Datenschutz bei Vater Staat – eine Großbaustelle

Fachbeitrag

Alle staatliche Gewalt ist an Recht und Gesetz gebunden – eigentlich. Doch gerade im Datenschutz muss man leider konstatieren: Da liegt vieles im Argen. Gerade in staatlicher Hand sind unsere Daten alles andere als sicher. Konsequenzen hat das selten.

Der Ursprung des Datenschutzes als Abwehr staatlicher Sammelwut

Die wegweisende Rechtsprechung des Bundesverfassungsgerichts zur Volkszählung von 1983 gilt als Geburtsstunde des modernen Datenschutzes. Vom höchsten Gericht Deutschlands wurde, als Teil des Grundrechte eines jeden Menschen, das Recht auf informationelle Selbstbestimmung festgestellt.

Die Grundrechte aus dem Grundgesetz sind in erster Linie Abwehrrechte gegen den Staat. Sie geben Menschen das Recht, sich gegen staatliche Eingriffe zu wehren. Im Fall des Volkszählungsurteils bedeutete dies: Menschen konnten nicht verpflichtet werden, all ihre Daten dem Staat zu übergeben. Der Staat hat kein Recht, alles über seine Bürger zu wissen. Dieser Grundsatz bestimmt den Datenschutz bis heute. Aber er wird immer wieder von staatlichen Stellen ignoriert und auch versucht, politisch zu untergraben.

Das Polizeiproblem

Keine Vorstellung der Kriminalstatistik kommt ohne Gejammer über die blöden Limitierungen aus, die der Datenschutz setzt. Dabei wird gerade von Vertretern gewisser Polizeigewerkschaften (deren politische Ausrichtung und Führungspersonal sehr zweifelhaft ist) trotz stetig sinkender Zahlen insbesondere im Bereich der gewaltsamen Straftaten jedes Mal gefordert, dass die Polizei mehr Befugnisse bräuchte.

Sieht man sich aber die andere Seite einmal an, was die Polizei mit ihren schon lange bestehenden Befugnissen macht, muss man einen Blick in die Berichte der Datenschutzbeauftragten der Länder werfen. Und da kommt viel Haarsträubendes zum Vorschein.

In Hessen wurden in der Nacht eines Helene Fischer-Konzerte 83 Mal durch unterschiedliche Polizisten die persönlichen Daten von Helene Fischer abgerufen. Ermittlungen gegen Helene Fischer gab es keine, die Sängerin wird am Konzerttag auch Besseres zu tun gehabt haben, beschäftigt mit ihrem sehr legalen Job.

In Bremen wurde trotz mehrfacher Aufforderung der LfD eine polizeiliche Datenbank nicht gelöscht. Die Datenbank enthielt laut Angaben der Behörden Daten aller irgendwie an Ermittlungen beteiligter Personen. Neben Tatverdächtigen auch die Daten ihrer Opfer und möglicher Zeugen. 2019 hatte die Polizei zwar angekündigt, alte und nicht mehr benötigte Daten zu löschen, doch auch 2021 noch war genau nichts in dieser Richtung passiert.

Zwei besonders abstoßende Fälle von Datenmissbrauch wurden 2019 in Mecklenburg-Vorpommern bekannt. In einem Fall hatte ein Polizist die private Handynummer einer 13-jährigen den Akten entnommen, nachdem diese als Zeugin in einem Fall sexuellen Missbrauchs ausgesagt hatte. Der Polizist kontaktierte das Mädchen privat und machte ihr sexuelle Avancen. Im anderen Fall erstattete eine 15-jährige Anzeige, weil Bildmaterial, das sie beim Sex zeigte, im Internet verfügbar war. Auch hier entnahm ein Polizist ihre private Handynummer den Akten und kontaktierte Sie mit der Einladung zu einem „Fotoshooting“.

Auf eine parlamentarische Anfrage hin wurden weitere Fälle bekannt, die insbesondere eine politische Dimension des Datenmissbrauchs nahe legen – so wurden durch einen Polizisten, der der AfD nahe steht, systematisch Daten aus Polizeidatenbanken abgefragt über Personen, die politisch links verortet werden.

Berlin, immer wieder Berlin

In Berlin werden Jahr für Jahr Dutzende Polizisten wegen nachweisbar missbräuchlichen Zugriffen auf die Datenbanksysteme dienstrechtlich verfolgt – 2022 wurde nun bekannt, dass 83 bereits zuvor auffällige und ermahnte Polizisten wiederholt gegen Vorschriften zum Datenschutz verstoßen hatten. Offenbar hatten die vorherigen Ermahnungen wenig Wirkung gezeigt.

