Im Juni dieses Jahres findet die FIFA Fußball Weltmeisterschaft in Russland statt. Während die meisten Spieler und Fans dem großen Turnier entgegenfiebern, laufen die Vorbereitungen der Sicherheitsvorkehrungen auf Hochtouren. Denn bei diesem Sportereignis werden auch wieder zahlreiche, oftmals als „Krawall-Fans“ oder „Hooligans“ bezeichneten Rowdys in die russischen Städte reisen, um sich zu Schlägereien mit Gegnern und der Polizei zu treffen.

In Deutschland haben die Polizeien der Länder und des Bundes im Jahr 1994 die sogenannte „Gewalttäter Sport“-Datei bei der Zentralen Informationsstelle Sporteinsätze (ZIS) erschaffen, in welcher auffällige Personen und Sport-Fans bundesweit geführt werden, die in oder vor den Stadien typische Straftaten begangen haben. Mittlerweile umfasst diese Datei rund 11.000 Personen und wird stetig aktualisiert und erweitert. Die Datensätze sehen offenbar neben den typischen Stammdaten (Name, Alter, Wohnadresse) den Tatort und die Tatzeit sowie sogar die Schuhgröße des Betroffenen vor.

Ein Eintrag in diese Liste erfolgt beispielsweise bei der strafbaren Nötigung (§ 240 StGB), bei Landfriedensbruch (§ 125 ff StGB), Hausfriedensbruch (§ 123 StGB), den Diebstahlsdelikten oder auch einer Beleidigung (§ 185 StGB) – wie auch bei geleistetem Widerstand gegen Vollstreckungsbeamte (§§ 113 ff StGB). Im Unterschied zu den schwerwiegenden Strafdelikten kann eine strafbare Beleidigung bereits durch das Tragen bestimmter Sticker / T-Shirts angenommen werden oder – noch naheliegender –  bei einem Ausspruch bestimmter Schimpfwörter gegenüber einem anwesenden Polizeibeamten. Offenbar soll sogar in bestimmten Situation eine Personalienfeststellung reichen, um später in dieser Datenbank zu landen.

Da ein Eintrag in dieser „Gewalttäter Sport“-Datei mit einigen Einschnitten verbunden ist, wie z.B. ein bundesweites Stadionverbot oder aber die Untersagung der Ausreise (zum Zeitpunkt der WM in ein anderes Land), wird dieses Informationssystem von vielen Datenschützern wie auch Fan-Vereinigungen kritisiert. Das Hauptargument lautet zumeist: Ein Betroffener lande viel zu schnell in diesem System und erhielte noch nicht einmal eine Benachrichtigung hierüber.

Datentransfer nach Russland vor der WM

Üblicherweise wird diese Liste vor bestimmten Sport-Großveranstaltungen an den Veranstalter bzw. den dortigen Polizeibehörden übermittelt. Sowohl die Länder als auch die Polizeibehörden der involvierten Staaten tauschen sich deshalb regelmäßig aus, um als „Hooligan“ bekannte Personen bereits an der Aus- bzw. Einreise zu hindern oder spätestens vor dem Stadion zu identifizieren und vom Eintritt abzuhalten.

Bereits bei dem FIFA Confederations-Cup 2017 im Sommer vergangen Jahres in Russland soll deshalb die Bundespolizei fünf Personen aus der „Gewalttäter Sport“-Datei im vollen Umfang an die russische Grenzbehörde übermittelt haben. Dies teilte das Bundesministerium des Inneren auf eine schriftliche Anfrage der Grünen Bundestagsabgeordneten Monika Lazar mit.

Es ist nicht unwahrscheinlich, wenn auch im Vorfeld der WM mehrere oder sogar eine Vielzahl an Einträgen dieser Liste an die russischen Behörden übermittelt werden.

Fraglich ist jedoch die hierfür erforderliche Rechtsgrundlage. In Betracht kommt § 32 Abs. 3 Bundespolizeigesetz (BPolG).

„Die Bundespolizei kann personenbezogene Daten an öffentliche Stellen anderer Staaten sowie an über- oder zwischenstaatliche Stellen übermitteln, soweit dies erforderlich ist zur

  1. Erfüllung einer ihr obliegenden Aufgabe oder
  2. Abwehr einer erheblichen Gefahr oder zur Verhütung von Straftaten mit erheblicher Bedeutung durch den Empfänger.“

