Wann darf die Polizei Datenbanken abfragen?  

Diesen Sommer stellte sich heraus, dass ein Fall rechtsradikaler Drohmails im Zusammenhang mit dem unzulässigen Zugriff auf die Datenbank der hessischen Polizei steht. Schnell kam die Frage auf, wann der einzelne Polizeibeamte auf die Datenbank der Sicherheitsbehörden zugreifen dürfe. Dass es sich hierbei auch um eine Frage des Datenschutzes und der Datenschutzgrundverordnung (DSGVO) handelt, wird nur selten angesprochen. Wie ist dieser Vorfall datenschutzrechtlich einzuordnen? 

Auch ein Fall nach der DSGVO 

Zwar gilt die DSGVO nach Art. 2 Abs. 2 lit. a) DSGVO nicht, wenn die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt, was im Polizei- und Ordnungsrecht regelmäßig der Fall sein dürfte. Dennoch ordnet § 1 Abs. 8 des Hessischen Datenschutz- und Informationsfreiheitsgesetz (HDSIG) an, dass die DSGVO entsprechend anwendbar ist, soweit nichts anderes bestimmt ist. Damit steht, fest, dass eine Datenverarbeitung nach Art. 5 Abs. 1 lit. a) i.V.m. Art. 6 abs. 1 S. 1 DSGVO nur rechtmäßig ist, wenn eine geeignete Rechtsgrundlage vorliegt. Gleiches gilt also auch für den aktuellen Sachverhalt.  

Die Rechtsgrundlage 

Ausgangspunkt ist damit Art. 6 DSGVO. Nach lit. c) bzw. e) ist eine Verarbeitung dann rechtmäßig, wenn das Unionsrecht oder das Recht der Mitgliedstaaten eine geeignete Rechtsgrundlage für die Verarbeitung vorsieht. In Frage kommen insbesondere die Polizeigesetze der Länder sowie die Strafprozessordnung. In Hessen gilt zunächst § 20 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG). Eine Nutzung personenbezogener Daten aus einer Datenbank ist hiernach allgemein nur zulässig, wenn ein dienstlicher Grund vorliegt. Dabei dürfen Daten grundsätzlich nur zu demselben Zweck verarbeitet werden, zu dem sie auch erhoben wurden (Grundsatz der Zweckbindung). Die Verwendung zu einem anderen Zweck ist nur zulässig, wenn eine hypothetische Datenerhebung zulässig wäre (§ 20 Abs. 3 S. 2 HSOG). Darüber hinaus ist eine Verwendung von Daten aus einem Strafverfahren zur Gefahrenabwehr in engen Grenzen zulässig (§ 481 StPO). Auch hier ist Voraussetzung die Rechtmäßigkeit einer hypothetischen Datenerhebung nach den Polizeigesetzen der Länder. 

Für den Vorfall bedeutet dies, dass die Polizeibeamte die Daten aus der Datenbank nur dann abrufen durften, wenn es für denselben Zweck erforderlich gewesen wäre, zu dem sie einst erhoben wurden oder wenn eine Situation vorliegt, in der eine  andere Rechtsgrundlage die Erhebung der Daten erlauben würde. Beides lag offensichtlich nicht vor: die Daten wurden verwendet, um Drohmails zu versenden. Bereits mit dem Zugriff auf die Datenbank durch die Polizeibeamten lag damit eine rechtswidrige Datenverarbeitung vor. 

Fazit 

Eine Nutzung personenbezogener Daten durch Polizeibeamte ist nur in den gesetzlich vorgeschriebenen Fällen zulässig. Das Besondere an der DSGVO ist, dass sie für Private und öffentliche Stellen gleichermaßen gilt. Aus diesem Grund bildet sie den Ausgangpunkt für die Frage, ob eine Datenverarbeitung rechtmäßig ist oder nicht. Damit steht auch fest, dass für öffentliche Datenverarbeitungen grundsätzlich ein Verbot mit Erlaubnisvorbehalt besteht. Folglich ist stets das Vorliegen einer Rechtsgrundlage erforderlich, die eine Verarbeitung ausdrücklich erlaubt.