Das Sicherheitsüberprüfungsgesetz: Datenschutz und Regelungslücken

Sicherheitsüberprüfung

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) beschäftigt sich in seinem 30. Tätigkeitsbericht (S. 72 f.) auch mit dem Spannungsverhältnis zwischen dem SÜG und der DS-GVO*.
Das Sicherheitsüberprüfungsrecht unterliegt der besonderen Herausforderung, die unterschiedlichen Interessen des Staates und des Einzelnen möglichst ins Gleichgewicht zu bringen (vgl. BfDI-Broschüre: Datenschutz im Sicherheitsüberprüfungsrecht).

Den Sicherheitsinteressen des Staates steht hierbei das Recht auf informationelle Selbstbestimmung des Einzelnen gegenüber, der im Rahmen der Sicherheitsüberprüfung einige auch höchstpersönliche Daten preisgeben muss.
Durch eine Sicherheitsüberprüfung soll im Vorfeld verhindert werden, dass Personen zum Umgang mit Verschlusssachen ermächtigt werden oder Zugang zu sicherheitsempfindlichen Stellen erhalten, bei denen ein Sicherheitsrisiko besteht. Im Sicherheitsüberprüfungsverfahren werden hierzu viele teils höchstpersönliche Daten erhoben und verarbeitet. Daher sieht das Gesetz vor, dass eine Sicherheitsüberprüfung nicht ohne die ausdrückliche Zustimmung der betroffenen und mitbetroffenen Person (z.B. Ehe- oder Lebenspartner) erfolgen darf.

Die gesetzliche Grundlage des Geheim- und Sabotageschutzes bildet das Sicherheitsüberprüfungsgesetz (SÜG). Hier finden sich auch spezielle datenschutzrechtliche Regelungen für den Umgang mit den personenbezogenen Daten der sicherheitsüberprüften Personen. Insbesondere findet die Datenschutz-Grundverordnung keine Anwendung. Aus dem für Polizei und Justiz maßgeblichen dritten Teil des Bundesdatenschutzgesetzes gelten nur einzelne Vorschriften.  

Bei einer anstehenden Evaluierung des SÜG regt der BfDI die Beantwortung folgenden Fragen mittels gesetzlicher Regelung an:

1. Haben Datenschutzbeauftragte eines Unternehmens das Recht, die dort geführten Sicherheitsakten einzusehen?

2. Wer ist der richtige Adressat einer Beanstandung im nichtöffentlichen Bereich?

3. Welche Maßnahmen sind durch das Bundesamt für Verfassungsschutz (BfV) bei einer Sicherheitsüberprüfung auf Antrag ausländischer Dienststellen nach § 33 SÜG durchzuführen?

4. Auf welcher Grundlage kann die Datenübermittlung im Rahmen des in der Wirtschaft häufig auftretenden Besuchskontrollverfahrens erfolgen?
Ist hier eine Einwilligung seitens der Betroffenen zur Datenweitergabe möglich?

Die abschließende Empfehlung des BfDI für diese Thematik ist wie folgt:
Ich empfehle, das Einsichtsrecht der betrieblichen Datenschutzbeauftragten in die im Unternehmen geführten Sicherheitsakten, den Adressaten einer Beanstandung im nichtöffentlichen Bereich, den Umfang der Maßnahmen bei Sicherheitsüberprüfungen gem. § 33 SÜG sowie die Datenübermittlung im sogenannten Besuchskontrollverfahren im SÜG zu regeln.


*Neben dem Auskunftsrecht kann sich jede Person an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten nach dem Sicherheitsüberprüfungsgesetz durch öffentliche oder nichtöffentliche Stellen in ihren Rechten verletzt worden zu sein (§ 36a SÜG). Der BfDI prüft ausschließlich Verstöße gegen die Datenschutzbestimmungen des Sicherheitsüberprüfungsgesetzes. Geprüft und bewertet wird zum Beispiel, ob personenbezogene Daten im Sicherheitsüberprüfungsverfahren richtig erhoben, übermittelt, gespeichert, korrigiert oder gelöscht wurden. Die Prüfung und Bewertung, insbesondere von sicherheitserheblichen Erkenntnissen oder die Feststellung eines Verfahrenshindernisses, unterliegen hingegen nicht der Prüfkompetenz des BfDI.

(Foto: unshu – stock.adobe.com)

Letztes Update:15.04.22

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren