Rodorf.de
Home PolG NRW StPO StGB
       
StaatsR AVR VersR Art. 33 GG
Impressum Datenschutz

§ 29 PolG NRW (Datenübermittlung an Personen/Stellen außerhalb des öffentlichen Bereichs)
 

Alfred Rodorf
April 2019
 
 
  VVPolG NRW zu § 29
01 Allgemeines zu § 29 PolG NRW
01.1 Essentielle Ermächtigungsvoraussetzung
01.2 Drittländer im Sinne des § 29 PolG NRW
01.2.1 Drittländer im Sinne der DSGVO
01.2.2 Datenübermittlung in die USA
01.2.3 Zu beachtende Regelungen im DSG NRW
01.2.4 Sonst. Regelungen im PolG NRW b.d. Datenübermittlung a. Drittländer
01.3 Regelungen im § 29 Abs. 2 PolG NRW
02 Quellen

VVPolG NRW zu § 29

TOP

Durch die Neufassung des § 29 PolG NRW (Datenübermittlung im internationalen Bereich) ist die noch zu § 29 PolG NRW-alt bestehende Verwaltungsvorschrift gegenstandslos geworden. Sobald eine neue VVPolG NRW zu § 29 zur Verfügung steht, wird sie an dieser Stelle zitiert.

01 Allgemeines zu § 29 PolG NRW

TOP

In der Gesetzesbegründung zu § 29 PolG NRW (Datenübermittlung im internationalen Bereich), siehe LT-Drucksache 17/2576 »Gesetz zur Anpassung des Polizeigesetzes des Landes Nordrhein-Westfalen und des Gesetzes über Aufbau und Befugnisse der Ordnungsbehörden« vom 09.05.2018, heißt es:

»Die Absätze 1 und 2 konkretisieren die Vorgaben der §§ 62 - 65 DSG NRW-Neu für Datenübermittlungen an Drittstaaten und an internationale Organisationen. In Satz 3 wird zusätzlich zu § 26 Abs. 1 auf das Erfordernis des Vorliegens der Voraussetzungen der sog. hypothetischen Datenneuerhebung im jeweiligen Einzelfall gemäß § 23 hingewiesen, insbesondere der dortige Absatz 2, der für die Datenübermittlung an eine andere Stelle einschlägig ist. Satz 4 verweist auf bi- oder internationale Vereinbarungen, die im Bereich der Datenübermittlung unberührt bleiben.

Absatz 2 regelt den für die datenschutzrechtliche Kontrolle notwendigen Übermittlungsnachweis und die dazugehörige Aussonderungsregelung.« [En01] 1

Bereits diesen wenigen Zeilen kann entnommen werden, dass § 29 PolG NRW (Datenübermittlung im internationalen Bereich) nicht aus sich selbst heraus verständlich ist und umfangreiches datenschutzrechtliches Wissen voraussetzt, um überhaupt zur Anwendung kommen zu können.

Unabhängig davon verweist § 29 PolG NRW (Datenübermittlung im internationalen Bereich) auch noch auf andere Befugnisse des PolG NRW, so dass sich - allein was den Gesetzestext betrifft, auf den sich § 29 PolG NRW bezieht - leicht mehrere DIN-A-4-Seiten mit Text füllen lassen.

In der im § 29 PolG NRW vorgenommenen Reihenfolge sind das die nachfolgend aufgeführten Befugnisse des PolG NRW:

  • § 28 PolG NRW (Datenübermittlung im Bereich der Europäischen Union und deren Mitgliedsstaaten)

  • § 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung)

  • § 33c PolG NRW (Datenschutzkontrolle).

Bei so vielen Verweisen auf andere gesetzliche Regelungen fällt es schwer, § 29 PolG NRW (Datenübermittlung im internationalen Bereich) so zu erörtern, dass sich daraus mehr als eine bloße »Prüfskizze« ergibt, die für sich allein gesehen schon als durchaus umfangreich bezeichnet werden kann.

Dass solch eine Befugnis im polizeilichen Berufsalltag nur noch von Fachleuten angewendet werden kann, die insbesondere über umfassende datenschutzrechtliche Kenntnisse verfügen, dürfte bereits auf den ersten Blick in diese Befugnis deutlich werden.

