Als kritisch zu betrachten ist die jüngst veröffentlichte Dienstvereinbarung zum Einsatz von Bodycams durch Angehörige der Bundespolizei. Datenschutzrechtliche Bedenken ergeben sich dabei aber nicht wegen der Auswahl des Dienstleisters Amazon Web Services.
Der Inhalt im Überblick
Zweckbestimmung der Bodycamaufzeichnungen
Die Bundespolizei verwendet in besonderen Einsatzlagen sogenannte Bodycams, also Kameras, die am Körper befestigt sind. Damit soll gemäß § 27a Absätze 1 und 2 BPolG folgender Zweck verfolgt werden:
„Bestehen tatsächliche Anhaltspunkte, dass dies erforderlich ist zum Schutz von Beamtinnen und Beamten der Bundespolizei oder Dritten gegen eine Gefahr für Leib, Leben, Freiheit oder Eigentum oder zur Verfolgung von Straftaten oder Ordnungswidrigkeiten von auch im Einzelfall erheblicher Bedeutung, kann die Bundespolizei an öffentlich zugänglichen Orten personenbezogene Daten durch offene Anfertigung von Bild- und Tonaufzeichnungen erheben und zwar selbst dann, wenn Dritte unvermeidbar betroffen sind.“
Aufzeichnungen auch im Stand-By-Modus möglich
In Abgrenzung zu Aufzeichnungen zu o.g. Zwecken dürfen die Bodycams auch im Bereitschaftsbetrieb in ihrem Zwischenspeicher kurzzeitig Daten erfassen. Diese Daten sind automatisch nach höchstens 30 Sekunden spurenlos zu löschen, es sei denn, es erfolgt eine Aufnahme nach § 27a Absatz 1 BPolG. In diesem Fall dürfen die nach Satz 1 erfassten Daten bis zu einer Dauer von 30 Sekunden vor dem Beginn der Aufzeichnung nach Absatz 1 gespeichert werden (§ 27a Absatz 3 BPolG). Die Aktivierung kann entweder manuell ausgelöst oder vom Dienststellenleiter angeordnet werden.
Der Teufel im Detail: die Dienstvereinbarung
Diese und weitere Einzelheiten werden durch eine vom Bundesinnenministerium (BMI) und Bundespolizeihauptpersonalrat beim BMI (BHPR) gemeinsam erlassene Dienstanvereinbarung bestimmt. Bei näherer Betrachtung erweist sie sich allerdings als datenschutzrechtlich in mehreren Punkten problematisch.
So erscheint zunächst die Regelung unter V. unklar. Danach können Nutzer Aufnahmen einer Bodycam längstens für die Höchstspeicherdauer von 30 Tagen in einen „verborgenen Bereich“ verschieben, mit der Folge, dass diese Aufnahmen für die weitere Verwendung gesperrt sind. Die Sperre kann vom Dienststellenleiter aufgehoben werden, wenn sie für einen in § 27a BPolG genannten Zweck benötigt werden. Umgekehrt lässt sich daraus schließen, dass diejenigen Aufnahmen, die nicht nach § 27a BPolG angefertigt wurden, „versteckt“ werden dürfen. Wie häufig davon Gebrauch gemacht wird, soll nach der Dienstvereinbarung evaluiert werden (VII). Offen bleibt damit, auf welcher Rechtsgrundlage die Aufnahmen stattdessen angefertigt werden und warum sie in einen gesperrten Bereich geschoben werden dürfen.
Zweifelhafte Auslegung der Betroffenenrechte
Fragen werfen auch die unter VI. geregelten Auskunfts- und Herausgabeansprüche von Betroffenen auf. Der Auskunftsanspruch nach § 57 BDSG gegenüber der Bundespolizei soll danach regelmäßig durch Einsichtnahme in die Aufzeichnungen auf der Dienststelle ermöglicht werden. Die Herausgabe der begehrten Informationen ist hingegen nur ausnahmsweise vorgesehen, nämlich dann, wenn dies „rechtlich geboten“ ist. Was darunter zu verstehen ist, bleibt unklar, ebenso, wie diese Regelung mit § 59 Absatz 1 BDSG, wonach die Kommunikation leicht und dem Auskunftsantrag entsprechend erfolgen soll, vereinbart werden kann.
