Das Bundesverfassungsgericht soll "schuld" sein, dass das BKA ein neues IT-System braucht

Unkeusche Begründungen im Entwurf zum neuen BKA-Gesetz

7. April 2017 | Von | Kategorie: AKTEURE, AKTUELLES, AUS DEM BLOG POLICE-IT, GESETZGEBUNG, POLITISCHE KONZEPTE, POLITISCHES PERSONAL, REGIERUNG, STAATLICHE AUFGABEN

Die polizeilichen Informationssysteme beim BKA und in den Ländern, insbesondere die Fallbearbeitungssysteme, müssen neu aufgesetzt werden. Das wird, allein beim Bund, rund eine halbe Milliarde Euro kosten. Im Entwurf zum neuen BKA-Gesetz versucht die Bundesregierung, mit irreführenden Aussagen die „Schuld“ dafür einem Urteil des Bundesverfassungsgerichts zu geben.

_________________________________________________________________________________________________

Das Urteil des Bundesverfassungsgerichts in Sachen BKA-Gesetz

Mit seinem Urteil vom 20. April 2016 [1] hat das Bundesverfassungsgericht das aktuell geltende Bundeskriminalamtsgesetz [2] in erheblichen Teilen für verfassungswidrig erklärt. Das war einerseits eine gute Nachricht für die Bundesregierung, konnte das BKA doch seit dem Inkrafttreten des Gesetzes am 25.12.2008 auf der Grundlage dieser Gesetzesfassung arbeiten und kann dies auch weiterhin, nämlich längstens bis zum 30. Juni 2018. Gesetzliche Befugnisse, die das Verfassungsgericht für nicht vereinbar mit dem Grundgesetz erklärt hat, durften bzw. dürfen also nahezu zehn Jahre lang angewendet werden.

Richter und Richterinnen des Ersten Senats des Bundesverfassungsgericht (2017)
(C) © Bundesverfassungsgericht │ lorenz.fotodesign, Karlsruhe

… ein herber Schlag für das Bundesinnenministerium

Eine schlechte Nachricht ist das Urteil für die Bundesregierung dennoch: Denn das Verfassungsgericht verlangt, dass die möglichen, ganz erheblichen Eingriffsbefugnisse des Bundeskriminalamtes in das Privatleben des betroffenen Einzelnen „verhältnismäßig“ sein müssen, d.h. auf den Schutz entsprechend gewichtiger Rechtsgüter beschränkt sind und dass eine Gefährdung dieser Rechtsgüter konkret absehbar sein muss. Zu diesen Eingriffsbefugnissen zählen insbesondere die heimlichen Überwachungsmaßnahmen, wie Wohnraumüberwachung, Online-Durchsuchungen, Telekommunikationsüberwachungen, Telekommunikationsverkehrsdatenerhebungen und Überwachungen außerhalb von Wohnungen mit besonderen Mitteln der Datenerhebung wie z.B. durch verdeckte Ermittler. Das sind all die schlagkräftigen Werkzeuge, die sich die Bundesregierung erst im Zuge der Gesetzesänderung von 2008 ins Gesetz geschrieben hatte (§§20a ff).

Dass das Bundesverfassungsgericht die weitgehenden Befugnisse im BKA-Gesetz einschränken würde, war für viele Beobachter absehbar, für das Bundesinnenministerium allerdings ein herber Schlag.

Wiederholt gescheiterte polizeiliche Informationsprojekte – das zweite große Problem des BMI

Zumal man dort in den letzten Jahren noch mit einem ganz anderen, großen Problem zu kämpfen hat: Im Paragraph 1 des BKAG [2] steht nämlich, dass „der Bund ein Bundeskriminalamt zur Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten“ unterhält. Und im Paragraph 2 heißt es: Dieses „Bundeskriminalamt unterstützt als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei die Polizeien des Bundes und der Länder bei der Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung.“ Der Bund, bzw. das Bundeskriminalamt ist also nach dem geltenden Gesetz vor allem dafür zuständig, dass länderübergreifende polizeiliche Informationswesen als Zentralstelle zu unterstützen und fortzuentwickeln. Und genau damit gibt es erhebliche Probleme:

