Zum Stand der Kenn­zeich­nungs­pflichten in polizeilichen Informationssystemen

Nicht neu, aber weitgehend ignoriert, ist die Pflicht zur Kennzeichnung des Zwecks von polizeilich erhobenen Informationen mit Personenbezug. Daher hat der Bundesdatenschutzbeauftragte in einem Positionspapier mal wieder auf das Thema aufmerksam gemacht. POLICE-IT begleitet das Thema auch mit Presseanfragen bereits seit Jahren. Hier ist ein Überblick über den aktuellen Stand der (Nicht-)Umsetzung dieser gesetzlichen Pflichten.
Lesedauer: Ca. 8 Minuten

Der Bundesdatenschutzbeauftragte hat ein Positionspapier vorgelegt zum ‚Grundsatz der Zweckbindung in polizeilichen Informationssystemen‘.

Es war notwendig und richtig, wieder einmal an diese schon seit langem bestehende gesetzliche Pflicht zu erinnern. Allerdings sind die vier Seiten sehr abstrakt und trocken geraten. Und damit weit entfernt

  1. von der Praxis am PC-Arbeitsplatz eines Polizeibeamten, der Informationen erfasst (speichert) bzw. recherchiert und noch viel weiter entfernt
  2. von den Leistungsfähigkeiten der aktuell eingesetzten polizeilichen Informationssysteme. Zu der klipp und klar gesagt werden muss: Kein einziges der aktuell im Einsatz befindlichen Vorgangsbearbeitungs-, Fallbearbeitungs-, kriminalpolizeilichen Meldesystemen und Verbundsysteme von Bund und Ländern ist aktuell auch nur annähernd in der Lage, diese Anforderungen zu erfüllen. Das weiß man unter den technisch/fachlichen Entscheidern und bei den Entwicklern und Herstellern. Setzt jedoch darauf, dass Systeme, die nicht den Anforderungen genügen immer noch besser sind als die sofortige Abschaltung all dieser Systeme und Fortsetzung der weiteren polizeilichen Informationsverarbeitung auf Handzetteln. Obwohl da die Gesundheitsbehörden aktuell wertvolle Anregungen geben könnten …

Zum aktuellen Stand der Umsetzung von gesetzlichen Kenn­zeich­nungs­pflichten

Nicht die Benutzer sind schuld

Die Benutzer trifft wenig Schuld daran, dass da eine große Lücke klafft zwischen den gesetzlichen Anforderungen auf der einen und den technischen Leistungsmöglichkeiten der IT-Systeme der Polizei auf der anderen Seite. Eine große Zahl von ihnen hält zwar „Datenschutz für Täterschutz“. Und ist insofern sicher nicht „traurig“ darüber, dass der Benutzer mit der geforderten Kennzeichnung wenig Aufwand hat. Was meiner Erfahrung nach weniger einer Ignoranz gegenüber den gesetzlichen Anforderungen geschuldet ist, sondern viel mehr einer generellen Unleidigkeit gegenüber den Systemen, mit denen sich der normale Polizeibeamte tagtäglich herumzuschlagen hat und deren Entwicklern.

Entscheider haben die gesetzlichen Anforderung der Kennzeichnungspflichten einfach ignoriert

Entscheider sind viel mehr dafür verantwortlich, dass die gesetzlichen Kennzeichnungspflichten in den meisten polizeilichen Informationssystemen weitgehend ignoriert werden. Denn diese Anforderungen standen nicht oder nur sehr weit hinten in deren Anforderungskatalog. Es galt da eher die Einstellung, dass ja ohnehin niemand „von außen“ prüfen kann, was in einem polizeilichen Informationssystem so gemacht oder nicht gemacht wird. Und daher beließ man es mit Scheinlösungen (dazu unten mehr), die zeigen, dass Respekt gegenüber dem vom Gesetzgeber definierten Recht betroffener Personen nicht vorhanden ist.

