Ein Video sorgt für Empörung: Eine Frau wird mitten am Tag in Paris von einem Unbekannten verfolgt und nahe einem Café geohrfeigt. Besucher stellen den Mann zur Rede, bevor der verschwindet. Die Betroffene stellt das Überwachungsvideo, das den Moment festhält, bei Facebook ein, um männliche Belästigung und frauenfeindliche Gewalt im öffentlichem Raum anzuprangern. Im Windeseile verbreitet sich der Ausschnitt in sozialen Netzwerken, Frankreichs Gleichstellungsministerin meldet sich zu Wort. Es folgt eine Anzeige gegen Unbekannt, die Polizei ermittelt. Der Vorfall zeigt nicht nur, dass es Männer gibt, die Frauen belästigen und schlagen. Er zeigt auch, wie schnell Daten, die Aufzeichnung des Cafébetreibers, Teil von Polizeiermittlungen werden können.
Um Daten, die im Kontext der Strafverfolgung gesammelt werden, geht es in der EU-Richtlinie, die in der letzten Chamber-Woche von den Abgeordneten zusammen mit der Datenschutz-Grundverordnung und dem Gesetz zur Registrierung von Fluggastdaten verabschiedet wurde. Die EU-Direktive zählt zu den Vorhaben von Blau-Rot-Grün, die gegen Ende in einem wahren Galopp durch die parlamentarische Prozedur gedrückt wurden, so dass sie in den Medien kaum Erwähnung fanden.
Dabei hat die Richtlinie es in sich. Sie soll europaweite Mindeststandards für alle Datenbanken der Strafverfolgung (Polizei, Zoll, Justiz, Geheimdienst) vorgeben und so den grenzüberschreitenden Transfer von Daten vereinfachen. Damit sind alle EU-Mitgliedstaaten verpflichtet, den Schutz von biometrischen und erkennungsdienstlichen Daten, Ermittlungsakten und Fallanalysen, Videoüberwachung, Profilingprojekten und anderes mehr auf ein gemeinsames Niveau zu bringen.
Es gilt, Prinzipien, die in der Datenschutz-Grundverordnung stehen, grundsätzlich auch auf Strafverfolgungsdatenbanken anzuwenden: Grundsätzlich, weil das Gesetz zahlreiche Ausnahmen vorsieht, etwa wenn Daten zur Gefahrenabwehr gesammelt werden. Da ist das Auskunftsrecht: Künftig kann jeder Bürger, jede Bürgerin im Sinne des Rechts auf informationelle Selbstbestimmung, wie bei der Datenschutz-Grundverordnung, direkt bei den Strafverfolgungsbehörden anfragen, welche Daten über ihn oder sie gespeichert sind. Und muss nicht mehr über die Datenschutzbehörde fahren. Sie kann auch falsche oder veraltete Daten löschen lassen. In Deutschland, wo von dem Recht vergleichsweise oft Gebrauch gemacht wird, sehen sich Betroffene allerdings oft Hürden gegenüber: Verschleppte Antworten, wechselnde Zuständigkeiten, unklare Speicherfristen, nicht bekannte weitergeleitete Freisprüche, verweigerte Auskünfte aufgrund polizeitaktischer Erwägungen – die Liste der mitgeteilten Gründe, warum Anfragen unbeantwortet blieben, ist lang.
„Im Prinzip müssen wir persönliche Daten, die wir über eine Person gespeichert haben, mitteilen. Es gibt aber Ausnahmen: Etwa, wenn gegen eine Person ermittelt wird. Oder wenn es der Gefahrenabwehr dient. In dem Fall müssen wir nicht antworten“, sagt Jeff Neuens. Der Polizeioberkommissar ist seit 2016 zuständig für den Datenschutz bei der Polizei und hat die Verhandlungen um die EU-Richtlinie sowie ihre Umsetzung eng begleitet. Seit Juli verstärkt Lydie May als Datenschutzbeauftragte Neuens Team, dem zudem IT-Techniker und Juristen angehören.
Dass die Aktualisierung, respektive Löschung veralteter Daten keine Lappalie ist, zeigen Beschwerden, mit denen die nationale Datenschutzkommission (CNPD) befasst war. Für einen zukünftigen Arbeitgeber hatte jemand einen Auszug des Strafregisters beantragt. Es stellte sich heraus, dass dies ein Delikt aus der Zeit enthielt, als er Jugendlicher war. Das, obwohl die Jugendgerichte damals zur Einschätzung gekommen waren, dass die Tat zu unwesentlich war – und für Minderjährige eh’ besonders strenge Datenschutzbestimmungen gelten. Weil die Einschätzung der Justiz offensichtlich nicht zurück an die das Strafregister verwaltenden Beamten gelangt war, riskierte der Mann Jahre später, einen Job nicht antreten zu können. In seiner Verzweiflung wandte er sich an die Datenschützer. Die CNDP kontrolliert die ordnungsgemäße Führung und Umsetzung der Datenschutzrichtlinien bei der Polizei.
