Weiterhin viele rechtswidrige Speicherungen in größter Polizeidatenbank
Nach zehn Jahren hat der Bundesdatenschutzbeauftragte die Datei INPOL-Z beim BKA erneut kontrolliert. Noch immer gibt es dort erhebliche Probleme, selbst Ordnungswidrigkeiten können zur Speicherung führen. In einigen Fällen verzichtete der Prüfer auf eine formelle Beanstandung, weil das BKA die Daten sofort löschen wollte.
Für alle polizeilichen Behörden von Bund und Ländern betreibt das Bundeskriminalamt (BKA) in Wiesbaden das zentrale Informationssystem INPOL-Z. Es besteht aus verschiedenen Dateien, darunter der Kriminalaktennachweis, Personen- und Sachfahndung oder Erkennungsdienst (ED). Viele Millionen Gesichtsbilder und Fingerabdrücke von Beschuldigten und Verdächtigen sowie Asylsuchenden sind dort nach einer erkennungsdienstlichen Behandlung gespeichert. Damit handelt es sich um die größte Polizeidatenbank der Bundesrepublik. Auch der Zoll kann darauf zugreifen.
Viele personenbezogene Daten werden hier jedoch rechtswidrig gespeichert. Darauf hatte der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, nach einem Prüfbesuch beim BKA bereits 2011 hingewiesen. Zehn Jahre später hat sich sein Nachfolger Ulrich Kelber noch einmal zum „Beratungs- und Kontrollbesuch“ in Wiesbaden angemeldet und überprüft, ob die damaligen „Empfehlungen“ umgesetzt wurden.
Speicherung ohne „Prognoseentscheidung“
Dass auch weiterhin viele Einträge rechtswidrig angelegt werden, hatte Kelber bereits in seinem öffentlichen Tätigkeitsbericht für 2021 dargestellt. Details dazu werden aber erst aus dem eigentlichen Prüfbericht ersichtlich, den der BfDI nun auf eine Informationsfreiheitsanfrage herausgab.
Die Tiefe eines solchen „Beratungs- und Kontrollbesuch“ ist begrenzt, weil hier nur wenige Einträge stichprobenartig geprüft werden können. Vor seinem jüngsten Besuch bat der BfDI um einen vollständigen INPOL-Auszug zu jeweils den ersten zehn Personen für jeden Buchstaben im Alphabet. Dabei dürfte es sich also um rund 250 Datensätze gehandelt haben.
Darin hat der Datenschutzbeauftragte mindestens drei Fälle gefunden, in denen die Betroffenen ohne die gesetzlich erforderliche „Prognoseentscheidung“ gespeichert wurden. Diese ist notwendig, um die vorhandenen Fakten zu gewichten und zu dokumentieren, warum eine Speicherung der Person in INPOL notwendig erscheint. Stattdessen wurde laut Kelber lediglich „die Kopie des reinen Gesetzeswortlauts in einem Freitextfeld“ eingetragen.
Löschung „noch vor Ort“ zugesagt
Im Prüfbericht ist nicht dokumentiert, welche Polizeibehörde die fehlerhaften Speicherungen vornahm. „Zufällig“ sei Kelber außerdem auf einen Fall aufmerksam geworden, in denen als Anlass für eine erkennungsdienstliche (ED) Behandlung lediglich der Hinweis „Polizeigesetz BW“ eingetragen war.
In einem anderen Fall hatte das BKA selbst Datensätze übernommen, ohne einen Grund dafür anzugeben. Weil das Amt „noch vor Ort“ die Löschung zugesagt hat, versprach der BfDI von einer Beanstandung abzusehen.
Zu den Empfehlungen des BfDI gehört, die Problematik „über diese Einzelfälle hinausgehend zu klären“, da es sich „um eine grundlegende Problematik im BKA“ handele. Die Behörde habe Kelber dazu einen „gemeinsamen Workshop“ angeboten.
„Löschung mit Besitzübertragung“
Die Verantwortung für die Daten aus der ED-Behandlung in INPOL-Z tragen jene Landespolizeibehörden, die sie in das System einspeichern. Die Länder müssen auch die Einhaltung der Löschfristen prüfen und eine etwaige fortgesetzte Speicherung begründen. Laut Kelber kann es aber vorkommen, dass Daten von einer anderen INPOL-Teilnehmerin weiter gespeichert werden, wenn das verantwortliche Bundesland sie bereits gelöscht hat.
Inzwischen habe das BKA aber die Verfahrensweise geändert. Biometrische ED-Daten würden nur dann von einer anderen Behörde aufgehoben, wenn eigene Erkenntnisse der neuen Besitzerin vorlagen. Auch hierzu muss eine schriftlich dokumentierte „Prognoseentscheidung“ vorliegen.
Für diese Weiterspeicherung hat das BKA die neue Funktionalität „Löschung mit Besitzübertragung“ eingeführt. Dies ist aber nur möglich, wenn eine Landespolizeibehörde als frühere Besitzerin der Daten zustimmt. Mit der Angabe eines „Löschgrundes“ kann dieser Übertragung widersprochen werden.
Verfahren für „Mitbesitz“ von Daten
Zur vorgeschriebenen Löschung von Daten blieben laut dem BfDI jedoch weitere Details zu klären. So seien in INPOL verschiedene Datengruppen „auf unterschiedliche Weise miteinander verknüpft“. Demnach kann es passieren, dass Daten aus ED-Behandlungen weiter gespeichert werden, weil eine andere INPOL-Verbundteilnehmerin noch andere Informationen zu der Person eingetragen hat. Deshalb sollen die erkennungsdienstlichen Daten ein gesondertes „Aussonderungsprüfdatum“ erhalten.
Das BKA will dazu bereits ein Verfahren entwickelt haben, das sich „derzeit in der Abstimmung befindet“. Über ein zusätzliches Datenfeld sollen Polizeibehörden außerdem die Möglichkeit erhalten, ihren „Mitbesitz“ an ED-Daten zu markieren. Es soll helfen, dass sich die verschiedenen INPOL-Teilnehmenden über die Speicherung und Löschung von Datensätzen koordinieren.
Laut Kelber kommt es dabei aber „teilnehmerübergreifend zu Fehlanwendungen“. So habe etwa das Bundesland Sachsen-Anhalt 40.000 INPOL-Datensätze versehentlich gelöscht, weil die neue Funktion falsch angewendet wurde. Das BKA will derartigen Fällen nun mit regelmäßigen Sitzungen auf Bund-Länder-Ebene begegnen.
Speicherung auch wegen Ordnungswidrigkeiten
In einem weiteren Abschnitt des Prüfberichts moniert der BfDI die Nutzung von INPOL auch für Ordnungswidrigkeiten. Zur erkennungsdienstlichen Behandlung dürfen die Polizeibehörden demzufolge jedoch nur Personen speichern, die einer Straftat verdächtigt werden.
Trotzdem hat Kelber sechs Fälle gefunden, bei denen Betroffene wegen der „Ausübung der Prostitution“ eingetragen sind.
Weil weder das Gesetz über Ordnungswidrigkeiten noch das BKA-Gesetz dies erlauben, soll das BKA nun nacharbeiten. Als verantwortliche Stelle für die Einhaltung der INPOL-Regelungen empfiehlt der BfDI „dringend“, Einträge von Ordnungswidrigkeiten durch technische Änderungen aus dem Informationssystem auszuschließen. (netzpolitik.org, 22.7.22)
https://netzpolitik.org/2022/pruefung-des-datenschutzbeauftragten-weiterhin-viele-rechtswidrige-speicherungen-in-groesster-polizeidatenbank/