Rodorf.de
Home PolG NRW StPO StGB
       
StaatsR AVR VersR Art. 33 GG
Impressum Datenschutz

§ 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten)

Alfred Rodorf
April 2019

 
  VVPolG  noch nicht verfügbar
01 Allgemeines zu § 22a PolG NRW
02 Quellenhinweise in der Gesetzesbegründung
02.1 Besondere Kategorien von Daten
02.2 Vorgaben des Art. 10 JI-Richtlinie iVm § 42 DSG NRW
03 Besondere Kategorien von Daten iSv § 22a PolG NRW
03.1 Sensibilisierung von Beteiligten
04 Zugang und Beschränkungen
04.1 Technische Maßnahmen 4.2Organisatorische Maßnahmen
04.2.1 Technisch organisatorische Kontrollmaßnahmen nach DSG NRW
04.2.2 Technische Richtlinien des BSI
05 Anforderungen an die Vorgangsbearbeitung der Polizei
06 Quellen

01 Allgemeines zu § 22a PolG NRW

TOP

Die Auseinandersetzung mit § 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) macht es erforderlich, zumindest den Versuch zu unternehmen, sich mit einer Vielzahl den Datenschutz betreffenden Normen auseinanderzusetzen, die zum Verständnis von § 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) erforderlich sind.

Im hier zu erörternden Sachzusammenhang bedeutet das zuerst einmal, festzustellen, dass Fragen des (datenschutzrechtlichen) Polizeirechts nicht nur im PolG NRW, sondern auch im DSG NRW sowie in der Datenschutz-Grundverordnung enthalten sind. Sowohl das DSG NRW als auch die Datenschutz-Grundverordnung sind seit dem 25. Mai 2018 anzuwenden. Das machte es ja schließlich auch erforderlich, das PolG NRW entsprechend dem neuen »Datenschutzrecht« anzupassen. Diese Anpassung wurde durch umfangreiche Änderungen im PolG NRW im Dezember 2018 durchgeführt.

Kurzum:

Im Datenschutz gehört heute alles irgendwie zusammen.

Das PolG NRW mit dem DSG NRW und das DSG NRW mit der Datenschutzgrundverordnung und das PolG NRW mit den JI-Richtlinien.

Die Verordnung (EU) 2016/679, bei der es sich um die so genannte Datenschutz-Grundverordnung handelt, kann über den folgenden Link aufgerufen werden:

Datenschutz-Grundverordnung

[Gesetzesentwurf zu § 22a PolG NRW:] Im Gesetzesentwurf zur Anpassung des Polizeigesetzes des Landes Nordrhein-Westfalen und des Gesetzes über Aufbau und Befugnisse der Ordnungsbehörden heißt es im Hinblick auf § 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten), der im Dezember 2018 neu in das PolG NRW aufgenommen wurde, wie folgt:

Nr. 18 (§ 22a):

Die Vorschrift konkretisiert die Vorgaben des § 45 i. V. m. § 16 DSG NRW-Neu für die Weiterverarbeitung sog. besonderer Kategorien personenbezogener Daten für die polizeiliche Aufgabenerfüllung. Besondere Kategorien von Daten sind beispielsweise Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung. Nach Art. 10 der JI-Richtlinie (umgesetzt in § 42 DSG NRW-Neu) muss die Verarbeitung besonderer Kategorien von Daten unbedingt erforderlich sein. Dies ist anzunehmen, wenn keine zumutbaren Alternativ- und Ausgleichsmaßnahmen zur Verfügung stehen, um das angestrebte Ziel zu erreichen und wenn die Aufgabenerfüllung auf andere Weise nicht oder nur unter erheblichen Schwierigkeiten möglich ist. [En01] 1

In Anlehnung an diese Gesetzesbegründung ist es erforderlich, zuerst einmal die folgenden Vorgaben der Gesetzesbegründung näher zu erörtern:

