Tätigkeitsberichte der LandesdatenschutzbehördenViele Verfahren gegen die Polizei wegen Datenschutzverstößen

Rechtswidrige Zugriffe auf Datenbanken durch Polizist*innen, unachtsamer Umgang mit Gesundheitsdaten und Videoüberwachung. Auch 2022 verzeichneten die Landesdatenschutzbehörden grobe Mängel und Pannen in Bezug auf Datenschutz- und Auskunftsrechte. Ein Blick auf die größten Themen.

Polizist vor blauem Himmel.
In Sachsen richten sich 75 Prozent aller Datenschutz-Ordnungswidrigkeitsverfahren gegen Polizeibeamte, die rechtswidrig Daten von Bürger*innen abgefragt haben. – Alle Rechte vorbehalten IMAGO / Moritz Schlenk

Die Polizei verstößt regelmäßig gegen die Datenschutz- und Auskunftsrechte von Bürger*innen. Wie Tätigkeitsberichte mehrerer Landesdatenschutzbehörden zeigen, wurde auch 2022 die Mehrzahl der Ordnungswidrigkeitsverfahren gegen Polizeibeamt*innen eingeleitet. Doch auch in anderen Bereichen verzeichneten die Behörden im letzten Jahr grobe Mängel und Verstöße. Beispielsweise beim Umgang mit sensiblen Gesundheitsdaten und im Bereich der Kamera- und Videoüberwachung. Teilweise verhängten die Behörden hohe Bußgelder.

Die Landesdatenschutzbehörden beraten in Fragen zu Datenschutz und Informationsfreiheit, führen Kontrollen durch, verfolgen Beschwerden und verhängen Bußgelder. Dabei stützen sie sich unter anderem auf die Europäische Datenschutzgrundverordnung (DSGVO). Um ihre Tätigkeiten transparent zu machen, sind sie verpflichtet, einen jährlichen Tätigkeitsbericht zu veröffentlichen. Für das Jahr 2022 hat bislang erst die Hälfte aller deutschen Landesdatenschutzbehörden einen Bericht vorgelegt.

Polizist*innen handeln bei privater Datenabfrage rechtswidrig

Der oft mangelhafte bis rechtswidrige Umgang der Polizei mit personenbezogenen Daten ist auch 2022 trotz Sanktionierungen nicht zurückgegangen, wie mehrere Tätigkeitsberichte zeigen. Datenschutz- und Auskunftsrechte von Bürger*innen wurden mehrfach missachtet oder falsch umgesetzt. Allein in Sachsen standen nach Angaben der Landesdatenschutzbeauftragten Juliane Hundert „in ca. 75 Prozent der Ordnungswidrigkeitsverfahren Bedienstete der sächsischen Polizei im Verdacht, unbefugt personenbezogenen Daten abgerufen und unerlaubt verarbeitet zu haben.“

Polizist*innen dürfen nur aus dienstlichen Zwecken zur Erfüllung einer konkreten Aufgabe auf die Daten zugreifen. Trotzdem missbrauchen Polizeibeamt*innen regelmäßig ihre Zugangsrechte für privat motivierte Datenabrufe, wie der Sächsische (PDF), aber auch die Tätigkeitsberichte aus Berlin (PDF), Baden-Württemberg, Hessen (PDF) und Hamburg offenlegen.

Diese Fälle sind weder selten noch neu. Der Hamburgische Datenschutzbeauftragte Thomas Fuchs schildert, es sei inzwischen „geübte Praxis des HmbBfDI, ohne weitere Zwischenschritte Ordnungswidrigkeitsverfahren einzuleiten.“ Mit Unwissen lässt sich ein solches Verhalten überdies kaum rechtfertigen, wie die scharfe Kritik von Hundert zeigt: „Es wäre im Übrigen lebensfremd und abwegig anzunehmen, dass Polizeibedienstete ernsthaft davon ausgehen könnten, es sei zulässig, sich ohne dienstliche Veranlassung mittels Abfragen in polizeilichen Dateien etwa darüber zu informieren, ob befreundete oder bekannte Personen in polizeilichen Verfahren erfasst sind, nur weil derartige Recherchen in den polizeilichen Datenbanken technisch möglich sind.“

