Hessen zieht die Reißleine und das IPCC muss umziehen

Inpol Polas Competence Center zieht um nach Hamburg

Die Opposition im Hessischen Landtag deckt massive Verstöße gegen das Vergaberecht auf. Aufträge in einer Größenordnung von rund 10 Millionen Euro wurden freihändig vergeben. Der Kreis der Begünstigten ist sehr klein, darunter sind auffallend viele Einzelpersonen.
Die hessische Landesregierung zieht daraufhin die Reißleine. In Folge dessen wird die Geschäftsführung des IPCC nach Hamburg abgegeben. Am Grundproblem ändert sich dadurch allerdings nichts. Das IPCC ist nach wie vor ein Konstrukt ohne eigene Rechtsperson.

Es sah ziemlich düster aus für das IPCC am Ende des Jahres 2011: Der Geschäftsführer seit Gründung, Peter H., war im hessischen Innenministerium versetzt worden auf einen anderen Posten und sah sich mit einem Disziplinarverfahren konfrontiert. Die Geschäftsführung des IPCC war verwaist. Freihändige Auftragsvergaben, meist durch die Hessische Zentrale für Datenverarbeitung (HZD), wie sie in den vergangenen Jahren an der Tagesordnung gewesen waren, waren nicht mehr so ohne weiteres machbar. Denn der Hessische Landesrechnungshof hatte ermittelt und in seinen ‚Bemerkungen 2011‘ zahlreiche Verstöße gegen Haushaltsordnung und Vergaberecht festgestellt.

Die Ermittlungsergebnisse der Opposition im hessischen Landtag

Und dann stand auch noch die Opposition in Hessen auf dem Plan, damals in Gestalt der SPD und der Grünen, und forderte im Landtag energisch mehr Auskunft. Innenminister Boris Rhein von der CDU und seine Mannen verzögerten und mauerten nach Kräften. Es bedurfte mehrerer dringlicher Berichtsanträge von SPD und Bündnis 90/Die Grünen, bis der Minister endlich im Juli 2012 einen leidlich vollständigen Bericht vorlegte [1], den er bei einer Sitzung des Innenausschusses am 13. 09.2013 nochmals ergänzte [2].

Kleiner Kreis von begünstigten Auftragnehmern

Die Begünstigten dieser über Jahre währenden freihändigen Vergaben in Höhe von rund 10 Mio Euro sind insbesondere eine Handvoll von Einzelpersonen, in den Parlamentsdokumenten als „Frau H.“ oder „Olaf M.“ oder „Herr Z.“ usw. bezeichnet, die jeweils mit wiederholten Aufträgen bedacht wurden und dem Anschein nach allein von diesen Aufträgen aus Hessen über Jahre ihren Unterhalt bestreiten konnten.

Die meisten von ihnen haben eine Gemeinsamkeit: Sie waren nämlich beteiligt an der ursprünglichen Entwicklung von POLAS bzw. CRIME für die Polizei Hamburg. Dies findet sich auch ganz ausdrücklich in der Beschreibung ihrer jeweiligen Qualifikation, von denen hier zwei beispielhaft wiedergegeben werden:

Herr M. war als Mitarbeiter der Fa. Oracle seit 1998 für die Polizei Hamburg in der Entwicklung des neuen Fahndungssystems POLAS sowie im Rahmen der Projektgruppe Polas Hessen in 2001 und in Folge in der Entwicklung INPOL-Neu im BKA tätig. … Herr M. hat maßgeblich an wesentlichen Komponenten des Zentralsystems INPOL-Neu im BKA mitgewirkt, die in unmittelbarem Zusammenhang zu zahlreichen Softwareprodukten im IPCC stehen.“

Frau H. [war] als Mitarbeiterin der Fa. Oracle im Projekt POLAS der Polizei Hamburg, im Rahmen der Projektgruppe Polas Hessen in 2001 und in Folge bei der Entwicklung INPOL-Neu im BKA tätig.“ … „Frau H. [besaß] aufgrund ihrer bisherigen Tätigkeiten ein besonderes technisch-organisatorisches Wissen in Verbindung mit persönlicher Qualifizierung und damit ein am Markt einzigartiges Wissen.“

Diese Herkunft und Qualifikation trug Früchte: „Frau H.“ erhielt im Zeitraum zwischen 2005 und 2007 948.276 Euro, „Olaf M.“ bedachte die HZD in den Jahren 2007 mit 2009 Aufträge von jährlich zwischen 202.000 und 232.000 Euro.

