1. Die INPOL-A-Datei "Visa-KzB-Verfahren" ist rechtswidrig.

2. Die Art der Daten, die in polizeilichen Informationssystemen des BKA gespeichert werden dürfen, sind durch Rechtsverordnung zu regeln.

3. Die Verarbeitung von Visa-Daten erfolgt nach allgemeinen datenschutzrechtlichen Grundsätzen, dies mit der Folge, dass eine Meldung vorliegen und eine Vorabkontrolle durch den behördlichen Datenschutzbeauftragten erfolgen muss.

4. Sind Daten rechtswidrig gespeichert, so sind sie zu löschen.

5. Rechtswidrig gespeicherte Daten unterliegen einem Verwertungsverbot.

VG Wiesbaden, Urteil vom 04.04.2013, 6 K 910/12.WI.A

Auszug aus dem Urteil:

Die INPOL-A-Datei "Visa-KzB-Verfahren" ist rechtswidrig, soweit diese Datei ihre Rechtsgrundlage in § 7 BKA-Gesetz hat.

Soweit sich das BKA als Rechtsgrundlage auf § 7 BKA-Gesetz (Führung kriminalpolizeilicher personenbezogener Sammlung der Zentralstelle) beruft, kann das BKA zur Erfüllung seiner Aufgaben nach § 2 Abs.1 bis 3 BKA-Gesetz zur Unterstützung der Verhütung und Verfolgung von Straftaten der Strafverfolgungsbehörden und als Zentralstelle ein polizeiliches Informationssystem nach Maßgabe des Gesetzes führen. Insoweit regelt § 7 Abs.1 BKA-Gesetz, dass das BKA personenbezogene Daten speichern, verändern und nutzen kann, soweit dies zur Erfüllung seiner jeweiligen Aufgaben als Zentralstelle erforderlich ist.

Soweit das BKA Dateien als Zentralstelle im polizeilichen Informationssystem nach § 11 BKA-Gesetz führt, sind gemäß § 7 Abs.6 BKA-Gesetz durch Rechtsverordnung des Bundesministeriums des Innern, welche mit Zustimmung des Bundesrates zu ergehen hat, dass Nähere über die Art der Daten, die gespeichert werden dürfen, zu regeln (vgl. VG Gießen, Urteil vom 29.04.2002, Az. 10 E 141/01, OVG Lüneburg, Urteil vom 16.12.2008, Az. 11 LC 229/08).

Dieser Verpflichtung ist das Bundesministerium des Innern erstmals mit Verordnung vom 04.06.2010 (BGBl. I, S.716) nachgekommen. Die Verordnung über die Art der Daten, die nach §§ 8 und 9 BKAG gespeichert werden dürfen, regelt mithin sämtliche Daten, die im polizeilichen Informationssystem gespeichert werden dürfen. Die Verordnung enthält jedoch nicht die Daten, welche im Visa-KzB-Verfahren ebenfalls erforderlich sind, wie z.B. Einreisedatum, Ausreisedatum, gewünschte Aufenthaltsdauer, Zweck des Aufenthalts, FIS-Aktenzeichen, privilegierter Familienangehöriger eines EU-Bürgers, usw.. Damit fehlt es bereits an der erforderlichen Bestimmung der Art der Daten, die nach §§ 8 und 9 BKA-Gesetz gespeichert werden dürfen, dies mit der Folge, dass die Datenspeicherung beim BKA rechtswidrig ist (vgl. VG Gießen, Urteil vom 29.04.2002, Az. 10 E 141/01, OVG Lüneburg, Urteil vom 16.12.2008, Az. 11 LC 229/08).

Soweit sich das BKA als Ermächtigung zur Datenspeicherung auch auf § 73 Abs.3 S.3 AufenthG und Art.22 und 31 Visa-Kodex beruft, ändert dies an der rechtswidrigen Speicherung der Daten nichts. § 73 Abs.3 S.3 AufenthG regelt lediglich, dass die in Satz 1 genannten Behörden (u. a. BKA) die übermittelten Daten speichern und nutzen dürfen, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist. Dies bedeutet jedoch keine Ermächtigung zu einer Speicherung in einem polizeilichen Informationssystem. Insoweit gegen die bereichsspezifischen Regelungen des BKA-Gesetzes vor.

Auch sind die Regelungen aus der Verordnung (EG) Nr.810/2009 des Europäischen Parlaments und des Rates vom 13.07.2009 über einen Visa-Kodex der Gemeinschaft (Visa-Kodex) (Abl. L 234 v. 15.09.2009) zuletzt geändert durch Verordnung Nr.153/2012 vom 15.02.2012 (L 58, S.3) keine Rechtsgrundlage zu einer Speicherung in einem polizeilichen Informationssystem. Vielmehr ergibt sich aus Art.22 Visa-Kodex VO lediglich, dass zentrale Behörden eines Mitgliedstaates bei der Prüfung der Staatsangehörigen von spezifischen Drittländern zu konsultieren sind für Frage, ob Einwände gegen ein Visum bestehen bzw. gem. Art.31 ein Mitgliedstaat verlangen kann, dass seine zentrale Behörde von den Konsulaten anderer Mitgliedstaaten entsprechend informiert werden.

