Rodorf.de
Home PolG NRW StPO StGB
       
StaatsR AVR VersR Art. 33 GG
Impressum Datenschutz

§ 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung)

Alfred Rodorf
Februar 2019

 
  VVPolG zu § 23
01 Allgemeines zu § 23 PolG NRW
01.1 Weiterverarbeitung
01.2 Hypothetische Datenneuerhebung
01.3 Zweckbindung
01.4 Zweckänderung
01.5 Zweckänderung - Polizei und Verfassungsschutz
01.6 Personenbezogene Daten zur Identitätsfeststellung
01.7 Selbst erhobene Daten oder keine Erhebung vorausgegangen
02 Gesetzesbegründung zu § 23 PolG NRW
03 § 23 Abs. 1 PolG NRW
04 § 23 Abs. 2 PolG NRW
05 § 23 Abs. 3 PolG NRW
06 § 23 Abs. 4 PolG NRW
07 § 23 Abs. 5 PolG NRW
08 § 23 Abs. 6 PolG NRW
09 Quellen

VVPolG NRW zu § 23

Die alte VVPolG NRW passt nicht mehr zum neuen Text. Aus diesem Grund wird auf eine Wiedergabe verzichtet.

01 Allgemeines zu § 23 PolG NRW

TOP

Im Dezember 2018 wurde § 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) grundlegend neu gefasst. Die vorgenommenen umfangreichen Neuregelungen sind aus sich selbst heraus nicht zu verstehen, so dass es sinnvoll ist, vorab Begrifflichkeiten zu klären und Ergänzungen vorzunehmen, die zum Verständnis der Norm beitragen.

Dabei handelt es sich um nachfolgend aufgelistete Begriffe:

  • Weiterverarbeitung

  • Hypothetische Datenneuerhebung

  • Zweckbindung als Grundsatz

  • Zweckbindung

  • Zweckänderung

  • Zweckänderung - Polizei und Verfassungsschutz

  • Personenbezogene Daten zur Identitätsfeststellung

  • Selbst erhobene Daten oder keine Erhebung vorausgegangen.

Durch die Norm wird insbesondere der unbestimmte Rechtsbegriff der hypothetischen Datenneuerhebung in das PolG NRW eingeführt, obwohl diese Bezeichnung in der Norm selbst nicht verwendet wird.

Diesbezüglich heißt es aber in der Gesetzesbegründung des Gesetzentwurfs der Landesregierun, Drucksache 17/2576 vom 09.05.2018, wie folgt:

Nr. 20 (§ 23):

Allgemeines

Mit § 23 wird der Grundsatz der hypothetischen Datenneuerhebung (abgekürzt hyDaNe) aus dem Urteil des BVerfG vom 20. April 2016 (s.o.) im PolG NRW verankert. Danach richten sich die Anforderungen an die Weiterverarbeitung zu anderen Zwecken als dem Erhebungszweck nach den Grundsätzen der Zweckbindung und -änderung, wobei sich die Reichweite der Zweckbindung nach der jeweiligen Ermächtigungsnorm für die Datenerhebung richtet.

Dazu später mehr.

In den folgenden Randnummern werden die oben aufgeführten Überschriften zuerst einmal kurz erläutert.

01.1 Weiterverarbeitung

TOP

Der unbestimmte Rechtsbegriff der »Weiterverarbeitung« wird in den Überschriften von drei Paragrafen im PolG NRW verwendet:

  • § 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) sowie sechsmal im Text der Norm

  • § 24 PolG NRW (Weiterverarbeitung zu besonderen Zwecken)

  • § 24a PolG NRW (Weiterverarbeitung zu wissenschaftlichen Zwecken)

[Wortbedeutung:] Weiterverarbeitung setzt begrifflich voraus, dass von der Polizei bereits personenbezogene Daten rechtmäßig vorgehalten werden und diese Daten so genutzt werden können, wie dies das DSG NRW mit dem unbestimmten Rechtsbegriff »Verarbeitung« im Sinne von § 36 Nr. DSG NRW (Begriffsbestimmungen) zum Ausdruck bringt.

Dort heißt es:

Es bezeichnen die Begriffe:

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Weiterverarbeitung setzt somit Verarbeitung im oben definierten Sinn voraus, was wiederum voraussetzt, dass die zur Verarbeitung zur Verfügung stehenden Daten zuvor erhoben und gespeichert worden sein müssen.

Das Wort »Weiterverarbeitung« lässt sich somit als einen Vorgang beschreiben, in dem etwas, was bereits vorgefertigt, oder als Rohstoff (Datensatz) bereits vorhanden ist, zur Herstellung eines anderen bzw. endgültigen Produkts verwendet wird. Denkbar ist aber auch, dass sich zum Beispiel im übertragenen Sinn durch die Weiterverarbeitung von Resten, Überbleibseln, Produktionsabfällen etc. neue Verwendungsmöglichkeiten ergeben, an die vorher nicht gedacht wurde.

In der elektronischen Weiterverarbeitung von Daten kann Weiterverarbeitung aber letztendlich nichts anderes bedeuten als: Verbindungen aufzeigen, die Menschen nicht wahrnehmen können.

[Profiling als Weiterverarbeitung:] In diesem Sinne kann zum Beispiel »Profiling« als eine im DSG NRW selbst definierte Form der Weiterverarbeitung angesehen werden. Im § 36 Nr. 4 DSG NRW (Begriffsbestimmungen) heißt es diesbezüglich:

Es bezeichnet der Begriff:

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Kurzum:

Algorithmen werden dazu benutzt, um Verhaltensauffälligkeiten oder Beziehungen in einem Netzwerk feststellen zu können, die nur durch diese Form der Weiterverarbeitung, eben durch Profiling, sichtbar werden, weil nur technische Möglichkeiten zu solch einer »Verhaltensanalyse« in der Lage sind.

Wie dem auch immer sei.

Weiterverarbeitung als unbestimmter Rechtsbegriff geht dennoch über die oben gemachten Ausführungen hinaus. Obwohl die Sprachfigur »Weiterverarbeitung« das DSG NRW nur einmal im § 18 Abs. 6 DSG NRW (Datenverarbeitung im Beschäftigungskontext) verwendet wird.

[DSGVO:] Im Gegensatz zu den spärlichen Ausführungen zu der Sprachfigur der »Weiterverarbeitung« sowohl im PolG NRW als auch im DSG NRW, vermögen die Erwägungsgründe, die der Datenschutz-Grundverordnung (DSGVO) zugrunde liegen, diese bestehende Definitionslücke durchaus zu schließen, denn in Anlehnung an diese Erwägungsgründe wurden die Artikel der DSGVO erlassen. Im Erwägungsgrund Nr. 50 (Weiterverarbeitung), der immerhin aus 437 Wörtern, verteilt auf insgesamt 10 Sätzen besteht, und somit sehr umfangreich ist, heißt es in den Sätzen 1 und 6 wie folgt:

[Erwägungsgrund Nr. 50:]

1 Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist.