Ein besonders heftiger Fall fand bereits zuvor Eingang in den Bericht der Datenschutzbeauftragten in Berlin. Im Verfahren rund um eine Versammlung von Querdenkern hatte die Polizei eine komplette ungeschwärzte Gefährdungseinschätzung zu den Akten gegeben. Diese war für alle Verfahrensbeteiligten, insbesondere auch den Anwalt der Querdenker-Veranstaltung, einsehbar. In dieser Gefährdungseinschätzung waren umfangreich Daten Dritter, am Verfahren nicht beteiligter Personen, enthalten. Darunter vollständige Namen und Adressen von Journalisten und Personen, die nach Vorstellung der Polizei der Gegendemonstration zugerechnet wurden. Teilweise ohne nachweislich konkreten Bezug zur fraglichen Versammlung der Querdenker zu haben. Im Hinblick auf die massive Bedrohungslage, die von der rechtsextremen Querdenker-Szene ausgeht und wie Personen aus diesem Umfeld ihre politischen Gegner und jegliche Pressevertreter konkret bedrohen, ist so eine Datenweitergabe sehr gefährlich für die Betroffenen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine förmliche Beanstandung der Vorgänge ausgesprochen.

Im gleichen Bericht wurde zudem bekannt, dass ein Polizist die kompletten Kontaktdaten samt Wohnanschrift eines Beschwerdeführers rechtswidrig intern weitergegeben hatte – und zwar an den Kollegen, gegen den der Betroffene eine Beschwerde wegen Fehlverhaltens eingereicht hatte.

Diese Fälle nur als Spitze eines Eisberges – die Berichte der Datenschutzbeauftragten sind voll von solchen und ähnlichen Fällen. Regelmäßig macht die Presse auf neue Vorfälle aufmerksam. Ein sorgfältiger Umgang der Polizei mit ihren Befugnissen ist hier nicht ersichtlich.

Datensicherheit? Gibt‘s das in der Kantine?

Neben dem bewusst missbräuchlichen Abruf von Daten und der Weitergabe an Personen, die diese Daten nicht erhalten dürften, gibt es auch massenweise technische Probleme bei Behörden. Datensicherheit ist so auch auf dieser Ebene kompromittiert – teilweise mit krassen Auswirkungen.

Legendär und gruselig instruktiv über den Zustand der IT in der Justiz war der Fall des Kammergerichts Berlin, das im September 2019 von der Schadsoftware Emotet befallen wurde.

Emotet im Kammergericht Berlin

Da sich die Schadsoftware auf sämtliche Computer im Gericht ausgebreitet hatte, musste die komplette IT stillgelegt und letztlich verschrottet werden. Mehrere Monate war das Gericht komplett ohne Computer zu betreiben. Richter konnten keine Urteile am Computer schreiben oder drucken. Die Geschäftsstellen mussten mit händischen Karteikarten arbeiten, da kein Zugriff auf die Datenbanken des Gerichts mehr möglich war. Das komplette Gericht wurde technisch in die frühen Neunzigerjahre katapultiert.

Als der forensische Untersuchungsbericht zum Vorfall öffentlich wurde, kamen noch weitere Details zum Vorschein, die auf tiefe systemische Probleme schließen ließen. Das Zentralsystem des Gerichts namens „Aulak“ lief noch auf Windows 95. Der benutzte Virenschutz hatte Emotet nicht erkannt. Der genaue Zeitpunkt der Infektion konnte nicht ermittelt werden. Für die Sicherung der Logdaten war so wenig Speicherplatz vorgesehen, dass Logdaten von drei Tagen gespeichert werden konnten, danach wurden sie wieder überschrieben.

Es dauerte Monate, bis das komplette System neu aufgesetzt war und alle Richter und sonstigen Mitarbeiter des Kammergerichts Berlin wieder arbeiten konnten. Doch auch nach Neuanschaffung von Laptops für die Richter waren weiterhin alte Schwachstellen vorhanden. Richter sind berufsrechtlich in der Wahl ihres Arbeitsortes frei. Sie können nicht verpflichtet werden, durchgehend im Gerichtsgebäude zu arbeiten. Über Monate hinweg gab es keine ausreichende Anzahl von VPN-Zugängen. Damit konnten Richter ihre Laptops bei der Arbeit von zu Hause nur als „Schreibmaschinen“ nutzen. Die schon vor dem Vorfall übliche Taktik, per ungeschütztem USB-Stick Daten von privaten Rechnern auf Dienstrechner zu übertragen, blieb wohl weiter bestehen. Diese wurde im forensischen Bericht als eine Möglichkeit benannt, wie Emotet in das System eindringen konnte.

