Polizei Bremen: "Massiver Datenschutzverstoß" durch missachtete Löschvorgabe

In der Bremer Polizeidatenbank @rtus sollen sich Hunderttausend Datensätze befinden, die eigentlich hätten gelöscht werden müssen. Juristen sind entsetzt.

In Pocket speichern vorlesen Druckansicht 67 Kommentare lesen

(Bild: Oleksiy Mark/Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Die Bremer Polizei hortet in ihrem zentralen Vorgangsbearbeitungssystem @rtus (Artus) seit Längerem personenbezogene Daten, die sie eigentlich längst hätte löschen müssen. In dem umfangreichen IT-System sollen sich mittlerweile mehrere Hunderttausend Datensätze befinden, die nicht mehr gespeichert werden dürften, berichtet das Regionalmagazin "buten un binnen" (draußen und drinnen) von Radio Bremen. Angaben über viele Bürger würden damit "offenbar massenhaft zu Unrecht" auf Vorrat aufbewahrt.

Die Leiterin der Zentralen Polizeidirektion, Andrea Wittrock, räumte die damit verknüpften schweren Datenschutzverletzungen laut dem Bericht des Senders ein. Sie begründete die fehlerhafte Praxis demnach mit dem Verweis auf Softwareprobleme und zusätzliche Herausforderungen aufgrund der Corona-Pandemie. Die Daten hätten die Ordnungshüter aber zumindest ursprünglich legal erhoben.

Bremen hatte das von Schleswig-Holstein entwickelte System @rtus, das unter anderem auch bei der Bundespolizei seinen Dienst tut, 2014 für rund 1,5 Millionen Euro eingeführt. Damit müssten Daten künftig nur noch einmal bei der Polizei erfasst werden und könnten dann von allen zuständigen Sachbearbeitern weiter verarbeitet werden, freute sich die Senatsverwaltung für Inneres damals. Ebenso könnten diese Informationen direkt an andere Bundessysteme wie das Fahndungssystem Inpol übergeben werden.

Die Bremer Beamten speichern bei jedem Einsatz Daten in @rtus. Dabei werden Straftäter genauso erfasst wie Kontaktpersonen und Zeugen, also in der Regel unbescholtene Bürger. Vielfach dürfen diese Informationen aber gar nicht lange gespeichert werden, wenn sich etwa ein Verdacht als unbegründet herausstellt. Im Polizeigesetz des Stadtstaats heißt es dazu: "Die Polizei hat personenbezogene Daten unverzüglich zu löschen", wenn deren Kenntnis "für ihre Aufgabenerfüllung nicht mehr erforderlich ist".

Tatsächlich haben die Strafverfolger dem Bericht nach aber die Entfernen-Taste meist nur gedrückt, wenn es konkrete Anfragen und Aufforderungen dazu von Betroffenen oder ihren Vertretern gab. Die Anwältin Lea Voigt etwa moniert, dass Daten eines Mandanten erst nach dem Erheben einer Klage gelöscht worden seien.

Gesetzliche Löschpflichten seien "zentral für das Datenschutzrecht" und alles andere als ein Novum, erläuterte der Mainzer Verfassungsrechtler Matthias Bäcker gegenüber dem Magazin. Damit solle verhindert werden, dass "eine Art allgemeiner Datenpool über die Bevölkerung" entstehe. Nur das, was gebraucht werde, dürfe vorhanden sein und verwendet werden. Wenn solche Vorgaben nicht eingehalten würden, sei das ein massiver Rechtsverstoß, "der wirklich alle Alarmglocken klingeln lässt".

Dem Bericht nach spricht die Polizei schon seit Jahren ein praktikables Löschkonzept mit der Landesdatenschutzbeauftragten Imke Sommer ab. 2019 sollte dieses eigentlich nach langer Verzögerung greifen. Die Kontrolleurin sieht ihre Hände aufgrund fehlender Durchsetzungsbefugnisse aber weitgehend gebunden: "Wir haben da permanent nachgefragt, so ist es nicht. Wenn die das jetzt nicht gelöscht haben, dann haben sie das nicht gelöscht." Zugangsrechte für die Aufsichtsbehörde zu Diensträumen und Datenverarbeitungsanlagen sind im Polizeigesetz aber vorgesehen.

Laut der leitenden Polizeibeamtin Wittrock ist "die Löschung" inzwischen zumindest "beauftragt". Sie verspricht: Bis Oktober sollen die Datensätze, "die wir nicht mehr haben dürfen", dann auch tatsächlich raus sein aus dem System.

Auch in anderen Bundesländern kam es bereits zu vergleichbaren Verstößen: So beanstandete 2019 etwa die Berliner Datenschutzbeauftragte Maja Smoltczyk, dass die Polizei der Hauptstadt in dem @rtus-Pendant Poliks seit Juni 2013 aufgrund eines ausgesetzten Fristen- und Löschkonzepts keine Einträge mehr entfernt und damit gegen Speichervorgaben verstoßen haben. Mehr als eine öffentliche Rüge können die Kontrolleure in solchen Fällen in der Regel nicht erteilen.

(axk)