Polizeigesetz für Baden-Württemberg

Tekst
0
Recenzje
Przeczytaj fragment
Oznacz jako przeczytane
Czcionka:Mniejsze АаWiększe Aa

1. Vorbemerkung







1





§ 12 dient der Umsetzung von Art. 3 JIRL; dieser entspricht weitgehend Art. 4 DSGVO. Da sich die Datenverarbeitung durch die Polizei nach dem PolG richtet, bedarf es eigenständiger Definitionen im PolG. Der Bundesgesetzgeber hat die Definitionen der JIRL in § 46 BDSG überführt, auf die Kommentierungen hierzu kann verwiesen werden.







2. „personenbezogene Daten“ (Nr. 1)







2





Die Definition ist gleichlautend mit Art. 3 Nr. 1 JIRL und Art. 4 Nr. 1 DSGVO. Personenbezogene Daten sind Informationen über

natürliche Personen

 (betroffene Person); juristische Personen (z. B. Vereine) sind nicht erfasst, ebenso nicht Verstorbene (str.). Die betroffene Person ist zu unterscheiden vom Adressaten einer Maßnahme, durch die Daten erhoben werden.



Beispiel:

 Wird A nach seinem Namen gefragt, ist er Adressat der Befragung und gleichzeitig Betroffener. Wird A nach dem Namen des B gefragt, ist er (nur) Adressat der Befragung. Da die Daten sich nicht auf ihn selbst beziehen, ist er nicht Betroffener, sondern Dritter (s.u. RN 27).





3





Der Begriff der Information ist weit auszulegen. Es kann sich dabei um

Tatsachen

 (z. B.: A ist 34 Jahre alt und vorbestraft), um

Werturteile

 aufgrund von persönlichen Einschätzungen der erfassenden Person (vgl. § 13 Nr. 5, z. B. „unglaubwürdige“ oder „schwierige“ Personen) oder

Prognosen

 (z. B. ob eine Person zukünftig strafrechtlich in Erscheinung treten wird) handeln. Daten, die nicht auf Tatsachen, sondern auch auf persönlichen Einschätzungen beruhen, sind nach § 13 Abs. 1 Nr. 5 als solche zu kennzeichnen (dazu unten § 13, RN 9).





4





§ 3 Abs. 1 LDSG a. F. unterschied bei personenbezogenen Daten zwischen Informationen über persönliche und solchen über sachliche Verhältnisse. Die JIRL und ihr folgend § 12 Nr. 1 unterscheidet nicht zwischen diesen beiden Begriffen, eine inhaltliche Änderung ist damit aber nicht verbunden. Erfasst sind weiterhin Informationen zu

persönlichen Verhältnissen

 (z. B. Größe, Haarfarbe, Narben, Beschaffenheit der Papillarleistenbilder) oder über innere Merkmale (z. B. Einstellungen, Eigenschaften, Krankheiten, Fähigkeiten, Gewohnheiten, Vorlieben). Auch die eigentlichen Personalien (Name, Vorname, Geburtstag, Alter, Staatsangehörigkeit, Familienstand, akademischer Grad, Beruf, Wohnort, Aufenthaltsort) gehören dazu, ferner Angaben über Vorgänge aus der Vergangenheit (z. B. Vorstrafen, Ausbildung) und Informationen über soziale Beziehungen (z. B. Vereinsmitgliedschaft, Stammlokal, Hausbank).

Sachliche Verhältnisse

 informieren über den Bezug einer Person zu einem Sachverhalt, etwa darüber, ob die Person Eigentümer eines Fahrzeugs oder eines Grundstücks ist, welches Kfz-Kennzeichen ihr Fahrzeug hat, ob sie Teilnehmerin an einer Veranstaltung war, mit welchen Personen sie in geschäftlichem Kontakt steht, welches Vermögen oder welche Schulden sie hat.





