Das versteckte Risiko: Wie Bundes-VeRA und INPOL unsere Datenschutzrechte untergraben

Eine Suchmaske der Datenanalyse-Software VeRA in Bayern wird auf der Seite des Innenausschusses des Bundestages gezeigt. Sie enthält die gleichen Inhalte wie die nebenstehende Nachbildung und soll zur Abfrage VON INPOL aus VeRA zu nutzen sein. Das ist nach hiesiger Auffassung rechtswidrig: Denn INPOL kann die rechtlich geforderte Kennzeichnung von Quelldaten nicht leisten.

Zum aktuellen Stand des Ringens um eine Einführung der Palantir-Software auf Bundesebene … | Lesedauer: Ca. 15 Minuten

1.1 Antrag der CDU/CSU und Anhörung

Die CDU/CSU-Fraktion im Bundestag möchte mit einem Entschließungsantrag eine Entscheidung von Bundesinnenministerin Faeser revidieren. Die hatte sich, zugegeben etwas überraschend, dafür ausgesprochen, das Datenanalysesystem Gotham des US-Herstellers Palantir in der in Bayern eingesetzten Variante namens „VeRA“ nicht beim Bundeskriminalamt und bei der Bundespolizei einzusetzen. Für diese Bundes-Variante hat sich inzwischen die Bezeichnung die „Bundes-VeRA“ eingebürgert.

1.1.1 Überraschende Absage der Bundesinnenministerin

Ministerin Faeser ließ vielmehr erklären, dass ein System für solche Zwecke „in eigener digitaler Kapazität“ im Rahmen des aktuell laufenden Jahrzehnteprogramms P20 entwickelt werden solle.
Solche Entwicklungen unter der Ägide ihres Ministerium können erfahrungsgemäß dauern, meist mehrere Jahre länger als ursprünglich angekündigt, und lieferten bisher zuverlässig nicht den ursprünglich versprochenen Funktionsumfang. Das trifft zu für alle drei großen IT-Entwicklungen der letzten 25 Jahre unter der Federführung von BMI und BKA, nämlich INPOL-Neu-Neu, den Polizeilichen Informations- und Analyseverbund (PIAV) und für Polizei 2020 (jetzt nur noch ‚P20‘ genannt, weil 2020 außer einem Konzept und einer aufwändigen Projektstruktur ohnehin noch nichts vorlag).

1.1.2 Anhörung am Montag, 24.4., von zehn Sachverständigen im Innenausschuss

Für Montag, den 22.04.24, hat der Innenausschuss des Bundestages zehn Sachverständige geladen und um ihre Stellungnahmen zum Antrag der CDU/CSU gebeten. Jeweils drei Experten stellen SPD und CDU/CSU, zwei die Grünen, einen die FDP und der scheidende Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wird quasi von Amts wegen gehört.

1.1.3 Die Affäre „Bundes-VeRA“ -ein trojanisches Pferd, beladen mit unterschiedlichen Interessen

Dieser Antrag, ist in mehr als einer Hiunsicht ein trojanisches Pferd, beladen mit den unterschiedlichen Interessen verschiedener Akteure: Es gibt da viel Doppelzüngigkeit, Intransparenz, Unehrlichkeiten und Tatsachen, die man gerne in Vergessenheit geraten lässt und die ich daher gerne für Sie unter dem Scheinwerfer ausbreiten und verstehbar machen möchte. Denn es geht – wieder einmal forciert von CDU und CSU – um die Einführung eines umfassenden polizeilichen Informationssystems, das geeignet ist, jeden von uns zum gläsernen Bürger zu machen.

Wenn Sie also Bescheid wissen wollen, was sich da tut: Dann müssen Sie sich diesen Artikel antun! Mit einer gewissen Portion trockenen Humors habe ich versucht, das unerfreuliche Thema zumindest genießbar zu machen …

1.2 Worum geht es eigentlich?

1.2.1 Das Datenanalysesystem

Ein Datenanalysesystem ist ein IT-System zur Sammlung, Verarbeitung, Analyse und Auswertung von großen Datenmengen. Es soll dabei helfen, die schiere Menge von Daten in kurzer Zeit durchsuchen und auswerten zu können, um daraus Erkenntnisse zu gewinnen, auf deren Basis fundierte Entscheidungen getroffen werden.

1.2.2 Die Quelldatensysteme, aus denen die relevanten Daten stammen

Die zu verarbeitenden Daten stammen meist von anderen IT-Systemen. Sie müssen also vor einer Auswertung und Analyse von dort eingelesen werden. Dazu müssen Schnittstellen geschaffen worden sein zu den entsprechenden Quelldatensystemen. Dafür kommen im Bereich der Polizei in Frage

• die behörden-eigenen Systeme
  • die Vorgangsbearbeitungssysteme,
  • die Fallbearbeitungssysteme,
  • Auskunftssysteme, darunter vor allem INPOL, in denen polizeilich relevante Daten über Personen, Sachen und Fälle bis zu zehn Jahre gespeichert werden
• sowie Zentralsysteme, wie insbesondere INPOL-Zentral mit dem gemeinsamen Bestand der überregional relevanten Daten aus allen Behörden zu Personen, Sachen und Fällen

1.2.3 Die bisher in deutschen Polizeibehörden eingesetzten Datenanalysesysteme

1.2.3.1 HessenData

Den Zug zur Beschaffung von Datenanalysesysteme setzte 2017 das hessische Innenministerium in Bewegung. Dabei heraus kam, nach einem reichlich intransparenten, oder positiv formuliert – ergebnisfokussierten – Beschaffungsverfahren der Einkauf des Systems Gotham des US-Herstellers Palantir. Gotham erhielt die für die hessische Polizei notwendigen Schnittstellen zu den wesentlichen polizeilichen Quelldatensystemen und wurde auf den Namen ‚HessenData‘ getauft. Vorkehrungen im hessischen Polizeigesetz für einen so umfassenden analytischen Rundblick über die Daten in allen relevanten Systemen waren schon zuvor geschaffen worden mit einem eigens eingefügten Par. 25a im HSOG. Der wurde kurz darauf zur Prüfung dem Bundesverfassungsgericht vorgelegt.

1.2.3.2 DAR in NRW

Kurz darauf schloss sich Nordrhein-Westfalen dem datenanalytischen Geleitzug an. Auch dort war der die deutsche Tochter des US-Herstellers Palantir der glückliche Gewinner des ergebnisfokussierten Beschaffungsverfahrens. Die NRW-Variante von Gotham erhielt den Namen DAR – datenbankübergreifendes Analyse- und Rechercheverfahren, im Übrigen – siehe Hessendata.

1.2.3.3 VeRA in Bayern

2020 wurde der Zug dann in Bayern aufgesetzt, zunächst mit einem langwierigen Marktsichtungsverfahren für VeRA, das verfahrensübergreifende Recherche und Analyseverfahren. Eine solche Marktsichtung sieht immer gut und beeindruckend korrekt aus in Beschaffungsverfahren, die ansonsten in den Ruch kommen könnten, ergebnisfokussiert zu sein. 2021 wurde dann ein beschränktes Teilnahmeverfahren bekannt gemacht, d.h. wenige Firmen, die ihr Interesse bei der Marktsichtung bekundet hatte und für geeignet befunden worden waren, wurden zur Angebotsabgabe eingeladen. Kaume in Jahr später lag auch dafür das Ergebnis vor und – man staune – auch bei diesem hochgradig korrekten Verfahren hatte die Palantir-Tochter das Rennen gewonnen.

1.2.4 Bayern’s VeRA als Geleitzugführer für alle, die sich anschließen wollen und sich das leisten können

Als das VeRA-Beschaffungsverfahren aufgesetzt wurde, war der ehemalige bayerische Ministerpräsident Seehofer Bundesinnenminister. Das mag eine Rolle gespielt haben bei der Entscheidung, mal ‚was Neues zu wagen in Sachen Beschaffung von IT-Systemen für die Polizei. VeRA wurde nämlich zum Geleitzugführer bestimmt, was bedeutete, dass die bayerische Entscheidung für VeRA für die Bundesbehörden und alle Bundesländer die Option eröffnen sollte, sich dem Zug anzuschließen.

Bayern fungiert in diesem Konstrukt als Hauptauftraggeber, der die Rahmenvereinbarungen mit der deutschen Palantir Tochtergesellschaft schließt und für die Erbringung der geforderten Leistungen verantwortlich ist. Der Bund wird durch das Bundeskriminalamt und die Bundespolizei repräsentiert und tritt als sekundärer Auftraggeber auf, der aus dem Hauptvertrag spezifische Leistungen abrufen kann. Die übrigen Bundesländer können ebenfalls aus der Rahmenvereinbarung Leistungen abrufen, sind jedoch nicht direkt an der primären Vertragsverhandlung beteiligt. Damit wollte man – sinnvollerweise – für eine gewisse Einheitlichkeit sorgen und nicht zuletzt auch die – bei Palantir sehr hohen Lizenz-Kosten und Wartungsgebühren – durch entsprechende Beschaffungsmengen einhegen.

