G20: Hinweisportal der Polizei Hamburg hat rechtliche Probleme

Über die Webseite hh.hinweisportal.de bittet die Polizei Hamburg nach den Protesten gegen den G20-Gipfel in Hamburg um Hinweise zur Ermittlung von Straftätern. Auf dem Webportal lassen sich Mediendateien hochladen, zudem können ergänzende Hinweise und Angaben zur eigenen Person gemacht werden: Vorname, Nachname, Geburtstag, Geburtsort, Straße und Hausnummer, Postleitzahl, Stadt, Telefonnummer, Mobilnummer und E-Mail. Solche personenbezogenen Daten genießen durch Gesetze zum Datenschutz und das Telemediengesetz besonderen Schutz. Auf dem Hinweisportal wird die Übertragung der Daten aber nicht ausreichend geschützt - sie werden standardmäßig nicht verschlüsselt.

Golem.de hat die Polizei Hamburg auf diesen Umstand aufmerksam gemacht und sich nach dem Datenschutzbeauftragten der Behörde erkundigt. Dieser war aus dem Inhalt der Webseite nicht ersichtlich, nach deutschem Recht ist er allerdings für solche Hinweise zuständig. Den Namen des Datenschutzbeauftragten haben wir nicht erfahren, allerdings wurde uns mitgeteilt, dass die Anfrage an einen Verantwortlichen aus der IT-Abteilung weitergeleitet worden sei. Mittlerweile ist die Webapplikation mit Verschlüsselung erreichbar, allerdings nach wie vor nicht im Standard, sondern nur, wenn Browsererweiterungen wie HTTPS Everywhere genutzt werden oder manuell "https" zu Beginn der URL eingegeben wird. Es können und werden vermutlich bis jetzt Hinweise mit personenbezogenen Daten im Klartext übertragen.

Rechtliche Probleme

Aus rechtlicher Sicht ist das aus mehreren Gründen heikel. Die Schutzziele Vertraulichkeit und Integrität sind bei einer Übertragung im Klartext massiv gefährdet. Möglicherweise sind Hinweise, die unverschlüsselt über das Portal eingehen, sogar vor Gericht anfechtbar. Videos oder Fotos können zwar vor Gericht als Beweismittel dienen (siehe dazu StPO Paragraf 244), allerdings kann bei einer unverschlüsselten Übertragung nicht sichergestellt werden, dass die Aufnahmen authentisch sind und zudem nicht manipuliert wurden.

Im Telemediengesetz Pragraf 13 steht zudem: "Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann". Daraus ergibt sich die Pflicht für Anbieter, Verschlüsselung einzusetzen, wenn sie personenbezogene Daten verarbeiten, um das Ausspähen durch Dritte zu verhindern. In der Praxis wird dazu meist TLS in der aktuellen Version 1.2 eingesetzt - auf dem Hinweisportal ist das nach wie vor aber nicht standardmäßig der Fall. Ein Verstoß gegen das Telemediengesetz stellt eine Ordnungswidrigkeit dar und kann laut Telemediengesetz Paragraf 16 im Extremfall mit einem Bußgeld von bis zu 50.000 Euro geahndet werden.

Wir haben die Polizei Hamburg um Stellungnahme gebeten und unter anderem gefragt, wie diese die Sachlage einschätzt, wie viele der Hinweise eingegangen sind und wie viele davon unverschlüsselt übermittelt wurden. Der Datenschutzbeauftragte der Behörde teilte uns am Montagvormittag bereits mit, dass er den Hinweis "an die zuständigen Stellen mit der Bitte um Stellungnahme weitergeleitet habe" und eine Bewertung nicht mehr von seinem Aufgabenkreis beziehungsweise Kompetenzen gedeckt sei.

Wir werden an dieser Stelle informieren, wenn es zu dem Sachverhalt neue Informationen gibt.