Stellen Sie sich vor, das Bundesverfassungsgericht schreibt dem Gesetzgeber vor, ab sofort jede personenbezogene Information in einem polizeilichen Informationssystem mit einer Kennzeichnung zu versehen – damit klar ist, woher diese Information stammt, zu welchem Zweck sie erhoben wurde und wie lange sie aufbewahrt werden darf. Der Gesetzgeber nickt, schreibt die Pflicht ins Gesetz – und fügt im selben Atemzug einen Paragrafen ein, der die Behörden unbefristet davon befreit, diese Pflicht tatsächlich zu erfüllen.
Genau das ist passiert. Und es ist kein Versehen.
Was das Bundesverfassungsgericht zweimal angemahnt hat
2016 und erneut 2024 hat das Bundesverfassungsgericht die Datenspeicherpraxis des Bundeskriminalamts für verfassungswidrig erklärt – in Teilen jedenfalls. Die Kernkritik ist in beiden Urteilen dieselbe: Polizeiliche Daten werde zu leichtfertig gespeichert, zu lange aufbewahrt und zu unkontrolliert weitergegeben.
Wer einmal als Beschuldigter in einer Ermittlungsakte auftaucht, landet in INPOL – der zentralen Polizeidatenbank des Bundes – und bleibt dort oft jahrelang, ohne dass irgendjemand ernsthaft prüft, ob das noch gerechtfertigt ist.
Das Gericht hat deshalb klare Anforderungen formuliert: Daten müssen gekennzeichnet werden. Jedes einzelne Datum soll dokumentieren, warum es erhoben wurde, auf welcher Rechtsgrundlage, zum Schutz welcher Rechtsgüter – und wie lange es gespeichert bleiben darf. Nur so lässt sich kontrollieren, ob Daten noch für den ursprünglichen Zweck verwendet werden oder zweckwidrig weitergewandert sind.
Das klingt bürokratisch. Es ist es auch. Aber es ist die einzige Möglichkeit, das Grundrecht auf informationelle Selbstbestimmung in der Praxis zu sichern.
Das Problem: Die Systeme können es schlicht nicht
Hier beginnt das eigentliche Problem – und es ist ein technisches.
Die Kernsysteme des polizeilichen Informationsverbundes in Deutschland – allen voran INPOL-Z und PIAV – sind auf konventionellen, relationalen Datenbankmodellen aufgebaut. Diese Architektur stammt aus einer Zeit, in der niemand daran gedacht hat, dass jeder einzelne Datensatz mit einem granularen Herkunfts- und Zweckvermerk versehen werden müsste.
Das Ergebnis: Diese Systeme sind technisch nicht in der Lage, die vom Bundesverfassungsgericht geforderte Kennzeichnung in der notwendigen Tiefe umzusetzen. Nicht für einzelne Datensätze. Erst recht nicht für Attribute und Beziehungen zwischen Datensätzen.
Das ist keine Kleinigkeit. Es bedeutet: Die Polizei speichert und übermittelt Daten über Millionen von Menschen, ohne technisch sicherstellen zu können, dass diese Daten nur für den Zweck genutzt werden, für den sie erhoben wurden. Die Zweckbindung – ein Kerngebot des Datenschutz-Grundrechts – ist systemisch nicht gewährleistet.
Besonders brisant: Das gilt nicht nur für das BKA. Jedes Vorgangsbearbeitungssystem der Länderpolizeien – ComVor, ViVa, NIVADIS, PLX und vergleichbare – ist in diesem Sinne ein INPOL-Derivat. Denn es enthält oder arbetiet eng zusammen mit INPOL-Land, dem INPOL-Datenbestand des jeweiligen Bundeslandes. Dieses bezieht Daten aus INPOL-Z, schreibt dorthin zurück oder baut insofern- zwingend – auf demselben Datenmodell auf.
Die technischen Mängel setzen sich durch das gesamte System fort, bis hin zu den Ausländerbehörden, deren IT-Systeme ebenfalls auf INPOL-Derivaten aufsitzen. Wer also in Deutschland einen Asylantrag stellt, abgeschoben werden soll oder in einem Strafverfahren sitzt – dessen Akte enthält mit hoher Wahrscheinlichkeit Daten, die nicht die verfassungsrechtlich geforderte Kennzeichnung tragen.