1.3 Erneut stört das Bundesverfassungsgericht die schönen Pläne

1.3.1 Das Bundesverfassungsgericht und seine Kontrollfunktion über die Sicherheitsgesetze

Das Bundesverfassungsgericht nimmt ja schon seit Jahrzehnten (unfreiwillig, jedoch auftragsgemäß) die Kontrollfunktion ein für überbordende Befugnis-Ansprüche in den Polizeigesetzen von Bund und Ländern. Beim Bund wusste man seit den Zeiten der Bundesinnenminister Schily (erst Grüne, dann SPD), Schäuble (immer CDU), DeMaizière (CDU). Friedrich (CSU), DeMaizière (CDU), Seehofer (CSU), dass es opportun ist, im jeweils neuen BKA- oder BfV- oder BSI- oder BND-Gesetz das unrealistische Optimum an Befugnissen zu fordern, da das Bundesverfassungsgericht davon ohnehin einen erheblichen Teil als verfassungswidrig oder nichtig zusammenstreichen würde. Mit dem, was übrigblieb oder in die Neufassung hinüber gerettet wurde, hatten die konservativ ausgelegten Ministerialen immer noch vieles von dem erreicht, was sie ursprünglich vorhatten.

1.3.2 Die Klage gegen den Datenanalyse-Paragraphen im hessischen Polizeigesetz

Hessen und das ihm seit vielen Jahren kollegial verbundene Bundesland Hamburg, wenn es um gemeinsame IT-Entwicklungen für Polizeibehörden geht, hatten schon vor der Entscheidung für das Palantir-System ihre Polizeigesetze ertüchtigt, um den geplanten Einsatz von Gotham rechtlich abzusichern.

Dieser optimistischen Betrachtungsweise, die eine recht freizügige Nutzung des Analysewerkzeuge ermöglicht hätte, konnte sich das schon bald nach der Einführung in Hessen angerufene Bundesverfassungsgericht allerdings nicht anschließen. Es entschied mit Urteil vom 16.2.23 dass die Regelung für Hamburg nichtig und der Par. 25a des Hessischen Polizei- und Ordnungsgesetzes (HSOG) verfassungswidrig sei und bis zum 30.9.23 erheblich detaillierter und eingeschränkter zu fassen sei. Was dann auch geschehen ist.
(Auch gegen die polizeigesetzlichen Befugnis-Wünsche in NRW ist eine Klage vor dem Bundesverfassungsgericht anhängig aber meines Wissens noch nicht entschieden.)

1.4 Das Bundesinnenministerium als Software-Schmiede

Im Geschäftsbereich des BMI sind zwei der drei Polizeibehörden des Bundes angesiedelt, nämlich Bundeskriminalamt und Bundespolizei, sowie das Bundesamt für Verfassungsschutz. (Das Zollkriminalamt gehört zum Geschäftsbereich des Bundesfinanzministerium.) Zuständig ist im BMI die Hauptabteilung ÖS – Öffentliche Sicherheit. Deren Leiter, Dr. Christian Klos (HAL ÖS) ist ein Gewächs aus dem Hause und dort großgeworden in der Zeit der CDU/CSU-Innenminister. Faeser, obwohl eigentlich der SPD zugehörig, hat ihn übernommen und lässt ihn seine Ziele weiter verfolgen.

1.4.1 Zur Zentralstelle-Aufgaben des BKA

Diese betreffen die Informationstechnik der Sicherheitsbehörden. Dazu ist es notwendig, einen kurzen Blick auf die Gesetzeslage zu werfen und zwar in die ersten Paragraphen des BKA-Gesetzes:

Der Bund unterhält ein Bundeskriminalamt zur Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten heißt es in Par. 1

und weiter geht es in Par. 2 mit:

„Das Bundeskriminalamt unterstützt als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei die Polizeien des Bundes und der Länder bei der Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung.“

1.4.2 Zur informationstechnischen Zusammenarbeit der Polizeibehörden von Bund und Ländern

Das mit der Zusammenarbeit zwischen Bund und Ländern in informationstechnischer Hinsicht hat noch nie reibungslos funktioniert. Da kommt von den Ländern das Argument, dass „Polizeiarbeit Ländersache“ sei und daher jedes Land frei sei in seinen diesbezüglichen Beschaffungsentscheidungen. Dem hatte der Fuchs Schäuble gemeinsam mit Stoiber von der CSU schon 2008 die Schuldenbremse entgegengesetzt, die wirksam dafür sorgt, dass sich die Länder große Sprünge in IT-Entwicklungen oder -Beschaffungen für ihre eigenen Polizeibehörden nicht mehr leisten können. (Ein Schuft, wer schlechtes dabei denkt!)

