„Since we can!“ – wie das BMI den BfDI in Sachen Polizei und Datenschutz ausbremst

Der jüngste Tätigkeitsbericht des Bundes­daten­schutz­beauftragten ist ein Zeugnis der Kooperationsverweigerung des BMI in Sachen Polizei und Datenschutz.
Lesedauer: Ca. 5 Minuten

Prof. Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) übergab dem Bundestagspräsidenten am 25.03.2021 seinen Tätigkeitsbericht für 2020 [1]. Auch Polizei2020, das Leuchtturmvorhaben des Bundesinnenministeriums, das einheitliche Fallbearbeitungssystem (eFBS), PIAV-Strategisch und das Vorgangsbearbeitungssystem des BKA kommen darin vor.

Kooperationsverweigerung, Tricksen und Täuschen durch das BMI

Wie ein roter Faden zieht sich durch seine Ergebnisberichte zu diesen Projekten und Systemen die Haltung des BMI der Verweigerung der Zusammenarbeit, des Verzögerns, der Täuschung der Öffentlichkeit, des Ignorierens und jahrelangen Aussitzens von Beanstandungen bzw. Empfehlungen des BfDI.

Polizei 2020

  • Anfang 2019, zwei Jahre nach Beginn des Programms Polizei2020 des BMI, wurde der BfDI erstmals mündlich über das Vorhaben unterrichtet. Dabei wurde ihm seine weitere Beteiligung zugesagt [ist dies ein Gnadenakt des BMI?!]. Im Nachgang erhielt er ein Dokument ‚fachlicher Bebauungsplan‘, das keine adäquate Grundlage für eine datenschutzrechtliche Prüfung darstellte. Und das die Ergebnisse aus zahlreichen datenschutzrechtlichen Kontrollen und Beratungen des BfDI der letzten Jahre gerade NICHT berücksichtigte.
  • Ebenfalls Anfang 2019 war er von der AG Recht (einer Unterorganisation der Innenministerkonferenz) eingeladen zur „Erprobung des geplanten Datenhauses“ [A]: Anschließend teilte er dem BMI seine Bedenken schriftlich mit. Daraufhin wurde er nicht mehr eingeladen. Am Jahresende 2019 sicherte ihm ein NN aus dem BMI mündlich seine erneute Beteiligung zu. „Seither“ wurde er „weder eingeladen“, noch „sonstwie beteiligt“.

    Siehe dazu auch: Polizei2020 – Projektstatus aus Sicht des Bundesdatenschutzbeauftragten

  • In Antworten auf Kleine Anfragen im Deutschen Bundestag erklärte die Bundesregierung allerdings wiederholt, [2 und 3, dass BMI, BKA und Bund-Länder-Gremien in ständigem Austausch stünden.

Ist Datenschutz wirklich Täterschutz?!

Diese Haltung setzt den offenkundigen Willen der Regierungsfraktionen, insbesondere der C-Fraktionen, um. Abgeordnete und Politiker aus deren Reihen haben häufig genug erklärt, dass Datenschutz Täterschutz sei.

Der aktuelle Bundesbeauftragte, Prof. Kelber, zeigt definitiv mehr Engagement und Biss als seine Amtsvorgängerin. Das allein hilft jedoch wenig, wenn das BMI weiterhin die gesetzlichen Möglichkeiten des BfDI für Kontrolle und Sanktionen mit seiner Verweigerungshaltung unterlaufen kann. Eine Einhegung dieser Machtdemonstration im Sinne von „yes, we can“ findet nicht statt.

Einheitliches Fallbearbeitungssystem (eFBS)

  • Mit Beginn des Wirkbetriebs (also im Frühjahr 2020) erhielt der BfDI erstmals schriftliche Unterlagen zum eFBS, die über eine allgemeine Präsentation hinausgehen und kurz vor Redaktionsschluss seines Tätigkeitsberichts weitere Unterlagen.
  • Die bisher übersandten Unterlagen beschreiben die Anforderungen aus Benutzersicht, nicht jedoch das System und seine Funktionen. Eine datenschutzrechtliche Bewertung ist damit nicht möglich.

