Innenministerium NRW verantwortlich für lange Verzögerung im Projekt DAR

Schon ein ganzes Jahr hinter dem ursprünglichen Zeitplan liegt aktuell das Projekt DAR – datenbankübergreifende Analyse und Recherche -, mit dem das Landeskriminalamt Nordrhein-Westfalen die US-Firma Palantir beauftragt hatte. Der Grund dafür sind grundlegende Meinungsverschiedenheiten zwischen dem Innenministerium bzw. Landeskriminalamt NRW einerseits und der Behörde der Datenschutzbeauftragten des Landes Nordrhein-Westfalen (LDI NRW): Dabei geht es um die Frage, ob für ein solches „Data Mining“-System eine spezifische gesetzliche Rechtsgrundlage erforderlich ist. Die LDI sagt ja, das Innenministerium NRW meint nein. Diese Frage hätte lange VOR der Vergabe eines 14-Millionen-Auftrages („grobe Schätzung“) geklärt werden können. Und das nächste Menetekel steht bereits am Horizont: Die Quellsysteme, die das DAR mit Daten versorgen sollen, können die Daten wohl nicht so kennzeichnen, wie gesetzlich vorgeschrieben. Also dürften sie im DAR auch nicht verarbeitet werden.

Befremdlich ist erstens, dass solche grundsätzlichen Fragen nicht geklärt wurden, BEVOR Nordrhein-Westfalen 14 Mio Euro (eine „grobe Schätzung“, wie es heißt) ausgegeben hat. Um beim umstrittenen US-Anbieter Palantir Lizenzen des Systems Gotham zu kaufen und für die Bedürfnisse in NRW konfigurieren und anpassen zu lassen. Irritierend ist zweitens die Überheblichkeit und der Dünkel, mit denen das Innenministerium NRW umgeht mit den legitimen Anforderungen nach Information, Unterlagen und Beteiligung der Landesdatenschutzbeauftragten: Daraus wird deutlich, dass man dort der Kampfparole von „Datenschutz ist Täterschutz“ [fn_1] mehr zuneigt, als den Datenschutzrechten der Bürger: Denn schließlich ist es die legitime Aufgabe und Pflicht der Behörde der Datenschutzbeauftragten des Landes NRW, deren Einhaltung zu kontrollieren und bei Bedarf zu verteidigen. Den Respekt vor dieser Tatsache läßt das Innenministerium NRW vermissen.

Noch während diese Auseinandersetzung über die erforderliche Rechtsgrundlage nicht entschieden ist, steht am Horizont schon ein zweites Menetekel für den Einsatz des Systems DAR. Denn es soll weitgehend aus den polizeilichen Informationssystemen des Landes NRW und aus dem Bund-Länder-Verbundsystem INPOL mit den notwendigen Daten versorgt werden. Diese Quellsysteme sind „eigentlich“ gesetzlich verpflichtet, personenbezogene Informationen zu kennzeichnen, um damit u.a. den Zweck ihrer ursprünglichen Erhebung zu definieren und die Grenzen der weiteren Verwendung. Dumm ist, dass die Quellsysteme diese Kennzeichnungspflichten nicht im erforderlichen Umfang beherrschen. Noch schlimmer ist: Nicht gekennzeichnete Informationen dürfen aber nicht – zum Beispiel im System DAR – weiterverarbeitet werden. Was bedeutet, dass ein teuer beschafftes DAR, wenn es denn einmal zum Wirkbetrieb freigegeben sein sollte, im Wesentlichen ohne Quelldaten dastehen könnte. Jedenfalls dann, wenn man sich an die derzeit geltenden Gesetze hält – ein Credo, das der Polizei ja in vielen anderen Zusammenhängen und vollkommen zu Recht sehr wichtig ist. | Lesedauer: Ca. 15 Minuten

Die bisherige Entwicklung des Projekts DAR in NRW

Vertragsabschluss zu Weihnachten 2019

Weihnachten 2019 schien ein Freudenfest zu werden für die Projektverantwortlichen für das Projekt DAR im Landeskriminalamt Nordrhein-Westfalen [fn_2]. Der Vertrag mit dem Anbieter, Palantir Technologies GmbH, war einen Tag zuvor unterzeichnet worden. Das DAR – ein System zur „datenbankübergreifenden Analyse und Recherche“ sollte „innerhalb nur weniger Monate geliefert, in die bestehende IT-Architektur der Polizei NRW eingepasst, im 3. Quartal 2020 abgenommen und in den Wirkbetrieb überführt“ werden. So stand es in der Vergabebekanntmachung [dar_vergabebekanntmachung], die am 15.01.2020 veröffentlicht wurde.

Lieferung, Installation, Anpassung und Abnahme

Bei Lieferung, Installation und der Anpassung gab es offensichtlich keine Probleme und, wie vorgesehen, erfolgte am 31.10.2020 die Abnahme. Zumindest für ein nicht näher definiertes ‚DAR-Basis-System‘. Völlig frei von Mängeln soll das System nicht gewesen sein: Doch jeder Praktiker weiß, dass kein System von vergleichbarer Komplexität vollkommen ohne Mängel ist. Die Abnahme wurde dadurch jedenfalls nicht verhindert. So teilte es der Pressesprecher des LKA Nordrhein-Westfalen am 10.09.2021 auf eine Anfrage von POLICE-IT mit [pa_lkanrw_20210910].

Landesdatenschutzbeauftragte stimmt dem Wirkbetrieb nicht zu

Probleme gab es bei der ebenfalls für die im dritten Quartal 2020 vorgesehene Überführung aus dem Pilotbetrieb in den Wirkbetrieb (auch „Produktivbetrieb“ genannt“) [fn_3].

Denn die Landesdatenschutzbeauftragte sah für den Einsatz dieses Systems keine Rechtsgrundlage. Sie begründete dies nach einer Anfrage von POLICE-IT im April 2021 wie folgt:

„Derzeit existiert keine Rechtsgrundlage für den Einsatz der DAR-Software. Soweit dennoch ein Einsatz mit Echtdaten erfolgt, ist dieser rechtswidrig.

  1. Die DAR-Software ermöglicht die umfassende Zusammenführung und Analyse von Daten unterschiedlicher Quellen zwecks Generierung neuer Erkenntnisse.
  2. Hierbei handelt es sich um sogenanntes Data Mining.
  3. Unabhängig von der Aussage zu 2. stellt die DAR-Software einen Eingriff von erheblichem Gewicht in das Grundrecht auf informationelle Selbstbestimmung der betroffenen Personen dar.
  4. Derartige Eingriffe können nicht auf gesetzliche Generalklauseln gestützt werden, sondern erfordern eine bereichsspezifische Rechtsgrundlage, die den Eingriff hinreichend bestimmt und normenklar regelt.
  5. Zur Sicherstellung der Verhältnismäßigkeit muss eine solche Rechtsgrundlage dem Eingriff entsprechende Eingriffsschwellen und hinreichende Anforderungen an den Rechtsgüterschutz enthalten.
  6. Die von der Landesregierung gegenüber der LDI NRW bisher genannten Rechtsgrundlagen, die den Einsatz der DAR-Software stützen sollen, erfüllen die unter 4. und 5. genannten Anforderungen nach Ansicht der LDI NRW nicht.“

Auch fünf Monate später noch keine Einigung in Sicht

Weitere fünf Monate später, Ende September 2021, stehen sich die Kontrahenten weiterhin ohne Einigung gegenüber. Das Innenministerium beharrt auf dem Standpunkt, dass eine spezifische gesetzliche Grundlage für den Einsatz des Data Mining-Systems DAR nicht erforderlich sei. Die LDI verlangt eine solche Rechtsgrundlage. Sie sieht sich gestärkt durch das Urteil des Bundesverfassungsgerichts vom 10.11.2020 (1 BvR 3214/15) zum so genannten Antiterrordateigesetz II. Das eine erweiterte Nutzung von Daten aus der Antiterrordatei nach dem §6a des überarbeiteten ATD-Gesetzes für rechtswidrig und damit für nichtig erklärte, weil damit besonders schutzwürdige Rechte der betroffenen Person berührt sind und es (im überarbeiteten ATD-Gesetz) an ausreichend präzisen und normenklaren Regelungen fehlt. Genau darauf beruft sich die LDI in ihrer Argumentation.

Um weitere Ausführungen zu den juristischen Argumenten und Gegenargumenten soll es hier gar nicht gehen. Sondern vielmehr darum, wie zwei Behörden, die beide vom Gesetzgeber ihre Aufgaben übertragen bekamen, mit diesen Aufgaben und miteinander umgehen, wenn es darum geht, einen Konflikt auszutragen, der nur gemeinsam zu lösen ist.

