Kontrollen bei Behörden im Bereich Sicherheit: Vorgehen und Ergebnisse
Die BfDI hat den gesetzlichen Auftrag, die Datenverarbeitung bei verantwortlichen Stellen des Bundes zu kontrollieren. Die Behörden im Sicherheitsbereich sind hiervon nicht ausgenommen. Im Gegenteil: Teilweise gebietet die Eingriffstiefe hier regelmäßige Datenschutzkontrollen.
Zur Kontrolle von Strafverfolgungsbehörden und Nachrichtendiensten sowie im Bereich des Sicherheitsüberprüfungsrechts suchen Mitarbeitende der BfDI in der Regel die Stellen vor Ort auf und kontrollieren, ob die Daten dort rechtmäßig erhoben, gespeichert und übermittelt werden. Die BfDI hat jedoch auch das Recht, Dokumente oder Akten anzufordern und in ihren Dienststellen zu prüfen.
Kontrollen im Bereich Sicherheit
Die BfDI ist verantwortlich für die datenschutzrechtliche Kontrolle der Polizeibehörden des Bundes, also Bundeskriminalamt, Bundespolizei, Bundestagspolizei, Zollkriminalamt. Außerdem ist die BfDI zuständig für die Financial Intelligence Unit als Geldwäschebekämpfungsbehörde sowie im Bereich der Justiz für die datenschutzrechtliche Kontrolle des Generalbundesanwaltes und des Bundesamts für Justiz (in den Bereichen Zentrale Staatsanwaltschaftliche Verfahrensregister und Bundeszentralregister). Daneben kontrolliert die BfDI die Nachrichtendienste des Bundes. Eine Besonderheit stellt die Kontrollkompetenz der BfDI im Bereich des Sicherheitsüberprüfungsrechtes dar: Hier kontrollieren die Mitarbeitenden der BfDI alle Stellen einschließlich Unternehmen, soweit sie Sicherheitsüberprüfungsverfahren nach Bundesrecht durchführen.
Im Tätigkeitsbericht informiert die BfDI jährlich über ihre Arbeit – dort finden Sie ausführlichere Informationen zu den konkret durchgeführten Kontrollen. Nach Abschluss jeder Kontrolle wird zunächst aktiv geprüft, ob der Kontrollbericht veröffentlicht werden kann. Sollte dies der Fall sein, finden Sie diesen in dem dafür vorgesehenen Bereich unserer Webseite.
Die Anlässe für die Kontrollen können ganz unterschiedlich sein: Zum einen prüft die BfDI bestimmte Systeme in regelmäßigen Abständen im Rahmen von Kontrollen oder Audits, da in diesen Systemen eine Vielzahl an personenbezogenen Daten gespeichert sind. Teilweise ist es aber auch bei Beschwerden von Betroffenen erforderlich, Datenverarbeitungen sehr umfassend zu prüfen oder Prüfungen sind gesetzlich vorgesehen. Zudem werden bestimmte Prozesse, wie Datenübermittlungen oder die Zusammenarbeit von Behörden im Sicherheitsbereich, kontrolliert oder es werden thematische Kontrollen mit bestimmten Schwerpunkten durchgeführt. Auch nehmen Mitarbeitende an europäischen und internationalen Prüfungen teil.
Hier erfahren Sie Einzelheiten zu ausgewählten Kontrollen:
Kontrolle von Systemen und Dateien im Sicherheitsbereich
Als eines der großen europaweit durch Sicherheitsbehörden genutzten IT-Systeme im Grenzbereich wird das Schengener Informationssystem (SIS) regelmäßig durch die BfDI in ihrem Zuständigkeitsbereich kontrolliert. Beispielsweise erfolgte 2023 eine Kontrolle der Bundespolizei. Hier wurde geprüft, wie in der Bundespolizeidirektion Hannover Ausschreibungen im SIS zur Einreise- und Aufenthaltsverweigerung durchgeführt werden. 2024 erfolgte zudem eine Kontrolle beim Bundeskriminalamt zu Ausschreibungen von unbekannten gesuchten Personen, die über Finger- oder Handflächenabdrucksätze zur Identifizierung gesucht werden. Bei beiden Kontrollen wurden keine wesentlichen datenschutzrechtlichen Defizite festgestellt. Wir haben jedoch u. a. darauf hingewirkt, dass der in diesen Kontexten zentrale Begriff der schweren Straftat hinreichend restriktiv ausgelegt und verstanden wird, damit es nicht zu unverhältnismäßigen Einspeicherungen kommt. Beide Kontrollen haben zudem gezeigt, dass noch Verbesserungsbedarf bei der Dokumentation besteht. Näheres finden Sie im 33. Tätigkeitsbericht (Nr. 8.1.10.)