Fachliche und konzeptionelle Mängel

Ähnlich wie dem BfDI ergeht es auch dem Bundesrechnungshof mit seinem jährlichen Tätigkeitsberichten. Der hat mehrfach über massive, geradezu haarsträubende Mängel im IT-Projektmanagement des Bundesinnenministeriums berichtet]. Folgen sind allerdings ausgeblieben. Mängel von ähnlicher Tragweite konstatiert der Bundesdatenschutzbeauftragte nun bei der Konzeption und Umsetzung der wichtigsten IT-Systeme der Gegenwart und Zukunft für die deutschen Polizeibehörden:

Siehe dazu auch: Kritik des Bundesrechnunghofs am IT-Projektmanagement des BMI

Polizei2020

  • Das einzige Dokument, das dem BfDI zu Polizei2020 im Jahre 5 der Konzeptionierung vorliegt, ist dieser ‚fachliche Bebauungsplan‘. Der BfDI stellt dazu fest, dass Datenschutz darin zwar als wesentliches Ziel benannt ist. Das scheint aber nur ein Lippenbekenntnis zu sein, denn es gibt keine Ausführungen, wie dieses Ziel erreicht werden soll.
  • Der Bebauungsplan berücksichtigt nur polizeiliche Interessen. Eine Bestandsaufnahme der Daten, IT-Systeme und -Verfahren unter datenschutzrechtlichen Gesichtspunkten existiert nicht. Eine Prüfung und Dokumentation dazu fehlt völlig.

Einheitliches Fallbearbeitungssystem

  • Eine Dokumentation des Zwecks dieses Systems und seiner Rechtsgrundlagen (für Bundespolizeibehörden und die Polizeibehörden der 16 Länder) liegt nicht vor, obwohl das eFBS seit 2020 bei BKA und Bundespolizei und in vier Bundesländern (BW, Bbg, HE, HH) im Wirkbetrieb ist.
  • Eine Datenschutz-Folgenabschätzung fehlt bisher. Was gravierend ist, denn mit dem eFBS wird die bisherige dezentrale Datenhaltung (bei den einzelnen Polizeibehörden) aufgehoben. Stattdessen werden personenrelevante Informationen aus allen Behörden zentral in einem geplanten Datenhaus beim BKA gespeichert. Das potenziert das Risiko beim Datenschutz, aber auch im Hinblick auf die IT-Sicherheit [Man stelle sich einen erfolgreichen Hacker-Angriff auf dieses Datenhaus vor …]
  • Für das Lösch-Problem existiert bisher kein Konzept: Es ist also nicht geklärt, welche Auswirkungen es auf die Informationen im Datenhaus hat bzw. haben soll, wenn personenbezogene Daten z.B. im nur logisch abgegrenzten Teilsystem des z.B. „Brandenburgischen“ eFBS gelöscht werden.
  • Dem BfDI liegt lediglich eine Beschreibung für Benutzer vor.

Vorgangsbearbeitungssystem des BKA (BKA-VBS)

Das Vorgangsbearbeitungssystem ist ein zentrales Werkzeug für die tägliche Arbeit des Bundeskriminalamts im Rahmen seiner operativ-polizeilichen Aufgaben. Der BfDI stellte schon in der Vergangenheit fest, dass die aktuelle Ausgestaltung gravierende datenschutzrechtliche Mängel aufweist [4]. Er droht inzwischen in diesem Zusammenhang mit seinem schärfsten Schwert (nach §69, Abs.2 BKA-Gesetz), nämlich der Anordnung von Maßnahmen zur Beseitigung solcher erheblicher Mängel.

Offensichtlich gab es zum Thema BKA-VBS erhebliche Diskussion zwischen BMI bzw. BKA und dem BfDI. In deren Verlauf das BMI eine geradezu abenteuerliche, neue Rechtsauffassung präsentierte:

§22 Abs.2 BKA-Gesetz erlaube eine Speicherung (personenbezogener Daten) insbesondere in den Fällen, in denen die Erforderlichkeit einer Weiterverarbeitung zur Aufgabenerfüllung noch nicht beurteilt werden kann und es nicht ausgeschlossen ist, dass das betreffende Datum zu einem späteren Zeitpunkt einen polizeilichen Nutzen haben könnte.“
Und weiter mit den Worten des BMI:
Das Datum kann „aufbewahrt und ggf. mit weiteren Erkenntnissen angereichert werden, bis eine Entscheidung über die Erforderlichkeit die mangelnde Abgrenzung der zu verschiedenen Zwecken im VBS gespeicherten Daten, der Speicherung zur Aufgabenerfüllung herbeigeführt werden kann oder das Datum ausgesondert wird oder aufgrund des Ablaufs von Höchstspeicherfristen zu löschen ist“.

