Datenschutzbehörde deckt auf

Berliner Polizei bunkert illegal Daten

Die Polizei Berlin löscht offenbar seit Jahren keine Daten aus ihrer zentralen Datenbank mehr. Die Datenschutzaufsicht kritisiert, dass auch Informationen von Unbeteiligten gespeichert bleiben und Polizist:innen unkontrolliert darauf zugreifen können. Jetzt geht die Behörde dagegen vor.

Polizeiuniform von hinten
Datenskandal bei der Berlin Polizei: Seit 2013 werden keine Daten mehr gelöscht. CC-BY 2.0 _dchris

Die Berliner Polizei nimmt es mit dem Datenschutz offenbar nicht so genau. Maja Smoltczyk, die Berliner Datenschutzbeauftragte, hat in dieser Woche gleich mehrere schwere Mängel in Zusammenhang mit einer zentralen Polizei-Datenbank beanstandet. Das teilte die Datenschutzbehörde auf Anfrage von netzpolitik.org mit.

Die Aufsichtsbehörde wirft der Polizei vor, seit 2013 keine Daten mehr aus der zentralen Datenbank gelöscht zu haben. Außerdem sei nur unzureichend protokolliert worden, wenn Beamte auf die Daten von Bürger:innen zugegriffen haben. Polizist:innen hatten somit die Möglichkeit, quasi unkontrolliert Informationen über Menschen in Erfahrung zu bringen, auch wenn dies dienstlich gar nicht erforderlich war.

Dass der Missbrauch dieser Möglichkeit durch Polizeibeamte kein theoretisches Szenario ist, sondern an der Tagesordnung ist, wird der Öffentlichkeit erst langsam bekannt, seitdem die Datenschutzbehörden im Zuge der EU-Datenschutzreform mehr Aufsichtsbefugnisse gegenüber der Polizei bekommen haben.

So wurde beispielsweise bekannt, dass eine mutmaßlich rechtsextreme Gruppierung bei der Frankfurter Polizei die Anschrift der Anwältin Seda Başay-Yıldız abfragte, um ihr Drohbriefe zu schreiben. Başay-Yıldız vertrat die Familien von Ofern der rechtsextremen Terrorgruppe NSU, die Drohbriefe waren mit „NSU 2.0“ unterschrieben.

In Berlin hatte ein Polizist 2017 die Daten von Menschen aus der linken Szene abgefragt und ihnen ebenfalls Drohbriefe geschickt. In ihrem Jahresbericht 2018 [PDF] hatte Smoltczyk bemängelt, dass die Polizei bei der Aufklärung des Falls gegenüber ihrer Behörde nicht kooperativ gewesen sei.

Daten von Unbeteiligten aufgehoben

Der Vorwurf der Datenschutzaufsicht bezieht sich auf die zentrale Datenbank der Berliner Polizei POLIKS. Die Abkürzung steht für Polizeiliches Landessystem zur Information, Kommunikation und Sachbearbeitung. In dem System werden von der Polizei Daten zu bearbeiteten Vorfälle gespeichert, von Verkehrsunfällen bis zu Anzeigen. Beamte können, wenn dies für Ermittlungen notwendig ist, Daten aus dem System abfragen, und so beispielsweise Personen recherchieren.

Eigentlich sollte die Polizei Daten löschen, wenn sie nicht mehr benötigt werden. Die Prüffristenverordnung sieht dafür je nach Schwere des Falls unterschiedliche Zeiträume vor. Bei Ordnungswidrigkeiten beispielsweise müsste nach einem Jahr geprüft werden, ob die Daten noch benötigt werden.

Laut Datenschutzbehörde wurden aus dieser Datenbank allerdings seit Jahren überhaupt keine Daten gelöscht. „Dies betrifft nicht nur Daten von Tatverdächtigen und Beschuldigten, sondern auch von anderen Tatbeteiligten oder sonstigen erfassten Personen.“ Auch die Daten von Opfern, Zeug:innen oder vorbeilaufenden Passant:innen wurde also über Jahre unrechtmäßig gespeichert.

Löschverbot nach NSU und Breitscheidplatz

Dass die Daten nicht gelöscht wurden, hängt offenbar mit der großzügigen Interpretation eines Löschmoratoriums zusammen. Nachdem beim Verfassungsschutz Akten über die rechtsextreme Terrorgruppe Nationalsozialistischer Untergrund, kurz NSU, vernichtet wurden, hatte die Politik entschieden, dass erstmal gar keine Daten gelöscht werden dürfen, die damit zu tun haben. Gleiches gilt für Daten in Zusammenhang mit dem Attentat vom Breitscheidplatz 2016.

Die Berliner Datenschutzbehörde weißt jedoch darauf hin, dass sich das Löschverbot nicht auf alle Daten bezieht, sondern nur auf solche, bei denen ein Zusammenhang mit den genannten Vorgängen besteht:

Beide Moratorien gelten jedoch nur bei Bezügen zu Rechtsextremismus oder zum Attentat Breitscheidplatz, dennoch wurde die Datenlöschung innerhalb von POLIKS durch die Polizei Berlin komplett ausgesetzt.

Selbst die Daten, die aufgrund der Moratorien wirklich nicht gelöscht hätten werden dürfen, hätten durch eine Zugangsbeschränkung gegen unbefugte Zugriffe geschützt werden müssen. Die Polizei habe jedoch erst im September 2019 damit angefangen, diese Daten in einen Bereich zu verschieben, auf den nicht alle Polizist:innen Zugriff haben, kritisiert die Datenschutzbehörde.