  • Vorgaben des § 45 iVm § 16 DSG NRW

  • Besondere Kategorien von Daten

  • Vorgaben des Art. 10 JI-Richtlinie iVm § 42 DSG NRW

Darüber hinausgehend sind natürlich auch die im § 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) selbst aufgeführten Regelungen zu erörtern, als da sind:

  • Datenverarbeitung im Sinne von § 36 Nr. 18 DSG NRW

  • Sensibilisierung von Beteiligten an den Verarbeitungsvorgängen

  • Beschränkung des Zugangs auf personenbezogene Daten

  • Beschränkungen für Auftragsverarbeiter im Sinne des § 36 Nr. 10 DSG NRW

  • Technisch organisatorische Kontrollmaßnahmen hinsichtlich vorgenommener Veränderungen.

Da der Text des § 22a PolG NRW(Verarbeitung besonderer Kategorien personenbezogener Daten) überschaubar ist, wird er an dieser Stelle im Wortlaut wiedergegeben:

§ 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten)

(1) Die Verarbeitung von Daten im Sinne des § 36 Nummer 18 des Datenschutzgesetzes Nordrhein-Westfalen ist nur zulässig, wenn dies zur polizeilichen Aufgabenerfüllung gemäß dieses Gesetzes oder einer anderen Rechtsvorschrift unbedingt erforderlich ist.

(2) Die an Verarbeitungsvorgängen im Sinne des Absatz 1 Beteiligten sind für die besondere Schutzwürdigkeit dieser Daten zu sensibilisieren. Der Zugang zu den personenbezogenen Daten ist zu beschränken. Das gilt auch für Auftragsverarbeiter im Sinne des § 36 Nummer 10 des Datenschutzgesetzes Nordrhein-Westfalen. Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten im Sinne des Absatz 1 eingegeben, verändert oder entfernt worden sind.

Im Folgenden werden in Anlehnung an die oben vorgegebene Reihenfolge zuerst die Quellenhinweise aus der Gesetzesbegründung und im Anschluss daran die Vorgaben des § 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) mit gebotener fachlicher Gründlichkeit erörtert.

02 Quellenhinweise in der Gesetzesbegründung

TOP

In der Gesetzesbegründung zu § 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) heißt es:

Die Vorschrift, gemeint ist § 22a PolG NRW, konkretisiert die Vorgaben des § 45 i. V. m. § 16 DSG NRW-Neu für die Weiterverarbeitung sog. besonderer Kategorien personenbezogener Daten für die polizeiliche Aufgabenerfüllung.

Die in Betracht kommenden Vorschriften des DSG NRW, sowie der § 15 DSG NRW, auf den sich § 45 DSG NRW bezieht, werden nachfolgend im Wortlaut wiedergegeben.

  • § 45 DSG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten)

  • § 15 DSG NRW (Garantien zum Schutz personenbezogener Daten und anderer Grundrechte)

  • § 16 DSG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten)

§ 45 DSG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten)

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist.

(2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere solche des § 15 sein.

§ 15 DSG NRW (Garantien zum Schutz personenbezogener Daten und anderer Grundrechte)

Werden besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 [das ist die Datenschutz-Grundverordnung = AR] verarbeitet, sind vom Verantwortlichen angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen sind das:

1. technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,

2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,

3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,

4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,

5. die Anonymisierung und wenn sie nicht möglich ist die Pseudonymisierung personenbezogener Daten,

6. die Verschlüsselung personenbezogener Daten,

7. die Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen,

8. die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung oder

9. spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

[Hinweis:] Der Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 [Datenschutz-Grundverordnung] wird in der Randnummer 02.3 im vollen Wortlaut zitiert.

