Schild "Polizei", Wache von Außen

Nach den rechtsradikalen Drohbriefen gegen die Linken-Politikerin Wissler und die Kabarettistin Baydar hat die Polizei viel zu spät den Datenschutzbeauftragten des Landes informiert. Dieser erwägt Schritte gegen die Behörde. 

Audiobeitrag

Podcast

Zum Artikel Die Story: Der Fall NSU 2.0

Schriftzug: NSU 2.0
Ende des Audiobeitrags

Bei missbräuchlichen Datenabfragen ist die Polizei verpflichtet, innerhalb von 72 Stunden eine Meldung bei der zuständigen Aufsichtsbehörde zu machen – beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Im Fall der Abfragen zu der hessischen Linken-Politikerin Janine Wissler und der Kabarettistin Idil Baydar ist das nach hr-Informationen aber erst im Juli 2020 geschehen. Zu diesem Zeitpunkt lagen die Datenabfragen schon Monate bzw. im Fall von Baydar sogar über ein Jahr zurück.  

Auf unsere Anfrage schreibt der HBDI: "Die Vorfälle sind gemeldet worden, allerdings erst im Juli 2020. Das liegt in allen Fällen jenseits der vorgeschriebenen Meldepflicht. Der HDBI behält sich vor, dies zu beanstanden."  Das Hessische Innenministerium bestreitet auf hr-Anfrage nicht, die 72 Stunden-Frist versäumt zu haben. Für zukünftige Fälle habe die Polizei mit dem HBDI eine Verfahrensweise abgestimmt, die "beide Interessen berücksichtigt".  Die missbräuchliche Datenabfrage im Fall der Frankfurter Rechtsanwältin Seda Basay-Yildiz sei nicht beim HBDI gemeldet worden. Das Innenministerium begründet dies damit, dass die gesetzliche Meldepflicht erst seit 2019 gelte. Die umstrittene Abfrage aber erfolgte schon im August 2018. 

Weitere Informationen

Hinweis: Wegen eines technischen Problems wird der Text leider nicht in allen Browsern korrekt angezeigt.

Ende der weiteren Informationen

NSU2.0 - Stockende Ermittlungen, mangelnder Datenschutz 

Im August 2018 bekommt die Frankfurter Anwältin Seda Basay-Yildiz ein erstes rassistisches Drohschreiben zugeschickt, unterschrieben mit NSU2.0. Inhalt des Schreibens sind unter anderem sensible persönliche Daten. Ermittlungsspuren führen in die Polizei, denn von einem Polizeicomputer im 1. Polizeirevier in Frankfurt wurden die Daten der Anwältin unmittelbar vor dem Versenden der Todesdrohung abgerufen.  

Trotz des Wissens darüber, von welchem Computer die Daten abgerufen wurden und welche Beamtin zu diesem Zeitpunkt im System eingeloggt war, konnte bisher niemand für den unberechtigten Datenabruf verantwortlich gemacht werden. Und auch wer die Drohschreiben verschickte, wurde bisher nicht ermittelt.  

Als Reaktion auf den Vorfall führte Innenminister Peter Beuth erste Maßnahmen ein, um weitere missbräuchliche Datenabfragen in der Polizei zu verhindern. Doch es kommt erneut zu unberechtigten Abfragen aus Polizeicomputern – und auch zu neuen Drohschreiben. Auch an Janine Wissler und Idil Baydar. Die verspätete Anzeige der mutmaßlichen Datenschutz-Verletzung bei der Hessischen Datenschutzbehörde wirft nicht zuletzt die Frage auf: Wie hält es die Polizei mit dem Datenschutz?  

Helene Fischer – Datenabrufe aus reiner privater Neugier 

Ein Beispiel verdeutlicht den problematischen Umgang mit persönlichen Daten: Nach einem Helene Fischer-Konzert in Frankfurt werden ihre Daten insgesamt 83 Mal im Polizeicomputer abgerufen. Diese Beispiel referierte der ehemalige Landespolizeipräsident im Innenausschuss des Landtags und fügte hinzu: Es sei wohl eher unwahrscheinlich, dass die Sängerin dort 83 Mal kontrolliert worden sei.  

Polizeibeamte können in ihren Systemen auf eine erhebliche Anzahl an Daten zugreifen: auf eigene polizeiinterne Daten wie zum Beispiel das System POLAS, in denen u.a. Strafverfolgungsprozesse protokolliert werden. Aber sie können auch Daten aus anderen öffentlichen Einrichtungen abrufen, zum Beispiel aus dem Einwohnermeldeamt (siehe Infokasten: Fragen und Antworten - Daten auf Polizeicomputern).

Bei jeder Abfrage muss der Polizeibeamte oder die Polizeibeamtin auch den Grund für die Datenrecherche benennen. Genau hier bestehe aber ein großes Problem, sagt Annette Brückner von police-it.net. Viele Beamte würden das wenig ernst nehmen und in diese Felder beispielsweise standardmäßig "Ermittlung" oder "Vorgangsbearbeitung" schreiben. Da könne man genauso gut reinschreiben "bin bei der Arbeit", sagt Brückner. Eine Kontrolle der Rechtmäßigkeit dieser Abfrage sei daher fast unmöglich, weil sie einen immensen Rechercheaufwand bedeuteten.   

In hessischen Polizeipräsidien gibt es jeden Monat allein 2,25 Millionen Suchabfragen zu Personen. Im neuesten Maßnahmenpaket hat sich Peter Beuth vorgenommen, jede 50. Abfrage kontrollieren zu lassen. Wie genau diese Kontrolle aussieht, dazu gibt das Hessische Innenministerium auf hr-Anfrage keine Auskunft. 

