Polizeiliche Informationssysteme führen ein Schattendasein

Der Bundesbeauftragte für den Datenschutz und die Informationsfreihei (BfDI)) hatte am 6.10.2021 eingeladen zu einem Online-Symposium über ‚Polizeiliche Informationssysteme in Zeiten von KI und Big Data‘. Die Auswahl der Referenten darf als Statement des Veranstalters verstanden werden: Es referierten, zunächst in Impulsvorträgen

  • Sabine Leutheusser-Schnarrenberger, die frühere Bundesjustizministerin, die 2013 zurückgetreten war wegen der Entscheidung der Bundesregierung zum „großen Lauschangriff“,
  • Marit Hansen, die Landesbeauftragte für Datenschutz und Leiterin des Unabhängigen Landeszentrums für Datenschutz in Kiel (ULD),
  • Prof.Dr. Matthias Bäcker, Experte für Verfassungs- und insbesondere Datenschutzrecht von der Universität in Mainz, sowie
  • Holger Münch, der Präsident des Bundeskriminalamts.

Hier, ohne Anspruch auf Vollständigkeit, die mir aufgefallenen Highlights und einige persönliche Anmerkungen dazu: | Lesedauer: Ca. 10 Minuten

Polizeiliche Informationssysteme führen ein Schattendasein in der öffentlichen, medialen und juristischen Wahrnehmung

Zweimal blitzte sie auf – die wichtigste Message dieser Veranstaltung:
Zum ersten Mal, als Prof. Ulrich Kelber, der Bundesdatenschutzbeauftragte und Initiator der Veranstaltung in seinem Eingangsstatement feststellte, dass polizeiliche Informationssysteme ein Schattendasein fristen in der öffentlichen Wahrnehmung. Da werde über Datenbanken, wie zum Beispiel die Antiterrrordatei, laut und anhaltend debattiert und inzwischen zweimal das Bundesverfassungsgericht angerufen; von dieser Datenbank sei allerdings nur eine verschwindend kleine Zahl von Menschen je betroffen gewesen.
Und Prof. Matthias Bäcker, steuerte bei, dass polizeiliche Informationssysteme (und Datenschutz, sollte man ergänzen) in der juristischen Forschung und Rechtssprechung, wenn überhaupt, dann nur eine sehr kleine Rolle spielen.

„Was ich nicht weiß, macht mich nicht heiß“

Als Herausgeber dieses Blogs über ‚Polizei und ihre Informationssysteme‘ kann ich diese Beobachtung nur bestätigen und ergänzen: 95%, schätze ich mal, meiner Mitmenschen und der Vertreter der Medien wissen weder, wie solche Systeme eigentlich funktionieren, noch was sie leisten und was nicht. Und – getreu dem Motto – „was ich nicht weiß, macht mich nicht heiß“, interessiert sich auch kaum jemand aktiv für mehr Wissen [natürlich abgesehen von den treuen Followers / Stamm“lesern“ von POLICE-IT (:-)].

Vereinzelt wurden Journalisten munter zu diesem Thema, zuletzt beim G20-Gipfel (2017 in Hamburg), nachdem während der Veranstaltung einigen Kollegen die Akkreditierung entzogen worden war. Als Folge, zum Teil falscher Speicherungen in polizeilichen Informationssystemen [siehe Warum werden Journalisten erst munter, wenn sie selbst betroffen sind und …]

Millionen von Menschen sind betroffen, ohne davon zu wissen

Dabei gibt es über Millionen von Menschen Personendatensätze in polizeilichen Informationssystemen: Im Personenindex von INPOL-Z, der zentralen Datenbank beim BKA des Bund-Länder-Verbundsystems der Polizeibehörden, waren im August 2020 6,5 Millionen Einträge gespeichert [1], das sind knapp 8% der in der Bundesrepublik lebenden Menschen. Im bayerischen Kriminalaktennachweis sollen sogar 1,6 Millionen Personen erfasst sein. Als Daumenregel kann man annehmen, dass es über jeden achten bis jeden zwölften Menschen in diesem Land einen Eintrag in einem polizeilichen Informationssystem gibt. Zwischen 6,7 und 10 Millionen Mitbürger haben also einen „Informationsobjekt“ in einer Polizeidatenbank.