Episoden aus jüngerer Zeit zwischen dem Innenminister NRW und der Behörde der Landesdatenschutzbeauftragten (LDI NRW)

Einige bekannt gewordene Episoden aus der jüngeren Vergangenheit lassen Spannungen erkennen zwischen dem Innenministerium, das Herbert Reul leitet, und der Behörde der Landesdatenschutzbeauftragten: Sie wirken von außen betrachtet eher wie ein Machtkampf, als wie eine auf Erreichen einer gemeinsamen Lösung angelegte, konstruktive Zusammenarbeit:

Frühzeitige Unterrichtung der LDI über das DAR-Beschaffungsvorhaben ist unterblieben

Los ging es schon vor dem Vertragsabschluss mit Palantir. Man brachte zwar noch vor einen Tag vor Weihnachten 2019 den Vertrag mit Palantir unter Dach und Fach, informierte jedoch erst am 13.01.2020 die Landesdatenschutzbeauftragte und stellte sie damit vor vollendete Tatsachen [pa-lidnrw_20210415]

In §27, Abs.5 DSG NRW ist vorgesehen,

„Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit ist frühzeitig über Planungen zur Entwicklung, zum Aufbau oder zur wesentlichen Veränderung automatisierter Datenverarbeitungs- und Informationssysteme zu unterrichten, sofern in dem jeweiligen System personenbezogene Daten verarbeitet werden sollen.“

Unstreitig sollen im DAR „personenbezogene Daten“ verarbeitet werden, denn es soll ja „Tat-/Tat- und Tat-/Täter-Zusammenhänge erkennen. Für mich, als juristischen Laien, ist die gesetzliche Formulierung vollkommen eindeutig. Das Innenministerium sah dies anders und teilte der LDI in einem Schreiben vom 7.5.2021 mit, „…, dass eine Beteiligung Ihres Hauses vor der Vergabeentscheidung rechtlich nicht geboten war.“ Die „frühzeitige Beteiligungspflicht des §27, Abs. 5 DSG NRW“ sei nicht verletzt.

In diesem Stil gibt es diverse Beispiele. Sie erinnern mich an Debatten auf Kindergarten-Niveau und zeigen vor allem eines: Der Umgang des Innenministeriums ist TAKTISCH wenig geschickt und lässt vermissen, dass es darum gehen sollte, gemeinsam zwischen beiden Behörden zu einer langfristig tragfähigen Basis für den Einsatz des Systems DAR zu kommen. Die sowohl den Interessen der Polizei gerecht wird, als auch die Rechte der betroffenen Personen durch solche datenbankübergreifenden Zusammenführungen, Analysen und Recherchen angemessen berücksichtigt.

Wurde die LDI NRW, wie gesetzlich vorgeschrieben, rechtzeitig konsultiert?

Die Konsultation der LDI NRW hat nach §57, Abs.1 DSG NRW VOR INBETRIEBNAHME zu erfolgen. Diese Konsultationspflicht sei nach Auffassung des Innenministeriums (im Schreiben an die LDI vom 7.5.2021) „nicht verletzt“. Eine Konsultation ist, laut Duden, die „Beratung durch einen Fachmann“ bzw. eine „gemeinsame Beratung, Besprechung, besonders zwischen Regierungen, Vertragspartnern“; sie setzt allerdings voraus, dass die notwendigen Unterlagen dem Konsultationspartner rechtzeitig und vollständig vorliegen. Im Innenministerium NRW hielt man es, wie schon vor dem Vertragsabschluss, mehr mit der Salamitaktik: Und rückte gegenüber der LDI nur extrem zögerlich, nach mehrfacher Anforderung bzw. auch überhaupt nicht mit Unterlagen heraus:

21 Wochen brauchte das MI NRW zur Übersendung angeforderter datenschutzrechtlicher Unterlagen

Die LDI NRW forderte mit Schreiben vom 01.04.2020 die beim Ministerium des Innern des Landes NRW vorliegenden datenschutzrechtlichen Unterlagen an. Eine Reaktion darauf erfolgte mit Schreiben des Innenministeriums vom 27.08.2020, also 21 Wochen später. Weitere fünf Wochen später, im Oktober, sollte das DAR allerdings schon in den Wirkbetrieb gehen. [pa_ldinrw_20210923]

33 Wochen brauchte das MI NRW, um der LDI ein schon VOR der Beschaffung erstelltes Rechtsgutachten zur Kenntnis zu bringen

Vor dem Vertragsabschluss im Dezember 2019 hatte das LKA NRW ein Rechtsgutachten zu den „Rechtlichen Möglichkeiten zur Umsetzung einer datenbankübergreifenden Analyse- und Recherchesoftware bei der Polizei NRW“ in Auftrag gegeben. Das Ergebnis legte der beauftragte Gutachter, Dr. Sebastian Golla, am 17.09.2019 vor [dar_golla_gutachten_20190917], mehr als drei Monate vor dem Vertragsabschluss mit Palantir. [pa_ldinrw_20210923]

Er kommt, dies hier sehr verkürzt gesagt, zu dem Ergebnis,

  • dass der Einsatz der geplanten Software rechtfertigungsbedürftige Eingriffe in das Recht auf informationelle Selbstbestimmung … mit sich bringt (sic!);
  • dass die Verknüpfung und Auswertung von Daten aus Beständen der Polizei NRW sich unter Beachtung des Grundsatzes der Verhältnismäßigkeit mit Einschränkungen … rechtfertigen lässt;
  • dass perspektivisch für komplexe Analysen der Daten eine eigenständige Rechtsgrundlage (sic!) wünschenswert sei.“

Das sind Ergebnisse, die der Auffassung der LDI über die Erforderlichkeit einer eigenen Rechtsgrundlage recht nahe kommen, die jedoch gleichzeitig eine Kompromissmöglichkeit aufzeigen: Es heißt im Gutachten auf Seite 2 „diese eigenständige Rechtsgrundlage könnte sich „etwa an dem Modell von §25a HSOG orientieren“ – das ist die Rechtsgrundlage für den Einsatz des Palantir-Systems in Hessen.