Ob es sich bei dieser Neuregelung um eine praxistaugliche Befugnis handelt, bleibt abzuwarten. Es kann davon ausgegangen werden, dass dann, wenn das aus polizeilicher Sicht erforderlich ist, mit so genannten Drittstaaten personenbezogene Daten auszutauschen (zu übermitteln) sich aufgrund des dafür erforderlichen bedeutsamen Anlasses schon die Gründe finden lassen, die eine Datenübermittlung zulassen. Nach der hier vertretenen Auffassung dürften der Vernunft zugängliche Gründe dafür besser geeignet sein, als das Studium datenschutzrechtlicher Befugnisse, über die sich Kommentatoren nach Herzenslust auslassen können. Polizeiliche Professionalität würde so viel Liebe zum Detail eher schaden als nutzen.

01.1 Essentielle Ermächtigungsvoraussetzung

TOP

Auf der Grundlage von § 29 Abs. 1 Satz 1 PolG NRW (Datenübermittlung im internationalen Bereich) können personenbezogene Daten an Drittländer übermittelt werden, »soweit dies zur Erfüllung polizeilicher Aufgaben oder zur Abwehr einer erheblichen Gefahr durch die empfangende Stelle erforderlich ist. Entsprechendes gilt, wenn tatsächliche Anhaltspunkte dafür bestehen, dass Straftaten von erheblicher Bedeutung begangen werden sollen und die Datenübermittlung zur Verhinderung dieser Straftaten erforderlich ist«.

Mit anderen Worten:

Es muss sich aus polizeilicher Sicht um Anlässe handeln, die Datenübermittlungen erforderlich werden lassen.

Dass es sich dabei um Anlässe handelt, durch die bedeutsame Rechtsgüter geschützt werden sollen, ergibt sich allein schon aus dem Grundsatz der Erforderlichkeit.

01.2 Drittländer im Sinne des § 29 PolG NRW

TOP

Im § 29 Abs. 1 PolG NRW (Datenübermittlung im internationalen Bereich) heißt es:

(1) Eine Übermittlung personenbezogener Daten an andere als die in § 28 Absatz 1 Nummer 2 genannten Staaten (Drittländer) und andere als in § 28 Absatz 1 Nummer 3 genannte über- und zwischenstaatliche Stellen ist unter Beachtung der §§ 62 bis 65 des Datenschutzgesetzes Nordrhein-Westfalen zulässig, soweit dies zur Erfüllung polizeilicher Aufgaben oder zur Abwehr einer erheblichen Gefahr durch die empfangende Stelle erforderlich ist. Entsprechendes gilt, wenn tatsächliche Anhaltspunkte dafür bestehen, dass Straftaten von erheblicher Bedeutung begangen werden sollen und die Datenübermittlung zur Verhinderung dieser Straftaten erforderlich ist. § 23 gilt auch bei der Datenübermittlung in Drittstaaten. § 28 Absatz 2 gilt entsprechend.

[Datenübermittlung an Drittländer:] Hierbei handelt es sich um Staaten, die weder der EU angehören, noch zu den Staaten des EWR (Europäischer Wirtschaftsraum) zählen. Beispiele für solche Drittstaaten sind die USA, China oder Russland.

Festzustellen ist, dass hinsichtlich der Anforderungen an eine Datenübermittlung in ein Drittland sich die Rechtslage auch durch die DSGVO nicht grundlegend geändert hat, sondern zum Teil sogar vereinfacht wurde.

Sowohl nach alter als auch nach neuer Rechtslage kommt eine Datenübermittlung in Drittländer in Betracht, wenn:

  • eine Einwilligung des Betroffenen in eine Datenübermittlung vorliegt

  • das zur Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle zulässig ist

  • die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses notwendig oder

  • die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist

  • die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist.

Darüber hinaus kann eine Übermittlung auch durch die Aufsichtsbehörde genehmigt werden, wenn Garantien zum Schutz des Persönlichkeitsrechts vorliegen.

01.2.1 Drittländer im Sinne der DSGVO

TOP

Die oben mitgeteilten Gründe, die eine Datenübermittlung auch in Drittländer zu rechtfertigen vermögen, sind auch in der Datenschutz-Grundverordnung (DSGVO) enthalten.

