BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/18123 21. Wahlperiode 30.08.19 Schriftliche Kleine Anfrage der Abgeordneten Christiane Schneider (DIE LINKE) vom 23.08.19 und Antwort des Senats Betr.: Wie sicher sind dienstliche Daten bei der Polizei Hamburg vor Missbrauch ? In den vergangenen Monaten waren mehrfach Fälle von Datenmissbrauch durch Polizeikräfte in anderen Länderpolizeien bekannt geworden. In Mecklenburg-Vorpommern soll Medienberichten zufolge die rechtsterroristische Gruppe „Nordkreuz“ politische Gegner ausspioniert haben; die Ermittler gehen davon aus, dass ein Tatverdächtiger, ein Polizeibeamter, zu diesem Zweck mindestens 27 Abfragen im Einwohnermeldesystem des Landes Mecklenburg-Vorpommern tätigte. In Berlin wurden im Dezember 2017 Drohbriefe an vermeintlich linke Aktivisten /-innen geschickt und den Empfängern/-innen wurde angedroht, dass ihre Namen an die extreme rechte Szene oder die Polizei weitergegeben werden. Die Briefe enthielten persönliche Informationen, Meldeanschriften und Fotos über die Empfänger/-innen. Erst Anfang 2019 kam ans Licht, dass Urheber der Briefe mindestens ein Berliner Polizeibeamter war, der die Informationen über die Empfänger/-innen aus polizeilichen Informationssystemen recherchiert hat. In Hessen erhielt eine Anwältin, die unter anderem Angehörige eines NSU- Opfers vertreten hat, mehrere Drohschreiben, die mit NSU 2.0. unterzeichnet waren. In einem hessischen Polizeirevier waren zuvor ihre privaten Daten an einem Dienstcomputer ohne dienstlichen Grund abgerufen worden, und es gibt Hinweise darauf, dass die Drohbriefe von hessischen Polizeikräften stammen. Aufgrund dieses mutmaßlichen Missbrauchs hat die Polizeiführung in Hessen Zufallskontrollen bei jedem 200. Abruf des polizeilichen Auskunftssystems POLAS veranlasst. Trotz des Stichprobencharakters wurden seit Februar 9 000 Fälle an den Datenschutzbeauftragten übergeben – für das Jahr 2018 waren demgegenüber 180 Verdachtsfälle bekannt geworden. Vor diesem Hintergrund frage ich den Senat: Mit der polizeilichen Aufgabenwahrnehmung ist die Verarbeitung personenbezogener Daten immanent verbunden. Fragen des Datenschutzes und insgesamt des rechtmäßigen Umgangs mit Daten sind für die Polizei dabei ein zentrales eigenes Thema. Das umfasst neben der technischen und verfahrensmäßigen Sicherheit der Datenverarbeitung auch die Aus- und Fortbildung der Beschäftigten. Jährlich werden mehrere Hunderttausend Datenverarbeitungsvorgänge durchgeführt. Dies vorausgeschickt, beantwortet der Senat die Fragen wie folgt: Drucksache 21/18123 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 1. In wie vielen Fällen wurden wegen des Vorwurfs des widerrechtlichen Erhebens und/oder des Verwendens personenbezogener Daten zu außerdienstlichen oder privaten Zwecken seit 2014 gegen Bedienstete und Beamte der Polizei Hamburg dienst- oder strafrechtliche Ermittlungen beziehungsweise Ordnungswidrigkeitsverfahren eingeleitet? Bitte