BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/10148 21. Wahlperiode 29.08.17 Schriftliche Kleine Anfrage der Abgeordneten Christiane Schneider (DIE LINKE) vom 21.08.17 und Antwort des Senats Betr.: G20: Hinweisportal der Polizei und Datenschutz Nach dem G20-Gipfel hatte die Polizei neben der Einsetzung der SoKo „Schwarzer Block“ und zur Unterstützung der Arbeit der SoKo ein Hinweisportal eingerichtet, das es jeder/jedem ermöglichte, Fotos und Videos hochzuladen , die mögliche Anhaltspunkte für begangene Straftaten enthielten. Seit einiger Zeit befindet sich im Internet (http://www.polizei.hamburg/ hinweisportal/) folgender Text: „Im Zusammenhang mit den im Rahmen der G20-Proteste in Hamburg begangenen Straftaten hatten wir für Hinweise die Internetseite https://hh.hinweisportal.de für den Upload von Fotos & Videos eingerichtet. Dieses Uploadportal ist ab sofort geschlossen. Vielen Dank für Ihre zahlreiche Unterstützung, bisher sind bei uns weit über 10.000 Hinweise eingegangen.“ Vor diesem Hintergrund frage ich den Senat: 1. Wann und aus welchen Gründen wurde das Hinweisportal geschlossen? 2. Inwieweit gehen Senat und zuständige Behörde davon aus, dass es keinen Bedarf mehr für die Nutzung des Portals gibt? Das Portal wurde am 17. August 2017 um 23.45 Uhr geschlossen, weil sowohl die Quantität als auch die Qualität der hochgeladenen Hinweise stetig abgenommen hatten und zunehmend irrelevante Daten hochgeladen worden waren. Es besteht weiterhin die Möglichkeit, Hinweise über das Hinweistelefon der Polizei zu geben und Bildund Videodateien direkt der Polizei zur Verfügung zu stellen. 3. Wie genau war der Weg der Daten, die über das Portal hochgeladen wurden? a. Auf welchem Server sind sie gespeichert worden? b. Wohin sind sie anschließend transferiert worden? c. Wo lagern sie aktuell? Für das Hinweisportal G20 wurde das IT-Hinweisportal des Bundeskriminalamts (BKA) genutzt. Die Daten wurden auf Servern des BKA entgegengenommen, dort verschlüsselt und per sogenannter Virtueller-privater-Netzwerk(VPN)-Verbindung aus Hamburg abgerufen . Anschließend wurden sie im Netz des Dienstleisters Dataport entschlüsselt und zur Speicherung in eine Auswerteumgebung bei Dataport weitergeleitet. 4. Welcher oder welche Dienstleister ist/sind dafür in Anspruch genommen worden? Bitte genau schildern, welche Dienstleister in welchem Verfahren aus welchen Gründen ausgewählt wurden. Drucksache 21/10148 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 Zu dem Dienstleister des BKA liegen der zuständigen Behörde keine Angaben vor. In Hamburg ist Dataport der Dienstleister. 5. Welche Maßnahmen zum Schutz der Daten gab und gibt es? a. Welche datenschutzrechtlichen Vereinbarungen wurden mit Dienstleistern getroffen? Bitte genau schildern. Das Hinweisportal G20 der Polizei Hamburg ist Bestandteil des vom BKA konzipierten IT-Hinweisportals. Die datenschutzrechtlichen Vereinbarungen für die Auftragsbeziehungen der Polizei Hamburg mit Dataport basieren auf der Grundsatzvereinbarung über Kooperation, Auftragsdatenverarbeitung und Betrieb des Hamburgischen Telekommunikationsnetzes . Eine gesonderte Vereinbarung in Bezug auf das IT-Hinweisportal wurde nicht getroffen. Die datenschutzrechtlichen Vereinbarungen zwischen dem BKA und dem BKA- Dienstleister obliegen der Verantwortlichkeit des BKA und liegen hier nicht vor. Ein für die Auftragsdatenverarbeitung vorgesehener formeller Vertrag zwischen dem BKA und der Polizei Hamburg wird mit dem BKA abgestimmt. b. Inwieweit gehörte und gehört zu dem Schutz der Daten auch die Verschlüsselung auf den Übertragungswegen sowie auf den Speichermedien ? Wenn ja, wie wird dabei sichergestellt, dass der Schlüssel zum Entschlüsseln nicht in falsche Hände