Gestern hat das Verwaltungsgericht Hamburg sein Urteil gesprochen zur Klage der Hamburger Innenbehörde gegen eine Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), eine biometrische Datenbank zu löschen, die von der Polizei im Zuge der G20-Ermittlungen genutzt wird. Der Klage der Innenbehörde wurde stattgegeben.

Das Urteil des VG Hamburg wie auch die mündliche Urteilsbegründung werfen aus Datenschutzsicht eine Reihe von Fragen auf. Das Gericht beschränkt offenbar die Kompetenz des Datenschutzbeauftragten auf eine Überprüfung der Datenverarbeitung in konkret praktizierter Form und auf Verstöße gegen einzelne Datenschutzgesetze. Problematisch und widersprüchlich ist das in Fällen, in denen die Datenverarbeitung durch die verantwortliche Stelle ohne gesetzliche Grundlage erfolgt und damit ein gesetzlicher Überprüfungsrahmen gerade fehlt.

Das Kfz-Screening, das Gegenstand vor dem Bundesverfassungsgericht war und dort als Grundrechtseingriff gesehen wurde, wird vom VG Hamburg zwar als systemische Datenverarbeitung erkannt. Sie wird jedoch als nicht vergleichbar mit der Aufnahme und dem biometrischen Abgleich von Personen im Zuge des G20-Gipfels bewertet. Aufgrund der Nähe zu den damaligen Ausschreitungen zum G20-Gipfel seien die Aufnahmen Betroffener weniger schwerwiegend als die Verarbeitung von Kfz-Kennzeichen. Das kann so nicht überzeugen, zumal beim Scanning von Kfz-Nummern die Daten von unbeteiligten Verkehrsteilnehmern als Nichttrefferfälle sofort gelöscht werden, während die biometrischen Gesichtsabdrücke von Unbeteiligten über einen unbestimmten Zeitraum in der Datenbank gespeichert bleiben.

Das Gericht sieht offenbar in der Generalklausel des § 48 BDSG, die in pauschaler Form die Verarbeitung besonderer Kategorien von Daten, wozu u.a. auch biometrische Daten gehören, regelt, eine hinreichende Grundlage für die massenhafte Erstellung von Gesichtsprofilen zur Strafverfolgung – gerade auch von unbeteiligten Personen. Damit ist im Prinzip der Weg frei, zur Strafverfolgung künftig alle erdenklichen Daten aus dem öffentlichen Raum zu sammeln und daraus biometrische Profile zu generieren, ohne dass konkrete gesetzliche Vorgaben eine unabhängige Kontrolle zur Sicherung von Rechten Betroffener ermöglichen. Es steht zu befürchten, dass sich eine entsprechende Praxis nicht nur in Hamburg, wo die zuständige Innenbehörde bereits weitere Einsatzfelder in Betracht zieht, sondern auch in den Zuständigkeitsbereichen des Bundes und anderer Länder Deutschlands etabliert. Trotz der grundsätzlichen Fragestellungen, die der vorliegende Fall aufwirft, und trotz der Bereitschaft auch der klagenden hamburgischen Innenbehörde hat das Gericht erklärt, die Berufung nicht zuzulassen. Nach Vorliegen der schriftlichen Urteilsgründe wird daher ein Antrag auf Zulassung der Berufung beim Oberverwaltungsgericht Hamburg zu prüfen sein.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Die technischen Mittel, die den Strafverfolgungsbehörden in der digitalen Welt zur Verfügung stehen, bedürfen einer permanenten Anpassung an mögliche Bedrohungslagen. Insoweit reichen die Strafprozessordnung, die im Wesentlichen noch aus dem 19. Jahrhundert stammt, und eine Generalklausel im BDSG nicht aus. Hierzu gilt es, neue an den Grundrechten Betroffener ausgerichtete Eingriffstatbestände zu schaffen, die klare und kontrollierbare Vorgaben zum Schutze Betroffener ermöglichen. Eine Umsetzung moderner Fahndungstechnologien wie der Einsatz der automatischen Gesichtserkennung unter den Bedingungen von Big Data ohne klare gesetzliche Grundlagen schafft Gefährdungen für das informationelle Selbstbestimmungsrecht und die Privatsphäre und wird einer freien und offenen Gesellschaft nicht gerecht.“