nach Jahr und Tatvorwurf aufschlüsseln und Ergebnis der jeweiligen Verfahren angeben. Ordnungswidrigkeiten im Sinne der Fragestellung werden beim Justiziariat der Polizei (J 23) bearbeitet. Im Zeitraum 1. Januar 2014 bis zum Stichtag 26. August 2019 sind wegen datenschutzrechtlicher Verstöße von Polizeibediensteten eingeleitete Ordnungswidrigkeitsverfahren in folgender Anzahl und mit folgendem Verfahrensausgang bei J 23 registriert: Jahr Verfahren Tatvorwurf Verfahrensausgang 2014 10 Unbefugte Erhebung, Speicherung, Löschung, Sperrung, Veränderung, Übermittlung oder Nutzung nicht offenkundiger personenbezogener Daten, § 33 Abs. 1 Nr. 1 Hamburger Datenschutzgesetz (HmbDSG) 2009 ‐ 7 rechtskräftige Bußgeldbescheide ‐ 2 Einstellungen nach § 46 OwiG ‐ 1 Einstellung nach § 47 OWiG 2015 7 Unbefugte Erhebung, Speicherung, Löschung, Sperrung, Veränderung, Übermittlung oder Nutzung nicht offenkundiger personenbezogener Daten, § 33 Abs. 1 Nr. 1 HmbDSG 2009 ‐ 6 rechtskräftige Bußgeldbescheide ‐ 1 Einstellung nach § 47 OWiG 2016 15 Unbefugte Erhebung, Speicherung, Löschung, Sperrung, Veränderung, Übermittlung oder Nutzung nicht offenkundiger personenbezogener Daten, § 33 Abs. 1 Nr. 1 HmbDSG 2009 ‐ 8 rechtskräftige Bußgeldbescheide ‐ 1 Einstellung nach § 46 OWiG ‐ 6 Einstellungen nach § 47 OWiG 2017 14 Unbefugte Erhebung, Speicherung, Löschung, Sperrung, Veränderung, Übermittlung oder Nutzung nicht offenkundiger personenbezogener Daten, § 33 Abs. 1 Nr. 1 HmbDSG 2009 ‐ 11 rechtskräftige Bußgeldbescheide ‐ 3 Einstellungen nach § 47 OWiG 2018 20 Unbefugte Erhebung, Speicherung, Löschung, Sperrung, Veränderung, Übermittlung oder Nutzung nicht offenkundiger personenbezogener Daten, § 33 Abs. 1 Nr. 1 HmbDSG 2009; seit dem 25. Mai 2018: Unbefugte Verarbeitung nicht offenkundiger personenbezogener Daten, § 27 Abs. 1 Nr. 1 HmbDSG ‐ 11 rechtskräftige Bußgeldbescheide ‐ 6 Verwarnungen ohne Verwarngeld ‐ 3 Einstellungen nach § 47 OWiG 2019* 12 Unbefugte Verarbeitung nicht offenkundiger personenbezogener Daten, § 27 Abs. 1 Nr. 1 HmbDSG ‐ 2 Bußgeldbescheide, davon 1 rechtskräftig ‐ 10 Verfahren sind in Bearbeitung * Stichtag 26. August 2019 Bei der Polizei ist die Dienststelle für Disziplinarangelegenheiten/Beschwerdemanagement in der Personalabteilung (PERS 02) für gegen Beamte gerichtete dienstrechtliche Ermittlungen im Sinne der Fragestellung zuständig. Die Entscheidung über die Einleitung eines Disziplinarverfahrens obliegt dem im jeweiligen Einzelfall für den Beamten zuständigen Disziplinarvorgesetzten. Statistische Daten im Sinne der Fragestellung zu Disziplinarverfahren werden bei PERS 02 nicht erhoben. Darüber hinaus sind Daten zu Disziplinarverfahren durch PERS 02 aufgrund gesetzlicher Löschfristen und Verwertungsverbote nur für den Zeitraum ab dem Jahr 2017 recherchierbar; darüber hinaus liegen ältere Unterlagen nicht mehr vor. Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/18123 3 Daten zu einzelnen Tatvorwürfen bereits durch PERS 02 abgeschlossener Disziplinarverfahren liegen dort nicht mehr vor. Für eine weitergehende Beantwortung wäre eine manuelle Auswertung der jeweiligen Personalakten der Betroffenen erforderlich, dies ist in der für die Beantwortung einer Schriftlichen Kleinen Anfrage zur Verfügung stehenden Zeit nicht möglich. Die Anzahl der im Zeitraum 1. Januar 2017 bis zum Stichtag 26. August 2019 eingeleiteten Disziplinarverfahren ist in der folgenden Tabelle dargestellt: Jahr Disziplinarverfahren Tatvorwurf Verfahrensausgang 2017 8 ‐ 6 Fälle: keine Angabe* ‐ 1 Fall: unerlaubte Datenabfragen ‐ 1 Fall: unerlaubte Datenabfragen und Datenweitergabe ‐ in allen 6 Fällen: Einstellung gemäß § 32 Abs. 1 Nr. 3 Hamburgisches Disziplinargesetz (HmbDG) (Unzulässigkeit einer Disziplinarmaßnahme ) ‐ Verfahren noch nicht abgeschlossen ‐ Verfahren noch nicht abgeschlossen 2018 1 Keine Angabe* Einstellung gemäß § 32 Abs. 1 Nr. 3 HmbDG (Unzulässigkeit einer Disziplinarmaßnahme ) 2019** 3 ‐ 1 Fall: unerlaubte Datenerhebung ‐ 2 Fälle: Nutzung rechtmäßig erhobener Daten für private Zwecke In allen 3 Fällen sind Verfahren noch nicht abgeschlossen. * abgeschlossene Verfahren, keine Unterlagen bei PERS 02 ** Stichtag: 26. August 2019 Statistische Daten zu arbeitsrechtlichen Maßnahmen bei Verstößen im Sinne der Fragestellung durch Tarifbeschäftigte werden bei der Polizei nicht erhoben. Für die Beantwortung wäre eine manuelle Durchsicht der Personalakten aller Tarifbeschäftigten der Polizei Hamburg erforderlich. Die Auswertung von circa 1 600 Personalakten ist in der für die Beantwortung einer Parlamentarischen Anfrage zur Verfügung stehenden Zeit nicht möglich. Bei allen festgestellten Verstößen von Tarifbeschäftigten erfolgt eine sorgfältige Prüfung arbeitsrechtlicher Maßnahmen von der Ermahnung, über Abmahnung bis hin zur Kündigung. Im Arbeitsrecht können Er- und Abmahnungen nach drei Jahren auf Antrag des Betroffenen aus der Personalakte entfernt werden, dürfen danach generell nicht mehr verwertet werden, während die Unterlagen nur nach einer rechtmäßigen Kündigung in der Personalakte verbleiben. Hingegen sind sie bei einer erfolgreichen Kündigungsschutzklage des Beschäftigten zu vernichten. Außerhalb der Personalakte(n) dürfen entsprechende Daten über die Prüfung arbeitsrechtlicher Maßnahmen nicht gespeichert oder geführt werden. Im Zeitraum 1. Januar 2015 bis 26. August 2019 wurden beim Dezernat Interne Ermittlungen (DIE) in insgesamt 72 Fällen, davon 37 Fälle wegen des Verdachts der Verletzung von Privatgeheimnissen gemäß § 203 Strafgesetzbuch (StGB), 28 Fällen wegen des Verdachts der Verletzung des Dienstgeheimnisses und einer besonderen Geheimhaltungspflicht gemäß § 353b StGB, 7 Fälle wegen des Verdachts der Bestechlichkeit gemäß § 332 StGB ermittelt. Zu den von der Justizbehörde hierzu übermittelten Erkenntnissen zu den Verfahrensausgängen siehe Anlage. Drucksache 21/18123 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 2. Welche technischen Mechanismen bestehen bei den jeweiligen polizeilichen Auskunftssystem, um das Abrufen von Daten zu dokumentieren und/oder zu kontrollieren? a. Werden Zugriffe auf die polizeilichen Auskunftssysteme dokumentiert ? Wenn ja, in welchem Umfang? b. Umfasst die Dokumentation, wer auf welche Datensätze zugreift? c. Müssen vor Zugriff auf polizeiliche Auskunftssysteme Gründe für den Zugriff angegeben werden? 