gerät? Die Daten wurden verschlüsselt übertragen. Nur Administratoren der Polizei Hamburg haben Zugang zu dem Hamburger Transferserver und dem Schlüssel. c. Wie wird mit personenbezogenen Daten umgegangen, die im Zusammenhang mit dem Hochladen der Dateien preisgegeben wurden? Hinweisgeber konnten freiwillige Angaben zu ihrer Person machen. Dazu bot die Eingabemaske folgende Felder an: Name, Vorname, Geburtsdatum, Postleitzahl, Wohnort , Straße, Telefonnummer Festnetz, Telefonnummer mobil, E-Mail, Verzicht auf Rückgabe. Die Angaben wurden gemeinsam mit dem hochgeladenen Bild beziehungsweise Video in der „Bild- und Video- Massendaten Registrierung“ gespeichert. Es konnten aber auch Bilder und Videos ohne personenbezogene Angaben hochgeladen werden. Hat ein Hinweisgeber seine Personalien angegeben, kommt er möglicherweise als Zeuge in einem Strafverfahren in Betracht und wird als solcher in das strafrechtliche Ermittlungsverfahren aufgenommen. Auf die Bild- und Videodateien, die hochgeladen wurden, können nur bestimmte Mitarbeiter der Sonderkommission (SoKo) „Schwarzer Block“ zugreifen. Jeder Zugriff wird protokolliert. d. Inwieweit wurde der Hamburgische Datenschutzbeauftragte einbezogen ? Wenn ja, zu welchem Zeitpunkt wurde er einbezogen? e. Welche datenschutzrechtlichen Vorgaben gab es? f. Wurden seine datenschutzrechtlichen Vorgaben umgesetzt? Wenn ja, zu welchem Zeitpunkt wurden sie umgesetzt? Für das Hinweisportal G20 wurde das IT-Hinweisportal des Bundeskriminalamts genutzt, um Informationen zu strafrechtlichen Ermittlungsverfahren zu erhalten. Eine Beteiligung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit ist diesbezüglich nicht vorgesehen und erfolgte auch nicht. g. Inwieweit gehört es zu den Datenschutzmaßnahmen, dass diejenigen , die mit den Daten arbeiten, diese vor Zugriff sichern? Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/10148 3 Der Zugriff auf die Daten ist nur mit einer Benutzerkennung an einem Polizei-PC und einer speziellen persönlichen Kennung in der Anwendung möglich. h. Inwieweit wurde der behördliche Datenschutzbeauftragte der Polizei Hamburg einbezogen? Eine Beteiligung des behördlichen Datenschutzbeauftragten ist nicht vorgesehen und erfolgte auch nicht. 6. In den Datenschutzhinweisen des Portals heißt es: „Sollten wir im Hinweis eine E-Mail-Adresse von Ihnen erhalten, gehen wir davon aus, dass wir zu einer Beantwortung per E-Mail berechtigt sind. Ansonsten müssen Sie uns ausdrücklich auf eine andere Art der Kommunikation hinweisen. Die Kommunikation via E-Mail kann Sicherheitslücken aufweisen. Beispielsweise können E-Mails auf dem Weg an die Polizei Hamburg von versierten Internet-Nutzern aufgehalten und eingesehen werden.“ Wie ist die rechtliche Einschätzung von Senat und zuständiger Behörde hinsichtlich der Nutzung von E-Mail-Kommunikation seitens der Polizei Hamburg? a. Inwieweit wird ein Widerspruch darin gesehen, dass von E-Mail- Kommunikation an die Polizei Hamburg gewarnt wird, andererseits aber die Polizei Hamburg diesen Kommunikationsweg nutzt? Die Polizei Hamburg warnte nicht vor der Kommunikation per E-Mail, sondern gab lediglich Hinweise. Ein Widerspruch im Sinne der Fragestellung liegt nicht vor. b. Inwieweit halten Senat und zuständige Behörde es für datenschutzrechtlich zulässig, dass die E-Mail-Kommunikation nicht einer ausdrücklichen Einwilligung des Betroffenen bedarf, sondern eine stillschweigende Einwilligung bei Angabe der E-Mail-Adresse angenommen wird? Bitte genaue Ausführungen zu den Rechtsgrundlagen . Im Hinweisportal G20 stellt die Polizei dem Nutzer neben der E-Mail-Kommunikation weitere Kommunikationsmöglichkeiten wie das Hochladen von Dateien ohne weitere personenbezogene Angaben und den