§ 16 DSG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten)

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist zulässig, soweit

1. sie zur Abwehr von Gefahren für die öffentliche Sicherheit erforderlich ist,

2. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen, von Bußgeldentscheidungen, Maßregeln der Besserung und Sicherung, Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Anordnung von Einziehungsentscheidungen erforderlich ist,

3. sie zum Zwecke der Gesundheitsvorsorge, zur medizinischen Diagnostik, zur Gewährleistung und Überwachung der Gesundheit oder Mitteilung von Gesundheitswarnungen, zur Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren oder zur Verwaltung von Leistungen der Gesundheitsversorgung erforderlich ist, sofern die Verarbeitung dieser Daten durch ärztliches oder sonstiges Personal erfolgt, das einer entsprechenden Geheimhaltungspflicht unterliegt oder

4. sie erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen.

(2) Im Falle des Artikel 9 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 hat die Einwilligung in die Verarbeitung genetischer oder biometrischer Daten oder von Gesundheitsdaten schriftlich zu erfolgen.

02.1 Besondere Kategorien von Daten

TOP

Was unter dem unbestimmten Rechtsbegriff »besondere Kategorien von Daten« zu verstehen ist, kann vollumfänglich dem Artikel 9 der Verordnung (EU) 2016/679 [Datenschutz-Grundverordnung] entnommen werden, dessen Text im Folgenden wiedergegeben wird:

Artikel 9 (Verarbeitung besonderer Kategorien personenbezogener Daten)

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,

d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,

g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,

h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

[Hinweis:] Was besondere Kategorien von personenbezogenen Daten sind, definiert diese Norm im Absatz 1 mit wenigen Worten, die in etwas abgewandelter Form auch im § 36 Nr. 18 DSG NRW (Begriffsbestimmungen) ebenfalls verwendet werden.

Dort heißt es:

18. „besondere Kategorien personenbezogener Daten“

a) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen,

b) genetische Daten,

c) biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,

d) Gesundheitsdaten und

e) Daten zum Sexualleben oder zur sexuellen Orientierung.

Festzustellen ist aber, dass im Gegensatz zur Definition »besondere Kategorien personenbezogener Daten«, die in der Datenschutz-Grundverordnung komprimiert enthaltenen »Ausnahmen« so weder im DSG NRW noch im PolG NRW in dieser Form zu finden sind.

Mit anderen Worten:

Insbesondere der § 9 Abs. 2 der Datenschutz-Grundverordnung sagt mehr über den unbestimmten Rechtsbegriff »besondere Kategorien personenbezogener Daten« aus, als die vorausgegangene »positive« Kurzfassung im Absatz 1 sowie die Verwendung des Rechtsbegriffs »besondere Kategorien personenbezogener Daten« im § 36 Nr. 18 DSG NRW (Begriffsbestimmung).

Noch kürzer ist der Verweis auf diese »besonderen Daten« im § 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten), der zwar in der Überschrift diesen unbestimmten Rechtsbegriff verwendet, hinsichtlich des Bedeutungsinhalts dieses unbestimmten Rechtsbegriffs aber auf § 36 Nr. 18 DSG NRW (Begriffsbestimmungen) verweist.

Darüber hinausgehend enthält das PolG NRW den unbestimmten Rechtsbegriff »besondere Kategorien personenbezogener Daten« noch zwei Mal.

  • § 9 Abs. 1 PolG NRW (Allgemeine Regeln, Befragung, Auskunftspflicht)
    Die Erhebung von besonderen Kategorien personenbezogener Daten richtet sich nach § 22a.

  • § 24 Abs. 1 PolG NRW (Weiterverarbeitung zu besonderen Zwecken)
    Die Verarbeitung von besonderen Kategorien personenbezogener Daten richtet sich nach § 22a.

Für die Polizei ist auch noch die Regelung des Artikels 10 der Datenschutz-Grundverordnung bedeutsam.