Wie viele missbräuchliche Abfragen gibt es?  

Schwierig ist offenbar auch die systematische Erfassung von polizeilichen Datenschutz-Verletzungen: Wir fragen das Hessische Innenministerium, wie viele Fälle es seit 2018 gegeben habe. Eine "Sonderauswertung" habe für die Jahre 2018 und 2019 insgesamt 61 Fälle ergeben. Wenn allein aber nach einem Helene Fischer-Konzert innerhalb einer Nacht 83 Datenschutzverletzungen auftreten, ist fraglich, wie aussagekräftig diese Zahl ist. Wäre bei 27 Millionen jährlichen Abrufen allein nur jede zweitausendste illegal, wären das 13.500 missbräuchliche Abrufe.  

Im Allgemeinen werde aber bei der hessischen Polizei keine entsprechende Statistik geführt. Dafür wäre eine Abfrage bei allen Polizeibehörden und eine manuelle Auswertung der Akten erforderlich.  

Weitere Informationen

Fragen und Antworten: Daten auf Polizeicomputern

Die wichtigsten Fragen zu Datenabfragen in Polizeicomputern haben wir Ihnen hier zusammengefasst. Haben Sie weitere Fragen? Dann schreiben Sie uns!   

Auf welche Daten hat die Polizei Zugriff? 
Die Polizei hat sechs verschiedene Informations-Systeme, auf die sie Zugriff hat, u.a. auf Daten des Einwohnermeldeamtes (Wer wohnt wo?), des Kraftfahrtbundesamts (Zu wem gehört welches Kfz-Kennzeichen?), aber auch auf ein Dolmetscherportal. Dazu kommen eigenen Polizeisysteme. Hier sind aktuelle Vorgänge wie zum Beispiel Ermittlungen erfasst, aber auch polizeiliche Informationen zu einzelnen Personen, wie etwa begangene Straftaten.   

Wer taucht in Polizeidatenbanken auf? 
"
Über mich hat die Polizei nichts, ich bin ja noch nicht mal beim Zu-schnell-Fahren erwischt worden". Wer das denkt, liegt falsch. Auch als Hinweisgeber oder als Zeuge kann man mit persönlichen Daten erfasst sein. Das geht bis zu Handynummern, Adressen o.ä., falls man diese Informationen der Polizei gegeben hat.   

Dürfen Polizisten einfach nach jedem Bürger unbegründet in den verschiedenen Systemen suchen?  
Nein. Die Polizei darf nur zu dienstlichen Zwecken persönlichen Daten abfragen. Abfragen aus privatem Interesse, sind verboten. Also einfach mal schauen, ob der neue Nachbar vielleicht Vorstrafen hat, ist nicht erlaubt.   

Kann nachgewiesen werden, welcher Polizist welche Datenabfrage gemacht hat?  
Eigentlich schon, denn jeder Polizist in Hessen hat eine persönliche Nutzerkennung, auch die jeweilige IP-Adresse des PCs wird in einem Protokoll zusammen mit dem Suchbegriff und einer Begründung für die Anfrage gespeichert. Aber: In der Praxis kommt es immer wieder vor, dass ein Beamter sich mit seinem Account anmeldet und die Kolleginnen und Kollegen den Zugang mitbenutzen. Das spart nicht nur das Abmelden, sondern auch ein erneutes Anmelden.   

Warum weiß man dann in Frankfurt trotzdem seit über zwei Jahren nicht, wer die Daten unberechtigt abgerufen hat? Im Frankfurter Polizeipräsidium weiß man das sehr wohl, es war der Account einer Polizeibeamtin, bei der weitere Ermittlungen stattfanden. Allerdings konnte sie bisher glaubhaft bescheinigen, dass sie zwar im Polizeicomputer angemeldet war, die Abfrage aber nicht selbst gemacht hat.

Warum kann man nicht feststellen, ob ein Polizist eine Datenabfrage missbräuchlich gemacht hat, z.B. aus reiner Neugier über seinen Nachbarn etc.?  
Theoretisch kann man das, denn von allen gemachten Suchanfragen gibt es ein Protokoll. Das Problem: In der Begründung stehen meist nur Dinge wie "Ermittlung", was eine Missbrauchskontrolle schwierig bis unmöglich macht. Steht im Protokoll also "Max Mustermann" und als Suchbegründung nur "Ermittlung", müsste der Kontrollierende erst einmal herausfinden, in welchem Ermittlungskontext Beamter X diesen Namen gesucht hat und dann die Ermittlungsakte öffnen und den Kontext zu "Max Mustermann" finden. Und das bei 2,25 Mio. Suchabfragen jeden Monat allein in Hessen.  

Wie wird kontrolliert, dass Daten nicht missbräuchlich abgerufen werden?  
Jeder Zugriff wird protokolliert mit Informationen zu Uhrzeit und Datum, der IP-Adresse des Computers, der Benutzerkennung und den abgefragten Daten. Darüber hinaus wird jede 50. Datenabfragen einer Kontrolle unterzogen.

Was droht einem Beamten oder eine Beamtin in Hessen im Falle eines Datenmissbrauchs?   
Das kommt darauf an. Die Maßnahmen reichen von einer “Pflichtenmahnung” bis hin zu Ermittlungen wegen einer Straftat. Im Extremfall kann ein Beamter sogar aus dem Dienst entlassen werden. Dazu muss der Beamte allerdings vorher im Zusammenhang mit dem Datenmissbrauch zu einer Freiheitsstrafe von mindestens einem Jahr verurteilt worden sein.  

Ende der weiteren Informationen

Sendung: hr-iNFO Politik, 4.9.2020, 21:35 Uhr

Jetzt im Programm