telefonischen Kontakt zur Verfügung. Die Wahl des Kommunikationsmittels obliegt hierbei dem Hinweisgeber. Der Polizei ist im Vorwege nicht bekannt, ob eine weitere Kommunikation gewünscht wird und welches Mittel diesbezüglich in Anspruch genommen werden soll. Es liegen somit besondere Umstände im Sinne des § 5 Absatz 2 des Hamburgischen Datenschutzgesetzes (HmbDSG) vor, die Ausnahmen von der Schriftform erlauben. c. Inwieweit halten Senat und zuständige Behörde es für datenschutzrechtlich zulässig, dass – im Gegensatz zur Online-Wache der Polizei – nicht durch eine ausdrückliche Erklärung der Betroffenen abgesichert wird, dass Betroffene die Datenschutzhinweise zur Kenntnis nehmen, insbesondere vor dem Hintergrund des Hinweises auf die unsichere E-Mail-Kommunikation? Bitte genaue Ausführungen zu den Rechtsgrundlagen. § 13 Absatz 1 Telemediengesetz (TMG) verpflichtet Diensteanbieter zur umfassenden Information des Nutzers über Art, Umfang und Zwecke der Verarbeitung seiner personenbezogenen Daten. Eine über die Unterrichtung hinausgehende Verpflichtung, eine Erklärung des Nutzers zur Kenntnisnahme der Datenschutzhinweise zu fordern, besteht nicht. d. Wie werden Datenschutz und Datensicherheit bei dieser Art der Kommunikation gewährleistet? Außerhalb ihrer eigenen technischen Infrastruktur hat die Stadt Hamburg auf Datenschutz und Datensicherheit bei privaten Dritten, wenn diese via E-Mail kommunizieren keinen Einfluss. Der Hinweisgeber hat deshalb die Option, seine E-Mail-Adresse anzugeben oder wegzulassen. Drucksache 21/10148 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 7. Im Gegensatz zur Online-Wache findet sich bei den Hinweisen keine Rechtsbelehrung über die mögliche Strafbarkeit falscher Angaben. Auf dem Portal der Online-Wache wird erläutert, dass ein solcher Hinweis zwingend notwendig sei (https://gateway.hamburg.de/hamburggateway/ fvp/fv/Polizei/Onlinewache/help/wfhilfe.aspx). Gab es eine solche Belehrung, als das Hinweisportal noch geöffnet war? Wenn ja, bitte das Prozedere nach Start des Hinweises genau schildern. Wenn nein, wie erklären Senat und zuständige Behörde das Fehlen einer solchen Belehrung auf dem Hinweisportal? Nein, eine solche Belehrung befand sich nicht auf dem Hinweisportal G20. Nutzer des Hinweisportals G20 stellten der Polizei durch das Hochladen von Fotos oder Videos Beweismittel zur Verfügung. Anders als bei den Angaben eines Zeugen über das Portal der Online-Wache stellt dies keine Vernehmung im Sinne der Strafprozessordung (StPO) dar, sodass eine Belehrung gemäß § 57 StPO nicht erfolgen muss. 8. Im Datenschutzhinweis der Online-Wache befindet sich auch ein Hinweis auf die Speicherung der IP-Adresse der/desjenigen, die/der sich an die Polizei wendet. Wurde die Möglichkeit der Speicherung der IP- Adresse auch beim Hinweisportal genutzt? Wenn nein, wie wurde sichergestellt, dass die Polizei keine Kenntnis von der IP-Adresse erlangt hat? Laut Auskunft des BKA werden die von Nutzern des Hinweisportals G20 anfallenden IP-Adressen temporär für wenige Tage ausschließlich zur Abwehr von „Distributed Denial of Service“(DDoS)-Attacken gespeichert und können durch die Polizei nicht mit den abgegebenen Hinweisen in Verbindung gebracht werden. 9. In der Einwilligungserklärung heißt es: „Mit der Übermittlung der Daten räumen Sie der Polizei Hamburg ein übertragbares, nicht ausschließliches , unbefristetes und unentgeltliches Nutzungsrecht an den übermittelten Daten ein.