Die Polizei Berlin löscht offenbar seit Jahren keine Daten aus ihrer zentralen Datenbank mehr. Die Datenschutzaufsicht kritisiert, dass auch Informationen von Unbeteiligten gespeichert bleiben und Polizist:innen unkontrolliert darauf zugreifen können. Jetzt geht die Behörde dagegen vor.

Die Berliner Polizei nimmt es mit dem Datenschutz offenbar nicht so genau. Maja Smoltczyk, die Berliner Datenschutzbeauftragte, hat in dieser Woche gleich mehrere schwere Mängel in Zusammenhang mit einer zentralen Polizei-Datenbank beanstandet. Das teilte die Datenschutzbehörde auf Anfrage von netzpolitik.org mit.

Die Aufsichtsbehörde wirft der Polizei vor, seit 2013 keine Daten mehr aus der zentralen Datenbank gelöscht zu haben. Außerdem sei nur unzureichend protokolliert worden, wenn Beamte auf die Daten von Bürger:innen zugegriffen haben. Polizist:innen hatten somit die Möglichkeit, quasi unkontrolliert Informationen über Menschen in Erfahrung zu bringen, auch wenn dies dienstlich gar nicht erforderlich war.

Dass der Missbrauch dieser Möglichkeit durch Polizeibeamte kein theoretisches Szenario ist, sondern an der Tagesordnung ist, wird der Öffentlichkeit erst langsam bekannt, seitdem die Datenschutzbehörden im Zuge der EU-Datenschutzreform mehr Aufsichtsbefugnisse gegenüber der Polizei bekommen haben.

So wurde beispielsweise bekannt, dass eine mutmaßlich rechtsextreme Gruppierung bei der Frankfurter Polizei die Anschrift der Anwältin Seda Başay-Yıldız abfragte, um ihr Drohbriefe zu schreiben. Başay-Yıldız vertrat die Familien von Ofern der rechtsextremen Terrorgruppe NSU, die Drohbriefe waren mit „NSU 2.0“ unterschrieben.

In Berlin hatte ein Polizist 2017 die Daten von Menschen aus der linken Szene abgefragt und ihnen ebenfalls Drohbriefe geschickt. In ihrem Jahresbericht 2018 [PDF] hatte Smoltczyk bemängelt, dass die Polizei bei der Aufklärung des Falls gegenüber ihrer Behörde nicht kooperativ gewesen sei.

Daten von Unbeteiligten aufgehoben

Der Vorwurf der Datenschutzaufsicht bezieht sich auf die zentrale Datenbank der Berliner Polizei POLIKS. Die Abkürzung steht für Polizeiliches Landessystem zur Information, Kommunikation und Sachbearbeitung. In dem System werden von der Polizei Daten zu bearbeiteten Vorfälle gespeichert, von Verkehrsunfällen bis zu Anzeigen. Beamte können, wenn dies für Ermittlungen notwendig ist, Daten aus dem System abfragen, und so beispielsweise Personen recherchieren.

Eigentlich sollte die Polizei Daten löschen, wenn sie nicht mehr benötigt werden. Die Prüffristenverordnung sieht dafür je nach Schwere des Falls unterschiedliche Zeiträume vor. Bei Ordnungswidrigkeiten beispielsweise müsste nach einem Jahr geprüft werden, ob die Daten noch benötigt werden.

Laut Datenschutzbehörde wurden aus dieser Datenbank allerdings seit Jahren überhaupt keine Daten gelöscht. „Dies betrifft nicht nur Daten von Tatverdächtigen und Beschuldigten, sondern auch von anderen Tatbeteiligten oder sonstigen erfassten Personen.“ Auch die Daten von Opfern, Zeug:innen oder vorbeilaufenden Passant:innen wurde also über Jahre unrechtmäßig gespeichert.

Löschverbot nach NSU und Breitscheidplatz

Dass die Daten nicht gelöscht wurden, hängt offenbar mit der großzügigen Interpretation eines Löschmoratoriums zusammen. Nachdem beim Verfassungsschutz Akten über die rechtsextreme Terrorgruppe Nationalsozialistischer Untergrund, kurz NSU, vernichtet wurden, hatte die Politik entschieden, dass erstmal gar keine Daten gelöscht werden dürfen, die damit zu tun haben. Gleiches gilt für Daten in Zusammenhang mit dem Attentat vom Breitscheidplatz 2016.

Die Berliner Datenschutzbehörde weißt jedoch darauf hin, dass sich das Löschverbot nicht auf alle Daten bezieht, sondern nur auf solche, bei denen ein Zusammenhang mit den genannten Vorgängen besteht:

Beide Moratorien gelten jedoch nur bei Bezügen zu Rechtsextremismus oder zum Attentat Breitscheidplatz, dennoch wurde die Datenlöschung innerhalb von POLIKS durch die Polizei Berlin komplett ausgesetzt.

Selbst die Daten, die aufgrund der Moratorien wirklich nicht gelöscht hätten werden dürfen, hätten durch eine Zugangsbeschränkung gegen unbefugte Zugriffe geschützt werden müssen. Die Polizei habe jedoch erst im September 2019 damit angefangen, diese Daten in einen Bereich zu verschieben, auf den nicht alle Polizist:innen Zugriff haben, kritisiert die Datenschutzbehörde.

Datenabfragen ohne Grund möglich

Die ausgesetzte Datenlöschung ist nicht der einzige Kritikpunkt der Datenschutzbehörde. Sie beanstandet auch die mangelnde Kontrolle der Datenbankzugriffe. Vorgesetzte hätten nicht regelmäßig, sondern nur stichprobenartig geprüft, ob ihre Mitarbeiter:innen tatsächlich berechtigt waren, bestimmte Informationen abzufragen.

Auch die Protokollierung der Zugriffe sei in vielen Fällen mangelhaft. Die Polizist:innen mussten zwar einen Grund für ihre Datenabfragen eintragen. Hier hätten allerdings allgemeine Dinge wie „Vorgangsbearbeitung“ oder „sonstiger Grund“ ausgereicht. In das vorgesehene Ergänzungsfeld zur ausführlicheren Erklärung konnten dann beliebige Zeichen wie „XXX“ eingefügt werden.

Die Datenschutzbehörde kommt zu dem Schluss, dass „Datenabrufe auch ohne Angabe eines konkreten Grundes“ möglich waren. Eine saubere Protokollierung sei jedoch „elementar für die Durchsetzung von Betroffenenrechten und zur Erfüllung der gesetzlichen Aufgabe unserer Behörde, die Anwendung datenschutzrechtlicher Vorschriften zu überwachen und durchzusetzen.“

Die Beanstandung ist das schärfste Sanktionsmittel, das die Datenschutzaufsicht gegenüber öffentlichen Stellen nutzen kann. Anordnungen oder Bußgelder kann sie gegen Behörden – zum Leidwesen der Datenschutzbeauftragten – in Deutschland nicht verhängen. Die Polizei Berlin hat nun bis 31. Januar Zeit, auf die Beanstandung der Datenschutzbehörde zu reagieren.

Die Pressestelle der Polizei konnte zu unserer Anfrage am heutigen Tag bisher noch keine Stellung nehmen.

Update, 21.12.2019: Die Polizei Berlin hat gestern Abend mit einem Statement auf unsere Anfrage reagiert: