© 2019 Deutscher Bundestag WD 3 - 3000 - 087/19 

 

Datenverarbeitung durch Polizei und Sicherheitsbehörden 
 

 

Sachstand 

Wissenschaftliche Dienste 



 
 
 

 

Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages 
bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner 
Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen 
und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der 
Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des 
Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere 
nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist 
vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die 
dabei zu berücksichtigenden Fragen. 

Wissenschaftliche Dienste Sachstand 
WD 3 - 3000 - 087/19 

Seite 2 

Datenverarbeitung durch Polizei und Sicherheitsbehörden 
 

Aktenzeichen: WD 3 - 3000 - 087/19 
Abschluss der Arbeit: 11.04.2019 
Fachbereich: WD 3: Verfassung und Verwaltung 

 

  



 
 
 

 

 

Wissenschaftliche Dienste Sachstand 
WD 3 - 3000 - 087/19 

Seite 3 

1. Fragestellung  

Der Sachstand stellt die datenschutzrechtlichen Anforderungen für die Verarbeitung personenbezogener
 Daten durch Polizei- und Sicherheitsbehörden sowie durch die Nachrichtendienste dar. 
Ferner wird auf mögliche Sanktionen für datenschutzrechtliche Verstöße durch die genannten 
Behörden eingegangen. 

2. Datenverarbeitung durch Polizei und Sicherheitsbehörden 

Den allgemeinen datenschutzrechtlichen Rechtsrahmen enthält die Datenschutz-Grundverordnung 
(DSGVO). Soweit keine besonderen Regeln bestehen, ist diese unmittelbar bzw. mittelbar gem. § 1 
Abs. 8 des Bundesdatenschutzgesetzes (BDSG) anzuwenden.  

Abweichend von diesem Grundsatz bestehen jedoch für die Datenverarbeitung der Polizei- und 
Sicherheitsbehörden Sonderregeln. Nach Art. 2 Abs. 2 lit. d) DSGVO finden die Vorgaben der 
Datenschutz-Grundverordnung insbesondere keine Anwendung auf die Verarbeitung personenbezogener
 Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung
 oder Verfolgung von Straftaten oder der Strafvollstreckung einschließlich des Schutzes 
vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Die genannten Bereiche werden 
von der sog. JI-Richtlinie erfasst.1 National umgesetzt sind die Vorgaben der JI-Richtlinie vor allem 
im Bundesdatenschutzgesetz (vgl. §§ 45 ff. BDSG) sowie in den Spezialgesetzen, insbesondere 
im Strafprozessrecht und in den Polizeigesetzen des Bundes und der Länder.  

Unzweifelhaft fallen die repressiven Tätigkeiten zur Verfolgung von Straftaten und Ordnungswidrigkeiten
 in den Anwendungsbereich der JI-Richtlinie.2 Der Regelung ist jedoch nicht klar 
zu entnehmen, inwieweit auch der präventive Bereich der Gefahrenabwehr umfasst ist. Zwar 
nennt Art. 2 Abs. 2 lit. d) DSGVO auch Maßnahmen zum Schutze der öffentlichen Sicherheit. 
Diese werden aber bereits sprachlich („einschließlich“) in unmittelbarem Zusammenhang zur 
Strafverfolgung bzw. zur Verhütung von Straftaten gestellt.3 Der Gesetzgeber hat bei Erlass des 
Bundesdatenschutzgesetzes die Abgrenzungsschwierigkeiten aufgenommen und gesetzgeberisch 
ausgestaltet. Aus gesetzgeberischer Sicht gestaltet sich die Abgrenzung der beiden datenschutzrechtlichen
 Regelwerke (JI-Richtlinie und DSGVO) wie folgt:  

                                     

1 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher 
Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der  
Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien 
Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. 

2 Vgl. etwa Bäcker, in: Wolff/Brink, 27. Edt. Aug. 2018, Art. 2 DSGVO Rn. 26. 

3 Vgl. zur Abgrenzung Wolff, in: Wolff/Brink, 27. Edt. Feb. 2018, § 45 BDSG Rn. 45 ff. 



 
 
 

 

 

Wissenschaftliche Dienste Sachstand 
WD 3 - 3000 - 087/19 

Seite 4 

In den Anwendungsbereich der JI-Richtlinie fallen zunächst die repressiven Tätigkeiten der Behörden
. Hierzu zählen die Strafverfolgungsverfahren sowie die Verfahren zur Verfolgung von 
Ordnungswidrigkeiten.4  

Ebenfalls in den Anwendungsbereich der JI-Richtlinie fallen auch Datenverarbeitungen, die der 
Gefahrenabwehr dienen, soweit die handelnde Behörde auch mit repressiven Befugnissen zur 
Verfolgung von Straftaten betraut ist. Dies betrifft insbesondere die Tätigkeit der Polizeibehörden 
sowohl auf der Bundes- als auch auf der Landesebene.5 Nicht erfasst sind jedoch Datenverarbeitungen
 dieser Behörden, die außerhalb von Gefahrenabwehrmaßnahmen erfolgen, etwa der Erlass 
von Gebührenbescheiden.6  

