Datenschutzbeauftragter: Hinreichend bestimmte Ermächtigungsgrundlage fehlt

Die Polizei Hamburg setzt zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel eine Gesichtserkennungssoftware („Videmo 360“) ein, mit der eigenes und der Polizei zur Verfügung gestelltes Bildmaterial verarbeitet wird. Die Ergebnisse dieser Datenverarbeitung sind in einer Referenzdatenbank gespeichert. Nach einer vorherigen Beanstandung ordnete der Hamburgische Datenschutzbeauftragte die Löschung dieser Referenzdatenbank an. Er begründete seine auf § 6 Hamburgisches Gesetz zur Aufsicht über die Anwendung der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften in Verbindung mit § 43 Abs. 1 Satz 5 Hamburgisches Gesetz zum Schutz personenbezogener Daten im Justizvollzug gestützte Anordnung im Wesentlichen mit dem Fehlen einer hinreichend bestimmten Ermächtigungsgrundlage, die die intensiven Eingriffe in das Recht auf informationelle Selbstbestimmung erlaube.

VG: Anordnung ermessensfehlerhaft

Nach Auffassung des VG liegen die Voraussetzungen für eine entsprechende Anordnung nicht vor. Der Datenschutzbeauftragte hätte die Datenverarbeitung der Polizei in der konkret praktizierten Form in den Blick nehmen und eigene Feststellungen zu einem Verstoß gegen Vorschriften des Datenschutzes treffen müssen. Die Anordnung sei zudem ermessensfehlerhaft, weil der Datenschutzbeauftragte die Möglichkeit, etwaige Verstöße gegen datenschutzrechtliche Vorschriften durch normkonkretisierende Auflagen zu kompensieren, nicht in Betracht gezogen und seiner Entscheidung einen fehlerhaften Bewertungsmaßstab zugrunde gelegt habe. Einer Entscheidung über die Rechtmäßigkeit der beanstandeten Datenverarbeitung durch die Polizei bedurfte es nach Auffassung des VG in dieser Konstellation nicht.