Aufgrund der jüngsten Welle rechtsextremer Drohschreiben kommt die Debatte um Datenmissbrauch durch Polizeibeamte wieder in Fahrt. Die Welt am Sonntag hat nun bei Innenministerien und Datenschutzbehörden in Erfahrung gebracht, dass wegen unbefugter Datenbankzugriffe seit 2018 in mehr als 400 Fällen gegen Polizeibedienstete ermittelt wurde.
Hintergrund der Recherche ist eine Reihe von mit „NSU 2.0“ unterschriebenen Drohbriefen, die seit zwei Jahren an Politiker:innen, Journalist:innen und Prominente verschickt wurden, die sich gegen Rassismus und für Geflüchtete engagieren. In mindestens drei Fällen enthielten die Morddrohungen öffentlich unzugängliche persönliche Daten, die zuvor aus Computern der Polizei Hessen abgerufen worden waren.
Eine der ersten Adressat:innen der rassistischen Drohbriefe war die Frankfurter Anwältin Seda Başay-Yıldız. Sie vertrat im NSU-Prozess die Familie von Enver Şimşek, dem ersten Mordopfer der rechtsextremen Terrorgruppe Nationalsozialistischer Untergrund. In den letzten Wochen war bekannt geworden, dass auch die hessische Fraktionsvorsitzende der Linken, Janine Wissler, und die Kabarettistin Idil Baydar ähnliche Schreiben erhielten. Auch ihre Daten waren kurz zuvor von Polizeicomputern abgerufen worden.
Steigende Zahlen, hohe Dunkelziffer
Erst im November 2019 hatte Spiegel Online berichtet, dass es seit dem Vorjahr 158 Verfahren gegen Polizeibeamte gegeben habe, weil sie unbefugt auf Daten zugegriffen haben. Die Welt am Sonntag kommt nun acht Monate später mit über 400 auf eine deutlich gestiegene Zahl an Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren. Die Frankfurter Rundschau berichtet von 192 Verfahren im Jahr 2019 allein in Hessen. 70 Fälle seien es in Niedersachsen gewesen, 64 in Bayern. Als einziges Bundesland konnte Sachsen-Anhalt keine Zahlen liefern.
Doch nicht nur deshalb ist von einer deutlich höheren Zahl missbräuchlicher Datenbanknutzungen auszugehen: In den seltensten Fällen fallen die Datenbankzugriffe von allein auf. Datenabfragen werden bei der Polizei zwar protokolliert, doch sie werden so gut wie nicht kontrolliert. Der Welt am Sonntag zufolge wird in Hessen lediglich bei jeder 200. Datenbankabfrage die Begründung der Polizist:innen geprüft. In Baden-Württemberg gelte dies für jede 50. Abfrage.
Hessen hatte die Stichprobenüberprüfung erst 2019 eingeführt, nachdem der Zusammenhang zwischen den Drohbriefen an Anwältin Başay-Yıldız und Abfragen auf Polizeicomputern bekannt wurde. Der aufgrund der NSU-2.0-Affäre inzwischen zurückgetretene hessische Polizeipräsident, Udo Münch, illustrierte die Notwendigkeit der Kontrolle im Landtag damit, dass die Daten der Sängerin Helene Fischer dutzende Male abgefragt wurden, als sie ein Konzert in Frankfurt am Main gegeben habe. Der hessische Landesvorsitzende der Gewerkschaft der Polizei hatte sich damals gegen die Überprüfungen ausgesprochen. „Wegen ein paar schwarzer Schafe“ würde die gesamte Polizei unter Generalverdacht gestellt, kritisierte Alexander Grün.
Anzügliche SMS an Minderjährige
Doch mit jedem weiteren Fall zeigt sich, dass von Einzelfällen nicht mehr die Rede sein kann, sondern es sich um ein systemisches Problem handelt. Stärker in die Öffentlichkeit gelangte die Thematik überhaupt erst, weil im Zuge der EU-Datenschutzreform seit 2018 nicht mehr allein die Innenministerien, sondern auch die unabhängigen Datenschutzbehörden zuständig sind.
Sie berichten regelmäßig in ihren Jahresberichten von missbräuchlicher Datennutzung durch Polizist:innen. Die Gründe für die unbefugten Abfragen sind unterschiedlicher Natur, von der Überprüfung potenzieller Mieter:innen bis zum Stalking von ehemaligen Partner:innen.
Erst im vergangenen Jahr hatte der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern [PDF] für Aufsehen gesorgt, als er zwei Fälle öffentlich machte, in denen Polizisten die dienstlich erlangten Handynummern von Minderjährigen nutzen wollten, um sexuelle Kontakte anzubahnen. Eine der Betroffenen war eine 15-jährige Schülerin, die sich zuvor an die Polizei gewandt hatte, weil ungefragt Nacktfotos von ihr im Internet veröffentlicht wurden. Die andere, eine 13-Jährige, war Zeugin in einem Missbrauchsverfahren.