Warum konnte das Innenministerium diese Ergebnisse eines anerkannten Datenschutzrechtsexperten [fn_4] nicht schon VOR der Beschaffung mit der LDI kommunizieren und diskutieren? Warum wird über Monate geheimniskrämerisch vor der LDI verborgen gehalten, dass im Hause LKA und MI längst ein einschlägiges Fachgutachten vorliegt? Und warum hat das Innenministerium die Empfehlung des eigenen Gutachters nach einer spezifischen Rechtsgrundlage einfach ignoriert?

Stilloses Vorgehen: Die LDI – zum Bittsteller gemacht

Mit Schreiben vom 17.12.2020 forderte die LDI beim Innenministerium NRW weitere Unterlagen an, räumte für die Übersendung am 27.01.2021 eine Fristverlängerung ein, auf die das MI am 02.02.2021 mitteilte, es benötige weitere Zeit. Am 25.03.2021 lagen die Unterlagen noch immer nicht vor, daher schickte die LDI eine erneute Anforderung mit Fristsetzung zum 07.05.2021 ][pa_ldinrw_div] Wir konnten trotz Anfrage bis heute nicht eindeutig herausbekommen, ob diese Unterlagen inzwischen vorliegen oder nicht.

Erneut stellt sich für den Beobachter die Frage: Ist dieses Verhalten nur Inkompetenz, z.B. weil diese Unterlagen überhaupt nicht erstellt wurden? Oder soll damit ‚Macht‘ demonstriert werden, nach dem Motto „Weil wir’s können“?! Auf jeden Fall ist dieses Verhalten nicht dazu angetan, die aktuelle Deadlock-Situation zu überwinden.

Im Ergebnis demonstriert das Innenministerium damit deutlich, dass es sich für berechtigt hält, die Eingriffe in das Grundrecht auf informationelle Selbstbestimmung nach eigenem Gutdünken auszulegen. Und nicht gewillt ist, die Limits einzuhalten, die sich aus den verfassungsrechtlichen Prinzipien der Erforderlichkeit und der Verhältnismäßigkeit, sowie aus den gesetzlichen Datenverarbeitungsbegrenzungen ergeben.

Für den Vorschlag eines/einer NachfolgerIn für das Amt des Landesdatenschutzbeauftragten brauchte das Innenministerium neun Monate

Zu diesem befremdlichen Verständnis der Aufgaben und Grenzen des eigenen Amtes passt auch, im negativen Sinne, der folgende Vorfall: Die frühere, auf acht Jahre gewählte Amtsinhaberin als Landesdatenschutzbeauftragte, Helga Block, eine frühere Beamtin im NRW-Innenministerium, schied zum 01.07.2020 schon nach fünf Jahren aus dem Dienst aus. Über die vorzeitige Aufgabe des Amtes ließe sich spekulieren, sie sind hier aber nicht bekannt. Innenminister Reul benötigte danach ein dreiviertel Jahr, ausgerechnet in der Zeit, in der das DAR-System in den Wirkbetrieb gehen sollte, um endlich – Ende April 2021 – dem Landtag eine Abteilungsleiterin aus seinem Ressort als NachfolgerIn vorzuschlagen: Frau Bettina Gayk, die dann im Mai 2021 einstimmig vom Landtag gewählt wurde.

Das Problem der nicht eingehaltenen gesetzlichen Kennzeichnungspflichten

Ein weiteres konkretes, rechtliches Problem ergibt sich aus der gesetzlichen Pflicht zur Kennzeichnung personenbezogener Daten, welche im NRW-Polizeigesetz verankert ist. Genauer gesagt im §22b des NRW-Polizeigesetzes [fn_5]:

„§22b – Kennzeichnung in polizeilichen Dateisystemen
(1) Bei der Speicherung in polizeilichen Dateisystemen sind personenbezogene Daten wie folgt zu kennzeichnen:

  1. Angabe des Mittels der Erhebung der Daten einschließlich der Angabe, ob die Daten offen oder verdeckt erhoben wurden,
  2. Angabe der Kategorie betroffener Personen im Sinne des § 42 des Datenschutzgesetzes Nordrhein-Westfalen, zu denen die zur Identifizierung dienenden Daten angelegt wurden,
  3. Angabe der
    a) Rechtsgüter, deren Schutz die Erhebung dient oder
    b) Straftaten, deren Verhütung oder vorbeugende Bekämpfung die Erhebung dient,
  4. Angabe der Stelle, die sie erhoben hat.

