Ansichten eines Informatikers

Die Polizei und ihr Zugriff auf die Luca-App-Daten

Hadmut
9.1.2022 17:01

Wenn’s mal wieder anders läuft als versprochen.

Ursprünglich hieß es ja mal, dass die Daten aus der Corona-Kontaktverfolgung natürlich zu gar nichts anderem verwendet werden als eben zur Nachverfolgung.

Verschiedene Quellen, darunter Heise, SPIEGEL, ORF, WinFuture, berichten, Urquelle war nach deren Angaben der SWR, dass die Mainzer Polizei in einem Todesfall rechtswidrig auf die Daten der Luca-App zugegriffen hätten. Heise:

Die Mainzer Polizei hat bei Ermittlungen zu einem Sturz mit Todesfolge in der Altstadt der Landeshauptstadt ohne rechtliche Grundlage Daten aus dem System hinter der Luca-App eingesetzt. Dies berichtet der SWR unter Verweis auf eigene Recherchen. Die Staatsanwaltschaft hat inzwischen den Missbrauch der personenbezogenen Informationen eingestanden, die für das Verfolgen von Kontaktpersonen Infizierter gesammelt werden, und sich für das Vorgehen der Fahnder entschuldigt.
Zeugen gesucht

Die Ermittler machten laut dem Bericht mithilfe der Datenabfrage Besucher einer Gaststätte in der Mainzer Innenstadt aus. Sie wollten diese als mögliche Zeugen für das tragische Geschehen gewinnen, bei dem ein Gast der Wirtschaft Ende November offenbar gestürzt und später seinen Verletzungen erlegen war. Eine leitende Mitarbeiterin der Gaststätte bestätigte dem Sender, dass Beamte der Mainzer Kriminalpolizei sie nach dem Vorfall aktiv nach Daten aus dem Luca-System gefragt hätten.

Später habe sie dann via Luca-App eine Bitte des Gesundheitsamtes Mainz um Datenfreigabe bezüglich der am 29. November anwesenden Gäste erhalten, berichtete die Wirtin. Dieser habe sie stattgegeben. Ein Betroffener bestätigte, er sei am 20. Dezember von der Polizei kontaktiert worden mit dem Hinweis, dass seine Kontaktdaten via Luca-App gewonnen worden seien. […]

Strafverfolger dürfen auf Informationen aus dem umstrittenen Luca-System, das in vielen öffentlichen Einrichtungen zum Registrieren von Besuchern eingesetzt wird, in der Regel schon aufgrund Paragraf 28a des Infektionsschutzgesetzes des Bundes aus datenschutzrechtlichen Gründen nicht zugreifen. […]

Tatsächlich habe es für die Aktion “keine hinreichende rechtliche Grundlage” gegeben.

Ich bin mir nicht ganz sicher, was ich davon halten soll.

Denn zunächst mal erscheint mir die Darstellung im Detail und der Tendenz nicht ganz richtig: Nicht die Polizei hat zugegriffen, sondern die Gesundheitsbehörde hat Zugriff gewährt. Das ist ein bisschen was anderes. Im faktischen Ergebnis läuft es zwar auf dasselbe hinaus, aber die Schuldfrage, die Frage, wo und durch wen der Rechtsbruch erfolgte, ist eine andere.

Dazu müsste man genauer wissen, was da passiert ist.

Grundsätzlich nämlich ist von der Polizei in einem Todesfall, und da schwingt hier ja so ein Mord-Aroma in der Luft mit, alles zu nutzen, was sie ermitteln können. Deshalb tendiere ich dazu, die Schuld nicht bei dem zu suchen, der fragt, sondern bei dem, der antwortet. Das hängt vielleicht damit zusammen, dass ich 2009 mal in der Vorratsdatenspeicherung tätig war, und mich dabei auch mit dem BKA, einigen LKAs, Staatsanwälten, Richtern und Anwaltskanzleien angelegt habe, wenn ich Auskunftsersuchen für unrechtmäßig hielt. Und zwar auch dann, wenn sie mir drohten, mich festnehmen zu lassen. Weil nach meiner Überzeugung nicht (nur) die fragende Stelle, sondern vor allem mal die Stelle, die im Besitz der Daten ist, die – datenschutzrechtlich gesprochen – „verantwortliche Stelle“ zuallererst dran ist, die Rechtmäßigkeit der Datenherausgabe zu prüfen. Insofern stört mich zuallererst, dass die Artikel nur auf der Polizei herumhacken, und nicht auf dem Gesundheitsamt.

Dazu kommt noch ein anderer Aspekt.

