Richtlinie des Ministeriums des Innern über die Errichtung von Dateien, in denen personenbezogene Daten auf Grundlage des Brandenburgischen Polizeigesetzes automatisiert verarbeitet werden (Dateienrichtinie-Polizei)
Auf Grund des § 88 und des § 48 Absatz 5 des Brandenburgischen Polizeigesetzes vom 19. März 1996 (GVBl. I S. 74), von denen § 48 durch Artikel 1 des Gesetzes vom 29. Juni 2004 (GVBl. I S. 289) geändert worden ist, erlässt das Ministerium des Innern im Benehmen mit der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht die folgende Verwaltungsvorschrift:
1. Allgemeines
Diese Richtlinie gilt für alle automatisierten Dateien (IT-Anwendungen) im Sinne des § 48 des Brandenburgischen Polizeigesetzes und des § 483 der Strafprozessordnung, welche bei der Polizei des Landes Brandenburg errichtet und in denen personenbezogene Daten verarbeitet werden.
2. Erläuterungen/Begriffsbestimmungen
2.1 Automatisierte Dateien sind alle Sammlungen personenbezogener Daten, die selbsttätig durch Einsatz eines gesteuerten technischen Verfahrens, ausgewertet werden können (§ 3 Absatz 5 und 6 des Brandenburgischen Datenschutzgesetzes). Hierunter fallen alle Dateien, in denen Daten zur Erfüllung der Aufgaben nach § 1 des Brandenburgischen Polizeigesetzes verarbeitet werden. Die Vorschriften der Strafprozessordnung bleiben unberührt.
2.2 Verfahrensverzeichnis
2.2.1 Für jede automatisierte Datei, in der personenbezogene Daten verarbeitet werden, ist ein Verfahrensverzeichnis gemäß § 48 Absatz 2 und 3 des Brandenburgischen Polizeigesetzes in Verbindung mit § 8 Absatz 1 des Brandenburgischen Datenschutzgesetzes zu erstellen. Dazu ist das Musterformblatt der Verordnung zum Verfahrensverzeichnis vom 10. September 2009 (GVBl. II/09, S. 650) zum § 8 Absatz 6 des Brandenburgischen Datenschutzgesetzes zu verwenden.
2.2.2 Errichtungsanordnungen für Verbunddateien im Sinne der Nummer 4.3, die beim Bundeskriminalamt geführt werden, sind Verfahrensverzeichnisse im Sinne des § 48 Absatz 3 des Brandenburgischen Polizeigesetzes. Angaben, die nach Maßgabe des Musterformblattes für das Verfahrensverzeichnis nach der Verordnung zum Verfahrensverzeichnis vom 10. September 2009 (VerfVerzV) zum § 8 Absatz 6 des Brandenburgischen Datenschutzgesetzes erforderlich jedoch in den Errichtungsanordnungen nicht enthalten sind, werden durch die Daten verarbeitende Stelle für den eigenen Verantwortungsbereich durch Anhang ergänzt.
2.3 Das IT-Sicherheitskonzept des Verfahrens wird Bestandteil des Rahmensicherheitskonzepts der Polizei Brandenburg (SiKo Pol BB). Es basiert auf den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und entspricht der Leitlinie zur Gewährleistung der IT-Sicherheit in der Landesverwaltung Brandenburg.
2.4 Die Stelle im Polizeipräsidium, die die Einführung der Datei für ihren Zuständigkeitsbereich veranlasst, wird in der Folge als Auftraggeber bezeichnet. Darüber hinaus kann der Behördenstab, das Ministerium des Innern oder die Behördenleiterin oder der Behördenleiter Auftraggeber sein. Die Bestimmungen des § 11 des Brandenburgischen Datenschutzgesetzes bleiben unberührt.
2.5 Die für die technische Umsetzung des jeweiligen Verfahrens zuständige Arbeitsgruppe wird in der Folge als Fachgruppe bezeichnet.
2.6 Die Inbetriebnahme des Verfahrens wird in der Folge als Wirkbetrieb bezeichnet.
2.7 Sofern die Dringlichkeit der Aufgabenerfüllung die sofortige Errichtung einer Ad-hoc-Datei erforderlich macht, darf ihr Betrieb auch ohne vorherige Freigabe des Ministeriums des Innern oder einer von ihm beauftragten Stelle aufgenommen werden.
Die Dringlichkeit ist nur in Ausnahmefällen gegeben, wenn im Einzelfall die Aufgabenerfüllung der Polizei ohne die sofortige Errichtung der Datei erheblich erschwert werden würde oder eine dringende Gefahr für erhebliche Rechtsgüter vorliegt.
3. Zuständigkeiten
3.1 Durch den Behördenstab ist ein Gesamtverzeichnis aller polizeilichen, automatisierten Dateien zu führen. Die oder der Behördliche Datenschutzbeauftragte, die oder der behördliche IT-Sicherheitsbeauftragte, der Zentraldienst der Polizei sowie das Ministerium des Innern erhalten eine Lese- und Schreibberechtigung für dieses Verzeichnis.