Weitgehend fehlende Kontrolle durch die Datenschutzbeauftragten der Polizeibehörden

Für – meiner Schätzung nach – über 90% der aktuell im Einsatz befindlichen Vorgangsbearbeitungs-, Fallbearbeitungs-, kriminalpolizeilichen Meldesystemen und Verbundsysteme von Bund und Ländern fehlt bis heute der Nachweis, DASS das jeweilige System den Anforderungen an die Kennzeichnung der Zweckbindung auch tatsächlich genügt.

So hat zum Beispiel die Amtsvorgängerin des derzeitigen Bundes­daten­schutz­beauftragten schon in ihren Tätigkeitsberichten für die Jahre 2015 und 2016 bemängelt,

  • dass das bei der Bundespolizei eingesetzte Vorgangsbearbeitungssystem @rtus, und das beim BKA und der Bundespolizei eingesetzte Fallbearbeitungssystem B-Case „nicht zwischen den verschiedenen gesetzlich zulässigen Speicherzwecken (…) differenzieren“
  • und dass „die in B-Case gespeicherten Daten unbegrenzt für Zwecke der Gefahrenabwehr und der Strafverfolgung zur Verfügung“ [stehen].

Ob diese Mängel inzwischen behoben wurden, konnten wir trotz Nachfrage bei der BfDI nicht herausbekommen. Auf eine weitere Nachfrage von POLICE-IT antwortete die Pressestelle der BfDI am 19.06.2017 u .a.: „… waren Kennzeichnungen bislang nicht Gegenstand einer gezielten Kontrolle im Polizeibereich (BPol, BKA, ZKA). Aha!

Auf eine Anfrage von POLICE-IT beim Bundesministerium des Innern zur Umsetzung der gesetzlichen Kennzeichnungspflicht antwortete dessen Pressesprecher am 17.02.2020:

„Sofern die polizeilichen Systeme bereits die entsprechenden technischen Möglichkeiten bieten, wird eine Umsetzung der Kennzeichnung bereits realisiert. Sollten Systeme die technischen Möglichkeiten noch nicht bieten [was für die Mehrzahl der Verbundsysteme, Vorgangs- und Fallbearbeitungssysteme zutrifft / d. Verf.], wird derzeit auch nicht gekennzeichnet. … Hinsichtlich der ab dem 25.05.18 [ab diesem Datum gilt die neue Datenschutzgrundverordnung/d. Ver.] gespeicherten Daten gilt, dass eine Kennzeichnung nur vorzunehmen ist, wenn diese in einer neu vom BKA angelegten Datei gespeichert werden.“ [was nahezu irrelevant ist, denn vor allem geht es um die früher eingeführten Systeme, wie INPOL, INPOL-Fall, die Vorgangs- und Fallbearbeitungssysteme, sowie die bis zum 28.5.2018 eingeführten Cluster von PIAV.]

Wo und wie werden Kennzeichnungspflichten aktuell umgesetzt?!

Verfahren, Vorgang und Fall sind Informationsobjekte in diesen polizeilichen Informationssystemen, die ein bestimmtes Verfahren, bzw. einen bestimmten polizeilichen Vorgang identifizieren bzw. einen „Fall“, das ist in der Regel eine bestimmte Straftat. Einheitliche Definitionen dafür existieren nicht. Üblich ist in den genannten Systemen, dass ein Kennzeichen für die Zweckbindung an dem Vorgangs- bzw. Fall-Objekt als Merkmal festgemacht wird. Das bedeutet, dass

  • der ganze Vorgang einer Identitätsfeststellungen zahlreicher Personen vor dem Fußballspiel Hertha BSC Berlin gegen … eine polizeiliche Maßnahme (Gefährderansprache) im Zuge der Gefahrenabwehr ist. Mit der Folge, dass SÄMTLICHE (!) Personen-Objekte, die mit diesem Vorgang verbunden sind, ebenfalls das Zweckbestimmungs-Kennzeichen „Gefahrenabwehr …“ erben.
  • Gleiches geschieht mit dem Fall: Da wird z.B. erfasst, dass Herr Z. als Zeuge erfasst wurde bei der Brandstiftung an einem Fahrzeug in Berlin. Die Brandstiftung selbst ist der ‚Fall‘ und erhält das Zweckbestimmungs-Kennzeichen „Strafverfolgung“. Damit erbt auch das zugehörige Personen-Objekt des Zeugen, Herrn Z., in diesem Fall dieses Kennzeichen. Mit der Folge, dass Herr Z. bei entsprechenden Suchkriterien als Treffer erscheint, wenn der Polizeibeamte geeignete Suchkriterien verwendet, die zu Herrn Z. führen.

