Datenschützerin kritisiert Polizeiarbeit: Dienstliche Daten auf Privat-Handys

Hannover taz | Eigentlich sollte damit alles gut werden: Der eigens für die Polizei Niedersachsen angepasste Messenger Nimes – eine Mischung aus Whatsapp und Dropbox oder Google Drive – soll den unkomplizierten Austausch von Textnachrichten und Dateien im Dienst ermöglichen, und das ohne die bedenklichen Sicherheitslücken solcher kommerziellen Produkte.

Die dafür verwendete Software heißt „Stash­cat“, Hersteller ist Heinekingmedia aus Hannover, seit 2014 Teil der Unternehmensgruppe Madsack, die mit der Hannoverschen Allgemeinen Zeitung, der Neuen Presse und dem Redaktionsnetzwerk Deutschland auch die regionale Medienlandschaft dominiert.

Weder an diesen geschäftlichen Verquickungen noch an der Software selbst hat die niedersächsische Landesdatenschutzbeauftragte Barbara Thiel etwas auszusetzen: „Die Beanstandung richtet sich ausdrücklich nicht gegen den Dienst selbst“, heißt es in ihrer Pressemitteilung. Sie schätze Nimes „als datenschutzfreundlicher ein als einen kommerziellen Messenger-Dienst“, sagt Thiel.

Sie kritisiert vor allem, dass die App auf den privaten Geräten der Po­li­zis­t*in­nen eingesetzt wird – ohne dass der Dienstherr darüber eine nennenswerte Kontrolle hat. Die wird technisch aber schon durch das zugrunde liegende „BYOD“-Prinzip erschwert; „BYOD“ steht für „Bring your own device“, zu Deutsch etwa: „Benutz’ dein eigenes Gerät“, und das hat eine schier unüberschaubare Zahl von Geräten, Betriebssystemen und Konfigurationen zur Folge – Stashcat läuft ausdrücklich auf „allen Plattformen“, also auf Smartphones und Tablets, aber auch Laptops und klassischen PCs.

Private Geräte dürfen nicht ohne weiteres kontrolliert werden

„Gleichzeitig ist der jeweilige Anwender dafür verantwortlich, sein privates Endgerät vor Schadprogrammen zu schützen“: Theoretisch wäre es möglich, dass hier Daten abgegriffen werden, ohne dass Anwender und Dienstherr es merken, sagt Thiel.

Die Verwendung privater Geräte setzt außerdem der Kontrolle der Datenabfragen enge Grenzen: Angeblich gibt es zwar anlasslose Kontrollen der Nimes-Anwender – die privaten Geräte sind davon aber ausgenommen: Wie andere Ar­beit­neh­me­r*in­nen dürfte sich wohl auch je­de*r Po­li­zis­t*in bedanken, wenn die Vorgesetzten einfach so auf privaten Handys herumfuhrwerken.

Andererseits ist das unbefugte Abfragen und Nutzen polizeilicher Daten durch dort Beschäftigte ein bekanntes Problem: Immer wieder haben solche Vorgänge in den vergangenen Jahren zu kleineren oder größeren Skandalen geführt.

Vom politischen Gegner bis zu Helene Fischer

Das reicht vom Abfragen geschützter Adressdaten für die Drohbriefe des „NSU 2.0“ in Hessen über die sexuelle Belästigung von Minderjährigen in Mecklenburg-Vorpommern, das Ausspionieren politischer Gegner durch einen AfD-nahen Beamten oder das Erstellen von Todeslisten im Dunstkreis von rechtsextremen Netzwerken wie Nordkreuz.

Manchmal geht es aber auch nur um ganz banale, private Motive: Dann wird der Polizeicomputer etwa befragt nach den Daten von Helene Fischer, irgendeiner schönen Frau von neulich, dem neuen Freund der Tochter, einem Mietinteressenten oder auch dem Fahrzeughalter, der einem irgendwie dumm kam – wie es etwa der Spiegel zusammengetragen hat.

Auch in Hannover stand im vergangenen Jahr ein Polizeibeamter vor Gericht, der sich als Privatdetektiv und Sicherheitsberater damit einen Nebenverdienst verschafft hatte – und mindestens vier Kollegen mit reinzog, die für ihn ohne viel Nachfragen Datenabfragen an Dienstrechnern starteten.

Wie groß dieses Problem tatsächlich ist? Völlig unklar. Öffentlich wird es nur, wenn irgendwo ein*e Lan­des­da­ten­schutz­be­auf­trag­te*r darüber stolpert – oder Betroffene Anzeige erstatten. Eine Umfrage der Welt am Sonntag in allen 16 Bundesländern kam im Sommer 2020 auf 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen entsprechender Vergehen innerhalb von zwei Jahren. Präzisere Untersuchungen zu diesem Thema gibt es nicht.

Wenn so etwas aber nun schon bei den stationären Rechnern in Polizeirevieren passiert, weil es an Problembewusstsein und Kontrollen mangelt: Wie soll es dann erst aussehen, wenn die Daten auf privaten Smartphones verfügbar sind?

Thiel mahnt die Ausstattung mit Dienstgeräten an

Nimes verarbeite personenbezogene Daten bis Schutzstufe D, erläutert die Datenschutzbeauftragte in ihrer Pressemitteilung. Das sind Daten, deren „unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte“. „D“ ist die zweithöchste Stufe einer fünfstufigen Skala, sortiert nach der Schwere des möglichen Schadens für die Betroffenen aufsteigend von A bis E.

Bevor man über Kontrollmechanismen nachdenke, mahnt Thiel, müsse das Innenministerium erst einmal den entscheidenden Schritt machen – und die Po­li­zis­t*in­nen flächendeckend mit Dienstgeräten ausstatten. Verbieten kann die Datenschutzbeauftragte den Nimes-Einsatz auf Privatgeräten nicht, dazu ist sie nicht befugt. Das Innenministerium in Hannover muss aber Stellung nehmen zu Thiels Beanstandung. Man prüfe den Fall, heißt es von dort – das werde aber noch einige Zeit in Anspruch nehmen.