Polizeigesetz für Baden-Württemberg

Text

The book in German language

Authors:Reiner Belz, Henning Kahlert, Eike Mußmann, Gerald G. Sander

From the series: Polizeirecht kommentiert

Reviews

Read preview

Mark as finished

How to read the book after purchase

Smartphone,
Tablet Computer,
laptop e-reader

Download:
FB2
EPUB
iOS.EPUB
7 more

Size: 990 pp. 3 illustrations
Genre: Legal profession Edit

Font:Smaller АаLarger Aa

1. Vorbemerkung

§ 12 dient der Umsetzung von Art. 3 JIRL; dieser entspricht weitgehend Art. 4 DSGVO. Da sich die Datenverarbeitung durch die Polizei nach dem PolG richtet, bedarf es eigenständiger Definitionen im PolG. Der Bundesgesetzgeber hat die Definitionen der JIRL in § 46 BDSG überführt, auf die Kommentierungen hierzu kann verwiesen werden.

2. „personenbezogene Daten“ (Nr. 1)

Die Definition ist gleichlautend mit Art. 3 Nr. 1 JIRL und Art. 4 Nr. 1 DSGVO. Personenbezogene Daten sind Informationen über natürliche Personen (betroffene Person); juristische Personen (z. B. Vereine) sind nicht erfasst, ebenso nicht Verstorbene (str.). Die betroffene Person ist zu unterscheiden vom Adressaten einer Maßnahme, durch die Daten erhoben werden.

Beispiel: Wird A nach seinem Namen gefragt, ist er Adressat der Befragung und gleichzeitig Betroffener. Wird A nach dem Namen des B gefragt, ist er (nur) Adressat der Befragung. Da die Daten sich nicht auf ihn selbst beziehen, ist er nicht Betroffener, sondern Dritter (s.u. RN 27).

Der Begriff der Information ist weit auszulegen. Es kann sich dabei um Tatsachen (z. B.: A ist 34 Jahre alt und vorbestraft), um Werturteile aufgrund von persönlichen Einschätzungen der erfassenden Person (vgl. § 13 Nr. 5, z. B. „unglaubwürdige“ oder „schwierige“ Personen) oder Prognosen (z. B. ob eine Person zukünftig strafrechtlich in Erscheinung treten wird) handeln. Daten, die nicht auf Tatsachen, sondern auch auf persönlichen Einschätzungen beruhen, sind nach § 13 Abs. 1 Nr. 5 als solche zu kennzeichnen (dazu unten § 13, RN 9).

§ 3 Abs. 1 LDSG a. F. unterschied bei personenbezogenen Daten zwischen Informationen über persönliche und solchen über sachliche Verhältnisse. Die JIRL und ihr folgend § 12 Nr. 1 unterscheidet nicht zwischen diesen beiden Begriffen, eine inhaltliche Änderung ist damit aber nicht verbunden. Erfasst sind weiterhin Informationen zu persönlichen Verhältnissen (z. B. Größe, Haarfarbe, Narben, Beschaffenheit der Papillarleistenbilder) oder über innere Merkmale (z. B. Einstellungen, Eigenschaften, Krankheiten, Fähigkeiten, Gewohnheiten, Vorlieben). Auch die eigentlichen Personalien (Name, Vorname, Geburtstag, Alter, Staatsangehörigkeit, Familienstand, akademischer Grad, Beruf, Wohnort, Aufenthaltsort) gehören dazu, ferner Angaben über Vorgänge aus der Vergangenheit (z. B. Vorstrafen, Ausbildung) und Informationen über soziale Beziehungen (z. B. Vereinsmitgliedschaft, Stammlokal, Hausbank). Sachliche Verhältnisse informieren über den Bezug einer Person zu einem Sachverhalt, etwa darüber, ob die Person Eigentümer eines Fahrzeugs oder eines Grundstücks ist, welches Kfz-Kennzeichen ihr Fahrzeug hat, ob sie Teilnehmerin an einer Veranstaltung war, mit welchen Personen sie in geschäftlichem Kontakt steht, welches Vermögen oder welche Schulden sie hat.

Auch falsche Informationen können personenbezogene Daten darstellen, auf den Wahrheitsgehalt kommt es nicht an. Daten müssen allerdings sachlich richtig sein (§ 13 Nr. 4), daher müssen sie unverzüglich korrigiert werden, sobald ihre Fehlerhaftigkeit erkannt wird.