Keine unzensierten Aufnahmen
Nach den weiteren Bestimmungen dieses Abschnitts sollen die Aufnahmen im Falle der rechtlich gebotenen Herausgabe vorab gesichtet werden. Personenbezüge zu Polizisten sowie nicht vom Zweck nach § 27a BPolG erfasste Bestandteile sollen auf diese Weise auf einer extra zu diesem Zwecke anzufertigenden Kopie entfernt werden. Dies soll dokumentiert und gegenüber dem Betroffenen kenntlich gemacht werden. Eine derartige Regelung dürfte nicht zur Steigerung der Akzeptanz innerhalb der Bevölkerung gegenüber der Polizeiarbeit führen, lässt sie doch Raum für die Kritik, dass auf diese Weise dem Bürger die Verfolgung seiner Rechte gegenüber Angehörigen des Polizeidienstes erschwert werden solle. Ihr Vorhandensein wirft auch hier die Frage auf, welchen Zweck Aufnahmen erfüllen, die nicht auf § 27a BPolG gestützt werden und deshalb entfernt werden sollen. Schließlich setzt sich die Bundespolizei dadurch dem Verdacht aus, dienstliche Verfehlungen ihrer Beamten auf diese Weise kaschieren zu wollen.
Kann Amazon auf die Daten zugreifen?
Die Aufnahmen der Bodycams werden in einer Cloud-Lösung gespeichert, die von Amazon-Web-Services (AWS) bereitgestellt werden. Bei aller Kritik an dieser Entscheidung sollten die Hintergründe betrachtet werden. Man habe sich für AWS entschieden, weil die eigene IT-Infrastruktur keine adäquate Cloud-Lösung hergebe, so die Bundespolizei.
Aus datenschutzrechtlicher Sicht spricht nichts Grundsätzliches gegen die Auslagerung von Daten in Länder außerhalb Deutschlands oder sogar des Europäischen Wirtschaftsraums/der EU (sog. Drittländer). Die DSGVO verlangt in diesen Fällen aber, dass ein dem europäischen vergleichbares Datenschutzniveau nachgewiesen werden kann. Dafür gibt sie verschiedene Instrumente vor, vgl. Art. 44 ff DSGVO. Dieses Problem stellt sich vorliegend jedoch gar nicht, denn die genutzten Server sollen in Frankfurt am Main stehen.
Die Daten sollen zudem verschlüsselt sein. Das legt nahe, dass AWS gar keinen Zugriff auf personenbezogene Daten hat, also Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Sofern – wovon auszugehen ist – Amazon die Entschlüsselung auch nicht möglich ist, dürften die Daten für sie insgesamt ohne Mehrwert sein. Die Behauptung, Amazon werde die Daten für seine Gesichtserkennungssoftware „Rekognition“ nutzen, ist daher abwegig. AWS trägt außerdem das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte C5-Testat, das einen hohen Sicherheitsstandard garantieren soll.
Also alles safe?
Diese Tatsachen sollten allerdings nicht darüber hinwegtäuschen, dass der Zugriff auf die Daten durch Ermittlungsbehörden im Zweifel durchsetzbar sein dürfte. Dabei liegt das Problem m.E. gar nicht darin, dass mit AWS ein US-Unternehmen gewählt wurde, das der US-Anti-Terrorgesetzgebung (Patriot Act, FISAA) unterfällt. Denn in dieser Hinsicht unterscheidet sich das US-amerikanische Recht auch nicht wesentlich vom europäischen, wie ein Blick auf die geplante Verordnung des Europäischen Parlaments und des Rates über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen (wir berichteten) beweist.
Der Artikel von „Dr. Datenschutz“ ist schwach, weil tatsachenfalsch und rechtsfehlerhaft. Ich erlaube mir diese Bewertung, weil ich Mitverfasser und Unterzeichner des bekritelten Dokuments bin.
Es beginnt damit, dass es gar keine – wie behauptet – „Dienstanweisung zum Einsatz von Bodycams“ gibt. Was es gibt, ist eine Dienstvereinbarung. Das ist nicht nur semantisch, sondern auch rechtlich ein deutlicher Unterschied, denn Dienstvereinbarungen regeln sich nach dem Bundespersonalvertretungsgesetz.
Es geht weiter über eine falsche Zitierung von „§ 27a Absätze 1 und 2 BPolG“ ; wer etwas in Anführungszeichen setzt, sollte auch den Wortlaut der Norm wiedergeben.
Aberwitzig wird es, wenn der/die Verfasser behaupten, die Dienstvereinbarung wäre angeblich „datenschutzrechtlich in mehreren Punkten problematisch“.