„Der Austausch von Daten zwischen Polizeidatenbanken und Datenbanken der Justiz soll verbessert werden. Das ist wichtig, denn wer freigesprochen wird, darf nicht mehr als Beschuldigter in einer Datenbank geführt werden“, sagt Thierry Lallemang von der CNPD. Nicht nur die Polizei, auch die Justiz hat in punkto Digitalisierung und Datenschutz in den vergangenen fünf Jahren kräftig ausgebaut. „Steht die Informatik erst einmal komplett, wird die Polizei über solche Gerichtsentscheidungen automatisch informiert“, so Lallemang. Seine Behörde fordert klare Kategorien für die Datenbanken, beispielsweise nach mutmaßlichen Tätern, Angeklagten und Zeugen zu unterscheiden. Das ist nicht ganz einfach. „Was machen wir, wenn fünf Mal das Verfahren eingestellt wird, es aber keinen Freispruch gibt? Und wir später in einer ähnlichen Sache erneut ermitteln?“, fragt Jeff Neuens.
Doch nicht für die Betroffenen, auch für die Polizei ist die Aktualisierung und Löschung falscher oder veralteter Daten wichtig: „Andernfalls kann das polizeiliche Ermittlungen in falsche Richtungen lenken“, gibt Neuens zu bedenken. Was schon im eigenen Land eine echte Herausforderung darstellt, ist über Ländergrenzen hinweg erst recht ein schwieriges, bis unmögliches Unterfangen. „Wirklich nachprüfen, ob Daten, die wir weitergeleitet haben, im Empfängerland ordnungsgemäß verwendet werden, können wir nicht“, räumt Neuens ein. Bei Drittstaaten regeln zumeist Abkommen den Datentransfer. Auch mit Ländern, die kein vergleichsbares Schutzniveau haben, werden mitunter Daten ausgetauscht. „Zum Beispiel beim Terrorismusverdacht“, sagt Neuens, demzufolge zu den häufigsten Drittstaaten-Kontakten die USA und Kanada zählen.
Grundsätzlich gilt, dass Daten sparsam und für einen bestimmten Zweck erhoben und verarbeitet werden – und dass sie gelöscht werden müssen, wenn sie zur Erfüllung dieses Zwecks nicht mehr notwendig sind. Allerdings ist der Zweck vage gehalten: Polizeidaten werden in aller Regel zur Aufklärung (gegebenenfalls auch zukünftiger Straftaten) beziehungsweise zur Abwehr von Gefahren erfasst und verarbeitet. Bei einem so breiten Zweck gebietet die Verhältnismäßigkeit, dass sich die Polizei bemüht, den Zweck zu konkretisieren. „Das ist dehnbar wie Gummi“, räumt Neuens ein.
In Deutschland führte der ehemalige Bundes-Datenschützer Peter Schramm 2012 eine Überprüfung der BKA-Datenbank „PMK links Z“ durch, einer Staatsschutzdatei zur Beobachtung linker Männer und Frauen, mit dem Ergebnis, dass die Datenbank um 90 Prozent von anfangs knapp 4 000 auf dann circa 300 Personen schrumpfte. In den Prüfgesprächen hatte das BKA überdies zugegeben, verschiedene Personendatensätze hätten nicht gespeichert werden sollen.
Das Problem in Luxemburg: Die Datenschutzbehörde wurde zwar zuletzt personell deutlich aufgestockt (sie zählt jetzt 35 Mitarbeiter), doch solche Audits binden erhebliche Ressourcen und dauern oft Monate. Außerdem kann die CNPD bei öffentlichen Datenbanken nicht, wie bei privatwirtschaftlichen, den Datenbankbetreiber mit empfindlichen Bußgeldern belegen. Sie kann verlangen, dass nachgebessert wird oder kann nicht ordnungsgemäß geführte Datenbanken sperren. Die Öffentlichkeit bekommt von diesen Aktionen indes kaum etwas mit: Vor einigen Monaten hatten die Datenschützer die nationale Schnittstelle zum Schengener Visa-Informationssystem kontrolliert. Durch die VIS-Datenbank können Behörden leichter und schneller die Identitäten von Inhabern eines Visums direkt beim Grenzübergang überprüfen. Alle neuen Eingaben in das System sind innerhalb weniger Minuten für alle nationalen Stellen verfügbar.
Das ist nur die Luxemburger Schnittstelle einer europäischen Datenbank: Die Schengener Fahndungsdatenbank SIS II enthält 76 Millionen Daten über gestohlene Sachen und über Personen, darunter solche, die mit einer Einreisesperre belegt sind, von der Justiz gesuchte und vermisste Personen. Der größte Teil der Einträge betrifft verlorene oder gestohlene Dokumente und gestohlene Fahrzeuge. Es gibt die Datenbanken der Prümer Polizeikooperation. Mit dem europäischen daktyloskopischen System Eurodac werden Fingerabdrücke von Asylbewerbern und illegalen Einwanderern europaweit abgeglichen, inzwischen darf auch die Polizei diese Daten benutzen, zudem wurde das Register stetig erweitert. Alles in allem Millionen und Abermillionen von Datensätzen, zu denen die Luxemburger Strafverfolgungsbehörden direkt oder indirekt Zugang haben.