Die nachfolgend mitgeteilten Ausführungen, die der Website DSGVO-Gesetz.de entnommen wurden, macht dennoch schnell deutlich, wie komplex das Thema Datenübermittlung in so genannte Drittländer tatsächlich ist.

»Hinsichtlich des internationalen Handels und Zusammenarbeit ist es in der heutigen Zeit unerlässlich, Daten auch an Drittländer übermitteln zu können. Die Zulässigkeitsprüfung einer solchen Übermittlung erfolgt zweistufig.

Zunächst muss die Datenübermittlung an sich zulässig sein. Jedwede Verarbeitung von personenbezogenen Daten unterliegt einem Verbot mit Erlaubnisvorbehalt. Neben der Einwilligung führt Art. 6 DSGVO weitere Rechtmäßigkeitsgründe, wie beispielsweise die Erfüllung eines Vertrages oder den Schutz lebenswichtiger Interessen, an. Für besondere personenbezogene Daten, die eines höheren Schutzniveaus bedürfen, gelten die Erlaubnistatbestände des Art. 9 DSGVO.

Erfüllt die geplante Datenübermittlung die allgemeinen Voraussetzungen, ist im zweiten Schritt zu prüfen, ob eine Übermittlung in das Drittland zulässig ist. Dabei wird zwischen sicheren und unsicheren Drittländern unterschieden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zum Zeitpunkt der Anwendbarkeit der Datenschutz-Grundverordnung gehören zu den sicheren Drittstaaten: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die USA (wenn der Empfänger dem Privacy Shield angehört). In diese ist die Datenübermittlung daher ausdrücklich gestattet.

Existiert für ein Land kein Angemessenheitsbeschluss, schließt dies eine Übermittlung in dieses Land nicht grundsätzlich aus. Vielmehr muss der Verarbeiter auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Dies kann durch den Einsatz von Standarddatenschutzklauseln, bei Datenübertragungen innerhalb eines Konzerns durch sog. Binding Corporate Rules, durch eine Verpflichtung zur Einhaltung von Verhaltensregeln, die von der Kommission für allgemein gültig erklärt worden sind oder durch die Zertifizierung des Verarbeitungsvorgangs geschehen.

Weiterhin gibt es eine Reihe von Ausnahmen, welche eine Datenübertragung in ein Drittland legitimieren, auch wenn der Schutz der personenbezogenen Daten nicht ausreichend sichergestellt werden kann. Am häufigsten wird hier die Einwilligung des Betroffenen einschlägig sein. Dabei sind insbesondere die Anforderungen an deren Freiwilligkeit zu beachten. Die weiteren Ausnahmen, wie die Übermittlung zur Vertragserfüllung, wichtige Gründe des öffentlichen Interesses und die Geltendmachung von Rechtsansprüchen, werden in der Praxis hingegen meist weniger relevant sein.

[Hinweis:] Im Rahmen der hier zu erörternden Problematik der Datenübermittlung personenbezogener Daten in so genannte Drittländer dürfte deutlich geworden sein, dass es sich bei diesem Vorgang - nicht nur im Sinne der DSGVO - um eine komplexe und kompliziert zu handhabende Regelungsmaterie handelt, zumal in einer Vielzahl von Artikeln in der DSGVO darauf Bezug genommen wird. Gleiches gilt selbstverständlich auch für die Erwägungsgründe der DSGVO, an denen sich die einzelnen Artikel der DSGVO orientiert haben, und deren Überschriften bereits deutlich machen, das nichts so einfach ist, wie es auf den ersten Blick erscheint.

In folgenden Erwägungsgründen sind Aussagen über Drittstaaten zu finden:

  • Grundsätze des internationalen Datenverkehrs (102)

  • Internationale Abkommen für angemessenes Schutzniveau (103)

  • Adäquates Schutzniveau von Drittländern aufgrund eines Angemessenheitsbeschlusses (104)

  • Kriterien für Angemessenheitsbeschluss (105)

  • Berücksichtigung internationaler Abkommen für Angemessenheitsbeschluss (106)

  • Überwachung und regelmäßige Überprüfung des Schutzniveaus (107)

  • Abänderung, Widerruf und Außerkraftsetzung von Angemessenheitsbeschlüssen (108)