An anderer Stelle heißt es:

6 Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht [...]. [En01] 1

Mit anderen Worten:

Die Sprachfigur der »Weiterverarbeitung« personenbezogener Daten setzt insbesondere die Verfolgung von Zwecken voraus, für die die erhobenen personenbezogenen Daten ursprünglich nicht erhoben wurden. Um die damit verbundene Zweckänderung begründen zu können, wurde vom Bundesverfassungsgericht die Sprachfigur der »hypothetischen Datenneuerhebung« kreiert, die von der Kurzformel ausgeht, dass personenbezogene Daten zu anderen Zwecken weiterverarbeitet werden können, wenn sie auf rechtmäßige Art und Weise, auch zu diesem (neuen) Zweck, hätten erhoben werden können, was aber nicht erforderlich ist, da die Daten bereits zu einem anderen Zweck erhoben wurden.

Mehr dazu in der folgenden Randnummer.

01.2 Hypothetische Datenneuerhebung

TOP

Zu den rechtmäßig erlangten personenbezogenen Daten können auch Daten gehören, die zu anderen Zwecken erhoben wurden als zu dem Zweck, zu denen sie später verwendet werden sollen. Sollen diese ursprünglich zu anderen Zwecken erhobene Daten anderweitig verwendet werden, ist das unter den Voraussetzungen möglich, die von den Richtern des Bundesverfassungsgerichts im April 2016 in der Sprachfigur der »hypothetischen Datenneuerhebung« beschrieben wurde.

[BVerfG 2016:] In der Pressemitteilung Nr. 19/2016 vom 20. April 2016 zum Urteil des BVerfG vom 20. April 2016 - 1 BvR 966/09, 1 BvR 1140/09 heißt es zur »hypothetischen Datenneuerhebung« u.a. wie folgt:

»Darüber hinaus kann der Gesetzgeber eine Nutzung der Daten auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben (Zweckänderung). Die Verhältnismäßigkeitsanforderungen für eine solche Zweckänderung orientieren sich am Grundsatz der hypothetischen Datenneuerhebung. Danach muss die neue Nutzung der Daten dem Schutz von Rechtsgütern oder der Aufdeckung von Straftaten eines solchen Gewichts dienen, die verfassungsrechtlich ihre Neuerhebung mit vergleichbar schwerwiegenden Mitteln rechtfertigen könnten. Eine konkretisierte Gefahrenlage wie bei der Datenerhebung ist demgegenüber grundsätzlich nicht erneut zu verlangen; erforderlich, aber auch ausreichend ist in der Regel das Vorliegen eines konkreten Ermittlungsansatzes.« [En02] 2

Und im Urteil selbst heißt es u.a.:

[Rn. 288:] Voraussetzung für eine Zweckänderung ist [...], dass die neue Nutzung der Daten dem Schutz von Rechtsgütern oder der Aufdeckung von Straftaten eines solchen Gewichts dient, die verfassungsrechtlich ihre Neuerhebung mit vergleichbar schwerwiegenden Mitteln rechtfertigen könnten [...].[En03] 3

Wichtige Hervorhebung:

Nicht jede Zweckänderung lässt eine Weiterverarbeitung bereits erhobener Daten zu neuen Zwecken (Zweckänderung) zu, sondern nur dann, wenn das verhältnismäßig ist.

[Hinweis:] Es kann davon ausgegangen werden, dass, wenn personenbezogene Daten zum Beispiel auf der Grundlage einer polizeirechtlichen Befugnis erhoben wurden, diese Daten auch zum Zweck der Strafverfolgung verwendet werden können, wenn die vorhandenen Daten auch auf der Grundlage einer strafprozessualen Befugnis zum Zeitpunkt der Nutzung dieser Daten hätten erhoben werden können.

01.3 Zweckbindung

TOP

Festzustellen ist, dass die Zweckbindung nicht nur für in elektronischen Dateien eingepflegte Daten gilt. Die Zweckbindung gilt auch für Datensätze, die in Karteien, Akten oder sonstigen Unterlagen vorgehalten werden.

[Grundsatz der Zweckbindung:] Darunter ist zu verstehen, dass die Speicherung, Veränderung und Nutzung personenbezogener Daten grundsätzlich nur zu dem Zweck erfolgen darf, zu dem die Daten erlangt worden sind.

Als Voraussetzung für die Datenerfassung wird somit verlangt,

  • dass sie rechtmäßig erhoben wurden und

  • zur Vorgangsverwaltung erforderlich sind.

Mit anderen Worten:

Die Daten müssen zur Erfüllung polizeilicher Aufgaben dienen.

Die Nutzung sowie die weitere Speicherung und Veränderung zu einem anderen Zweck sind nur dann zulässig, soweit die Polizei die Daten auch zu diesem Zweck hätte erheben dürfen.

01.4 Zweckänderung

TOP

Das Prinzip der Zweckbindung verarbeiteter personenbezogener Daten kann nur dann durchbrochen werden, soweit die weitere Speicherung und Veränderung zu einem anderen Zweck zulässig ist, was nichts anderes bedeutet, als dass die Polizei diese personenbezogenen Daten auch zu diesem Zweck hätte erheben dürfen. Diese Sichtweise ist nicht neu.

Insoweit ist das, was mit der Sprachfigur der »hypothetischen Datenneuerhebung« umschrieben wird, lediglich mit einer modifizierten neuen »Hülle« ausgestattet worden.

Diese Sprachfigur ist jedoch nach der hier vertretenen Rechtsauffassung aussagekräftiger, insbesondere dann, wenn es sich um die Weiterverarbeitung personenbezogener Daten:

  • Unverdächtiger Personen bzw. um die Daten von Kontaktpersonen handelt

  • Es sich um Mischdateien handelt, die sowohl präventiv-polizeilichen als auch strafverfahrensrechtlichen Zwecken dienen

  • Es sich um Datensätze mit unterschiedlichen Prüfpflichten handelt

  • Die Datensätze einer eingeschränkten Prüfpflicht unterliegen oder

  • unterschiedliche Protokollierungs- und Dokumentationspflichten zu beachten sind.

01.5 Zweckänderung - Polizei und Verfassungsschutz

TOP

Im Zusammenhang mit den Antiterrorgesetzen hat das BVerfG bereits mit Urteil vom 24. April 2013 - 1 BvR 1215/07 entschieden, dass anlässlich besonderer terroristischer Bedrohungslagen die Polizei auch auf Datenbestände zugreifen kann, die vom Verfassungsschutz erhoben wurden und umgekehrt.

Mit anderen Worten:

In diesem Urteil nimmt das BVerfG Stellung zu den Voraussetzungen, in denen das Trennungsgebot von Daten aus übergeordneten Gründen zurücktreten muss.

Bereits in den ersten beiden Leitsätzen heißt es:

1. Die Errichtung der Antiterrordatei als Verbunddatei verschiedener Sicherheitsbehörden zur Bekämpfung des internationalen Terrorismus, die im Kern auf die Informationsanbahnung beschränkt ist und eine Nutzung der Daten zur operativen Aufgabenwahrnehmung nur in dringenden Ausnahmefällen vorsieht, ist in ihren Grundstrukturen mit der Verfassung vereinbar.