Zudem obliegt dem Behördenstab gemäß Nummer 6.1 die Prüfung der Notwendigkeit der Weiterführung der Dateien. Im Rahmen dieser Prüfung ist die Aktualität und Vollständigkeit der erforderlichen Unterlagen festzustellen und gegebenenfalls zu ergänzen. Der oder dem Behördlichen Datenschutzbeauftragten und der oder dem behördlichen IT-Sicherheitsbeauftragten ist Gelegenheit zur Stellungnahme zu geben. Der Behördenstab ist für den Wirkbetrieb aller Verfahren fachlich verantwortlich. Die Bestimmungen des § 24 Landeshaushaltsordnung bleiben unberührt.
3.2 Der Behördenstab benennt in Abstimmung mit dem Zentraldienst der Polizei eine Fachgruppe zur Errichtung einer Datei. Die Fachgruppe ist nach Möglichkeit beim Zentraldienst der Polizei angesiedelt. Der Zentraldienst der Polizei benennt eine fachtechnische Verantwortliche oder einen fachtechnischen Verantwortlichen für den Wirkbetrieb der Datei. Diese oder dieser ist mit Namen oder Stelle in dem Gesamtverzeichnis zu führen.
3.3 Rechtzeitig vor Errichtung einer Datei mit staatsanwaltschaftlichem Bezug ist der Generalstaatsanwaltschaft des Landes Brandenburg durch den Behördenstab Gelegenheit zur Stellungnahme zu geben. Dies gilt nicht für die Errichtung einer Ad-hoc-Datei.
3.4 Über die Freigabe oder eine wesentliche Änderung einer Datei entscheidet das Ministerium des Innern (Verfahrensfreigabe).
3.5 Die Behördenleiterin oder der Behördenleiter treffen die Anordnung über das Errichten einer Datei. Als Anordnung gilt die Schlusszeichnung des Verfahrensverzeichnisses oder der Sofortanordnung. Die Schlusszeichnung ist dem Ministerium des Innern anzuzeigen.
4. Errichtung von Dateien, Wesentliche Änderungen bereits freigegebener Verfahren, Verbunddateien
4.1 Errichtung einer automatisierten Datei
4.1.1 Der Auftraggeber erläutert dem Behördenstab die Notwendigkeit der Datei.
4.1.2 Der Behördenstab prüft im Rahmen einer Vorstudie im Zusammenwirken mit dem Zentraldienst der Polizei und der Fachgruppe die Einleitung der Errichtung der Datei. Das Ministerium des Innern erhält unter Vorlage der Vorstudie Nachricht über die Entscheidung des Behördenstabs zur Errichtung der Datei. Die oder der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht wird durch das Ministerium des Innern unterrichtet.
4.1.3 Die Fachgruppe setzt das Verfahren in Abstimmung mit dem Auftraggeber um. Sie veranlasst die erforderlichen Maßnahmen zur Umsetzung des Vorhabens in Zusammenarbeit mit dem Zentraldienst der Polizei und dem Brandenburgischen IT-Dienstleister. Die oder der Behördliche Datenschutzbeauftragte sowie die oder der behördliche IT-Sicherheitsbeauftragte sind in der Planungsphase zu hören. Die Fachgruppe kann die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht um Stellungnahme bitten. Die Fachgruppe ist - in Abstimmung mit dem Auftraggeber - für die Erarbeitung der Entwürfe für die datenschutzrechtliche Risikoanalyse, das IT-Sicherheitskonzept sowie das Verfahrensverzeichnis verantwortlich.
4.1.4 Die Fachgruppe legt der oder dem Behördlichen Datenschutzbeauftragten das Verfahrensver-zeichnis, die Risikoanalyse sowie auf Anforderung gegebenenfalls weitere Unterlagen und der oder dem behördlichen IT-Sicherheitsbeauftragten das IT-Sicherheitskonzept zur Prüfung und Abstimmung vor.
4.1.5 Sofern die nach Nummer 4.1.4 zuständigen Stellen Änderungen der Dokumente verlangen, sind diese durch die Fachgruppe durchzuführen. Aus der Prüfung resultierende notwendige Änderungen des Verfahrens werden durch die Fachgruppe im Zusammenwirken mit dem Zentraldienst der Polizei veranlasst. Die Fachgruppe führt die für die Freigabe erforderlichen Unterlagen zusammen und übersendet diese geschlossen dem Ministerium des Innern.
4.1.6 Die Verfahrensfreigabe ist im Gesamtverzeichnis zu dokumentieren. Die oder der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist durch das Ministerium des Innern zu unterrichten.