Fehler beim Berichtigen oder Löschen von Informationen haben kaum noch einen Nachrichtenwert


Dass es mit rechtzeitigen Berichtigungen falscher oder nicht mehr aktueller Daten hapert und dass das fristgerechte Löschen in den Systemen aller Behörden von Bund und Ländern ein Dauerproblem ist, liest man seit Jahren regelmäßig in der Zeitung. Darum ging es ja auch bei der so genannten „Journalistenaffäre“ nach dem G20-Gipfel in Hamburg.

Aus jüngerer Zeit gibt es – auch auf diesem Blog – Berichte darüber, dass Personen angeblich „verwechselt“ werden aufgrund der Erkenntnisse, die polizeiliche Informationssysteme ausweisen: Mit der Folge, dass A inhaftiert wird für einen Haftbefehl, der auf B ausgestellt ist. Oder – ein anderer Fall – dass der Asylbewerber C – als ganz besonders auf- und straffällig eingestuft wird und damit ein für eine Abschiebung werden kann, obwohl ihm nachweislich die Daten von ganz anderen Personen zugeordnet worden sind.

„Polizei sind die Guten“


Dennoch ist das Gros unserer Mitmenschen und alle Medienvertreter, die noch nicht andere Erfahrungen gemacht haben, voller Vertrauen: Denn sie pflegen die Überzeugung, dass „Polizei die Guten“ sind. Die sich immer an Recht und Gesetz hält. Und gesetzliche Vorgaben – auch über die eigene Arbeit und zum Beispiel über den Umgang mit Informationen in ihren Polizeidatenbanken – penibel genau einhält.

Die Guten kontrolliert man nicht! – Wenn Kontrolle mit Misstrauen gleichgesetzt wird

Das ist eine Einstellung, die auch IN der Polizei so weit verbreitet ist, dass gesetzlich vorgesehene Kontrollen von Datenschutzbeauftragten dort vor allem als Sakrileg und unberechtigte Zumutung angesehen werden. So war jedenfalls ein Teil der interessanten Berichte aus der Praxis von Marit Hansen zu verstehen, der Landesbeauftragten für Datenschutz und Leiterin des Unabhängigen Landeszentrums für Datenschutz in Kiel (ULD). Um nicht missverstanden zu werden: Auch ich bin der Ansicht, dass a) Polizei eine wichtige Aufgabe in dieser Gesellschaft hat und daher notwendig ist und b) dass die meisten von einer Viertelmillionen Beschäftigten in der Polizei sich an Recht und Gesetz halten. [Dass es inzwischen zum „guten Ton“ (oder ist es Selbstschutz?!) gehört, dass man über Polizei nicht reden kann, ohne eingangs eine solche „Ehrenerklärung“ abzugeben, hat auch diese Veranstaltung wieder bestätigt …]. Dennoch bin ich auch der Ansicht, dass der Umgang mit und die Transparenz über Fehler in der Polizei sehr unterentwickelt und dringend verbesserungswürdig ist.

Spannungsverhältnis zwischen (Eingriffen in die) Grundrechte von Betroffenen und Interessen der Polizei

Sabine Leutheusser-Schnarrenberger, die frühere Bundesjustizministerin von der FDP, deklinierte das Spannungsverhältnis sauber herunter: Zwischen der Zivilgesellschaft und ihren Angehörigen, wenn sie Betroffene werden von der Erhebung, Speicherung und Nutzung sie betreffender Informationen in polizeilichen Informationssystemen – einerseits. Und Polizei und deren Mitarbeitern andererseits, die beim Ermitteln von Straftaten oder Abklärungen im Rahmen der Gefahrenabwehr solche Informationen sammeln und meist eben nicht umgehend den Betroffenen informieren (können). Es sei die Aufgabe von (Polizei-)Gesetzen, den Umgang mit personenbezogenen Informationen unter Beachtung des grundrechtsgleichen Grundsatzes der informationellen Selbstbestimmung normenklar und ausreichend bestimmt zu regeln. Und Aufgabe der Polizei, sich an diese Gesetze zu halten.