Die Kennzeichnung nach Satz 1 soll auch durch die Angabe der Rechtsgrundlage der Datenerhebung ergänzt werden.“

Das Verbot der Weiterverarbeitung nicht gekennzeichneter Daten

Im zweiten Absatz dieses §22b steht dann:

„Personenbezogene Daten, die nicht entsprechend den Anforderungen des Absatzes 1 gekennzeichnet sind, dürfen solange nicht weiterverarbeitet oder übermittelt werden, bis eine Kennzeichnung entsprechend den Anforderungen des Absatzes 1 erfolgt ist.“

Worin besteht das Problem?

Diese Kennzeichnungspflicht ist für die Polizei NRW ein massives, praktisches Problem im Hinblick auf den Einsatz des DAR im Wirkbetrieb [fn_5]:

Fehlende Kennzeichnung in den Quellsystemen der Polizei NRW

Denn der wesentliche Anteil der personenbezogenen Daten, die in das DAR überführt werden sollen, stammt aus den vorhandenen polizeilichen Informationssystemen der Polizei des Landes NRW, also insbesondere aus

  • dem Vorgangsbearbeitungssystem ViVA (enthält Daten zu sämtlichen polizeilichen Vorgängen aus Gefahrenabwehr und Strafverfolgung),
  • das gleichzeitig auch das INPOL-Land-System für das Bundesland Nordrhein-Westfalen ist (enthält für NRW relevante Daten für den Informationsaustausch im INPOL-Verbund der Polizeibehörden des Bundes und der Länder)
  • und aus dem Fallbearbeitungssystem CASE (enthält fallspezifische, ermittlungsrelevante Informationen)

Kennzeichnungspflichten im gesetzlich definierten Umfang wurden in diesen Systemen nie realisiert

Diese Systeme sind aus technischen Gründen [fn_6] gar nicht in der Lage, die gesetzlich vorgeschriebene Kennzeichnung personenbezogener Daten [siehe Beiträge zu „Kennzeichnungspflichten“ = KZP…] im notwendigen Detaillierungsgrad, also vollständig bis auf Attributebene, vorzunehmen. Ohne hier in technische Einzelheiten einzusteigen, liegt das daran, dass der notwendige Speicherplatz für solche Kennzeichner in diesen Datenbanken einfach nie vorgesehen wurde. Und daher entsprechende Kennzeichner nicht gespeichert werden können.

Problem der notwendigen Kennzeichnungspflichten muss im MI und LKA NRW bekannt gewesen sein

Dieses Problem mit der Unfähigkeit zur Realisierung der gesetzlichen Kennzeichnungspflicht muss auch im LKA Und Innenministerium NRW bekannt gewesen sein: Denn es wurde im Februar 2019 bei einer Informationsveranstaltung über den Status von Polizei2020 beim Europäischen Polizeikongress der Fachöffentlichkeit bekannt [P20_20190516]. Diese Veranstaltung wurde geleitet/moderiert von Andreas Lezgus, seinerzeit Projektleiter Polizei2020 beim Bundeskriminalamt und heute nach eigener Aussage Chief Technology Officer dort. Herr Lezgus war nach Auskunft aus seiner Webseite seit 1996 in verschiedenen Funktionen im Innenministerium NRW, zuletzt als Referent für Informations- und Kommunikationstechnik, und im Landesamt für Zentrale Polizeiliche Dienst NRW (LZPD), zuletzt als Abteilungsleiter IT, eingesetzt. Die Kenntnis darüber, dass das PIAV-Zentralsystem beim BKA die gesetzliche Kennzeichnungspflicht nicht realisieren kann, war ihm seit spätestens Jahresbeginn 2019 bekannt, denn sie wurde in der von ihm geleiteten Veranstaltung thematisiert (an der ich teilgenommen und über die ich berichtet habe).

Wie ist eine Lösung des Deadlocks möglich?

Somit bleiben zwei wesentliche Fragen:

  1. Wird es der LDI gelingen, sich mit ihrer oben zitierten Einschätzung über die erforderliche Rechtsgrundlage gegenüber dem Innenministerium durchzusetzen?
  2. Wird es ihr ferner gelingen, die im Gesetz formulierte Anforderung fr den Betrieb des Systems DAR durchzusetzen, dass nicht gekennzeichnete personenbezogene Daten auch nicht für Data Mining verwendet werden dürfen?