Im Jahr 2024 hat die BfDI die Antiterrordatei (ATD) bei allen nutzenden Bundesbehörden kontrolliert. Neben dem Bundeskriminalamt, dem Bundesnachrichtendienst, dem Bundesamt für Verfassungsschutz, dem Militärischen Abschirmdienst (BAMAD) waren davon auch Zollfahndungsdienst/Zollkriminalamt und das Bundespolizeipräsidium umfasst. Der übergreifende Kontrollansatz für diese gemeinsame Datei wurde mittels einer konsolidierten Vorauswertung der Protokolldaten für alle Bundesbehörden ermöglicht. Er diente einer effizienteren und einheitlichen Durchführung der Kontrolle der einzelnen Stellen, bei denen Einspeicherung und Abrufe von personenbezogenen Daten durch Bedienstete der jeweiligen Behörden überprüft wurden. Datenschutzrechtliche Defizite wurden insgesamt nicht festgestellt.
In gleicher Vorgehensweise hat die BfDI ebenfalls im Jahr 2024 die Nutzung der Rechtsextremismusdatei (RED) kontrolliert. Dort ist der Kreis der nutzenden Behörden kleiner, Zollfahndungsdienst/Zollkriminalamt und Bundesnachrichtendienst gehören im Unterscheid zur ATD nicht dazu. In der Kontrolle der Bundespolizeidirektion Berlin wurden einzelne, kleinere Datenschutzverstöße festgestellt sowie Mängel in Bezug auf die Dokumentation von Einspeicherungsentscheidungen, eine Beanstandung wurde jedoch nicht ausgesprochen. Weitere Informationen zur Kontrolle der Antiterrordatei und Rechtsextremismusdatei bei der Bundespolizei und meinen ausgesprochenen Empfehlungen finden Sie im 33. Tätigkeitsbericht (Nr. 8.1.3).
Thematische Kontrollen
Im Bereich Justiz wurden beim Generalbundesanwalt (GBA) in Karlsruhe Datenübermittlungen nach der Anordnung über Mitteilungen in Strafsachen (MiStra) und dem Einführungsgesetz zum Gerichtsverfassungsgesetz (EGGVG) geprüft. In der Kontrolle wurden keine wesentlichen datenschutzrechtlichen Defizite festgestellt; die Akten des GBA werden sehr gewissenhaft und gründlich geführt. Lediglich in einem Fall wurde der Beschuldigte nicht über eine Übermittlung in Kenntnis gesetzt. Da es sich um einen Fehler im Einzelfall handelte und seitens des GBA bereits vor dem Kontrolltermin Maßnahmen zur Vermeidung von vergleichbaren Fehlern getroffen wurden, erfolgte keine Beanstandung und es wurden lediglich Praxisempfehlungen ausgesprochen.
Beim Bundeskriminalamt am Dienstort Berlin wurde im Rahmen einer Pflichtkontrolle die Nutzung verdeckter Maßnahmen kontrolliert. Gegenstand der Kontrolle waren Maßnahmen zur Terrorabwehr nach dem fünften Abschnitt des Bundeskriminalamtgesetzes (BKAG) sowie nach § 34 BKAG zur Eigensicherung bei Strafverfolgungsmaßnahmen und nach § 64 BKAG zu Schutzzwecken. Die Pflichtkontrolle hinterließ insgesamt einen sehr positiven Eindruck. Ein datenschutzrechtlicher Verstoß wurde nicht festgestellt.
Beim Bundeskriminalamt in Wiesbaden wurden zudem Speicherungen im Bereich der sogenannten PMK-links kontrolliert. PMK steht hierbei für Politisch motivierte Kriminalität. Speicherungen zu politisch motivierter Kriminalität, die dem linken Spektrum zugeordnet werden, verteilen sich beim Bundeskriminalamt derzeit auf insgesamt fünf Dateien mit unterschiedlichen Zwecken. Die Kontrolle konzentrierte sich auf die Zentralstellendatei PMK-links-Z, die Strafverfolgungsdatei PMK-links-S sowie die Speicherung zu polizeilich als „Gefährder“ und „relevante Personen“ eingestuften Personen. Bei einer der geprüften Speicherungen wurde eine Beanstandung vorbehalten, da keine Straftat zugrunde lag und der Sachverhalt weiter aufzuklären ist. Beanstandet wurden darüber hinaus Speicherungen zu einer zwar durchaus nicht unerheblichen Tat, bei der den gespeicherten Personen aber keinerlei Tatbeiträge nachgewiesen werden können. Weitere Informationen finden Sie im 33. Tätigkeitsbericht (Nr. 8.1.12).
Darüber hinaus haben wir die Erstellung und Anwendung der Muster für den Abgleich mit Fluggastdaten (Passenger Name Records – PNR) bei der Fluggastdatenzentralstelle (PIU) beim BKA geprüft. Die Kontrolle erfolgte im schriftlichen Verfahren. Wesentliche Mängel bei der Datenverarbeitung wurden im Berichtszeitraum nicht festgestellt. Es wurde jedoch auf den großen Umfang der Grundrechtseingriffe durch die Verarbeitung der PNR-Daten hingewiesen. Die hohe Anzahl der Grundrechtseingriffe ist im Rahmen von Verhältnismäßigkeitserwägungen kritisch zu hinterfragen. Nähere Informationen finden Sie im 33. Tätigkeitsbericht (Nr. 7.4.3).