1.4.3 Gemeinsame IT-Entwicklungen – mehr schlecht als recht …

Gemeinsame IT-Entwicklungen zwischen Bund und Ländern, wie INPOL-Neu-Neu (Anfang der nuller Jahre), PIAV (seit 2011, noch immer nicht abgeschlossen) oder Polizei2020 (jetzt P20) (seit 2018) weisen folgende wesentliche Gemeinsamkeiten auf:

• Sie kosteten wesentlich mehr als ursprünglich angegeben, weshalb die Gesamtkosteni.d.R. als Staatsgeheimnis behandelt werden.
• Und sie werden wesentlich später (bzw. nie) fertig, wenn man dies am ursprünglich versprochenen Funktionsumfang misst.

Nach einem Aufschrei der Länderinnenminister bei der Herbsttagung 2016, dass es SO nicht weitergehe, der unter dem Namen „Saarbrücker Agenda“ bekannt wurde, ging man beim BMI für etliche Monate in sich und präsentierte dann Anfang 2018 ein White Paper für etwas Neues: Polizei 2020 – jetzt nur noch P20. Mit wunderbaren Absichtserklärungen über ein „gemeinsames Datenhaus“ beim BKA. Soweit mir bekannt ist, wird noch immer am Konzept und einer ersten Pilotierung dafür gearbeitet. Doch ich lasse mich gerne von Fortschritten überraschen …

1.4.4 Die Mehrfachfunktion des Dr. Christian Klos aus dem BMI

Die einflussreichste graue Eminenz im Hintergrund der polizeilichen IT-Weiterentwicklung ist ein gewisser Dr. Christian Klos, der oben schon erwähnte HAL ÖS im BMI. Der ist bereits seit 1998 für das BMI tätig, und hat auf allen für die öffentliche Sicherheiten wichtigen Stationen des Ministerium gearbeitet: Für internationale Terrorismusbekämpfung, mehrere Jahre im Leitungsstab des Ministeriums, im Referat für Aufenthaltsrecht und während der so genannten Flüchtlingskrise als Beauftragter für die Rückführung. Seit 2020 ist Dr. Klos Abteilungsleiter für Öffentliche Sicherheit (AL ÖS) im BMI im Rang eines Ministerialdirektors (MinDir)

In der Projektgruppe Polizei2020 findet die zentrale Steuerung für das genannte Projekt statt. Dort ist die Geschäftsstelle des Verwaltungsrates angesiedelt, eines gemeinsamen Steuerungsgremiums des Bundes und der Länder, dem wiederum Dr. Klos vorsitzt. Dort wird auch der Polizei-IT-Fonds verwaltet, dessen oberster Entscheider ebenfalls Dr. Klos ist. In Kürze also: Bei Polizei2020 geht nichts, wirklich gar nichts, ohne das Wissen bzw. Einverständnis von Dr. Klos.

1.5 Das Urteil des Bundesverfassungsgerichts und was danach geschah

Halten wir uns kurz die zeitliche Entwicklung vor Augen: Im Februar 2023 erklärt das Bundesverfassungsgericht, dass es SO nicht gehe, wie in Hessen beabsichtigt, mit der automatisierten Datenanalyse in polizeilichen Informationssystemen. Das Urteil ist nicht nur eine Zurückweisung der Absichten, die der Gesetzgeber in Hessen verfolgte. Sondern enthält allgemeine, richtungsweisende Vorgaben des Gerichts, die sicherstellen sollen, dass der Einsatz von automatisierten Datenanalysesystemen in einem Rahmen erfolgt, der die Grundrechte der Bürger wahrt und gleichzeitig effektive und zielgerichtete Ermittlungsmethoden ermöglicht.

1.5.1 Zusammenfassung der Vorgaben des BVerfG zur automatisierten Datenanalyse

Hier eine kurze Zusammenfassung der wesentlichen Vorgaben des Gerichts über HessenData hinaus:

1. Informationelle Selbstbestimmung: Jede automatisierte Datenanalyse greift in das Recht auf informationelle Selbstbestimmung ein. Dies betrifft alle Personen, deren Daten personenbezogen verarbeitet werden.
2. Grundsatz der Zweckbindung und Zweckänderung: Die Daten dürfen nur für den ursprünglich festgelegten Zweck verwendet werden. Eine Änderung dieses Zwecks ist nur unter strengen Voraussetzungen zulässig.
3. Verhältnismäßigkeit: Die Intensität des Eingriffs durch Datenanalysen muss verhältnismäßig sein. Dies bedeutet, dass die Schwere des Eingriffs durch die Bedeutung und den Zweck der Maßnahme gerechtfertigt sein muss. Insbesondere wenn neue Belastungen durch die weitere Verarbeitung entstehen, sind höhere Anforderungen an die Rechtfertigung zu stellen.
4. Gesetzliche Regelungen: Der Gesetzgeber muss klare und bestimmte Regeln vorgeben, die Art und Umfang der verarbeitbaren Daten sowie die Methoden der Datenanalyse festlegen. Diese Regelungen müssen so gestaltet sein, dass sie das Risiko eines übermäßigen Eingriffs minimieren.
5. Schutz gewichtiger Rechtsgüter: Schwere Eingriffe in die informationelle Selbstbestimmung sind nur zur Abwehr konkreter Gefahren für besonders wichtige Rechtsgüter zulässig. Sollte eine solche Gefahr nicht konkretisiert vorliegen, müssen die Analyse- und Auswertungsmöglichkeiten sehr streng begrenzt sein.
6. Transparenz und Kontrolle: Der Gesetzgeber muss sicherstellen, dass alle maßgeblichen Regelungen zur Datenverarbeitung transparent gemacht werden. Die Einhaltung dieser Regelungen muss durch unabhängige Stellen, wie Datenschutzbeauftragte, kontrolliert werden können.
7. Verantwortlichkeit der Verwaltung: Soweit der Gesetzgeber die Verwaltung ermächtigt, Einzelheiten zu regeln, muss er gewährleisten, dass die Verwaltung dies in einer allgemein gültigen und verlässlichen Weise tut. Die Regelungen müssen öffentlich zugänglich sein.

1.5.2 Die Vorschrift zur Kennzeichnung personenbezogener Daten im BKA-Gesetz

Von besonderer Wichtigkeit ist die Beachtung des Grundsatzes der Zweckbindung und Zweckänderung: Um diese Anforderung gewährleisten zu können, ist es notwendig, dass personenbezogene Daten gekennzeichnet werden. Was man im BMI schon seit langem wusste und deshalb schon 2017, in der letzten Neufassung für das BKA-Gesetz einen Par. 14 – Kennzeichnung – ins Gesetz aufgenommen hatte: Dieser Paragraph regelt, wie personenbezogene Daten im BKA-Informationssystem (aktuell also INPOL-Zentral u.a.) gespeichert und gekennzeichnet werden müssen.

1.5.2.1 Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen, z. B. Name, Adresse, Telefonnummer, Geburtsdatum, Email-Adresse.

1.5.2.2 Was bedeutet „Kennzeichnen“?

Kennzeichnen bedeutet, dass zu den personenbezogenen Daten bestimmte Informationen hinzugefügt werden müssen, damit erkennbar ist:

• Wie die Daten erhoben wurden (z. B. offen oder verdeckt)
• Welche Art von Daten es sind (z. B. Grunddaten, Verkehrsdaten)
• Welchen Zweck die Speicherung der Daten hat (z. B. Schutz bestimmter Rechtsgüter, Verfolgung von Straftaten)
• Wer die Daten erhoben hat (z. B. das BKA oder eine andere Stelle)

1.5.2.3 Warum ist die Kennzeichnung wichtig?

Die Kennzeichnung von personenbezogenen Daten ist wichtig, um sicherzustellen, dass die Daten:

• rechtmäßig erhoben und verarbeitet werden,
• nur für den vorgesehenen Zweck verwendet werden,
• gegen unbefugten Zugriff geschützt sind.

1.5.2.4 Was passiert, wenn Daten nicht richtig gekennzeichnet sind?

Daten, die nicht richtig gekennzeichnet sind, dürfen (eigentlich, siehe unten!) nicht weiterverarbeitet oder an andere Stellen übermittelt werden. Das BKA oder die Stelle, die die Daten erhoben hat, muss die Daten erst richtig kennzeichnen, bevor sie weiterverwendet werden können.

1.5.2.5 Was passiert nach der Übermittlung der Daten an eine andere Stelle?

Die andere Stelle, die die Daten erhält, muss die Kennzeichnung der Daten beibehalten.

1.5.3 Die Entbindung von der gesetzlichen Vorschrift zur Kennzeichnung im letzten Paragraphen des BKA-Gesetzes

Es ist eigentlich kaum glaublich, aber Tatsache: Diese Wohlverhaltenserklärung, die die damalige GroKo aus SPD und CDU/CSU mit dem neuen Par. 14 im BKA-Gesetz abgegeben hatte, klang super und entsprach den Vorgaben des Bundesverfassungsgerichts aus seinem „Verriss“ des BKA-Gesetzes alter Fassung (aus der Amtszeit von Schäuble als BMI).

