, „wo permanent aufgenommen und abgeglichen wird“, weil dadurch der Anschein einer permanenten Aufzeichnung und Kontrolle des eigenen Verhaltens erweckt werde. Autofahrer wüssten eben nicht, ob ihr Kennzeichen im Fahndungsbestand verzeichnet sei und ob ihre Bewegungen gespeichert würden oder nicht – „was durchaus auch irrtümlich erfolgen kann“.
Der Europaabgeordnete warnt: „Wer jederzeit damit rechnen muss, dass sein gesamtes Fahrverhalten aufgezeichnet und nachvollzogen werden kann, der wird möglicherweise sein Bewegungsverhalten ändern. Unter ständiger Überwachung können wir uns nicht frei verhalten.“

Breyer zu den Aktivitäten in einigen Bundesländern

Bayern etwa scanne an 15 Standorten Kfz-Kennzeichen, um sie mit Polizeidatenbanken abzugleichen. Pro Monat würden so 8,5 Millionen Kennzeichen erfasst. 98 Prozent der Treffermeldungen seien falsch, weil der Scanner z.B. ein „I“ nicht von einer „1“ und ein „O“ nicht von einer „0“ unterscheide. In Baden-Württemberg seien 2017 138.000 Kfz-Kennzeichen erfasst worden: 92 Prozent der Treffermeldungen seien falsch gewesen. „In Hessen wurden 2017 250.000 Kfz-Kennzeichen eingelesen; dort waren 93 Prozent der Treffermeldungen falsch“, berichtet Dr. Breyer.
2008 habe das Bundesverfassungsgericht das hessische und ein schleswig-holsteinisches Gesetz zum Kfz-Massenabgleich für verfassungswidrig und daher nichtig erklärt. Der schleswig-holsteinische Innenminister Lothar Hay habe daraufhin bekanntgegeben, er verzichte auf eine Neuregelung, denn das Kfz-Scanning binde Personal, das an anderen Stellen sinnvoller für operative Polizeiarbeit zum Schutze der Bürger eingesetzt werden könne.

Noch nicht entschieden: Breyers Verfassungsbeschwerde gegen Kfz-Massenabgleich der Bundespolizei

Noch nicht entschieden habe das Bundesverfassungsgericht über eine 2018 vom Bürgerrechtler Dr. Breyer eingereichte Verfassungsbeschwerde gegen den Kfz-Massenabgleich durch die Bundespolizei (Az. 1 BvR 1046/18). Außerdem unterstützt er nach eigenen Angaben „eine Klage gegen die Kennzeichenerfassung zur Geschwindigkeitsmessung in Niedersachsen“ („Section Control“).
Das umstrittene Verfahren des Kfz-Kennzeichenabgleichs stehe seit Jahren in der Kritik: In vielen Ländern seien über 90 Prozent der Treffermeldungen falsch. Der Massenabgleich, mit dessen Hilfe auch verdeckte Bewegungsprofile für Polizei und Geheimdienste erstellt würden, entfalte insgesamt eine schädliche und abschreckende Wirkung auf unsere Gesellschaft, besonders etwa im Vorfeld von Demonstrationen. Dem stehe ein unverhältnismäßig geringer Nutzen gegenüber.

Nach Breyers Erkenntnissen geraten Millionen von Autofahrern in Verdacht

In Brandenburg klage ein Mitglied der Piratenpartei gegen die Praxis, aus Anlass wechselnder Fahndungsersuchen dauerhaft und verdachtslos die Kfz-Kennzeichen sämtlicher Autofahrer aufzuzeichnen und monatelang auf Vorrat zu speichern. Dieser Fall liegt beim Landesverfassungsgericht.
In Großbritannien, Dänemark und den Niederlanden würden mithilfe von Kennzeichenscannern schon heute sämtliche Fahrzeugbewegungen bis zu zwei Jahre lang auf Vorrat gespeichert. Polizei und Geheimdienste hätten europaweit über drei Millionen Kfz-Kennzeichen und in Deutschland fast eine Million Kfz-Kennzeichen notiert, „darunter Ausschreibungen zur Sicherstellung, zur Kontrolle, zur Befragung oder zur verdeckten (unbemerkten) Registrierung“.