Immer wieder rechtsextreme Hintergründe
Immer wieder steckt hinter dem Datenmissbrauch durch Polizist:innen aber auch eine rechtsextreme Motivation: In einem ähnlichen Fall wie den NSU-2.0-Schreiben hatte ein Berliner Polizist 2017 die Daten von Menschen aus der linken Szene abgefragt und ihnen Drohbriefe geschickt. Ähnliches ereignete sich in den vergangenen Jahren in Greifswald.
Jüngst wurde bekannt, dass zwei Potsdamer Polizeiangestellte aus dem Umfeld des mutmaßlich rechtsextremen Vereins Uniter offenbar ihren Zugang zu Polizeidatenbanken missbraucht haben. Sie forschten unter anderem das Umfeld eines anderen Uniter-Mitglieds aus und informierten sich in diesem Zusammenhang auch über vergangene Polizeieinsätze.
Im Raum steht zudem der Verdacht, dass auch Daten, mit denen die rechtsextreme Prepper-Gruppe „Nordkreuz“ ihre Todeslisten pflegte, aus Polizeidatenbanken stammen könnten. Zu der von der taz aufgedeckten Gruppierung gehörten mehrere Polizeibeamte, die inzwischen suspendiert wurden.
Polizeiliche Datenbanken: Weitgehend unkontrolliert
Polizist:innen haben im Rahmen ihrer Arbeit Zugriff auf eine große Menge personenbezogener Daten. Die Antwort auf eine parlamentarische Anfrage zeigte für die Berliner Polizei unlängst, dass diese insgesamt mehr als 130 unterschiedliche Datenbanken nutzt. Die Polizei möchte sich meist jedoch nicht in die Karten schauen lassen, wie genau die Datenbanken gepflegt und genutzt werden: Auf eine Presseanfrage nach Zugriffskonzepten antwortete die Polizei nicht.
Erstmals kündigte nun auch Bundesinnenminister Horst Seehofer an, schärfere Kontrollen für polizeiliche Datenbankabfragen zu prüfen: „Ich werde prüfen, ob der Zugriff auf Polizeidatenbanken mit biometrischen Merkmalen besseren Schutz ermöglicht. Datenzugriffe sind eine sehr sensible Angelegenheit und sollten deshalb mit den höchsten Standards geschützt sein“, zitiert die Presseagentur AFP den CSU-Politiker.
Doch die polizeilichen Datenbanken geraten nicht nur wegen missbräuchlicher Zugriffe in Konflikt mit dem Datenschutz: Immer wieder sorgen auch Fehler in den Informationssystemen für Probleme. Um etwa auf der Liste der Verdächtigen im Bereich der sogenannten „Clan-Kriminalität“ zu landen, reicht oft ein falscher Name. 2017 wurden mehreren Journalist:innen aufgrund veralteter oder fehlerhafter Angaben in Polizeidatenbanken die Akkreditierungen für den G20-Gipfel in Hamburg entzogen. Erst Ende 2019 schlug zudem die Datenschutzaufsicht der Hauptstadt Alarm, weil die Berliner Polizei in großem Stil gegen Löschauflagen verstoßen und so einen Berg illegaler Daten angehäuft hatte.
Polizisten verpetzen sich nicht, auch wenn sie sich mehr als nur daneben benehmen. Ein schlechter Ruf trifft bekanntlich die gesamte Familie. Zumindest mit diesem Verhaltensmuster unterscheiden sich Polizisten wenig von Milieus, die eigentlich auf der anderen Seite des Rechtsstaats stehen. Man mag es auch Korpsgeist nennen, der soll ja auch Identitätsstiftend wirken, zumindest für jene, denen es nicht genügt „nur“ zur Polizei zu gehören.
Da wird schon mal geschwiegen, wenn es um die Benutzung von Polizei-PCs geht. Man weiß ja, wer Zugang zu einzelnen Geräten hat bzw. haben kann. Vor Gericht jedoch gibt es aber keinen Schuldspruch für eine Benutzergruppe. Sich so zu verhalten zeigt die Lernfähigkeit, die „not all but some“ Polizisten von ihrem kriminellen Klientel verinnerlicht haben.
Irgendwo hatte ich gelesen, dass das Schreiben der Begründung den bearbeiterenden Beamte Zeit kostet. Wenn man nun eh nur jeder 200. Begründung prüft, so wurde 199mal Arbeitszeit vertan.
Die pragmatische Lösung sollte gewesen sein: Es wird vom System nur bei jeder 200. Abfrage eine Begründung vom Beamten gefordert. (Und von diesen Abfragen jede 200. geprüft.?)
War das nur mißverständlich formuliert? Liegt das Verfahren überhaupt offen? (stures Abzählen oder Zufällig, gelegentlicher 100% Test?)
Was ist aus unserem „Freund&Helfer“ worden, wenn einem Bürger solche Gedanken kommen können?
Wenn so ein System für Menschen benutzbar und für Maschinen (vor-) prüfbar sein soll, dann braucht die Polizei eine viel massivere IT-Aufrüstung.
