Zugegeben, es gibt spannendere Blog-Themen als über die Neuregelung des Bremischen Justizvollzug-Datenschutzes[1] zu berichten – allein der Begriff, der hier stark verkürzt wurde, lässt deutsche Regelungs-Wut in Reinkultur befürchten. Äh, erkennen. Wie es tatsächlich heißt? Originaltitel in der Fußnote[2] – mit 69 Wörtern ist dieser sonst länger als der Beitrag. Abgekürzt: BremJVollzDSG.

Prinzipien aus der DSGVO

Mit dem Gesetz werden bisher in verschiedenen Einzelgesetzen verstreute Versatzstücke über die Regelungen im und um den Datenschutz im Justizvollzug konsolidiert. Und das ist gut so – galt es doch vorher, sich die Regelungen aus dem (Bremischen) Strafvollzugsgesetz, dem Jugendstraf­voll­zugsgesetz, dem Untersuchungshaftvollzugsgesetzes sowie dem Sicherungsverwah­rungsvoll­zugsgesetz zusammenzusuchen, was allein schon angesichts der Wortungetüme mindestens … interessant war. Nun wird also „vollzugsformübergreifend“ geregelt. Darüber hinaus -und das war vornehmlich der Zweck des Gesetzes – wurde damit die EU-Richtlinie 2016/680 in nationales Recht umgesetzt – nicht als erstes, Schleswig-Holstein diente hier als Vorbild.

Natürlich versucht das nun konsolidierte Gesetz, den aus der DSGVO mittlerweile bekannten Rahmen soweit möglich zu übernehmen. So lassen diverse Paragraphen erkennen, dass der „Verantwortliche“ aus der DSGVO gegen den Begriff „Justizvollzugsbehörden“ getauscht wurde und auf diese Weise bekannte Vorschriften dadurch leicht verständlich sind. So übernimmt z.B. § 4 (allgemeine Zulässigkeit, Einwilligung) den aus der DSGVO bekannten Grundsatz von Rechtsgrundlage oder Einwilligung. Die dann zitierte, zentrale Rechtsgrundlage „Erforderlichkeit für vollzugliche Zwecke“ wird in § 2 Nr. 2 BremJVollzDSG legaldefiniert und zeigt so, dass diese Zwecke, ebenfalls der DSGVO-Regelung nicht unähnlich, mannigfaltig sein können: Von Zwecken der Resozialisierung, Schutz der Allgemeinheit (vor weiteren Straftaten), über den Schutz von Rechtsgütern der Bediensteten bis hin zu Verhinderung von Befreiungen von Gefangenen. Auch die Prinzipien des Datenschutzes wie Zweckbindung, Datenminimierung und Transparenz finden sich hier wieder.

Rechtsgrundlagen der Datenverarbeitung

Einen größeren Regelungsbereich nimmt neben der Erhebung und Speicherung die Übermittlung von Daten ein:

Dabei berücksichtigt das Gesetz die Besonderheiten im Justizvollzug und regelt die Besonderheiten. So sind explizit in § 27 erkennungsdienstliche Maßnahmen, wie Aufnahme von Lichtbildern, Abnahme von Fingerabdrücken und andere Merkmale der Gefangenen ausdrücklich geregelt. Auch bei Identitätszweifeln haben die Vollzugsbehörden nach § 28 die Möglichkeit Daten mit dem LKA abzugleichen.

Für Besucher der Anstalt ist ausdrücklich die Identitätsfeststellung bei Betreten in § 35 geregelt. Neben dem Ausweis ist auch die Erhebung eindeutiger Identitätsmerkmale des Gesichts möglich, um Verwechslungen mit Gefangenen zu verhindern.

Wenn es um die Übermittlung von Daten geht, finden sich in § 12 die relevanten Regelungen. Dabei geht es in § 12 Abs. 2 um die Übermittlung von personenbezogenen Daten auch an Unternehmen. So dürfen personenbezogene Daten für Zwecke, für die sie erhoben wurden etwa an Beliehene weitergeben werden. Aber auch profane Dinge wie Einkauf, Telefon, Internet oder Fernsehen können es notwendig machen, dass der Justizvollzug personenbezogene Daten von Gefangenen an Unternehmen weitergibt. Dies gilt auch für die Entlassungsvorbereitung und damit für die Resozialisierung. Dabei muss der Justizvollzug aber beachten, dass er die Daten auch genau für diesen Zweck erhoben hat.

