Datenschutz

Aus Basigo
Wechseln zu: Navigation, Suche

I. Einführung

In allen Phasen von Großveranstaltungen fließen Daten und Informationen zwischen den Sicherheitsakteuren, dem VeranstalterDerjenige, der für die jeweilige Veranstaltung die Verantwortung trägt. und dem BesucherEntspricht im Wesentlichen dem Begriff -> ''Zuschauer'' oder ''Zuhörer'' und meint damit die an der Veranstaltung nur passiv beteiligten Personen. Personen, die über eine Eintrittskarte mit oder ohne Bezahlung Zutritt zur Veranstaltung haben, sind immer Besucher.. Soweit es sich dabei um personenbezogene Daten handelt, ist deren Erhebung, Speicherung, Nutzung und Übermittlung nur innerhalb datenschutzrechtlicher Grenzen möglich.

II. Anwendungsbereich

Nach §§ 1, 2 des Bundesdatenschutzgesetzes (im Folgenden: BDSG) sind öffentliche Stellen, also Behörden, die Organe der Rechtspflege und andere öffentlich organisierte Einrichtungen verpflichtet, bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten den Einzelnen davor zu schützen, dass durch den Umgang mit diesen Daten sein Persönlichkeitsrecht beeinträchtigt wird. Diese Pflichten werden für Behörden des Bundes im Bundesdatenschutzgesetz näher ausgestaltet und für Behörden des Landes in dem jeweiligen Landesdatenschutzgesetz oder in speziellen – den Aufgabenbereich konkretisierenden – Gesetzen, wie z.B. den Landespolizeigesetzen.

Der Veranstalter ist wie andere Private auch als nicht-öffentliche Stelle im Sinne des § 2 Abs. 4 BDSG an das Bundesdatenschutzgesetz gebunden. Personenbezogene Daten sind nach § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

III. Schutzbereich

Ausgangspunkt jeder datenschutzrechtlichen Überlegung ist dabei das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Danach kann jeder Einzelne selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen und ist befugt, grds. selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. In dieses Grundrecht greift derjenige ein, der Daten der betroffenen Person gegen ihren Willen verarbeitet – unabhängig davon, ob dies eine staatliche Behörde oder ein privates Unternehmen ist. Das Bundesverfassungsgericht hat in seinem Urteil zur Vorratsdatenspeicherung aus dem Jahr 2010 Leitlinien für den Schutz von Daten entwickelt, die staatliche und private Institutionen zur Datenerhebung, -verarbeitung, -weitergabe und –nutzung zu beachten haben. Dem Einzelnen erwächst danach aus dem Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG ein gegen den Staat gerichteter Anspruch auf Sicherung seiner Daten vor unbefugter Nutzung oder Veränderung durch Dritte. Es sollte ein hoher Sicherheitsstandard gewährleistet werden, der die spezifischen Besonderheiten des entsprechenden Datenbestandes berücksichtigt. Dieser Standard müsse sich dabei an dem Stand der Technik orientieren, neue Erkenntnisse und Einsichten fortlaufend aufnehmen und nicht unter dem Vorbehalt einer freien Abwägung mit allgemeinen wirtschaftlichen Gesichtspunkten stehen.

IV. Grundsatz der Zweckbindung

Für den sensiblen Umgang mit Daten ist das Gebot der Zweckbindung essentiell. Es soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind, die sog. Zweckidentität. Dies gilt auch dann, wenn die Daten innerhalb der Behörde an eine andere Stelle mit einer anderen, über bloße Hilfsfunktionen hinausgehenden Aufgabenstellung weitergegeben werden sollen. Insbesondere in Datenverarbeitungsprozessen, wie die im Rahmen von Genehmigungsverfahren, muss sichergestellt werden, dass eine Datenverarbeitung zu einem anderen als dem ursprünglich festgelegten Zweck nur aufgrund einer gesetzlichen Grundlage nach dem Bundes- bzw. Landesdatenschutzgesetz oder nach § 4a BDSG mit Einwilligung des Betroffenen möglich ist. Damit die Verarbeitungsvorgänge für den Betroffenen transparent bleiben, muss er den Zweck der Datenverwendung kennen. Hat er hingegen keine Kenntnis davon, dass seine personenbezogenen Daten verarbeitet werden, ist er nicht in der LageBeschreibung der bestehenden Situation, ein-schließlich: allgemeine Lage, -> ''Schadenslage'', Möglichkeiten der Schadensabwehr, eigene Lage., das ihm verfassungsrechtlich garantierte Recht auf informationelle Selbstbestimmung in Anspruch zu nehmen.

Der Grundsatz der Zweckbindung ist in den jeweils einschlägigen Vorschriften zur Erhebung, Speicherung, Nutzung und Übermittlung personenbezogener Daten ausdrücklich geregelt; diese Datenverarbeitungsvorgänge sind in der Regel nur zur Aufgabenerfüllung der jeweiligen Behörde möglich. Außerhalb der Zweckbindung dürfen Daten nur aufgrund expliziter Ausnahmeregelungen verarbeitet werden. Zweckänderungen sind nur unter engen Voraussetzungen zulässig.

