Corona: Polizei und Wirte sammelten illegal Daten in Sachsen und Brandenburg
Die Polizeidirektion Dresden erhob rechtswidrig Informationen etwa über Infizierte, Cafés und Restaurants in der Mark erfassten zu viele Kategorien über Gäste.
(Bild: mahc/Shutterstock.com)
Im Kampf gegen die Coronavirus-Pandemie ecken Behörden und Firmen immer wieder mit dem Recht auf Privatheit an. Wie erst jetzt herauskam, flossen so etwa schon zu Beginn der Seuchenausbreitung ohne rechtliche Grundlage Daten über erste Infizierte sowie von Personen mit angeordneter Quarantäne und weitere Kontaktpersonen an Strafverfolgungsbehörden in Sachsen: Die Polizeidirektion Dresden forderte am 4. März beim Landratsamt Sächsische-Schweiz Osterzgebirge entsprechende sensible Daten an.
Listen per E-Mail
Eingeräumt hat dies der sächsische Innenminister Roland Wöller (CDU) jetzt in seiner Antwort auf eine Anfrage der Innenexpertin der Fraktion Die Linke im Landtag des Freistaats, Kerstin Köditz. Das Landratsamt in Pirna übermittelte demnach in Folge per E-Mail zwischen dem 5. und dem 16. März schier täglich Listen mit den Namen und Anschriften von insgesamt 114 Personen. Die Beteiligten stellten den Transfer am 17. März ein, nachdem dies die zuständigen Coronavirus-Stäbe bei dem Landkreis und der Polizeidirektion Dresden so vereinbart hatten.
Weiter brachte das Innenministerium laut Wöller erst im Zuge der Anfrage in Erfahrung, dass Vertreter des gleichen Landratsamts sowie der Polizeireviere Sebnitz, Freital-Dippoldiswalde und Pirna am 23. März vereinbarten, "dezentral" vergleichbare Listen auch mit Reiserückkehrern aus Risikogebieten im Einzugsbereich dieser Stellen an die dortigen Ermittler zu schicken.
7200 Datensätze
An dieser Praxis hielten die Beteiligten vom 25. März bis zum 5. April fest. Dabei hatte das Innenministerium bereits zwei Tage zuvor angeordnet, dass Informationen über Infizierte nicht pauschal an Polizeidienststellen gehen dürften. Wie viele Personen von beiden Maßnahmen insgesamt erfasst wurden, ist angesichts von "Schnittmengen der personenbezogenen Daten" mit den ersten Lieferungen an die übergeordnete Direktion unklar. Insgesamt handelte es sich um mehr als 7200 Datensätze.
Eigentlich hätten die Betroffenen laut dem sächsischen Gesundheitsdienstgesetz über einen möglicherweise durch eine Gefahrenabwehr begründeten Transfer zumindest aufgeklärt werden müssen. Solche Hinweise erfolgten "nach vorläufigen Feststellungen" aber nicht, heißt es in der Antwort. Die Daten seien in Dresden am 17. März, in den Revieren am 5. April gelöscht worden. Zuvor hätten in der Landeshauptstadt 106 Bedienstete prinzipiell auf die Listen zugreifen können. Wie viele von dieser Möglichkeit Gebrauch gemacht haben, sei mangels Protokollierung nicht zu eruieren. Auf den Revieren hätten fünf leitende Beamte die Daten eingesehen.
Unklarer Ablauf
Sachsens Datenschutzbeauftragten Andreas Schurig informierte die Polizei laut Wöller erst im Juni beziehungsweise im Juli "umfassend über die Vorkommnisse". Es gehe nun darum, "gemeinsam das Thema aufzuarbeiten und gegebenenfalls noch erforderliche Verfahrensschritte abzustimmen". Zuvor seien nur behördliche Datenschutzbeauftragte des Landkreises beziehungsweise der Direktion Dresden eingebunden gewesen und zunächst "nicht zu einem abschließenden Votum gegen eine Nutzung" der Daten gekommen.
Als besonders bedenklich an der ganzen Sache erscheint der Abgeordneten Köditz, dass das Innenministerium von sich aus den Umfang der Transfers gar nicht ausgelotet hatte. Zudem habe es auf eine vorherige Anfrage noch fälschlich behauptet, dass das Gesundheitsamt des Landkreises entsprechende Daten "ohne Anforderung" an die Polizei übermittelt hätte, obwohl letztere diese "erbeten" habe. Gegenüber Netzpolitik.org hatte ein Sprecher des Ressorts sogar am 27. März erklärt, dass Ordnungshütern in Sachsen keine Daten vorlägen, "wer mit dem Coronavirus infiziert wurde".
Zu viele Daten erfasst
Ein Team der brandenburgischen Datenschutzbeauftragten Dagmar Hartge prüfte derweil im Rahmen einer Sensibilisierungskampagne, wie 54 Cafés und Restaurants mit den Daten ihrer Gäste umgehen, die sie aufgrund der Corona-Bestimmungen erfassen müssen. Die Mitarbeiter waren dazu in den Landkreisen Dahme-Spreewald, Oberspreewald-Lausitz, Oder-Spree, Potsdam-Mittelmark sowie in den vier kreisfreien Städten Potsdam, Cottbus, Brandenburg an der Havel und Frankfurt (Oder) unterwegs. Dabei stellten sie fest, dass in 30 Restaurationsbetrieben zu viele Datenkategorien erhoben wurden.
Besonders häufig fragten die Betreiber nach der Anschrift, deren Angabe anhand der aktuellen Verordnung nicht mehr erforderlich ist. Auch erkannten viele Gastwirte nicht, dass entweder die Telefonnummer oder die E-Mail-Adresse anzugeben ist, nicht aber beides. 36 Lokale hielten sich nicht an die Löschfristen, 16 davon hatten sich noch von gar keinen umstrittenen Angaben getrennt. Die Kontrolleure monierten zudem, dass "ein vertraulicher Umgang mit den Gästedaten nicht immer gewährleistet war". Sieben Betriebe hätten wiederum gar keine Informationen erfasst.
Datensicherheit
Hartge mahnte, dass die Gäste nur richtige und vollständige Angaben machten, wenn sie darauf bauen könnten, "dass ihre Daten nicht in falsche Hände geraten". In allen Fällen hätten die Wirte aber "unsere Hinweise aufgegriffen und zugesichert, die vorgefundenen Mängel künftig zu vermeiden". Häufig habe "schlicht eine gewisse Unsicherheit" bestanden, der man mit einer Frage-Antwort-Liste begegnen wolle. In wenigen Fällen "mit schwerwiegenden Verstößen" prüfe die Behörde noch, ob eine "förmliche Verwarnung" nötig sei oder weitere Maßnahmen ergriffen werden müssten.
(kbe)