5





Auch

falsche

 Informationen können personenbezogene Daten darstellen, auf den Wahrheitsgehalt kommt es nicht an. Daten müssen allerdings sachlich richtig sein (§ 13 Nr. 4), daher müssen sie unverzüglich korrigiert werden, sobald ihre Fehlerhaftigkeit erkannt wird.





6





Nicht personenbezogen sind Angaben, die sich nur auf Sachen beziehen, z. B. Straßenverzeichnisse, Straßennamen, Ortsbeschreibungen usw. (

Sachdaten

). Sachbezogene Daten sind nicht identisch mit „sachdienlichen Angaben“ (vgl. § 28 Abs. 1 Nr. 1). Erstere beziehen sich auf eine Sache, letztere sind sach- oder personenbezogene Daten, deren Erhebung die polizeiliche Aufgabenwahrnehmung fördert.





7





Die Person, auf die sich die Daten beziehen, muss identifiziert oder identifizierbar sein.

 Identifiziert

 ist eine Person, wenn sich der Bezug der Daten zu ihr unmittelbar aus den Angaben entnehmen lässt, z. B. durch Nennung des Namens oder anderer eindeutiger Identifizierungsmerkmale.

Identifizierbar

ist eine Person, wenn ihre Identität mit Hilfe besonderer Mittel festgestellt werden kann, sei es durch die verarbeitende Stelle selbst oder durch einen Dritten (anders noch die Vorauflage). § 12 Nr. 1 zählt hierzu (nicht abschließend) eine Reihe von Methoden auf, mit deren Hilfe eine Zuordnung zu einer Person erfolgen kann. Bei

Übersichtsaufnahmen

 ist entscheidend, ob auf ihr bestimmte Personen zu erkennen sind.





8





Mit den Mitteln der modernen Datenverarbeitung kann mit beliebig hohem Aufwand letztlich jedes Datum der betroffenen Person zugeordnet werden. Um den Personenbezug nicht ausufern zu lassen, sollen nur solche Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Person zu identifizieren (JIRL EG 21).





9





Ist eine Identifizierung nicht oder nur mit unverhältnismäßigem Aufwand möglich, handelt es sich um pseudonymisierte (Nr. 5) oder gar um anonymisierte (Nr. 4) und damit nicht mehr um personenbezogene Daten.







3. „Verarbeitung“ (Nr. 2)







10





Die Verarbeitung war im PolG a. F. nicht definiert, wurde aber in verschiedenen Normen vorausgesetzt (§§ 37ff. PolG a. F.). Die jetzt in Nr. 2 enthaltene Definition entspricht Art. 3 Nr. 2 JIRL und Art. 4 Nr. 2 DSGVO. „Verarbeitung“ ist weit zu verstehen. Die bisherige Unterscheidung zwischen Erhebung, Verarbeitung und Nutzung (§ 3 Abs. 3-5 BDSG a. F.) besteht nicht mehr.





11





Erheben

 und

Erfassen

 sind Vorgänge, bei denen personenbezogene Daten erstmals in den Kenntnisbereich des Verantwortlichen gelangen. Erforderlich ist ein aktives Tun, etwa durch Abfragen; Daten, die unverlangt zur Kenntnis gelangen („aufgedrängte Daten“), sind nicht erhoben bzw. erfasst, solange sie nicht weiter verarbeitet werden.



Beispiel:

 Bei ihrer Befragung (§ 43) macht A spontan Angaben zu Ordnungswidrigkeiten, die ihr Bekannter J begehen will.



Einzelheiten zur Erhebung und Verarbeitung regelt § 14.





12





 Organisation

 und

Ordnen

 sind Maßnahmen, die dazu dienen, die Auffindbarkeit der Daten zu erleichtern.

Speichern

 ist die Überführung der Daten in eine verkörperte Form, etwa auf einem Datenträger, auch in der „Cloud“.

Anpassung

 und

Änderung

 ist die Umgestaltung der Daten, durch die ihr Informationsgehalt geändert wird.

Auslesen

 ist die Rückgewinnung von Informationen aus gespeicherten Daten,

Abfragen

 ein Unterfall, bei dem Daten z. B. durch Suchbegriffe aus einer Datensammlung erschlossen werden.