Die Lösung war bekannt – und wurde abgelehnt
Ein generisches Datenmodell, das genau diese granulare Kennzeichnung leisten kann – jedem einzelnen Datum, jedem Attribut, jeder Beziehung zwischen Objekten einen vollständigen Herkunfts- und Zweckvermerk zuordnen – existiert seit den 1990er Jahren. Es ist als Europäisches Patent EP 0 855 062 B1 registriert und war die Grundlage des polizeilichen Informationssystems POLYGON, das in Deutschland entwickelt und seit 1993 in vom BMI finanzierten Projekten, u.a. in Ungarn, der Slowakei, sowie als landesweites Polizeisystem in Brandenburg jahrzehntelang eingesetzt wurde, teilweise bis heute.
Dem Bundesinnenministerium und dem BKA war die technische Eignung dieses Modells bekannt – spätestens seit 2002 auf Fachebene, seit 2007 auf Leitungsebene. Die Entscheidung fiel trotzdem gegen den Einsatz dieser Technologie. Warum, ist bis heute nicht stichhaltig begründet worden.
Der Trick mit dem §91 im BKA-Gesetz
Nach dem ersten BVerfG-Urteil 2016 stand der Gesetzgeber unter Zugzwang. Die Antwort: §14 BKAG n.F. führte die Kennzeichnungspflicht formell ein – aber §91 BKAG der gleichen Gesetzesfassung, eingefügt sehr spät im Gesetzgebungsverfahren, erlaubte den Behörden unbefristet, nicht gekennzeichnete Daten trotzdem weiterzuverarbeiten und zu übermitteln.
Mit anderen Worten: Ein- und dasselbe Gesetz schreibt die Pflicht vor und befreit von ihr gleichzeitig – solange die Systeme technisch nicht in der Lage sind, sie zu erfüllen. Seit nunmehr schon acht Jahren wird mit dieser Übergangsvorschirft das Urteil des Bundesverfassungsgerichts umgangen. Eine tatsächliche, den Anforderungen entsprechende Umsetzung ist nach wie vor nicht absehbar.
Der Rechtswissenschaftler Prof. Dr. Kurt Graulich nennt das beim Namen: Gegen §91 BKAG werde „insbesondere auch der Vorwurf der Missachtung der verfassungsgerichtlichen Entscheidung erhoben.“ (Graulich in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, BKAG §91, Rn. 4)
Das zweite BVerFG-Urteil 2024 hat die Kritik bekräftigt. Die Frist zur gesetzlichen Neuregelung lief bis Juli 2025 – und wurde nicht eingehalten.
Was das bedeutet
Für die meisten Menschen ist das abstrakt. Für diejenigen, die konkret betroffen sind – als Beschuldigte, als Asylsuchende, als Personen, über die Daten gespeichert sind, die längst hätten gelöscht werden müssen – ist es sehr konkret.
Ihre Daten wandern durch Systeme, die nicht kontrollieren können, ob die Weitergabe rechtmäßig ist. Behörden treffen Entscheidungen auf Basis von Informationen, deren Herkunft und Rechtmäßigkeit technisch nicht nachvollziehbar ist. Und ein Gesetz schützt diesen Zustand ausdrücklich vor Korrektur. Das ist nicht das Versagen einzelner Beamter. Es ist das Ergebnis einer politischen Entscheidung, die vor Jahrzehnten getroffen wurde – und seitdem durch Gesetze, Übergangsregelungen und das Festhalten an veralteter Technik aufrechterhalten wird.
Hinweis
Annette Brückner ist Journalistin und IT-Analytikerin mit Schwerpunkt polizeiliche Informationssysteme. Die technischen Aussagen zur Kennzeichnungsfähigkeit von Datenmodellen stützen sich u.a. auf das Europäische Patent EP 0 855 062 B1, dessen Inhaberin sie ist. Das Patent bildet die Grundlage für die o.g., n mehreren Ländern landesweit seit vielen Jahren erfolgreich eingesetzten polizeilichen Informationssysteme. In Ungarn beispielsweise ist Polygon seit 2001 das gesetzlich vorgeschriebene Standardverfahren für die Kriminalitätsanalyse in der ungarischen Polizei.
Beiträge zum gleichen Thema
Kennzeichnungspflichten im BKA-Gesetz – unbefristet ausgesetzt
Datenschutz-Negativpreis für Polizei und Bundeskriminalamt
Copyright und Nutzungsrechte
(C) 2026 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.