Die frühere Tätigkeit für Polas bei der Polizei Hamburg und Hessen diente auch als Eignungsnachweis für die beauftragten Firmen: Dazu heißt es im Bericht des Hessischen Innenministeriums vom 23.07.2012 [1]:

„Die Firma Steria Mummert Consulting AG war maßgeblich an der Entwicklung INPOL-Neu im BKA beteiligt und verfügte über ein umfangreiches Spezialwissen bzgl. der Fachanwendungen aus dem polizeilichen Umfeld der Produktfamilie INPOL-Land / POLAS. Die Fachkonzeption und Spezifikationen wurden von Steria Mummert Consulting zusammen mit dem BKA entworfen; andere Firmen waren hieran nicht beteiligt.“

Das entsprechende Auftragsvolumen belief sich auf knapp 1,9 Mio Euro. Anfang 2012 konnte die Firma dieses Know-How gewinnbringend mehren: Sie gewann nämlich einen Rahmenvertrag des BKA über IT-Dienstleistungen mit dem Schwerpunkt Test in Höhe von 24,1 Mio Euro [3].

Die Firma Trivadis GmbH hatte für den Zeitraum September 2004 bis Ende 2007 aus Hessen einen Rahmenvertrag über jährlich rund 600.000 Euro erhalten, und 2009 einen weiteren Rahmenvertrag, aus dem mehr als 4,2 Mio Euro abgerufen wurden. Als Begründung für die (freihändige) Auftragsvergabe an die Firma Trivadis hieß es:

Für die zu gewährleistende Weiterentwicklung POLAS / INPOL-Land in 2003 waren umfassende Redesign-Maßnahmen durchzuführen, insbesondere auch die Architektur betreffend. „Die Firma Trivadis beschäftigte Personen, die langjährig für die Fa. Oracle in der Entwicklung der Architektur für POLAS / INPOL tätig waren. … Für das IPCC sollten solche spezialisierten Personen in gleicher Funktion ihre Tätigkeit fortsetzen.“

Im Ergebnis hatte sich damit seit zehn Jahren nichts geändert: Die Einzelpersonen, die schon um 2001 herum für Hamburg bzw. Hessen am polizeilichen Fahndungs- und Auskunftssystem POLAS gearbeitet hatten, wurden auch noch zehn Jahre später dafür eingesetzt. Harald Lemke, der „Weiße Ritter“ aus Hamburg und vorgebliche „Retter“ des Projekts INPOL-Neu, hatte seine Leute gut in Stellung gebracht – und in Hessen war dafür gesorgt, dass sie unbeeinträchtigt blieben von lästigen vergabegesetzlichen Vorschriften. [4] [5]

Hessische Landesregierung zieht die Reißleine: Hamburg übernimmt Geschäftsführung des IPCC

Die Landesregierung in Hessen sah die Zeit gekommen, um ein wenig Gras wachsen zu lassen über das IPCC und seine starke Bindung an das hessische Ministerium des Innern und für Sport. Den in die Kritik geratenen Leiter des Referats 6 des hessischen Landespolizeipräsidiums (LPP6) hatte man schon im Sommer 2011 aus der Schusslinie genommen. Zum 01.01.2012 gab Hessen auch die IPCC-Geschäftsführung ab an die Polizei Hamburg, also zurück an die Behörde, von der das Fahndungs- und Auskunftssystem POLAS, das Vorgangsbearbeitungssystem COMVOR und das Fallbearbeitungssystem CRIME ursprünglich gekommen waren.

