Die Kampagne Blackbox Verfassungsschutz stellt am 30. Juni 2015 das "fehlende Kapitel" des Verfassungsschutzberichts 2014 vor. Bild: Kappa-Foto

Auskunft über die eigenen Daten? Erfahrungen mit einem Grundrecht

von der Datenschutzgruppe der Roten Hilfe Heidelberg

Wer von Sicherheitsbehörden Auskunft über die eigenen Daten will, stößt auf eine Serie von rechtlichen Beschränkungen und praktischen Abschreckungsmechanismen.

19 Absatz 1 Bundesdatenschutzgesetz garantiert „Betroffenen“, dass ihnen auf Antrag Auskunft erteilt wird über zu ihrer Person gespeicherten Daten, deren Herkunft, die EmpfängerInnen etwaiger Übermittlungen und, ganz wichtig, den Zweck der Speicherung. Die Absätze 2 bis 6 schränken das Recht gleich wieder ein: Bei Gefährdung der „öffentlichen Sicherheit oder Ordnung“ etwa kann die Auskunft verweigert werden.

Die Auskunftspflicht von Sicherheitsbehörden ist in den Polizei- und Geheimdienstgesetzen meist noch einmal nachjustiert. Im bayerischen Polizeiaufgabengesetz etwa ist keine Rede mehr von einer Auskunft über Herkunft oder Übermittlung der Daten. Allerdings wünscht sich die Polizei des Freistaats, den „Grund des Auskunftsverlangens näher“ kennenzulernen. Sieht man vom Herzen der Finsternis ab – den Geheimdiensten von Bund, Bayern und Baden-Württemberg, die praktisch jede Auskunft verweigern –, ist die Praxis von Bund und Ländern in Bezug auf Umfang und Tiefe der Auskünfte jedoch ziemlich ähnlich.

Wirklich erfreut über die Auskunftspflicht sind allerdings die wenigsten Behörden, und so erfordert das Einholen von Auskunft einiges an Recherche und Initiative. Um die Wahrnehmung des Auskunftsrechts ein wenig zu erleichtern, betreibt die Datenschutzgruppe der Roten Hilfe Heidelberg seit über zehn Jahren den „Auskunftsgenerator“, eine Website, die das Erstellen von Auskunftsersuchen erleichtert und Beratung an­bietet.[1] Über die Jahre ist die Einrichtung fast schon staatstragend geworden – so melden etliche Behörden ihre Umzüge von sich aus an. Das staatliche Entgegenkommen ist nicht ganz uneigennützig. Der Generator galt dem Bundesinnenministerium 2011 als Beleg dafür, dass das Auskunftsrecht ja funktioniere und es daher eine Verpflichtung der Polizei, Betroffene über gespeicherte Daten zu benachrichtigen, nicht brauche.[2]

Tatsächlich würden wir lieber heute als morgen zumachen, wenn wenigstens der Staat anfangen würde, „Datenbriefe“ an die Betroffenen zu verschicken. Diese Datenbriefe werden immer wieder als allgemeines Mittel zur Förderung des Datenschutzes diskutiert und wären auch sicher geeignet, den ausufernden Speicherwahn etwas zu modulieren: Mit ihnen nämlich müssten speichernde Stellen allen Menschen, deren personenbezogene Informationen sie halten, einmal jährlich einen Auszug mit den sie betreffenden Daten schicken.

Verweigerungen

Die einschlägigen Gesetze lassen den Behörden in der Regel einige Schlupflöcher, um Auskünfte zu verweigern, und speziell im politischen Bereich wird davon regelmäßig Gebrauch gemacht. Es geht dabei meist um den Schutz von InformantInnen, der in der Regel hinter der Formulierung „überwiegendes Geheimhaltungsinteresse Dritter“ verborgen wird (z.B. § 29 Abs. 3 Hessisches Sicherheits- und Ordnungsgesetz).

Die beliebteste Technik zur Auskunftsverweigerung ist allerdings auch für die Betroffenen nicht unwillkommen: Recht regelmäßig löschen die Behörden Daten lieber, statt sich die Blöße zu geben, die Speicherung einzugestehen. Solche Kapriolen kamen insbesondere in Fällen ans Licht, in denen die zuständigen Datenschutzbeauftragten im Nachhinein Missbräuchen auf den Grund gingen. Gelöschte Daten werden für Datenschutzkontrollen noch für (meist) ein Jahr nicht-suchbar aufbewahrt. In der Praxis sind längere Bearbeitungszeiten nicht selten ein Hinweis darauf, dass Notlöschungen dieses Typs geprüft werden. In „einfachen“ Fällen antworten die meisten Behörden inzwischen innerhalb eines Monats.

Was wir bei deutschen Behörden allerdings noch nicht belegbar gesehen haben, sind bewusste Lügen, insbesondere das Negieren gespeicherter Daten, wenn doch welche vorhanden waren. Europol allerdings darf genau das: Im Fall der Verweigerung der Auskunft soll das EU-Polizeiamt der betroffenen Person mitteilen, „dass eine Überprüfung vorgenommen worden ist, ohne dabei Hinweise zu geben, denen die Person entnehmen könnte, dass bei Europol sie betreffende Daten verarbeitet werden.“ So steht es in Art. 30 Abs. 6 des Europol-Ratsbe­schlusses – ein Grund mehr, auf die rasche Schließung der Einrichtung zu drängen.