2. Regelungen, die den Austausch von Daten der Polizeibehörden und Nachrichtendienste ermöglichen, unterliegen hinsichtlich des Grundrechts auf informationelle Selbstbestimmung gesteigerten verfassungsrechtlichen Anforderungen. Aus den Grundrechten folgt ein informationelles Trennungsprinzip, das diesen Austausch nur ausnahmsweise zulässt. [En04] 4

01.6 Personenbezogene Daten zur Identitätsfeststellung

TOP

Alle vorausgegangenen Überlegungen der Zweckbindung entfallen, wenn von der Polizei lediglich die Grunddaten zwecks Identifizierung einer Person erhoben und genutzt werden.

Hierbei handelt es sich um folgende Daten:

  • Familiennamen

  • Vornamen

  • Geschlecht

  • Geburtsnamen

  • Geburtsdatum

  • Geburtsort einschließlich des Geburtsstaates

  • Wohnanschrift

  • Staatsangehörigkeit und frühere Staatsangehörigkeiten.

Für eine derartige Ausnahme dieser personenbezogenen Daten im Hinblick auf die Weiterverarbeitung dieser Grunddaten spricht ein hohes polizeifachliches Erfordernis, denn eine zweifelsfreie Klärung der Identität einer Person ist notwendig, um Identitätsverwechslungen auszuschließen. Nur so kann verhindert werden, dass Eingriffe in die Grundrechte von unbeteiligten Personen stattfinden. So auch im Wesentlichen die Ausführungen dazu in der Gesetzesbegründung zu § 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung).

01.7 Selbst erhobene Daten oder keine Erhebung vorausgegangen

TOP

Im § 23 Abs. 1 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) heißt es:

(1) Die Polizeibehörde kann personenbezogene Daten, die sie selbst erhoben hat, weiterverarbeiten .....

Und im Absatz 2:

Satz 1 gilt entsprechend für personenbezogene Daten, denen keine Erhebung vorausgegangen ist.

[Datenerhebung:] Personenbezogene Daten werden erhoben, wenn sich die Polizei diese Daten selbst beschafft, also selbst tätig wird, um sich in den Besitz von personenbezogenen Daten zu bringen. Dass dies nur auf der Grundlage einer gesetzlichen Befugnis in Betracht kommen kann, soll hier nur der Vollständigkeit halber angemerkt werden.

Werden der Polizei personenbezogene Daten von polizeiexternen Personen unaufgefordert zur Verfügung gestellt, dann werden solche Daten im Rechtssinne nicht erhoben, sondern erlangt, siehe § 22 Abs. 1 PolG NRW (Datenspeicherung, Prüfungstermine).

Dort heißt es:

(1) Die Polizei kann rechtmäßig erlangte personenbezogene Daten in Akten und Dateisystemen speichern, soweit dies zur Erfüllung ihrer Aufgaben, zu einer zeitlich befristeten Dokumentation oder zur Vorgangsverwaltung erforderlich ist.

Mit anderen Worten:

Daten, die der Polizei unaufgefordert von polizeiexternen Personen zugänglich gemacht werden, werden rechtmäßig erlangt. Das ist zum Beispiel der Fall, wenn anonyme Anzeigen bei der Polizei eingehen, oder die Polizei unaufgefordert Hinweise erhält, die polizeiliche Ermittlungen auslösen, oder der Polizei von anderen Behörden zum Beispiel auf der Grundlage von § 30 Abs. 1 PolG NRW (Datenübermittlung an die Polizei) unaufgefordert Datensätze zur Verfügung gestellt werden, denn die Befugnis erlaubt es öffentlichen Stellen, soweit gesetzlich nichts anderes bestimmt ist, von sich aus personenbezogene Daten an die Polizei zu übermitteln, wenn dies zur Erfüllung polizeilicher Aufgaben erforderlich erscheint.

Aber auch wenn ein Datenübermittlungsersuchen im Sinne von § 30 Abs. 2 PolG NRW von der Polizei gestellt wurde, werden dadurch die übermittelten Daten nicht erhoben. Sie gelangen einfach auf andere Art und Weise in den Besitz der Polizei.

Und dass es sich dabei um komplexe Datensätze handeln kann, die kein Mensch mit seinen Sinnen auszuwerten vermag, sondern nur eine »Weiterverarbeitung mit den technischen Möglichkeiten der elektronischen Datenverarbeitung« zielführend sein kann, soll hier nur festgestellt werden.

[Offene oder verdeckte Datenerhebung?] Personenbezogene Daten können, soweit sie von der Polizei selbst erhoben werden, sowohl offen, als auch verdeckt erhoben werden.

[Offene Datenerhebung:] Offen werden personenbezogene Daten erhoben, wenn die Person, deren personenbezogene Daten von der Polizei erhoben werden, davon Kenntnis hat. Das ist aber nicht zwingend.

In der VVPolG NRW zu § 9 heißt es:

»Eine Datenerhebung kann ohne Kenntnis der betroffenen Person u.a. bei öffentlichen Stellen oder Dritten sowie aus allgemein zugänglichen Quellen erfolgen. Eine Datenerhebung durch Befragung Dritter oder durch Auskunftsersuchen bei einer anderen Behörde ist nicht schon deshalb eine verdeckte Maßnahme, weil sie ohne Kenntnis der betroffenen Person erfolgt.«

[Verdeckte Datenerhebung:] Dazu heißt es in der VVPolG NRW zu § 9 wie folgt: »Eine verdeckte Datenerhebung liegt vor, wenn getarnte Maßnahmen zur Datenerhebung vorgenommen werden, insbesondere die Zugehörigkeit zur Polizei bewusst verschleiert wird. Um ein verdecktes Vorgehen handelt es sich nicht schon, wenn Polizeivollzugsbeamtinnen oder Polizeivollzugsbeamte Dienst in Zivilkleidung verrichten oder ein äußerlich nicht als solches zu erkennendes Dienstfahrzeug benutzen.«

Mit anderen Worten:

Grundsätzlich können alle Daten, die auf rechtmäßige Art und Weise in den Besitz der Polizei gelangen, im Sinne von § 36 Nr. 2 DSG NRW (Begriffsbestimmungen) nicht nur »verarbeitet« werden, sondern auch gemäß § 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) weiterverarbeitet werden. Wenn es sich dabei um Fälle der so genannten »hypothetischen Datenneuerhebung« handelt, setzt die Weiterverarbeitung die im Gesetz benannten Voraussetzungen sowie eine zusätzliche Verhältnismäßigkeitsprüfung voraus.