Doch am Abend vor der dritten Lesung im Bundestag muss dann jemandem aufgefallen sein – man könnte mal Herrn Grötsch von der SPD fragen, was er dazu weiß – dass das mit Abstand wichtigste IT-System der deutschen Polizeibehörden, nämlich INPOL-Zentral (beim BKA) mit aktuell mehr als 9 Millionen Personen-Datensätzen (!) und INPOL-Land (bei allen Polizeibehörden der Länder und des Bundes), diese Kennzeichnung nicht leisten kann.

Aber Abhilfe war nahe: Buchstäblich kurz vor zwölf vor der Verabschiedung des Gesetzes wurde ein Paragraph 91 ins Gesetz aufgenommen: Das ist ein Freifahrtschein für alle Polizei-Systeme, die nicht kennzeichnen können, weil er auf unbestimmte Zeit den Weiterbetrieb dieser alten Systeme erlaubt, ohne dass sie die Kennzeichnungspflicht erfüllen müssen.

NB: Diese Trickserei und Täuschung der Öffentlichkeit hat dem BKA; stellvertretend für die Deutsche Polizei den Big Brother-Negativ-Award 2022 in der Kategorie ‚Behörden‘ eingebracht.

1.6 Zur beabsichtigten Entwicklung eines Datenanalysesystems beim Bund „in eigener digitaler Kapazität“

Fassenw ir also zusammen: Wenn die Bundesinnenministerin Faeser sich also nach dem Urteil des Bundesverfassungsgerichts zur automatisierten Datenanalyse scheinbar überraschend gegen den Einsatz von Bundes-VeRA bei den IT-Systemen der Polizeibehörden in ihrem Geschäftsbereich ausgesprochen hat, könnte das tatsächlch fachliche Gründe haben und nicht, wie ihr der BDK-BUndesvorsitzende Peglow unterstellt, rein politische Motive.

1.6.1 Möglicher Grund 1: Das Urteil des Bundesverfassungsgerichts

Naheliegend und für die meisten nachvollziehbar wäre als Grund Nr. 1 das Urteil des Bundesverfassungsgerichts: In der Zusammenfassung oben finden sich mehrere Anforderungen, die der Bund aktuell nicht zu erfüllen vermag. Es fehlt

• an gesetzlichen Regelung auf Bundesebene für den Einsatz von Datenanalysesystemen,
• einer Eingrenzung auf den Schutz gewichtiger Rechtsgüter (wie sie in Hessen inzwischen durch vorgenommen wurde),
• generell einer wirksamen Transparenz und Kontrolle des Betriebs der polizeilichen IT-Systeme
• und der Fähigkeit der wesentlichen IT-Systeme der Bundespolizeibehörden, personenbezogene Daten entsprechend dem Grundsatz der Zweckbindung und Zweckänderung zu kennzeichnen.

1.6.2 Möglicher Grund Nr. 2: Die Quelldatensysteme des Bundes, insbesondere INPOL sind Lichtjahre davon entfernt, Daten kennzeichnen zu können

Dieser Grundsatz verlangt, dass nur entsprechend gekennzeichnete, personenbezogenen Daten für eine automatisierte Datenanalyse verwendet werden dürfen. Was das im Einzelnen bedeutet, hatte ich oben schon erläutert.

Das System INPOL ist aus technischen Gründen nicht in der Lage, die vom Bundesverfassungsgericht zwingend vorgeschriebene Kennzeichnung von personenbezogenen Daten vorzunehmen. Der Grund ist ebenso banal, wie weitreichend: In der Tabellenstruktur von INPOL gibt es schlicht keinen Speicherplatz für solche Kennzeichnungen. Und es wird auch keine geschaffen werden, denn INPOL soll in unbestimmter Zukunft abgelöst werden durch das „gemeinsame Datenhaus“ im BKA. Das nach bisherigen Aussagen angeblich über solche Fähigkeiten verfügen soll.

1.6.3 INPOL – ein zentraler Personenindex für ein Zehntel der deutschen Bevölkerung

INPOL muss man auffassen als Bezeichnung für unterschiedliche Sachverhalte:

1.6.3.1 INPOL als IT-System

INPOL bezeichnet polizeiliche Informationssysteme, die vereinfacht gesagt, bestehen aus

• Datenbank
• INPOL-Apps
• und Steuerungs-Artifakten

Die Datenbank ist der zentrale Speicher für alle Daten im jeweiligen INPOL-System. Es handelt sich um eine relationale Datenbankstruktur, sie besteht also aus diversen Tabellen, in denen vor allem personenbezogene Informationen, aber auch Informationen über Sachen (die zur Fahndung ausgeschrieben sind), sowie über Straftaten gespeichert sind.