V. Relevanz des Datenschutz für Großveranstaltungen

1. Planungsphase

Den verfahrensrechtlichen Anfang der Planungsphase bildet der Genehmigungsantrag des Veranstalters. Die dadurch preisgegebenen Daten können ohne Zweckänderung an die beteiligten Behörden übermittelt werden, da dies zu ihrer Aufgabenwahrnehmung in der Regel notwendig ist. Gerade in dieser Phase der VeranstaltungIm allgemeinen Sinne organisierte Treffen von Menschen über eine bestimmte Zeit an einem bestimmten Ort oder mehreren Orten gleichzeitig zu einem vorher festgelegten Zweck. Sie werden grundsätzlich zeitlich vorher geplant. erfolgt ein intensiver Informationsaustausch zwischen den beteiligten Sicherheitsakteuren. Das Genehmigungsverfahren, in dem je nach Veranstaltungstypus mehrere Sicherheitsbehörden bei der Erstellung des Genehmigungsbescheids zusammenwirken, erfordert einen steten Informations- und Datenaustausch im Wege kooperativer Kommunikation.

Innerhalb des Genehmigungsverfahrens bildet die Erstellung des Sicherheitskonzepts den Kern der kooperativen Sicherheitsgewährleistung. Die Abstimmung zwischen den Akteuren erfordert eine enge Kooperation zwischen öffentlichen Stellen (Ordnungsbehörden, PolizeiBehörden des Bundes und der Länder mit Befugnissen zur Aufrechterhaltung der -> ''öffentlichen Sicherheit'' bei -> ''Gefahr'' im Verzug. Der Bund verfügt über die Bundespolizei, den Zoll, das Bundeskriminalamt (BKA) und inspiziert die Bereitschaftspolizeien der Länder. Die Länder verfügen neben der Bereitschaftspolizei über die Schutzpolizei (einschließlich Wasserschutzpolizei) und die Kriminalpolizei. Bundesgrenzschutzverbände und Bereitschaftspolizei sind in Verbänden und Einheiten, Grenzschutzeinzeldienst, Zoll, Schutzpolizei und Kriminalpolizei sowie die Bayerische Grenzpolizei einzeln dienstlich organisiert. Rechtsgrundlagen der Länderpolizeien sind die Polizeiorganisationsgesetze der Länder., der Brandschutzdienststelle und den Rettungsdiensten) und nicht-öffentlichen Stellen (Privater). Im Hinblick auf die Übermittlung personenbezogener Daten gelten jeweils die landes- oder bundesrechtlichen Vorgaben.

2. Veranstaltungsphase

In der Veranstaltungsphase erfolgen zahlreiche Informationsflüsse. Zwischen den Sicherheitsakteuren werden sicherheitsrelevante Informationen ausgetauscht. Dies sind zumeist Daten, die keinen Personenbezug haben. Zur Vermeidung eines Krisenfalls oder bei dem Aufkommen einer KriseVom Normalzustand abweichende Situation mit dem Potenzial für oder mit bereits eingetretenen Schäden in einer Einrichtung, die mit der normalen Ablauf- und Aufbauorganisation eines Unternehmens, einer Behörde oder eines Staates nicht mehr bewältigt werden kann. sind auch dem Besucher sicherheitsrelevante Informationen mitzuteilen. Rechtliche Relevanz gewinnen diese Informationen nicht vorrangig aus datenschutzrechtlicher Perspektive, sondern aus Haftungsgesichtspunkten. Denn ein Fehlen von Informationen bei der Übermittlung oder eine Übermittlung von unzutreffenden Daten kann zur Haftung führen.

Daten fließen auch durch die Besucher der Veranstaltung. Dies kann durch die einfache Erhebung von Besucherzahlen anhand der verkauften Tickets oder Zählungen beim EinlassBegrüßung der Gäste/Teilnehmer eines Events und Geleiten in die -> ''Location''. Je nach Veranstaltungsart unterscheiden sich die Anforderungen an die Mitarbeiter des Einlasses. ''Anmerkung'': Bei geschlossenen Veranstaltungen werden die Gäste in der Regel persönlich begrüßt. Die mitgebrachten Einladungen werden mit der Gästeliste verglichen, und dem Gast werden weitere Informationen zur Veranstaltung übergeben. Öffentliche Veranstaltungen zeichnen sich durch eine höhere Sicherheitskontrolle aus. Eintrittskarten werden kontrolliert und Personenkontrollen durchgeführt, damit keine verbotenen Gegenstände (Waffen, Flaschen oder Kameras) in die Location mitgenommen werden. Am Einlass bekommt der Gast/Teilnehmer den ersten Eindruck vom Event. Daher ist hier besonders auf die optische Gestaltung und auf einen reibungslosen Ablauf des Einlasses zu achten. Menschenschlangen am Einlass können bei -> ''Notfällen'' ein enormes Sicherheitsrisiko darstellen. erfolgen. Die Datenerhebung nicht-öffentlicher Stellen richtet sich nach §§ 27 ff. BDSG, soweit Datenverarbeitungsanlagen genutzt werden. Zudem werden durch Sicherheitsmaßnahmen Daten generiert, die unter Umständen einen Personenbezug aufweisen und damit datenschutzrechtliche Verantwortung nach den oben genannten Darstellungen hervorrufen können, z.B. Videotechnik.

