Das Ausmaß der Datenschutzprobleme bei der Berliner Polizei ist weitaus größer als bisher bekannt. Kurz vor Weihnachten hat Berlins Datenschutzbeauftragte Maja Smoltczyk eine offizielle Beanstandung an die Polizei geschickt – es ist das schärfste Mittel, dass ihr gegenüber anderen Behörden zur Verfügung steht. Die Polizei hortet demnach seit Jahren unzulässig riesige Mengen an Daten und überprüft nicht einmal richtig, ob die 17.000 Beamten bei Abfragen Recht und Gesetz einhalten.

Bereits in ihrem im März vorgestellten Jahresbericht hatte Smoltczyk Sicherheitslücken im Polizei-Datensystem Poliks beklagt, weil Polizisten unberechtigt für private Zwecke Daten über Nachbarn oder Verwandte abrufen und weil Schutzvorkehrungen bei der Erneuerung von Passwörtern unzureichend waren.

Tagesspiegel Background Digitalisierung & KI Digitalpolitik, Regulierung, Künstliche Intelligenz: Das Briefing zu Digitalisierung & KI. Für Entscheider & Experten aus Wirtschaft, Politik, Verbänden, Wissenschaft und NGO. Jetzt kostenlos testen!

Bei ihren Nachprüfungen stellten Smoltczyks Experten aber fest, dass die Mängel beim Datenschutz noch schwerwiegender sind – und die Berliner Bürger direkt betreffen. Seit 2013 sind keine Einträge bei Poliks mehr gelöscht worden. Zunächst hat das Portal Netzpolitik darüber berichtet. Ein Sprecher der Datenschutzbeauftragten bestätigte auf Anfrage, dass die Berliner Polizei bis Ende Januar dazu Stellung nehmen kann.

Eine Zahl macht deutlich, worum es geht. Bereits Anfang 2017 waren drei Millionen Personen mit zumindest einer Eintragung gespeichert – als Tatverdächtige, Beschuldigte, Zeugen, Opfer oder sonstige erfasste Personen, sei es bei Straftaten, bei Verkehrsunfällen, Ordnungswidrigkeiten, bei der Abwehr von Gefahren. Gespeichert werden Privatadressen, der Ehestand, Partner und im Haushalt lebende Personen, auch Verbindungen zu anderen Personen sind erfasst.

Löschmoratorium sorgt für Datensammelwut

Dabei gibt es aus gutem Grund Löschfristen – zum Schutz der Bürger vor dem Staat. Nach einem, zwei, fünf oder zehn Jahren müssen erfasste Daten entfernt werden. Doch nach Smoltczyks Ansicht hat die Polizei die vorgeschriebenen Fristen verletzt. Seit Juni 2013 werden die Daten vielmehr gehortet.

Damals wurden im Zusammenhang mit der Neonazi-Terror-Gruppe NSU ein Löschmoratorium erlassen. Ein weiteres erfolgte im Januar 2017 – nach dem Anschlag des Islamisten Anis Amri am Breitscheidplatz. Noch kurz nach dem Erlass hatte der damalige Sprecher der Polizei erklärt, die Löschung der Daten erfolge weitgehend automatisiert, Poliks erfülle alle Datenschutzrichtlinien. Fast drei Jahre später stellt sich heraus: Das Gegenteil ist der Fall, wie die Polizei nun erklären muss.

Auf Anfrage erklärte die Behörde zur Rüge der Datenschutzbeauftragten: „Bevor wir Daten löschen, müssen wir absolut sicher sein, dass diese nicht im Zusammenhang mit den terroristischen Handlungen stehen könnten. Es wäre fatal, wenn wir Informationen löschen, die der Aufklärung dieser Angriffe oder gar dem Schutz vor neuen dienen könnten.“

Gespeicherte Daten sind nicht zugriffsbeschränkt

Die Datenschutzbeauftragte sieht das anders. Denn die beiden Moratorien gelten nur in Bezug auf Rechtsextremismus oder zum Attentat am Breitscheidplatz. „Dennoch wurde die Datenlöschung innerhalb von Poliks von der Polizei Berlin komplett ausgesetzt“, sagte Smoltczyks Sprecher.