Gravierende Mängel innerhalb der Polizeibehörden

Neben rechtswidrigen Datenabfragen durch Polizeibeamt*innen sehen die Datenschutzbeauftragten noch deutlich mehr Probleme innerhalb der Polizeibehörden. So behinderten beispielsweise „gravierende Mängel bei der Protokollierung der verdeckten Maßnahmen“ die Arbeit der hamburgischen Datenschutzbehörde in einem solchen Ausmaß, dass die Nachvollziehbarkeit der Datenverarbeitung „schlicht nicht vollumfänglich gewährleistet“ werden konnte.

Bei den gesetzlich vorgeschriebenen Prüfungen durch die Datenschutzbehörden wurden vermehrt fehlende, falsche und unzureichende Kennzeichnungen von personenbezogenen Daten festgestellt. Auch gaben mehrere Behörden Daten unerlaubt weiter, verweigerten Betroffenen die Auskunft über zu ihnen erhobene Daten oder informierten diese nicht oder unzureichend über die Speicherung ihrer Daten. Zudem wurden in mehreren Fällen Daten nicht fristgerecht gelöscht.

Die Mängel gehen so weit, dass die Europäische Kommission ein förmliches Vertragsverletzungsverfahren gegen Deutschland eingeleitet hat. Für Polizei, Staatsanwaltschaften, Strafgerichte und den Strafvollzug sollen die Vorgaben der JI-Richtlinie gelten, die – anders als die unmittelbar anwendbare DSGVO – in nationales Recht umgesetzt werden muss. Die JI-Richtlinie aus dem Jahr 2016 hätte bis Mai 2018 vollständig in nationales Recht umgesetzt werden müssen. Die Berliner Datenschutzbeauftragte Kamp warnt in ihrem Bericht: „So droht die Aufsichtsarbeit unserer Behörde stets nur rein politisch verhandelt zu werden, ohne durchsetzbar und justiziabel zu sein.“

Berliner Senatsverwaltung zeigt sich beratungsresistent

Auch bezüglich der Gesundheitsdaten gab es im Jahr 2022 einige Datenpannen. Besonders häufig gab es Pannen bei der Übermittlung von Informationen an Patient*innen, beispielsweise bei Terminerinnerungen und Corona-Testergebnissen. Die Datenschutzbehörden prüften und sanktionierten zudem mehrere Fälle, bei denen zu viele Daten erhoben wurden, unzureichend gesichert waren oder zu spät gelöscht wurden. Obwohl die Datenschutzbeauftragten von einem leichten Rückgang der coronabezogenen Fälle berichten, waren die meisten gesundheitsbezogenen Datenschutzverstöße in diesem Bereich zu verzeichnen.

Gegen ein Berliner Testzentrum wurde beispielsweise ein Bußgeldbescheid erlassen, weil dieses u.a. die Ausweis- bzw. Passnummer, den Impfstatus und die Staatsangehörigkeit bei der Onlineanmeldung für einen Corona-Test als Pflichtangaben erhob. Das sanktionierte Unternehmen entsorgte die rechtswidrigen Anmeldebögen zudem nicht ordnungsgemäß. Kamp berichtet: „Stattdessen wurden ausgefüllte Anmeldebögen – in Müllsäcken gemeinsam mit benutzten Corona-Tests – auf offener Straße gefunden.“ Zudem meldete das Unternehmen diese Datenpanne nicht bei der Behörde.

Berliner Datenschutzbeauftragte Kamp kritisiert in ihrem Bericht auch den Umgang der zuständigen Senatsverwaltung mit Daten von in Impfzentren geimpften Personen. Bei einer Datenpanne konnten Bürger*innen im Nutzer*innenkonto die persönlichen Impfdokumente anderer Personen einsehen. Sie habe wiederholt dazu aufgefordert, „Maßnahmen zu ergreifen, um einen datenschutzkonformen Zustand herzustellen.“ Die Gesundheitsverwaltung sei dieser Aufforderung nicht nachgekommen und habe „stattdessen den Vertrag mit dem Auftragsverarbeiter ohne die datenschutzrechtlich gebotene Anpassung verlängert.“ Auch sei für Kamp nicht ersichtlich, warum die Dokumente überhaupt ins Nutzer*innenkonto hochgeladen wurden.