Das wäre ein GAU für Innenminister Reul. Denn man könnte noch nicht einmal Palantir den schwarzen Peter zuschieben in Gestalt des (konstruierten) Vorwurfs einer (angeblich) mängelbehafteten Leistung. Weil der Auftragnehmer (Palantir) wohl kaum verantwortlich gemacht werden könnte, wenn der Auftraggeber (LKA NRW) nicht für die Einhaltung von gesetzlichen Kennzeichnungspflichten in seinen Quellsystemen gesorgt hat.

Diesen Gedanken weitergesponnen, wäre das auch finanziell ein Desaster. Denn das – sicher nicht „billige“ – Paket von Palantir – bisher wurde dafür ein „grober Schätzwert“ von 14 Mio Euro angegeben [siehe auch fn_7], wäre wohl vollständig zu bezahlen, ohne dass es den politisch versprochenen bzw. erhofften Nutzen tatsächlich im Wirkbetrieb erbringen könnte.

Und nicht zuletzt wäre dieser Ausgang auch ein Fiasko für weitere Installationen von solchen Data Mining-Systemen bei deutschen Polizeibehörden: Insbesondere und kurzfristig vor allem für das laufende Entscheidungsverfahren im Projekt VerA: Dieses Vergabeverfahren wird federführend vom LKA Bayern als Hauptauftraggeber durchgeführt. Es sollen sich nach der (bis zum Ende 2021 erwarteten) Vergabeentscheidung aber die Polizeibehörden des Bundes als Auftraggeber I einem Rahmenvertrag anschließen können und alle dafür (einem Rahmenvertrag beitretende) Länderpolizeibehörden als Auftraggeber II.

Denn die oben dargestellten Probleme der (unzureichenden Kennzeichnung personenbezogener Informationen) gelten für die relevanten Quellsystemen dieser Polizeibehörden in gleicher Weise.

War diese Entwicklung nicht absehbar?!

Der absehbare zweite Deadlock im Hinblick auf die Kennzeichnungspflichten, wie er sich in NRW gerade abzeichnet, war für jeden fachlich mit der Gesetzeslage und den Eigenschaften polizeilicher Datenbanken bewanderten Fachmenschen seit Jahren absehbar. Mir ist keine Polizeibehörde in Deutschland bekannt, bei der diese gesetzlichen Vorgaben im notwendigen Detaillierungsgrad beachtet worden wären.

Die Notwendigkeit, vorhandene polizeiliche Datenbanksystemen entsprechend zu erweitern, damit sie diese Kennzeichnungspflichten erfüllen können, spielte bei Entscheidungen von großer Tragweite in der Vergangenheit keine Rolle, weder für die PIAV-Systeme der Bundesländer, noch für das PIAV-Operativ-Zentralsystem. Der aktuell erkennbare Trend in den Polizeibehörden durch ein Data Mining-System VerA ‚auf einen Schlag‘ alle Polizeibehörden mit einem Analyse- und Recherchesystem zu beglücken, löst das vorhandene Problem auch nicht; solange die zugrundeliegenden Quellsysteme nicht können, was die Polizeigesetze seit vielen Jahren von ihnen verlangen [BDDM_vera].

Die absehbaren Folgen der Fortsetzung des Verzichts auf Vorsichtsmaßnahmen im Umgang mit Daten

Man darf gespannt sein, ob auch diese gesetzlich verankerte Pflicht in den Polizeibehörden – nicht nur in Nordrhein-Westfalen – weiterhin einfach ausgesessen und ignoriert wird: Und daher Daten in ein System DAR (oder Hessendata oder VERA) gekippt werden, die NICHT gekennzeichnet sind. Und daher für einen mindestens dreistelligen Millionenbetrag in den kommenden Jahren eine neue ‚Sicherheits-Infrastruktur‘ in den Polizeibehörden geschaffen wird, die auf Daten basiert, deren Herkunft, Relevanz, erfolgte polizeiliche Überprüfung und Rechtsgrundlage für Erhebung, Speicherung und Nutzung bei einer Recherche, Analyse, Auswertung oder Nutzung vor Gericht von niemandem mehr festgestellt werden kann.

Absehbar wäre dann die Prognose nach dem alten Motto von IT-Leuten – „Garbage in! – Garbage out!“; jedoch mit dem nicht in Kauf zu nehmenden Zusatzeffekt, dass über unabsehbar viele Betroffene Fehlinformationen in solchen Polizeisystemen enthalten sind, die zu gravierenden Auswirkungen durch polizeiliche Maßnahmen führen, die aufgrund solcher Fehlinformationen entschieden und durchgeführt werden.