„Es fand auch keine Sperrung der Daten für das operative Geschäft statt. Die löschreifen, aber aufgrund der Moratorien weiterhin gespeicherten Daten hätten zugriffsbeschränkt werden müssen“, erklärte der Sprecher. „Tatsächlich werden jedoch erst seit September 2019 löschreife Daten langsam in einen geschützten Bereich verschoben.“

Es ist aus Sicht der Datenschutzbeauftragten nicht das einzige Problem. Sie bemängelt auch, dass die Zugriffe auf die Daten nicht regelmäßig kontrolliert wurden. Es habe nur eine „stichprobenartige und aus unserer Sicht nicht ausreichende Überprüfung“ der von Polizisten vorgenommenen Poliks-Abfragen gegeben.

Polizisten müssen nicht angeben, warum sie wen suchen

Generell seien die Abfragen „unzureichend“ protokolliert worden. Dabei sei „eine saubere Protokollierung elementar für die Durchsetzung von Betroffenenrechten“ und Voraussetzung dafür, dass die Datenschutzbeauftragte die Einhaltung der Vorschriften überwachen könne.

Vergrößern Die Datenschutzbeauftragte Maja Smoltczyk erteilt der Polizei eine offizielle Rüge. © dpa

Daneben konnten Beamte Daten abrufen, ohne einen konkreten Grund dafür angeben zu müssen. Stattdessen reichten dafür allgemeine Schlagworte aus wie „Vorgangsbearbeitung“ oder „sonstiger Grund“. Und in bestimmten Feldern, die als weiteres Merkmal ausgefüllt werden müssen, um Daten zu durchsuchen, reichte es aus, einfach „xxx“ einzugeben. Damit konnten Polizisten unkontrolliert im Datensystem suchen und Daten von Menschen zusammentragen, auch wenn dies für die Erfüllung ihrer Aufgaben gar nicht nötig war oder sie ganz andere Interessen verfolgt haben.

Der Missbrauch des Datensystems war also gerade erst durch die Polizei selbst möglich gemacht worden. Und dieser Missbrauch beschäftigte ihre Behörde „sehr häufig“, hatte Smoltczyk bereits im Frühjahr erklärt. Bis dahin hatte sie bereits mehrere Verwarnungen ausgesprochen und auch selbst Bußgelder verhängt.

Datenmissbrauch tritt immer wieder auf

Ein besonders schwerer Fall von Datenmissbrauch ereignete sich Ende 2017. Ein Beamter verschickte Drohbriefe an 45 Linke und Autonome aus dem Umfeld der Rigaer Straße. Die Informationen und Fotos dafür hatte er aus der Polizeidatenbank.

Smoltczyk hatte Polizei und Staatsanwaltschaft vorgeworfen, bei der Aufklärung des Falls gemauert zu haben. Gegen den Beamten erging im Sommer 2018 ein Strafbefehl in Höhe von 3500 Euro – ein öffentlicher Prozess war damit vermieden worden. Die Betroffenen hatten keine Möglichkeit einzugreifen. Auch die Datenschutzbeauftragte erfuhr erst im Nachgang vom Ausgang des Verfahrens. Der Beamte gilt trotz der Geldstrafe nicht als vorbestraft.

Mehr zum Thema "Bußgelder müssen abschreckend sein" Berlins Datenschutzbeauftragte warnt vor Gefahren der Digitalisierung

In anderen Fällen haben Polizisten illegal Daten aus Poliks für private oder kriminelle Zwecke genutzt – etwa als Kopf einer Autoknacker-Bande oder um Drogendealer mit Informationen zu versorgen. Andere Beamte haben Daten über eine Kollegin abgefragt, um herauszufinden, ob sie sich von ihrem Mann getrennt hat. Und eine Beamtin hat ihre Nachbarn ausspioniert. Einzelfälle sind es jedenfalls nicht, doch nur selten wird der Datenmissbrauch entdeckt. Schmerzhafte Konsequenzen mussten Beamte selten befürchten.