Nicht personenbezogen sind Angaben, die sich nur auf Sachen beziehen, z. B. Straßenverzeichnisse, Straßennamen, Ortsbeschreibungen usw. (Sachdaten). Sachbezogene Daten sind nicht identisch mit „sachdienlichen Angaben“ (vgl. § 28 Abs. 1 Nr. 1). Erstere beziehen sich auf eine Sache, letztere sind sach- oder personenbezogene Daten, deren Erhebung die polizeiliche Aufgabenwahrnehmung fördert.

Die Person, auf die sich die Daten beziehen, muss identifiziert oder identifizierbar sein. Identifiziert ist eine Person, wenn sich der Bezug der Daten zu ihr unmittelbar aus den Angaben entnehmen lässt, z. B. durch Nennung des Namens oder anderer eindeutiger Identifizierungsmerkmale. Identifizierbar ist eine Person, wenn ihre Identität mit Hilfe besonderer Mittel festgestellt werden kann, sei es durch die verarbeitende Stelle selbst oder durch einen Dritten (anders noch die Vorauflage). § 12 Nr. 1 zählt hierzu (nicht abschließend) eine Reihe von Methoden auf, mit deren Hilfe eine Zuordnung zu einer Person erfolgen kann. Bei Übersichtsaufnahmen ist entscheidend, ob auf ihr bestimmte Personen zu erkennen sind.

Mit den Mitteln der modernen Datenverarbeitung kann mit beliebig hohem Aufwand letztlich jedes Datum der betroffenen Person zugeordnet werden. Um den Personenbezug nicht ausufern zu lassen, sollen nur solche Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Person zu identifizieren (JIRL EG 21).

Ist eine Identifizierung nicht oder nur mit unverhältnismäßigem Aufwand möglich, handelt es sich um pseudonymisierte (Nr. 5) oder gar um anonymisierte (Nr. 4) und damit nicht mehr um personenbezogene Daten.

3. „Verarbeitung“ (Nr. 2)

Die Verarbeitung war im PolG a. F. nicht definiert, wurde aber in verschiedenen Normen vorausgesetzt (§§ 37ff. PolG a. F.). Die jetzt in Nr. 2 enthaltene Definition entspricht Art. 3 Nr. 2 JIRL und Art. 4 Nr. 2 DSGVO. „Verarbeitung“ ist weit zu verstehen. Die bisherige Unterscheidung zwischen Erhebung, Verarbeitung und Nutzung (§ 3 Abs. 3-5 BDSG a. F.) besteht nicht mehr.

Erheben und Erfassen sind Vorgänge, bei denen personenbezogene Daten erstmals in den Kenntnisbereich des Verantwortlichen gelangen. Erforderlich ist ein aktives Tun, etwa durch Abfragen; Daten, die unverlangt zur Kenntnis gelangen („aufgedrängte Daten“), sind nicht erhoben bzw. erfasst, solange sie nicht weiter verarbeitet werden.

Beispiel: Bei ihrer Befragung (§ 43) macht A spontan Angaben zu Ordnungswidrigkeiten, die ihr Bekannter J begehen will.

Einzelheiten zur Erhebung und Verarbeitung regelt § 14.

Organisation und Ordnen sind Maßnahmen, die dazu dienen, die Auffindbarkeit der Daten zu erleichtern. Speichern ist die Überführung der Daten in eine verkörperte Form, etwa auf einem Datenträger, auch in der „Cloud“. Anpassung und Änderung ist die Umgestaltung der Daten, durch die ihr Informationsgehalt geändert wird. Auslesen ist die Rückgewinnung von Informationen aus gespeicherten Daten, Abfragen ein Unterfall, bei dem Daten z. B. durch Suchbegriffe aus einer Datensammlung erschlossen werden. Verwendung ist ein Auffangtatbestand für Verarbeitungsmaßnahmen, die sich nicht unter einen der anderen Begriffe fassen lassen.

Offenlegung ist der Oberbegriff für Handlungen, durch die Daten anderen Stellen zugänglich gemacht werden. Der Begriff der Übermittlung wird in den §§ 59–61 vorausgesetzt und bezieht sich auf die Weitergabe an einen konkreten Empfänger, während unter Verbreitung die Weitergabe an eine unbestimmte Vielzahl von Empfängern verstanden wird (z. B. durch Rundfunk, Fernsehen oder Veröffentlichung im Internet).

Beim Abgleich werden personenbezogene Daten mit bestimmten Vorgaben verglichen (z. B. im Rahmen der Rasterfahndung, § 48). Bei Verknüpfung werden Daten zusammengeführt; der Begriff der „Kombination“ (§ 73 I Nr. 5) unterscheidet sich hiervon inhaltlich nicht.

