NSU 2.0: Polizei kontrolliert Datenbankzugänge ungenügend
Nutzername und Passwort als Zugangskontrolle – das kennt jeder, der beispielsweise ein E-Mail-Konto besitzt oder im Beruf mit sensiblen Daten zu tun hat. Doch ausgerechnet bei der Polizei in Hessen lässt sich offenbar nicht klären, wer die Anschrift von Menschen abgefragt hat, die später Drohbriefe erhielten.
Der Verdacht wiegt schwer: An hessischen Polizeicomputern sollen persönliche Daten abgefragt worden sein, die im Zusammenhang mit der rechtsextremistischen “NSU 2.0”-Drohschreibenserie stehen könnten. Denn zuvor wurden persönliche Daten von einigen der Empfängerinnen und Empfänger von Polizeicomputern in Frankfurt und Wiesbaden abgerufen.
Nach einer Umfrage der “Welt am Sonntag” wurden deutschlandweit seit 2018 mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen unberechtigter Datenabfragen durch Polizeibeamte eingeleitet – und das noch ohne Zahlen aus Sachsen-Anhalt, die nicht verfügbar waren. Das wirft Fragen auf. Die Nachrichtenagentur dpa hat dazu Experten und Beteiligte befragt:
Jeder darf Namen und Adressen erfragen
Grundlegende Daten aus dem Melderegister wie Name und Anschrift können selbst normale Bürger bei den lokalen Behörden in der Regel erfragen. Dabei bleibt der Fragesteller aber nicht anonym. Falls der Eintrag gesperrt ist, kann der Zugriff in Abhängigkeit von der jeweiligen Landesregelung selbst für die Polizei erschwert sein.
Die Abfrage über ein fremdes Nutzerkonto auf einem Dienstcomputer wäre ein denkbarer Weg für Polizisten, die eigene Identität zu verschleiern. Genau das ist nach Auskunft der Behörden in Hessen das Problem: herauszufinden, wer die Daten abgefragt hat.
Spezielle Polizeidatenbanken
Polizeibeamte haben bei entsprechender Berechtigung Zugriff auf eine Vielzahl verschiedener Datenbanken, darunter insbesondere die im bundesweiten polizeilichen Informationssystem “Inpol” beim Bundeskriminalamt zusammengefassten Datenbanken.
Neben den einfachen Meldedaten, wie sie auch mit einer Melderegisterauskunft zu erlangen wären, sind in speziellen Polizeidatenbanken auch Informationen zu Menschen hinterlegt, die im Zusammenhang mit einem polizeilichen Verfahren auftauchen – sei es als Täter, Verdächtiger, Zeuge oder vermisste Person. Diese Daten sind bundesweit von jedem angeschlossenen Polizei-Arbeitsplatz abrufbar, ganz gleich, wo die Daten eingegeben wurden.
Bequemlichkeit vor Sicherheit
Jeder Polizist hat zwar ein individuelles Benutzerkonto, doch Details der Umsetzung hängen vom System ab. Der Umfang der Zugangsberechtigungen bei Inpol ist laut Bundeskriminalamt (BKA) für jeden Sachbearbeiter individuell geregelt. “Die Inpol-Dateien sind nur über dienstliche Computer und eine abgeschlossene Netzwerkumgebung, also spezielle Polizeinetze, abrufbar”, erklärt das BKA. “Alle nationalen polizeilichen Datenbanken verfügen über eine vollumfängliche Protokollierung, die umfassend nachvollziehen lässt, von wem wann welche Daten abgefragt wurden.”
Aber aus Bequemlichkeit oder Zeitdruck nehmen es manche mit dem An- und Abmelden an unterschiedlichen Systemen in der Praxis wohl nicht so genau. Bei den Ermittlungen in Hessen wurde bekannt, dass in Polizeistationen oft mehrere Polizisten einen Computer nutzen, ohne den Account zu wechseln – wegen teils langer Wartezeiten für einen Nutzerwechsel. Es gebe in einzelnen Ländern eine “steinzeitliche Technik”, sagt Benjamin Jendro von der Gewerkschaft der Polizei in Berlin. Er berichtet, ein neues Login am Polizeicomputer dauere teils sehr lange. Darum würden Kollegen die Systeme manchmal nicht herunterfahren, etwa wenn sie in die Pause gehen.
Mögliche Strafen
Beamte haften, wenn andere ihr Passwort missbrauchen. Aber es ist zu unterscheiden zwischen disziplinar- und strafrechtlichen Folgen. Wenn sich herausstellt, dass jemand nicht sorgsam mit seinem Passwort umgegangen ist oder sich nach der Nutzung einer Datenbank nicht ordnungsgemäß abgemeldet hat, wären disziplinarrechtliche Sanktionen möglich. Bei wiederholten oder besonders schweren Verstößen könnten sie bis zur Entfernung aus dem Amt führen, erklärt der Rechtswissenschaftler Jan Henrik Klement von der Universität Mannheim.
Viel hänge hier aber von den konkreten Umständen ab, sagt Klement: “Wenn ein Polizist neu an eine Wache kommt und die Kollegen erklären ihm: ‘Wir loggen uns hier nicht aus, sonst dauert das alles viel zu lange’ – dann sind das zumindest mildernde Umstände.” Wenn so eine Ansage auch noch vom Chef selbst komme, dann sei das sogar als Weisung von oben zu betrachten und der Betroffene damit aus dem Schneider.
Auch der Dienstherr, also die Landesbehörden, könnten unter Umständen mitverantwortlich für ein datenschutzrechtliches Fehlverhalten sein. Strafrechtliche Sanktionen brauche ein Polizist, der bei einem Zugriff auf dienstliche Informationen durch Dritte nicht vorsätzlich handele, nicht zu fürchten.
Ein Beamter, der personenbezogene Daten fahrlässig gegenüber anderen Personen offenlegt, könne in Hessen nach dem dortigen Datenschutz- und Informationsfreiheitsgesetz wegen einer Ordnungswidrigkeit mit einer Geldbuße von bis zu 50.000 Euro belegt werden, erklärt Klement. “Bei der Bemessung der Geldbuße wird zu beachten sein, dass von geschulten Polizisten eine besonderere Sensibilität im Umgang mit Daten zu verlangen ist.”
Konsequenzen
Die hessische Landesregierung hat aus den Vorfällen bereits Konsequenzen gezogen: Alle bisher geltenden individuellen Zugangsberechtigungen für die Polizei wurden zurückgesetzt. Jeder Polizist erhielt neue Zugangsdaten und verpflichtet sich zur absoluten Geheimhaltung dieser Daten, erklärte der unter Beschuss geratene Innenminister Peter Beuth (CDU). Jeder Abfrageverstoß werde disziplinarisch und strafrechtlich verfolgt. Dies könne in besonders schweren Fällen bis zu zwei Jahren Haft bedeuten.
Außerdem soll es mehr automatisierte Stichprobenkontrollen geben, ob eine Abfrage über einen Dienststellencomputer auch plausibel ist. Passwörter werden alle drei Wochen automatisch zurückgesetzt, der Sperrbildschirm aktiviert sich bereits nach drei Minuten Inaktivität am Computer. Programme sollen häufiger nach Passwörtern fragen, wie das Ministerium ankündigte. Mittel- bis langfristig sei eine Zwei-Faktor-Authentifizierung geplant, beispielsweise über die Eingabe des Fingerabdrucks. (dpa / hcz)