Eine kurze Geschichte der bisher gescheiterten polizeilichen IT-Projekte

1. Inpol-Neu
Das polizeiliche Informationssystem von Bund und Ländern, es heißt INPOL, wurde in den siebziger Jahren des letzten Jahrhunderts auf der Basis der damals üblichen Großrechner-/Terminal-Technologie aufgebaut. In den neunziger Jahren sollte dieses System dann ersetzt werden durch ein damals modernes Client-Serversystem auf der Basis von handelsüblicher Hardware und herstellerunabhängiger Datenbank-Software. Dieses Projekt, es erhielt den Namen INPOL-Neu, wurde zum ersten großen IT-Desaster für BMI und BKA. Denn trotz jahrelanger gemeinsamer Arbeit von Vertretern aus Bund und Ländern, die der eigentlichen Entwicklung vorausging, war Inpol-Neu-Neu viel zu langsam und stürzte bei der Inbetriebnahme völlig ab. Der damalige Innenminister Otto Schily entschied daher, das System einzustampfen. Um diese Blamage nicht allzu öffentlich werden zu lassen, wurde das alte Inpol-Neu – klammheimlich – durch ein ganz anderes System ersetzt, das der Bund von den Ländern Hamburg und Hessen übernommen hatte und das wiederum unter dem Namen INPOL-Neu (eigentlich müsste es INPOL-Neu-Neu heißen), dann 2003 in Betrieb ging. (Mehr Informationen dazu in [a].

2. Inpol-Fall
Dieses INPOL-Neu-Neu erfüllte jedoch längst nicht alle Anforderungen, insbesondere fehlte der seit langem versprochene Ersatz für den kriminalpolizeilichen Meldedienst (KPMD) und die Sondermeldedienste. Beim BKA entwickelte man daher selbst und verwendete dazu ein Informationssystem namens CRIME, das man ebenfalls „im Paket“ von Hamburg und Hessen erworben hatte. CRIME wurde umgetauft zu INPOL-Fall und bildete die IT-Plattform für die Meldedienst-Verbunddateien, wie z.B. PMK (=politisch motivierte Kriminalität), FUSIO (=Rockerkriminalität), BAO-Lagefall (=zur Sammlung von Hinweisen, z.B. nach einem Anschlag) und viele mehr. Mangelndes technisches Verständnis für die Möglichkeiten von INPOL-Fall war die Ursache dafür, dass die verschiedenen „Datentöpfe“ auf der Basis von INPOL-Fall nicht zueinander kompatibel waren: Man erlaubte es, dass für jeden Deliktsbereich „Sonderlocken“ realisiert wurden, nach denen Anwender aus der Polizei ja gerne und lautstark rufen. Das Ergebnis ist das zweite Desaster, das seit einigen Monaten auch den aktuellen Bundesinnenminister erreicht hat: Der klagt nämlich über die Vielzahl von Datentöpfen, die nicht in der Lage sind, miteinander Informationen auszutauschen. (Mehr Informationen dazu in [b].

3. Der Polizeiliche Informations- und Analyseverbund – PIAV
Ca. ab 2007 machten sich also der Bund und die Länder daran, auch für die Meldedienste eine funktionierende und effektive Informationslandschaft für die Kriminalpolizeien der Länder und des Bundes zu entwickeln. Dieses Projekt erhielt den Namen Polizeilicher Informations- und Analyseverbund – PIAV. Erneut war der Bund federführend bei der Entwicklung. Erneut wurde immenser Aufwand getrieben mit diversen Bund-Länder-Projektgruppen, -Expertengruppen, -Arbeitsgruppen.
Und wieder wurde nicht das aus dem Projekt, was ursprünglich versprochen worden war. Erst mit mehrjähriger Verspätung gegenüber der ursprünglichen Planung ging eine funktional eingeschränkte Stufe I dieses PIAV im Mai letzten Jahres in Betrieb. Die ist offensichtlich so weit entfernt von den Anforderungen, dass der Bundesinnenminister seinen Ministerkollegen dann im Herbst des gleichen Jahres anbot, dass der Bund ein ganz neues System entwickeln und den Ländern „kostenneutral“ zur Verfügung stellen wollte. (Mehr Informationen dazu in [c].