Verwendung

 ist ein Auffangtatbestand für Verarbeitungsmaßnahmen, die sich nicht unter einen der anderen Begriffe fassen lassen.





13





Offenlegung

 ist der Oberbegriff für Handlungen, durch die Daten anderen Stellen zugänglich gemacht werden. Der Begriff der

Übermittlung

 wird in den §§ 59–61 vorausgesetzt und bezieht sich auf die Weitergabe an einen konkreten Empfänger, während unter

Verbreitung

 die Weitergabe an eine unbestimmte Vielzahl von Empfängern verstanden wird (z. B. durch Rundfunk, Fernsehen oder Veröffentlichung im Internet).





14





Beim

Abgleich

 werden personenbezogene Daten mit bestimmten Vorgaben verglichen (z. B. im Rahmen der Rasterfahndung, § 48). Bei

Verknüpfung

 werden Daten zusammengeführt; der Begriff der „

Kombination

“ (§ 73 I Nr. 5) unterscheidet sich hiervon inhaltlich nicht.





15





Einschränkung der Verarbeitung

 (§ 75 Abs. 5) ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (so die Zirkeldefinition in Art. 3 Nr. 3 JIRL), also ihre Verwendung zu erschweren.





16





Löschen

 (§ 75 Abs. 2) meint das Unkenntlichmachen gespeicherter Daten (z. B. durch Überschreiben),

Vernichtung

 die physische Zerstörung des Datenträgers.







4. „Profiling“ (Nr. 3)







17





Die Definition entspricht Art. 3 Nr. 4 JIRL und Art. 4 Nr. 4 DSGVO. Profiling ist die

automatisierte Bewertung

 personenbezogener Daten insbesondere mit dem Ziel, das Verhalten, den Aufenthaltsort oder andere Aspekte des Betroffenen anhand eines „Persönlichkeitsprofils“ vorhersagen zu können. Durch Profiling soll eine Entscheidungsgrundlage für polizeiliches Handeln geschaffen werden, sie stellt selbst aber keine Entscheidung dar. Hierin unterscheidet sich das Profiling von der automatisierten Entscheidungsfindung i. S.v. § 84 (s. dort). § 84 Abs. 3 untersagt ein Profiling auf der Grundlage von besonderen Kategorien von Daten (s.u. Nr. 15).






5. „Anonymisierung“ (Nr. 4)





18





Der Begriff der Anonymisierung wird weder in der JIRL noch in der DSGVO definiert. Als Anonymisierung wird ein Vorgang bezeichnet, bei dem der

Personenbezug

 von Daten (im Gegensatz zur Pseudonymisierung, s. Nr. 5)

dauerhaft entfernt

 wird, sodass die Daten nicht mehr oder nur mit unverhältnismäßigem Aufwand einer natürlichen Person zugeordnet werden können (vgl. oben, RN 8). Anonymisierte Daten sind nicht mehr personenbezogen und unterfallen damit nicht dem Regime des Datenschutzes. Die Nutzung anonymisierter Daten für Zwecke der wissenschaftlichen Forschung regelt § 57, für Zwecke der Aus- und Fortbildung, Statistik und Vorgangsverwaltung § 58.

 







6. „Pseudonymisierung“ (Nr. 5)







19





Die Definition entspricht Art. 3 Nr. 5 JIRL und Art. 4 Nr. 5 DSGVO. Pseudonymisierung ist die

Entfernung des Personenbezuges

, allerdings bleibt eine

Zuordnungsregel

 erhalten, mit der die Daten unter Hinzuziehung zusätzlicher Daten wieder einer bestimmten betroffenen Person zugeordnet werden können. Solange diese zusätzlichen Daten gesondert aufbewahrt werden und eine Zuordnung ausgeschlossen ist, dürfen pseudonymisierte Daten unter niedrigeren Anforderungen verarbeitet werden als personenbezogene Daten, namentlich für die wissenschaftliche Forschung (§ 57 Abs. 5).