Die INPOL-App wird vom INPOL-Manual (die Spezifikation des INPOL-Systems) nicht vorgeschrieben. Es handelt sich um Web-Applikationen im Verantwortungsbereich der jeweiligen Datenbank-Betreiber, die sich an die Inpol-Konventionen halten müssen, um Daten in INPOL einzugeben, zu verändern, zu löschen und abzufragen.

Die Steuerungs-Artifakte kann man vergleichen mit der Bordelektronik eines modernen PKW. Sie sind da und sie sind unverzichtbar für die korrekte Funktion. Mehr braucht man dazu eigentlich nicht zu wissen.

1.6.3.2 Betreiber von INPOL-Systemen

Sind die Polizeibehörden des Bundes und der Bundesländer. Sie verwenden das INPOL—System und beachten die INPOL-Konventionen in den in eigener Verantwortung entwickelten bzw. beschafften INPOL-Apps für die Dateneingabe, -bearbeitung und –abfrage. Häufig sind die Apps integraler Bestandteil des jeweiligen Vorgangsbearbeitungs- oder Fallbearbeitungssystems.

1.6.3.3 INPOL-Datenbanken und -Dateien

Pro Betreiberbehörde gibt es jeweils EINE INPOL-Datenbank, in der sämtliche Informationen enthalten sind, die zum jeweiligen INPOL-System gehören, als z.B. zu INPOL-Zentral, INPOL-NRW oder INPOL-BY.

Das bewusst beibehaltene Missverständnis von mehrren INPOl-Datenbanken rührt daher, dass es für ein INPOL-System aus historischen Gründen mehrere Errichtungsanordnungen gibt. (Errichtungsanordnungen sind im deutschen Recht Vorschriften, die festlegen, wie neue Dateien angelegt werden dürfen, die personenbezogene Daten enthalten.) Darin wird nicht von „Datenbanken“ gesprochen, sondern von „Dateien“. Und so hat sich eingebürgert von der „Haft-Datei“ zu sprechen, wenn es um personenbezogene Daten geht über in Haft befindliche oder befindlich gewesene Personen usw. /p>

Technisch ist es jedoch so, dass die INPOL-Datenbank in einem INPOL-System sämtliche Informationen zu Personen, Sachen und Fällen umfasst. Wobei das Kernstück der personenbezogenen Daten EIN Speicherbereich (vereinfacht zu verstehen als eine Tabelle), ist, in dem die Personalien sämtlicher Personen in dieser INPOL-Datenbank enthalten sind.

Tauchen wir wieder auf aus den Tiefen der Technik und beschäftigen uns mit dem daraus entstehenden und gerne von interessierten Kreisen unterhaltenen Missverständnis: Sie sprechen gerne davon, dass im INPOL-Fahndungssystem ja („nur“) ein paar hunderttausend Personen gespeichert seien. So steht es z.B. auch auf der Website des BKA.

Sie übergehen dabei geflissentlich die Tatsache, dass es nicht auf die Zahl der aktuell zur Fahndung ausgeschriebenen Personen ankommt. Sondern vielmehr auf die Zahl der insgesamt in INPOL gespeicherten Personen. Denn viele Personen werden darin auch dann gespeichert, wenn sie nicht mehr bzw. überhaupt noch nie zur Fahndung ausgeschrieben waren. Dazu zählen Hinweisgeber, Kontaktpersonen, in Haft befindliche Personen, Ausländer u.v.m. Die Zahl solcher Personen-Datensätze im Personen-Index von INPOL-Zentral (die gemeinsame INPOL-Datenbank aller Polizeibehörden) beläuft sich derzeit auf rund 9 Millionen: Das heißt, dass mehr als ein Zehntel aller in Deutschland lebenden Personen in INPOL-Zentral gespeichert sind und bis zu zehn Jahre darin gespeichert bleiben können.

1.7 Offenbar greift VeRA-By auf INPOL zu …

Die Ankündigung des Innenausschusses im Bundestag zur Anhörung am 22.4.24 wird illustriert mit einem Screenshot der „Suchmaske zur Personenabfrage der Polizei-Software VeRA beim Bayerischen Landeskriminalamt“, wie es in der Bildunterschrift heißt. Diese Suchmaske wird verwendet, um personenbezogene Informationen aus dem Quelldatensystem INPOL-Land Bayern abzufragen und in VeRA zu nutzen.

