zurück zum Artikel

Unklare Datenabfragen am Polizeirechner: Wie kann das passieren?

Unklare Datenabfragen am Polizeirechner: Wie kann das passieren?

(Bild: FOTOKITA/Shutterstock.com)

Ausgerechnet bei der Polizei in Hessen lÀsst sich nicht klÀren, wer Daten zur Anschrift von Menschen abgefragt hat, die spÀter Drohbriefe erhielten.

Der Verdacht wiegt schwer: An hessischen Polizeicomputern sollen persönliche Daten abgefragt worden sein, die im Zusammenhang mit der rechtsextremistischen "NSU 2.0"-Drohschreibenserie stehen könnten. Denn bei einigen der EmpfĂ€ngerinnen wurden zuvor persönliche Daten von Polizeicomputern in Frankfurt und Wiesbaden abgerufen. Welcher Beamte die mutmaßlich illegalen Eingaben gemacht haben könnte, scheint bislang nicht zu klĂ€ren zu sein.

Nach einer Umfrage der Welt am Sonntag wurden deutschlandweit seit 2018 mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren [1] wegen unberechtigter Datenabfragen durch Polizeibeamte eingeleitet – und das noch ohne Zahlen aus Sachsen-Anhalt, die nicht verfĂŒgbar waren. Das wirft Fragen auf.

Abfrage ĂŒber ein fremdes Nutzerkonto

Grundlegende Daten aus dem Melderegister wie Name und Anschrift können selbst normale BĂŒrger bei den lokalen Behörden in der Regel erfragen. Dabei bleibt der Fragesteller aber nicht anonym. Falls der Eintrag gesperrt ist, kann der Zugriff in AbhĂ€ngigkeit von der jeweiligen Landesregelung selbst fĂŒr die Polizei erschwert sein.

Die Abfrage ĂŒber ein fremdes Nutzerkonto auf einem Dienstcomputer wĂ€re ein denkbarer Weg fĂŒr Polizisten, die eigene IdentitĂ€t zu verschleiern. Genau das ist nach Auskunft der Behörden in Hessen das Problem: herauszufinden, wer die Daten abgefragt hat.

Zugriff ĂŒber Benutzerkonten

Polizeibeamte haben bei entsprechender Berechtigung Zugriff auf eine Vielzahl verschiedener Datenbanken, darunter insbesondere die im bundesweiten polizeilichen Informationssystem Inpol beim Bundeskriminalamt zusammengefassten Datenbanken. Neben den einfachen Meldedaten, wie sie auch mit einer Melderegisterauskunft zu erlangen wĂ€ren, sind in speziellen Polizeidatenbanken auch Informationen zu Menschen hinterlegt, die im Zusammenhang mit einem polizeilichen Verfahren auftauchen – sei es als TĂ€ter, VerdĂ€chtiger, Zeuge oder vermisste Person. Diese Daten sind bundesweit von jedem angeschlossenen Polizei-Arbeitsplatz abrufbar, ganz gleich, wo die Daten eingegeben wurden.

Polizisten haben Benutzerkonten, dessen Details vom jeweiligen System abhĂ€ngen. Der Umfang der Zugangsberechtigungen bei Inpol ist laut Bundeskriminalamt (BKA) fĂŒr jeden Sachbearbeiter individuell geregelt. "Die Inpol-Dateien sind nur ĂŒber dienstliche Computer und eine abgeschlossene Netzwerkumgebung, also spezielle Polizeinetze, abrufbar", erklĂ€rt das BKA. "Alle nationalen polizeilichen Datenbanken verfĂŒgen ĂŒber eine vollumfĂ€ngliche Protokollierung, die umfassend nachvollziehen lĂ€sst, von wem wann welche Daten abgefragt wurden."

An- und Abmelden ist "unbequem"

Aber aus Bequemlichkeit oder Zeitdruck nehmen es manche mit dem An- und Abmelden an unterschiedlichen Systemen in der Praxis wohl nicht so genau. Bei den Ermittlungen in Hessen wurde bekannt, dass in Polizeistationen oft mehrere Polizisten einen Computer nutzen, ohne den Account zu wechseln – wegen teils langer Wartezeiten fĂŒr einen Nutzerwechsel.