Dort heißt es:

Artikel 10 (Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten)

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

02.2 Vorgaben des Art. 10 JI-Richtlinie iVm § 42 DSG NRW

TOP

Die Gesetzesbegründung zu § 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) bezieht sich auch auf den Art. 10 JI-Richtlinie, der im Folgenden zitiert wird:

Artikel 10 JI-Richtlinie (Verarbeitung besonderer Kategorien personenbezogener Daten)

Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung ist nur dann erlaubt, wenn sie unbedingt erforderlich ist und vorbehaltlich geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person erfolgt und

a) wenn sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zulässig ist

b) der Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person dient oder

c) wenn sie sich auf Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat.

JI-Richtlinie im Volltext

Und im DSG NRW heißt es:

§ 42 DSG NRW (Unterscheidung zwischen verschiedenen Kategorien betroffener Personen)

Der Verantwortliche hat bei der Verarbeitung personenbezogener Daten so weit wie möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden.

Dies betrifft insbesondere folgende Kategorien:

1. Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben,

2. Personen, gegen die ein begründeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden,

3. verurteilte Straftäter,

4. Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten, und

5. andere Personen wie insbesondere Zeugen, Hinweisgeber oder Personen, die mit den in den Nummern 1 bis 4 genannten Personen in Kontakt oder Verbindung stehen.

[Hinweis:] Soweit die ergänzenden Ausführungen zur Gesetzesbegründung zu § 22a Abs. 1 PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten).

03 Besondere Kategorien von Daten iSv § 22a PolG NRW

TOP

Im § 22a Abs. 1 PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) heißt es:

(1) Die Verarbeitung von Daten im Sinne des § 36 Nummer 18 des Datenschutzgesetzes Nordrhein-Westfalen ist nur zulässig, wenn dies zur polizeilichen Aufgabenerfüllung gemäß dieses Gesetzes oder einer anderen Rechtsvorschrift unbedingt erforderlich ist.

Im § 36 Nr. 18 DSG NRW (Begriffsbestimmungen) ist definiert, was unter dem unbestimmten Rechtsbegriff »besondere Kategorien personenbezogener Daten« zu verstehen ist.

Dort heißt es:

18. »Besondere Kategorien personenbezogener Daten«

a) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen,

b) genetische Daten,

c) biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,

d) Gesundheitsdaten und

e) Daten zum Sexualleben oder zur sexuellen Orientierung.

[Andere Rechtsvorschrift:] Andere Rechtsvorschrift im Sinne von § 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) ist auch die Vorschrift (EU) 2016/679, besser bekannt als Datenschutz-Grundverordnung. Bei dieser Regelung handelt es sich um so genanntes primäres Europarecht, das nicht nur die Staaten bindet, sondern auch den dort lebenden Bürgern Rechte gewährt und das im Rahmen der so genannten Normenhierarchie Vorrang vor Regelungen hat, die vom Bundesgesetzgeber oder von den Länderparlamenten erlassen wurden.

Insoweit können heute Auslegungen, die den Datenschutz betreffen, nur im Zusammenhang der Datenschutz-Grundverordnung vorgenommen werden, denn diesen europarechtlich verbindlichen Regelungen, die den Datenschutz betreffen, dürfen Gesetze in den Mitgliedsstaaten der EU und somit auch deutsches Recht nicht widersprechen.

Die Verordnung (EU) 2016/679, besser als Datenschutz-Grundverordnung bekannt, kann über den folgenden Link aufgerufen werden.

Datenschutz-Grundverordnung

03.1 Sensibilisierung von Beteiligten

TOP

Im § 22a Abs. 2 Satz 1 PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) heißt es:

(2) Die an Verarbeitungsvorgängen im Sinne des Absatz 1 Beteiligten sind für die besondere Schutzwürdigkeit dieser Daten zu sensibilisieren.

Diese Vorgabe des Gesetzgebers ist selbsterklärend und dürfte unverzichtbarer Bestand einer jeden Fortbildungsmaßnahme sein, die sich mit Datenschutz befasst.