Das Gesundheitsamt hat nämlich nicht einfach nur Daten (ob nun rechtmäßig oder nicht) herausgegeben, die es hat, sondern es hat aktiv die Daten erst ermittelt, indem sie einen Corona-Infektionsfall simuliert und die Zustimmungen eingeholt hat. Das ist im Prinzip nicht mehr Auskunft, sondern Amtshilfe. Gerade deshalb hätte der Skandalfokus meines Erachtens eher beim Gesundheitsamt, als bei der Polizei liegen müssen.

Die Sache ist generell nicht so einfach, wie sich die Medien das vorstellen.

Grundsätzlich nämlich unterliegt es keinem Beweis- oder Ermittlungsverbot, wer an einem Abend in einer Gaststätte war. Wäre beispielsweise beim Vorfall die Polizei sofort vor Ort gewesen und in die Gaststätte gestürmt, hätte sie durchaus alle Anwesenden nach dem Ausweise fragen und die Daten notieren dürfen, um sie später als Zeugen zu vernehmen. Grundsätzlich unterliegt es also keinem Verbot, dass die Polizei erhebt, wer zur Tatzeit in einer Gaststätte war.

Man kann sich auch das Gedankenexperiment vorstellen, dass es dort obendrein noch einen echten COVID-19-Fall gegeben hätte und das Gesundheitsamt ganz regulär die Liste der Anwesenden erstellt hätte, um sie zu warnen oder in Quarantäne zu schicken, und die Polizei dann beim Gesundheitsamt nach der Liste gefragt oder den entsprechenden Mitarbeiter als Zeugen vernommen hätte.

Ich kenne mich zwar im Strafrecht nicht so aus, kann mich aber aus der Diskussion mit einer Strafverteidigerin, die mich neulich mal fachlich konsultierte, an ein Detail erinnern, nämlich dass sich im deutschen Strafrecht die Frage der Beweiserhebungs- und verwertungsverbote nicht darauf bezieht, wie man an die Daten kam, sondern um welche Daten es geht. Es spiele also keine Rolle, ob die Polizei unrechtmäßig an die Daten gekommen sei, solange die Daten selbst nicht dem Verwertungsverbot unterliegen. Ich weiß nicht mal, ob das stimmt, aber so hatte die mir das gesagt. Da ging es nämlich um genau so einen Fall, und sie wollte, dass ich ihr in Sachen IT was erkläre, was sie technisch nicht verstanden hatte. Das Gespräch lief darauf hinaus, dass es eigentlich nichts bringe, das zu vertiefen, weil man damit höchstens belegen könne, dass die Polizei unrechtmäßig zugegriffen hatte, ihr das prozessual aber nichts bringe, weil es nicht darauf ankäme, wie die Polizei an die Daten gekommen sei, sondern nur, ob die Daten selbst einem strafrechtlichen Verwertungsverbot unterlägen. Bestimmt bekomme ich jetzt wieder Zuschriften von Anwälten, dass das falsch sei, aber ich gebe da einfach mal nur wieder, was diese Anwältin mir da gesagt hatte.

Berücksichtigen sollte man dabei, dass die Laien- und Medienauffassung zum Strafrecht in Deutschland leider vorrangig von US-amerikanischen Krimiserien geprägt wird. Entgegen anderslautender allgemeiner Überzeugung und Mediendarstellung schlagen bei uns (außer in Privatfernsehensrichtershows) die Richter nicht mit dem Hammer auf den Tisch, und Anwälte rufen nicht „Einspruch, Euer Ehren!“. (Habe ich allerdings mal aus Sarkasmus und Rhetorik mit entsprechender Betonung vor einem Verwaltungsgericht getan, und mir damit tatsächlich die Aufmerksamkeit der Richter geholt.)

Insofern sehe ich den primären Fehler übrigens auch nicht bei der Polizei oder beim Gesundheitsamt, denn beiden kann man den Gesetzesdickicht sowieso nicht mehr zumuten, sondern beim Gesetzgeber. Das ist einfach gesetzlicher Murks.

Und das merkt man auch.

So bezieht sich die Presse, hier Heise, darauf, dass die rheinland-pfälzische Landesregierung dazu erklärt:

Können meine Kontaktdaten auch zu anderen Zwecken verwendet werden (z.B. zur Strafverfolgung)?

Die zur Kontaktnachverfolgung erhobenen Daten dürfen nach § 28a Abs. 4 des Infektionsschutzgesetzes sowie nach § 1 Abs. 8 der Corona-Bekämpfungsverordnung Rheinland-Pfalz nicht zu anderen Zwecken verwendet werden.

Jetzt ist das aber nicht nur unmaßgeblich, was die Landesregierung sagt, weil das der Gesetzgeber und nicht die Landesregierung regelt, was zwar oft dieselben Parteien, aber nicht dieselben Leute sind, sondern auch unbeachtlich, was die auf einer Webseite tönen.

Schauen wir mal in diesen § 28a Absatz 4 des Infektionsschutzgesetzes:

(4) Im Rahmen der Kontaktdatenerhebung nach Absatz 1 Nummer 17 dürfen von den Verantwortlichen nur personenbezogene Angaben sowie Angaben zum Zeitraum und zum Ort des Aufenthaltes erhoben und verarbeitet werden, soweit dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist. Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen verwendet werden und sind vier Wochen nach Erhebung zu löschen. Die zuständigen Stellen nach Satz 3 sind berechtigt, die erhobenen Daten anzufordern, soweit dies zur Kontaktnachverfolgung nach § 25 Absatz 1 erforderlich ist. Die Verantwortlichen nach Satz 1 sind in diesen Fällen verpflichtet, den zuständigen Stellen nach Satz 3 die erhobenen Daten zu übermitteln. Eine Weitergabe der übermittelten Daten durch die zuständigen Stellen nach Satz 3 oder eine Weiterverwendung durch diese zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen. Die den zuständigen Stellen nach Satz 3 übermittelten Daten sind von diesen unverzüglich irreversibel zu löschen, sobald die Daten für die Kontaktnachverfolgung nicht mehr benötigt werden.

Da steht nichts von einem Verbot für die Polizei, die Daten zu erheben.

Da steht nur was von Verboten für die verantwortlichen und zuständigen Stellen. Und genaugenommen nicht mal das:

Satz 1 (Im Rahmen…):
Beschränkt nur, welche Daten überhaupt mit Luca-App u.ä. erhoben werden dürfen.
Satz 2 (Die Verantwortlichen…):
Sagt nur, dass die Kenntnisnahme durch Unbefugte ausgeschlossen ist. Es sagt weder, dass die Polizei unbefugt ist, ihre Strafverfolgung zu betreiben, noch dass damit ein Aussageverweigerungsrecht (oder -pflicht) einhergeht. Das ist eine Sorgfaltspflicht.
Satz 3 (Die Daten…):
Der ist kritisch. Aber dumm formuliert. Denn er faselt so allgemein von „nach Landesrecht für die Erhebung der Daten zuständigen Stellen“. Das ist nicht ganz trivial, denn die Polizei unterliegt (auch) Landesrecht und hat zu ermitteln. Vor allem aber ist der Sinn schräg, denn es ist fraglich, ob das überhaupt anwendbar ist. Denn wenn man es genau liest, dann heißt das nur, dass die Luca-App (oder eine ähnliche) die Daten nur an die zur Erhebung zuständige Stelle, nämlich hier das Gesundheitsamt, weitergeben darf. Und das wurde ja nicht verletzt. Es sagt nicht, was die Zuständige Stelle damit tun darf, nachdem sie sie erhoben hat. Die Daten wurden hier aber – so wie sich das darstellt – nicht direkt von der Luca-App an die Polizei gegeben. Sondern vom Gesundheitsamt. Und das wird meines Erachtens von diesem Satz nicht mehr erfasst.
Satz 4 (Die zuständigen …):
Sagt, dass das Gesundheitsamt die Daten anfordern durfte, „soweit“ dies zur Kontaktnachverfolgung nach § 25 Absatz 1 erforderlich ist. Hiergegen wurde wohl verstoßen, aber nicht durch die Polizei, sondern durch das Gesundheitsamt.
Satz 5 (Die Verantwortlichen…)
Hilft hier nichts.
Satz 6 (Eine Weitergabe…)
Das wäre nun der wirklich kritische Satz. Auch hiergegen wurde augenscheinlich verstoßen. Und der könnte auch der Polizei Probleme machen. Nur: Schon der Begriff der „Weitergabe“ ist problematisch, weil der nur eigenes Handeln erfasst. Der erfasst nicht die Pflicht, beispielsweise bei einer Zeugenaussage zu antworten. Im Datenschutz gibt es viele Fälle, bei denen eine Weitergabe ausgeschlossen ist, weil der Betroffene nicht zugestimmt hat. Trotzdem geht damit kein Aussageverweigerungsrecht einher. Und polizeiliche (und damit hoheitliche!) Ermittlungen fallen auch nicht ohne weiteres unter „Weiterverwendung“. Das meint eher so „Wir haben festgestellt, dass Sie häufig eine Schwulenkneipe aufsuchen…“
Satz 7 (Die den zuständigen…)
Hilft hier nicht, weil die Polizei nicht unbedingt darunter fällt.

Und dann gibt es noch den erwähnten § 1 Absatz 8 der „Corona-Bekämpfungsverordnung Rheinland Pfalz“. Ah, welche denn? Gefunden habe ich gerade die Neunundzwanzigste. Und deren § 1 hat gar keine Absätze, schon gar keinen achten.