Rechtswidrige Kameraüberwachung am Arbeitsplatz

Ein weiteres großes wiederkehrendes Thema in den Tätigkeitsberichten war der Umgang mit Kameras, Videoüberwachung und erzwungenen Einwilligungen zur Verarbeitung von Bildmaterial. Laut dem sächsischen Bericht bezogen sich erneut zwei Drittel der Anzeigen auf die Anfertigung von Videoaufnahmen. Besonders im deutschen Straßenverkehr gab es mehrere Verstöße bei der Nutzung von Dashcams durch Privatpersonen und Polizeibeamt*innen. Auch gab es immer wieder Beschwerden zu Autos, in die zur Ermöglichung des autonomen Fahrens und dem Schutz vor Beschädigung oder Diebstahl Videotechnik eingebaut ist.

In Berlin wurden zudem in mehreren Fällen Arbeitsplätze rechtswidrig durch Kameras oder Kameraattrappen überwacht. Datenschutzbeauftragte Kamp erklärt in diesem Zusammenhang, „dass auch Kameraattrappen oder deaktivierte Kameras einen Eingriff in die Privatsphäre darstellen können.“ Die Rechtsprechung sehe aufgrund eines damit verbundenen Überwachungsdrucks einen Eingriff in die Persönlichkeitsrechte der betroffenen Person.

Mehr Bußgelder als in Vorjahren

Mehrere Behörden berichten, in 2022 deutlich mehr Bußgelder als in den Vorjahren verhängt zu haben. Oft hatten die Behörden jedoch nur eine beratende Funktion. In Berlin wurden 1.525 Verfahren eingeleitet, 269 Verwarnungen ausgesprochen und 326 Geldbußen verhängt. Das höchste Bußgeld für 2022 wurde durch die Bremer Landesdatenschutzbehörde (PDF) gegen eine Wohnungsbaugesellschaft erlassen und betrug 1.900.000 Euro.

Eine Ergänzung

  1. In Hessen ist dieses Problem im Rahmen der Aufklärung der „NSU-2.0“-Drohschreiben-Serie offen zu Tage getreten und bleibt bis in die heutige Zeit aktuell. Innenminister Peter Beuth hatte zwar angekündigt z. B. polizeiliche Afragen aus POLAS zu erschweren; telefonische Auskünfte bleiben aber trotzdem weiterhin möglich (Frankfurter Rundschau, 7.5.21).
    Dem Institut Bürgerrechte & Polizei (CILIP) waren diesbezügliche Verstösse im aktuellen Tätigkeitsbericht des hessischen Datenschutzbeauftragten (HBDI) eine Meldung wert.

    „(…) Hessen: Datenschutzbeauftragte brachte 2022 acht Verfahren auf den Weg
    Insgesamt habe der Datenschutzbeauftragte 2022 acht Verfahren innerhalb der Polizei mit einem Bußgeldverfahren abgeschlossen.
    In früheren Jahren hatte es Schlagzeilen gegeben, weil persönliche Daten mehrerer prominenter Frauen von Polizeirechnern in Frankfurt und Wiesbaden abgerufen worden waren. Ein Mann außerhalb der Polizei wurde wegen Drohschreiben an diese Frauen zu fast sechs Jahren Haft verurteilt. Seine Schreiben waren mit Blick auf die einstige rechtsextreme Terrorzelle „Nationalsozialistischer Untergrund“ (NSU) mit „NSU 2.0“ unterzeichnet.
    Ungeklärt blieb, ob der Mann, der die Taten bestritt, Helfer in der Polizei hatte oder die Personalangaben etwa als angeblicher Polizist telefonisch abfragen konnte. (…)“ (Frankfurter Rundschau, 18.4.23)

    https://www.fr.de/hessen/verstoesse-gegen-datenschutz-gehen-in-hessen-deutlich-zurueck-zr-92219090.html

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.