3. Inwieweit erfolgt eine Kontrolle, ob Zugriffe auf polizeiliche Auskunftssysteme ausschließlich zu dienstlichen Zwecken erfolgt? Bitte Art, Turnus und Umfang der Kontrollen angeben. Auskunftssysteme im Sinne der Fragestellung sind für die Polizei das von den Einwohnerzentralämtern geführte „Einwohnermeldesystem“ (EWO), das beim Kraftfahrtbundesamt geführte „Zentrales Fahrzeugregister“ (ZFZR/ZEVIS) und das „Polizeiliche Auskunftssystem“ (POLAS/INPOL). Bei jedem Zugriff auf von der Polizei genutzte Auskunftssysteme werden das Datum, die Uhrzeit und die abgefragten Daten sowie die vom Dienstausweis automatisiert ausgelesene individuelle Dienstnummer des jeweils abfragenden Mitarbeiters protokolliert. Die gesamten Daten werden in einer Protokolldatei gespeichert. In der Eingabemaske der Auskunftsdateien „EWO“ und „ZFZR/ZEVIS“ wird mittels Plausibilitätsprüfung vor einer Abfrage der Abfragegrund abgefragt. Für das Auskunftssystem POLAS/INPOL ist ein automatisierter Zähler im Hintergrund eingestellt, der bei jeder 500. Abfrage von dem Abfragenden im Rahmen einer Zufallsprotokollierung eine individuelle Begründung zur Datenabfrage fordert. Die dort getätigten Eintragungen werden automatisiert mit den gesamten protokollierten Daten an ein dienststelleninternes Datenschutzpostfach übermittelt. 4. Wer ist für die Kontrolle, ob Zugriffe auf polizeiliche Auskunftssysteme ausschließlich zu dienstlichen Zwecken erfolgen, zuständig? Im Rahmen der Zufallsprotokollierung obliegt die Dienstaufsicht dem jeweiligen Dienstvorgesetzten. Darüber hinaus erfolgt eine jährliche Überprüfung der durchgeführten Kontrollen auf Stichhaltigkeit. Diese Aufgabe wird durch den Leitungsstab der Polizei wahrgenommen. 5. Welchen Dienstvorschriften oder andere Anweisungen existieren hinsichtlich der Nutzung von polizeilichen Datenauskunftssystemen bei der Polizei Hamburg? Bitte den Wortlaut angeben. Die Nutzung von Auskunftssystemen durch die Polizei ist zweckgebunden und daher nur zulässig, wenn dies zur Erfüllung polizeilicher Aufgaben erforderlich ist. Sie findet ihre Grenzen in den Erlaubnistatbeständen einschlägiger Rechtsgrundlagen und in den konkreten Zweckbestimmungen der Errichtungsanordnungen eingerichteter polizeilicher Dateien. Vor allem datenschutzrechtliche Vorgaben wirken sich auf den Umgang, aber auch die Ausgestaltung technischer Systeme aus. Hieraus resultieren technische Maßnahmen, die an die sich ändernden und wachsenden Anforderungen an die Datensicherheit und den Datenschutz anzupassen sind (zum