02 Gesetzesbegründung zu § 23 PolG NRW

TOP

Der Wortlaut der Gesetzesbegründung zu § 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) ist umfangreich. Dennoch wird er an dieser Stelle im Wortlaut zitiert:

Nr. 20 (§ 23):

Allgemeines

Mit § 23 wird der Grundsatz der hypothetischen Datenneuerhebung (abgekürzt hyDaNe) aus dem Urteil des BVerfG vom 20. April 2016 (s.o.) im PolG NRW verankert. Danach richten sich die Anforderungen an die Weiterverarbeitung zu anderen Zwecken als dem Erhebungszweck nach den Grundsätzen der Zweckbindung und -änderung, wobei sich die Reichweite der Zweckbindung nach der jeweiligen Ermächtigungsnorm für die Datenerhebung richtet. Die Verhältnismäßigkeitsanforderungen für eine Zweckänderung haben sich am Grundsatz der hypothetischen Datenneuerhebung zu orientieren. Hierbei bemisst sich das Gewicht, das einer solchen Regelung im Rahmen der Abwägung zukommt, am Gewicht des Eingriffs der Datenerhebung. Das bedeutet, dass Informationen, die durch besonders eingriffsintensive Maßnahmen erlangt wurden, auch nur zu besonders gewichtigen Zwecken benutzt werden. Die neue Nutzung der Daten muss dem Schutz von Rechtsgütern eines solchen Gewichts dienen, die verfassungsrechtlich ihre Neuerhebung mit vergleichbar schwerwiegenden Mitteln rechtfertigen können (vgl. BVerfG a.a.O., Rz. 287f. m.w.N.).

In Anlehnung an die Parallelvorschrift des § 12 BKAG-Neu wird in Absatz 1 die weitere Nutzung innerhalb derselben Zwecke und in Absatz 2 die zweckändernde Nutzung geregelt. Um einen Gleichlauf mit § 12 Absatz 2 BKAG-Neu zu gewährleisten, wird die hypothetische Datenneuerhebung in § 23 Absatz 2 als allgemeiner Grundsatz formuliert, der bei jeder Datenverarbeitung zu beachten ist auch wenn sich das BVerfG in o.g. Urteil nur mit (besonders) eingriffsintensiven und verdeckten Maßnahmen auseinandergesetzt hat.

Absatz 1

Absatz 1 regelt die Verarbeitung von personenbezogenen Daten zur Erfüllung derselben Aufgabe und zum Schutz derselben Rechtsgüter oder sonstigen Rechte oder zur auf dieselben Straftaten bezogenen Gefahrenabwehr. Dabei handelt es sich um Datennutzungen über das der Datenerhebung zu Grunde liegende Verfahren hinaus, die sich im Rahmen der ursprünglichen Zwecke halten und durch dieselbe Behörde durchgeführt werden. Das BVerfG hat in seinem o.g. Urteil vom 20. April 2916 (siehe oben Fn. 6; Rz. 278ff.) klargestellt, dass solche Datennutzungen als weitere Nutzungen zulässig sind und nicht dem Grundsatz der hypothetischen Datenneuerhebung unterliegen.

Satz 2 regelt die entsprechende Anwendung von Satz 1 für personenbezogene Daten, denen keine Erhebung vorausgegangen ist - dazu gehören beispielsweise auch unaufgefordert durch Dritte erlangte Daten. Danach soll Satz 1 mit der Maßgabe gelten, dass aufgrund der fehlenden Datenerhebungsvorschrift für die Bestimmung derselben Aufgabe und derselben Rechtsgüter etc. der Zweck der Verarbeitung heranzuziehen ist. Diese Systematik folgt dem bisherigen Verständnis bei der Behandlung solcher Daten.

Absatz 2

Absatz 2 setzt die Vorgaben des BVerfG in seinem o.g. Urteil vom 20. April 2016 an die zweckändernde Verarbeitung von personenbezogenen Daten um und führt damit den Grundsatz der hypothetischen Datenneuerhebung in das PolG NRW ein. Zu Satz 2 siehe Begründung zu Absatz 1 Satz 2.

Absatz 3

Die Regelung sieht ebenso wie § 12 Absatz 4 BKAG-Neu vor, dass die Vorgaben zu Zweckbindung und der Grundsatz der hypothetischen Datenneuerhebung nicht gelten, wenn Grunddaten zwecks Identifizierung einer Person erhoben werden.

Hierbei handelt es sich um folgende Daten:

  • Familiennamen

  • Vornamen

  • Geschlecht

  • Geburtsnamen

  • Geburtsdatum

  • Geburtsort einschließlich des Geburtsstaates

  • Wohnanschrift

derzeitige Staatsangehörigkeit und frühere Staatsangehörigkeiten.

Für eine derartige Ausnahme besteht evident ein hohes polizeifachliches Erfordernis. Im Übrigen wird auf die Begründung zur Parallelvorschrift des § 12 Absatz 4 BKAG-Neu (BT-Drs. 18/11163, S. 95) verwiesen. Hier heißt es u.a.: „Die zweifelsfreie Klärung der Identität einer Person ist notwendig, um Identitätsverwechslungen auszuschließen und damit zu verhindern, dass Eingriffe in die Grundrechte von unbeteiligten Personen stattfinden“.

Absatz 4

Der Absatz enthält eine Sonderregelung für Daten, die ausschließlich zum Zwecke der Vorgangsverwaltung oder zur zeitlich befristeten Dokumentation (bspw. für einen Untersuchungsausschuss des Landtags NRW) erhoben worden sind. Mit der Regelung wird klargestellt, dass es sich in diesen Fällen nicht um zweckändernde Weiterverarbeitungen im Sinne des § 23 Absatz 2 handelt.

Absatz 5

Mit der Regelung soll die Beachtung der Absätze 1 bis 4 durch organisatorische und technische Maßnahmen nach dem Vorbild des § 12 Abs. 5 BKAG-Neu sichergestellt werden.

Absatz 6

Absatz 6 entspricht inhaltlich dem bisherigen § 24 Absatz 2 Satz 1 und 2. Er wurde lediglich hinsichtlich des neuen Begriffes der Weiterverarbeitung von Daten redaktionell angepasst. [En05] 5

03 § 23 Abs. 1 PolG NRW

TOP

Im § 23 Abs. 1 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) heißt es:

(1) Die Polizeibehörde kann personenbezogene Daten, die sie selbst erhoben hat, weiterverarbeiten

1. zur Erfüllung derselben Aufgabe und

2. zum Schutz derselben Rechtsgüter oder sonstigen Rechte oder zur Verhütung oder vorbeugenden Bekämpfung derselben Straftaten.

Satz 1 gilt entsprechend für personenbezogene Daten, denen keine Erhebung vorausgegangen ist, mit der Maßgabe, dass für die Weiterverarbeitung der Zweck der Verarbeitung zu berücksichtigen ist. Für die Weiterverarbeitung von personenbezogenen Daten, die aus Maßnahmen nach § 18 erlangt wurden, muss im Einzelfall eine Gefahr im Sinne des § 18 Absatz 1 vorliegen.