Die Dienstvereinbarung dient dem Mitarbeiterdatenschutz und beruht auf § 75 Abs. 3 Nr. 17 BPersVG. Verhindert werden soll, dass mit dem Einsatz der Bodycam und der zu erwartenden Datenfülle die schutzwürdigen Persönlichkeitsrechte der Mitarbeiter untergraben werden, dass sie durch Vorgesetzte sozusagen pausenlos überwacht werden können, dass Rechercheprogramme anhand biometrischer Daten für Mitarbeiterprofile genutzt werden und dass die Bodycamaufnahmen en passant gegen Mitarbeiter in Sachverhalten eingesetzt werden, die § 27a BPolG gar nicht vorsieht. Die Erarbeitung der Dienstvereinbarung wurde begleitet und unterstützt von den Datenschutzfachleuten der „Beratungsstelle für sozialverträgliche Technologiegestaltung (BEST)“ in Saarbrücken.
Die Behauptung des Verfassers, die Regelungen der Datenspeicherung in einem „verborgenen Bereich“ seien „unklar“ ist selbst unklar. Denn durch die getroffene Regelung wird lediglich ausgedrückt, dass nicht jedermann in der Dienststelle einfach aus Neugier auf die gespeicherten Bodycam-Daten zugreifen darf, sondern diese aus Datenschutzgründen (!) nur durch den Dienststellenleiter und nur im Rahmen des § 27a BPolG aus dem Speicher geholt werden dürfen. Was, bitte, ist daran „unklar“?
Unsinnig wird es, wenn der Verfasser behauptet „Umgekehrt lässt sich daraus schließen, dass diejenigen Aufnahmen, die nicht nach § 27a BPolG angefertigt wurden, ‚versteckt‘ werden dürfen…Offen bleibt damit, auf welcher Rechtsgrundlage die Aufnahmen stattdessen angefertigt werden und warum sie in einen gesperrten Bereich geschoben werden dürfen.“ Der gezogene Schluss ist ein Trugschluss. Denn die Aufnahmen dürfen nur unter den Voraussetzungen des § 27a Abs. 1 BPolG überhaupt gemacht werden, dazu zählen eben auch die Gefahrenabwehr nach § 27a Abs. 1 Nr. 1 BPolG, aus der sich dann kein weiterer Aufbewahrungsbedarf nach § 27a Abs. 4 BPolG ergibt, weil die Voraussetzungen nicht vorliegen. Es werden grundsätzlich alle angefertigten Dateien in den vor dem Zugriff von Dritten geschützten Bereich abgelegt und nur im Falle des weiteren Bedarfs, z.B. zur Strafverfolgung (wozu auch die Verfolgung von Vorwürfen von Amtsdelikten zählt), vom Dienststellenliter entsperrt. Die Regelung dient gerade dem Schutz vor unberechtigtem datenzugriff und -abfluß. Was ist daran „datenschutzrechtlich problematisch“? Es ist zu erwarten, dass die Masse der Dateien eben nicht über die 30-Tage-Speicherdauer hinaus für Maßnahmen nach § 27a Abs. 4 BPolG benötigt werden – und deshalb auch nicht von Dritten aufgerufen werden dürfen. Die Vereinbarung schützt die Beschränkung der Datennutzung und -verarbeitung auf den gesetzlichen Datenerhebungszweck, sonst nichts. Allerdings ist auch klar, dass sich nicht aus jeder legitimen Datenerhebung am Ende auch ein Straf- oder Ordnungswidrigkeitenverfahren entwickelt.
Weiter: Dass das rechtliche Gebotensein einem Juristen „unklar“ sein soll, erstaunt schon sehr; noch mehr, dass die Einsichtnahmemöglichkeit in die Dateien in der Dienststelle als Verstoß gegen das Gebot der „Verwendung einer klaren und einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form“ (§ 59 Abs. 1 BDSG) umgemünzt wird. Der Zusammenhang erschließt sich nicht.