Der Fall des Syrers Amad A. als frühes Menetekel, dass „fake information“ in Polizeisystemen zum Tod eines Menschen führen kann

Dass ein beachtliches Vertrauen von Polizeibeamten in die Stimmigkeit von Informationen aus den Polizeisystemen auch heute schon vorhanden ist, zeigt der tragische Fall des Syrers Amad A.: Der wurde im Juli 2018 von Polizeibeamten in NRW rechtswidrig inhaftiert und starb zehn Wochen später nach einem Brand in seiner Gefängniszelle. Ursächlich dafür war – wenn man denn vorsätzliches Handeln der Beamten ausschließt – dass das System ViVA den Beamten angezeigt haben soll, dass der Syrer identisch gewesen sei mit einem völlig anderen Menschen aus Mali. Wenn diese Erklärung zutreffen sollte (die Beweise dafür sind lückenhaft), hättet das System ViVA NICHT ERKANNT, dass die beiden Personen UNTERSCHIEDLICHE, beim BKA ausgewertete Fingerabdrucksätze hatten und daher der Syrer NICHT IDENTISCH gewesen sein KANN mit dem Mann aus Mali. Der Vergleich auf übereinstimmende Fingerabdrücke in zwei Personen-Datensätzen in ViVA wäre technisch eine Kleinigkeit. Dass der Vergleich nicht durchgeführt wurde, spricht dafür, dass die gesetzlich vorgeschriebene Datenschutzfolgenabschätzung dieses wesentliche Risiko der versehentlichen Verwechslung von zwei Personen – nicht erkannt und ausgeschlossen hat [CA_AA_20210202].

Wenn mit gesetzlichen Vorsichtsmaßnahmen über personenbezogene Daten in Polizeidatenbanken weiterhin so nachlässig und ignorant wie bisher umgegangen wird und sich für die Einführung polizeilicher Data Mining-Systeme die Befürworter einer „Die Polizei darf alle Daten nutzen“-Haltung durchsetzen, wird der Fall des Syrers Amad A. nur ein erstes, frühes Menetekel sein, für eine Vielzahl unbeteiligter Menschen, deren Schicksal von „fake information“ in solchen Systemen massiv beeinträchtigt wird.

Fußnoten

[fn_1]   Zur „Kampfparole“ – Datenschutz ist Täterschutz – nahm der Bayerische Datenschutzbeauftragte schon in seinem Tätigkeitsbericht für 1998, dort auf Seite 3, Stellung:
„Aufgabe des Datenschutzes in diesem veränderten Feld ist es zu gewährleisten, daß in die Rechte der Bürger nur soweit eingegriffen wird, als das zur Erfüllung der öffentlichen Aufgaben erforderlich ist und nur soweit, als das im Licht des Grundrechts auf informationelle Selbstbestimmung auch verhältnismäßig ist. Wenn von Seiten des Datenschutzes in Erfüllung dieser Aufgabe Forderungen nach Begrenzung oder Umgestaltungen erhoben werden, dann darf das nicht mit der Kampfparole „Datenschutz ist Täterschutz“ abgewehrt werden, auch deswegen nicht, weil recht verstandener Datenschutz auch die berechtigten Bedürfnisse der Verwaltung in seine Beurteilung einbezieht. Es ist aber Aufgabe des Datenschutzes, auf die Grenzen hinzuweisen, die sich aus den verfassungsrechtlichen Prinzipien der Erforderlichkeit und der Verhältnismäßigkeit, sowie aus den gesetzlichen Datenverarbeitungsbegrenzungen ergeben, und auf die Einhaltung dieser Grenzen hinzuwirken. Das sollte nicht in dieser Weise desavouiert werden.“
[, S.3f] [fn_2]   Schon die Auftragsabwicklung durch das Landeskriminalamt NRW ist merkwürdig: Denn eigentlich wäre das Landesamt für Zentrale Polizeiliche Dienste (LZPD) für solche IT-Projekte zuständig. Warum war das im Falle Palantir/DAR anders?

[fn_3]   Wirkbetrieb oder auch Produktivbetrieb

[fn_4]   Dr. Sebastian Golla ist seit August 2020 Juniorprofessor für Kriminologie, Strafrecht und Sicherheitsforschung im digitalen Zeitalter an der Ruhr-Universität Bochum

[fn_5]   Ein wesentlicher Teil der Kennzeichnungspflichten ist – für NRW – im §22a des PolG NRW aufgeführt. Daneben gibt es aus operativen Gründen in der Polizei notwendige Kennzeichnungen, wie z.B. einen Kennzeichner für die datenbesitzende Behörde oder für das vorgeschriebene Datum der Lösch-Prüfung. Vergleichbare Kennzeichnungspflichten gibt es in den Polizeigesetzen aller deutschen Polizeibehörden.