7. „Dateisystem“ (Nr. 6)







20





Der Begriff des Dateisystems ersetzt den früher verwendeten, heute veralteten bzw. zu engen Begriff der „Datei“, ohne dass damit eine inhaltliche Änderung verbunden wäre. Die Definition entspricht Art. 3 Nr. 6 JIRL und Art. 4 Nr. 6 DSGVO. Gemeint ist die strukturierte Sammlung personenbezogene Daten, man würde heute von einer

Datenbank

 sprechen. Die Sammlung muss jedoch nicht zwingend rechnergestützt sein: Auch Akten, Aktensammlungen, Deckblätter usw. sind erfasst, wenn sie nach bestimmten Kriterien geordnet sind (EG 18 JIRL), etwa nach Jahr, Aktenzeichen oder nach Namen in alphabetischer Reihenfolge.





21





§ 46 (§ 48 a a. F.) verwendet in Anlehnung an das LVSG weiterhin den Begriff der Datei.







8. „zuständige Behörde“ (Nr. 7)







22





Hierbei handelt es sich um die staatliche Stelle, die für die Erfüllung der polizeilichen Maßnahme zuständig ist, in deren Rahmen ein Datenverarbeitungsvorgang durchgeführt werden soll. Die Definition entspricht Nr. 7 lit. a JIRL.






9. „Verantwortlicher“ (Nr. 8)





23





Die Definition (Art. 3 Nr. 9 JIRL) baut auf Nr. 7 auf und meint die zuständige Behörde, die allein oder mit anderen

über die Zwecke und Mittel der Verarbeitung der Daten entscheidet

. Der Verantwortliche ist abzugrenzen vom Auftragsverarbeiter (dazu Nr. 9).







10. „Auftragsverarbeiter“ (Nr. 9)







24





Auftragsverarbeiter ist derjenige, der personenbezogene Daten nicht für sich selbst, sondern

für den Verantwortlichen in dessen Auftrag verarbeitet

. Im Gegensatz zum Verantwortlichen (Nr. 8) entscheidet er nicht über Zwecke und Mittel der Verarbeitung, sondern ist an die Vorgaben des Auftraggebers gebunden. Die Definition entspricht Art. 3 Nr. 9 JIRL und Art. 4 Nr. 8 DSGVO.





25





Auftragsverarbeiter können andere Behörden, aber auch natürliche und juristische Personen des Privatrechts sein. Die Auswahl eines Auftragsverarbeiters und die Grundlagen seiner Beauftragung regelt § 82.





26





Die Übermittlung von Daten durch die verantwortliche Stelle an den Auftragsverarbeiter bedarf keiner besonderen Rechtfertigung (s.u. § 82, RN 2). Die materielle Zulässigkeit der übrigen Datenverarbeitung durch den Auftragsverarbeiter richtet sich nach den Regelungen, die für den Verantwortlichen gelten. Der Auftragsverarbeiter darf Daten also nur in dem Rahmen verarbeiten, in dem auch der Verantwortliche selbst dies dürfte.







11. „Empfänger“ (Nr. 10)







27





Empfänger meint die Person oder die Stelle, der gegenüber Daten offengelegt (s.o. RN 13) werden. In Art. 3 Nr. 10 JIRL, auf der Nr. 10 basiert, und Art. 4 Nr. 9 DSGVO heißt es weiter: „unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“. Diesen Halbsatz hat der Landesgesetzgeber nicht übernommen; auch eine Definition des

Dritten

 fehlt (wie auch in der JIRL, vgl. aber Art. 4 Abs. 9 DSGVO). Wer Dritter ist, kann durch eine negative Abgrenzung ermittelt werden: Dritter ist

nicht



– die betroffene Person selbst,



– der Verantwortliche und die natürlichen Personen, die zu seiner Organisation gehören (eigene Bedienstete und Beamte), und



– der Auftragsverarbeiter und die Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.






