Zahlreiche beim Bundeskriminalamt (BKA) vorgenommen Speicherungen von Personendaten waren rechtswidrig. Dies geht aus einem Kontrollbericht (pdf) des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) hervor, der nun mittels einer Anfrage nach dem Informationsfreiheitsgesetz befreit wurde.
Untersucht wurde die seit 2008 bei der Staatsschutzabteilung des BKA geführte Zentraldatei „PMK-links-Z“. Der damals noch amtierende BfDI, Peter Schaar, hatte hierzu einen „Beratungs- und Kontrollbesuch“ in der Abteilung Staatsschutz in Meckenheim vorgenommen. Der Bericht datiert auf September 2012, rund vier Jahre nach Errichtung der Datei „PMK-links-Z“.
Zweifelhafte Praxis kam erst über IFG-Anfragen ans Licht
„PMK“ steht für „Politisch motivierte Kriminalität“. Verarbeitet werden Daten über linken politischen Aktivismus. Auch die Landeskriminalämter liefern hierzu Informationen. Der Zweck der Zentraldatei ist die „vorbeugende Strafverfolgungsvorsorge“ bzw. „vorbeugende Gefahrenabwehr“.
Auch die Errichtungsanordnung der Datei wurde erst über eine IFG-Anfrage öffentlich. Demnach werden außer Personen- und Sachdaten auch Örtlichkeiten und Institutionen gespeichert. Ebenfalls gesammelt werden Ereignisse oder Daten aus der Telekommunikationsüberwachung. Soweit bekannt, basiert die Datei auf einem System der Firma rola Security Solutions, die inzwischen von T-Systems aufgekauft wurde.
Geprüft wurden 33 stichprobenartig ausgewählte Fälle. Aufmerksam wurde der ehemalige oberste deutsche Datenschützer erst durch eine Eingabe eines Petenten, der sich widerrechtlich gespeichert sah und dessen Fall ebenfalls geprüft wurde. Die Ergebnisse dieses Einzelberichts werden in einem gesonderten Bericht festgehalten.
Etliche Speicherungen zu weitgehend oder zweifelhaft
In der Datei „PMK-links-Z“ sind Personen in unterschiedliche Betroffenenkategorien unterteilt. Hierzu gehören „Beschuldigte“, „Verdächtige“, „Kontakt-/Begleitpersonen“, „Sonstige Personen“ und „Prüffälle“. Bei letzteren wird noch ermittelt, bevor eine endgültige Zuordnung vergeben wird.
Der BfDI hat in sämtlichen Kategorien Mängel gefunden. Speicherungen seien zu weitgehend oder zweifelhaft, etwa wenn keine ausreichende Tatsachengrundlage für eine „Negativprognose“ oder „Gefahrenprognose“ vorlag. Teilweise seien sogar Personen gespeichert gewesen, die lediglich „im Zusammenhang mit Versammlungen“ aufgefallen sind.
Bei „sonstigen Personen“ fehlte laut dem Bericht in allen geprüften Fällen eine Speicherungsgrundlage. Dies habe der Staatsschutz selbst zugegeben:
Das BKA räumte bereits während des Prüfgespräches ein, dass alle in dieser Betroffenenkategorie während des Kontrollbesuchs betrachteten Personendatensätze nicht hätten gespeichert werden dürfen und kündigte eine unverzügliche Prüfung aller gespeicherten Personen dieser Betroffenenkategorie an. Nach Mitteilung des behördlichen Datenschutzbeauftragten hat das BKA im Nachgang nunmehr nahezu sämtliche Speicherungen dieser Kategorie gelöscht.
Gespeicherte nicht immer dem Phänomenbereich „links“ zuzuordnen
Die Verarbeitung von „Prüffällen“ sei aus datenschutzrechtlicher Sicht grundsätzlich kritisch und führe laut dem BfDI zur Gefahr, dass Personen gespeichert werden, die an der Begehung von Straftaten nicht beteiligt oder womöglich nur zufällig an bestimmten Orten anwesend waren. Auch würden Informationen ausländischer Behörden gespeichert. In einem geprüften Fall sei eine Person bei einem bestimmten Ereignis im Ausland anwesend gewesen, ein konkreter Vorwurf gegen den Betroffenen wurde aber nicht mitgeteilt.
Soweit personenbezogene Daten aber keine Informationen zu Straftaten oder Gefahrenlagen enthielten, dürften diese „nicht dauerhaft aufbewahrt und erst recht nicht mit Dateien verknüpft werden“. Außerdem sei in vielen Fällen zu hinterfragen, ob die Gespeicherten tatsächlich zwingend dem Bereich der PMK „links“ zuzuordnen seien. So seien in manchen Fällen die Personalien Hunderter Personen festgestellt worden, bei denen gar nicht zweifelsfrei festgestellt werden könne, ob eine „Negativprognose“ vorliegt.