Der neue IPCC-Geschäftsführer, ein Regierungsdirektor aus Hamburg, teilte dem Journalisten Helmut Lorscheid mit, „das IPCC stellt lediglich eine Länderzweckgemeinschaft, sowie einen Entwicklungsstandort der Kooperation Brandenburg, Baden-Württemberg, Hessen und Hamburg [IT-Kernkooperation] dar. Es hat keine eigene Rechtsform.“

Der ominöse Lenkungskreis der ‚IT-Leiter‘

Es war vermutlich beruhigend gemeint, als er anfügte, dass „alle Vereinbarungen mit dem IPCC durch den Lenkungsausschuss (der IT-Leiter) der Kooperation autorisiert und getragen werden.“

Funktion bzw. Titel eines ‚IT-Leiters‘ sind allerdings offiziell nicht definiert. Es handelt sich, erfährt man auf Nachfrage, um Herren und Damen aus den Polizeiabteilungen der Innenministerien der IPCC-Kooperationsländer, die über die IT-Ausstattung im jeweiligen Land entscheiden und für alle mit IT zusammenhängenden Fragen federführend verantwortlich sind. Mitunter wird die Rolle des IT-Leiters auch wahrgenommen vom IT-Referatsleiter aus den IT-Service- und Beschaffungsorganisationen für die Polizei im Geschäftsbereich des jeweiligen Innenministeriums. Bisher ist weder bekannt geworden, dass die Entsheidungen dieser Personen von irgendeinem Gremium im jeweiligen Land autorisiert oder kontrolliert würden, noch dass diese Personen persönlich haften würden oder zur Verantwortung gezogen werden könnten für das, was sie da als Lenkungsausschuss gemeinsam entscheiden und tragen. Was in gleicher Weise zutrifft für den Referatsleiter aus dem hessischen Polizeipräsidium bzw. den Regierungsdirektor der Polizei Hamburg, die als ‚Geschäftsführer‘ des IPCC fungier(t)en.

Das IPCC hat keine eigene Rechtsform, kann daher keine Verträge abschließen

Das wesentliche Problem des IPCC bestand darin, dass es ein Konstrukt ohne Rechtsform war bzw. immer noch ist. Also keine juristische Person und auch keine natürliche. Damit ist es unmöglich, Mitarbeiter einzustellen oder Aufträge seitens des IPCC zu vergeben. Denn was hätte als Vertragspartner auf dem Vertrag stehen sollen? Wer hätte ihn als gesetzlicher Vertreter unterschreiben sollen?

Als das IPCC noch von Hessen aus geleitet wurde, hatte die Hessische Zentrale für Datenverarbeitung (HZD)

„für die (IPCC-)Kooperation im Auftrag Hessens zur Inanspruchnahme externer Kräfte Rahmenverträge mit Firmen geschlossen. Aus diesen Verträgen abgeforderten Leistungen werden grundsätzlich seit Jahren unter der Leitung des IPCC-Geschäftsführers und vor Ort in Räumlichkeiten der HZD in Hessen und in Räumlichkeiten bei der Polizei Hamburg in Hamburg geleistet.“

So erklärt es der Hamburgische Geschäftsführer im Juni 2012.

In bzw. durch Behörden des Landes Hessen war eine weitere, freihändige Auftragsvergabe, wie man sie jahrelang zuvor gepflegt hatte, nicht mehr machbar. Die hessische Landesregierung hatte sich im Mai 2012 zwar noch das Rechtsgutachten einer Anwaltskanzlei besorgt [1, dort Anlage 2], welches bescheinigte, unter welchen, sehr engen, Voraussetzungen überhaupt noch „für eine Übergangszeit“ freihändig Aufträge vergeben werden können. Doch schon im September 2012 stellte die Opposition im Innenausschuss fest, dass auch diese Voraussetzungen nicht beachtet worden waren. Nach Auslaufen der entsprechenden Übergangsverträge war dann endgültig Schluss mit dem Inpol Polas Competence Center als Softwarehaus im hessischen Innenministerium.
Und in Hamburg geht es seither ohne Änderungen an den grundlegenden Kritikpunkten munter so weiter …

Wie ist die Vertragssituation bezüglich der Urheberrechte an Programmen/Systemen?