Gründe?

Nicht wenige Behörden versuchen, die Auskunftspflicht in eine Methode zur Informationsgewinnung umzukehren. Penetrant sind darin die Geheimdienste des Bundes und der „Südschiene“, die qua Gesetz die Formulierung eines „besonderen Interesses“ an der Auskunft verlangen dürfen – aber auch nach so einer Darlegung häufig keine Informationen liefern. Doch auch Polizeien können dieser Versuchung nicht immer widerstehen. Besonders hartnäckig zeigte sich das Landeskriminalamt Thüringen, das jahrelang jedes Auskunftsersuchen zunächst mit der Frage beantwortete, weshalb man sich denn für diese Informationen interessiere. Den Landesdatenschutzbeauftragten störte das wenig, zumal § 47 des Polizeigesetzes ebenfalls eine Begründung von Auskunftsersuchen fordert. Immerhin erteilte das LKA dennoch auch jenen Auskunft, die sich nicht zu Polizeispitzeln in eigener Sache machen wollten.

Gemessen daran ist Bayern schon fast vorbildhaft, denn trotz § 48 des dortigen Polizeiaufgabengesetzes – „In dem Antrag sollen die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, und der Grund des Auskunftsverlangens näher bezeichnet werden“ – hat sich die bayerische Polizei solche Spiele unserer Kenntnis nach stets verkniffen.

Jüngst hat nun das BKA die Frage nach Gründen aufgenommen – und es ist dort kein Spiel, sondern der Reflex der immer tieferen Verstrickung von Polizeien und Geheimdiensten: Gründe werden nämlich erfragt im Hinblick auf die Geheimdienstinformationen, die in der „Anti-Terror-Datei“ (ATD) stehen könnten. Die Auskunftspflicht zu den, für alle teilnehmenden Behörden einsehbaren Grunddaten der ATD liegt beim BKA. Die Auskunftserteilung richtet sich jedoch nach den Gesetzen, die für die jeweils einliefernden Behörden gelten. Sofern es sich dabei um die Geheimdienste des Bundes, Bayerns oder Baden-Württembergs handelt, gilt daher auch hier die Parole: Gibst du keine Gründe an, erhältst du deine Daten nicht (der Nachsatz – gibst du welche, kriegst du die Daten trotzdem nicht – wird so laut nicht gesagt). Wegen der Erklärungen der komplexen Modalitäten der Geheimdienstverstrickung ist das erste Antwortschreiben des BKA auf ein Auskunftsersuchen inzwischen abschreckende sieben Seiten lang.

Die Ausweiskopie

Zu den sozialen Techniken, mit denen die Behörden das Auskunftsrecht subtil einschränken, gehört, zur Auskunft eine Kopie des Personalausweises zu verlangen. Damit soll angeblich sichergestellt werden, dass die sensiblen Daten, die die Polizei speichert, auch wirklich nur an das Opfer der Datenspeicherung gehen. Zweifel an diesem hehren Motiv mögen erlaubt sein: Denn den gleichen Behörden reicht zur Zustellung von noch heikleren Dokumenten – Strafbefehlen etwa – die Legitimation per Post.

Gänzlich zum Hürdenlauf mutiert das Ganze, wenn eine „Bestätigung“ der Ausweiskopie gefordert wird, wie es ausgerechnet das BKA und mittlerweile auch einige Landeskriminalämter tun. Hierzu könnten die Auskunftssuchenden eine notarielle Beglaubigung vornehmen lassen, was bei Anfragen an mehrere Behörden schnell teuer werden kann. Um die gesetzlich geforderte Kostenfreiheit der Auskunft dennoch irgendwie zu gewährleisten, gibt es die Option der „polizeilichen Bestätigung“. Die Polizeidienststellen können diese vornehmen, einen Rechtsanspruch darauf gibt es jedoch nicht. Und so hören wir immer wieder Berichte von geradezu kafkaesken Possen, die Auskunftssuchende auf den Dienststellen vor einer Bestätigung zu ertragen haben.

Die Identifizierungsschikanen haben übrigens nicht den Zugriff Dritter auf die polizeilichen Sammlungen verhindert: So haben Mitte der Nuller Jahre vor allem Unternehmen des „privaten Sicherheitsgewerbes“ ganz offiziell StellenbewerberInnen Auskunftsersuchen über sich selbst ausfüllen lassen und sich das Ergebnis zuschicken lassen. Die Praxis wurde von den zuständigen Datenschutzbeauftragten gestoppt.[3] Dass sie inoffiziell weitergeht, bezweifeln wohl nur wenige: Wo es Datenbestände gibt, wachsen die Begehrlichkeiten. Die einzige Art, Missbrauch zu verhindern, ist die Auflösung der Datenbestände selbst.

[1]      https://datenschmutz.de/cgi-bin/auskunft (s.a. „Aus dem Netz“ in diesem Heft)
[2]     BT-Drs. 17/5136 v. 21.3.2011, Antwort auf Frage 5
[3]     s. z.B. Hessischer Landesbeauftragter für den Datenschutz: 35. Tätigkeitsbericht, Wiesbaden 2006, S. 74

Foto: Blackbox VS