  • Geeignete Garantien (109)

  • Standard-Datenschutzklauseln (110)

  • Verbindliche interne Datenschutzvorschriften (111)

  • Ausnahmen für bestimmte Fälle internationaler Übermittlungen (112)

  • Datenübermittlungen aufgrund wichtiger Gründe des öffentlichen Interesses (113)

  • Nicht wiederholend erfolgende und nur eine begrenzte Zahl von Betroffenen betreffende Übermittlungen (114)

  • Sicherstellung der Durchsetzbarkeit von Rechten und Pflichten bei Fehlen eines Angemessenheitsbeschlusses (115)

  • Vorschriften in Drittländern, die der Verordnung zuwiderlaufen.

01.2.2 Datenübermittlung in die USA

TOP

Wie bisher können Datenübermittlungen in die USA über das vereinbarte Abkommen »Privacy Shield« durchgeführt werden.Voraussetzung ist, dass sich die Unternehmen mit Sitz in den USA in eine entsprechende Liste eintragen und sich selbst dazu verpflichten, die durch das Abkommen definierten Garantien und Beschränkungen einzuhalten.

Der Datenübermittler hat im Vorfeld der Übermittlung nur zu überprüfen, ob das betreffende US-Unternehmen in dieser Liste des US-Handelsministeriums gelistet ist und ob das Ablaufdatum der Zertifizierung noch in der Zukunft liegt.

Problematisch für den Datenverkehr mit der EU sind neben dem niedrigen Schutzniveau auch die umfassenden Zugriffsbefugnisse der US-Behörden.

Um dennoch eine Datenübermittlung zu ermöglichen, wurden Sonderregelungen ausgehandelt, die unter den Namen Safe Harbor und Privacy Shield bekannt sind. Es handelt sich hierbei um Vereinbarungen, die bei amerikanischen Unternehmen ein ausreichendes Schutzniveau für Daten herstellen sollen, sodass eine Übermittlung dorthin mit dem europäischen Datenschutzrecht vereinbar ist und erlaubt werden kann.

Es würde dieses Kapitel überfrachten, den regen Datenaustausch zwischen deutschen und us-amerikanischen Sicherheitsbehörden, von dem trotz NSA-Skandal und abgehörtem Kanzlertelefon weiterhin auszugehen ist, zu thematisieren.

Insoweit dürfte ein Artikel, der am 13.07.2014 in der Onlinausgabe der Süddeutschen Zeitung veröffentlicht wurde, auch heute noch die Wirklichkeit abbilden. In dem Artikel heißt es u.a: »CIA und BND waren schon immer die besten Freunde.« [En02] 2

01.2.3 Zu beachtende Regelungen im DSG NRW

TOP

§ 29 Abs. 1 PolG NRW (Datenübermittlung im internationalen Bereich) weist im Zusammenhang mit der Datenübermittlung an Drittstaaten ausdrücklich auf die nachfolgend aufgeführten Regelungen im DSG NRW hin:

01.2.4 Sonstige Regelungen im PolG NRW bei der Datenübermittlung an Drittländer

TOP

§ 29 Abs. 1 PolG NRW (Datenübermittlung im internationalen Bereich) weist im Zusammenhang mit der Datenübermittlung an Drittstaaten ausdrücklich auf die nachfolgend aufgeführten Regelungen im PolG NRW hin:

  • § 28 Abs. 1 Nr. 2 PolG NRW (Datenübermittlung im Bereich der Europäischen Union und deren Mitgliedsstaaten)
    (1) § 27 gilt entsprechend für die Übermittlung von personenbezogenen Daten an
    1. ...
    2. öffentliche und nichtöffentliche Stellen in Mitgliedstaaten der Europäischen Union
    und

  • § 28 Abs. 1 Nr. 3 PolG NRW (Datenübermittlung im Bereich der Europäischen Union und deren Mitgliedsstaaten)
    (1) § 27 gilt entsprechend für die Übermittlung von personenbezogenen Daten an
    1. ...
    2. ...
    3. zwischen- und überstaatliche Stellen der Europäischen Union oder deren Mitgliedstaaten, die mit Aufgaben der Gefahrenabwehr sowie Verhütung von Straftaten und deren vorbeugende Bekämpfung befasst sind.