Jedes Programm, jedes Datenbanksystem und somit auch alle hier in Frage stehenden polizeilichen IT-Anwendungen und -Systeme haben einen Urheber. Das steht so im Urheberrechtsgesetz und kann man nachlesen, z.B. bei Wikipedia [9]. Urheber ist der Entwickler des entsprechenden Programm- oder System(teil)s.

In Arbeitsverträgen zwischen Firmen und ihren angestellten Entwicklern geht das Urheberrecht des angestellten Entwicklers kraft Gesetzes [nach §69b UrhG] auf den Arbeitgeber über. Dieser kann dann über das entwickelte Programm oder System verfügen, d.h. es Dritten zur Nutzung überlassen oder anderweitig verwerten (z.B. vermieten), vervielfältigen, und das Programm/System selbst bearbeiten oder durch andere bearbeiten lassen.

Das IPCC hatte keine Arbeitnehmer. Also gibt es auch keine entsprechenden Arbeitsverträge. Wenn Arbeitsverträge mit Angestellten bzw. Beamten existieren, dann allenfalls mit Polizeibehörden oder technischen Dienstleistern, wie dem HZD. Mit den Freiberuflern und Einzelunternehmen kann es Werkverträge geben oder Dienstverträge: Vertragsgegenstand von Werkverträgen ist die Entwicklung (oder Bearbeitung) eines bestimmten ‚Werkes‘. Was juristisch korrekt wäre, davon hat sich die Praxis jedoch schon seit langem verabschiedet: Polizeibehörden bevorzugen Dienstverträge, die den Auftragnehmer z.B. zu einer „Unterstützung bei der Entwicklung …“ verpflichten und ihn dafür nach Zeitaufwand bezahlen. Eine eindeutige [!] gesetzliche Regelung über die Übertragung von Urheberrechten bei Dienst- bzw. Werkverträgen existiert nicht. Auf diesem Fachgebiet erfahrene Juristen empfehlen daher eine klare, individualvertragliche Regelung, da „ein Rechtsstreit sonst einem Roulette-Spiel gleicht“ … und „bei wichtiger Software extrem gefährlich (oder teuer)“ werden kann.

Wer ist Eigentümer der Bearbeitungsrechte an den „IPCC-„Programmen?!

Die hier in Frage stehenden Programme, z.B. Inpol-Land/POLAS, CRIME (und das davon abgespaltene INPOL-FALL) und die sonstigen polizeifachlichen Anwendungen haben seit 2001 mehrfach den Besitzer gewechselt. Dafür gibt es diverse öffentliche Quellen, z.B. in Antworten der Bundesregierung auf Anfragen im Deutschen Bundestag. Aber auch der Geschäftsführer des IPCC aus Hamburg äußerte sich dazu gegenüber dem Journalisten Helmut Lorscheid. Dass diverse Behörden Nutzungsrechte an diesen Produkten haben, ist unstrittig und notwendig. Weniger klar ist allerdings, wer eigentlich der jeweilige Eigentümer der Bearbeitungsrechte ist, z.B. an Inpol-Land, an CRIME, ED-DI, der KLB – Kriminallagebildanwendung oder der SÜP – Sicherheitsüberprüfung.

Bei den vielen Entwickler-Wechseln in der Vergangenheit, den diversen beteiligten Einzelpersonen, „Frau H.“, „Herr M.“, „Herr Z.“, „TOMS (EDV-)Beratung“ usw., müßte für jeden einzelnen Entwicklungsauftrag mit jedem einzelnen Entwickler ein Vertrag vorliegen, der dem jeweiligen Auftraggeber (also z.B. der Polizei Hamburg) nicht nur das Nutzungs- und Verwertungsrecht, sondern vor allem auch das Bearbeitungsrecht am neu bzw. weiter entwickelten Programm/System einräumt.

Es müßte dann ferner für jede Übertragung an Bearbeitungsrechten (wie sie nach Auskunft des hamburgischen IPCC-Geschäftsführers zwischen der Kooperation HH/HE und dem BKA wechselseitig vorliegt) jeweils ein entsprechender Vertrag vorhanden sein, der dem Empfänger nicht nur die Nutzungsrechte, sondern insbesondere die Bearbeitungsrechte am jeweils genau bezeichneten Programm oder System(teil) einräumt.

