Während die Stars der Fußball-EM vergangenes Jahr auf dem Platz standen, machten viele Menschen im Hintergrund das Turnier erst möglich: Sicherheitspersonal checkte Tickets und Gepäck, Journalist:innen berichteten über die Spiele, Freiwillige halfen den Besucher:innen in vielen deut­schen Städten. Sie alle werkelten oft hinter den Kulissen und bekamen darum Zutritt zu besonderen Bereichen.

Doch wer bei der Europameisterschaft arbeiten wollte und dabei auch Zugang zu Bereichen hatte, in die man als Fan nicht so leicht kam, brauchte in der Regel eine Akkreditierung. Um zu vermei­den, dass Menschen akkreditiert werden, die eine Sicherheitsgefahr darstellen könnten, überprüften Polizei und Verfassungsschutz wohl eine sechsstellige Anzahl an Menschen. Das war nicht überall legal, kritisieren Datenschützer:innen.

Wie eine Zuverlässigkeitsüberprüfung funktioniert

Der Fachbegriff für solche Background-Checks heißt „Zuverlässigkeitsüberprüfung“. Bei einer sol­chen Zuverlässigkeitsüberprüfung prüft die Polizei anhand eigener Daten, ob sie zu einer Person si­cherheitsrelevante Erkenntnisse gespeichert hat. Anschließend teilt sie dem Veranstalter mit, ob sie Bedenken hat, dass eine solche Person beispielsweise als Security auf einem Festival oder einem Fußballspiel arbeitet.

Auch wenn sich die Rechtslage bei Großveranstaltungen je nach Bundesland unterscheidet, grund­sätzlich müssen die Betroffenen vor der Überprüfung durch die Behörden informiert werden und einwilligen. Neben Großveranstaltungen gibt es solche Überprüfungen auch im Waffenrecht.

Wie beim Waffenrecht war bei der Fußball-EM der Verfassungsschutz in vielen Fällen mit von der Partie, einige Bundesländer fragten auch dort an. In einem sogenannten „Massendatenverfahren“ glich das Bundesamt für Verfassungsschutz (BfV) die Daten der zu akkreditierenden Personen au­tomatisiert mit den eigenen Dateisystemen ab. Das hat uns das Innenministerium in Baden-Würt­temberg auf Anfrage erklärt. Lediglich bei potenziellen Übereinstimmungen schaute das BfV genauer hin oder gab den Fall an das jeweilige Landesamt für Verfassungsschutz weiter. Am Ende übermit­telte der Bundesverfassungsschutz ein Gesamtvotum zu jeder Akkreditierung an die zustän­digen Genehmigungsbehörden.

Von Security bis Catering: Hunderttausende Anfragen

Die Überprüfung geschah bei einer großen Anzahl an Menschen. Ein Sprecher der Berliner Da­tenschutzbeauftragten schreibt auf unsere Anfrage, dass folgende Personengruppen „standardmä­ßig“ betroffen waren:

• UEFA-Volunteers
• private Sicherheits- und Ordnungsdienste
• Catering und Reinigungskräfte
• sonstige Mitarbeitende im Sicherheitsbereich (inklusive Mitarbeitende der Euro 2024 GmbH)
• Medienvertretende/Journalist:innen und Broadcaster (nur, wenn diese nicht bereits innerhalb der letzten zwölf Monate zuverlässigkeitsüberprüft wurden)
• Sponsorenvertretende mit Arbeitsauftrag
• Personal der Stadionbetreiberin
• Medizinische Dienstleister
• Hospitality-Mitarbeitende, auch in den Teamhotels

Wie viele Menschen genau überprüft wurden, lässt sich schwer sagen. Das Bundesamt für Verfas­sungsschutz spricht auf Anfrage lediglich von einer „großen Anzahl“. Unsere Presseanfragen in mehreren Bundesländern, in denen EM-Spiele stattfanden, deuten aber auf mehr als 100.000 überprüfte Menschen hin.

Die Berliner Polizei schreibt uns auf Anfrage, dass sie im Rahmen der EM allein für die Akkreditie­rungen für das Berliner Stadion, die Fanzone und Teamhotels über 75.000 Datensätze überprüft hat. Das Innenministerium in Nordrhein-Westfalen spricht von 90.000 An­fragen für Zuverlässigkeitsüberprüfungen. In Hamburg waren es bei den Spielen mehr als 53.000 Über­prüfungen. In all diesen Bundesländern wurde der Verfassungsschutz automatisch von der Polizei mit angefragt. Die zuständige Stelle in Baden-Württemberg konnte keine Zahlen nennen.

Bei der Interpretation der Zahlen ist Vorsicht geboten. So schreibt uns ein Sprecher der Polizei Ber­lin, dass es auch immer wieder zu Mehrfachüberprüfungen gekommen sei, etwa wenn eine Person für mehrere EM-Spiele in verschiedenen Ländern akkreditiert wurde. „Zudem ist eine hohe Anzahl von Personen aufgrund von abweichenden Personalien/Personendaten wiederholt geprüft worden“, schreibt uns der Sprecher.