“ Auf die Möglichkeit eines Widerrufs wird nicht hingewiesen . a. Inwieweit sind Senat und zuständige Behörde der Auffassung, dass ein Widerruf nicht möglich ist? Wenn nicht möglich, auf welcher Rechtsgrundlage? Wenn möglich, inwieweit halten sie es für datenschutzrechtlich zulässig, dass eine Widerrufsbelehrung fehlt? Gab es bereits Widerrufe? Wenn ja, wie viele? Wie wurde damit umgegangen? b. Bei Bild- und Videodateien steckt in der Nutzung der übermittelten Daten auch eine urheberrechtliche Komponente. Urheber haben nach § 42 UrhG ein Rückrufrecht an der Nutzung. Gab es bereits Rückrufe? Wenn ja, wie viele? Wie wurde damit umgegangen? Bei der dargestellten sogenannten Einwilligungserklärung handelt es sich um eine urheberrechtliche Übertragung eines Nutzungsrechts und nicht um eine datenschutzrechtliche Einwilligungserklärung. Im Urheberrecht ist daher eine Widerrufsmöglichkeit nicht vorgesehen, sondern gemäß § 42 Urhebergesetz (UrhG) ein Rückrufrecht. Mit Stand 23. August 2017 gab es bisher keinen Rückruf bezüglich übermittelter Dateien oder Daten. Im Übrigen wäre die Polizei gegebenenfalls auch ohne Rechteinräumung, also auch bei nachträglicher Entziehung des Nutzungsrechtes per Rückruf, im Rahmen strafrechtlicher Ermittlungen aufgrund sich aus der StPO ergebender Ermittlungsbefugnisse zur Nutzung auch urheberrechtlicher geschützter Werke befugt. Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/10148 5 c. An wen will die Polizei Hamburg die Nutzung der Dateien zu welchen Nutzungen übertragen? Bitte genau schildern. Die Bild- und Videodateien, die über das Hinweisportal G20 übermittelt und gespeichert wurden, werden von der SoKo „Schwarzer Block“ zur Strafverfolgung genutzt. Im Zuge von Ermittlungsverfahren wird geprüft, ob die Bild-/Videodateien zur Aufklärung von Straftaten beitragen können. Im Einzelfall können nach genauer Prüfung der jeweiligen Rechtsgrundlage Auszüge des Beweismaterials an andere Ermittlungsbehörden , im Rahmen der Rechtshilfe an Ermittlungsbehörden im Ausland, an das Gemeinsame Abwehrzentrum Extremismus und Terrorismus (GETZ) oder an das Landesamt für Verfassungsschutz (LfV) übermittelt werden, um Zusammenhänge von Straftaten und Tätergruppierungen zu erkennen sowie Identifizierung einzelner Personen zu ermöglichen. Darüber hinaus erfolgt keine Übertragung von Nutzungsrechten an Dritte. d. Ein urheberrechtliches Nutzungsrecht beinhaltet auch das Recht, Bild- oder Videodateien zu veröffentlichen oder zu verbreiten. Inwieweit ist dies bereits praktiziert worden oder vorgesehen? Zu welchen Zwecken? Inwieweit ist das nach Einschätzung von Senat und zuständiger Behörde mit dem Datenschutzrecht insbesondere betroffener Dritter vereinbar? Es ist möglich, dass im Zuge von Ermittlungsverfahren Öffentlichkeitsfahndungen unerlässlich werden, um so bislang unbekannte Täter zu identifizieren. Dann werden Bilder/Videos in Absprache mit und auf Anordnung der zuständigen Staatsanwaltschaft zur internen Fahndung genutzt, indem sie über einen Fahndungsaufruf an Polizeidienststellen im Bundesgebiet gesandt oder in Extrapol veröffentlicht werden. Ebenfalls ist es möglich, dass auf Anordnung des zuständigen Gerichts Material des Hinweisportals zur Öffentlichkeitsfahndung verwendet wird (§§ 131 b, c StPO). Eine Veröffentlichung von Dateien ist bisher nicht erfolgt. 10. In der Einwilligungserklärung heißt es weiter: „Zudem stimmen Sie der Weitergabe der Daten für Zwecke der Strafverfolgung und der Gefahrenabwehr an die zuständigen Behörden zu.