Datenschutz

Pilotprojekt Bahnhof Südkreuz am Ende? Wurden mehr Daten erhoben als zulässig?

Das Bundesinnenministerium, die Bundespolizei, das Bundeskriminalamt sowie die Deutsche Bahn testen am Berliner Bahnhof Südkreuz neue Technologien zur Videoüberwachung. Schon die Regelungen der Versuchsphase rufen Datenschützer und Kritiker auf den Plan, denn es stellt sich die Frage, ob  mehr Daten der Testpersonen gespeichert wurden, als vetraglich vereinbart war. Rechtsanwalt Christian Solmecke über die Frage, ob das Pilotprojekt gestoppt werden muss:

Videoüberwachung am Berliner Bahnhof Südkreuz

[UPDATE 31.08.2017]: In einem Telefonat mit Digitalcourage versicherte der Verein uns gegenüber inzwischen, dass durch den Verein von lediglich ausgesagt wurde Digitalcourage lediglich die Äußerung getätigt habe, dass der eingesetzte iBeacon vom Werk aus erheblich mehr Daten sammeln könne, als es der RFID-Chip kann. Technisch jedoch seien von Seiten der Bundespolizei diese Möglichkeiten auf dem iBeacon ausgestellt worden, so dass keine weiteren Daten erhoben werden konnten. Die Kritik belief sich somit lediglich auf die Tatsache, dass ein anderer Chip als der vorgesehene eingesetzt wurde. Dies musste die Bundespolizei zwischenzeitlich auch tatsächlich eingestehen. Denn bei dem eingesetzten Transponder handelt es sich tatsächlich um einen Bluetooth-Beacon und nicht wie zunächst vorgesehen um einen RFID-Chip. [UPDATE ENDE]

Das Projekt mit dem Namen „Sicherheitsbahnhof Berlin Südkreuz“, dass vor knapp 4 Wochen startete, ist in mehrere Zwischenschritte unterteilt. Dabei sollen insgesamt 275 freiwillige Testpersonen eingebunden werden. In der ersten Testphase ist der Einsatz von Gesichtserkennungssoftware vorgesehen. Später sind Tests weiterer Auswertungsmethoden angedacht.

Der konkrete Ablauf des Testverfahrens

Kaum ein Pilotprojekt zur Videoüberwachung im öffentlichen Raum sorgte in den vergangen Jahren für so viel mediale Aufmerksamkeit, wie das Berliner-Südkreuz-Projekt der Bundespolizei und der Deutschen Bahn.

Zunächst sollen bis Ende Januar insgesamt drei verschiedene Gesichtserkennungssysteme getestet werden. Dazu werden durch entsprechende Software Aufzeichnungen von Sicherheitskameras am Bahnhof Südkreuz mit den zuvor gespeicherten Fotos registrierter Testpersonen abgeglichen. Sollte sich eine Testperson am Bahnhof befinden, werden Beamte der Bundespolizei automatisch darüber benachrichtigt. Die Testpersonen simulieren damit die künftig zu erfassenden Straftäter und Gefährder, deren Erscheinen an einem bestimmten Ort möglichst zeitnah den Polizeibehörden mitgeteilt werden soll. So sollen künftig z.B. eventuelle Terrorangriffe effektiver als bislang verhindert werden können. Um abgleichen zu können, ob sich Personen am Bahnhof befinden, die eigentlich hätten von der Software erfasst werden müssen, sollen die Tester Transponder am Körper tragen. Diese sogenannten iBeacons signalisieren, wenn sich die Personen im Überwachungsbereich befinden.

Mehr Daten erhoben als mit Testpersonen kommuniziert? Digitalcourage verneint diese Aussage

Die Transponder können über die Verortung der Versuchspersonen im Überwachungsgebiet allerdings auch Werte wie Beschleunigung, Temperatur und Neigung erfassen. Und genau hierin sehen Datenschützer den Hauptkritikpunkt an dem Verfahren. Zwar hätten die Tester im Vorfeld in eine Datenerfassung eingewilligt, ihnen sei zu dem Zeitpunkt jedoch nicht bewusst gewesen, wie weitreichend die gemessenen Informationen seien. Aus den Daten der iBeacons könne nämlich auch geschlossen werden, was die Personen außerhalb des Testgebietes getan hätten. Der Verein Digitalcourage warf der Bundespolizei als verantwortliche Stelle vor, dass es sich bei der eingesetzten Technik nicht, wie offenbar zuvor angekündigt, um einen sog. „RFID“-Chip handelt, sondern der tatsächlich verwendete Bluetooth-Sender weitaus mehr Daten des Nutzers sammeln würde, als den Testpersonen bei der Einwilligung in eine Datenerhebung mitgeteilt wurde. Die Auswahl des Bluetooth-Senders wurde allem Anschein nach erst kurz vor Beginn der Testphase getroffen.

Die Bundesregierung ist demgegenüber der Ansicht, das Verfahren sei gemäß § 27 Bundespolizeigesetz (BPolG) zulässig (§ 27 BPolG erlaubt der Bundespolizei den Einsatz von Bildaufnahme- und

Bildaufzeichnungsgeräten). Weiterhin seien Teilnehmer des Versuches umfassend über die Reichweite der Erfassung aufgeklärt worden. Zudem sei gewährleistet, dass die erfassten Daten auch anschließend gelöscht würden. Das Bundesinnenministerium stellte auch klar, dass die Funktion über die Transponder andere Informationen als die Ortungsdaten zu erfassen abgeschaltet sei. Die iBeacons übermittelten demnach lediglich die Transponderadresse, die Signalstärke, den Batteriestand sowie die Temperatur des Gerätes. Eine Speicherung der Daten auf dem Gerät finde schließlich ebenfalls nicht statt.

