Prüfung des DatenschutzbeauftragtenWeiterhin viele rechtswidrige Speicherungen in größter Polizeidatenbank

Nach zehn Jahren hat der Bundesdatenschutzbeauftragte die Datei INPOL-Z beim BKA erneut kontrolliert. Noch immer gibt es dort erhebliche Probleme, selbst Ordnungswidrigkeiten können zur Speicherung führen. In einigen Fällen verzichtete der Prüfer auf eine formelle Beanstandung, weil das BKA die Daten sofort löschen wollte.

Ein neonbeleuchteter Serverraum mit verschiedenen Racks hinter Glas, an der Decke Rohre zur Belüftung.
Für die Bundesländer betreibt das BKA das zentrale INPOL-System mit verschiedenen Dateien. BKA

Für alle polizeilichen Behörden von Bund und Ländern betreibt das Bundeskriminalamt (BKA) in Wiesbaden das zentrale Informationssystem INPOL-Z. Es besteht aus verschiedenen Dateien, darunter der Kriminalaktennachweis, Personen- und Sachfahndung oder Erkennungsdienst (ED). Viele Millionen Gesichtsbilder und Fingerabdrücke von Beschuldigten und Verdächtigen sowie Asylsuchenden sind dort nach einer erkennungsdienstlichen Behandlung gespeichert. Damit handelt es sich um die größte Polizeidatenbank der Bundesrepublik. Auch der Zoll kann darauf zugreifen.

Viele personenbezogene Daten werden hier jedoch rechtswidrig gespeichert. Darauf hatte der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, nach einem Prüfbesuch beim BKA bereits 2011 hingewiesen. Zehn Jahre später hat sich sein Nachfolger Ulrich Kelber noch einmal zum „Beratungs- und Kontrollbesuch“ in Wiesbaden angemeldet und überprüft, ob die damaligen „Empfehlungen“ umgesetzt wurden.

Speicherung ohne „Prognoseentscheidung“

Dass auch weiterhin viele Einträge rechtswidrig angelegt werden, hatte Kelber bereits in seinem öffentlichen Tätigkeitsbericht für 2021 dargestellt. Details dazu werden aber erst aus dem eigentlichen Prüfbericht ersichtlich, den der BfDI nun auf eine Informationsfreiheitsanfrage herausgab.

Die Tiefe eines solchen „Beratungs- und Kontrollbesuch“ ist begrenzt, weil hier nur wenige Einträge stichprobenartig geprüft werden können. Vor seinem jüngsten Besuch bat der BfDI um einen vollständigen INPOL-Auszug zu jeweils den ersten zehn Personen für jeden Buchstaben im Alphabet. Dabei dürfte es sich also um rund 250 Datensätze gehandelt haben.

Darin hat der Datenschutzbeauftragte mindestens drei Fälle gefunden, in denen die Betroffenen ohne die gesetzlich erforderliche „Prognoseentscheidung“ gespeichert wurden. Diese ist notwendig, um die vorhandenen Fakten zu gewichten und zu dokumentieren, warum eine Speicherung der Person in INPOL notwendig erscheint. Stattdessen wurde laut Kelber lediglich „die Kopie des reinen Gesetzeswortlauts in einem Freitextfeld“ eingetragen.

Löschung „noch vor Ort“ zugesagt

Im Prüfbericht ist nicht dokumentiert, welche Polizeibehörde die fehlerhaften Speicherungen vornahm. „Zufällig“ sei Kelber außerdem auf einen Fall aufmerksam geworden, in denen als Anlass für eine erkennungsdienstliche (ED) Behandlung lediglich der Hinweis „Polizeigesetz BW“ eingetragen war.

In einem anderen Fall hatte das BKA selbst Datensätze übernommen, ohne einen Grund dafür anzugeben. Weil das Amt „noch vor Ort“ die Löschung zugesagt hat, versprach der BfDI von einer Beanstandung abzusehen.

Zu den Empfehlungen des BfDI gehört, die Problematik „über diese Einzelfälle hinausgehend zu klären“, da es sich „um eine grundlegende Problematik im BKA“ handele. Die Behörde habe Kelber dazu einen „gemeinsamen Workshop“ angeboten.

„Löschung mit Besitzübertragung“

Die Verantwortung für die Daten aus der ED-Behandlung in INPOL-Z tragen jene Landespolizeibehörden, die sie in das System einspeichern. Die Länder müssen auch die Einhaltung der Löschfristen prüfen und eine etwaige fortgesetzte Speicherung begründen. Laut Kelber kann es aber vorkommen, dass Daten von einer anderen INPOL-Teilnehmerin weiter gespeichert werden, wenn das verantwortliche Bundesland sie bereits gelöscht hat.

Inzwischen habe das BKA aber die Verfahrensweise geändert. Biometrische ED-Daten würden nur dann von einer anderen Behörde aufgehoben, wenn eigene Erkenntnisse der neuen Besitzerin vorlagen. Auch hierzu muss eine schriftlich dokumentierte „Prognoseentscheidung“ vorliegen.

Für diese Weiterspeicherung hat das BKA die neue Funktionalität „Löschung mit Besitzübertragung“ eingeführt. Dies ist aber nur möglich, wenn eine Landespolizeibehörde als frühere Besitzerin der Daten zustimmt. Mit der Angabe eines „Löschgrundes“ kann dieser Übertragung widersprochen werden.

Verfahren für „Mitbesitz“ von Daten

Zur vorgeschriebenen Löschung von Daten blieben laut dem BfDI jedoch weitere Details zu klären. So seien in INPOL verschiedene Datengruppen „auf unterschiedliche Weise miteinander verknüpft“. Demnach kann es passieren, dass Daten aus ED-Behandlungen weiter gespeichert werden, weil eine andere INPOL-Verbundteilnehmerin noch andere Informationen zu der Person eingetragen hat. Deshalb sollen die erkennungsdienstlichen Daten ein gesondertes „Aussonderungsprüfdatum“ erhalten.