Dreieinhalb Stunden heile Welt …

Gegen diese schulbuchmäßige Darstellung ist nichts zu sagen. Außer, dass der Aspekt der Kontrolle bzw. Durchsetzung gesetzlicher Regeln nach meinem Geschmack bei dieser Veranstaltung etwas zu kurz kam. Auch die Antwort auf meine Nachfrage, ob die Kontrolle der polizeilichen Handhabung ihrer Informationssysteme durch Datenschutzbeauftragte ausreichend sei, war dominiert von der großen Harmoniewolke, die über den Datenschützern, Juristen und dem Oberpolizisten in dieser Veranstaltung schwebte. Man wollte sich ersichtlich nicht wechselseitig kritisieren und demonstrierte gemeinsames Ziehen am gleichen Strang.

Die Praxis, so meine nur beschränkte Erfahrung, sieht leider anders aus. Daher hätte ich mir – nicht nur von Frau Leutheusser-Schnarrenberger – vor einem Panel von 300 – 350 interessierten Online-Teilnehmern deutlichere Worte gewünscht. Darüber, was AKTUELL beim Datenschutz in polizeilichen Informationssystemen gut läuft bzw. im Argen liegt. Das ging unter sehr viel Theorie und Mutmaßung über Künstliche Intelligenz, Big Data und Data Mining zu sehr unter.

Praktisches und Kritisches aus der Praxis

Vollgespickt mit Informationen waren die Folien und das Referat von Frau Hansen, der Landesdatenschutz­beauftragten aus Schleswig-Holstein:

Zur JI-Richtlinie

  • Die 2016 verkündete EU-Richtlinie für den Bereich Justiz und Inneres – daher JI-RIchtlinie genannt – bezeichnete sie als „Zwilling der den meisten besser vertrauten Datenschutzgrundverordnung (DSGVO).
  • Diese Richtlinie sieht u.a. „Datenschutz durch Technikgestaltung“ vor: Also Planung und Konzeption der technischen Ausgestaltung von (auch polizeilichen) Informationssystemen schon in deren Konzeptions- und Entwicklungsphase.

Zu Polizei2020

  • Ende 2016 hatten die Innenminister der Bundesländer in der Saarbrücker Agenda ihre Forderungen an die Modernisierung der IT-Infrastruktur für die deutsche Polizei formuliert. Daraus machten BMI und BKA das Programm Polizei2020.
  • Das White Paper des BKA zu Polizei 2020 enthält zwar das Schlagwort von der „Stärkung des Datenschutzes durch Technik“: Doch die praktische Ausgestaltung, insbesondere das Vorhaben der zentralen Datenspeicherung in einem „mandantenfähigen“ „gemeinsamen Datenhaus“ und das dahinter stehende Data Warehouse-Konzept sprechen, sagt Frau Hansen, nicht unbedingt dafür, dass Datenschutz einen hohen Rang bei der Umsetzung von Polizei 2020 einnimmt. Besonders kritisch zu sehen seien:
    • Die nur „logische“ Trennung zwischen „Mandanten“ [=Behörden als Teilnehmer am Polizei2020-Verbund];
    • die beabsichtigte „agile“ Softwareentwicklung bei der Umsetzung von Polizei2020;
    • sowie vor allem die folgenden Risiken aufgrund des gewählten Ansatzes eines gemeinsamen Datenhauses:
      • Aufweichung der [gesetzlich vorgeschriebenen] Kennzeichnungspflicht der Zweckbindung und deren Beachtung
      • ein zentralisiertes, „gemeinsames Datenhaus“ als zentraler Angriffspunkt für Angriffe von außen oder auch von innen,
      • die Komplexität des Systems und Dynamik der Programmentwicklung an sich, die befürchten lassen, dass eine (datenschutzrechtliche) Kontrolle erheblich erschwert wird.