Das ist, nach all dem, was Sie bisher in diesem Artikel erfahren haben, eine bemerkenswerte Beobachtung: Denn auch INPOL-Bayern, das verwendete Quelldatensystem von VeRA-Bayern ist nicht in der Lage, personenbezogene Daten verfassungskonform zu kennzeichnen.

Wenn VeRA-Bayern dennoch Personendaten aus diesem INPOL-System abgreift, ist dies entweder ein technisches Wunder: Weil es ein Wunder wäre, solche Kennzeichnungen in einem bestehenden INPOL-System unterzubringen. Aber wer weiß: Vielleicht hat nicht nur Engel Alois herausragende Beziehungen zu göttlichen Mächten in München.

Wenn es allerdings kein Wunder ist, dann ein wichtiger Hinweis darauf, dass sich Bayern bei seinem Einsatz von VeRA nicht an zwingende gesetzliche Vorgaben hält.

1.7.1 Möglicher Grund Nr. 3: Die Bundesministerin hat keine Lust, sehenden Auges vor das Verfassungsgericht gezerrt zu werden

Mag sein, dass die Bundesinnenministerin dies weiß. Und daher gut daran tut, zunächst auf den Einsatz dieses Systems als Bundes-VeRA zu verzichten.

1.7.2 Möglicher Grund Nr. 4: Mit dem angekündigten gemeinsamen Datenhaus soll auch die Kennzeichnung (endlich) beim BKA Einzug halten

Im Rahmen der vom BMI angekündigten „Entwicklung in eigener technischer Kompentenz“ soll ja auch das gemeinsame Datenhaus im BKA entwickelt werden. Erst dann und damit soll das alte INPOL-System abgelöst werden und technisch ertüchtigt werden, um (endlich) gesetzliche Anforderungen zu erfüllen, die man bisher mit einer beschämenden Übergangsvorschrift in Par. 91 BKAG auf unbestimmte Zeit ausgesetzt hat.

1.8 Interessen der CDU/CSU und anderer Befürworter

Alle diese Informationen sind bekannt. Sie sollten insbesondere auch den Abgeordneten aus CDU/CSU bekannt sein, die an der Herbeiführung der aktuellen Misere maßgeblichen Anteil hatten.

1.8.1 Es geht nach wie vom um die Schaffung des „gläsernen“ Bürgers“

In Kenntnis und Anerkennung dieser Sachverhalte hätten sie sich das Politgepolter sparen können, das schon mit der Überschrift zu ihrem Antrag beginnt: „Handlungsfähigkeit der Strafverfolgungsbehörden sichern … „. Dieser Modus Operandi der „Angstmache“ mit unzureichenden Befugnissen ist doch inzwischen wirklich totgeritten. Tatsächlich geht es den Konservativen auch nicht nur um ein Werkzeug für die Bekämpfung schwerer Kriminalität. Sondern vor allem um das dicke Brett, an dem sie seit Jahren mit Hartnäckigkeit bohren: Einer Verbesserung des polizeilichen Informationsaustausch zwischen Länder- und Bundesbehörden, nicht durch PIAV oder P20, sondern durch ein System – wie Palantir – mit dem sie alle vorhandenen polizeilichen IT-Systeme und sonstigen Quellen, wie insbesondere auch die sozialen Medien, nach ihrer Herzenslust durchschnorcheln können.

Wie eine gedachte Multirüsselbiene, die über allen Datentöpfen schwebt und gleichzeitig beliebigte und beliebig viele Datentöpfe anzapfen kann.

1.8.2 Bürgerrechte sind Schall und Rauch: Das Zentralsystem der Polizei soll in Hände eines US-Herstellers gegeben werden

Um diese ihre Vision vom gläsernen Bürger zu erreichen, sind die Verfechter dieser Idee auch bereit, das Zentralsystem der deutschen Polizei in die Hände eines US-Herstellers zu legen,

• der sein Wachstum Aufträgen aus US-Sicherheits- und Polizeibehörden verdankt;
• der ein Öllampen-Geschäftsmodell betreibt, das zu nicht mehr leistbaren Kosten führt für weitere Anpassungen und für die Erweiterung vorhandener Systeme und damit weiter gestiegener Wartungs- und Pflegekosten.
• Und der – nach hochaktueller Entwicklung der Sicherheitsgesetze in den Vereinigten Staaten, als hundertprozentige deutsche Tochter einer amerikanischen Mutter nach amerikanischem Recht gezwungen werden kann, Informationen aus einem hier in Deutschland betreuten polizeilichen IT-System weiterzugeben an US-Behörden.

<!–

Quellen

Verwandte Beiträge

— >

Copyright und Nutzungsrechte

(C)2024 CIVES Redaktionsbüro GmbH Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.