Die Rolle einer Person im Vorgang oder Fall wird vollkommen ignoriert

Neben der Bestimmung des Zwecks von personenbezogenen Daten in einem polizeilichen Informationssystem ist auch die ROLLE EINER PERSON in einem polizeilichen Vorgang bzw. Fall zu kennzeichnen und bei der späteren Nutzung auszuwerten.
Dem steht die weit verbreitete, etwas treuherzige Annahme entgegen, dass man „nichts getan“ habe und daher auch nichts zu verbergen habe vor der Polizei. Wer so argumentiert, hat noch nicht erlebt, wie es ist, in die Fänge einer Polizei zu geraten, deren Informationssysteme zunehmend gefährliche Fake Data als belastbare Information ausgeben und zur Grundlage von polizeilichen Maßnahmen machen:

Der Fall des Berliner Richters Christian von G., der vom Geschädigten zum angeblichen Straftäter wurde

Über ein krasses Beispiel dieser Art berichtete RBB24 im Dezember 2020:
Der Berliner Richter Christian von G. und seine Frau wachten mitten in der Nacht auf, weil ihr vor dem Haus geparktes Auto brannte. Die herbeigerufene Feuerwehr konnte nichts mehr ausrichten: Der Wagen hatte am nächsten Morgen nur noch Schrottwert. Das Ehepaar vermutete einen Zusammenhang mit ihrem Engagement für eine Neuköllner Galerie. Auch die Polizei in Berlin ordnete den Fall einer ‚Neukölner Anschlagsserie‘ von mutmaßlichen Neonazis zu. Christian von G. galt eindeutig als Geschädigter im Fall dieser Brandstiftung. Wenn auch POLIKS, das Vorgangsbearbeitungssystem der Berliner Polizei, eine Vererbung der Kennzeichnung vom Fall auf die Person vornimmt, ist mit seinem Personen-Objekt jetzt das vererbte Kennzeichen „Strafverfolgung“ verbunden.

Doch seine Rolle als Geschädigter in diesem Fall blieb offensichtlich unbeachtet. Denn einige Monate später wurde der Richter von der Staatsanwaltschaft über ein GEGEN IHN anhängiges Strafverfahren informiert. Beleidigung gegen eine Politikerin wurden ihm vorgeworfen, die er nicht begangen hatte. Erst durch die Akteneinsicht seines Anwalts erfuhr der Richter, dass es die Beleidigung – auf Facebook übrigens – tatsächlich gegeben hatte. Der tatsächliche Verfasser hatte fast den identischen Namen verwendet: Christian G. – lediglich das „von“ war weggelassen. Bei korrekter Beachtung der Kennzeichnungsregeln hätte der Richter als Geschädigter einer Straftat niemals bei einer Recherche nach einem rechtsextremen Hasstäter auf Facebook aufscheinen dürfen. Denn personenbezogene Informationen dürfen nur zu dem Zweck gespeichert und genutzt werden, zu dem sie auch erhoben wurden.