Nach dem forensischen Bericht ist davon auszugehen, dass über die von Emotet ermöglichte Hintertür in das System Daten abgegriffen wurden. Welche und wohin genau, ließ sich nicht ermitteln. Bedenkt man, welche teilweise hochsensiblen Daten in Gerichtsverfahren vorliegen, ist das katastrophal. In Strafverfahren sind neben den Informationen von Tätern und Opfern ggf. auch psychiatrische Gutachten und andere Gesundheitsdaten verfügbar. In Familienstreitsachen erden ganze Familiengeschichten offengelegt. Eine mangelhafte Datensicherheit bei Gerichten ist eine immanente Gefahr für die Daten all jener, die freiwillig oder unfreiwillig mit der Justiz zu tun haben. Man kann nie verhindern, ggf. unberechtigt verklagt zu werden.

Das Kammergericht Berlin ist nicht das einzige, das derartig eklatante Schwachstellen in der IT aufweist. Bei einer Umfrage des BR und Zeit Online machte man 2021 mehr als 100 Behörden und öffentliche Einrichtungen ausfindig, deren IT-Systeme verschlüsselt wurden. Das ist auch nicht verwunderlich, da der öffentliche Dienst für Stellen in der IT deutlich schlechter bezahlt als die Wirtschaft, sind die knapp bemessenen Planstellen selten voll besetzt. Oft arbeiten hier Menschen, die keine besonders hohe Qualifikation im Bereich aufweisen. Unter diesen Vorzeichen eine den Datenmengen und der Sensibilität der Daten angemessene Datensicherheit zu gewährleisten, ist unwahrscheinlich.

Die Konsequenzen

Das Kammergericht Berlin hat wegen der mangelhaften Datensicherheit eine harte Bruchlandung hingelegt und war monatelang kaum bis nicht arbeitsfähig. Den Rückstau an Verfahren bearbeitet man dort wahrscheinlich noch heute. Doch im Gegensatz zu einem Unternehmen kann wegen § 43 Absatz 3 BDSG gegen eine Behörde kein empfindliches Bußgeld verhängt werden. Zumal das Ganze auch ein sinnloses Geschäft von der rechten in die linke Tasche wäre: Zahlen müsste das Land Berlin an das Land Berlin.

In den Polizeibehörden ist die Konsequenz aus den Verstößen noch weniger wahrnehmbar. Die Berichte der Aufsichtsbehörden zeigen in stetiger Kontinuität auf, dass die Polizei nicht kooperativ gegenüber der Aufsichtsbehörden agiert. Vielfach werden Disziplinar- und auch Strafverfahren gegen Polizisten nach kurzer Zeit wieder eingestellt, ohne weitere Konsequenz. Mehr als eine formelle Beanstandung, die keinerlei Berücksichtigung in einem Disziplinarverfahren finden muss, kann die Aufsichtsbehörde nicht aussprechen.

Auch politisch tut sich wenig bis nichts. Investitionen in bessere Datensicherheit scheitern oft am strengen Spardiktat des Staates. Wie bereits dargelegt tut die Besoldung ihr Übriges. Im Kampf um Talente hat der Staat oft das Nachsehen, da keine konkurrenzfähigen Löhne gezahlt werden.

Wo es kracht

Gerade der politische Stillstand bei der Verpflichtung von staatlichen Behörden zum Datenschutz hat inzwischen aber auch in der EU Kreise gezogen. Im April 2022 hat die EU-Kommission wegen unzureichender Umsetzung von Richtlinien, insbesondere im Bezug auf die Bundespolizei, Vorbereitungen für ein Vertragsverletzungsverfahren gegen Deutschland begonnen. Am 6. April 2022 wurde Deutschland zur Stellungnahme nach Art. 258 S.1 AEUV aufgefordert. Der aktuelle Status des Verfahrens ist leider nicht bekannt. Dass die erforderlichen gesetzlichen Nachbesserungen so kurzfristig durchgezogen werden können, ist aber unwahrscheinlich.

Damit hängt das Problem auch an der obersten Ebene der Politik, wo es hingehört. Solange von oben keine klaren Prioritäten gesetzt und Anweisungen erteilt werden, ist nicht damit zu rechnen, dass untere Behörden ihr Verhalten ändern werden. Direkte Konsequenzen haben sie auch nicht zu befürchten. Es steht zu hoffen, dass ein plakatives Vertragsverletzungsverfahren bei der Bundespolitik die Wichtigkeit echter Kontrolle der Staatsorgane auf die Agenda setzt.

Vorsicht geboten

Die aktuellen Zustände sind nicht von heute auf morgen zu ändern. Gerade die immensen Probleme bei IT und Datensicherheit werden aufgrund der erforderlichen Investitionen noch länger bestehen. Als Einzelperson bleibt in dieser Situation nur möglichst hoher Selbstschutz – man kann Löschanträge an die Behörden richten, denen nachgekommen werden muss, um eigene Daten aus behördlichen Datenbanken zu entfernen. Und darauf achten, dass man nur angibt, was zwingend erforderlich ist. Gerade die Polizei fragt oft Informationen an, die man nicht verpflichtend geben muss. Sich über die eigenen Rechte informieren hilft.