04 Zugang und Beschränkungen

TOP

Im § 22a Abs. 2 Satz 2 und 3 PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) heißt es:

Der Zugang zu den personenbezogenen Daten ist zu beschränken. Das gilt auch für Auftragsverarbeiter im Sinne des § 36 Nummer 10 des Datenschutzgesetzes Nordrhein-Westfalen.

Im § 36 Nr. 10 DSG NRW (Begriffsbestimmungen) heißt es:

10. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Gleiches dürfte auch für die Nr. 9 gelten:

9. „Verantwortlicher“ die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, siehe § 36 Nr. 9 DSG NRW (Begriffsbestimmungen).

04.1 Technische Maßnahmen

TOP

Im § 22a Abs. 2 Satz 4 PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) heißt es:

Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten im Sinne des Absatz 1 eingegeben, verändert oder entfernt worden sind.

Technische Maßnahmen zum Schutz personenbezogener Daten sind integrierte Bestandteile des jeweils zur Anwendung kommenden Workflows.

[Workflow:] Unter einem Workflow ist eine Software zu verstehen, die komplexe Arbeitsabläufe steuert. Der Workflow legt zum Beispiel fest, wer was bis wann erledigen muss, damit ein definierter Arbeitsprozess, zum Beispiel die Einhaltung von Prüfterminen für gespeicherte Datensätze, abgeschlossen worden sein muss. Zudem wird festgelegt, wo wer was ablegen muss, damit alle zugriffsberechtigten Sachbearbeiter im Rahmen ihrer Zugriffsberechtigung Eingriffe bzw. Korrekturen im Dateisystem vornehmen können. Als synonyme Begriffe für »Workflow« im hier verwendeten Sinne kommen in Betracht: Betriebssystem, Anwendungssoftware, kurzum: eine Software, die vollumfänglich die Nutzung gespeicherter Daten zulässt, die von der Polizei zur Erfüllung ihrer Aufgaben benötigt werden.

Anders ausgedrückt:

Der Workflow legt fest, was eine komplexe Softwareanwendung überhaupt kann. Auch gibt der Workflow vor, wie Datensätze einzugeben, zu pflegen, an andere zu übermitteln oder zu löschen sind. Der Workflow reagiert auch auf Anwendungsfehler und bietet entsprechende Korrekturhilfen an. Auch definiert er Abhängigkeiten, um Fehler und Engstellen erkennen und optimieren zu können.

Mit anderen Worten:

Der Workflow ist das Herz eines jeden automatisierten Dateisystems, denn kein Mensch wäre dazu in der Lage, die Daten zu verwalten und die Arbeitsabläufe einzuhalten, die erforderlich sind, um für die Aktualität vorgehaltener Daten Sorge tragen, bzw. sie nutzen zu können.

Über solch organisiertes Dateisystem, dessen Komplexität nicht einmal diejenigen Programmierer beschreiben können, die solch eine komplexe Software programmiert haben, verfügen sowohl die Polizeien des Bundes (BKA und Bundespolizei) als auch die Polizeien der Länder. Zu meinen, dass jemand tatsächlich weiß, wie dieser »Große Bruder« wirklich funktioniert, ist ein Irrglaube. Und wie viele Fehler in diesem Workflow enthalten sind, das weiß so genau auch niemand. Insoweit bietet sich hier durchaus ein Vergleich zu Microsoft an: Auch die von Microsoft entwickelten Betriebssysteme überfordern die grauen Zellen nicht nur von Einzelpersonen, sondern auch die von Gruppen, die solche Systeme konzipiert und programmiert haben und sie kontinuierlich weiterentwickeln.

04.2 Organisatorische Maßnahmen

TOP

Unter organisatorischen Maßnahmen wird hier die Zugriffshierarchie verstanden, die es Personen erlaubt, in automatisierten Dateien gespeicherte Daten nutzen zu können/dürfen.