Doch selbst wenn man solche Dopplungen großzügig einrechnet: Es erscheint plausibel, dass der Verfassungsschutz am Ende eine sechsstellige Anzahl von Menschen überprüfte. Die Zahl der durch Polizeien überprüften Menschen liegt noch höher, schließlich fragten nicht alle Bundesländer automatisch beim Verfassungsschutz an.

Fehlende Rechtsgrundlage in NRW

Die Praxis bei der EM stieß bei Datenschützer:innen auf harsche Kritik. In Nordrhein-Westfalen, wo vier der acht Spielorte lagen, kritisierte die Datenschutzbeauftragte Bettina Gayk, dass die Rechts­grundlage für solche Überprüfungen völlig fehle.

„Um das Gefahrenpotenzial gering zu halten, wurden die vielen Helfer:innen bei den Spielen, in den Stadien und drumherum von der Polizei NRW intensiv durchleuchtet. Im Rahmen der Akkredi­tierung kam es zu einer massenhaften Überprüfung bei den deutschen Sicherheitsbehörden. […] Solche Eingriffe durch den Staat und seine Behörden erfordern immer eine ausdrückliche gesetzli­che Grundlage“, schrieb Gayk in ihrem letzten Tätigkeitsbericht.

Innenministerium und Landeskriminalamt (LKA) verweisen wiederum auf § 9 des Polizeigesetzes NRW. Der Paragraf erwähnt weder Zuverlässigkeitsüberprüfungen noch Großveranstaltungen, er­laubt der Polizei aber Datenverarbeitungen unter bestimmten Voraussetzungen wie etwa einer Ein­willigung.

Nur eine Einwilligung reicht nicht

Laut der Landesdatenschutzbeauftragen von NRW ist das nicht ausreichend: Solche Einwilligungen seien nicht wirksam, „weil sie nicht freiwillig erteilt werden, denn diejenigen, die an der Spielorga­nisation beteiligt sein wollen oder in den Stadien arbeiten wollen, waren gezwungen einzuwilligen.“

Zwar ist die Einwilligung der Betroffenen auch Bestandteil von Gesetzen zu Zuverläs­sigkeitsüberprüfungen in anderen Bundesländern wie etwa in Berlin, allerdings habe diese dort eine andere Funktion. Dort habe „die Einwilligung nicht eine konstituierende Wirkung für das Verfahren, sondern soll denjenigen, die sich der gesetzlichen Überprüfungspflicht nicht unterwerfen wollen, die Möglichkeit zum Rückzug aus der gesetzlich vorgeschriebenen Überprüfung eröffnen“, schreibt uns ein Sprecher der NRW-Datenschutzbeauftragten. Einfacher formuliert: Die Überprüfung kann sich nicht nur auf die Einwilligung stützen, es brauche zusätzlich ein Gesetz, welches solche Über­prüfungen speziell regelt.

Datenschutzbeauftrage Gayk fordert die Regierung und das Parlament in NRW auf, endlich eine „tragfähige“ Rechtsgrundlage zu schaffen. „Über die Notwendigkeit einer solchen Regelung be­stand bisher auch Konsens mit dem Innenministerium, das seine Auffassung vor einiger Zeit überra­schend geändert hat“, teilt uns der Sprecher der Datenschutzbeauftragten mit. Die Datenschutzbe­auftragte habe das Ministerium auch darauf hingewiesen, dass man solche Datenübermittlungen künftig stoppen könnte. Eine solche Untersagung ermöglicht das Datenschutzrecht in NRW.

Das Innenministerium in NRW bleibt auf Anfrage bei seiner Posititon: „Die speziellen Rechts­grundlagen, die aufgrund dieser Kritik in anderen Ländern geschaffen wurden, halten weiterhin an dem Instrument der Einwilligung fest. Insoweit ist hier kein datenschutzrechtlicher ‘Mehrwert’ er­kennbar.“ Auch der „gewerbliche Charakter“ von Großveranstaltungen spreche gegen eine Vor­schrift im Polizeigesetz, führt der Sprecher des Innenministeriums weiter aus. „Diese Einschätzung ist auf keine Einwände bei den für die UEFA EURO 2024 zuständigen Bundesbehörden gestoßen, so dass der Datenaustausch auf der geltenden Rechtsgrundlage durchgeführt werden konnte.“

Berlin: Verfassungsschutz-Anfrage nicht von Gesetz gedeckt

NRW ist laut der dortigen Datenschutzbehörde mittlerweile eines der letzten Bundesländer ohne Rechtsgrundlage für Zuverlässigkeitsüberprüfungen bei Großveranstaltungen. In Berlin regelt das der Paragraf 45 des Berliner Allgemeinen Sicherheits- und Ordnungsgesetzes (ASOG). Doch dessen Grenzen hat die Polizei in der Hauptstadt überschritten, bemängelt Meike Kamp, die Berliner Beauftragte für Datenschutz. Denn vom Verfassungsschutz oder anderen Geheimdiensten ist in dem Paragrafen keine Rede.