[fn_6]   Aufgrund des verwendeten konventionellen Datenmodells in diesen Datenbanken können „Metadaten“ für die Kennzeichnung (nach §22b, Abs. 1 PolG NRW) nicht im notwendigen Detaillierungsgrad an jedem Merkmal/Attribut eines Informationsobjekts bzw. jeder Beziehung zwischen Informationsobjekten angebracht werden: Einfach deshalb, weil in konventionell modellierten Tabellen dafür kein Speicherplatz vorgesehen ist.

[fn_7]   Das Innenministerium hatte jedoch schon im Frühjahr 2021 unter dem Deckmantel von notwendigen Maßnahmen im Zusammenhang mit Corona beim Haushaltsausschuss im NRW-Landtag weitere 7 Mio Euro beantragt und musste diesen Antrag mangels ausreichender Begründung zurückziehen.

Quellen

[dar_golla-gutachten]   17.09.2019
Rechtsgutachten von Dr. Sebastian Golla vom 17.09.2019 im Auftrag des LKA NRW:
„Rechtliche Möglichkeiten zur Umsetzung einer datenbankübergreifenden Analyse- und Recherchesoftware bei der Polizei NRW“

[dar_vergabebekanntmachung]   15.01.2020
Vergabebekanntmachung Nr. 2020/S 010-020531 vom 15.01.2020 des Landeskriminalamts NRW über den am 23.12.2019 abgeschlossenen Grundvertrag im Projekt DAR

[pa_ldinrw_20210415]   15.04.2021
Antwort des Pressesprechers der LDI NRW vom 15.04.2021 auf die Presseanfrage von POLICE-IT

[pa_lkanrw_202100910]   10.09.2021
[anfrage pit dar]   Antwort des Pressesprechers des LKA NRW vom 10.09.2021 auf die Presseanfrage von POLICE-IT

[pa_ldinrw_202100914]   14.09.2021
Antwort des Pressesprechers der LDI NRW auf die Presseanfrage von POLICE-IT

[pa_ldinrw_202100923]   23.09.2021
Antwort des Pressesprechers der LDI NRW auf Nachfrage von POLICE-IT

Beiträge zu verwandten Themen auf diesem Blog

Jeweils in zeitlich absteigender Reihenfolge

Beiträge zum DAR

[DAR_20210416]   16.04.2021
Polizei NRW betreibt rechtswidrig das Data Mining-System DAR von Palantir

[DAR_20200216]   16.02.2020
LKA NRW erteilt Palantir für 14 Mio Euro den Auftrag für DAR

[DAR_20200116]   16.01.2020
Was rausgekommen ist: Big-Data-Systemeinführung in turbulenten Zeiten für die IT der Polizei in Nordrhein-Westfalen

[DAR_20190621]   27.06.2019
LKA NRW schreibt 14 Mio-Euro-Projekt aus für DAR

Beiträge zu Palantir bzw. zu anderen Data Mining-Systemprojekten

[PAL_20210907]   07.09.2021
Fragen an deutsche Polizeibehörden zu Big-Data-Analysesystemen von Palantir

[BDDM_20190823]   07.09.202123,23.08.2019
Big Data, KI und der Weg in eine teil-autonome Polizeiarbeit

[BDDM_vera] Einführung, sowie alle Beiträge zu VerA – verfahrensübergreifende Recherche- und Analyseplattform

[BDDM_hessendata] Einführung, sowie alle Beiträge zu VerA – verfahrensübergreifende Recherche- und Analyseplattform

[AKT_palantir] Einführung, sowie alle Beiträge zu Palantir, einem Anbieter für Data Mining- bzw. Big-Data-Analyse- und Auswertungssysteme

Beiträge zu Kennzeichnungspflichten in polizeilichen Informationssystemen

[KZP_20210408]   08.04.2021
Zum Stand der Kenn­zeich­nungs­pflichten in polizeilichen Informationssystemen

[KZP_20200217]17.02.2020
Siehe ‚Die Gesetze verlangen die Kennzeichnung besonders schützenswerter Daten‘ in Wen oder was schützen eigentlich Datenschutz-Aufsichtsbehörden für die Polizei?

[KZP_20190219]   19.02.2019
Wenn Kontrolle fehlt, werden Gesetze ignoriert

[KZP_20170830]ensp;  30.08.2017
Warum werden Journalisten erst munter, wenn sie selbst betroffen sind?!

Beiträge zu anderen verwandten Themen

[P20_20190516]   16.05.2019
Siehe ‚Fachforum zu Polizei 2020 – das Zukunftsprogramm der deutschen Polizei‘ in ‚Polizei 2020 – Projektstatus im Frühjahr 2019

[CA_AA_20210202]   02.02.2021Fall Amad A.: ViVA machte aus ZWEI Menschen mit unterschiedlichen Fingerabdrucksätzen EINEN

Copyright und Nutzungsrechte

(C) 2021 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.