Jeff Neuens und Lydie May stehen als Anlaufstelle für Anfragen in punkto Datenschutz bei der Polizei einer Mammutaufgabe gegenüber. Eigentlich hätte die Polizei schon vor Jahren einen Datenschutzbeauftragen einstellen können, das hätte womöglich dazu beigetragen, die wackelige Rechtsgrundlage verschiedener Datenbanken besser abzusichern. Möglicherweise stoßen ab 2019 zwei weitere Mitarbeiter zu Neuens und Mays Team hinzu. Von ihren Datenschutzbemühungen bekommt die Öffentlichkeit indes wenig mit: Die Polizei saß mit am Tisch, als die Richtlinie im Rahmen der Luxemburger EU-Präsidentschaft verhandelt wurde; zudem besteht eine Arbeitsgruppe, in dem sich verschiedene Polizeidivisionen in Sachen Datenschutz, über operationelle, technische und legale Fragen austauschen und beraten. „Seit 2002 sind wir dabei, unsere Datenbanken permanent zu verbessern. Inzwischen haben wir ein sehr hohes Niveau erreicht“, sagt Neuens. So hoch, dass der Beamte einen „technischen Overkill“ fürchtet. Eine Zusammenarbeit mit dem FBI habe sich aufgrund der hohen Sicherheitsbestimmungen schwierig gestaltet.
Die Polizei muss Hacks und Datenlecks melden, das heißt, sie hat der Datenschutzbehörde zu berichten und muss – theoretisch – Betroffene informieren. Allerdings gelten auch diesbezüglich zahlreiche Ausnahmen, etwa aus ermittlungstaktischen Erwägungen oder zur Gefahrenabwehr. „Sinnvoll könnte im Kontext geklauter Bankendaten sein, deren Besitzer nach Abschluss der Ermittlungen zu informieren“, so Neuens vorsichtig. Es ist ein offenes Geheimnis, dass es immer wieder auch peinliche Datenlecks bei der Polizei selbst gibt, wenn persönliche Daten weitergegeben werden, ohne dass gegen eine Person ermittelt wird. Oder wenn Interna zu Straftaten auf Facebook oder in einschlägigen Boulevardblättern auftauchen. In Brandenburg blieb im Februar 5 000 Beamten der interne Zugang zu einer Datenbank aufgrund eines Lecks zeitweise verwehrt.
In Luxemburg haben Beamte grundsätzlich nach sechs Jahren Dienst Zugang zu allen Datenbanken. Um Missbrauch und die Möglichkeit von Lecks zu verhindern, wird derzeit an einem System gefeilt, das personenbezogene Daten stärker und zielgenauer filtern soll. „Geht es um eine reine Verkehrskontrolle, braucht der Kollege nicht zu wissen, dass die Person Opfer einer Straftat war“, nennt Neuens ein Beispiel. Im täglichen Einsatz fällt eine Bewertung nicht immer so leicht und eindeutig aus: „Parkt ein Auto mit laufendem Motor nachts vor einem Haus und sitzen darin dunkel gekleidete Gestalten, macht es wohl Sinn, mehr als nur die Fahrzeugpapiere zu überprüfen“, so Neuens.
Um Missbrauch zu verhindern, hat nicht jede Polizeibeamtin zu jedem Moment Zugang zum gesamten Datensatz. Auch wird bei jedem Datenabruf in einer Art Logbuch festgehalten, wer diese Daten abruft und zu welchem Zweck. Das gilt für die meisten staatlichen Datenbanken, beispielsweise für das Personenstandsregister. In der Vergangenheit hatte es dort öfter unzulässige Einblicke gegeben, wenn etwa Beamte die neue Wohnadresse eines geschiedenen Partners nachgeschaut und weitergereicht hatten. Weiterbildungen und eine verbesserte Einführung für Polizeianwärter in Datenschutzanliegen sollen das Bewusstsein für den Schutz persönlicher Daten und für Rechtsgrundsätze wie die Datensparsamkeit und Verhältnismäßigkeit schärfen.
Zu den technologischen Barrieren gegen Missbrauch zählt Datenschützer Thierry Lallemang von der CNPD auch die obligatorische Angabe eines Motivs. Beamte, die eine Datenbank einsehen wollen und personenbezogene Datensätze beantragen, sollten begründen, wozu sie diese benötigen. „Oft ist das angegebene Motiv der einzige Hinweis, um später nachprüfen zu können, ob eine Datenabfrage in Umfang und zur Person rechtens war“, mahnt Lallemang. Das sieht man bei der Polizei etwas anders: Manchmal verändere sich der Grund einer Datenabfrage während eines Polizeieinsatzes, relativiert Neuens die Bedeutung, immer ein Motiv angeben zumüssen. Wichtiger findet er, und da sind sich nationale Datenschutzkommission und Polizei wieder einig: „Derartige Datenlecks sind keine Kavaliersdelikte und müssten deshalb spürbare Strafen nach sich ziehen.“