Wer wenig eigene Daten herausgibt, läuft zwar weniger Gefahr, dass diese Daten ohne eigenes Zutun in den falschen Händen landen. Gegenüber staatlichen Stellen, denen man oft Daten geben muss, ist das nur ein schwacher Trost. Eine bessere Umsetzung des Datenschutzes in Behörden, Gerichten und allen Ebenen des öffentlichen Dienstes tut daher dringend not.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

7 Kommentare zu diesem Beitrag

  1. Dieser Artikel macht mich wütend: Unternehmen müssen im Bereich Datenschutz Angst haben, für vermeintlich kleine Staatenschutzverstöße (z.B Stichwort fehlende Einwilligung bei Homepage-Tracking) belangt zu werden. Behörden und staatliche Institutionen, die oft mit viel sensibleren personenbezogenen Daten arbeiten, können gefühlt machen, was sie wollen. Da stimmt was nicht und es trägt nicht zur Akzeptanz des Datenschutzes in der Privatwirtschaft bei.

  2. Diese Kritik an: (…) gewisser Polizeigewerkschaften (deren politische Ausrichtung und Führungspersonal sehr zweifelhaft ist) (…) hängt in der Luft und ist für Leser*innen damit eher Meinung oder Behauptung. Gibt dafür eine Quelle, Beleg usw. oder ist dies tatsächlich die Meinung des Autors (es ist doch ein Fachbeitrag)?
    Dies fällt umso mehr auf, als dass alle übrigen Standpunkte & Argumente gut belegt sind.

  3. Zitat: “ Im Hinblick auf die massive Bedrohungslage, die von der rechtsextremen Querdenker-Szene ausgeht und wie Personen aus diesem Umfeld ihre politischen Gegner und jegliche Pressevertreter konkret bedrohen, ist so eine Datenweitergabe sehr gefährlich für die Betroffenen“ Zitat Ende.

    „Massive Bedrohungslage“, „konkret bedrohen“… Also mehr an linker Hetze ggü. Andersdenkenden geht wohl kaum noch. Bitte auch alle anderen Polizisten, die auffällig waren bzw. sind, politisch Zuordnen!

    Ansonsten ist der Artikel interessant.

    • „Massive Bedrohungslage, konkret bedrohen … Also mehr an linker Hetze ggü. Andersdenkenden geht wohl kaum noch.“

      Bei Leuten, die Kassierer erschießen, den Gesundheitsminister entführen wollten, einen Anschlag auf einen Ministerpräsidenten planten und hunderte Kommunalpolitiker, Journalisten, Aktivisten und Ärzte massiv bedrohen, teilweise bis zu deren Suizid, kann von Denken schon lange keine Rede mehr sein.

      Klar könnte man jetzt darüber streiten, ob die ganze Querdenker Szene dem Rechtsextremismus zugeordnet werden kann, wie vom Autor behauptet, oder sie sich mit diesem einfach nur die Demokratiefeindlichkeit teilt, sodass es bei ihren Anhägern zu Überschneidungen kommt. Letztendlich ist das aber für den springenden Punkt, der Bedrohungslage, irrelevant. Das Sie hingegen diese objektive Feststellung als linke Hetze bewerten, lässt über Ihre geistige Gesinnung tief blicken.

    • Rechtsextreme sind Rechtsextreme, und von Ihnen geht historisch wie aktuell die größte Gefahr aus, wenn man politische Gewalttaten in Deutschland betrachtet. Die konkreten Bedrohungen von Politikern und Wissenschaftlern, die bis heute „Proteste“ der Querdenker prägen, sind offen bekannt. Journalisten werden regelmäßig bei der Berichterstattung behindert und von Teilnehmern von Querdenker-Veranstaltungen bedroht.
      Nichts davon findet auch nur in ansatzweise ähnlichem Umfang in anderen politischen Bewegungen statt. Keine andere Gruppierung hat in der jüngeren Vergangenheit gewaltsam versucht, den Bundestag zu erstürmen. Nur rechtsradikale Täter haben in den letzten Jahren amtierende, gewählte Politiker erschossen.
      Wo die politische Motivation oder Tragweite eines Datenschutzverstoßes relevant ist, wird sie aufgenommen. Wo es keine gibt, weil es sich „nur“ um alltägliche Nachlässigkeit oder Ignoranz handelt, ist eine entsprechende Einordnung nicht möglich oder hilfreich.

  4. Immer wenn jemand den Begriff „Hetze“ verwendet, weiß man als verständiger Dritter dass nur Schwurbel folgt. Die Lagebilder des BKA und die Verfassungsschutzberichte weisen bereits seit der Flüchtlingkrise genau diese Bedrohungen und tätliche Übergriff ggü. Medenvertretern auf, die sich mit der Pandemie noch einmal vervielfacht haben.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.