Es erscheint jedoch angesichts der Hemdsärmeligkeit und rechtlichen Unbekümmertheit (, um es wohlwollend zu formulieren), mit der jahrelang ein Konstrukt ohne Rechtsform und klare gesetzliche Vertretung betrieben wurde, mehr als fraglich, ob all diese Verträge tatsächlich existieren und ob rechtsicher dokumentiert werden kann, dass die notwendigen Bearbeitungsrechte nunmehr bei Dataport liegen und gegenüber der Firma Trivadis eingeräumt werden können. Denn nur dann kann diese ihren Auftrag erfüllen …

Wenn nicht, kann sich der einzelne Entwickler, der dann ja immer noch im vollen Besitz seiner umfassenden (gesetzlichen) Urheberrechte steht, nur freuen und u.U. erheblichen Ärger auslösen, wenn er seine Urheberrechte geltend macht: Dazu gehört nämlich auch das Recht, die weitere Nutzung zu versagen – oder an andere Interessenten zu veräußern.
Für Polizei,Politik und Gesellschaft stellt sich dann allerdings auch die Frage, auf welcher Rechtsgrundlage eigentlich wesentliche Teile des polizeilichen Auskunfts- und Fahndungssystems der Polizeibehörden der Bundesrepublik Deutschland stehen und betrieben werden.

Wer kontrolliert den Quellcode der „IPCC“-Programme?

Auch im Zusammenhang mit dem ‚Bundestrojaner‘ wurde die folgende Frage schon einmal gestellt: Wer kontrolliert eigentlich den Quellcode von polizeilich genutzten Anwendungen, vor allem, wenn diese nicht intern entwickelt, sondern von externen Mitarbeitern? Beim Bundestrojaner war die Frage aufgetaucht, nachdem der Chaos Computer Club im Herbst 2011 diesen ‚Bundestrojaner‘ untersucht und festgestellt hatte, dass er weder den gesetzlichen Vorgaben genügte, noch ausreichend gesichert war. Der Einsatz war technisch unsicher und schlicht verfassungswidrig.

Die gleiche Frage stellt sich auch für sämtliche Produkte des IPCC:

  • Entsprechen sie den gesetzlichen Vorgaben, z.B. aus den Polizeigesetzen?
    Ist wirklich sichergestellt, dass die gesetzlich zwingend vorgeschriebene Zweckbindung für die erhobenen und gespeicherten Informationen mitgespeichert und ausgewertet wird, so wie das jeweilige Polizeigesetz das vorschreibt? Um damit zu verhindern, dass Informationen in den polizeilichen Systemen später zu anderen Zwecken genutzt werden als sie ursprünglich erhoben und gespeichert wurden?
  • Ist sichergestellt, dass verdeckt erhobene Informationen (z.B. aus TK-Überwachung) besonders geschützt sind und nicht an andere Empfänger weitergeleitet werden? Was in den Polizeigesetzen schlicht verboten wird!
  • Sind die Informationen in diesen Programmen/Systemen wirklich geschützt vor Zugriffen von außen?
    Oder hat sich auch hier die Praxis mancher Entwickler eingeschlichen, die – der Einfachheit halber – einen kleinen, wenn auch ‚eigentlich‘ niemandem sonst bekannten Hintereingang in das System eingebaut haben (in der IT-Sprache daher auch „Backdoor“ genannt), was einen heimlichen Zugang von außen ermöglicht?! Weil es so viel einfacher ist, „mal schnell“ eine Fehlermeldung nachzustellen und den Fehler „von außen“ zu beheben, statt erst zum Standort des Kunden zu fahren?!