Überarbeitungsbedarf bei den Ländern
Ein wesentlicher Teil der Speicherungen beruht laut dem BfDI auf Meldungen innerhalb des sogenannten Kriminalpolizeilichen Meldedienstes (KPMD). Sie werden von Landespolizeibehörden in „kriminaltaktischen Anfragen“ übermittelt und enthalten „Erkenntnisse, die bestimmte Ereignisse und Personen betreffen“. Die „kriminaltaktischen Anfragen“ werden von den Landeskriminalämtern dem Bereich der politisch motivierten Kriminalität durch ein Ankreuzfeld zugeordnet.
Hinsichtlich dieser Praxis habe laut dem BfDI „dringender Überarbeitungsbedarf“ bestanden, insbesondere in den Ländern. Das BKA solle „genauere Lagemeldungen einfordern“, um eine bessere Sachverhaltsgrundlage zu erhalten. Nur so könnten die Voraussetzungen der Speicherung überhaupt beurteilt werden. Die Prüfung der Zulässigkeit der Datenübermittlungen liege jedoch im Verantwortungsbereich der Länder. Im Bericht wird angekündigt, hierzu die zuständigen Landesbeauftragten für den Datenschutz zu informieren.
Sogar Anfragen ans BKA werden aufbewahrt
Die „sehr weitgehende Übermittlungspraxis der Länder“ führe laut dem BfDI häufig zu weiteren rechtswidrigen Speicherungen beim BKA. So würden vor Veranstaltungen Informationen an das BKA übermittelt, um dieses um eine Einschätzung der bestehenden Gefahrenlage zu bitten. Mitunter werden diese Anfragen dann „dauerhaft für Zwecke der Gefahrenvorsorge aufbewahrt“.
Vielfach erhält das BKA auch keine Informationen über den Ausgang offener Verfahren. So bleibt unklar, ob Daten wegen eines Freispruchs eigentlich gelöscht werden müssten. Wenn das BKA von den Staatsanwaltschaften der Länder diesbezüglich nichts erfährt, können auch andere Behörden nicht darüber unterrichtet werden.
Extra hohe Fristen zur Löschung angekreuzt
Bei einigen der überprüften Speicherungen fiel auf, dass nicht für jede einzelne Eintragung wie vorgeschrieben eine Aussonderungsprüffrist vergeben wurde. Stattdessen hatte das BKA einfach die „höchst mögliche Prüffrist“ von zehn Jahren angekreuzt. Bei Prüffällen darf diese aber beispielsweise maximal zwei Jahre betragen.
Sind Betroffene mehrfach gespeichert (etwa als „Beschuldigte“ und „Prüffälle“) richtet sich die Aussonderungsprüffrist oft nach dem neuesten Ereignis. Alte Daten werden dann nicht wie vorgeschrieben gelöscht („Mitzieheffekt“). Das BKA habe dies mit den Systemeinstellungen der rola-Datei erklärt. Das von rola verwendete Dateisystem sei laut dem BfDI „in rein technischer Hinsicht“ für Verknüpfungen von Personen und Ereignissen „besonders gut geeignet“ und daher bei falscher Handhabung problematisch.
„Auch provokante Formen des Protests grundgesetzlich geschützt“
In „PMK-links-Z“ werden auch Daten zu Versammlungen verarbeitet. Gespeichert werden AnmelderInnen und TeilnehmerInnen gleichermaßen. Der BfDI sieht hierfür keine Rechtsgrundlage, denn sofern die Versammlungsteilnahme nicht im Zusammenhang mit einer Straftat oder einer polizeirechtlichen Gefahr gestanden hat, dürfe sie laut dem Kontrollbericht niemals erfasst werden. Dies wiege umso schwerer, wenn die Versammlungen störungsfrei verlaufen seien. Dass die Betroffene dennoch in BKA-Dateien landen, betrachtet der BfDI als „gravierenden Verstoß gegen datenschutzrechtliche Vorschriften“. Dies gelte nicht nur für die geprüfte Zentraldatei:
Auch außerhalb der Zentraldatei „PMK-links-Z“ sehe ich es kritisch, wenn beispielsweise die Meldung einer Polizeidienststelle vom [geschwärzt] im Vorgangsbearbeitungssystem gespeichert wird, die Informationen über eine Anmeldung einer Kundgebung des Vereins [geschwärzt] betrifft.
Ähnliche Bedenken äußerte der BfDI bereits bei der Prüfung der inzwischen aufgelösten und in „PMK-links-Z“ überführten Datei „IgaSt – international agierende gewaltbereite Störer“. Sie diente dazu, die bei Staatsschutzabteilungen der Kriminalämter anfallenden Daten „im Themenzusammenhang ‚Globalisierung'“ zu sammeln. Gemeint waren Personen, von denen bekannt war, dass sie zu Protesten auch ins Ausland reisen. Sie wurden auch dann gespeichert, wenn keine Verurteilung vorlag. Auch dies war rechtswidrig. Im neuen Bericht heißt es dazu:
Ich sehe mich daher in meinen Ausführungen im Kontrollbericht zur Prüfung der Zentraldatei „lgaSt“ bestätigt, wonach auch provokante Formen des Protests grundgesetzlich geschützt sind und daher die Teilnehmer nicht gespeichert werden dürfen.