4.1.7 Mit der Schlusszeichnung durch die Behördenleiterin oder den Behördenleiter wird das Verfahren in den Wirkbetrieb überführt.
4.1.8 Das Verfahrensverzeichnis ist bei der oder dem Behördlichen Datenschutzbeauftragten zu führen. Die oder der behördliche IT-Sicherheitsbeauftragte hält das IT-Sicherheitskonzept vor und veranlasst dessen Fortschreibung.
4.2 Wesentliche Änderungen bereits freigegebener Verfahren
4.2.1 Der Auftraggeber erläutert dem Behördenstab die Notwendigkeit der wesentlichen Änderung für das Verfahren.
4.2.2 Im Zusammenwirken mit dem Zentraldienst der Polizei und der Fachgruppe prüft der Behördenstab, gegebenenfalls im Rahmen einer Vorstudie, die Einleitung der Verfahrensänderung. Das Ministerium des Innern erhält die Vorstudie zusammen mit der Nachricht über die Entscheidung des Behördenstabs.
4.2.3 Der weitere Ablauf richtet sich nach den Nummern 4.1.3 bis 4.1.8.
4.3 Dateien mit einer Schnittstelle zu einem Verbundpartner außerhalb der Polizei des Landes Brandenburg (Verbunddateien)
4.3.1 Die Grundlage für die Errichtung einer Datei bildet die Verwaltungsvereinbarung, die vom Ministerium des Innern oder einer von ihm beauftragten Stelle mit einem Verbundpartner abgeschlossen worden ist.
4.3.2 Der weitere Ablauf richtet sich nach den Nummern 4.1.3 bis 4.1.8.
5. Errichtung einer Ad-hoc-Datei auf der Grundlage von § 48 Absatz 5 des Brandenburgischen Polizeigesetzes
5.1 Die Fachgruppe setzt das Verfahren auf Anforderung des Auftraggebers um. Der Auftraggeber erarbeitet die Sofortanordnung und leitet diese der Behördenleiterin oder dem Behördenleiter zu.
5.2 In der Sofortanordnung ist mindestens anzugeben:
- Bezeichnung und Zweck der Datei,
- der betroffene Personenkreis,
- Daten oder Datenkategorien sowie die Rechtsgrundlage ihrer Verarbeitung und
- Art der eingesetzten Datenverarbeitungsanlagen und Software.
5.3 Der Auftraggeber erläutert der Behördenleiterin oder dem Behördenleiter die Notwendigkeit der Datei. Die oder der Behördliche Datenschutzbeauftragte und die oder der behördliche IT-Sicherheitsbeauftragte sind von dem Auftraggeber zu unterrichten.
5.4 Mit Schlusszeichnung der Sofortanordnung durch die Behördenleiterin oder den Behördenleiter wird das Verfahren in den Wirkbetrieb überführt. Die Inbetriebnahme ist dem Ministerium des Innern unverzüglich und unter Vorlage der Sofortanordnung anzuzeigen. Der Behördenstab übermittelt der oder dem Behördlichen Datenschutzbeauftragten und der oder dem behördlichen IT-Sicherheitsbeauftragten eine Kopie der Ausfertigung.
5.5 Die Sofortanordnung ist unverzüglich von der oder dem Behördlichen Datenschutzbeauftragten zu prüfen und zu verwahren. Änderungen der Sofortanordnung werden von der Behördenleiterin oder dem Behördenleiter veranlasst und durch den Auftraggeber durchgeführt.
5.6 Ist vorhersehbar, dass die Datei länger als sechs Monate geführt wird, richtet sich der weitere Ablauf nach der Nummer 4.1. Die Prüfung erfolgt zeitnah durch die Behördliche Datenschutzbeauftragte oder den Behördlichen Datenschutzbeauftragten.
6. Überprüfung vorhandener Dateien
6.1 Der Behördenstab überprüft in einem Abstand von fünf Jahren die Erforderlichkeit zur Weiterführung oder Änderung der automatisierten Dateien. Ausgenommen hiervon sind Verbunddateien.
6.2 Stellt der Behördenstab fest, dass die Weiterführung der Datei nicht mehr erforderlich ist, ordnet die Behördenleiterin oder der Behördenleiter die Löschung der Datei an. Die Auflösung der Datei ist von dem Behördenstab zu dokumentieren und dem Ministerium des Innern unverzüglich anzuzeigen.
6.3 Die oder der Behördliche Datenschutzbeauftragte und die oder der IT-Sicherheitsbeauftragte sind von der Löschung der Datei in Kenntnis zu setzen.
7. Inkrafttreten, Außerkrafttreten
Diese Verwaltungsvorschrift tritt am Tag nach der Veröffentlichung in Kraft. Mit Inkrafttreten dieser Verwaltungsvorschrift tritt die Dateienrichtlinie - Polizei vom 23. September 2008 (ABl. S. 2305) außer Kraft.