Damit ist lediglich eine Rechtsgrundlage zur Übermittlung der Daten zum Zwecke der entsprechenden Entscheidung, vorliegend Visa-Erteilung "ja" oder "nein", von anderen europäischen Staaten an zentrale Behörden - hier das BKA - geregelt. Nicht jedoch, wie die zentralen Behörden mit den Daten nach dieser Entscheidung weiter umzugehen haben.

Vielmehr ergibt sich aus Erwägungsgrund 12 der Verordnung Nr.810/2009, dass für personenbezogene Daten, die von den Mitgliedstaaten in Anwendung dieser Verordnung verarbeitet werden, die Richtlinie 95/46 EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie, ABl. L 281 vom 23.11.1995, S.31) Anwendung findet. Dies bedeutet insoweit, dass Art.3 Abs.2 EG-Datenschutzrichtlinie, welcher sich auf die öffentliche Sicherheit und Strafverfolgung bezieht, vorliegend gerade keine Anwendung findet.

Mithin hätte das BKA, soweit es die Visa-Daten weiterhin speichern will, die Datenspeicherung nach allgemeinen datenschutzrechtlichen Grundsätzen (Erforderlichkeit und Zweckbindung, vgl. § 14 BDSG) durchführen müssen, mit der Folge, dass die Datei nicht als Zentraldatei im Rahmen eines polizeilichen Informationssystems, sondern als allgemeine Datei zu führen wäre und damit einer Meldung nach Art. 18 EG-Datenschutzrichtlinie unterliegt. Dies mit der Folge, dass eine Meldung gemäß § 4 e BDSG zum Zeitpunkt der Verarbeitung hätte vorliegen müssen (vgl. EuGH, Urteil vom 09.11.2010, Az. C-92/09 u.a.).

Auch hätte es eine Vorabkontrolle durch den behördlichen Datenschutzbeauftragten des BKA gemäß § 4d Abs.5 und 6 BDSG bedurft, da die Daten gerade dazu bestimmt sind, die Persönlichkeit des Betroffenen zu bewerten (Visa-Erteilung: ja oder nein). Eine entsprechende Meldung liegt ebensowenig vor, wie eine Vorabkontrolle durch den behördlichen Datenschutzbeauftragten des BKA.

Damit ist eine Datenspeicherung unzulässig und die Daten sind zu löschen (§ 32 Abs.2 S.1 BKA-Gesetz = § 20 Abs.2 Nr.1 BDSG).

Damit ist eine Übermittlung nach polizeirechtlichen Grundsätzen nicht möglich. Gemäß Art.6 Abs.1 Ziff.c EG-Datenschutzrichtlinie haben die Mitgliedstaaten vorzusehen, dass die personenbezogenen Daten den Zwecken entsprechend für diese erhoben oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen. Der Zweck der übermittelten Daten ist durch den Visa-Kodex festgelegt. Gemäß Art.22 Abs.2 Visa-Kodex VO haben die konsultierten zentralen Behörden das Ersuchen auf jeden Fall innerhalb von sieben Kalendertagen nach dem Eingang zu beantworten, andernfalls bedeutet dies, dass keine Einwände für die Erteilung eines Visums bestehen. Anschließend entfällt der weitere Zweck der Daten. Eine Zweckänderung sieht der Visa-Kodex nicht vor.

Soweit die Bundesrepublik Deutschland eine Zweckänderung über den Visa-Kodex hinaus vorsehen wollte, wäre dies – soweit europarechtlich zulässig – spezialgesetzlich zu regeln. Hierzu reicht § 73 Abs.3 S.3 AufenthG nicht aus, wenn ausgeführt wird, dass die übermittelten Daten für eigene Zwecke gespeichert und genutzt werden dürfen, hingegen Übermittlungsregelungen nach anderen Gesetzen unberührt bleibt. Damit wird der Bestimmtheitsgrundsatz von Art.6 EG-Datenschutzrichtlinie durchbrochen (siehe insoweit zur unmittelbaren Wirkung der Richtlinie - hier Art.7 Buchstabe f EG-Datenschutzrichtlinie - EuGH, Urteil vom 24.11.2011, Az. C-468/10 u.a.).

Nach alledem durften die in das Verfahren eingeführten Daten durch die Beklagte vom Bundeskriminalamt nicht mehr gespeichert sein. Dies mit der Folge, dass das Bundeskriminalamt diese auch nicht hätte weitergeben (also übermitteln) dürfen.

Gemäß § 32 Abs.2 S.1 BKA-Gesetz (entspricht § 20 Abs.2 Ziff.1 BDSG), sind personenbezogene Daten, die automatisiert verarbeitet werden, zu löschen, wenn ihre Speicherung unzulässig ist. Gemäß § 32 Abs.6 BKA-Gesetz (entspricht § 20 Abs.8 BDSG) sind die Stellen zu verständigen, denen im Rahmen einer Übermittlung die Daten zur Speicherung weitergegeben wurden, wenn die Daten zu löschen sind. Dies dient der Sicherstellung der Zweckbindung und führt zu einem Verwertungsverbot bei allen speichernden Stellen.