“ Weitere Erläuterungen der Verfahrensweise und der möglichen Stellen gibt es nicht. Inwieweit halten es Senat und zuständige Behörde datenschutzrechtlich für zulässig, sich eine so weitreichende Einwilligung ohne nähere Erläuterungen und ohne Widerrufsrecht beziehungsweise -belehrung einzuholen ? Bitte die Rechtsgrundlagen genau schildern. Gab es bereits Widerrufe ? Wenn ja, wie viele? Wie wurde damit umgegangen? Siehe Antwort zu 9. bis 9. b. 11. Die Hinweise betreffen auch Daten unbeteiligter Dritter, die nicht zwangsläufig tatverdächtig sind. Inwieweit werden sie über die Datenerhebung und -verarbeitung unterrichtet? Wann und worüber genau? Wann ist die Löschung von Daten nicht Tatverdächtiger vorgesehen? Wurden bereits Daten gelöscht? Wenn ja, wie viele? Über das Hinweisportal G20 der Polizei Hamburg wurden insgesamt 12.204 Dateien hochgeladen. Die Bild- und Videodateien beinhalten zum großen Teil Darstellungen beziehungsweise Aufzeichnungen großer Personengruppen. Dadurch befindet sich auf den Aufnahmen zwangsläufig auch eine teilweise unbestimmbare Anzahl unbeteiligter dritter Personen. Der überwiegende Inhalt dieser hochgeladenen Bild- beziehungsweise Videodateien deutet jedoch immer auf ein strafbares Verhalten einer oder mehrerer auf dem Bild beziehungsweise Video erkennbarer Personen hin. Es ist der Polizei nicht möglich, die gesamten unbeteiligten Personen über die Datenerhebung zu informieren, da deren Identität aus den vorliegenden Bild- und Videodateien nicht festgestellt werden kann. In sehr vielen Fällen handelt es sich des Weiteren um nicht Drucksache 21/10148 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 6 bestimmbare Personen zum Beispiel aufgrund von Vermummung oder sonstigen Maßnahmen zum Schutze vor der Feststellung von personenbezogenen Daten. Darüber hinaus wurden über das Hinweisportal G20 auch Daten übermittelt, die keinen polizeilichen Bezug haben (zum Beispiel Videos mit pornografischem Inhalt, pornografische Bilder sowie Bilder und Videos mit offensichtlich scherzhaftem Hintergrund ). Aufgrund der Belastung der polizeilichen Server mit dieser großen Datenmenge wurde das Löschen dieser nicht polizeilich relevanten Bild- und Videodateien angeordnet. Es handelt sich dabei um über 5.000 gelöschte Dateien. Die polizeilich relevanten Bild- und Videodateien unterliegen zur Zeit der eingehenden Prüfung zur weiteren beweiserheblichen Verwendung in Strafverfahren. 12. Anlässlich des Entzuges der Akkreditierungen von Journalisten/-innen wurde offenbar, wie unzulänglich der Umgang der Polizei mit polizeilichen Datenbanken ist. Oft fehlt die erforderliche Protokollierung. Prüfungen finden zu selten statt. So kommt es vermehrt auch zu langfristigen, rechtswidrigen Datenspeicherungen. a. Wie stellen Senat und zuständige Behörde angesichts der enorm hohen Zahl der Hinweise sicher, dass Personen nicht zu Unrecht in polizeilichen Dateien gespeichert werden beziehungsweise dass sie unverzüglich gelöscht werden? Bitte ausführlich schildern. Der Zugriff auf die Dateien, die über das Hinweisportal G20 eingegangen sind, ist auf bestimmte Mitarbeiter der SoKo „Schwarzer Block“ beschränkt. Es gibt keine Schnittstelle von der „Bild- und Video-Massendaten Registrierung“ in andere polizeiliche Dateien. Falls der Hinweis (Bild/Video) als nicht relevant für die Strafverfolgung eingestuft wird, erfolgt keine Eingabe in polizeiliche Dateien. Anschließend wird über die berechtigten Administratoren die Löschung dieser Daten veranlasst. b. In welchem Umfang sind aufgrund der Hinweise sowohl über das Portal wie auch über andere Wege bislang Speicherungen in polizeilichen Dateien vorgenommen worden? Bitte genau angeben, wie viele Hinweise es auf jeweils welchem Weg gab, wie viele Speicherungen in welchen Dateien aufgrund der Hinweise bislang erfolgt sind und wie viele Ermittlungsverfahren bislang aufgrund der Hinweise eingeleitet wurden. Speicherungen in polizeilichen Dateien aufgrund von Hinweisen werden statistisch nicht erfasst. Entsprechende Angaben sind daher nicht möglich. Mit Stand 23. August 2017 sind im Zusammenhang mit dem G20-Gipfel circa 4.200 Vorgänge bei der SoKo „Schwarzer Block“ entstanden. Darüber hinaus siehe Antwort zu 11.