Die Vorschrift sieht folglich auch die Übermittlung der personenbezogenen Daten des Einzelnen aus dieser Datei an weitere „Stellen“ vor, wenn dieses für die Abwehr von erheblichen Gefahren oder der Verhütung von Straftaten mit erheblicher Bedeutung erforderlich ist. Die Rechtsnorm stellt zwar grundsätzlich einen gültigen Rechtsrahmen der Datenübermittlung dar, ist jedoch andererseits auch recht weit gefasst. Die konkreten Straftaten werden nicht benannt und der Begriff der „erheblichen Gefahr“ aus dem Polizei- und Ordnungsrecht bietet immer eine gewisse Auslegung. Denn dieses wird in dem Regelungskatalog des BPolG wie folgt definiert: „Eine erhebliche Gefahr [..] ist eine Gefahr für ein bedeutsames Rechtsgut, wie Bestand des Staates, Leben, Gesundheit, Freiheit, wesentliche Vermögenswerte oder andere strafrechtlich geschützte Güter von erheblicher Bedeutung für die Allgemeinheit“.

In § 32 Abs. 5 BPolG heißt es ferner: „Besondere Rechtsvorschriften über die Übermittlung personenbezogener Daten bleiben unberührt.“

Dieser Verweis auf die besonderen Rechtsvorschriften zum Datenschutz könnte Anknüpfungspunkt dafür sein, dass auch das Bundesdatenschutzgesetz (BDSG) bzw. zukünftig die Datenschutz-Grundverordnung (DSGVO) einzubeziehen sind. Jedenfalls haben sich spätestens ab dem 25. Mai 2018 auch die Bundespolizei wie auch andere öffentliche Stellen grundsätzlich an die Vorschriften des europäischen Datenschutzes nach der DSGVO zu halten. Die DSGVO nimmt an verschiedenen Stellen ausdrücklich Bezug auf die Datenverarbeitung innerhalb von Behörden (so z.B. in Art. 86 DSGVO bzw. Erwägungsgrund 154, S. 4 der DSGVO).

Obgleich die Verarbeitung von personenbezogenen Daten „durch zuständige Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ gem. Art. 2 Abs. 2 lit. d) DSGVO aus dem Anwendungsbereich dieser herausfällt. Für alle weiteren Fälle der Datenverarbeitung, z.B. im Hinblick auf die Personaldaten oder aber die Datenerhebung und Übermittlung von „Verdächtigen“ ohne konkreten Anhaltspunkt für die (zukünftige) Begehung einer Straftat, würde der allgemeine Anwendungsbereich der DSGVO greifen. Sodann drängt sich die Frage auf, ob die – nicht anlassbezogene – Verarbeitung und Übermittlung der Datensätze aus der „Gewalttäter Sport“-Datei viele Wochen im Voraus vor einem Sportereignis schon auf derart konkreten Verdachtsmomenten (oder der Gefahrenabwehr?) beruht.

Möglicherweise müsste die DSGVO zumindest mittelbar berücksichtigt werden. Ansonsten wären die datenschutzrechtlichen Anforderungen an die Übermittlung dieser umfassenden personenbezogenen Daten von Straftätern/Verdächtigen an öffentliche Stellen in Drittländer wie den USA, China oder Russland weniger hoch als bei Kundendaten zwischen zwei Unternehmen oder Webseitenbesuchern.

Nun kommt die Besonderheit hinzu, dass Russland als ein unsicherer Drittstaat gilt und eine Übermittlung von personenbezogenen Daten, insbesondere besondere Kategorien personenbezogener Daten wie biometrische Daten oder aber Gesundheitsdaten, nicht ohne Weiteres zulässig ist (Vgl. Art. 44 DSGVO). Hierfür sind besondere zusätzliche Voraussetzungen zu erfüllen.

Vor diesem Hintergrund spricht vieles dafür, dass die Übermittlung dieser zum Teil sensiblen Informationen des Einzelnen aus der „Gewalttäter Sport“-Datei ohne Anlass und Hinweise auf eine konkrete Gefahr an russische Behörden nur auf besonderen Rechtsgrundlagen, jedenfalls nicht auf Grundlage des derzeitigen § 32 BPolG gestützt werden dürfte.

Selbstverständlich ist die Wahrnehmung hoheitlicher Aufgaben zur Gefahrenabwehr (Terrorismus bzw. schwerwiegende Straftaten) von den handelnden Behörden weiterhin notwendig und auch zum Schutze der Allgemeinheit begrüßenswert, wenn nicht gar unverzichtbar. Doch allein aus datenschutzrechtlicher Sicht lässt sich die Kritik an einer etwaigen Übermittlung sämtlicher Datensätze von Betroffenen dieser Liste, die mehrmals negativ am Rande eines Fußballspiels aufgefallen sind und sich zur „Schlägerei“ unter ihres Gleichen verabreden oder „böse“ Sticker tragen, nicht ganz von der Hand weisen.