3. Nachbereitungsphase

Großveranstaltungen werden vielfach wiederholt veranstaltet. Erkenntnisse des Vorjahres können dem Veranstalter und auch den Sicherheitsbehörden die Möglichkeit geben, realisierte oder nicht realisierte Sicherheitsrisiken/-lücken zu identifizieren und aufzuklären, um für die nächste Veranstaltung Vorkehrungen zu treffen. Oft geben in diesem Zusammenhang Datenauswertungen Aufschlüsse, z.B. über das Ausmaß des Besucheraufkommens, die Auswahl der An- und Abreisewege und die Analyse der Besucherströme auf dem Gelände. Daten, die eines sensiblen Umgangs bedürfen, können durch Anonymisierungsverfahren nutzbar gemacht werden. In § 3 Abs. 6 BDSG ist Anonymisieren als „das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“ definiert. Automatisierte Dateien können so anonymisiert werden, dass die einzelnen Daten, die zur Bestimmbarkeit führen, gelöscht werden, insbesondere direkte Identifikationsmerkmale wie Namen, Anschriften und Personenkennzeichen. Eine weitere Möglichkeit ist, dass ein neuer Datenbestand hergestellt wird, der die bestimmbaren Daten nicht enthält. Die Verfahren nehmen den Daten die „Personenbezogenheit“, so dass beispielsweise ohne datenschutzrechtliche Restriktionen Statistiken aufgestellt werden könnten.

VI. Technische Voraussetzungen: Intranet

Als technische Vorkehrung sollte ein System innerhalb der Behörden geschaffen werden, in dem Informationen innerhalb der staatlichen Verwaltung i. S. eines breit zugänglichen, integrierten Informationssystems, wie z. B. eines Intranets – also eines Rechnernetzes, das nicht öffentlich ist – offen verfügbar gemacht werden und z.B. der einheitliche Ansprechpartner (siehe Sicherheitsbaustein Einheitlicher Ansprechpartner) befugt ist, die Daten an die zuständigen Behörden zu übermitteln. Dazu müssten die Verwaltungsentscheidungen anonymisiert werden, insbesondere dann, wenn nicht alle verfügbaren personenbezogenen Daten für das Anliegen erforderlich sind. Dadurch sind der Veranstalter und die beteiligten Behörden davor bewahrt, dass personenbezogene Sachentscheidungen „im Netz öffentlich” verhandelt werden und außerdem die GefahrAbstrakte Möglichkeit einer Schädigung aufgrund einer objektiv vorhandenen Gefahrenquelle. gebannt, dass durch Zusammenführung anderer Datenbestände ein Persönlichkeitsprofil des Bürgers erstellt werden kann. (siehe Sicherheitsbaustein E-Government)

VII. Betriebs- und Geschäftsgeheimnis

Nicht selten ist der Veranstalter gewerblich. Dessen Daten stehen insbesondere aus Wettbewerbsgründen unter einem besonderen Schutz, dem sog. Betriebs- und Geschäftsgeheimnis. Darunter werden „alle auf ein Unternehmen bezogenen Tatsachen, Umstände und Vorgänge verstanden, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung der Rechtsträger ein berechtigtes Interesse hat“. [1] Das Betriebs- und Geschäftsgeheimnis ist grundrechtlich durch Art. 12 Abs. 1 und Art. 14 GG geschützt. Auch durch das Verwaltungsverfahrensrecht kann in diese Rechte eingegriffen werden, so dass das Genehmigungsverfahren den Geheimnisschutz sicherzustellen hat. Bei dieser Gewährleistung ist der Veranstalter zu beteiligen, da vielfach nur das betroffene Unternehmen (als Geheimnisträger) selbst beurteilen kann, ob ein Bekanntwerden der erbetenen Informationen nachteilige Auswirkungen auf die Geschäftstätigkeit hat und daher aus geschäftlichen Gründen ein Interesse an deren Nichtverbreitung besteht.

Abkürzungsverzeichnis und Erläuterungen

BDSG = Bundesdatenschutzgesetz
GG = Grundgesetz

Literatur:

Eine Reihe von Inhalten dieses Sicherheitsbausteins beruht auf den Beiträgen in: Kugelmann (Hrsg.), Verfahrensrecht der SicherheitFreiheit von unvertretbarem -> ''Risiko''. von Großveranstaltungen, Baden-Baden, 1. Auflage 2015.

  1. BVerfG NVwZ 2006, 1041 (1042).



Autoren: Antonia Buchmann, Dieter Kugelmann (Deutsche Hochschule der Polizei)