Unverständlich wird es, wenn behauptet wird, die persönlichkeitsrechtlich gebotene Anonymisierung der Dateien vor Herausgabe an Dritte (zum Beispiel nach den Pressegesetzen der Länder, dem Informationsfreiheitsgesetz etc.pp.) würde „nicht zur Steigerung der Akzeptanz innerhalb der Bevölkerung gegenüber der Polizeiarbeit führen, lässt sie doch Raum für die Kritik, dass auf diese Weise dem Bürger die Verfolgung seiner Rechte gegenüber Angehörigen des Polizeidienstes erschwert werden solle“. Das ist schon deshalb abwegig, weil zum einen die Herausgabeansprüche auch von Bürgern verfochten werden können, die gar keine Betroffenen sind und dementsprechend auch gar keine eigenen Rechte gegenüber Angehörigen des Polizeidienstes verfolgen. Zum anderen ist die Rechteverfolgung für die Bürger nicht erschwert: für die Verfolgung von Straftaten, derer ein Polizeibeschäftigter verdächtigt wird, liegen die Originale selbstverständlich als Beweismittel nach der StPO weiter vor, ebenso als Beweismittel bei verwaltungsgerichtlichen Überprüfungen der Rechtmäßigkeit der polizeilichen Maßnahme. Es gibt keinen Rechtssatz, dass die Polizei Beweismittel nach der StPO an Betroffene im Original herausgeben muss, sie müssen für die gerichtliche Überprüfung im Original verfügbar sein, was gewährleistet ist. Zudem können die Originale jederzeit in der Dienststelle eingesehen werden. Aus Gründen des Schutzes der Persönlichkeitsrechte der auf den Dateien mit Wort und Bild aufgezeichneten und identifizierbaren Polizeibeschäftigten werden die Dateien, die an Dritte – ob aus Informationsinteresse oder anderen Gründen – herausgegeben werden, jedoch anonymisiert, eben weil der Personendatenschutz dies erfordert und die Dienststelle nach Herausgabe ja auch gar keine Kontrolle darüber hat, was der Empfänger der Daten damit tut. Die Anonymisierung der Daten bei Herausgabe an Dritte berührt die Verfolgung der Rechte des Bürgers gegenüber Angehörigen des Polizeidienstes nicht, denn die strafrechtliche Verfolgung oder verwaltungsgerichtliche Überprüfung der Rechtmäßigkeit der Polizeimaßnahme wird dadurch in keiner Weise eingeschränkt. Bewirkt wird mit der Anonymisierung jedoch, dass über einen Angehörigen des Polizeidienstes nicht ohne sein Einverständnis und ohne weiteres identifizierend in der Öffentlichkeit berichtet werden darf (auch nicht in sozialen Medien), weil ein Polizeibeschäftigter wie jeder andere Bürger auch solches nach der Rechtsprechung schlichtweg nicht hinnehmen muss. Dass der Verfasser den Schutz der Persönlichkeitsrechte und der personenbezogenen Daten von Polizeibeschäftigten als „datenschutzrechtlich bedenklich“ tituliert, kann nur als Aberwitz verstanden werden.
Die Behauptung „Ihr Vorhandensein wirft auch hier die Frage auf, welchen Zweck Aufnahmen erfüllen, die nicht auf § 27a BPolG gestützt werden und deshalb entfernt werden sollen. Schließlich setzt sich die Bundespolizei dadurch dem Verdacht aus, dienstliche Verfehlungen ihrer Beamten auf diese Weise kaschieren zu wollen.“ ist vollkommen sinnfrei: Zum einen kann es keine Aufnahmen geben, die nicht auf § 27a BPolG gestützt sind, weil sie dann nämlich gar nicht angefertigt werden dürften – und selbst wenn es sie gäbe, hätten sie keinerlei Zweck und dürften eben wegen fehlender gesetzlicher Legitimation weder gespeichert noch verarbeitet noch herausgegeben werden, sondern wären aus Datenschutzgründen unverzüglich zu löschen.
Wie sich eine Polizei bei Löschung von Daten, die es gar nicht geben dürfte und die sie deshalb löschen muss, dem Verdacht aussetzen soll, „dienstliche Verfehlungen ihrer Beamten auf diese Weise kaschieren zu wollen“, ist denklogisch Unsinn. Wenn es dienstliche Verfehlungen im Sinne des § 27a Abs. 4 BPolG gibt, sind die Daten gesetzeszweckgemäß und legal und zur Klärung von Vorwürfen als Beweismittel voll nutzbar, den die Strafverfolgung auch von Beamten, denen Verfehlungen unterstellt werden, ist ein legaler Aufzeichnungs- , Speicher- und Verarbeitungszweck. Liegt aber ein solcher Zweck nicht vor, gibt es nichts zu „kaschieren“. Zudem müssen alle (!) Aufnahmen 30 Tage lang gespeichert werden, egal, ob sie irrtümlich oder absichtlich aufgenommen wurden. Auch das dürfte der Unterstellung des Kaschierens zuwiderlaufen.
Nicht nutzbar sind die aufgezeichneten Daten allerdings für „dienstliche Verfehlungen“ von Beamten, die vom Aufnahmezweck des § 27a BPolG nicht mit umfasst sind und den Bürger gar nicht betreffen, z.B. Verstöße gegen innerdienstliche Vorschriften wie die Kleiderordnung, Abweichen von dienstlichen Anweisungen die dem Streifenplan, Rauchen während der Streife usw. Die Dienstvereinbarung schützt die Mitarbeiter davor, dass Bodycamaufnahmen en passant für solche Verhaltensüberwachungen genutzt werden. Und das ist auch gut so, weil niemand unter dauerhafter Bild- und Tonkontrolle seiner Vorgesetzten arbeiten müssen sollte, auch Polizeibeschäftigte nicht.
