In Berlin richtet sich der Verdacht gegen einen Beamten in einem Neuköllner und einen in einem Spandauer Polizeiabschnitt. (Symbolbild)
Foto: Imago Images

BerlinIm Fall rechtsextremer Drohschreiben mit dem Absender „NSU 2.0“ sollen neue Spuren nach Berlin und Hamburg führen. Der Fall wirft zudem Fragen zur Datensicherheit bei der Polizei auf. Laut WDR und Süddeutscher Zeitung haben Ermittler des hessischen Landeskriminalamtes vier Polizisten im Blick, die verdächtige Abfragen im Polizeicomputer vorgenommen haben sollen. Alle vier wurden bereits vernommen, dürfen aber weiter zum Dienst erscheinen.

In Berlin richtet sich der Verdacht gegen einen Beamten in einem Neuköllner und einen Beamten in einem Spandauer Polizeiabschnitt. Sie sollen ohne dienstlichen Grund in der polizeilichen Datenbank Poliks private Daten der Berliner Kabarettistin Idil Baydar abgefragt haben, die ebenfalls vom „NSU 2.0“ bedroht wurde. In Hamburg sollen eine Polizistin und ein Polizist private Daten der Berliner taz-Autorin Hengameh Yaghoobifarah abgerufen haben, kurz bevor diese anonyme Drohungen erhielt. Im Juni hatte Yaghoobifarah mit ihrer Kolumne „All cops are berufsunfähig“ für bundesweite Empörung gesorgt. Seit 2018 verschicken Unbekannte unter dem Pseudonym „NSU 2.0“ Drohungen per SMS oder E-Mail vor allem an Frauen, die sich gegen Rechtsextremismus engagieren. Immer wieder weisen Spuren zur Polizei.

Bei ihren Nachforschungen haben die hessischen Ermittler mehrere Probleme: Zum einen gibt es am Tag Hunderttausende Datenabfragen allein in Berlin. Zahlreiche Beamte schauen etliche Male bei Poliks nach – und sei es nur, um die Identität einer Person zu bestimmen, die einen Diebstahl über die Internetwache anzeigt. Immer wieder passiert es auch, dass Fahnder im Rocker- oder Türstehermilieu Personen abfragen. In der Protokolldatei dazu muss ein dienstlicher Grund vermerkt sein. Allerdings habe man dazu nur 20 Zeichen zur Verfügung, sagt ein Beamter. Schon dies könne zu Unschärfen führen. Mitunter wird dies auch erfahrenen Ermittlern zum Verhängnis: Im August stand ein ehemaliger Polizist vor dem Berliner Landgericht. Ihm wurde vorgeworfen, illegal Daten abgefragt zu haben. Er wurde freigesprochen.

Das zweite Problem ist die Fahrlässigkeit mancher Polizisten, die etwa ihr Passwort zum Poliks-System an den Computer kleben. Doch nicht nur das: Aus Sicht der Berufsvereinigung „Unabhängige in der Polizei“ ist es noch immer relativ leicht, einen Poliks-Account zu knacken, in das der Abfragende seine Personalnummer und ein Passwort eingeben muss. Bereits 2017 hatten die „Unabhängigen“ Berlins Datenschutzbeauftragte darüber informiert, dass der Passortschutz leicht umgangen werden konnte: Dreimal unter einer Personalnummer das falsche Kennwort eingeben, und der Account wurde gesperrt. Nach einem Anruf bei der IT war es offenbar in mehreren Fällen möglich, ein neues Passwort zu erhalten. Polizisten konnten somit unter falschem Namen sensible Daten abfragen.

Die Unabhängigen gingen mit dem Problem zu den innenpolitischen Sprechern aller Parteien im Abgeordnetenhaus, was Benedikt Lux (Grüne) und Niklas Schrade (Linke) bestätigen. Beide wandten sich danach an die Datenschutzbeauftragte Maja Smoltczyk. Nach unbefriedigenden Auskünften der Polizei zu den Vorwürfen führten Mitarbeiter Smoltczyks im Mai 2018 eine Vor-Ort-Prüfung durch. Diese identifizierte die interne Passwortrichtlinie der Polizei als zu vage.

Nach der neuen Passwortrichtlinie sollen Passwörter unter Einbindung des Vorgesetzten vergeben werden. „Heute braucht man theoretisch zwei Betrüger, das Leck ist noch immer vorhanden“, sagt „Unabhängige“-Sprecher Jörn Badendick. Nach seiner Vorstellung könne die Sicherheit etwa durch Kartenlesegeräte verbessert werden, in die man seinen Dienstausweis schiebt, oder ein biometrisches System, das mit Spracherkennung arbeite. Denn für Beamte sei die schriftliche Protokollierung der Abfragen extrem aufwändig und verzögere die Ermittlungsarbeit.

Allein aus dem Jahr 2017 resultierten 17 Strafanträge der Datenschutzbeauftragten. Dabei ging es vor allem darum, dass Polizisten Zugänge für private Zwecke missbraucht haben sollen. Im September 2018 wurde zudem ein weiteres Datenleck bekannt: An einem Dienstcomputer fanden die IT-Verantwortlichen einen Keylogger. Mit Geräten, die aussehen wie USB-Sticks, können Daten wie Passwörter ausgelesen werden. In dem Fall seien keine Datenabflüsse bekannt geworden, erklärte damals die Polizeiführung.

„Im Moment wird vieles zum Thema Datenabfrage und NSU 2.0 in einen Abwasch geworfen“, sagt Benjamin Jendro von der Gewerkschaft der Polizei. Er weist darauf hin, dass es diverse Gründe geben könne, warum Daten von Personen abgefragt werden. Zum Beispiel auch, wenn eine Person gefährdet sei. „Ob das im Einzelfall rechtmäßig war, entscheidet die Datenschutzbeauftragte beziehungsweise die Justiz. Wenn man eine Abfrage einhundertprozentig einer bestimmten Person zuordnen möchte, muss man auf biometrische Technik  wir Fingerabdruckscanner aufrüsten.“

Niklas Schrader, der auch datenschutzpolitischer Sprecher seiner Fraktion ist, sieht seit der Intervention der Datenschutzbeauftragten die technische Sicherheit im Poliks gewährleistet. „Ich glaube, das größere Problem ist, dass man auch mit dem eigenen Account relativ frei Daten abrufen kann. Hier gibt es zu wenig Kontrolle.“