[Daten wurden selbst erhoben:] Personenbezogene Daten werden erhoben, wenn sie von der Polizei selbst auf der Grundlage der so genannten Datenerhebungsvorschriften erhoben werden. Das sind für den Bereich der Gefahrenabwehr die einschlägigen Eingriffsbefugnisse aus dem PolG NRW. Werden personenbezogene Daten zum Zweck der Strafverfolgung erhoben, geschieht dies auf der Grundlage der Befugnisse der StPO.

[Erfüllung derselben Aufgabe:] Die Weiterverarbeitung personenbezogener Daten im oben erläuterten Sinne setzt im Sinne von § 23 Abs. 1 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) voraus, dass sie zum gleichen Zweck erhoben wurden, zum Beispiel zum Zweck der Gefahrenabwehr. Dieses Prinzip soll der missbräuchlichen Verwendung von einmal beschafften Daten entgegenwirken. Eine Weiterverarbeitung von Daten, die zum gleichen Zweck erhoben wurden, kommt nach der hier vertretenen Rechtsauffassung aber wohl nur dann in Betracht, wenn es sich um erhobene »Massendaten« handelt, deren Auswertung ohne die Anwendung technischer Hilfsmittel (Computerprogramme) gar nicht durchgeführt werden kann.

[Beispiel:] Zur Verhütung einer terroristischen Straftat wird eine Zielperson von der Polizei auf der Grundlage zuvor eingeholter Anordnungen nicht nur observiert, auch ihre Telekommunikation wird überwacht. Die im Rahmen dieser mehrwöchigen Maßnahmen erhobenen »Überwachungsdaten« sind umfangreich. Dieses Datenmaterial soll dahingehend ausgewertet werden, dass nicht nur Bewegungsprofile der Zielperson, sondern auch Kontaktaufnahmen zu einer Vielzahl von Personen in Erfahrung gebracht werden, mit denen die Zielperson kommuniziert. Ist eine Weiterverarbeitung der erhobenen Daten in diesem Falle zulässig?

Dass es sich hier um eine »Weiterverarbeitung von Daten handelt, die von der Polizei zum selben Zweck erhoben wurden« ist offenkundig. Da nur durch Verwendung technischer Hilfsmittel (Computerprogramme) die erhobenen umfangreichen Daten so analysiert und ausgewertet werden können, dass sich daraus ein komplexes Kommunikationsbild der Zielperson erstellen lässt, das Auskunft darüber gibt, mit welchen Personen die Zielperson wann und wie kommuniziert, von wem sie Informationen erhält und wie diese Informationen in einem Netzwerk zum Beispiel an andere Personen übermittelt werden etc., lässt sich nur durch den Einsatz technischer Hilfsmittel realisieren. Vorausgesetzt, dass die eingesetzte Software über die richtigen Algorithmen verfügt (eine dumme Software kann keine intelligenten Ergebnisse liefern) kann bei der Analyse der vorhandenen Daten davon ausgegangen werden, dass bei der Weiterverarbeitung dieser Daten sowohl Verbindungen als auch Besonderheiten festgestellt werden können, die kein menschliches Auge erkennen und erst recht nicht miteinander in Verbindung setzen kann, zumindest nicht bei erhobenen Daten, die so umfangreich sind, dass der menschliche Verstand mit der Analyse dieser Daten schlechtweg überfordert ist.

Wie dem auch immer sei.

Die Daten wurden zum gleichen Zweck von der Polizei rechtmäßig erhoben. Der Grund dieser Maßnahmen »Verhütung terroristischer Straftaten« ist so schwerwiegend, dass auch aus Gründen der Verhältnismäßigkeit gegen eine »Weiterverarbeitung« der erhobenen Daten keine rechtlichen Bedenken bestehen.

[Zum Schutz derselben Rechtsgüter:] Nach der hier vertretenen Rechtsauffassung kommt eine Weiterverarbeitung erhobener persönlicher Daten zum Schutz derselben Rechtsgüter nur dann in Betracht, wenn es sich um besonders schutzwürdige Rechtsgüter handelt:

  • Leben

  • Gesundheit

  • Freiheit

  • Eigentum.

Das sind im Übrigen auch die Rechtsgüter, die zum Beispiel gegenwärtig gefährdet sein müssen, um eine Observation auf der Grundlage von § 16a Abs. 1 Nr. 1 PolG NRW (Datenerhebung durch Observation) rechtfertigen zu können. Vergleichbare Rechtsgüter werden auch durch eine Telekommunikationsüberwachung auf der Grundlage von § 20a Abs. 1 Satz 2 PolG NRW (Abfrage von Telekommunikations- und Telemediendaten) geschützt.

Dort heißt es, dass die Überwachung der Telekommunikation zulässig ist, 1. wenn die hohe Wahrscheinlichkeit eines Schadens für Leben, Gesundheit oder Freiheit einer Person besteht oder 2. zur Abwehr einer gemeinen Gefahr.

Dass eine Weiterverarbeitung durch Anwendung technischer Hilfsmittel (Computerprogramme) einen Datenbestand voraussetzt, der die menschliche Analysekompetenz überschreitet, kann vorausgesetzt werden, denn Weiterverarbeitung setzt nach der hier vertretenen Rechtsauffassung immer voraus, dass bei der Auswertung Ergebnisse erhofft/erwartet werden, die nur durch Maschinen herausgefiltert werden können.

[Verhütung/Vorbeugung derselben Straftaten:] Es würde zu weit führen, an dieser Stelle Ausführungen darüber zu machen, was unter den unbestimmten Rechtsbegriffen der Verhütung von Straftaten bzw. der vorbeugenden Bekämpfung von Straftaten zu verstehen ist. Festzustellen ist, dass es sich dabei mindestens um Straftaten von erheblicher Bedeutung, oder um so genannte terroristische Straftaten im Sinne von § 8 Abs. 4 PolG NRW (Allgemeine Befugnisse, Begriffsbestimmung) handeln muss.

Was der Gesetzgeber mit derselben Straftat meint, kann nur gemutmaßt werden, da die Anzahl der in Betracht kommenden Straftaten umfangreich ist, wenn man sie als Teil von Sammelstraftaten versteht (Straftat von erheblicher Bedeutung oder terroristische Straftat im Sinne von § 8 Abs. 4 PolG NRW). Nach der hier vertretenen Rechtsauffassung macht nur eine Zuordnung zu den beiden o.g. Kategoriezuordnungen Sinn, denn sogar Algorithmen wären überfordert, allein die mehr als 40 Straftatbestände sauber voneinander zu trennen, die sich aus § 8 Abs. 4 PolG NRW ergeben.

Ansonsten sind auch hier die oben gemachten Ausführungen zur Weiterverarbeitung anzuwenden.

