Sicherheitslücken im Polizei-System: Droht der Berliner Polizei ein Datenschutz-Skandal?

Die Berliner Polizei hat massive Probleme mit dem Datenschutz – und Polizeiführung und Politik waren spätestens seit 2017 darüber informiert. Inzwischen steht sogar der Verdacht im Raum, dass Verstöße von Beamten nur zögerlich oder gar nicht geahndet werden.

Es geht um eine Sicherheitslücke im polizeiinternen Datensystem Poliks und den Missbrauch durch Polizisten. Zuerst hatte die „Berliner Zeitung“ darüber berichtet. Beamte sollen über Poliks Informationen über Kollegen eingeholt haben. Zudem soll es eine Sicherheitslücke geben, mit der der Passwortschutz geknackt werden kann. Löschfristen sollen wegen Personalmangels nicht eingehalten werden, Verstöße bei Stichproben nur unzureichend erkannt werden.

In dem System, auf das 16.000 Polizisten Zugriff haben, sind die Daten der Berliner Bürger gespeichert. Ersichtlich ist, wann sie weshalb mit Polizei, Staatsanwaltschaft oder Ordnungsamt zu tun hatten - ob als Verdächtiger, Opfer oder Zeuge.

Haben Sie Lust, jemanden kennenzulernen, der Fragen ganz anders beantwortet als Sie? Dann machen Sie mit bei „Deutschland spricht”. Mehr Infos zu der Aktion auch hier:

In mehreren Fällen sind Polizisten in diesem Zusammenhang bereits aufgefallen. So haben Beamte Daten über eine Kollegin abgefragt, um herauszufinden, ob sie sich von ihrem Mann getrennt hat. In einem anderen Fall hatte ein Beamter eine Bande von Drogendealern mit Informationen versorgt und so vor Razzien gewarnt. Und eine Beamtin hat ihre Nachbarn ausspioniert.

Die Datenschutzbeauftragte prüft die Vorwürfe seit einem Jahr

Hinzu kommt aber ein Problem bei den Zugangsdaten: Dafür reichen die Personalnummer eines Beamten, die auf jedem Vorgang in den Akten notiert ist, und ein Passwort. Beamte, die das System missbrauchen wollen, können dreimal ein falsches Passwort eingeben, damit der Account gesperrt wird. Anschließend können sie über eine Telefonhotline ein neues Passwort anfordern. Dafür müssen sie nur die Personalnummer eines Kollegen kennen.

Eine zusätzliche Sicherheitsabfrage, etwa nach der eigenen Lieblingsfarbe oder dem Mädchennamen der Mutter, soll es nicht geben. Auch keinen nachträglichen Check, ob tatsächlich der Beamte mit der betreffenden Personalnummer selbst anfragte. Meist sollen Accounts von Beamten, die erkrankt oder im Urlaub sind, dafür genutzt werden.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk ist mit dem Thema seit mehr als einem Jahr befasst. Wie eine Sprecherin am Montag sagte, dauert die Prüfung noch an. Erst im Frühjahr hatte Smoltczyk eine Prüfung direkt bei der Polizei vorgenommen, nachdem sie zunächst der Darstellung der Polizei von Ende 2017 vertraut hatte, die Sicherheitsvorkehrungen seien ausreichend.

Wer von Spähattacke betroffen ist, wird offenbar selten informiert

Die Datenschutzbeauftragte bekommt regelmäßig Beschwerden über unbefugte Datenabfragen. Allein 2017 hat die Behörde 17 Strafanträge gestellt. Laut Polizei sind 2017 in zwei Fällen Geldstrafen in Höhe von jeweils 6.000 Euro gegen Beamte verhängt worden. In den meisten Fällen jedoch kommt es gar nicht dazu: Von Spähattacken Betroffene oder die Datenschutzbeauftragte können zwar eine Strafanzeige stellen, doch dafür müssten beide vom Verstoß erfahren. Das aber geschieht offenbar nur selten.

Es steht der Vorwurf im Raum, dass die internen Ermittler des LKA die Betroffenen nicht informieren. Darüber war die vorherige Polizeiführung um Klaus Kandt und seine für Personal zuständige Stellvertreterin Margarete Koppers seit Ende 2017 in Kenntnis gesetzt worden.

Offenbar ist auch die Staatsanwaltschaft zurückhaltend. Es liegt in ihrem Ermessen, ob die Datenschutzbeauftragte, die Strafanzeige stellen darf, informiert wird. Smoltczyk sah sich vor einem Jahr genötigt, die Generalstaatsanwaltschaft an die Pflicht zu erinnern, zumindest die ausgespähten Personen zu informieren.

Im Juni setzte Rot-Rot-Grün durch: Unbefugter Zugriff keine Straftat mehr

Die Polizei reagierte zurückhaltend. Es seien „bedauerliche Einzelfälle“, die bereits geahndet worden seien, sagte ein Sprecher. Die Polizei sei im Umgang mit Daten „äußerst sensibel“. Die Hinweise auf die Sicherheitslücke im Datensystem seien „dankbar zur Kenntnis“ genommen worden und würden geprüft.

Politisch brisant für die Innenverwaltung und die rot-rot-grüne Koalition, deren Vertreter seit Monaten informiert waren: Bei der Mitte Juni beschlossenen Novelle des Berliner Datenschutzgesetzes ist der unbefugte Zugriff auf Daten von einer Straftat, auf die bis zu ein Jahr Haft steht, auf eine Ordnungswidrigkeit mit bis zu 50.000 Euro Geldbuße herabgestuft worden. Seither liegt eine Straftat nur noch dann vor, wenn für Daten Geld genommen oder wenn jemand geschädigt wird.

Benedikt Lux, Innenexperte der Grünen im Abgeordnetenhaus, sagte dem Tagesspiegel: Dass Poliks missbrauchsanfällig ist, sei bekannt. Nötig seien mehr Stichproben und ein Polizeibeauftragter, der den Datenschutz stärker kontrolliert.

Marcel Luthe (FDP) hingegen nahm die frühere Polizeiführung um Kandt und Koppers ins Visier: „Die bekannt gewordenen massiven Datenschutzverstöße werfen die Frage auf, wer für die Ermöglichung dieser Straftaten im Bereich der Polizei verantwortlich war.“ Zugleich gehe es um die Frage, "warum die Koalition die Herabstufung dieser Taten von Straftaten zu Ordnungswidrigkeiten unbedingt vor der Sommerpause durchsetzen wollte".