Es ist bedauerlich, dass sich der Verfasser mit dem eigentlichen und durchaus schwierigen Problem, wie auch im Polizeidienst der Mitarbeiterdatenschutz gewährleistet werden kann, gar nicht befasst hat. Ein schwaches Zeugnis für jemanden, der sich „Dr. Datenschutz“ nennt.
Sehr geehrter Herr Hüber,
vielen Dank für Ihren ausführlichen Kommentar. Wir fühlen uns geehrt, dass Sie sich die Zeit genommen haben, selbst zu antworten.
Das sprachliche Versehen haben wir geändert. Sie haben natürlich Recht, es handelt sich nicht um eine Anweisung, sondern eine Vereinbarung. Im Übrigen freuen wir uns sehr, aus erster Hand hilfreiche Denkanstöße für die durch die Dienstvereinbarung aufgeworfenen Fragen zu gewinnen. Zum Wesen der Rechtswissenschaften gehört, über die Auslegung von Normen zu streiten. Das gilt auch und in besonderem Maße für Normen der Eingriffsverwaltung wie den hier besprochenen. Zu diesen haben sich neben den Aufsichtsbehörden Schleswig-Holsteins oder Bayerns auch die Süddeutsche Zeitung, die taz oder Professor Tobias Singelnstein kritisch geäußert. Wir verstehen unseren Artikel als Teil der Diskussion, die dank Ihnen nun einen lebhaften Beitrag erfahren hat. Sollte dabei aus Ihrer Sicht der begrüßenswerte Ansatz des Mitarbeiterdatenschutzes zu kurz gekommen sein, wäre das natürlich bedauerlich.
Mehrere Punkte kommen leider zu kurz:
Der geografische Serverstandort lässt keine Aussage darüber zu, ob nicht Administratoren oder andere Mitarbeiter des Dienstleisters oder gar Subdienstleister aus Drittstaaten auf Daten zugreifen können!
Dass Daten verschlüsselt vorliegen, bedeutet nicht, dass der Dienstleister nicht die faktisch größte Einwirkungsmöglichkeit behält, nämlich diese zu vernichten.
Das C5-Testat hat datenschutzrechtlich wenig bis keine Relevanz.
Der immer wieder herangezogene Standortfrage, hat hier keine Relevanz, da natürlich auch Daten widerrechtlich in Deutschland abgegriffen werden können.
Auch finde ich die unsäglichen Aussagen zum Thema Verschlüsselung nicht hilfreich, da nie konkret nachgefragt oder ausgesagt wird a, was verschlüsselt wird, wurde (wie Videodatei, Metadaten) b, wie verschlüsselt wird, wurde (Data-in-Use, Data-at-Rest und Data-in-Transit) c, wer übt die Kontrolle aus ( Key Management für die jeweiligen Verschlüsselung Methoden) und d, warum dies getan wird (Sinnhaftigkeit). Ich habe nicht genügend Server halte ich jedoch für eine unzureichende Begründung…
Dies führt uns direkt zu den Hinweis des C5 Testats:
Das C5 Testat bezieht sich auf bestimmte Dienste, was hier nach meinem Wissen auch nirgends beschrieben ist welche AWS genutzt und ob diese dann korrekt genutzt werden steht dann auf einem anderen Blatt. Sprich das Testat sagt über den konkreten Anwendungsfall schlicht alles oder nichts aus. Der BSI hat sicherlich nicht diesen Anwendungsfall einer Tatsachenprüfung unterzogen und wenn doch vermutlich die Datenschutzthematik ausgespart.
Außerdem wie der vorherige Kommentar zurecht schon schreibt: C5 sagt nichts über den Datenschutz an sich in diesem Nutzungsszenario aus. Da hätte ich lieber transparent die TOMs (technische und organisatorische Maßnahmen) lesen wollen.
Bitte versteht mich nicht falsch, bei richtigem Einsatz sind Cloud Provider wie AWS sicher und datenschutzkonforme Nutzungen möglich.
Auch hätte mich interessiert wie hier IT-Forensische Beweiskraft erzeugt und erhalten wird.
Und zu guter Letzt: was passiert, wenn auf dem Video, womöglich kinderpornografische Inhalte unbeabsichtigt aufgezeichnet werden und diese zu AWS hochgeladen werden. Dies würde nämlich womöglich AWS automatisch zum Straftäter befördern und normalerweise gegen deren Vertragsbedingungen verstoßen.