Dass solche Zugriffsberechtigungen im Workflow nachzuweisen sind, bevor die Technik überhaupt den Zugriff auf gespeicherte Daten zulässt, dürfte eine Selbstverständlichkeit sein. In der Regel wird der Zugriff auf Datensätze durch Eingabe eines Kennwortes ermöglicht.

Im hier zu erörternden Sachzusammenhang geht es aber vorrangig darum, durch organisatorische Maßnahmen dafür Sorge zu tragen, dass von Zugriffsberechtigten nur die Daten genutzt und verarbeitet werden können, die der jeweiligen Zugriffsberechtigung entsprechen.

Mit anderen Worten:

Es gibt eine Ebene der Zugriffsberechtigung für:

  • Sachbearbeiter

  • Vorgesetzte von Sachbearbeitern

  • Sachbearbeiter, deren Aufgabe es ist, Datenabfragen durchzuführen etc.

  • Sachbearbeiter in speziellen Aufgabenbereichen, zum Beispiel Staatsschutz

  • Vorgesetzte in diesem Bereich

  • Dienstgruppenleiter der Einsatzleitstelle

  • Zugriffsberechtigung für leitende Polizeibeamte

  • Zugriffsberechtigung für Behördenleiterinnen und Behördenleiter

  • Zugriffsberechtigung des Datenschutzbeauftragten der Behörde

  • Zugriffsberechtigung des Landesdatenschutzbeauftragten für Landesanwendungen etc.

[Zugang und Beschränkung des Zugriffs auf personenbezogene Daten:] Bei den Maßnahmen dieser Art handelt es sich um organisatorische Maßnahmen, die sicherstellen, dass nur berechtigte Personen auf in Dateien vorgehaltene Daten zugreifen können/dürfen.

04.2.1 Technisch organisatorische Kontrollmaßnahmen nach DSG NRW

TOP

Was unter technisch organisatorischen Kontrollmaßnahmen aus datenschutzrechtlicher Sicht zu verstehen ist, machen Auszüge aus den einschlägigen Regelungen des DSG NRW deutlich, die im Folgenden im Wortlaut wiedergegeben werden:

Im § 3 Abs. 3 DSG NRW (Zulässigkeit der Verarbeitung personenbezogener Daten) heißt es im Hinblick auf die technischen und organisatorischen Maßnahmen, die gemäß Artikel 32 der Verordnung (EU) 2016/679 zu treffen sind, wie folgt:

(3) Behördliche Unterlagen über die technischen und organisatorischen Maßnahmen gemäß Artikel 32 der Verordnung (EU) 2016/679 unterliegen nicht dem allgemeinen Informationszugang nach dem Informationsfreiheitsgesetz Nordrhein-Westfalen.

Mit anderen Worten:

Es handelt sich um Schutzvorkehrungen, die der Geheimhaltung bedürfen. Nach der hier vertretenen Rechtsauffassung gilt das auch für die Verfahrensverzeichnisse, die beim Datenschutzbeauftragten der örtlich zuständigen Polizeibehörde vorgehalten werden.

Auch für Pressevertreter und so genannte investigative Reporter bedeutet das, dass entsprechende Auskünfte von der Polizei nicht erteilt werden können.

  • § 12 Abs. 2 Satz 2 DSG NRW (Beschränkung des Auskunftsrechts der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679)
    Dort heißt es:
    Die betroffene Person kann keine Auskunft über die Verarbeitung sie betreffender personenbezogener Daten nach Artikel 15 der Verordnung (EU) 2016/679 verlangen, soweit die Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

  • § 15 Nr. 1, 7, 8 und 9 DSG NRW (Garantien zum Schutz personenbezogener Daten und anderer Grundrechte).
    Dort heißt es:
    1. technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,
    7. die Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen,
    8. die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung oder
    9. spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

