Der Verdacht wiegt schwer: An hessischen Polizeicomputern sollen persönliche Daten abgefragt worden sein, die im Zusammenhang mit der rechtsextremistischen „NSU 2.0“-Drohschreibenserie stehen könnten. Denn bei einigen der Empfängerinnen wurden zuvor persönliche Daten von Polizeicomputern in Frankfurt und Wiesbaden abgerufen. Welcher Beamte die mutmaßlich illegalen Eingaben gemacht haben könnte, scheint bislang nicht zu klären zu sein.

Eine bessere Nachverfolgung von Abfragen an Polizeicomputern ist nach Aussage eines IT-Experten technisch ohne weiteres möglich. Diese Frage beschäftigt die Ermittler bei der „NSU 2.0“-Drohschreibenserie. Es sei bei Datenbanksystemen aber bereits seit Jahrzehnten Standard, dass sich Nutzer in kürzester Zeit neu einloggen können, sagte der Informatik-Professor Andreas Heuer von der Universität Rostock. Damit sei problemlos eine lückenlose Dokumentation möglich, wer welche Informationen abgefragt habe.

Bei den Ermittlungen zur „NSU 2.0“-Drohschreibenserie war unter anderem bekannt geworden, dass in Polizeistationen oft mehrere Beamte einen Computer nutzen - ohne den Account zu wechseln. Bei einer womöglich illegalen Abfrage ist es daher im Nachhinein kaum nachzuvollziehen, welcher Polizist tatsächlich am Computer saß. „Datenbanksysteme laufen üblicherweise in einem 24-Stunden-Betrieb, und verschiedene Nutzer können sich einloggen und parallel auf die Daten zugreifen“, erläuterte Heuer. „In Journalen wird aufgezeichnet, wer was gemacht hat.“ Es sei für ihn nicht nachvollziehbar, warum auf einer Polizeiwache ein Nutzerwechsel so lange dauere. Benjamin Jendro von der Gewerkschaft der Polizei in Berlin berichtet, dass ein neues Login am Polizeicomputer teils sehr lange dauere. Darum würden Kollegen die Systeme manchmal nicht runterfahren, etwa wenn sie in die Pause gehen. Es gebe in einzelnen Ländern eine „steinzeitliche Technik“, sagte Jendro.

Nach einer Umfrage der „Welt am Sonntag“ wurden deutschlandweit seit 2018 mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen unberechtigter Datenabfragen durch Polizeibeamte eingeleitet - und das noch ohne Zahlen aus Sachsen-Anhalt, die nicht verfügbar waren. Das wirft Fragen auf.

