Drei Affen?
Die Verantwortlichen für die Datenlecks bei der hessischen Polizei sind angeblich schwer zu ermitteln. Dabei könnte die Lösung des Falls doch ganz einfach sein.
Ein Unbekannter verwendet für seine rechtsradikalen Drohmails interne Informationen aus polizeilichen Abfragesystemen, die von hessischen Polizeirevieren abgerufen wurden. Eigentlich, sollte man meinen, könnte es nicht weiter schwer sein, den Täter zu fassen. Denn schließlich trat in Hessen bereits 1970 das erste Datenschutzgesetz in Deutschlands in Kraft. Man könnte also eine gewisse Sensibilität für das Thema voraussetzen.
Und selbst wenn der Schutz personenbezogener Daten im hessischen Innenministerium nicht mehr so einen hohen Stellenwert hat wie früher, sollte es ein paar Grundregeln geben, die in solchen Fällen greifen: Um an Informationen in polizeilichen Datenbanken zu kommen, sollte man doch sicherlich spezielle Zugriffsrechte brauchen. Und eigentlich müsste es für jede Datenbank-Abfrage auch einen Eintrag in einer Log-Datei geben, über den sich ganz klar nachvollziehen lässt, wann, wer, von wo diese Informationen abgefragt hat.
Doch weit gefehlt. Die FAZ berichtet unter dem launigen Titel "Wenn keiner was gesehen hat", über die besonderen Schwierigkeiten bei der Ermittlung: "Eigentlich sollte nur der angemeldete Beamte an seinem Rechner Abfragen durchführen. Doch der Alltag sieht oft anders aus. Häufig, so erzählen Polizisten, nutze man auch mal den Rechner eines Kollegen. Hole man sich einen Kaffee oder gehe auf die Toilette, bleibe der Computer an. In dieser Zeit kann also rein theoretisch jeder Beamte im Revier Daten von diesem Rechner abfragen. Der Personenkreis ist dann zwar immer noch überschaubar, die Diensthabenden etwa stehen im Wachbuch. Aber: Wenn keiner etwas gesehen hat, wenn alle schweigen, dann gibt es keine Ermittlungsansätze."
Das muss man sich auf der Zunge zergehen lassen. Weil die in die Affäre verwickelten Polizisten versichern, sie hätten die entsprechenden Abfragen nicht durchgeführt, gibt es "keine Ermittlungsansätze". Die sagen nichts, und dann kann man nichts machen... Mich erinnert das an die drei buddhistischen Affen, die nichts Böses sehen, nichts Böses sagen und nichts Böses tun – nur, dass es hier nicht um individuelle Erleuchtung geht, sondern um Morddrohungen von Rechtsradikalen.
Fun Fact: In diesem lesenswerten Beitrag der ehemaligen IT-Unternehmerin Annette Brückner, die in ihrem Blog seit Jahren zu IT-Systemen der Polizei berichtet, steht, dass für den Zugriff auf das Abfragesystem POLAS in Hessen tatsächlich "Dienststellenkennungen vergeben werden. Das sind Kombinationen aus Kennung und Passwort, die allen (berechtigten) Anwendern aus einer Dienststelle bekannt sind und gemeinsam genutzt werden können."
Das heißt aber nicht, dass für die illegalen Abfragen keine Verantwortlichen ermittelt werden können. Um das zu tun, genügt ein Blick in den Dienstplan. Ja, richtig: Ich bin der Meinung, dass die Beamtinnen und Beamten – und natürlich erst recht ihre Vorgesetzten – die zum fraglichen Zeitpunkt in den fraglichen Revieren Dienst hatten, zur Verantwortung gezogen werden müssen. Jeder Angestellte eines Unternehmens wäre für solch gravierende Verstöße gegen den Datenschutz abgemahnt oder sogar entlassen worden. Die Aussicht auf ein Disziplinarverfahren oder gar eine Entlassung könnte die Gesprächsbereitschaft in dem einen oder andern Fall vielleicht fördern.
Nur wenn klar ist, dass der Schutz personenbezogener Daten vor einem illegalen Zugriff durch Dritte kein zu vernachlässigendes Detail ist, sondern ein Vertrauensbruch, der der Polizei als Ganzes schweren Schaden zufügt, wird sich etwas ändern. Wenn die Ermittler – wieder mal – auf eine Mauer des Schweigens stoßen, müssten sie halt mal dagegen treten. Die Mittel hätten sie. Die Frage ist, ob sie auch den Willen dazu haben.
(wst)