Einschränkung der Verarbeitung (§ 75 Abs. 5) ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (so die Zirkeldefinition in Art. 3 Nr. 3 JIRL), also ihre Verwendung zu erschweren.

Löschen (§ 75 Abs. 2) meint das Unkenntlichmachen gespeicherter Daten (z. B. durch Überschreiben), Vernichtung die physische Zerstörung des Datenträgers.

4. „Profiling“ (Nr. 3)

Die Definition entspricht Art. 3 Nr. 4 JIRL und Art. 4 Nr. 4 DSGVO. Profiling ist die automatisierte Bewertung personenbezogener Daten insbesondere mit dem Ziel, das Verhalten, den Aufenthaltsort oder andere Aspekte des Betroffenen anhand eines „Persönlichkeitsprofils“ vorhersagen zu können. Durch Profiling soll eine Entscheidungsgrundlage für polizeiliches Handeln geschaffen werden, sie stellt selbst aber keine Entscheidung dar. Hierin unterscheidet sich das Profiling von der automatisierten Entscheidungsfindung i. S.v. § 84 (s. dort). § 84 Abs. 3 untersagt ein Profiling auf der Grundlage von besonderen Kategorien von Daten (s.u. Nr. 15).

5. „Anonymisierung“ (Nr. 4)

Der Begriff der Anonymisierung wird weder in der JIRL noch in der DSGVO definiert. Als Anonymisierung wird ein Vorgang bezeichnet, bei dem der Personenbezug von Daten (im Gegensatz zur Pseudonymisierung, s. Nr. 5) dauerhaft entfernt wird, sodass die Daten nicht mehr oder nur mit unverhältnismäßigem Aufwand einer natürlichen Person zugeordnet werden können (vgl. oben, RN 8). Anonymisierte Daten sind nicht mehr personenbezogen und unterfallen damit nicht dem Regime des Datenschutzes. Die Nutzung anonymisierter Daten für Zwecke der wissenschaftlichen Forschung regelt § 57, für Zwecke der Aus- und Fortbildung, Statistik und Vorgangsverwaltung § 58.

6. „Pseudonymisierung“ (Nr. 5)

Die Definition entspricht Art. 3 Nr. 5 JIRL und Art. 4 Nr. 5 DSGVO. Pseudonymisierung ist die Entfernung des Personenbezuges, allerdings bleibt eine Zuordnungsregel erhalten, mit der die Daten unter Hinzuziehung zusätzlicher Daten wieder einer bestimmten betroffenen Person zugeordnet werden können. Solange diese zusätzlichen Daten gesondert aufbewahrt werden und eine Zuordnung ausgeschlossen ist, dürfen pseudonymisierte Daten unter niedrigeren Anforderungen verarbeitet werden als personenbezogene Daten, namentlich für die wissenschaftliche Forschung (§ 57 Abs. 5).

7. „Dateisystem“ (Nr. 6)

Der Begriff des Dateisystems ersetzt den früher verwendeten, heute veralteten bzw. zu engen Begriff der „Datei“, ohne dass damit eine inhaltliche Änderung verbunden wäre. Die Definition entspricht Art. 3 Nr. 6 JIRL und Art. 4 Nr. 6 DSGVO. Gemeint ist die strukturierte Sammlung personenbezogene Daten, man würde heute von einer Datenbank sprechen. Die Sammlung muss jedoch nicht zwingend rechnergestützt sein: Auch Akten, Aktensammlungen, Deckblätter usw. sind erfasst, wenn sie nach bestimmten Kriterien geordnet sind (EG 18 JIRL), etwa nach Jahr, Aktenzeichen oder nach Namen in alphabetischer Reihenfolge.

§ 46 (§ 48 a a. F.) verwendet in Anlehnung an das LVSG weiterhin den Begriff der Datei.

8. „zuständige Behörde“ (Nr. 7)

Hierbei handelt es sich um die staatliche Stelle, die für die Erfüllung der polizeilichen Maßnahme zuständig ist, in deren Rahmen ein Datenverarbeitungsvorgang durchgeführt werden soll. Die Definition entspricht Nr. 7 lit. a JIRL.

9. „Verantwortlicher“ (Nr. 8)

Die Definition (Art. 3 Nr. 9 JIRL) baut auf Nr. 7 auf und meint die zuständige Behörde, die allein oder mit anderen über die Zwecke und Mittel der Verarbeitung der Daten entscheidet. Der Verantwortliche ist abzugrenzen vom Auftragsverarbeiter (dazu Nr. 9).