Das ist alles nicht so einfach, wie jetzt alle gerne schreien.

  • Dass die Polizei hier gegen Recht verstoßen hat, erschließt sich mir jetzt nicht so unmittelbar und wasserdicht, dass ich einen Vorwurf darauf stützen würde.
  • Die Gesetzeslage gibt meines Erachtens in erster Linie einen Rechtsbruch durch das Gesundheitsamt her, aber selbst der ist jetzt auch nicht so wirklich diskussionsfest. Seltsamerweise prügeln die Medien aber auf die Polizei und nicht das Gesundheitsamt ein. Offenbar will man hier die Gesundheitsämter und die Luca-App schützen. Seriöser Journalismus ist das nicht.

Natürlich ist hier etwas schief gelaufen. Den eigentlich Bock haben meines Erachtens aber Regierung, Gesetzgeber und auch Medien geschossen.

Denn die Gesetze und Verordnungen sind einfach hundsmiserabel formuliert. Das ist einfach gesetzlicher Pfusch.

Und wenn ich dann noch sowas lese wie den Verweis auf § 1 Abs. 8 der Verordnung, und dann da die „Neunundzwanzigste“ finde, und die keinen Absatz 8 hat, wer soll das dann noch befolgen können?

Wer von den Lesern konnte denn überhaupt diesen oben zitierten § 28a Absatz 4 aus dem Infektionsschutzgesetz eindeutig verstehen?

Warum steht da nicht eindeutig ein Beweiserhebungsverbot in der Strafprozessordnung? Nämlich dort, wo auch die Staatsanwaltschaften es lesen?

Ich halte es deshalb schlicht für unangebracht, sich über die Polizei aufzuregen. Zumal die hier ja nichts Böses wollten, sondern einfach nur einen Todesfall aufklären, und das muss ich hier auch mal klarstellen: Bei Todesfällen, bei denen vielleicht ein Tötungsdelikt im Raum steht (sonst wäre die Staatsanwaltschaft ja nicht dran), halte ich es für richtig, dass da einiges geht und gemacht wird. In der Abwägung gegen das Interesse, wer wann wo in welcher Gaststätte war – die ja ohnehin ein öffentlicher Raum ist, wo einen jeder sehen kann, und in der die Polizei auch direkt die Anwesenden hätte ermitteln dürfen – sehe ich hier in diesem speziellen Fall jetzt auch kein so großes Skandalpotential. Der Weg dahin ist natürlich kritisch, aber an sich ist die Polizei hier nicht an Daten gekommen, die sie nicht auch sonst hätte ermitteln und besitzen dürfen. Das Ergebnis ist nicht rechtswidrig.

Freilich bietet der Fall durchaus Grund und Anlass, sich zu beschweren und aufzuregen. Durchaus. Das hätte so nicht laufen dürfen.

Das Problem sehe ich hier aber nicht bei der Polizei, sondern darin, dass wir es uns inzwischen bewusst und gewollt so wählen, dass in der Regierung und vor allem in den Parlamenten, dem Gesetzgeber, dumme und dümmste Leute sitzen, nämlich die Parteien. Wir haben uns da in einen regelrechten Dummenkult begeben, und es graust einem, wenn man sieht, was für Leute da als Bundes- und Landtagsabgeordnete tätig sind. Versager, Studienabbrecher, Luftikusse.

Ihr könnt Euch nicht gleichzeitig darüber aufregen, dass hier was schief läuft, weil die Gesetze schlecht formuliert sind, aber gleichzeitig reine Berufsdummen- und Quereinsteigerinnenquotenparteien wie SPD, Grüne und teils auch CDU wählen.

Und damit ist der eigentliche Schuldige am Datenbruch: Der Wähler.

Leute, Ihr müsst einfach mal begreifen, dass Ihr dumme Gesetze bekommt, wenn Ihr Euch Dumme in die Bundes- und Landtage wählt. Und dass es einfach Folgen hat, sich gewollt von Dummen regieren zu lassen.

Das ist hier kein Fall von Rechtsbruch durch die Polizei.

Das ist hier ein Fall von „Geliefert wie bestellt“.

Und wenn Euch das nicht passt, dann müsst Ihr eben endlich aufhören, Euch von Dummen vertreten zu lassen.

Alle regen sich – in die eine oder die andere Richtung – über die Corona-Maßnahmen auf. Aber keiner kommt auf die Idee, dass es gerade in solchen Krisenzeiten ein Fehler sein könnte, sich von einem Haufen Abiturienten, Durchgeknallter, Studienabbrecher und Lebensversager regieren zu lassen.