  • § 18 Abs. 9 und Abs. 11 DSG NRW (Datenverarbeitung im Beschäftigungskontext)
    Dort heißt es:
    (9) Soweit Daten der Beschäftigten im Rahmen der Durchführung von technischen und organisatorischen Maßnahmen nach Artikel 32 der Verordnung (EU) 2016/679 gespeichert werden, dürfen sie nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt werden.
    (11) Leitstellen und Befehlsstellen der in Satz 4 genannten Einrichtungen und Organisationen dürfen zur Bestimmung des geografischen Standorts personenbezogene Daten der von ihnen gesteuerten Einsatzkräfte mittels elektronischer Einrichtungen durch eine Funktion des Digitalfunks für Behörden und Organisationen mit Sicherheitsaufgaben (BOS-Digitalfunk) oder durch andere technische Mittel ohne Einwilligung der betroffenen Person verarbeiten, soweit dies aus dienstlichen Gründen zur Sicherheit oder zur Koordinierung der Einsatzkräfte erforderlich ist. Standortdaten dürfen ausschließlich zu den in Satz 1 festgelegten Zwecken verarbeitet werden. Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks der Speicherung nicht mehr erforderlich sind. Die Sätze 1 und 2 gelten für Einsatzkräfte der Berechtigten des § 4 Absatz 1 Nummern 1.1, 1.5, 1.6, 1.7 bis 1.9 der BOS-Funkrichtlinie vom 7. September 2009 (GMBl. 2009, S. 803) in der jeweils geltenden Fassung soweit es sich hierbei um kommunale Behörden oder um Landesbehörden handelt.

  • § 37 Nr. 6 DSG NRW (Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten).
    Dort heißt es:
    6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

  • § 49 Abs. 2 DSG NRW (Auskunftsrecht)
    Dort heißt es:
    (2) Die betroffene Person kann keine Auskunft über die Verarbeitung sie betreffender personenbezogener Daten nach Absatz 1 verlangen, soweit die Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

  • 58 Abs. 1 und 2 DSG NRW (Anforderungen an die Sicherheit der Verarbeitung).
    Dort heißt es:
    (1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.
    (2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass
    1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und
    2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.

04.2.2 Technische Richtlinien des BSI

TOP

Im § 22a Abs. 2 Satz 3 PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten) heißt es:

Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten im Sinne des Absatz 1 eingegeben, verändert oder entfernt worden sind.

Ohne zumindest rudimentäre Kenntnisse der Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dürfte es wohl kaum möglich sein, sich auch nur eine vage Vorstellung über den technisch möglichen Schutz von personenbezogenen Daten in IT-Systemen verschaffen zu können.

Auf der Website des BSI heißt es u.a.:

[Technische Richtlinien des BSI:] Das Ziel der technischen Richtlinien des BSI (BSI-TR) ist die Verbreitung von angemessenen IT-Sicherheitsstandards. Technische Richtlinien richten sich daher in der Regel an alle, die mit dem Aufbau oder der Absicherung von IT-Systemen zu tun haben. Sie ergänzen die technischen Prüfvorschriften des BSI und liefern Kriterien und Methoden für Konformitätsprüfungen sowohl der Interoperabilität von IT-Sicherheitskomponenten als auch der umgesetzten IT-Sicherheitsanforderungen. Dabei werden bestehende Standards (z. B. Schutzprofile (Protection Profiles) nach Common Criteria oder Interoperabilitätsstandards wie ISIS-MTT) gegebenenfalls referenziert und ergänzt. Technische Richtlinien haben originär Empfehlungscharakter. Ihre Verbindlichkeit entsteht erst durch individuelle Vorgabe des Bedarfsträgers.