Datenabfragen ohne Grund möglich

Die ausgesetzte Datenlöschung ist nicht der einzige Kritikpunkt der Datenschutzbehörde. Sie beanstandet auch die mangelnde Kontrolle der Datenbankzugriffe. Vorgesetzte hätten nicht regelmäßig, sondern nur stichprobenartig geprüft, ob ihre Mitarbeiter:innen tatsächlich berechtigt waren, bestimmte Informationen abzufragen.

Auch die Protokollierung der Zugriffe sei in vielen Fällen mangelhaft. Die Polizist:innen mussten zwar einen Grund für ihre Datenabfragen eintragen. Hier hätten allerdings allgemeine Dinge wie „Vorgangsbearbeitung“ oder „sonstiger Grund“ ausgereicht. In das vorgesehene Ergänzungsfeld zur ausführlicheren Erklärung konnten dann beliebige Zeichen wie „XXX“ eingefügt werden.

Die Datenschutzbehörde kommt zu dem Schluss, dass „Datenabrufe auch ohne Angabe eines konkreten Grundes“ möglich waren. Eine saubere Protokollierung sei jedoch „elementar für die Durchsetzung von Betroffenenrechten und zur Erfüllung der gesetzlichen Aufgabe unserer Behörde, die Anwendung datenschutzrechtlicher Vorschriften zu überwachen und durchzusetzen.“

Die Beanstandung ist das schärfste Sanktionsmittel, das die Datenschutzaufsicht gegenüber öffentlichen Stellen nutzen kann. Anordnungen oder Bußgelder kann sie gegen Behörden – zum Leidwesen der Datenschutzbeauftragten – in Deutschland nicht verhängen. Die Polizei Berlin hat nun bis 31. Januar Zeit, auf die Beanstandung der Datenschutzbehörde zu reagieren.

Die Pressestelle der Polizei konnte zu unserer Anfrage am heutigen Tag bisher noch keine Stellung nehmen.

Update, 21.12.2019: Die Polizei Berlin hat gestern Abend mit einem Statement auf unsere Anfrage reagiert:

Das Schreiben ist erst am Erscheinungstag des Artikels, am 20. Dezember 2019, bei uns eingegangen. Selbstverständlich prüfen wir die Hinweise der Berliner Beauftragten für Datenschutz und Informationssicherheit. Leider wurde uns nicht die Gelegenheit gegeben, die Anmerkungen im Dialog zu klären, was sich aber nicht darauf auswirkt, dass wir uns unserer Verantwortung bewusst sind und diese auch wahrnehmen.

Bevor wird Daten löschen, müssen wir absolut sicher sein, dass diese nicht im Zusammenhang mit den terroristischen Handlungen stehen könnten. Es wäre fatal, wenn wir Information löschen, die der Aufklärung dieser Angriffe oder gar dem Schutz vor neuen dienen könnten.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

7 Ergänzungen
  1. Kleine Korrektur: In dem Text heißt es, dass die Berliner Datenschutzbeauftragte (BlnBDI) keine Anordnungen und Bußgelder gegenüber öffentlichen Stellen aussprechen könne. Das stimmt nicht ganz. Hier ist zwischen dem Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) und der Datenschutz-Richtlinie für Polizei und Justiz (JI-Richtlinie) zu unterscheiden.

    Die JI-Richtlinie wurde in Berlin (Landesebene) und auch im Bund so umgesetzt, dass die BlnBDI tatsächlich keine Anordnungs- und Bußgeld-Befugnisse hat. Das gilt aber nur gegenüber Polizei- und Justiz-Behörden.

    Gegenüber öffentlichen Stellen im Anwendungsbereich der Datenschutz-Grundverordnung kann sie Anordnungen aussprechen, aber keine Bußgelder.

    Die BlnBDI beschreibt das auch in ihrem Jahresbericht: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2018-Web.pdf (Seite 42-43)

    Insofern stimmt der betreffende Absatz in dieser Allgemeinheit („öffentliche Stellen“) nicht.

  2. Sind „gebunkerte Daten“ denn auch Teil des Datenaustauschwirbels? Also BKA, LKA, Zoll, Verfassungsschutz, (Polizei-) Dienste anderer Länder, Frontex, allg. Geheimdienste…

    Wäre ja auch schön, wenn alles ab Werk mit Kontexten verschlagwortet wäre.

  3. »Laut Datenschutzbehörde wurden aus dieser Datenbank allerdings seit Jahren überhaupt keine Daten gelöscht. „Dies betrifft nicht nur Daten von Tatverdächtigen und Beschuldigten, sondern auch von anderen Tatbeteiligten oder sonstigen erfassten Personen.“«

    »Bevor wird Daten löschen, müssen wir absolut sicher sein, dass diese nicht im Zusammenhang mit den terroristischen Handlungen stehen könnten.«

    Die Berliner Polizei betrachtet also offenbar alles und jeden als potentiellen Terroristen. Bis sie das Gegenteil beweisen konnten. Was sie offenbar ja niemals können oder wollen.

  4. Wehe es wird mal ein falscher Bon gebunkert :), Bäckereien dürfen keine rechtsfreien Zonen sein. Vorteil: es gibt in der Übergangsphase zwei Kassen!

Ergänzung an Anonymous Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.