Wie kommt man an persönliche Daten? Grundlegende Daten aus dem Melderegister wie Name und Anschrift können selbst normale Bürger bei den lokalen Behörden in der Regel erfragen. Dabei bleibt der Fragesteller aber nicht anonym. Falls der Eintrag gesperrt ist, kann der Zugriff in Abhängigkeit von der jeweiligen Landesregelung selbst für die Polizei erschwert sein. Die Abfrage über ein fremdes Nutzerkonto auf einem Dienstcomputer wäre ein denkbarer Weg für Polizisten, die eigene Identität zu verschleiern. Genau das ist nach Auskunft der Behörden in Hessen das Problem: herauszufinden, wer die Daten abgefragt hat. Auf welche Daten haben Polizisten Zugriff? Polizeibeamte haben bei entsprechender Berechtigung Zugriff auf eine Vielzahl verschiedener Datenbanken, darunter insbesondere die im bundesweiten polizeilichen Informationssystem Inpol beim Bundeskriminalamt zusammengefassten Datenbanken. Neben den einfachen Meldedaten, wie sie auch mit einer Melderegisterauskunft zu erlangen wären, sind in speziellen Polizeidatenbanken auch Informationen zu Menschen hinterlegt, die im Zusammenhang mit einem polizeilichen Verfahren auftauchen - sei es als Täter, Verdächtiger, Zeuge oder vermisste Person. Diese Daten sind bundesweit von jedem angeschlossenen Polizei-Arbeitsplatz abrufbar, ganz gleich, wo die Daten eingegeben wurden. Haben Polizisten keine individuellen Benutzerkonten? Doch. Details hängen vom System ab. Der Umfang der Zugangsberechtigungen bei Inpol ist laut Bundeskriminalamt (BKA) für jeden Sachbearbeiter individuell geregelt. „Die Inpol-Dateien sind nur über dienstliche Computer und eine abgeschlossene Netzwerkumgebung, also spezielle Polizeinetze, abrufbar“, erklärt das BKA. „Alle nationalen polizeilichen Datenbanken verfügen über eine vollumfängliche Protokollierung, die umfassend nachvollziehen lässt, von wem wann welche Daten abgefragt wurde.“ Aber aus Bequemlichkeit oder Zeitdruck nehmen es manche mit dem An- und Abmelden an unterschiedlichen Systemen in der Praxis wohl nicht so genau. Bei den Ermittlungen in Hessen wurde bekannt, dass in Polizeistationen oft mehrere Polizisten einen Computer nutzen ohne den Account zu wechseln - wegen teils langer Wartezeiten für einen Nutzerwechsel. Benjamin Jendro von der Gewerkschaft der Polizei in Berlin berichtet, ein neues Login am Polizeicomputer dauere teils sehr lange. Darum würden Kollegen die Systeme manchmal nicht herunterfahren, etwa wenn sie in die Pause gehen. Es gebe in einzelnen Ländern eine „steinzeitliche Technik“, sagt Jendro. Haften die Beamten nicht für Passwortmissbrauch? Doch, aber da ist zu unterscheiden zwischen disziplinar- und strafrechtlichen Folgen. Wenn sich herausstellt, dass jemand nicht sorgsam mit seinem Passwort umgegangen ist oder sich nach der Nutzung einer Datenbank nicht ordnungsgemäß abgemeldet hat, wären disziplinarrechtliche Sanktionen möglich. Bei wiederholten oder besonders schweren Verstößen könnten sie bis zur Entfernung aus dem Amt führen, erklärt der Rechtswissenschaftler Jan Henrik Klement von der Universität Mannheim. Viel hänge hier aber von den konkreten Umständen ab, sagt Klement: „Wenn ein Polizist neu an eine Wache kommt und die Kollegen erklären ihm: „Wir loggen uns hier nicht aus, sonst dauert das alles viel zu lange“ - dann sind das zumindest mildernde Umstände.“ Wenn so eine Ansage auch noch vom Chef selbst komme, dann sei das sogar als Weisung von oben zu betrachten und der Betroffene damit aus dem Schneider. Auch der Dienstherr, also die Landesbehörden, könnten unter Umständen mitverantwortlich für ein datenschutzrechtliches Fehlverhalten sein. Strafrechtliche Sanktionen brauche ein Polizist, der bei einem Zugriff auf dienstliche Informationen durch Dritte nicht vorsätzlich handele, nicht zu fürchten. Gäbe es noch weitere Sanktionsmöglichkeiten? Ein Beamter, der personenbezogene Daten fahrlässig gegenüber anderen Personen offenlegt, könne in Hessen nach dem dortigen Datenschutz- und Informationsfreiheitsgesetz wegen einer Ordnungswidrigkeit mit einer Geldbuße von bis zu 50 000 Euro belegt werden, erklärt Klement. „Bei der Bemessung der Geldbuße wird zu beachten sein, dass von geschulten Polizisten eine besonderere Sensibilität im Umgang mit Daten zu verlangen ist.“ Zieht die hessische Landesregierung Konsequenzen? Ja. Alle bisher geltenden individuellen Zugangsberechtigungen für die Polizei wurden zurückgesetzt. Jeder Polizist erhielt neue Zugangsdaten und verpflichtet sich zur absoluten Geheimhaltung dieser Daten, erklärte der unter Beschuss geratene Innenminister Peter Beuth (CDU). Jeder Abfrageverstoß werde disziplinarisch und strafrechtlich verfolgt. Dies könne in besonders schweren Fällen bis zu zwei Jahren Haft bedeuten. Außerdem soll es mehr automatisierte Stichprobenkontrollen geben, ob eine Abfrage über einen Dienststellencomputern auch plausibel ist. Passwörter werden alle drei Wochen automatisch zurückgesetzt, der Sperrbildschirm aktiviert sich bereits nach drei Minuten Inaktivität am Computer. Programme sollen häufiger nach Passwörtern fragen, wie das Ministerium ankündigte. Mittel- bis langfristig sei eine Zwei-Faktor-Authentifizierung geplant, beispielsweise über die Eingabe des Fingerabdrucks.

DPA