[Keine Datenerhebung vorausgegangen:] Eine Weiterverarbeitung personenbezogener Daten kommt auch dann in Betracht, wenn »keine Datenerhebung durch die Polizei selbst« vorausgegangen ist, was nichts anderes bedeutet, als dass die Daten auf andere Art und Weise rechtmäßig in den Besitz der Polizei gelangten, zum Beispiel auf der Grundlage von § 30 PolG NRW (Datenübermittlung an die Polizei). Danach können öffentliche Stellen, soweit gesetzlich nichts anderes bestimmt ist, von sich aus personenbezogene Daten an die Polizei übermitteln, wenn dies zur Erfüllung polizeilicher Aufgaben erforderlich erscheint.

Aber auch wenn ein Datenübermittlungsersuchen im Sinne von Abs. 2 von der Polizei gestellt wurde, werden dadurch die übermittelten Daten nicht erhoben. Sie gelangen einfach auf andere Art und Weise in den Besitz der Polizei.

Und dass es sich zum Beispiel bei komplexen Datenübermittlungen im Rahmen von Wirtschaftsstraftaten, ob von der Polizei angefordert, oder von Finanzbehörden übermittelt, um Massendaten handelt, die kein Mensch mit seinen Sinnen auswerten kann, kommt hier nur eine »Weiterverarbeitung mit den technischen Möglichkeiten der elektronischen Datenverarbeitung« in Betracht.

[Maßnahmen nach § 18 PolG NRW:] Im § 18 PolG NRW ist die Datenerhebung durch den verdeckten Einsatz technischer Mittel in oder aus Wohnungen geregelt. Die Datenerhebung ist nur dann zulässig, wenn dies zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person erforderlich ist und diese Gefahr auf andere Weise nicht abgewendet werden kann.

04 § 23 Abs. 2 PolG NRW

TOP

Im § 23 PolG Abs. 2 NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) heißt es:

(2) Die Polizeibehörde kann zur Erfüllung ihrer Aufgaben personenbezogene Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben worden sind, weiterverarbeiten, wenn

1. mindestens

a) vergleichbar schwerwiegende Straftaten verhütet oder vorbeugend bekämpft oder

b) vergleichbar bedeutsame Rechtsgüter oder sonstige Rechte geschützt werden sollen und

2. sich im Einzelfall Anhaltspunkte

a) zur Verhütung oder vorbeugenden Bekämpfung solcher Straftaten ergeben oder

b) zur Abwehr einer innerhalb eines absehbaren Zeitraums drohenden Gefahr für mindestens vergleichbar bedeutsame Rechtsgüter oder sonstige Rechte erkennen lassen.

Satz 1 gilt entsprechend für personenbezogene Daten, denen keine Erhebung vorausgegangen ist, mit der Maßgabe, dass für die Weiterverarbeitung der Zweck der Verarbeitung zu berücksichtigen ist. Die §§ 24 und 24a bleiben unberührt. Personenbezogene Daten, die rechtmäßig zu den in § 11 genannten Zwecken erhoben wurden, dürfen nicht zu anderen Zwecken genutzt werden. Für die Weiterverarbeitung von Daten, die aus Maßnahmen nach § 18 erlangt wurden, gilt Absatz 2 Satz 1 Nummer 2 mit der Maßgabe entsprechend, dass im Einzelfall eine Gefahr im Sinne des § 18 Absatz 1 vorliegen muss.

[Andere Zwecke im Sinne von Abs. 2:] Als andere Zwecke kommen nach der hier vertretenen Rechtsauffassung nur solche Zwecke in Betracht, die nicht der Gefahrenabwehr, sondern der Strafverfolgung zuzurechnen sind.

Mit anderen Worten:

Wurden Daten zu den o.g. Zwecken von der Polizei rechtmäßig erhoben oder gelangten sie auf andere Art und Weise rechtmäßig in den Besitz dieser Daten, dann können diese Daten in Abweichung von dem Zweck, zu dem sie erhoben wurden oder übermittelt wurden, genutzt werden, wenn die nachfolgend kurz erörterten Voraussetzungen greifen:

  • Vergleichbar schwerwiegende Straftaten:
    Personenbezogene Daten können, unabhängig davon, ob die Daten zum Zweck der Gefahrenabwehr oder zum Zweck der Strafverfolgung erhoben wurden, weiterverarbeitet werden, wenn es sich um vergleichbar schwere Straftaten handelt, die eine Erhebung dieser Daten zulässt.

  • Vergleichbar bedeutsame Rechtsgüter:
    Was in Bezug auf vergleichbar schwerwiegende Straftaten anzuwenden ist, gilt analog auch für die Sprachfigur »vergleichbar bedeutsame Rechtsgüter«.

  • Ansatzpunkte im Einzelfall:
    Auf der Grundlage von nachvollziehbaren und begründbaren Ansatzpunkten muss zu erwarten sein, dass eine Weiterverarbeitung der Daten zu einem anderen Zweck zielführend sein könnte.
    Mit anderen Worten:
    Die vorgetragenen Gründe müssen über den Grad von Vermutungen hinausgehen und auf der Grundlage vorhandener Ermittlungsergebnisse den Schluss zulassen, dass bei einer Weiterverarbeitung der Daten neue bzw. weiterführende Erkenntnisse gewonnen werden können.

  • Absehbarer Zeitraum der drohenden Gefahr:
    Über die Länge des Zeitraums schweigt sich der Gesetzgeber auch in der Gesetzesbegründung zu § 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) aus. Die Frage des Zeitraums einer drohenden Gefahr, womit keine eigenständige Gefahrenart, sondern nur die von einer Gefahr möglicherweise in absehbarer Zeit ausgehende Bedrohung gemeint ist, wird sich nur im Zusammenhang mit dem Anlass der polizeilichen Maßnahmen beantworten lassen und nur dann zufriedenstellend gelöst werden können, wenn dieser Zeitrahmen von der Polizei nach pflichtgemäßem Ermessen bestimmt werden kann, oder sich an der höchstzulässigen Dauer angeordneter Datenerhebungsmaßnahmen orientiert.

  • § 24 und 24a PolG NRW bleiben unberührt:
    Dazu wird auf den Wortlaut der nachfolgend aufgeführten Befugnisse verwiesen:
    § 24 PolG NRW (Weiterverarbeitung zu besonderen Zwecken)
    § 24a PolG NRW (Weiterverarbeitung zu wissenschaftlichen Zwecken).

  • Im § 11 PolG NRW benannte Zwecke:
    Eine Weiterverarbeitung personenbezogener Daten, die auf der Grundlage von § 11 PolG NRW (Erhebung von Personaldaten zur Vorbereitung für die Hilfeleistung und das Handeln in Gefahrenfällen) erhoben wurden, kommt nur zweckgebunden in Betracht.