Benjamin Jendro von der Gewerkschaft der Polizei in Berlin berichtet, ein neues Login am Polizeicomputer dauere teils sehr lange. Darum wĂŒrden Kollegen die Systeme manchmal nicht herunterfahren, etwa wenn sie in die Pause gehen. Es gebe in einzelnen LĂ€ndern eine "steinzeitliche Technik", sagt Jendro.

Mildernde UmstÀnde

Die Beamten haften zwar, wenn andere ihr Passwort missbrauchen, aber da ist zu unterscheiden zwischen disziplinar- und strafrechtlichen Folgen. Wenn sich herausstellt, dass jemand nicht sorgsam mit seinem Passwort umgegangen ist oder sich nach der Nutzung einer Datenbank nicht ordnungsgemĂ€ĂŸ abgemeldet hat, wĂ€ren disziplinarrechtliche Sanktionen möglich. Bei wiederholten oder besonders schweren VerstĂ¶ĂŸen könnten sie bis zur Entfernung aus dem Amt fĂŒhren, erklĂ€rt der Rechtswissenschaftler Jan Henrik Klement von der UniversitĂ€t Mannheim.

Viel hĂ€nge hier aber von den konkreten UmstĂ€nden ab, sagt Klement: "Wenn ein Polizist neu an eine Wache kommt und die Kollegen erklĂ€ren ihm: "Wir loggen uns hier nicht aus, sonst dauert das alles viel zu lange" – dann sind das zumindest mildernde UmstĂ€nde." Wenn so eine Ansage auch noch vom Chef selbst komme, dann sei das sogar als Weisung von oben zu betrachten und der Betroffene damit aus dem Schneider.

Sanktionsmöglichkeiten

Auch der Dienstherr, also die Landesbehörden, könnten unter UmstĂ€nden mitverantwortlich fĂŒr ein datenschutzrechtliches Fehlverhalten sein. Strafrechtliche Sanktionen brauche ein Polizist, der bei einem Zugriff auf dienstliche Informationen durch Dritte nicht vorsĂ€tzlich handele, nicht zu fĂŒrchten.

Ein Beamter, der personenbezogene Daten fahrlĂ€ssig gegenĂŒber anderen Personen offenlegt, könne in Hessen nach dem dortigen Datenschutz- und Informationsfreiheitsgesetz wegen einer Ordnungswidrigkeit mit einer Geldbuße von bis zu 50.000 Euro belegt werden, erklĂ€rt Klement. "Bei der Bemessung der Geldbuße wird zu beachten sein, dass von geschulten Polizisten eine besondere SensibilitĂ€t im Umgang mit Daten zu verlangen ist."

Lesen Sie auch

Konsequenzen der hessischen Landesregierung

Alle bisher geltenden individuellen Zugangsberechtigungen fĂŒr die Polizei wurden zurĂŒckgesetzt. Jeder Polizist erhielt neue Zugangsdaten und verpflichtet sich zur absoluten Geheimhaltung dieser Daten, erklĂ€rte der unter Beschuss geratene Innenminister Peter Beuth (CDU). Jeder Abfrageverstoß werde disziplinarisch und strafrechtlich verfolgt. Dies könne in besonders schweren FĂ€llen bis zu zwei Jahren Haft bedeuten.

Außerdem soll es mehr automatisierte Stichprobenkontrollen geben, ob eine Abfrage ĂŒber einen Dienststellencomputer auch plausibel ist. Passwörter werden alle drei Wochen automatisch zurĂŒckgesetzt, der Sperrbildschirm aktiviert sich bereits nach drei Minuten InaktivitĂ€t am Computer. Programme sollen hĂ€ufiger nach Passwörtern fragen, wie das Ministerium ankĂŒndigte. Mittel- bis langfristig sei eine Zwei-Faktor-Authentifizierung geplant, beispielsweise ĂŒber die Eingabe des Fingerabdrucks.

Melden Sie sich zum KI-Update an Melden Sie sich zum KI-Update an [2]

(bme [3])

URL dieses Artikels:
https://www.heise.de/-4859821

Links in diesem Artikel:
[1] https://www.heise.de/news/NSU-2-0-Co-Hunderte-Verfahren-wegen-Missbrauch-von-Polizeisystemen-4855948.html
[2] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[3] mailto:bme@heise.de

Copyright © 2020 Heise Medien