Mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren
Nach einer Umfrage der "Welt am Sonntag" wurden deutschlandweit seit 2018 mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen unberechtigter Datenabfragen durch Polizeibeamte eingeleitet – und das noch ohne Zahlen aus Sachsen-Anhalt, die nicht verfügbar waren. Das wirft Fragen auf.
Wie kommt man an Informationen zu Name und Anschrift von Menschen?
Grundlegende Daten aus dem Melderegister wie Name und Anschrift können selbst normale Bürger bei den lokalen Behörden in der Regel erfragen. Dabei bleibt der Fragesteller aber nicht anonym. Falls der Eintrag gesperrt ist, kann der Zugriff in Abhängigkeit von der jeweiligen Landesregelung selbst für die Polizei erschwert sein. Die Abfrage über ein fremdes Nutzerkonto auf einem Dienstcomputer wäre ein denkbarer Weg für Polizisten, die eigene Identität zu verschleiern. Genau das ist nach Auskunft der Behörden in Hessen das Problem: herauszufinden, wer die Daten abgefragt hat.
Auf welche Daten haben Polizisten Zugriff?
Polizeibeamte haben bei entsprechender Berechtigung Zugriff auf eine Vielzahl verschiedener Datenbanken, darunter insbesondere die im bundesweiten polizeilichen Informationssystem Inpol beim Bundeskriminalamt zusammengefassten Datenbanken. Neben den einfachen Meldedaten, wie sie auch mit einer Melderegisterauskunft zu erlangen wären, sind in speziellen Polizeidatenbanken auch Informationen zu Menschen hinterlegt, die im Zusammenhang mit einem polizeilichen Verfahren auftauchen – sei es als Täter, Verdächtiger, Zeuge oder vermisste Person. Diese Daten sind bundesweit von jedem angeschlossenen Polizei-Arbeitsplatz abrufbar, ganz gleich, wo die Daten eingegeben wurden.
Haben Polizisten denn keine individuellen Benutzerkonten?
Der Umfang der Zugangsberechtigungen bei Inpol ist laut Bundeskriminalamt (BKA) für jeden Sachbearbeiter individuell geregelt. "Die Inpol-Dateien sind nur über dienstliche Computer und eine abgeschlossene Netzwerkumgebung, also spezielle Polizeinetze, abrufbar", erklärt das BKA. "Alle nationalen polizeilichen Datenbanken verfügen über eine vollumfängliche Protokollierung, die umfassend nachvollziehen lässt, von wem wann welche Daten abgefragt wurden."
Bequemlichkeit schlägt Datenschutz
Aber aus Bequemlichkeit oder Zeitdruck nehmen es manche mit dem An- und Abmelden an unterschiedlichen Systemen in der Praxis wohl nicht so genau. Bei den Ermittlungen in Hessen wurde bekannt, dass in Polizeistationen oft mehrere Polizisten einen Computer nutzen ohne den Account zu wechseln – wegen teils langer Wartezeiten für einen Nutzerwechsel. Benjamin Jendro von der Gewerkschaft der Polizei in Berlin berichtet, ein neues Login am Polizeicomputer dauere teils sehr lange. Darum würden Kollegen die Systeme manchmal nicht herunterfahren, etwa wenn sie in die Pause gehen. Es gebe in einzelnen Ländern eine "steinzeitliche Technik", sagt Jendro.
Haften die Beamten nicht, wenn andere ihr Passwort missbrauchen?
Doch, aber da ist zu unterscheiden zwischen disziplinar- und strafrechtlichen Folgen. Wenn sich herausstellt, dass jemand nicht sorgsam mit seinem Passwort umgegangen ist oder sich nach der Nutzung einer Datenbank nicht ordnungsgemäß abgemeldet hat, wären disziplinarrechtliche Sanktionen möglich. Bei wiederholten oder besonders schweren Verstößen könnten sie bis zur Entfernung aus dem Amt führen, erklärt der Rechtswissenschaftler Jan Henrik Klement von der Universität Mannheim. Viel hänge hier aber von den konkreten Umständen ab, sagt Klement: "Wenn ein Polizist neu an eine Wache kommt und die Kollegen erklären ihm: Wir loggen uns hier nicht aus, sonst dauert das alles viel zu lange – dann sind das zumindest mildernde Umstände." Wenn so eine Ansage auch noch vom Chef selbst komme, dann sei das sogar als Weisung von oben zu betrachten und der Betroffene damit aus dem Schneider. Auch der Dienstherr, also die Landesbehörden, könnten unter Umständen mitverantwortlich für ein datenschutzrechtliches Fehlverhalten sein. Strafrechtliche Sanktionen brauche ein Polizist, der bei einem Zugriff auf dienstliche Informationen durch Dritte nicht vorsätzlich handele, nicht zu fürchten.
Gäbe es noch weitere Sanktionsmöglichkeiten?
Ein Beamter, der personenbezogene Daten fahrlässig gegenüber anderen Personen offenlegt, könne in Hessen nach dem dortigen Datenschutz- und Informationsfreiheitsgesetz wegen einer Ordnungswidrigkeit mit einer Geldbuße von bis zu 50.000 Euro belegt werden, erklärt Klement. "Bei der Bemessung der Geldbuße wird zu beachten sein, dass von geschulten Polizisten eine besonderere Sensibilität im Umgang mit Daten zu verlangen ist."
Zieht die hessische Landesregierung Konsequenzen?
Ja. Alle bisher geltenden individuellen Zugangsberechtigungen für die Polizei wurden zurückgesetzt. Jeder Polizist erhielt neue Zugangsdaten und verpflichtet sich zur absoluten Geheimhaltung dieser Daten, erklärte der unter Beschuss geratene Innenminister Peter Beuth (CDU). Jeder Abfrageverstoß werde disziplinarisch und strafrechtlich verfolgt. Dies könne in besonders schweren Fällen bis zu zwei Jahre Haft bedeuten. Außerdem soll es mehr automatisierte Stichprobenkontrollen geben, ob eine Abfrage über einen Dienststellencomputern auch plausibel ist. Passwörter werden alle drei Wochen automatisch zurückgesetzt, der Sperrbildschirm aktiviert sich bereits nach drei Minuten Inaktivität am Computer. Programme sollen häufiger nach Passwörtern fragen, wie das Ministerium ankündigte. Mittel- bis langfristig sei eine Zwei-Faktor-Authentifizierung geplant, beispielsweise über die Eingabe des Fingerabdrucks.