Weitere Informationen zum Thema:

Patrick Breyer
SCHLAGWORT: KFZ-MASSENABGLEICH

PIRATENPARTEI Deutschland
KENNZEICHENSCANNER

datensicherheit.de, 27.06.2019
Brandenburgs Kfz-Massenspeicherung: Gericht sieht kein Rechtsschutzbedürfnis / Amtsgericht Frankfurt (Oder) lässt Klage nicht zu

datensicherheit.de, 11.02.2019
Nur in engen Grenzen verfassungsmäßig: Automatisierte Kfz-Kennzeichenkontrollen / Bundesverfassungsgericht stärkt Grundrechtsschutz und stellt Rechtssicherheit her

datensicherheit.de, 06.08.2019
Verfassungsbeschwerde gegen KESY-PKW-Erfassung / Piratenpartei kritisiert flächendeckenden Einsatz auf der Autobahn in Brandenburg

[datensicherheit.de, 04.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kritisiert in seiner aktuellen Stellungnahme, dass ganz offensichtlich Kontaktdaten, die zum Zweck der behördlichen Nachverfolgbarkeit von Infektionsketten erhoben werden sollen, zusehends durch die Polizei zum Zweck der Verfolgung von Straftaten verwendet würden.

HmbBfDI

HmbBfDI Prof. Dr. Johannes Caspar: Warnung vor negativen Folgen für eigentlichen Zweck der Datenerhebung

HmbBfDI: Jeder konkrete Fall bedarf einer Einzelabwägung

Die Möglichkeit, dass Strafverfolgungsbehörden diese Daten zu eigenen Zwecken nutzen, werde durch die Strafprozessordnung und das Bundesdatenschutzgesetz weitgehend unbeschränkt zugelassen. Zwar müsse eine entsprechende Datenverarbeitung, soweit sie zur Ermittlung oder Ahndung von Straftaten oder Ordnungswidrigkeiten erfolgt, dem Verhältnismäßigkeitsgrundsatz entsprechen – dies sei jedoch stets eine Frage des konkreten Falles und bedürfe insoweit einer Einzelabwägung, „die einen Einschätzungs-Spielraum eröffnet und auch häufig vom Vorverständnis des Rechtsanwenders getragen ist“.

HmbBfDI befürchtet Vertrauensverlust bei Betroffenen

Das führe dazu, dass die eigentlich zu Infektionszwecken erhobenen Daten, die vor dem Besuch von insbesondere Gaststätten, Beherbergungsbetrieben, Freizeiteinrichtungen oder von Veranstaltungen und Konzerten von den Betroffenen anzugeben sind, bei Bedarf in vielen Fällen im Rahmen von polizeilichen Ermittlungen genutzt würden. Das Vertrauen der Betroffenen, ihre Daten würden zur Infektionsbekämpfung und nicht zu anderweitigen Zwecken genutzt, werde so deutlich in Frage gestellt.

Laut HmbBfDI regelmäßige Kontrolle der Fälle unmöglich

Eine Kontrolle der Fälle, in denen die massenhaft auf Vorrat anfallenden Daten als willkommene Hilfe für die Aufgabenerfüllung der Strafverfolgungsbehörden genutzt werden, sei durch die örtlichen Datenschutzbehörden regelmäßig nicht möglich, da es oft schon an der Kenntnis über die Fälle der Zweckänderung fehle.

HmbBfDI fordert Bundesgesetzgeber zum Handeln auf

„Eine Lösung dieser unbefriedigenden und rechtlich unsicheren Situation liegt in der Hand des Bundesgesetzgebers. Er allein kann den Zugriff der Strafverfolgungsbehörden, der durch Bundesgesetz geregelt ist, begrenzen“, betont der HmbBfDI, Prof. Dr. Johannes Caspar. Der Rechtsstaat werde keinen Schaden erleiden, „wenn nicht bei jedem Bagatelldelikt der Zugriff der Strafverfolgungsbehörden auf die erfassten Daten von Kunden, Gästen oder anderweitigen Besuchern eröffnet ist“.