    Zur Datenschutzaufsicht bei Polizeibehörden

    Interessant, weil noch nie so gehört, waren Frau Hansen’s Analysen zu den polizeilichen Datenschutzbeauftragten: Von denen es in jeder Polizeibehörden einen gibt. Der habe es schwerer als Kollegen in anderen Fachbehörden aus diesen Gründen:

    • geringe personelle Ausstattung
    • Umgang mit sensitiven Daten
    • interne Prüfungen – die in anderen Fachbehörden selbstverständlich wären – würden in der Polizei als Misstrauensbekundung verstanden
    • die (an sich gute) Kommunikation zwischen dem polizeilichen Datenschutzbeauftragten und z.B. der Landes-Datenschutzbehörde werde in der Polizeibehörde kritisch beäugt
    • Konflikte aufgrund der Doppelfunktion von Mitwirkung bei der datenschutzrechtlichen Ausgestaltung neuer Systeme und der (späteren) datenschutzrechtliche Kontrollfunktion solcher Systeme

    Zur direkten Kontrollmöglichkeit von Datenschutzaufsichtsbehörden in der Polizei

    … beantwortete Frau Hansen eine Frage von mir, die als aktuellen Zustand bestätigte, was ich aus früherer aktiver Tätigkeit in polizeilichen IT-Projekten schon kannte: Die Frage lautete:

    „Können Ihre Mitarbeiter bei der Kontrolle eines Polizeilichen Informationssystems – sagen wir INPOL-Land im Landeskriminalamt Schleswig-Holstein – selbst Abfragen zur Kontrolle der Einhaltung gesetzlicher Vorgaben in das System eingeben? Oder müssen sie Fragen an die Techniker der Polizei stellen, die von denen beantwortet werden? Wenn letzteres zutrifft: Geschieht dies wenigstens zeitnah – im Rahmen der Prüfung vor Ort?“

    Es ist bedauerlich, dass das feine Lächeln, das über Frau Hansen’s Gesicht huschte, bei dieser Frage hier nicht wiedergegeben werden kann: „Nein,“ antwortete sie, direkte Abfragen am System seien nicht die Regel. Vielmehr erhalten sie Protokolle [das können Listen über die Nutzung durch Mitarbeiter sein, aber auch Auszüge mit den Inhalten bestimmter Datensätze, z.B. über bestimmte Personen], die dann quasi am Schreibtisch auszuwerten sind. In EINEM Fall habe ihre Behörde einen direkten Zugang und Eingriff am System verlangt und durchgesetzt. Das habe eine „zweieinhalbjährige Verstimmung“ [der betroffenen Behörde] zur Folge gehabt.

    Im Rafting Boat über verborgene und sonstige rechtliche Fragen

    Nix Genaues weiß man nicht …

    Herr Prof. Bäcker war nicht zu beneiden um den Auftrag, in zwanzig Minuten einen Überblick über „Polizeiliche Informationssysteme und grundrechtlichen Datenschutz“ zu geben. Seine Folien waren, genauso wie sein Referat, vollgepackt mit Text, bei dem einem schwindlig werden konnte. Bei mir blieb hängen, dass wohl vieles in der Jurisdiktion längst nicht so ausgefeilt definiert zu sein scheint, wie es – unter Berücksichtigung der technischen Entwicklung solcher Systeme – sein müsste. Und das, was schon definiert ist, scheint zu oberflächlich und dem nicht (mehr) gewachsen zu sein, was eigentlich für die aktuellen Systeme geregelt sein müsste.

    Was darf das BKA denn nun? Und: Wer bestimmt das?

    Mehrfach fiel der Ausspruch, dass „das BKA eigentlich alles dürfte“, wenn man eine bestimmte Definition nur so oder so auslege. Ich sehe mich außerstande, dies alles richtig wiederzugeben.

    Die Probleme beginnen bei der (mangelnden technischen) Kompetenz der Gesetzgeber und Gerichte

    Mein starker Eindruck war allerdings, dass das Problem schon weit VOR den polizeilichen Informationssystemen anfängt: Nämlich bei einem krass von den technischen Möglichkeiten überforderten Gesetzgeber im Bundestag. Gefolgt von einem zwar bemühten und seinerzeit geradezu fortschrittlichen Bundesverfassungsgericht (er verwies auf das Bundesverfassungsgerichtsurteil zur „informationellen Selbstbestimmung von 1983), dessen aktueller Spruchkörper sich seither aber hinsichtlich der technischen Verständniskompetenz nicht dem aktuellen Stand der Technik entsprechend weiter entwickelt hat.

    Die im „System Polizeiliche Informationssysteme“ enthaltenen Risiken

    Persönlich muss ich sagen: Dabei kann einem Angst werden:

    • Wir haben Gesetze, die gemacht wurden von Leuten, die Möglichkeiten und Folgen solcher Systeme gar nicht überblicken können;
    • politische Konzepte, die gewollt werden von Politikern der Innern Sicherheit, und Polizeibeamten mit ziemlich einseitig ausgerichteten Interessen
    • und polizeiliche Informationssysteme, die umgesetzt wurden und werden hauptsächlich von IT-Söldnern, also externen Mitarbeitern, die beauftragt und bezahlt werden im Auftrag dieser Polizisten und ihrer übergeordneten Behörden.

    Ein wirksamer Schutz durch Datenschutzaufsichtsbehörden kommt in diesem System nicht vor.

    Und dann kam James Bond – vom BKA

    Es widerstrebt mir – eigentlich und normalerweise – Wertungen zu einer Person abzugeben. Im Falle des BKA-Präsidenten Münch [, den ich gestern nicht zum ersten Mal bei einer solchen Veranstaltung erlebt habe,] weiche ich davon ab, denn es war dieser massive James Bond-Eindruck bei mir, der seinen ganzen Auftritt überlagerte:

    Sein Impuls begann mit einer längeren Darstellung der Leistungsfähigkeiten seiner Behörde: Technische Werkschau für den Mister Q des BKA sozusagen: Was man alles Tolles an Werkzeugen hat … Besonders beim Kampf gegen Cyberkriminalität und im Ringen mit riesigen Datenmengen, die schon bei einer Wirthausschlägerei durch die diversen Handyaufnahmen der Beobachter und Protagonisten auflaufen können.

    Mit Verlaub, Herr Münch: Das gehört nun mal zu den Aufgaben einer Zentralstelle, die „die erforderlichen Einrichtungen für alle Bereiche kriminaltechnischer Untersuchungen und für kriminaltechnische Forschung zu unterhalten“ hat [§2, Abs. 6, Satz 2 BKA-Gesetz]. Es hat aber nichts mit polizeilichen Informationssystemen zu tun. Insofern war diese Einführung durchsichtige Taktik, ansonsten aber auf dem Weg zur Themaverfehlung für das gesamte Impulsreferat.

    Wesentliche gesetzliche Anforderungen werden von den im BKA betriebenen zentralen polizeilichen Informationssystemen nicht realisiert

    Wesentliche gesetzliche Anforderungen zur Kennzeichnung personenbezogener Informationen werden aktuell im BKA nicht umgesetzt werden. Es geht um die in §14 BKA-Gesetz geforderte Kennzeichnung einerseits, die von den aktuell im BKA betriebenen zentralen Informationssystemen

    • INPOL-Zentral,
    • PIAV Operativ zentral und
    • das gemeinsame Datenhaus, das für die sechs Teilnehmer, die das einheitliche Fallbearbeitungssystem eFBS schon benutzen, bereits in Betrieb ist,

    nicht realisiert wird bzw. werden kann. Das ist für die beiden älteren Systeme INPOL-Z und PIAV – ein Zustand seit Jahren. Die Begründung dafür ist simpel – zu simpel, wie ich meine: Die Systeme können das nicht! Dann hätte man seit Jahren dafür sorgen können, dass sie’s können!

    Dass Herr Münch diese Nicht-Umsetzung klarer gesetzlicher Vorgaben seit Jahren nicht von sich aus erwähnte, ist nachvollziehbar. Dass es auch bei keinem der anderen Referenten thematisiert wurde, hinterließ ein Informationsloch. Eine dazu gestellte Frage wurde nicht beantwortet.

    Laokoon und die Schlange namens HyDaNe

    Umso ausführlicher beschäftigte sich Herr Münch, nicht nur in seinem Referat, sondern auch in der anschließenden Podiumsdiskussion, mit einer Schlange namens hyDaNe. Das steht für hypothetische Datenneuerhebung und ist ein Konstrukt, mit dem das Bundesverfassungsgericht die Möglichkeit einer Nutzung von Daten zu definieren versuchte, die dem Zweck der ursprünglichen Erhebung dieser Daten nicht entspricht.