Dazu bemerkt der BfDI kurz und knapp: „Eine „Datenspeicherung auf Halde“ für den Fall, dass sie irgendwann einmal für die polizeiliche Aufgabenerfüllung „nützlich“ sein könnten, ist nicht zulässig.

Diese Rechtsauffassung unterstreicht die Intention aus dem Hause des Innen- und Verfassungsministers, die schon sein Amtsvorgänger Wolfgang Schäuble vor 14 Jahren gestützt hat:

„Jedes Objekt, das ein Mensch benutzt, jede Transaktion, die er macht und beinahe jeder Geschäftsgang oder jede Reise, die er unternimmt, erzeugt einen detaillierten digitalen Datensatz. Dies generiert einen wahren Schatz an Information für öffentliche Sicherheitsorganisationen und eröffnet gigantische Möglichkeiten zur Steigerung der Effektivität und Produktivität der öffentlichen Sicherheit.“
[Man muss sie nur lange genug aufbewahren (dürfen).]

Daten auf Halde im Datenhaus des BKA

Zu dieser Einstellung passen auch die klandestinen, aktuellen Bestrebungen – via bayerischem Landeskriminalamt – für alle Polizeibehörden beim Bund und den Ländern ein System für die verfahrensübergreifende Recherche und Analyse (=VeRA) [C] zu beschaffen. So wie die Ausschreibungsunterlagen gestaltet sind, dürfte sich der umstrittene US-Anbieter Palantir sehr gute Chancen ausrechnen, den Rahmenvertrag zu gewinnen.

Siehe dazu auch: VeRA – die gefährlichste Entwicklung in der IT der Sicherheitsbehörden seit 75 Jahren

Mit einem solchen System wird dieses ‚Datenhaus‘ beim Bundeskriminalamt erst richtig furchteinflößend, in dem Daten auf Halde gespeichert werden – falls Polizei sie irgendwann mal brauchen kann. Und das politisch und technisch/fachlich verantwortet wird von einem Ministerium, das seinen Konzepten ausschließlich „polizeiliche Interessen“ [BfDI] zugrunde legt. Während es den Schutz personenbezogener Informationen durch Kooperationsverweigerung, Tricksen und Täuschen (des BUndestages und der Öffentlichkeit) weitestgehend ignoriert.

Wie rechtstaatliche Kontrolle ausgehebelt und dies politisch geduldet wird

Institutionen, wie der BfDI oder der Bundesrechnungshof, für die gesetzliche Kontroll- und Sanktionsmöglichkeiten verankert sind, werden so weitgehend zu Papiertigern degradiert. Eine solche Entwicklung wäre nicht möglich, wenn nicht der Innenminister bzw. die Kanzlerin dafür Rückendeckung bzw. „freie Hand“ gewähren und die Regierungsfraktionen im Bundestag dieser Politik nicht immer wieder neu „ihre volle Unterstützung“ versichern würden.

Auch interessant …

Polizei2020 – Technischer Projektstatus im Frühjahr 2021

Quellen

[1]   29. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und die Informationssicherheit, 25.03.2021
https://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/29TB_20.html?nn=5217212

[2]   Schlussfolgerungen der Bundesregierung aus den Tätigkeitsbereichten und Empfehlungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, DBT-Drs 19/21510, 14.08.2020
https://dip21.bundestag.de/dip21/btd/19/215/1921510.pdf

[3]   Stand des Programms „Polizei2020“ im Spätherbst 2020, DBT-Drs 19/25651, 12.01.2021
https://dip21.bundestag.de/dip21/btd/19/256/1925651.pdf

[4]   28. Tätigkeitsbericht zum Datenschutz 2019
https://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/28TB_19.pdf

Copyright und Nutzungsrechte

(C) 2021 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.