Jede Speicherung personenbezogener Daten durch staatliche Stellen unterliegt in Deutschland strengen Regeln. Bei polizeilichen Datenbanken ist der Schutz besonders hoch. Es stellt sich jedoch die Frage, ob betroffene Personen nicht nur Auskunft über die gespeicherten Daten selbst erhalten können, sondern auch darüber, wer die Daten wann und zu welchem Zweck abgerufen hat. Das Auskunftsrecht über diese sogenannten Abfrageprotokolle ist juristisch umstritten und steht im Fokus aktueller Datenschutz-Debatten, insbesondere im Hinblick auf mögliches Fehlverhalten von Beamten.
Das Recht auf Auskunft ist ein fundamentales Bürgerrecht und wird im Bundesdatenschutzgesetz (BDSG), der Datenschutz-Grundverordnung (DSGVO) sowie den spezifischen Polizeigesetzen der Bundesländer und des Bundes (z. B. BKAG) verankert.
Umfang der Auskunft über gespeicherte Daten
Betroffene können bei der zuständigen Polizeibehörde einen Antrag stellen, um Informationen über die eigenen personenbezogenen Daten zu erhalten. Die Behörde ist verpflichtet, Auskunft zu erteilen über:
- Art und Umfang der gespeicherten Daten.
- Den Zweck und die Rechtsgrundlage der Datenspeicherung.
- Die Herkunft der Daten.
- Die Empfänger, denen die Daten offengelegt wurden.
Ein solcher Antrag muss schriftlich gestellt werden und erfordert in der Regel einen Identitätsnachweis. Die E-Commerce-Branche ist mit ähnlichen Transparenzpflichten bei der Datenerhebung konfrontiert, wenn auch auf anderer gesetzlicher Grundlage.
Der Anspruch auf Auskunft über Logfiles (Abfrageprotokolle)
Die IT-Systeme der Polizei, darunter das Verbundsystem INPOL, protokollieren automatisch jeden Zugriff auf personenbezogene Daten. Diese internen Logfiles enthalten Informationen wie:
- Zeitpunkt der Abfrage.
- Die Kennung des zugreifenden Beamten.
- Die Suchkriterien.
- Der vermerkte Abfragegrund.
Die zentrale Rechtsfrage ist, ob die in diesen Logfiles enthaltenen Daten über den Abfragevorgang und die Identität des abfragenden Beamten als “personenbezogene Daten des Betroffenen” im Sinne der DSGVO oder des BDSG gelten und somit dem Auskunftsanspruch unterliegen.
Die herrschende Verwaltungspraxis sieht Logfiles häufig als reine interne Kontrolldaten an, deren Zweck ausschließlich die Überprüfung der Rechtmäßigkeit polizeilicher Zugriffe sei. Nach dieser Auffassung würden die Daten die Privatsphäre der abfragenden Beamten schützen und nicht dem Betroffenen zuzuordnen sein.
Transparenz versus Geheimhaltungsinteressen
Fälle von Datenmissbrauch, bei denen polizeiliche Daten für nicht dienstliche oder private Zwecke abgefragt wurden, belegen die Notwendigkeit von Transparenz. Ohne eine Auskunft über die Logfiles ist es für Betroffene nahezu unmöglich, rechtswidrige Zugriffe festzustellen und juristisch dagegen vorzugehen. Der Verweis auf die interne Kontrolle durch die Polizeibehörden greift in solchen Fällen zu kurz.
Die JI-Richtlinie (EU) 2016/680) schreibt zwar die Protokollierung von Verarbeitungsvorgängen vor, um die Rechtmäßigkeit zu gewährleisten, klärt jedoch den direkten Auskunftsanspruch des Betroffenen über die Identität des Abfragenden nicht explizit. Die gerichtliche Klärung dieser Frage ist anhängig. Es zeichnet sich jedoch ab, dass die Rechte der Betroffenen auf Schutz ihrer sensiblen Daten überwiegen müssen, um effektiven Rechtsschutz zu gewährleisten. Die Transparenzpflichten, die auch im Hinblick auf die Barrierefreiheit digitaler Angebote gefordert werden, zeigen den hohen Stellenwert von Zugang und Offenheit.
Fazit:
Ein uneingeschränkter, direkter Anspruch auf die vollständige Offenlegung der Logfiles, einschließlich der Identität des abfragenden Beamten, ist in Deutschland aktuell nicht gesichert. Behörden verweigern diese Auskunft häufig mit Verweis auf interne Kontrollmechanismen. Trotz dieser Hürden besteht das allgemeine Auskunftsrecht über die gespeicherten Daten weiterhin.
Handlungsempfehlungen:
- Formulierung des Antrags: Die Auskunft über die gespeicherten Daten sollte beantragt werden. Im Antrag sollte ausdrücklich die Offenlegung der Abfrageprotokolle (Logfiles) inklusive der Identifikationsmerkmale der zugreifenden Personen und des Abfragezwecks gefordert werden.
Rechtsmittel einlegen: Bei einer ablehnenden Entscheidung sollte eine Beschwerde beim zuständigen Landes- oder Bundesdatenschutzbeauftragten geprüft werden. Alternativ kann der Klageweg beschritten werden, um eine gerichtliche Klärung zu erwirken und damit zur Weiterentwicklung des Datenschutz-Rechts beizutragen.
Bildquelle: Gemini