HmbBfDI betont Bedeutung der Akzeptanz der Datenerfassung und der Ehrlichkeit der Bürger

Hierbei sollte ein legislatives Maßhalten dem Grundsatz nach gelten und überlegt werden, einen Zugriff auf Fälle von Straftaten mit zumindest erheblicher Bedeutung zu beschränken. Anderenfalls würden die Akzeptanz der Datenerfassung und die Ehrlichkeit bei der Angabe des Namens durch Bürger untergraben. „Negative Folgen für den eigentlichen Zweck der Datenerhebung, die Nachverfolgbarkeit von Infektionsketten, sind programmiert“, warnt Professor Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2020
Corona-Gästelisten: Kritik an Polizei-Zugriff / Prof. Dr. Dieter Kugelmann fordert „hohe Hürde“ zur Herausgabe der Kontaktdaten an die Polizei

datensicherheit.de, 28.06.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung / Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben

[datensicherheit.de, 22.07.2020] Bundesweit häuften sich Berichte, wonach die Polizei auf die „Corona“-Gästelisten zugreife. Hierzu bezieht Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) sehr klar Stellung: „Die Gäste- und Kundenlisten werden zum Zweck der Nachverfolgung von Infektionen mit COVID-19 geführt. Wenn die Polizei nun auf die in Restaurants, Kneipen, Cafés und anderen Einrichtungen gesammelten Daten zugreifen möchte, sollte sie sich einen richterlichen Beschluss besorgen.“

Rechtssicherheit: Polizei sollte richterlichen Beschluss haben

Mit einem richterlichen Beschluss bestehe für alle Beteiligten Klarheit: „Die Polizei hat etwas in der Hand. Die Wirtin oder der Wirt weiß, dass die Herausgabe von einer unabhängigen Instanz angeordnet wurde und kann die Herausgabe auch guten Gewissens gegenüber den Gästen vertreten.“
Kugelmann führt aus: Es sei unbestritten, dass die Listen für die Arbeit der Polizei hilfreich sein könnten. Wer aber im Biergarten sitzt, dürfe nicht später von der Polizei aufgrund des Eintrags in eine „Corona“-Gästeliste befragt werden, wenn es um die Aufklärung einer Ordnungswidrigkeit, einer kleineren Sachbeschädigung oder eines Falschparkens in der Nähe geht.

Polizei darf über Gästelisten eben nicht einfach Zeugen für Kleinkriminalität finden

Die personenbezogenen Daten, die jemand beim Gaststättenaufenthalt angegeben hat, gäben in der Regel Aufschluss über seine Freizeitgestaltung. An Orten der Kommunikation, des Austauschs und der Freizeitgestaltung sei die Privatsphäre im Rahmen des Rechts auf informationelle Selbstbestimmung besonders schutzwürdig.
„Es kann also nicht sein, dass die Polizei über Gästelisten möglichst einfach Zeugen für Kleinkriminalität finden möchte. Würde eine solche Praxis Einzug halten, würden auch viele Menschen nicht mehr einsehen, ihre korrekten Daten auf die Listen zu setzen“, warnt der LfDR RLP. Anders könnte die Situation zu bewerten sein, wenn es um Ermittlungen zu schweren Straftaten wie Mord oder Totschlag geht, also um Fälle, in denen auch ein richterlicher Beschluss schnell und problemlos einzuholen sein dürfte.

Ausnahmen dürften auch für die Polizei nicht zur Regel werden

Die Kontaktdaten der Gaststättenbesucher würden unter anderem durch die Gaststättenbetriebe erhoben und gespeichert. Dies geschehe zu dem Zweck, im Falle einer Infektion den Gesundheitsbehörden mögliche Kontaktpersonen benennen zu können. Dazu sollten die Gaststättenbetriebe diese Daten einen Monat vorhalten und danach löschen – grundsätzlich sollten die Daten gem. § 7 Abs. 2 S. 1 i.V.m. § 1 Abs. 8 der „10. Coronabekämpfungsverordnung“ (10. CoBeVO) zu keinem anderen Zweck verarbeitet werden dürfen.
Professor Kugelmann bekräftigt: „Aus Datenschutz-Sicht sollte es eine hohe Hürde zur Herausgabe der Listen an die Polizei geben. Die Ausnahme darf eben nicht zur Regel werden. Gästelisten sind verpflichtend eingeführt worden, um die Pandemie einzudämmen und zu bekämpfen. Wenn die Polizei sie wirklich für ihre Arbeit braucht, dann bietet ein richterlicher Beschluss Rechtssicherheit.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung / Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben