Aktivisten protestieren gegen Polizei-Daten-Abfragen
Am Donnerstag geht die Begutachtungsfrist zum „Datenschutzanpassungsgesetz Inneres“ zu Ende. Darin wird unter anderem der Zugriff der Polizei-Abfragen geregelt, rund um den es bereits vor ein paar Wochen einigen Wirbel rund um personenbezogene Daten-Abfragen gab. Die Datenschutz-NGO epicenter.works (ehemals AK Vorrat) sieht die Novellierung nach wie vor kritisch: „Während die Regierung immer mehr Daten über Bürgerinnen und Bürger sammeln und verknüpfen will, beschneidet sie die Möglichkeiten, gegen Datenmissbrauch vorzugehen“, sagt Angelika Adensamer, Juristin bei epicenter.works. Am Mittwoch kam es daher zu einer Kundgebung der Aktivisten vor dem Innenministerium (BMI). Um Missbrauch zu verhindern, werden derzeit Abfragen personenbezogener Daten durch Polizisten mit dem Namen des betreffenden Beamten protokolliert. Im Sicherheitspolizeigesetz hieß es bisher: „Jede Abfrage und Übermittlung personenbezogener Daten aus der zentralen Informationssammlung und den übrigen Informationsverbundsystemen ist so zu protokollieren, dass eine Zuordnung der Abfrage oder Übermittlung zu einem bestimmten Organwalter möglich ist.“ Im eingebrachten Entwurf sieht der Absatz folgendermaßen aus:
Was bedeutet "automatisiert?"
Laut dem BMI wird auch künftig „jede einzelne Datenabfrage persönlich einem Polizisten zuordenbar sein. Es gibt keinerlei Änderungen im Standard der Protokollierung.“ Das Schlüsselwort im neuen Text lautet: "automatisiert". " Personenbezogene Abfragen sind nicht von der Änderung betroffen. Automatisierte Abfragen können etwa von einem mobilen Kennzeichenerfassungssystem auf der Autobahn erfolgen, das die Kennzeichnen mit der Fahndungsdatenbank abgleicht. Das ist ein Echtzeit-Abgleich und es kommt zu keiner Speicherung der Daten", so die nähere Erklärung des BMI-Pressesprechers.
Laut epicenter.works ist die Auslegung dieses Begriffs „automatisiert“ laut Datenschutz-Verordnung jedoch viel weiter gefasst: „Das Problem entsteht mit der Definition des Begriffes "automatisiert". Laut EU-Datenschutz-Grundverordnung (DSGVO), die auch Anlass für die gesetzliche Anpassung ist, ist unter einem „automatisierten“ Abruf „insbesondere die Abfrage von Datenbanken zu verstehen“. Somit kann so gut wie jede Abfrage als automatisiert gelten“, so die Kritik. „Um die Einhaltung von Grundrechten und Datenschutzvorschriften zu gewährleisten, ist es unerlässlich, dass jeder Datenzugriff durch (Sicherheits-)Behörden nachvollziehbar ist – auch ein automatisierter“, lautet daher die Forderung.
Verschiedene Fristen
Problematisch ist nicht nur, dass in so einem Fall bei einem Datenmissbrauch nicht mehr herauszufinden ist, wer zu belangen ist, sondern auch, dass es durch die Senkung der geplanten Speicherfrist der Daten von drei auf zwei Jahren diese Frist künftig kürzer ist, als die der Beschwerdemöglichkeit. „Wer sich etwa fristgerecht mit einer Beschwerde an die Behörden wendet, muss künftig damit rechnen, dass keine Informationen mehr vorliegen, um diese nachzuvollziehen“, heißt es seitens epicenter.works. Das sei eine „dramatische Einschränkung von Beschwerdemöglichkeiten für Betroffene von Datenmissbrauch“, heißt es.
Auch für Schutzsuchende soll es darin einige Verschlechterungen geben: „Es wird das Auskunftsrecht beschnitten. Mit einer unklar definierten Regelung kann die Auskunft verweigert werden, wenn sie "überwiegenden öffentlichen Interessen" gegenübersteht. Es ist nicht nachvollziehbar, was damit gemeint sein könnte“, so die Kritik. ' „Der Staat hat eine noch größere Verantwortung gegenüber Bürgern als sie Unternehmen haben. Wir werden die Regierung immer daran erinnern, dass verantwortungsvoll mit unseren Daten umgegangen werden muss und wir das Recht haben zu wissen, was mit ihnen geschieht“, sagt Thomas Lohninger von epicenter.works.