Für zahlreiche Technische Richtlinien besteht beim BSI die Möglichkeit die Konformität eines Produkts/Systems zu einer Technischen Richtlinie durch eine Zertifizierung nachzuweisen. Hier finden Sie eine Auflistung der Prüfbereiche in denen Zertifizierungen nach Technischen Richtlinien angeboten werden. [En02] 2

[BSI-Standards:] Die BSI-Standards sind ein elementarer Bestandteil der IT-Grundschutz-Methodik. Sie enthalten Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen zu unterschiedlichen Aspekten der Informationssicherheit. Anwender aus Behörden und Unternehmen sowie Hersteller oder Dienstleister können mit den BSI-Standards ihre Geschäftsprozesse und Daten sicherer gestalten. [En03] 3

[Hinweis:] Es ist davon auszugehen, dass die gesamte IT-Technik, über die die Polizei im Land Nordrhein-Westfalen verfügt, den oben nur grob skizzierten technischen Anforderungen entspricht, die an komplexe IT-Systeme zu richten sind.

05 Anforderungen an die Vorgangsbearbeitung der Polizei

TOP

Insbesondere im Zusammenhang mit der Verarbeitung von personenbezogenen Daten ist sicherzustellen, dass ein Missbrauch dieser Daten im Rahmen des menschlich Möglichen weitgehend ausgeschlossen ist.

Das gilt für alle personenbezogenen Daten im Sinne von § 36 Nr. 1 DSG NRW (Begriffsbestimmungen).

Dort heißt es:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann.

Gleiches gilt auch für die Verarbeitung, die § 36 Nr. 2 DSG NRW (Begriffsbestimmungen) wie folgt definiert:

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Vergleichbares gilt auch für § 36 Nr. 3 DSG NRW (Begriffsbestimmungen).

3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Es würde zu weit führen, an dieser Stelle aufzuzeigen, welche organisatorischen und technischen Voraussetzungen im Einzelnen aussehen, die sicherstellen, dass bei der Verarbeitung personenbezogener Daten - insbesondere bei personenbezogenen Daten, die einer besonderen Kategorie angehören - sicherzustellen ist, dass nur sensibilisiertes und autorisiertes Personal mit solchen Daten umgeht und durch eine Vielzahl von Berechtigungserfordernissen, sowohl für Vertraulichkeit, als auch für Integrität und Verfügbarkeit solcher Daten Sorge getragen wird.

TOP

Ende des Kapitels

TOP

§ 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten)
Wenn Sie einen Fehler gefunden haben oder eine Frage zum Inhalt stellen möchten, schreiben Sie mir bitte eine
Mail. Fügen Sie in Ihre Mail die Anschrift dieser Seite und die jeweilige Randnummer ein.

TOP

06 Quellen

TOP

Die Quellen wurden am angegebenen Zeitpunkt aufgerufen und eingesehen. Über die weitere Verfügbarkeit der Inhalte entscheidet ausschließlich der jeweilige Anbieter.

TOP

Endnote_01
Drucksache 17/2576
Gesetzesentwurf
Gesetz zur Anpassung des Polizeigesetzes des Landes Nordrhein-Westfalen und des Gesetzes über Aufbau und Befugnisse der Ordnungsbehörden
https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/
Dokument/MMD17-2576.pdf
Aufgerufen am 31.01.2019
Zurück

Endnote_02
Technische Richtlinien des BSI
https://www.bsi.bund.de/DE/Publikationen/Technische
Richtlinien/technischerichtlinien_node.html
Aufgerufen am 31.01.2019
Zurück

Endnote_03
BSI-Standards
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/
ITGrundschutzStandards/ITGrundschutzStandards_node.html;
jsessionid=0674008FB2DCBBFAF5B23FC90A99C6AA.2_cid360
Aufgerufen am 31.01.2019
Zurück

TOP

§ 22a PolG NRW (Verarbeitung besonderer Kategorien personenbezogener Daten)
Wenn Sie einen Fehler gefunden haben oder eine Frage zum Inhalt stellen möchten, schreiben Sie mir bitte eine
Mail. Fügen Sie in Ihre Mail die Anschrift dieser Seite und die jeweilige Randnummer ein.

TOP 

Zurück zum Inhaltsverzeichnis des PolG NRW