Nicht von der JI-Richtlinie umfasst und daher dem Anwendungsbereich der DSGVO zuzuordnen 
ist jedoch die Datenverarbeitung von rein präventiv tätigen Behörden, die keine repressiven Befugnisse
 zur Verfolgung von Straftaten besitzen.7 Eine möglicherweise bestehende Befugnis zur 
Verfolgung von Ordnungswidrigkeiten ist hierbei unerheblich. Dies betrifft die Datenverarbeitungen 
reiner Ordnungsbehörden etwa auf der Grundlage des Waffen-, Hygiene- oder Passrechts. Mündet 
die Tätigkeit einer solchen Behörde jedoch in einem konkreten Ordnungswidrigkeitenverfahren, 
ist für dessen Durchführung der Anwendungsbereich der JI-Richtlinie eröffnet.8    

3. Datenverarbeitung der Nachrichtendienste  

Sowohl nach Art. 2 Abs. 2 lit. a) DSGVO als auch nach Art. 2 Abs. 3 lit. a) der JI-Richtlinie finden 
die unionsrechtlichen Vorgaben keine Anwendung auf Tätigkeiten, die nicht in den Anwendungsbereich
 des Unionsrechts fallen. Hierunter zählen aus Sicht des Unionsgesetzgebers vor allem 
Tätigkeiten, die die nationale Sicherheit betreffen.9 Die Literatur zählt zu diesen Tätigkeiten auch 
die Datenverarbeitung durch die Nachrichtendienste.10 Auch der Gesetzgeber geht davon aus, dass 
die Tätigkeit der Nachrichtendienste nicht in den Anwendungsbereich des Unionsrechts fällt.11 
Nach § 1 Abs. 2 BDSG gelten daher zuvörderst die bereichsspezifischen Regelungen des Bundes-

                                     

4 Vgl. BT-Drs. 18/11325, S. 110; Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, 1. Aufl. 2017, Rn. 249. 

5 Vgl. BT-Drs. 18/11325, S. 110; Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, 1. Aufl. 2017, Rn. 249. 

6 Wolff, in: Wolff/Brink, 27. Edt. Feb. 2018, § 45 BDSG Rn. 47.1. 

7 Vgl. BT-Drs. 18/11325, S. 110. 

8 Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, 1. Aufl. 2017, Rn. 247.  

9 Vgl. hierzu den 16. ErwGr. zur DSGVO sowie den 14. ErwGr. zur JI-Richtlinie. 

10 Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, 1. Aufl. 2017, Rn. 254; Bäcker, in: Wolff/Brink, 27. Edt. 
Aug. 2018, Art. 2 DSGVO Rn. 9;  

11 Vgl. BT-Drs. 18/11325, S. 2. 



 
 
 

 

 

Wissenschaftliche Dienste Sachstand 
WD 3 - 3000 - 087/19 

Seite 5 

verfassungsschutzgesetzes, des BND-Gesetzes, des MAD-Gesetzes oder des Sicherheitsüberprüfungsgesetzes
. Soweit diese Regelungen nicht abschließend sind, kann auf die allgemeinen Regelungen 
des Bundesdatenschutzgesetzes zurückgegriffen werden.12 

4. Sanktionen bei Rechtsverstößen   

Nach § 43 Abs. 3 BDSG werden gegen Behörden und sonstige öffentliche Stellen grundsätzlich keine 
Geldbußen verhängt. Damit hat der deutsche Gesetzgeber vom Umsetzungsspielraum Gebrauch 
gemacht, der ihm nach Art. 83 Abs. 7 DSGVO unionsrechtlich eingeräumt wurde.  

Denkbar ist aber eine Haftung der jeweiligen Behörden bzw. von deren Rechtsträgern. Beruht eine 
Datenverarbeitung auf der Datenschutz-Grundverordnung und stellt sich diese als rechtswidrig 
dar, begründet Art. 82 DSGVO einen Schadensersatzanspruch.  

Ähnlich gestaltet sich dies auch bei einer rechtswidrigen Datenverarbeitung im Bereich der JI-
Richtlinie. Ein Schadensersatzanspruch ist in Art. 56 der JI-Richtlinie ausdrücklich vorgesehen 
und wurde vom deutschen Gesetzgeber in § 83 BDSG entsprechend umgesetzt.13 

Die bereichsspezifischen Regelungen zu den Nachrichtendiensten nehmen teilweise Bezug auf 
den Schadensersatzanspruch des § 83 BDSG und erklären diesen für anwendbar. Entsprechende 
Regelungen finden sich etwa in: § 32a Nr. 2 des BND-Gesetzes, § 27 Nr. 2 des Bundesverfassungsschutzgesetzes
, § 13 Nr. 2 des MAD-Gesetzes sowie § 36 Abs. 1 Nr. 2 des Sicherheitsüberprüfungsgesetzes
. 

***    

 

                                     

12 Vgl. BT-Drs. 18/11325, S. 79. 

13 Vgl. BT-Drs. 18/11325, S. 121; umfassend hierzu: Gola/Reif, in: Gola/Heckmann, 13. Aufl. 2019, § 83 BDSG 
Rn. 1 ff.