12. „Verletzung des Schutzes personenbezogener Daten“ (Nr. 11)





28





Die Definition entspricht Art. 3 Nr. 11 JIRL (vgl. auch Art. 4 Nr. 12 DSGVO); zu Verdeutlichung hat der Gesetzgeber das Wort „Sicherheit“ durch Datensicherheit ersetzt. Gemeint ist nicht eine unzulässige Verarbeitung, sondern eine Verletzung der

Datensicherheit

, also der technisch-organisatorischen Regelungen und Maßnahmen, mit denen ein unzulässiger Umgang mit personenbezogenen Daten verhindert und zugleich die Integrität und Verfügbarkeit der Daten und der für ihre Verarbeitung genutzten technischen Einrichtungen gewährleistet werden soll (vgl. § 78). Schutzverletzungen sind meldepflichtig (§ 88), der Betroffene ist zu benachrichtigen (§ 87).







13. „genetische Daten“ (Nr. 12)







29





Gleichlautend mit Art. 3 Nr. 13 JIRL und mit Art. 4 Nr. 13 DSGVO. Hierbei handelt es sich um Daten, die Aufschluss über die Physiologie oder die Gesundheit der betroffenen Person geben.







14. „biometrische Daten“ (Nr. 13)







30





Die Definition entspricht Art. 3 Nr. 14 JIRL und Art. 4 Nr. 14 DSGVO. Biometrisch sind Daten, die durch die numerische Vermessung einer natürlichen Person im Hinblick auf ihre physischen, physiologischen oder verhaltenstypischen Eigenschaften gewonnen werden. Hierzu zählen insbesondere Gesichtsbilder und Fingerabdrücke, aber auch Daten, die den Gang oder die Stimme der betroffenen Person beschreiben.







15. „Gesundheitsdaten“ (Nr. 14)







31





Entspricht Art. 3 Nr. 15 JIRL und Art. 4 Nr. 15 DSGVO. Hierunter sind personenbezogene Daten zu verstehen, die sich auf die Gesundheit einer natürlichen Person beziehen.



Beispiele:

 Kurzsichtigkeit, Diabetes, körperliche oder geistige Behinderungen.



Es muss sich nicht zwingend um die Information über eine Erkrankung handeln, auch der Umstand, dass eine Person gesund ist, stellt ein Gesundheitsdatum dar. Erfasst werden auch Daten über die Erbringung von Gesundheitsdienstleistungen, also medizinischen Behandlungen, wie sie etwa bei Ärzten, Krankenhäusern oder auch Krankenkassen anfallen.






16. „besondere Kategorien personenbezogener Daten“ (Nr. 15)





32





Dieser Begriff wird in der JIRL nicht ausdrücklich definiert, aber in Art. 10 JIRL vorausgesetzt. Eine Definition findet sich in Art. 9 Abs. 1 DSGVO. Hierunter fallen Daten



– zur „rassischen“ oder ethnischen Herkunft (Zugehörigkeit zu einer bestimmten Bevölkerungsgruppe, die z. B. durch gemeinsame Herkunft, Geschichte oder Kultur geprägt wird, auch Hautfarbe, nicht aber die Staatsangehörigkeit),



– zu politischen Meinungen (allgemein- oder parteipolitische Überzeugungen, Zugehörigkeit zu politischen Parteien, Betätigung in politischen Bewegungen, etwa Bürgerinitiativen),



– zu religiösen (Weltreligionen, Sekten, Naturreligionen) oder weltanschaulichen Überzeugungen (Pazifismus, Kommunismus, Faschismus, insoweit Überschneidung mit politischen Meinungen),



– zu einer Gewerkschaftszugehörigkeit,



– genetische (s.o., Nr. 12), biometrische Daten (Nr. 13) und Gesundheitsdaten (Nr. 14) sowie



– zum Sexualleben (z. B. Bestellungen in Sexshops, intime Bildaufnahmen; die Information, dass eine Person der Prostitution nachgeht; Informationen zu