  • Weiterverarbeitung im Sinne von § 18 PolG NRW:
    Auf der Grundlage von § 18 PolG NRW (Datenerhebung durch den verdeckten Einsatz technischer Mittel in oder aus Wohnungen) erhoben Daten dürfen nur dann weiterverarbeitet werden, wenn im Einzelfall eine Gefahr im Sinne des § 18 Absatz 1 PolG NRW (Datenerhebung durch den verdeckten Einsatz technischer Mittel in oder aus Wohnungen) besteht. Dort heißt es: »wenn dies zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person erforderlich ist und diese auf andere Weise nicht abgewendet werden kann.«

05 § 23 Abs. 3 PolG NRW

TOP

Im § 23 Abs. 3 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) heißt es:

(3) Abweichend von Absatz 2 können die vorhandenen, zur Identifizierung dienenden Daten einer Person, insbesondere Name, Geschlecht, Geburtsdatum, Geburtsort, derzeitige und frühere Staatsangehörigkeit, Anschrift (Grunddaten), auch weiterverarbeitet werden, um diese Person zu identifizieren. Die §§ 24 und 24a und bleiben unberührt.

Wenn es lediglich um die nachfolgend aufgeführten Grunddaten einer Person geht, auf deren Grundlage ihre Identität festgestellt werden kann, entfallen die vorausgegangenen Überlegungen der Zweckbindung.

Dabei handelt es sich um folgende Daten:

  • Familiennamen

  • Vornamen

  • Geschlecht

  • Geburtsnamen

  • Geburtsdatum

  • Geburtsort einschließlich des Geburtsstaates

  • Wohnanschrift

  • Staatsangehörigkeit und frühere Staatsangehörigkeiten.

Für die Notwendigkeit der Weiterverarbeitung solcher personenbezogener Daten spricht ein hohes polizeifachliches Erfordernis, denn eine zweifelsfreie Klärung der Identität einer Person ist notwendig, um Identitätsverwechslungen ausschließen zu können, zumal nur so verhindert werden kann, dass Eingriffe in die Grundrechte von unbeteiligten Personen stattfinden.

So auch im Wesentlichen die Ausführungen dazu in der Gesetzesbegründung zu § 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung).

06 § 23 Abs. 4 PolG NRW

TOP

Im § 23 Abs. 4 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) heißt es:

(4) Abweichend von Absatz 2 können rechtmäßig erhobene personenbezogene Daten allein zum Zwecke der Vorgangsverwaltung oder zu einer zeitlich befristeten Dokumentation weiterverarbeitet werden.

Gemeint sind folgende Datensätze:

Auf der Grundlage von § 23 Abs. 2 PolG NRW vorgehaltene Datensätze kann die Polizei zur Erfüllung ihrer Aufgaben personenbezogene Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben worden sind, weiterverarbeiten, wenn

1. mindestens

a) vergleichbar schwerwiegende Straftaten verhütet oder vorbeugend bekämpft oder

b) vergleichbar bedeutsame Rechtsgüter oder sonstige Rechte geschützt werden sollen und

2. sich im Einzelfall Anhaltspunkte

a) zur Verhütung oder vorbeugenden Bekämpfung solcher Straftaten ergeben oder

b) zur Abwehr einer innerhalb eines absehbaren Zeitraums drohenden Gefahr für mindestens vergleichbar bedeutsame Rechtsgüter oder sonstige Rechte erkennen lassen.

[Hinweis:] Das von der Polizei zum Zweck der Vorgangsverwaltung, wozu auch die Vorgangserstellung, kurzum das komplette Vorgangsbearbeitungssystem der Polizei gehört, Daten verarbeitet und somit auch weiterbearbeitet werden müssen, dürfte eine Selbstverständlichkeit sein. Das neue Vorgangsbearbeitungssystem ViVA der Polizei NRW ist seit Februar 2018 in Betrieb. Mehr zu ViVA in der folgenden Randnummer

07 § 23 Abs. 5 PolG NRW

TOP

Im § 23 Abs. 5 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) heißt es:

(5) Bei der Weiterverarbeitung von personenbezogenen Daten stellt die Polizei durch technische und organisatorische Vorkehrungen sicher, dass die Absätze 1 bis 4 beachtet werden.

Technische Vorkehrungen zum Schutz personenbezogener Daten sind integrierte Bestandteile des jeweils zur Anwendung kommenden Workflows einer Software. Gemeint ist unter anderem die Steuerungssoftware des Vorgangsbearbeitungssystems ViVA der Polizei NRW, aber auch andere vergleichbar komplexe Anwendungen.

[Workflow:] Unter einem Workflow (ViVA) ist der Teil einer Software zu verstehen, die komplexe Arbeitsabläufe steuert. Der Workflow legt zum Beispiel fest, was das neue Vorgangsbearbeitungssystem ViVA der Polizei NRW, das seit Februar 2018 in Betrieb ist, tatsächlich kann. Mit dem Start des integrierten Vorgangsbearbeitungs- und Auskunftssystems der Polizei NRW soll zum Beispiel Doppelarbeit vermieden sowie komplexe Arbeitsvorgänge aus einer Hand bearbeitet werden können.

Kurzum:

ViVA soll der Polizei den Schritt in die digitale Zukunft ermöglichen. Welche Arbeitsplatzbereiche dadurch wegfallen werden, das ist zurzeit noch nicht absehbar. Zu denken ist sowohl an die Kriminalaktenhaltung als auch an Sachbearbeitung in einzelnen Bereichen.

Anders ausgedrückt:

Der Workflow legt fest, was eine komplexe Softwareanwendung überhaupt kann oder können muss. Auch gibt der Workflow vor, wie Datensätze einzugeben, zu pflegen, an andere zu übermitteln oder zu löschen sind. Der Workflow reagiert auch auf Anwendungsfehler und bietet entsprechende Korrekturhilfen an. Auch definiert er Abhängigkeiten, um Fehler und Engstellen erkennen und optimieren zu können. Den Workflow im oben skizzierten Sinne könnte man auch als ein Betriebssystem oder eine komplexe Programmanwendung verstehen, bzw. beschreiben, die Anwendern die Verarbeitung von Daten ermöglicht.

Mit anderen Worten:

Der Workflow ist das Herz eines jeden automatisierten Dateisystems, denn kein Mensch wäre dazu in der Lage, die Daten zu verwalten und die Arbeitsabläufe einzuhalten und suchfähig in einer komplexen Datenbank zu speichern, die erforderlich sind, um für die Aktualität vorgehaltener Daten Sorge tragen, bzw. sie nutzen zu können.

Über solch organisierte Dateisysteme, deren Komplexität nicht einmal diejenigen Programmierer beschreiben können, die diese Systeme programmiert haben, verfügen sowohl die Polizeien des Bundes (BKA und Bundespolizei) als auch die Polizeien der Länder. Zu meinen, dass jemand tatsächlich weiß, wie dieser »Große Bruder«, in NRW heißt er seit Februar 2018 ViVA, wirklich funktioniert, ist ein Irrglaube. Und wie viele Fehler in diesem Workflow enthalten sind, das weiß so genau auch niemand.

Insoweit bietet sich hier durchaus ein Vergleich zu Microsoft an:

Auch die von Microsoft entwickelten Betriebssysteme überfordern die grauen Zellen nicht nur von Einzelpersonen, sondern auch die von Gruppen, die solche Systeme konzipiert und programmiert haben und sie kontinuierlich weiterentwickeln. Und wie viele Fehler in den Jahren der Entwicklung von den Programmierern sozusagen als »kleines eigenes digitales Denkmal« eingepflegt wurden, das weiß auch niemand.

