Aufsichtsrüge: Berliner Polizei hortet Daten und verletzt Löschfristen
Die Berliner Polizei hat seit 2013 in ihrem Polizeisystem Poliks nichts mehr gelöscht und wilde Abfragen geduldet, beanstandet die Datenschutzaufsicht.
Die Berliner Polizei sorgt mit ihrem Landessystem zur Information, Kommunikation und Sachbearbeitung (Poliks) erneut für Schlagzeilen. Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat jetzt offiziell beanstandet, dass die Ordnungshüter in der umfangreichen Datenbank seit Juni 2013 keine Einträge mehr gelöscht und damit gegen Speichervorgaben verstoßen haben. Dies betrifft nicht nur Angaben zu Tatverdächtigen, Beschuldigten und Straftätern, sondern auch von anderen Beteiligten wie Zeugen oder Opfern.
Behörde setzte implementierte Routinen aus
Eigentlich dürfen in dem IT-System personenbezogene Daten von Tatverdächtigen in der Regel fünf bis zehn Jahre aufbewahrt werden, je nach Schwere des Delikts. Für Jugendliche oder Kinder gelten kürzere Fristen. Bei Informationen, die Ermittler "zur vorbeugenden Bekämpfung von Straftaten" erheben, darf die Speicherdauer laut dem Polizeigesetz der Hauptstadt drei Jahre nicht überschreiten. Nach einem Jahr muss überprüft werden, ob die Voraussetzungen für ein weiteres Vorhalten noch bestehen.
Das gesamte Fristen- und Löschkonzept ist nach Angaben von Mitarbeitern der Berliner Polizei prinzipiell fest "implementiert und automatisiert". Die Behörde setzte diese Routinen aber komplett aus, erklärte ein Sprecher Smoltczyks gegenüber heise online. Sie habe sich dabei zunächst auf ein 2013 ergangenes "Löschmoratorium" im Rahmen der Aufarbeitung des NSU-Terrorismus bezogen. Eine zweite Auflage, Daten vorerst nicht aus Poliks zu entfernen, habe seit 13. Januar 2017 wegen des Anschlags mit einem Lkw am Breitscheidplatz im Dezember 2016 bestanden.
Lösch-Moratorien hätten nicht für alle Daten gelten dürfen
"Beide Moratorien gelten jedoch nur bei Bezügen zu Rechtsextremismus oder zum Attentat" vor der Gedächtniskirche, betonte der Sprecher. Für alle Daten, die nichts damit zu tun haben, hätte die Polizei also die normalen Löschvorschriften beachten müssen. Von diesen betroffene Informationen seien auch nicht für das operative Geschäft gesperrt worden.
"Die löschreifen, aber aufgrund der genannten Moratorien weiterhin gespeicherten Daten hätten zugriffsbeschränkt werden müssen", weiß der Vertreter der Aufsichtsbehörde. Tatsächlich habe die Polizei diese jedoch erst seit September zumindest "langsam in einen geschützten Bereich verschoben".
Kontrolleurin: Datenabrufe ohne Angabe eines Grunds möglich
Smoltzyk rügt weiter, dass bei Poliks generell keine regelmäßige Zugriffskontrolle stattgefunden habe, sondern "nur eine stichprobenartige und aus unserer Sicht nicht ausreichende Überprüfung" der von Polizeimitarbeitern getätigten Abfragen durch Vorgesetzte". Der Zugang zu der Datenbank sei zudem unzureichend protokolliert worden: "Allgemeine Schlagworte wie 'Vorgangsbearbeitung' oder 'sonstiger Grund' waren zur Abfrage ausreichend". Im einschlägigen Ergänzungsfeld konnten der Kontrolleurin zufolge beliebige Zeichen eingefügt werden wie etwa "xxx". So seien Datenabrufe auch ohne Angabe eines konkreten Grunds möglich gewesen.
Eine "saubere Protokollierung" ist laut Smoltzyk aber "elementar für die Durchsetzung von Betroffenenrechten und zur Erfüllung der gesetzlichen Aufgabe" der Behörde. Diese müsse anhand solcher Aufzeichnungen sicherstellen können, dass datenschutzrechtliche Vorschriften angewandt werden. Die Aufsichtsstelle hat der Polizei nun Gelegenheit gegeben, bis Ende Januar Stellung zu den beanstandeten Sachverhalten zu nehmen, bevor sie gegebenenfalls weitere Sanktionen verhängen könnte. Auf eine Anfrage von Netzpolitik.org, wo der Tadel zuerst publik gemacht wurde, hatten die Strafverfolger bis zum Freitagnachmittag zunächst nicht reagiert.
Empfehlung: Von Auskunftsrechten regen Gebrauch machen
Smoltzyk hatte in ihrem Jahresbericht 2018 bereits moniert, dass der Zugang zu Poliks aber immer wieder auch dazu missbraucht werde, "Freunde, Familie, Nachbarn oder Dritte und deren Lebensumstände auszuspionieren". Im vorigen Jahr habe man in solchen Fällen nach der alten Rechtslage 14 Strafanträge und nach später in Kraft getretenen neuen Vorschriften bereits fünf Bußgeldverfahren eingeleitet. Die vorliegenden Fälle hätten ausschließlich unbefugte Zugriffe auf die Kerndatenbank durch Mitarbeiter der Polizei selbst betroffen.
Ebenfalls 2018 erregte ein "Scherz" mit einem Keylogger an einem Dienstrechner eines Berliner Polizisten Aufsehen, über den ein Poliks-Zugang und damit auch ein Login zu angeschlossenen internationalen Ermittlerdatenbanken möglich gewesen sein soll. Rechtsexperten empfehlen, von Auskunftsrechten rund um polizeiliche Datenbanken regen Gebrauch zu machen, da Einträge und ihre Speicherfrist so gleich mit überprüft werden müssten. In Poliks waren 2017 bereits mehr als drei Millionen Menschen mit mindestens einem Datensatz gespeichert, was rein von der Menge her fast die gesamte Bevölkerung Berlins umfassen würde. (tiw)