Es muss also mobile Geräte geben, die z.B. die Kontexte für Beamt-X/Y vorgeben, z.B. Ermittlungsverfahren, Streife, Parkkontrolle, …
So kann dann die Datenabfrage mit Vorgängen verknüpft werden, was vielleicht auch schon irgendwie passiert. So wird es möglich, überhaupt erst automatische (vorab-) Statistiken zu bilden, und man kann sehen, wie sich problematische Abfragen zuordnen, falls überhaupt gehäuft (außer Dienst, Parkscheinkontrolle, Streife, Ad-Hoc Prüfung außerhalb des eigentlichen Einsatzbereiches). Natürlich geht es auch um eine (teil-) automatisierte Prüfung der zugehörigen Akten auf Zusammenhang mit Abfragen. Und ja, Ausweise werden dann elektronisch gescannt oder Gesichter (hihi), um Rückverfolgen zu können, ob eine Außerplanmäßige Kontrolle überhaupt stattgefunden hat, oder z.B. ein Bild von Facebook eingeschummelt wurde, um eine Prüfung durchführen zu dürfen, ob Kennzeichen dort war, wo behauptet wurde, ob Mitarbeit-X/Y ein so gutes Gedächtnis hate, jede Woche die Nummernschilder, die letzte Woche beobachtet worden sein sollten im Nachhinein zu erinnern etc.
Hinzu kommen semantisch vorgegebene Begründungen für Standardfälle, so dass maschinelle Auswertung einfacher wird.
Eines wir doch immer offensichtlicher: es ist (längst) überfällig, dass wir eine unabhängige, auf Bundesebene angesiedelte, mit hinreichend Budget und Personal – und auch Befugnis / Macht! – ausgestattete Organisation / Institution bekommen, die dafür da ist, unsere Gesetzeshüter zu überwachen und kontrollieren. Quis custodiet… Sonst werden solche Vorfälle immer wieder als traurige Einzelfälle abgetan werden und es wird sich am Gesamtbild nichts ändern.
Dass darüber hinaus auch einige Polizisten ein offenbar arg gestörtes Bild von ihren Aufgaben, Rechten und Pflichten haben, ist ein anderes Problem. Hier kann man nur vermuten, inwieweit eine generelle Mentalität bei der Polizei herrscht, die durch die Ausbildung vorgegeben und in der täglichen Arbeit bestätigt wird. Dagegen anzukommen, dürfte nicht einfach sein.
Klar ist auch, dass bei der Verfolgung von Fehlverhalten durch Polizisten noch sehr, sehr, sehr viel Raum nach oben ist. Ich weiß nicht, was aus dem Beamten in Meck-Pomm geworden ist, aber ein solche Handlungsweise sollte eigentlich wenigstens den sofortigen Rauswurf aus dem Polizeidienst nach sich ziehen und je nach Rechts- und Sachlage auch weitere Strafmaßnahmen / Anklage usw.
Traurig ist, dass solche Extreme wahrscheinlich wirklich Einzelfälle sind, dass es etliche Polizisten gibt, die ‚ganz normal‘ ihren Job machen. Aber die Polizei hat es andererseits ja mit ihrem Verhalten selbst in der Hand: ständiges Vertuschen und Kleinreden tragen jedenfalls nicht dazu bei, dass man als Bürger Vertrauen zu der Institution Polizei hat.
Es ist vermutlich „lange normales Verhalten“ in der Polizei, wie frueher Materialschwund auf der Baustelle. Wir bekamen schon vor knapp 40 Jahren mal Post von einer Urlaubsbekanntschaft, die eigentlich nur Vornamen und Bilder von uns hatte: auf einem Bild war halt das Auto mit Kennzeichen drauf.
Als im Oktober 2001 bekannt wurde, dass ein Polizeihauptkommissar der hessischen Landespolizei und CDU-Kommunalpolitiker aus Nidda Dienstgeheimnisse aus dem polizeilichen Informationssystem an eine Sicherheitsfirma verkauft hatte, schlug das ein “wie eine Bombe“, berichtete damals der Gießener Anzeiger (18.10.01). Zu zwei Jahren Haft auf Bewährung hat das Frankfurter/ Main Landgericht einen Hauptkommissar verurteilt, der Dienstgeheimnisse gegen Bares an ehemalige Kollegen weitergegeben hat. (Hessische Niedersächsische Allgemeine, 11.05.04).
Vor dem Hintergrund von Abfragen aus den polizeilichen Informationssystemen hessischer Dienststellen, welche aktuell für Morddrohungen („NSU 2.0“) verwendet werden, erscheinen diese Altfälle wie Lappalien.
Bereits damals sah man bei der hessischen Polizei keine Veranlassung Dienstgeheimnisse aus dem PC besser zu schützen. Legitimationen durch dienstliche Arbeitsbezüge der Beamten/ -innen für die abgerufenen Informationen – z.B. im POLAS – existieren bis heute nicht.
http://de.indymedia.org/2004/11/99291.shtml