[Organisatorische Maßnahmen:] Unter organisatorischen Maßnahmen wird hier die Zugriffshierarchie verstanden, die es Personen erlaubt, in automatisierten Dateien gespeicherte Daten zur Erfüllung polizeilicher Aufgaben nutzen zu können/dürfen.

Dass solche Zugriffsberechtigungen im Workflow von dazu autorisierten Anwendern nachzuweisen sind, bevor die Technik überhaupt den Zugriff auf gespeicherte oder noch zu speichernde Daten zulässt, dürfte eine Selbstverständlichkeit sein. In der Regel wird der Zugriff auf Datensätze durch Eingabe eines Kennwortes ermöglicht.

Im hier zu erörternden Sachzusammenhang geht es aber vorrangig darum, durch organisatorische Maßnahmen dafür Sorge zu tragen, dass von Zugriffsberechtigten nur die Daten genutzt und verarbeitet werden können, die der jeweiligen Zugriffsberechtigung entsprechen.

Mit anderen Worten:

Es gibt eine Ebene der Zugriffsberechtigung für:

  • Sachbearbeiter

  • Sachbearbeiter, deren Aufgabe es ist, Datenabfragen durchzuführen etc.

  • Vorgesetzte von Sachbearbeitern

  • Sachbearbeiter in speziellen Aufgabenbereichen, zum Beispiel Staatsschutz

  • Vorgesetzte in diesem Bereich

  • Dienstgruppenleiter der Einsatzleitstelle

  • Zugriffsberechtigung für Dezernatsleiter und für leitende Polizeibeamte

  • Zugriffsberechtigung für Behördenleiterinnen und Behördenleiter

  • Zugriffsberechtigung des Datenschutzbeauftragten der Behörde

  • Zugriffsberechtigung des Landesdatenschutzbeauftragten für Landesanwendungen etc.

[Zugang und Beschränkung des Zugriffs auf personenbezogene Daten:] Bei den Maßnahmen dieser Art handelt es sich sowohl um organisatorische als auch um technische Maßnahmen, die sicherstellen, dass nur berechtigte Personen auf in Dateien vorgehaltene Daten zugreifen können.

08 § 23 Abs. 6 PolG NRW

TOP

Im § 23 Abs. 6 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung) heißt es:

(6) Die Absätze 2 bis 5 gelten auch für die Weiterverarbeitung der im Rahmen der Verfolgung von Straftaten gewonnenen personenbezogenen Daten zum Zwecke der Gefahrenabwehr im Sinne des § 1 Absatz 1. Eine suchfähige Speicherung dieser Daten in Dateisystemen und Akten ist nur über Personen zulässig, gegen die ein strafrechtliches Ermittlungsverfahren eingeleitet worden ist.

Das bedeutet:

Die personenbezogenen Daten wurden auf der Grundlage strafrechtlicher Befugnisse erhoben, was voraussetzt, dass personenbezogene Daten bei einem Beschuldigten von der Polizei selbst, oder in ihrem Auftrag, zum Beispiel bei Telekommunikationsüberwachungen durch den jeweiligen TK-Anbieter, erhoben wurden.

Beschuldigter wird eine Person dadurch, dass sich gegen ihn strafprozessuale Maßnahmen richten, wodurch gegen diese Person automatisch auch das Strafverfahren betrieben wird.

Mit anderen Worten:

Richten sich strafprozessuale Datenerhebungsmaßnahmen gegen einen Beschuldigten, dann wurden sie zur Verfolgung von Straftaten auf der Grundlage der einschlägigen Befugnisse der StPO erhoben.

Diese Daten können suchfähig gespeichert werden, wenn gegen die Person ein strafrechtliches Ermittlungsverfahren eingeleitet worden ist. Davon ist immer auszugehen, wenn die Polizei gegen einen Beschuldigten ermittelt.

[Gefahr im Sinne von § 1 Abs. 1 PolG NRW:] Weiterverarbeitet werden können die Daten bereits dann, wenn eine Gefahr im Sinne von § 1 Abs. 1 PolG NRW (Allgemeine Befugnisse, Begriffsbestimmung) besteht. Damit ist sowohl eine konkrete Gefahr als auch die Anscheinsgefahr gemeint, also eine Gefahr, die nicht einmal konkret sein muss.

In der VVPolG NRW zu § 1 heißt es:

1.12

§ 1 Abs. 1 stellt auf die abstrakte Gefahr ab und umfasst damit auch alle Fälle, in denen bereits eine konkrete Gefahr vorliegt.

Ende des Kapitels

TOP

§ 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung)
Wenn Sie einen Fehler gefunden haben oder eine Frage zum Inhalt stellen möchten, schreiben Sie mir bitte eine
Mail. Fügen Sie in Ihre Mail die Anschrift dieser Seite und die jeweilige Randnummer ein.

TOP

09 Quellen

TOP

Die Quellen wurden am angegebenen Zeitpunkt aufgerufen und eingesehen. Über die weitere Verfügbarkeit der Inhalte entscheidet ausschließlich der jeweilige Anbieter.

TOP

Endnote_01
Erwägungsgrund 50
Weiterverarbeitung
https://dsgvo-gesetz.de/erwaegungsgruende/nr-50/
Aufgerufen am 16.02.2019
Zurück

Endnote_02
Hypothetische Datenneuerhebung
https://www.bundesverfassungsgericht.de/SharedDocs/
Pressemitteilungen/DE/2016/bvg16-019.html
Aufgerufen am 16.02.2019
Zurück

Endnote_03
Hypothetische Datenneuerhebung
BVerfG, Urteil vom 20. April 2016 - 1 BvR 966/09
https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/
DE/2016/04/rs20160420_1bvr096609.html;jsessionid=
CCF20ACD7DD793070B8D241B532DDE07.1_cid392
Aufgerufen am 16.02.2019
Zurück

Endnote_04
Antiterrordatei
Urteil vom 24. April 2013 - 1 BvR 1215/07
https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/
DE/2013/04/rs20130424_1bvr121507.html
Aufgerufen am 16.02.2019
Zurück

Endnote_05
Drucksache 17/2576 vom 09.05.2018
Gesetzentwurf der Landesregierung
Gesetz zur Anpassung des Polizeigesetzes des Landes Nordrhein-Westfalen und des Gesetzes über Aufbau und Befugnisse der Ordnungsbehörden Seite 69 und 70
https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/
Dokument/MMD17-2576.pdf
Aufgerufen am 16.02.2019
Zurück

TOP

§ 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung)
Wenn Sie einen Fehler gefunden haben oder eine Frage zum Inhalt stellen möchten, schreiben Sie mir bitte eine
Mail. Fügen Sie in Ihre Mail die Anschrift dieser Seite und die jeweilige Randnummer ein.

TOP 

Zurück zum Inhaltsverzeichnis des PolG NRW