INPOL und INPOL-Fall bilden die Rolle von Personen im Fall nicht korrekt ab

Polizeiliche Informationssysteme, wie das gemeinsame Verbundsystem INPOL von Bund und Ländern, oder auch INPOL-Fall, das für kriminalpolizeiliche Meldedienste (noch) verwendet wird, gehen mit einer ‚Rolle der Person im Vorgang oder Fall‘ nicht korrekt um: Die Personenrolle wird dort einfach als Merkmal dem entsprechenden Personenobjekt hinzugefügt. Die Tatsache, dass ein- und dieselbe Person bei der Polizei in mehreren Rollen erfasst werden kann, ist damit nicht abzubilden. Denn wenn das Merkmal einmal vergeben ist, ist das Feld sozusagen voll. Dazu kommt, dass – mir jedenfalls – nicht bekannt ist, ob und wie die Rolle einer Person bei der späteren Nutzung/Abfrage von Personen als Einschränkung in INPOL bzw. INPOL-Fall berücksichtigt werden würde.

Der Europäische Datenschutzbeauftragte äußerte entsprechende Bedenken im Hinblick auf Palantir Gotham

Der Guardian brachte am 02.04.2021 einen langen Artikel über den US-Anbieter Palantir und seine Eroberungsstrategien von europäischen Institutionen und deutschen Polizeibehörden. Demnach hat der Europäische Datenschutzbeauftragte in seinen – diesbezüglich massiv redigierten – Berichten für 2018 und 2019 berichtet: Das bei Europol eingesetzte Palantir-System Gotham sei nicht darauf ausgelegt, die Rolle einer Person im Verfahren/Vorgang/Fall ausreichend präzise zu kennzeichnen. Das Fehlen dieser Personenrolle habe zur Folge, dass das System nicht sicher unterscheiden können, ob jemand ein Opfer, ein Zeuge, ein Hinweisgeber oder der Tatverdächtige einer Straftat sei.

Das ist nicht irrelevant, weil es scheinbar weit weg ist. Sondern kann für jeden Menschen in Deutschland zum Problem werden: Denn in Hessen und Nordrhein-Westfalen ist dieses Palantir-System bereits im Einsatz unter dem Namen Hessendata bzw. DAR/NRW. Und beim LKA Bayern läuft in diesen Tagen die Auswertung der Bewerbungen um Teilnahme an einem Vergabeverfahren für ein solches System namens VeRA – verfahrensübergreifende Recherche und Analyse – mit dem nicht nur das Bayerische LKA, sondern auch das Bundeskriminalamt und sämtliche Länderpolizeibehörden (, sofern sie sich dafür entscheiden) ausgestattet werden sollen.

„Personenverwechslungen“ und nachlässige Erfassung von Personendaten potenzieren das Problem

Das Problem der uneffektiven Kennzeichnung von Personen wird potenziert durch das um sich greifende Problem des nachlässigen Umgangs mit Personendaten an sich:

Amed Amed, dieser Name ist ein Menetekel für einen solchen Fall: Amed Amed (so war er bei der Polizei gespeichert, in Wirklichkeit hieß er Amad Ahmad), war ein junger Mann aus Syrien, der im Juli 2018 unrechtmäßig inhaftiert wurde und an den Folgen eines (ungeklärten) Brandes in seiner Zelle ums Leben kam. Trotz einer Serie von haarsträubenden Fehlern diverser Polizei- und Justizbeamter mit dem jungen Mann, hat die Staatsanwaltschaft bisher alle Ermittlungsverfahren gegen Beamte eingestellt. Denn eine „fahrlässig“ begangene Freiheitsberaubung ist nicht strafbar. Und mehr als Fahrlässigkeit konnte die Staatsanwaltschaft nicht feststellen. Amed A. sei vielmehr „verwechselt“ worden mit einem Mann „ganz ähnlichen“ Namens: Der hieß Amedy G. …

Der laxe Umgang mit den Kennzeichnungen bei der Abfrage

Wer in polizeilichen Informationssysteme nach Personen sucht, muss dafür einen Grund (= Zweck) angeben. Ich habe hunderte von Protokolleinträgen aus einem Vorgangsbearbeitungssystem gesehen, in denen es ausgereicht hatte, dass die Benutzer als Grund ihrer Suche „Gefahrenabwehr“ oder „Vorgangsbearbeitung“ als Zweck angegeben hatten. Man könnte dann auch gleich hinschreiben „bin bei der Arbeit“. Was sich jedermann denken kann: Denn „Suche für meinen Kumpel“ wird freiwillig sicher kein Polizei­vollzugs­beamter angeben, der unrechtmäßig Informationen abfragt …