Das BKA will dazu bereits ein Verfahren entwickelt haben, das sich „derzeit in der Abstimmung befindet“. Über ein zusätzliches Datenfeld sollen Polizeibehörden außerdem die Möglichkeit erhalten, ihren „Mitbesitz“ an ED-Daten zu markieren. Es soll helfen, dass sich die verschiedenen INPOL-Teilnehmenden über die Speicherung und Löschung von Datensätzen koordinieren.

Laut Kelber kommt es dabei aber „teilnehmerübergreifend zu Fehlanwendungen“. So habe etwa das Bundesland Sachsen-Anhalt 40.000 INPOL-Datensätze versehentlich gelöscht, weil die neue Funktion falsch angewendet wurde. Das BKA will derartigen Fällen nun mit regelmäßigen Sitzungen auf Bund-Länder-Ebene begegnen.

Speicherung auch wegen Ordnungswidrigkeiten

In einem weiteren Abschnitt des Prüfberichts moniert der BfDI die Nutzung von INPOL auch für Ordnungswidrigkeiten. Zur erkennungsdienstlichen Behandlung dürfen die Polizeibehörden demzufolge jedoch nur Personen speichern, die einer Straftat verdächtigt werden.

Trotzdem hat Kelber sechs Fälle gefunden, bei denen Betroffene wegen der „Ausübung der Prostitution“ eingetragen sind.

Weil weder das Gesetz über Ordnungswidrigkeiten noch das BKA-Gesetz dies erlauben, soll das BKA nun nacharbeiten. Als verantwortliche Stelle für die Einhaltung der INPOL-Regelungen empfiehlt der BfDI „dringend“, Einträge von Ordnungswidrigkeiten durch technische Änderungen aus dem Informationssystem auszuschließen.

7 Ergänzungen

  1. Wenn die es nicht schaffen die Daten schnell genug verschwinden zu lassen, will man nicht wissen, welche Daten dort noch so sind.

  2. Was passiert eigentlich mit den rechtswidrig gespeicherten Daten die an xyz weitergegeben wurden und nun wer weiß wo liegen? Müssen die auch nicht gelöscht werden? Wer kommt für den entstandenen Aufwand auf? Muss die Polizei auch nicht die entsprechenden Stellen zum Löschen auffordern?

  3. NP-Zitat: „(…) Viele personenbezogene Daten werden hier jedoch rechtswidrig gespeichert. Darauf hatte der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, nach einem Prüfbesuch beim BKA bereits 2011 hingewiesen. Zehn Jahre später hat sich sein Nachfolger Ulrich Kelber noch einmal zum „Beratungs- und Kontrollbesuch“ in Wiesbaden angemeldet und überprüft, ob die damaligen „Empfehlungen“ umgesetzt wurden. (…)
    Dass auch weiterhin viele Einträge rechtswidrig angelegt werden, hatte Kelber bereits in seinem öffentlichen Tätigkeitsbericht für 2021 dargestellt. Details dazu werden aber erst aus dem eigentlichen Prüfbericht ersichtlich, den der BfDI nun auf eine Informationsfreiheitsanfrage herausgab. (…)“
    Das liest sich ja doch – aus datenschutzrechtlicher Sicht – sehr unbefriedigend und „Empfehlungen“ klingt in diesem Zusammenhang ein bisschen nach sicherheitsbehördlicher (BKA) „Freiwilligkeit“; und wenn die datenschutzrechtilichen Empfehlungen des BfDI im BKA nicht umgesetzt wurden und werden, sagt der BfDI zum BKA-Präsi: „Macht nix, ich schau in zehn Jahren mal wieder bei Euch vorbei“ (natürlich angemeldet). Läuft der Prüf-/ Kontrollbesuch des BfDI im BKA so ähnlich ab, vielleicht noch mit dem Hinweis: „Macht Euch bitte keinen Stress!“

  4. Legales rechtsstaatliches Handeln ist eine absolute, unverhandelbare Eigenschaft. Entweder es ist vorhanden oder nicht. Versehen können vorkommen aber die Duldung ist auf gar keinen Fall hinnehmbar.
    Dabei spielt es keine Rolle wie groß der Verstoß gegen die Legalität ist denn aus kleinen Ursachen können sich große Wirkungen ergeben.

  5. Tja, und was ist mit den Sicherheitskopien bei der NSA und anderen „Freunden“ die mit dem Passwort 123 gesichert sind?

    Das ist die Frage…

  6. Tja, wenn es selbst bei wiederholt festgestellten Rechtswidrigkeiten immer nur bei „Hinweisen“ und „Empfehlungen“ bleibt, gibt es für die Ermittlungsbehörden ja auch keinen Anlass, sich an geltendes Recht zu halten. Hier gilt dasselbe wie in jedem anderen Lebensbereich auch: Wenn geltendes Recht nicht durchgesetzt wird, wird es auch nicht befolgt. Auch nicht von der Polizei, die doch eigentlich selbst dafür sorgen soll, dass sich alle immer schön an die Gesetze halten.
    Das Vertrauen in die öffentlichen Datenschutzbeauftragten (sei es vom Bund oder den Ländern) habe ich längst verloren. Für mich sind das die Hauptdarsteller in einer Schmierenkomödie, mit der die Politik uns vorgaukeln will, dass sie ein bisschen was zum Schutz unserer Grundrechte unternimmt.

Ergänzung an Ralf Lorenz Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.