  • § 23 PolG NRW (Weiterverarbeitung von personenbezogenen Daten, Zweckbindung, Zweckänderung)

  • § 28 Abs. 2 PolG NRW (Datenübermittlung im Bereich der Europäischen Union und deren Mitgliedsstaaten)
    (2) Die Zulässigkeit der Übermittlung personenbezogener Daten durch die Polizei an eine Polizeibehörde oder eine sonstige für die Verhütung von Straftaten oder deren vorbeugende Bekämpfung zuständige öffentliche Stelle eines Mitgliedstaates der Europäischen Union auf der Grundlage besonderer völkerrechtlicher Vereinbarungen bleibt unberührt.

[Hinweis:] Es würde den Rahmen dieses Kapitels überfrachten, zu den Voraussetzungen der o.g. Befugnisse im Einzelnen Stellung zu beziehen.

01.3 Regelungen im § 29 Abs. 2 PolG NRW

TOP

§ 29 Abs. 2 PolG NRW (Datenübermittlung im internationalen Bereich) hat folgenden Wortlaut:

(2) Bei Übermittlungen nach dieser Vorschrift hat die Polizei einen Nachweis zu führen, aus dem der Anlass, der Inhalt, die empfangende Stelle, der Tag der Übermittlung sowie die Aktenfundstelle hervorgehen. Er ist am Ende des Kalenderjahres, das dem Jahr seiner Erstellung folgt, zu löschen oder zu vernichten. Die Löschung oder Vernichtung unterbleibt, solange der Nachweis noch für eine bereits eingeleitete Datenschutzkontrolle nach § 33c erforderlich ist oder Grund zu der Annahme besteht, dass im Falle einer Löschung schutzwürdige Belange der betroffenen Person beeinträchtigt würden.

Diese Regelung ist selbsterklärend.

§ 33c PolG NRW, auf den § 29 Abs. 2 verweist, wird im Folgenden in seinem Wortlaut zitiert:

§ 33c PolG NRW (Datenschutzkontrolle)

Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit führt unbeschadet ihrer oder seiner sonstigen Aufgaben und Kontrollen mindestens alle zwei Jahre zumindest stichprobenartige Überprüfungen bezüglich der Datenverarbeitung bei nach § 33b zu protokollierenden Maßnahmen und von Übermittlungen an Drittstaaten gemäß des § 29 durch. Zu diesem Zwecke sind durch technische und organisatorische Maßnahmen in geeigneter auswertbarer Form die Protokollierungen gemäß § 29 und § 33b zur Verfügung zu stellen.

Ende des Kapitels

TOP

§ 29 PolG NRW (Datenübermittlung an Personen oder an Stellen außerhalb des öffentlichen Bereichs)
Wenn Sie einen Fehler gefunden haben oder eine Frage zum Inhalt stellen möchten, schreiben Sie mir bitte eine Mail. Fügen Sie in Ihre Mail die Anschrift dieser Seite und die jeweilige Randnummer ein.

TOP

02 Quellen

TOP

Die Quellen wurden am angegebenen Zeitpunkt aufgerufen und eingesehen. Über die weitere Verfügbarkeit der Inhalte entscheidet ausschließlich der jeweilige Anbieter.

TOP

Endnote_01
LT-Drucksache 17/2576
Gesetz zur Anpassung des Polizeigesetzes des Landes Nordrhein-Westfalen und des Gesetzes über Aufbau und Befugnisse der Ordnungsbehörden https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/
Dokument/MMD17-2576.pdf
Aufgerufen am 18.03.2019
Zurück

Endnote_02
CIA und BND
https://www.sueddeutsche.de/politik/
kooperation-von-geheimdiensten-immerwaehrende
-freundschaft-1.2042234
Aufgerufen am 18.03.2019
Zurück

TOP

§ 29 PolG NRW (Datenübermittlung an Personen oder an Stellen außerhalb des öffentlichen Bereichs)
Wenn Sie einen Fehler gefunden haben oder eine Frage zum Inhalt stellen möchten, schreiben Sie mir bitte eine Mail. Fügen Sie in Ihre Mail die Anschrift dieser Seite und die jeweilige Randnummer ein.

TOP

Zurück zum Inhaltsverzeichnis des PolG NRW