Beispiel Protokollierung ). Aus den datenschutzrechtlichen Vorgaben erwachsen ferner organisatorische Maßnahmen, die als weiterer Baustein im Umgang mit Datenauskunftssystemen eine Gewährleistung der Datensicherheit befördern (zum Beispiel Berechtigungskonzepte ). Ergänzt werden diese Regelungen und Maßnahmen durch die in der nur für den internen Dienstgebrauch bestimmten Polizeidienstvorschrift für den täglichen Dienst der Polizei Hamburg (PDV 350 HH) festgelegten konkreten Anweisungen zum Umgang mit Datenauskunftssystemen. 20 15 Ta tv or - w ur f St G B Sa ch st an d 20 16 Ta tv or - w ur f St G B Sa ch st an d 20 17 Ta tv or - w ur f St G B Sa ch st an d 20 18 Ta tv or - w ur f St G B Sa ch st an d 20 19 Ta tv or - w ur f St G B Sa ch st an d 1 § 20 3 of fe n 1 § 20 3 of fe n 1 § 20 3 § 17 0 A bs .2 S tP O 1 § 20 3 of fe n 1 § 20 3 of fe n 2 § 20 3 § 17 0 A bs .2 S tP O 2 § 20 3 §1 70 A bs . 2 S tP O 2 § 20 3 of fe n 2 § 20 3 § 17 0 A bs .2 S tP O 2 § 20 3 of fe n 3 § 20 3 of fe n 3 § 20 3 of fe n 3 § 20 3 § 17 0 A bs .2 S tP O 3 § 20 3 § 17 0 A bs .2 S tP O 3 § 20 3 of fe n 4 § 20 3 of fe n 4 § 20 3 § 15 3 a A bs .1 S tP O 4 § 20 3 of fe n 4 § 20 3 § 17 0 A bs .2 S tP O 4 § 20 3 § 17 0 A bs .2 S tP O 5 § 20 3 § 17 0 A bs .2 S tP O 5 § 35 3 b § 17 0 A bs .2 S tP O 5 § 20 3 § 17 0 A bs .2 S tP O 5 § 20 3 § 17 0 A bs .2 S tP O 5 § 20 3 of fe n 6 § 20 3 § 17 0 A bs .2 S tP O 6 § 35 3 b § 17 0 A bs .2 S tP O 6 § 20 3 of fe n 6 § 20 3 § 17 0 A bs .2 S tP O 6 § 35 3 b § 17 0 A bs .2 S tP O 7 § 20 3 of fe n 7 § 35 3 b § 17 0 A bs 2 S tP O 7 § 20 3 § 17 0 A bs .2 S tP O 7 § 35 3 b § 17 0 A bs .2 S tP O 7 § 35 3 b E in st el lu ng 8 § 20 3 § 17 0 A bs .2 S tP O 8 § 35 3 b § 17 0 A bs .2 S tP O 8 § 20 3 § 17 0 A bs .2 S tP O 8 § 35 3 b § 17 0 A bs .2 S tP O 8 § 35 3 b of fe n 9 § 20 3 § 17 0 A bs .2 S tP O 9 § 35 3 b § 15 3 a A bs .1 S tP O 9 § 35 3 b of fe n 9 § 35 3 b of fe n 9 § 33 2 of fe n 10 § 20 3 § 17 0 A bs .2 S tP O 10 § 33 2 § 17 0 A bs . 2 S tP O 10 § 35 3 b § 17 0 A bs .2 S tP O 10 § 33 2 of fe n 10 11 § 20 3 § 17 0 A bs .2 S tP O 11 § 33 2 of fe n 11 § 35 3 b § 17 0 A bs .2 S tP O 11 11 12 § 20 3 § 17 0 A bs .2 S tP O 12 12 § 35 3 b § 17 0 A bs .2 S tP O 12 12 13 § 20 3 § 17 0 A bs .2 S tP O 13 13 § 35 3 b of fe n 13 13 14 § 20 3 § 17 0 A bs .2 S tP O 14 14 § 35 3 b of fe n 14 14 15 § 35 3 b E in st el lu ng 15 15 § 35 3 b § 17 0 A bs .2 S tP O 15 15 16 § 35 3 b § 17 0 A bs .2 S tP O 16 16 § 35 3 b § 17 0 A bs .2 S tP O 16 16 17 § 35 3 b § 17 0 A bs .2 S tP O 17 17 § 35 3 b of fe n 17 17 18 § 33 2 § 17 0 A bs .2 S tP O 18 18 § 35 3 b § 17 0 A bs .2 S tP O 18 18 19 19 19 § 35 3 b of fe n 19 19 20 20 20 § 35 3 b § 17 0 A bs .2 S tP O 20 20 21 21 21 § 35 3 b § 17 0 A bs .2 S tP O 21 21 22 22 22 § 35 3 b § 17 0 A bs .2 S tP O 22 22 23 23 23 § 33 2 of fe n 23 23 24 24 24 § 33 2 § 17 0 A bs .2 S tP O 24 24 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/18123 5 Anlage 18123ska_Text 18123ska_Anlage