Kontrollen bei den Nachrichtendiensten
Tätigkeiten der Nachrichtendienste, wie des Bundesamtes für Verfassungsschutz und des Militärischem Abschirmdienst, sind an sich sehr geheimhaltungsbedürftige Angelegenheiten, weshalb nur sehr eingeschränkt über datenschutzrechtliche Kontrollen bei diesen Stellen zu berichten ist. Bei Beratungen und Kontrollen bei Nachrichtendiensten haben die Mitarbeitenden jedoch insgesamt zahlreiche Hinweise gegeben und datenschutzrechtliche Anforderungen erläutert, um Verbesserungen zu erreichen. Beispielsweise ging es um die Verbesserung des behördeninterner Verfahren mit datenschutzrechtlicher Relevanz, um die Dokumentation des behördlichen Handelns oder den Umgang mit besonders sensiblen Daten und der Vermeidung einer doppelten Datenhaltung. In vielen Fällen waren die Beratungen und Kontrollen erfolgreich, weil tatsächlich Verbesserungen erreicht werden konnten. Weitere Informationen dazu finden Sie in unseren Tätigkeitsberichten, z. B. berichten wir im 33. Tätigkeitsbericht im Kapitel 8 zu Kontrollen beim BfV, BAMAD und BND und im 32. Tätigkeitsbericht im Kapitel 9 zu Kontrollen beim BfV, BAMAD und BND. Auch in dem Artikel zum Gemeinsames Extremismus- und Terrorismusabwehrzentrum (GETZ) finden Sie weitere Informationen.
Kontrollen zum Sicherheitsüberprüfungsrecht
Kontrollen der datenschutzrechtlichen Vorgaben des Sicherheitsüberprüfungsgesetzes (SÜG) finden fortlaufend statt. Im Jahr 2024 wurden 17 Beratungs- und Kontrollbesuche nach dem SÜG durchgeführt. Sieben der Kontrollen entfielen dabei auf Unternehmen, u.a. aus den Bereichen Rüstung, Telekommunikation und IT-Sicherheit, zehn Kontrollen fanden in verschiedenen Ressorts im Bereich der Bundesbehörden statt.
Häufig festgestellte Mängel waren etwa personenbezogene Daten unbeteiligter Dritter in der Sicherheitsakte sowie Verstöße gegen Vernichtungs- und Löschfristen. Weiterhin wurde bei einigen kontrollierten Stellen eine mangelnde personelle Ausstattung im Sicherheitsbereich festgestellt. Die Kontrollberichte zum Bereich Sicherheitsüberprüfungsrecht finden Sie im Bereich der veröffentlichten BfDI-Dokumente.
Was passiert nach einer Kontrolle?
Die wichtigsten Ergebnisse von Kontrollen werden in Kontrollberichten festgehalten. Nach Möglichkeit veröffentlicht die BfDI diese Berichte, wobei regelmäßig personenbezogene Daten oder Unternehmensnamen unkenntlich gemacht werden. Es können jedoch nicht alle Berichte von Kontrollen bei Stellen im Bereich Sicherheit veröffentlicht werden. Der Grund dafür ist einfach: Häufig unterliegen die Bericht dem Geheimschutz, um die Arbeit der Sicherheitsbehörden nicht zu gefährden. Es findet jedoch regelmäßig ein Austausch mit den Sicherheitsbehörden statt, um zu klären, welche Informationen gegebenenfalls auch teilweise offengelegt werden können.
Wenn ein Verstoß festgestellt wird, wird in der Regel eine Beanstandung, d. h. eine förmliche Feststellung des Verstoßes, ausgesprochen. In speziell gesetzlich vorgesehenen Fällen kann auch eine Anordnung erfolgen. Im Bereich des Sicherheitsüberprüfungsrechtes wurden im Jahr 2024 beispielsweise bei 13 von 17 Kontrollen Beanstandungen ausgesprochen. Unter bestimmten Voraussetzungen kann jedoch auch auf eine Beanstandung verzichtet werden. Ein Verzicht erfolgt dabei nicht willkürlich, sondern im Rahmen einer sogenannten Ermessensabwägung, d. h., dass sie an bestimmte Überlegungen und Voraussetzungen geknüpft ist.
In den Kontrollberichten werden im Fall von festgestellten Mängeln die kontrollierten Stellen innerhalb einer Frist zur Behebung der Mängel aufgefordert. Auch erfolgen Nachkontrollen, um zu überprüfen, ob es weiterhin zu Verstößen kommt. Die Praxis zeigt, dass Empfehlungen aus Beratungen und Kontrollen meist zügig und umfassend umgesetzt werden.