Eine Datenübermittlung für Zwecke, für die sie nicht erhoben worden sind, darf nach § 12 Abs. 3 u.a. an die Gerichtshilfe, Leistungsträger für Sozialleistungen, Jugendämter oder im Rahmen der Unterbringung in einem Krankenhaus erfolgen.

Strenger bei der Datenübermittlung wird das Gesetz, wenn es um Daten besonderer Kategorien, etwa Gesundheitsdaten von Gefangenen, geht. So darf nach § 12 Abs. 6 dies u.a. nur erfolgen, wenn es um den gerichtlichen Rechtsschutz geht oder es erforderlich ist zur Abwehr sicherheitsgefährdender oder geheimdienstlicher Tätigkeiten, die zum Ziel die Gefährdung des demokratischen Rechtsstaates haben, die Abwehr einer Gefährdung des Gemeinwohls oder auch zur Verhinderung oder Verfolgung von Straftaten.

Gefangene und Besucher können regelmäßig überprüft werden. Der Justizvollzug darf zur Aufrechterhaltung der Sicherheit der Anstalt prüfen, ob sicherheitsrelevante Erkenntnisse vorliegen, etwa über Kontakte zu extremistischen Organisationen oder zur organisierten Kriminalität. Dazu dürfen nach § 14 bzw. § 15 Auskünfte aus dem Bundeszentralregister eingeholt und Polizeibehörden des Bundes und der Länger oder das Landesamt für Verfassungsschutz angefragt werden.

Die Löschung oder Einschränkung der Verarbeitung sowie die Berichtigung in §§ 63 ff. ist vergleichbar mit den Regelungen in der DSGVO.

Maßnahmen zur Datensicherheit auch im Justizvollzug verpflichtend

Ebenso ist die Justizvollzugsbehörde verpflichtet, technische und organisatorische Maßnahmen zur Datensicherheit zu gewährleisten. Neben der Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität sind auch die Ziele der Authentizität, Revisionsfähigkeit, Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit zu verwirklichen. An dieser Stelle ist der Einfluss des Standarddaten­schutz­modells zu spüren.

Als weitere technische Maßnahme wird detailliert in § 42 beschrieben, was in Verarbeitungssystemen protokolliert werden muss. Dies sieht die DSGVO so nicht vor.

Damit hängt ebenso die Verpflichtung einer Datenschutz-Folgenabschätzung bei hohem Risiko nach § 41 zusammen, die unter ähnlichen Voraussetzungen erfolgen muss, wie unter der DSGVO. Allerdings gibt es hier keine Verpflichtung der Aufsichtsbehörden auf eine Liste, in welchen Fällen eine DSFA erfolgen muss.

Videoüberwachung konkret geregelt

Eine weitere Besonderheit liegt in der ausdrücklichen Regelung der Videoüberwachung in §§ 29 ff. So muss der Justizvollzug dazu ein Konzept in kartenmäßiger Form erstellen. Ausdrücklich ist dabei zu beachten, dass die Gefangenen auch Räume haben, in denen sie nicht von der Videokamera erfasst werden. Daher ist ebenfalls die Überwachung von Hafträumen und Zimmern ausdrücklich geregelt und nur in engen Grenzen zulässig.

Bekannte Konstrukte aus der DSGVO

Es finden sich auch konkret bekannte Konstrukte aus der DSGVO wieder, wie die Auftragsverarbeitung (§ 24), die Gemeinschaftliche Verantwortlichkeit (§ 26) oder das Verzeichnis der Verarbeitungstätigkeit (§ 39). Ebenso gibt es die Pflicht zur Information über die Datenverarbeitung in §§ 51 ff. wie die DSGVO es unter Art. 12 vorsieht. Zuletzt sei in diesem Zusammenhang auch auf die Pflicht zur Meldung einer Datenpanne innerhalb von 72 Stunden durch die Vollzugsbehörden an die Datenschutzaufsichtsbehörde verwiesen.

Fazit

Im Gesetz finden sich die Prinzipien aber auch konkrete Regelungen der DSGVO wieder. Das Gesetz trägt den Besonderheiten des Justizvollzugs Rechnung, was eine erleichterte und erweiterte Datenverarbeitung bedeutet. Allerdings werden die Rechte der betroffenen Personen dabei nicht vergessen.

[1] https://www.bremische-buergerschaft.de/dokumente/wp20/land/drucksache/d20l0347.pdf

[2] Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates1 und der Richtlinie (EU) 2016/800 über Verfahrensgarantien für Kinder, die Verdächtige oder beschuldigte Personen in Strafverfahren sind , im Justizvollzug sowie zur Änderung vollzugsrechtlicher Vorschriften.