Hierzu erwiderte eines der Vorstandsmitglieder des Datenschutzvereins Digitalcourage allerdings, dass die Daten seines eigenen Transponders durchaus mit Hilfe der dazugehörigen App abzulesen seien. So jedenfalls zunächst die allgemeine Medienberichterstattung. Mittlerweile gab es in den vergangen Tagen bereits Zweifel an der Kritik von Digitalcourage. Angeblich seien von Digitalcourage ungenaue Angaben sowohl zum Transponder selbst, als auch bezüglich dessen EInstellungen veröffentlicht worden.

Muss das Projekt „Sicherheitsbahnhof Berlin Südkreuz“ gestoppt werden?

Es stellt sich daher unweigerlich die Frage, sofern sich diese Vorwürfe bestätigen sollten, ob das Projekt damit vorerst gestoppt werden müsste?

Rechtsanwalt Christian Solmecke: „Wie medial diskutiert wurde, konnten offensichtlich Daten aus einem der Transponder ausgelesen werden, die eigentlich darauf hätten nicht vorhanden sein dürfen. Allerdings gab es in den vergangen Tagen auch erhebliche Kritik an den Aussagen von Digitalcourage, so dass das Thema nur Abstrakt beantwortet werden kann.

Zunächst müsste man sich, bevor man zu einem Urteil gelangen kann, die unterzeichneten Einwilligungen der Testpersonen anschauen, in welche Datenerhebungen diese tatsächlich einwilligten. Fakt ist jedoch: Ohne entsprechende Einwilligung durften keine weitere Daten erhoben werden. Dann Läge ein Verstoß gegen § 4 BDSG vor. Danach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit (…) der Betroffene eingewilligt hat. Betroffene müssten somit in größtmöglichem Rahmen  sowohl transparent, als auch verständlich über die exakte Erhebung und Verarbeitung ihrer personenbezogenen Daten und deren Zweck aufgeklärt worden sein. Sollten besondere personenbezogene Daten wie z.B. die biometrische Gesichtserkennung, der biometrische Fingerabdruck oder Gesundheitsdaten betroffen sein, dann bedarf es einer ausdrücklichen Einwilligung.

Und ganz offensichtlich haben die Testpersonen nicht in genügendem Umfang in die Datenerhebung eingewilligt. Hier scheint ein Verantwortlicher gehörig geschlampt zu haben. Vermutlich war tatsächlich das ursprüngliche Ziel, lediglich im Überwachungsbereich aufzuzeichnen. Offenbar wurden jedoch deutlich mehr Daten gespeichert und erhoben, als vorgesehen. Auch wenn dies weder geplant war, noch die zusätzlich erhobenen Daten ausgelesen wurden, läge dennoch eine rechtswidrige Erhebung vor. Und dies ist rein rechtlich nicht gedeckt. Zumal mit öffentlichen Mitteln wohl kaum rechtswidrige Vorhaben finanzieren werden dürften.

Denkbar wäre, dass Beschleuningsdaten oder die Temperatur gemessen wurde, woraus sich, zumindest nicht fernliegend, Bewegungsabläufe der Testpersonen ergeben könnten.So könnten z.B. Ruhezeiten oder Schlafzeiten gemessen und berechnet werden.

Ob deshalb nun in Betracht gezogen werden sollte, das gesamte Pilotprojekt einzustampfen, halte ich dennoch für zu hart. Wohl aber müsste es ohne Frage zumindest kurzzeitig eingestellt werden, um die Datenerhebung- und Datenverarbeitung der Dateneinwilligung anzupassen. Die bereits erhobenen und gespeicherten Zusatzdaten müssten gelöscht werden. Die Bundespolizei ist zudem nun aufgefordert, von den Teilnehmern eine weitere „datenschutzrechtliche Einwilligung“ einzuholen. Bei einer Beendigung wären zudem alle bereits eingesetzten öffentlichen  Steuergelder verschwendet worden. Dies kann nicht das Ziel sein.

Nun ist eine genaue Aufklärung wesentlich. Danach könnte das Projekt in rechtlich einwandfreiem Rahmen fortgeführt werden.“

Fazit

Das Thema bleibt in datenschutzrechtlicher Hinsicht hochbrisant. Und zwar beschränkt sich die Problematik nicht nur auf den konkreten Ablauf des Testverfahrens. Nach einem erfolgreichen Testlauf ist durchaus mit der Implementierung der Technik im Alltag zu rechnen. Aus dem Einsatz der Technik dürften sich demnach weitere Folgeprobleme aus dem Bereich des Persönlichkeits- und Datenschutzrechts ergeben. Die Entwicklung bleibt abzuwarten. Wir werden berichten.

lpo/tsp


In diesem Zusammenhang ist sicherlich auch folgendes Video für Sie interessant.

Weitere aktuelle und spannende Videos rund ums Recht finden Sie auf unserem YouTube-Channel unter: https://www.youtube.com/user/KanzleiWBS

Werden Sie Abonnent unseres YouTube-Kanals. So bleiben Sie immer auf dem neuesten Stand zu wichtigen und aktuellen Rechtsthemen.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.