Natürlich sind solche Plattitüden keine wirksamen Beschränkung für die tatsächlich angezeigten Daten nach einer solchen Suche. Wäre es dann nicht besser, ehrlich zuzugeben, dass man die gesetzliche Kennzeichnungspflicht nicht ernst nimmt und auch nicht effektiv realisieren kann und solche Pro-Forma-Angaben gleich ganz weg zu lassen?! Wäre es nicht noch besser, wenn der Gesetzgeber Gesetze erließe und sich VORHER MAL von Fachleuten darüber beraten lässt, was eigentlich technisch machbar und fachlich sinnvoll ist?!?!

Nach NSU2.0 soll es in Hessen Verbesserungen gegeben haben

Was zum Fall der unrechtmäßigen Abfragen bei der hessischen Polizei führt, die vor einigen Monaten bekannt wurden. Nach den rechtsextremistisch motivierten Hetz- und Hass-Mails gegenüber PolitikerInnen u.a. von „NSU2.0“ soll Hessen reagiert haben: Mit der Folge, dass inzwischen tatsächlich wirksamere Angaben gemacht werden müssen und auch intensiver überprüft wird für Abfragen in den dortigen polizeilichen Informationssystemen. Ob auch auf der Seite der Erfassung nun strengere Regeln für die Angabe des Zwecks der Erhebung und Speicherung gelten, habe ich bisher nicht in Erfahrung gebracht.

Fazit zum aktuellen Umgang mit der Kennzeichnungspflicht

  • Die bisher eingeführten Verfahren sind Schmalspurlösungen, die der eigentlichen gesetzlichen Anforderung nicht gerecht werden.
  • Nach Angaben des BMI wird dies auch bis auf Weiteres so bleiben, da nicht kennzeichnen muss, wer nicht kennzeichnen kann. [Manchmal kann das Leben so einfach sein … / d. Verf. ] Ob dieser Umgang mit gesetzlichen Anforderungen Vorbildcharakter bekommt für andere gesetzliche Regeln bleibt abzuwarten. Vermutlich handelt es sich aber nur um Ausnahmerecht für Polizeibehörden.
  • Die Datenschutzbeauftragten der Polizeibehörden halten sich mit Kontrollen der Kennzeichnungspflichten weitgehend zurück. Was sollen sie auch kontrollieren, wenn vom BMI eine Carte Blanche ausgegeben wird, die die Behörden von jeder Verpflichtung frei stellt?!

Insofern darf man gespannt sein, ob dem Positionspapier des Bundesdatenschutzbeauftragten weitere Initiativen von ihm, Kollegen oder Abgeordneten zu diesem Thema folgen. Oder ob es so bleibt, wie das BMI die Sache sieht: Dass kennzeichnen muss, wer’s kann und es bleiben lassen kann, wer’s nicht kann … Dann hätte der BfDI mit seinem Vierseiter zumindest mal auf das Problem aufmerksam gemacht, aber ansonsten niemanden wehgetan …

Verwandte Artikel zum Thema

[A]   Wen oder was schützen eigentlich Datenschutz-Aufsichtsbehörden der Polizei?, 17.02.2020
https://police-it.net/wen-oder-was-schuetzen-eigentlich-datenschutz-aufsichtsbehoerden-fuer-die-polizei

[B]   Wenn Kontroll fehlt, werden Gesetze ignoriert, 20.02.2019
https://police-it.net/wenn-kontrolle-fehlt-werden-gesetze-ignoriert

[C]   “Since we can!“ – wie das BMI den BfDI in Sachen Polizei und Datenschutz ausbremst, 26.03.2021
https://police-it.net/polizei2020-bundesdatenschutzbeauftragter-status-2020

Copyright und Nutzungsrechte

(C) 2021 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.

Schreibe einen Kommentar