Allerdings wurde eine mögliche Übermittlung an Verfassungsschutzämter in den Datenschutzinfor­mationen zu den Sicherheitsüberprüfungen erwähnt, die Betroffene unterschreiben mussten – ge­nauso wie der Zoll, der militärische Abschirmdienst oder der Bundesnachrichtendienst. Für die Ber­liner Datenschutzbeauftragte ist dieser Hinweis aber nicht ausreichend, weil der erste Satz des Info-Schreibens „Ihre personenbezogenen Daten können […] übermittelt werden“ im Allgemeinen nicht so verstanden werde, dass die Daten in jedem Fall übermittelt würden.

Kamp schreibt daher in ihrem Tätigkeitsbericht: „Nach der Rechtsprechung des Bundesverfas­sungsgerichts bedarf jeder Eingriff in das Recht auf informationelle Selbstbestimmung einer klaren und bestimmten gesetzlichen Grundlage.“

„Verschränkung“ zwischen Polizei und Geheimdienst

Dies gelte umso mehr bei einer Datenübermittlung zwischen Polizei und Geheimdiensten. Denn während die Polizei konkrete Gefahren abwehre und dabei an enge rechtliche Voraussetzungen ge­bunden sei, betreiben die Inlandsgeheimdienste eine weitreichende Vorfeldaufklärung mit nachrich­tendienstlichen Mitteln. „Eine routinemäßige Verschränkung dieser unterschiedlichen Aufgabenbe­reiche durch Datenaustausch und eine weitreichende Zweckänderung der erhobenen Daten unter­läuft die verfassungsrechtlich gebotene Trennung zwischen Polizei und Nachrichtendiensten“.

Laut Berliner Polizei gaben die Verfassungsschutzbehörden den Inhalt ihrer Erkenntnisse nicht wei­ter, „sondern lediglich eine Rückmeldung, ob dort sicherheitsrelevante Erkenntnisse vorliegen oder nicht“. Regelanfragen an den Verfassungsschutz seien nur im Akkreditierungsverfahren für die Eu­ropameisterschaft erfolgt und „kein regelmäßiger Bestandteil der Überprüfungen durch den Polizei­lichen Staatsschutz des Landeskriminalamts Berlin“, teilte ein Sprecher auf netzpolitik.org-Anfrage mit.

Man teile die Rechtsauffassung der Berliner Datenschutzbeauftragten nicht. „Eine Änderung der Praxis ist aus hiesiger Sicht nicht erforderlich oder geboten“, schreibt der Sprecher der Polizei Ber­lin.

Hamburg: Anfrage beim Verfassungsschutz vorgeschrieben

Während die Polizei in Berlin die Anfragen beim Verfassungsschutz eher aus Ausnahme darstellt, ist es in Hamburg die Regel.

Das Gesetz über die Datenverarbeitung der Polizei (PolDVG) schreibt vor, dass die Polizei die Daten auch mit den Dateien des Verfassungsschutzes abgleicht. Dement­sprechend geschah dies auch bei allen Zuverlässigkeitsüberprüfungen im Rahmen der EM.

Sachsen: Datenschutzbehörde überzeugte Polizei

Doch nicht überall hat die Polizei bei jeder Zuverlässigkeitsüberprüfung auch den Verfassungs­schutz angefragt. In Sachsen konnte die Landesdatenschutzbeauftrage die Polizei von dieser Idee abbringen. Auch dort gibt es laut Datenschutzbehörde keine Rechtsgrundlage für Datenübermittlun­gen an den Verfassungsschutz bei Zuverlässigkeitsüberprüfungen.

„Die Polizeiführung zeigte sich offen für unsere Argumentation und hat im Ergebnis auf Regelab­fragen bei Verfassungsschutzbehörden verzichtet; vorbehalten hat sie sich Anfragen an Verfassungs­schutzbehörden im Einzelfall bei konkreten Anhaltspunkten für Gewaltbereitschaft im Zusammen­hang mit verfassungsfeindlichen Aktivitäten“, schreibt die sächsische Landesdatenschutzbeauftrage auf Anfrage von netzpolitik.org.

Auch die Bayerische Polizei hat „keine Regelanfragen an das Bundesamt für Verfassungsschutz oder das Bayerische Landesamt für Verfassungsschutz gerichtet“, wie uns ein Sprecher schreibt. Laut dem Bayerischen Datenschutzbeauftragten schließt das Bayerische Polizeigesetz solche Über­mittlungen nicht aus. Die Polizei müsse aber begründen, warum dies erforderlich sei.

Nicht nur ein Fußball-Thema

Ob mit Verfassungsschutz oder ohne, ob mit Rechtsgrundlage oder nicht – die Praxis bei den Zuver­lässigkeitsüberprüfungen ist kompliziert und unterscheidet sich offenbar sehr nach den jeweiligen Bundesländern. Dabei stellen sich die durch die Europameisterschaft aufgeworfenen Fragen auch jenseits des Fußballs.

Die nordrhein-westfälische Datenschutzbeauftragte verweist auf große Musikfestivals in NRW. In Berlin hat die Landesbeauftragte für Datenschutz auch eine Zuverlässigkeitsüberprüfung im Rah­men des Christopher Street Day diskutiert: Dort überprüfte die Polizei auf Bitten der Veranstalter:innen die Fahrer:innen der Paradewagen.