Unklare Datenabfragen am Polizeirechner: Wie kann das passieren?
Ausgerechnet bei der Polizei in Hessen lässt sich nicht klären, wer Daten zur Anschrift von Menschen abgefragt hat, die später Drohbriefe erhielten.
(Bild: FOTOKITA/Shutterstock.com)
Der Verdacht wiegt schwer: An hessischen Polizeicomputern sollen persönliche Daten abgefragt worden sein, die im Zusammenhang mit der rechtsextremistischen "NSU 2.0"-Drohschreibenserie stehen könnten. Denn bei einigen der Empfängerinnen wurden zuvor persönliche Daten von Polizeicomputern in Frankfurt und Wiesbaden abgerufen. Welcher Beamte die mutmaßlich illegalen Eingaben gemacht haben könnte, scheint bislang nicht zu klären zu sein.
Nach einer Umfrage der Welt am Sonntag wurden deutschlandweit seit 2018 mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen unberechtigter Datenabfragen durch Polizeibeamte eingeleitet – und das noch ohne Zahlen aus Sachsen-Anhalt, die nicht verfügbar waren. Das wirft Fragen auf.
Abfrage über ein fremdes Nutzerkonto
Grundlegende Daten aus dem Melderegister wie Name und Anschrift können selbst normale Bürger bei den lokalen Behörden in der Regel erfragen. Dabei bleibt der Fragesteller aber nicht anonym. Falls der Eintrag gesperrt ist, kann der Zugriff in Abhängigkeit von der jeweiligen Landesregelung selbst für die Polizei erschwert sein.
Die Abfrage über ein fremdes Nutzerkonto auf einem Dienstcomputer wäre ein denkbarer Weg für Polizisten, die eigene Identität zu verschleiern. Genau das ist nach Auskunft der Behörden in Hessen das Problem: herauszufinden, wer die Daten abgefragt hat.
Zugriff über Benutzerkonten
Polizeibeamte haben bei entsprechender Berechtigung Zugriff auf eine Vielzahl verschiedener Datenbanken, darunter insbesondere die im bundesweiten polizeilichen Informationssystem Inpol beim Bundeskriminalamt zusammengefassten Datenbanken. Neben den einfachen Meldedaten, wie sie auch mit einer Melderegisterauskunft zu erlangen wären, sind in speziellen Polizeidatenbanken auch Informationen zu Menschen hinterlegt, die im Zusammenhang mit einem polizeilichen Verfahren auftauchen – sei es als Täter, Verdächtiger, Zeuge oder vermisste Person. Diese Daten sind bundesweit von jedem angeschlossenen Polizei-Arbeitsplatz abrufbar, ganz gleich, wo die Daten eingegeben wurden.
Polizisten haben Benutzerkonten, dessen Details vom jeweiligen System abhängen. Der Umfang der Zugangsberechtigungen bei Inpol ist laut Bundeskriminalamt (BKA) für jeden Sachbearbeiter individuell geregelt. "Die Inpol-Dateien sind nur über dienstliche Computer und eine abgeschlossene Netzwerkumgebung, also spezielle Polizeinetze, abrufbar", erklärt das BKA. "Alle nationalen polizeilichen Datenbanken verfügen über eine vollumfängliche Protokollierung, die umfassend nachvollziehen lässt, von wem wann welche Daten abgefragt wurden."
An- und Abmelden ist "unbequem"
Aber aus Bequemlichkeit oder Zeitdruck nehmen es manche mit dem An- und Abmelden an unterschiedlichen Systemen in der Praxis wohl nicht so genau. Bei den Ermittlungen in Hessen wurde bekannt, dass in Polizeistationen oft mehrere Polizisten einen Computer nutzen, ohne den Account zu wechseln – wegen teils langer Wartezeiten für einen Nutzerwechsel.
Benjamin Jendro von der Gewerkschaft der Polizei in Berlin berichtet, ein neues Login am Polizeicomputer dauere teils sehr lange. Darum würden Kollegen die Systeme manchmal nicht herunterfahren, etwa wenn sie in die Pause gehen. Es gebe in einzelnen Ländern eine "steinzeitliche Technik", sagt Jendro.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Mildernde Umstände
Die Beamten haften zwar, wenn andere ihr Passwort missbrauchen, aber da ist zu unterscheiden zwischen disziplinar- und strafrechtlichen Folgen. Wenn sich herausstellt, dass jemand nicht sorgsam mit seinem Passwort umgegangen ist oder sich nach der Nutzung einer Datenbank nicht ordnungsgemäß abgemeldet hat, wären disziplinarrechtliche Sanktionen möglich. Bei wiederholten oder besonders schweren Verstößen könnten sie bis zur Entfernung aus dem Amt führen, erklärt der Rechtswissenschaftler Jan Henrik Klement von der Universität Mannheim.
Viel hänge hier aber von den konkreten Umständen ab, sagt Klement: "Wenn ein Polizist neu an eine Wache kommt und die Kollegen erklären ihm: "Wir loggen uns hier nicht aus, sonst dauert das alles viel zu lange" – dann sind das zumindest mildernde Umstände." Wenn so eine Ansage auch noch vom Chef selbst komme, dann sei das sogar als Weisung von oben zu betrachten und der Betroffene damit aus dem Schneider.
Sanktionsmöglichkeiten
Auch der Dienstherr, also die Landesbehörden, könnten unter Umständen mitverantwortlich für ein datenschutzrechtliches Fehlverhalten sein. Strafrechtliche Sanktionen brauche ein Polizist, der bei einem Zugriff auf dienstliche Informationen durch Dritte nicht vorsätzlich handele, nicht zu fürchten.
Ein Beamter, der personenbezogene Daten fahrlässig gegenüber anderen Personen offenlegt, könne in Hessen nach dem dortigen Datenschutz- und Informationsfreiheitsgesetz wegen einer Ordnungswidrigkeit mit einer Geldbuße von bis zu 50.000 Euro belegt werden, erklärt Klement. "Bei der Bemessung der Geldbuße wird zu beachten sein, dass von geschulten Polizisten eine besondere Sensibilität im Umgang mit Daten zu verlangen ist."
Konsequenzen der hessischen Landesregierung
Alle bisher geltenden individuellen Zugangsberechtigungen für die Polizei wurden zurückgesetzt. Jeder Polizist erhielt neue Zugangsdaten und verpflichtet sich zur absoluten Geheimhaltung dieser Daten, erklärte der unter Beschuss geratene Innenminister Peter Beuth (CDU). Jeder Abfrageverstoß werde disziplinarisch und strafrechtlich verfolgt. Dies könne in besonders schweren Fällen bis zu zwei Jahren Haft bedeuten.
Außerdem soll es mehr automatisierte Stichprobenkontrollen geben, ob eine Abfrage über einen Dienststellencomputer auch plausibel ist. Passwörter werden alle drei Wochen automatisch zurückgesetzt, der Sperrbildschirm aktiviert sich bereits nach drei Minuten Inaktivität am Computer. Programme sollen häufiger nach Passwörtern fragen, wie das Ministerium ankündigte. Mittel- bis langfristig sei eine Zwei-Faktor-Authentifizierung geplant, beispielsweise über die Eingabe des Fingerabdrucks.
(bme)