10. „Auftragsverarbeiter“ (Nr. 9)

Auftragsverarbeiter ist derjenige, der personenbezogene Daten nicht für sich selbst, sondern für den Verantwortlichen in dessen Auftrag verarbeitet. Im Gegensatz zum Verantwortlichen (Nr. 8) entscheidet er nicht über Zwecke und Mittel der Verarbeitung, sondern ist an die Vorgaben des Auftraggebers gebunden. Die Definition entspricht Art. 3 Nr. 9 JIRL und Art. 4 Nr. 8 DSGVO.

Auftragsverarbeiter können andere Behörden, aber auch natürliche und juristische Personen des Privatrechts sein. Die Auswahl eines Auftragsverarbeiters und die Grundlagen seiner Beauftragung regelt § 82.

Die Übermittlung von Daten durch die verantwortliche Stelle an den Auftragsverarbeiter bedarf keiner besonderen Rechtfertigung (s.u. § 82, RN 2). Die materielle Zulässigkeit der übrigen Datenverarbeitung durch den Auftragsverarbeiter richtet sich nach den Regelungen, die für den Verantwortlichen gelten. Der Auftragsverarbeiter darf Daten also nur in dem Rahmen verarbeiten, in dem auch der Verantwortliche selbst dies dürfte.

11. „Empfänger“ (Nr. 10)

Empfänger meint die Person oder die Stelle, der gegenüber Daten offengelegt (s.o. RN 13) werden. In Art. 3 Nr. 10 JIRL, auf der Nr. 10 basiert, und Art. 4 Nr. 9 DSGVO heißt es weiter: „unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“. Diesen Halbsatz hat der Landesgesetzgeber nicht übernommen; auch eine Definition des Dritten fehlt (wie auch in der JIRL, vgl. aber Art. 4 Abs. 9 DSGVO). Wer Dritter ist, kann durch eine negative Abgrenzung ermittelt werden: Dritter ist nicht

– die betroffene Person selbst,

– der Verantwortliche und die natürlichen Personen, die zu seiner Organisation gehören (eigene Bedienstete und Beamte), und

– der Auftragsverarbeiter und die Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

12. „Verletzung des Schutzes personenbezogener Daten“ (Nr. 11)

Die Definition entspricht Art. 3 Nr. 11 JIRL (vgl. auch Art. 4 Nr. 12 DSGVO); zu Verdeutlichung hat der Gesetzgeber das Wort „Sicherheit“ durch Datensicherheit ersetzt. Gemeint ist nicht eine unzulässige Verarbeitung, sondern eine Verletzung der Datensicherheit, also der technisch-organisatorischen Regelungen und Maßnahmen, mit denen ein unzulässiger Umgang mit personenbezogenen Daten verhindert und zugleich die Integrität und Verfügbarkeit der Daten und der für ihre Verarbeitung genutzten technischen Einrichtungen gewährleistet werden soll (vgl. § 78). Schutzverletzungen sind meldepflichtig (§ 88), der Betroffene ist zu benachrichtigen (§ 87).

13. „genetische Daten“ (Nr. 12)

Gleichlautend mit Art. 3 Nr. 13 JIRL und mit Art. 4 Nr. 13 DSGVO. Hierbei handelt es sich um Daten, die Aufschluss über die Physiologie oder die Gesundheit der betroffenen Person geben.

14. „biometrische Daten“ (Nr. 13)

Die Definition entspricht Art. 3 Nr. 14 JIRL und Art. 4 Nr. 14 DSGVO. Biometrisch sind Daten, die durch die numerische Vermessung einer natürlichen Person im Hinblick auf ihre physischen, physiologischen oder verhaltenstypischen Eigenschaften gewonnen werden. Hierzu zählen insbesondere Gesichtsbilder und Fingerabdrücke, aber auch Daten, die den Gang oder die Stimme der betroffenen Person beschreiben.

15. „Gesundheitsdaten“ (Nr. 14)

Entspricht Art. 3 Nr. 15 JIRL und Art. 4 Nr. 15 DSGVO. Hierunter sind personenbezogene Daten zu verstehen, die sich auf die Gesundheit einer natürlichen Person beziehen.

Beispiele: Kurzsichtigkeit, Diabetes, körperliche oder geistige Behinderungen.