    Herr Münch brachte sehr glaubhaft unter die Zuschauer, welch schreckliches Konstrukt dies doch sei. Und erweckte sicher bei vielen Mitleid mit der gigantischen Aufgabe, die das Bundesverfassungsgericht da dem armen BKA mit auf den Weg gegeben hat. Denn aufgrund dessen – so die Kernbotschaft von James Bond aus Wiesbaden – muss die gesamte IT-Infrastruktur der deutschen Polizei NEU AUFGESETZT werden:

    Daher also Polizei2020, daher das gemeinsame Datenhaus, daher als „next step“ die Integration von „drei bis vier“ Vorgangsbearbeitungssystemen der Länder auf dem gemeinsamen Datenhaus. [Dass Polizei2020 eigentlich aus der Verzweiflung der Länderinnenminister entstanden war – in ihrer Saarbrücker Agenda Ende 2016, als nach neun Jahren beim Polizeilichen Informations- und Analyseverbund (PIAV) noch immer nicht lief, was seit den neunziger Jahren des letzten Jahrhunderts schon versprochen war?! – das war – „geschenkt“ in diesem Moment!]

    Das BKA als „zentraler IT-Dienstleister für die deutsche Polizei

    Dass sich Herr Münch auch in einem anderen Punkt ein klein wenig widersprach, ist wahrscheinlich kaum einem Zuhörer aufgefallen.

    Das BKA und die Vorgangsbearbeitung

    Denn an einer Stelle betonte er: „Wir (also da BKA) sind eine Kriminalpolizei!“ (und nicht zuständig für pimpelige Ordnungswidrigkeiten – so war das jedenfalls zu verstehen). Warum es dann so wichtig ist, die Vorgangsbearbeitungssysteme – das wesentliche IT-Werkzeug für die pimpelige Ordnungswidrigkeiten-Polizei – als „next step“ ins zentrale, gemeinsame Datenhaus beim BKA zu integrieren – diese Frage blieb leider offen.
    [Dafür gibt es eine plausible Begründung – hier nachzulesen …]

    Das BKA wird der „zentrale IT-Dienstleister für die deutsche Polizei

    Offen blieb übrigens auch die Frage, auf die ich gerne noch eine Antwort erhalten hätte, egal von welchem Teilnehmer: „Worin sehen Sie die Rechtsgrundlage für das Bundeskriminalamt als IT-Dienstleister für die deutsche Polizei“?“ So hatte Herr Münch seine Behörde zuvor für die Zukunft aufgestellt. Aus der mir bekannten Fassung des aktuellen BKA-Gesetzes ergibt sich diese Aufgabe nicht. Aber vielleicht ist auch das nur eine Frage der richtigen Auslegung …

    Quellen

    [1]   Auskunft einer Pressesprecherin des BKA vom 03.08.2020 auf eine Presseanfrage von POLICE-IT

    Verwandte Beiträge

    [p2020_hyDaNe]   Polizei2020 – Technischer Projektstatus im Frühjahr 2021, 19.03.2021

    [P2020_gemdatenhaus]   Polizei2020 – Fragen zum gemeinsamen Datenhaus, 06.10.2021

    [2017_journalistenaffäre]   Warum werden Journalisten erst munter, wenn sie selbst betroffen sind?!, 30.08.2017

    Copyright und Nutzungsrechte

    (C) 2021 CIVES Redaktionsbüro GmbH
    Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en). Links von anderen Seiten auf diesen Artikel, sowie die Übernahme des Titels und eines kurzen Textanreißers auf andere Seiten sind zulässig, unter der Voraussetzung der korrekten Angabe der Quelle und des/der Namen des bzw. der Autoren. Eine vollständige Übernahme dieses Artikels auf andere Seiten bzw. in andere Publikationen, sowie jegliche Bearbeitung und Veröffentlichung des so bearbeiteten Textes ohne unsere vorherige schriftliche Zustimmung ist dagegen ausdrücklich untersagt.