In der Vergangenheit zeigte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Polizei ihre Grenzen auf. Diese Macht soll ihm mit dem neuen Polizeigesetz ein Stück weit genommen werden. Der Datenschützer hatte nach dem G20-Gipfel 2017 die Löschung der Gesichterkennungsdatenbank der Polizei angeordnet und sich damit nicht nur Freunde gemacht.

Die rot-grüne Landesregierung in Hamburg will ihrem Datenschutzbeauftragten die Anordnungsbefugnis entziehen. Im Zuge der Umgestaltung des Polizeigesetzes würden die Befugnisse der Polizei weiter ausgeweitet, während dem Datenschutzbeauftragten ein wichtiges genommen werden soll. Dieser hätte zukünftig keine Möglichkeit mehr, eine Unterlassung anzuordnen, sondern dürfte nur noch Beanstandungen oder Warnungen aussprechen. Befugnisse, die laut dem derzeitigen Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Johannes Caspar, derart wirkungslos seien, dass etwa gegen ignorierte Beanstandungen „gar nicht geklagt werden kann“. Im Bereich der Gefahrenabwehr bleibt dem Datenschützer allerdings die Möglichkeit der neu geschaffenen Feststellungsklage.

Ist eine Anordnung eine zu viel?

Caspar nutzte seine Anordnungsbefugnis ein einziges Mal: Nach dem massiven Polizeieinsatz beim G20-Gipfel in Hamburg untersagte er 2018 die Speicherung von „ohne Rechtsgrundlage erhobenen biometrischen Daten“ sowie die Nutzung der Gesichtserkennungssoftware Videmo 360. Die hatte die Hamburger Polizei auch über den G20-Einsatz 2017 hinaus weiter eingesetzt. Caspar bewertete das als rechtlich unzulässig. Nachdem er die Polizei darauf hingewiesen und eine Beanstandung eingereicht hatte, ordnete er die Löschung der biometrischen Datenbank zum Gesichtsabgleich an. Die Polizei reichte dagegen eine Anfechtungsklage ein und benutzte die Datenbanken weiter.

War diese Anordnung schon eine zu viel? Die Innenbehörde begründet die Befugnisbegrenzung damit, dass die Anordnungskompetenz nicht mit der „Sensibilität und Komplexität“ der Datenverarbeitung und dem „Bedürfnis nach ständiger Verfügbarkeit“ der Daten vereinbar wäre. Schon allein die Möglichkeit einer Anordnung führe bei der Polizei zu einer „Rechtsunsicherheit“- Aufgrund solch einer Verunsicherung könne die Polizei ihre Aufgabe der Gefahrenabwehr nicht mehr fortführen, leitet Caspar aus der Begründung ab. Der Datenschutzbeauftragte zeigt sich darüber verwundert, da die Rechtslage besagt, dass die Polizei bis zur endgültigen Entscheidung des Gerichts über die Anfechtungsklage weiter machen kann.

Beanstandungen haben für die Polizei keine rechtlichen Folgen

Bislang, so Caspar, hätte die Polizei keinerlei Probleme damit gehabt, seine Kritik und Untersagungsverfügung zu ignorieren. Dass das rechtlich zulässig ist, solange das Gerichtsverfahren noch läuft, bewertet der Datenschutzbeauftragte als problematisch, da über Jahre hinweg die Rechte und Freiheiten Betroffener verletzt werden würden.

Ohne seine Anordnungskompetenz würde dem Datenschutzbeauftragten eine Warnung oder eine Beanstandung als Handlungsmittel bleiben. Mit der Beanstandung kann der Datenschutzbeauftragte seine Kritik in Form einer Pressemitteilung beim Innensenator einreichen. Im Bereich der Gefahrenabwehr bleibe der Polizei, laut den Hamburger Datenschützer:innen, die Möglichkeit einer neu geschaffenen Feststellungsklage. Wenn die Beanstandung nicht befolgt werden sollte, würde dann ein Gericht das Rechtsverhältnis prüfen.

Diese neue Beanstandung sei zwar keine Anordnung, die von der adressierten Behörde befolgt werden muss. Die Hamburger Datenschützer:innen gehen aber davon aus, dass ein Gericht ihre Beurteilung nicht unbeachtet lassen würde: „Dass künftig eine Feststellungsklage durch die Aufsichtsbehörde gegen die kontrollierende Stelle erhoben werden muss, erschwert die Rechtsdurchsetzung“ so die Einschätzung der Hamburger Datenschützer:innen. Das stelle im Ergebnis eine „Privilegierung der Polizei gegenüber anderen öffentlichen Stellen dar, gegen die die Aufsichtsbehörde unmittelbare Anordnungen aussprechen kann.“

Caspar verweist auf eine Unstimmigkeiten im Gesetzesentwurf. An einer Stelle würde dem Datenschutzbeauftragten das Recht gegeben von der Polizei zu verlangen, Betroffene über die Nutzung ihrer Daten zu informieren. An späterer Stelle werde ihm das aber wieder abgesprochen.

Gesetzänderung ist europarechtswidrig

Sebastian Golla, wissenschaftlicher Mitarbeiter an der Universität Mainz für Öffentliches Recht, Informationsrecht und Datenschutzrecht, kritisiert die Regelung und verweist auf Widersprüchlichkeiten zum europäischen Recht. Darin sind wirksame Abhilfebefugnisse für die Datenschutzaufsicht vorgeschrieben. Der Gesetzentwurf der rot-grünen Landesregierung macht einen Schritt in die andere Richtung.

Die innenpolitische Sprecherin der Linken, Christiane Schneider kritisierte diese Gesetzesänderung scharf: „Nachdem der Datenschutzbeauftragte die Löschung der biometrischen Datenbank zum Gesichtsabgleich im Zuge der G20-Ermittlungen verfügt hatte, kommt jetzt von der Innenbehörde die Retourkutsche.“ Die Innenbehörde wolle „einer kritischen Kontrollinstanz die Zähne ziehen“, so Schneider.

Das Gesetz soll noch 2019 verabschiedet werden, am 19. September findet die Anhörung in der Bürgerschaft statt. Zu den geplanten Gesetzesänderungen des Hamburger Polizeigesetzes gehören außerdem die elektronische Fußfessel und vorbeugende, automatisierte Datenanalysen. Gerade dieser Ausbau polizeilicher Befugnisse macht eine wirksame Überprüfung unabdinglich: Die Kontrollkompetenz des Datenschutzbeauftragten sollte dringend gestärkt und nicht beschränkt werden.

Nach der Einschätzung des Hamburgischen Beauftragten sei der Gesetzesentwurf „nicht nur rechtspolitisch verfehlt und unzutreffend begründet“, sondern verstoße auch gegen das Europäische Recht. Der Gesetzgeber setze sich „damit vollkommen unnötig der Gefahr einer Verurteilung durch den Europäischen Gerichtshof“ aus, schließt Caspar seine Stellungnahme.

Update: In einer früheren Version dieses Artikels stand, dass der Datenschutzbeauftragte nun keine Möglichkeit mehr hätte, rechtlich gegen das Verhalten der Polizei vorzugehen. Das stimmt nicht. Im Bereich der Gefahrenabwehr hat die Datenschutzbehörde die Möglichkeit einer neu geschaffenen Feststellungsklage. Wir bitten, den Fehler zu entschuldigen.