Es muss sich nicht zwingend um die Information über eine Erkrankung handeln, auch der Umstand, dass eine Person gesund ist, stellt ein Gesundheitsdatum dar. Erfasst werden auch Daten über die Erbringung von Gesundheitsdienstleistungen, also medizinischen Behandlungen, wie sie etwa bei Ärzten, Krankenhäusern oder auch Krankenkassen anfallen.

16. „besondere Kategorien personenbezogener Daten“ (Nr. 15)

Dieser Begriff wird in der JIRL nicht ausdrücklich definiert, aber in Art. 10 JIRL vorausgesetzt. Eine Definition findet sich in Art. 9 Abs. 1 DSGVO. Hierunter fallen Daten

– zur „rassischen“ oder ethnischen Herkunft (Zugehörigkeit zu einer bestimmten Bevölkerungsgruppe, die z. B. durch gemeinsame Herkunft, Geschichte oder Kultur geprägt wird, auch Hautfarbe, nicht aber die Staatsangehörigkeit),

– zu politischen Meinungen (allgemein- oder parteipolitische Überzeugungen, Zugehörigkeit zu politischen Parteien, Betätigung in politischen Bewegungen, etwa Bürgerinitiativen),

– zu religiösen (Weltreligionen, Sekten, Naturreligionen) oder weltanschaulichen Überzeugungen (Pazifismus, Kommunismus, Faschismus, insoweit Überschneidung mit politischen Meinungen),

– zu einer Gewerkschaftszugehörigkeit,

– genetische (s.o., Nr. 12), biometrische Daten (Nr. 13) und Gesundheitsdaten (Nr. 14) sowie

– zum Sexualleben (z. B. Bestellungen in Sexshops, intime Bildaufnahmen; die Information, dass eine Person der Prostitution nachgeht; Informationen zu (früheren Sexualpartnern) und zur sexuellen Orientierung (z. B. Information, dass eine Person homo-, hetero-, bi- oder transsexuell ist).

17. „Aufsichtsbehörde für den Datenschutz“ (Nr. 16)

Die Definition entspricht Art. 3 Nr. 15 JIRL; vgl. auch Art. 4 Nr. 21 DSGVO. In Baden-Württemberg handelt es sich um die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz, § 20 f. LDSG.

18. „internationale Organisation“ (Nr. 17)

Dieser Begriff wird gleichlautend in Art. 3 Nr. 16 JIRL und Art. 4 Nr. 26 DSGVO definiert. Es handelt sich um Einrichtungen, die durch völkerrechtliche Verträge oder Übereinkünfte geschaffen worden sind.

19. „Einwilligung“ (Nr. 18)

Die Einwilligung wird in der JIRL selbst nicht definiert, die Richtlinie verweist in ihren EG 35 jedoch auf die DSGVO und damit insbesondere auf deren Definition in Art. 4 Nr. 11 sowie auf Art. 7, der die Voraussetzungen regelt, unter denen eine wirksame Einwilligung erteilt werden kann. Das PolG sieht in wenigen Fällen (z. B. § 15 Abs. 4 und § 42) vor, dass eine Datenverarbeitung durch die Polizei auf die Einwilligung der betroffenen Person gestützt werden kann.

– Eine wirksame Einwilligung muss freiwillig erklärt werden, d. h. aufgrund einer freien Willensentscheidung, die nicht durch Zwang herbeigeführt wird. Die Aufforderung, einer Anweisung nachzukommen, führt nicht zu einer solchen freien Entscheidung (vgl. EG 35 JIRL).

– Die Einwilligung muss sich auf einen bestimmten Verarbeitungsfall beziehen. Zu allgemein und damit unwirksam wäre danach z. B. eine Erklärung, wonach die betroffene Person „der Verarbeitung meiner personenbezogenen Daten durch die Polizei“ zustimmt.

– In informierter Weise wird die Erklärung abgegeben, wenn die betroffene Person Kenntnis davon hat, von wem und zu welchen Zwecken die Daten verarbeitet werden; der Betroffene muss in der Lage sein, die Tragweite seiner Entscheidung abzuschätzen.

– Die Einwilligung bedarf keiner besondere Form, muss aber unmissverständlich und eindeutig erklärt werden. Zu Dokumentationszwecken empfiehlt es sich, die Einwilligung schriftlich einzuholen oder Ort und Zeit einer mündlichen Erklärung zu dokumentieren.

Für weitere Einzelheiten wird auf die Kommentierung bei § 42 verwiesen.

Prev.1 ...13 141516 17 ...19 Next

Other books by this author