Es ist nicht unwahrscheinlich, dass diese Fragen Empörung auslösen, oder [von Betroffenen?!] als ‚Verschwörungstheorie‘ oder ‚Unterstellung‘ dargestellt werden. Dabei sind dies lediglich Fragen, wie sie jeder IT-Sicherheits- und Datenschutzbeauftragte in jeder Behörde stellen würde und müßte. Statt sich also mit Empörung aufzuhalten, wäre es doch am einfachsten, sich mit diesen Fragen einmal auseinanderzusetzen und sie zu beantworten – offen und ehrlich, transparent und nachvollziehbar.

Niemand kann von außen feststellen, ob ein Programm oder System Hintertürchen enthält. Solche Untersuchungen sollten von fachlich kompetenten Polizei-Mitarbeitern durchgeführt werden, was ein Problem aufwirft, da die dafür notwendige IT-fachliche Kompetenz und Berufserfahrung in der Polizei eher NICHT anzutreffen sind. Wer „so gut“ ist, verdient sein Einkommen vermutlich längst auf dem freien Markt.
Problematisch ist allerdings auch die Beauftragung eines externen Prüfers, jedenfalls dann, wenn man sich dazu wieder aus der kleinen Riege der immer wieder mit Aufträgen aus Polizeibehörden bedachten Auftragsnehmer versorgt. Über den jüngsten Fall dieser Art hat der Spiegel gerade gestern wieder berichtet [10]: Es geht um CSC Deutschland Solutions GmbH, den mit einem weit mehr als 20 Millionen Euro schweren Auftrag bedachten Dienstleister des BKA [3]. Diese Firma wurde schon vor etlichen Monaten beauftragt, den Quellcode des Bundestrojaners zu überprüfen, konnte bis heute allerdings noch keine Ergebnisse vorweisen. Es wirkt in diesem Zusammenhang nicht vertrauensfördernd, wenn, wie der Spiegel dies ausdrückt, die amerikanische Muttergesellschaft von CSC Deutschland „einer der größten Auftragnehmer der US-Geheimdienste“ ist.

Zahlreiche, spannende Fragen sind also offen im Zusammenhang mit einem der großen Hidden Player in polizeilichen IT-Projekten, dem IPCC: Einem Konstrukt ohne Rechtsform, das seit Jahren die Pflege und Weiterentwicklung des polizeilichen Auskunfts- und Fahndungssystems betreibt und verantwortet, welches das Rückgrat des polizeilichen Informationssystems in der Bundesrepublik Deutschland darstellt. Ein Konstrukt aber auch, das die für diese Aufgabe und Verantwortung notwendige Professionalität und Transparenz – öffentlich jedenfalls – nicht zu erkennen gibt …

Quellen zu diesem Beitrag

[1]   Bericht zu dem Berichtsantrag der Fraktionen der SPD und Bündnis 90/Die Grünen
     betreffend Vergabeverstöße bei Auftragsvergaben des Landespolizeipräsidiums,
     23.07.2012, Drs.-Nr. INA/18/85 (Ausschussvorlage) des Hessischen Landtags

[2]   Stenografischer Bericht der 80. Sitzung des Innenausschusses [im hessischen Landtag] am 13.09.2012 – öffentlicher Teil, zu Punkt 8 = Drs.-Nr. 18/5665 des Hessischen Landtags

[3]   Vergabebekanntmachung über Leistungen zur (Weiter-)Entwicklung und dem Betrieb von im BKA hoheitlich betriebenen (Groß-)Verfahren
http://ausschreibungen-deutschland.de/52787_Rahmenvertrag_fuer_IT-Dienstleistungen_fuer_IT-Entwicklungs-Projekte_und_den_IT-Betrieb_des_2012_Bonn

[4]   Neues vom PIAV (3): Weit besser als sein Ruf: Inpol-Fall, der Vorläufer des PIAV, 01.10.2013, Police-IT
https://police-it.net/dossiers-2/das-inpol-dossier/weit-besser-als-sein-ruf-inpol-fall-der-vorlaeufer-des-piav
[5]   IPCC und Konsorten (1): Inpol Polas Competence Center: Aus Trümmern geboren, 12.02.2014, Police-IT
https://police-it.net/pit/akteure/ipcckonsorten/inpol-polas-competence-center-aus-truemmern-geboren

Copyright und Nutzungsrechte

(C) 2014ff CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.