Das Urteil des Verfassungsgerichts wird (fälschlich) zur Begründung genommen für das nächste, neue polizeiliche Informationssystem

In diese verfahrene Situation mit den polizeilichen Informationssystemen hinein „platzte“ die oben genannte Entscheidung des Bundesverfassungsgerichts [1]. Und die kam den Strategen im Bundesinnenministerium gerade recht: Sie ergriffen die Chance, erarbeiteten ein eigentlich komplett neues BKA-Gesetz mit dem bezeichnenden Titel „Gesetz zur Neustrukturierung des Bundeskriminalamtsgesetzes“ [3]. Und machten in der Begründung zu diesem Gesetz das Bundesverfassungsgericht – wenig verhohlen – zum Sündenbock: Weil das Gericht (angeblich) so hohe „Anforderungen an Transparenz, individuellen Rechtsschutz und Datenschutz aufsichtliche Kontrolle„, an „Löschungspflichten bezüglich der erhobenen Daten“ und generelle „verfassungsrechtliche Anforderungen an Zweckbindung und Zweckänderung von Daten“ gestellt hat, zieht „die Umsetzung der Vorgaben aus dem Urteil des Bundesverfassungsgerichts vom 20. April 2016 eine grundlegende Neustrukturierung der bestehenden IT-Architektur des Bundeskriminalamtes, insbesondere INPOL, nach sich.“

Das ist strategisch ein geschickter Schachzug, der vielen Beobachtern offenbar noch gar nicht aufgefallen ist: Man tut so, als wären die bösen Kläger, die das Verfassungsgericht angerufen haben und die strengen Richter dort die Schuldigen daran, dass die gesamte bestehende IT-Architektur (sic!) der Polizeien des Bundes und der Länder in den nächsten Jahren komplett ersetzt werden muss. Wofür der Steuerzahler, allein für den Bundesanteil (!), rund eine halbe Milliarde Euro aufzuwenden haben wird. Wenn es bei der derzeitigen Kostenschätzung bleibt, was bisher allerdings noch keinem IT-Verbundprojekt in der deutschen Polizei gelungen ist …

Kritik am Gesetzentwurf im Gesetzgebungsverfahren

Am 20.03.2017 fand im Innenausschuss des Deutschen Bundestages eine Anhörung von Sachverständigen zum Gesetzentwurf statt. Die waren überwiegend recht kritisch:

Sachverständigenkritik

Prof. Matthias Bäcker, Rechtswissenschaftler von der Universität Mainz, hatte sich in seiner Stellungnahme [4] den Teil über die Datenverarbeitung beim BKA vorgenommen und warnte deutlich:

„Der Entwurf droht sein Ziel, die durch Dateien strukturierte Informationsordnung beim Bundeskriminalamt auf einen einheitlichen Informationsbestand umzustellen, sowohl in verfassungsrechtlicher als auch in polizeipraktischer Perspektive zu verfehlen. Die rechtliche Strukturierung des vorgesehenen einheitlichen Informationsbestandes ist als überaus komplexe, bislang nicht bewältigte Aufgabe anzusehen. Ich rate daher dringend dazu, diesen Teil des Entwurfs vorerst zurückzustellen und zunächst die praktischen Bedürfnisse, verfassungsrechtlichen Anforderungen und gesetzgebungstechnischen Regelungsoptionen eingehend zu analysieren.“

Kritik des Bundesrats

Der Bundesrat stellte in seiner Stellungnahme [5] im Rahmen des Gesetzgebungsverfahrens fest, dass doch einiges durcheinander geraten ist bei der Begründung der Bundesregierung; wenn die nämlich behauptet, dass die Datenschutzanforderungen aus dem BVerfG-Urteil ursächlich seien für ein neues IT-Verbundsystem der Polizeibehörden. Der Bundesrat sagte dazu lapidar: „Die Ausführungen des BVerfG … können damit nicht – wie beabsichtigt – zur Fundierung des neuen Systems herangezogen werden.“

Kritik des Nationalen Normenkontrollrats

Der Nationale Normenkontrollrat bestätigt in seiner Stellungnahme zum Gesetzentwurf [6], dass für das neue INPOL-Verbundsystem allein beim Bund ein einmaliger Erfüllungsaufwand „von rund 410 Millionen Euro und ein weiterer Erfüllungsaufwand von rund 68 Millionen Euro pro Jahr auflaufen wird. Zu den Kosten für die Länder stellte der Normenkontrollrat fest: „Mangels Vorliegen eines Umsetzungskonzept für das neue INPOL-Verbundsystem konnte der voraussichtliche Aufwand für die Länder noch nicht ermittelt werden“. Und weiter: Das BMI „hat dem NKR die Nachermittlung des Aufwands bis Mai 2018 zugesichert.“ Aus der Stellungnahme des Normenkontrollrats ergibt sich weiter, wie man sich den Fortgang des Verfahrens vorstellt:

„Der Großteil der geschätzten Erfüllungsaufwandskosten resultiert aus dem Neuaufbau des INPOL-Systems beim Bundeskriminalamt (BKA), für das derzeit noch kein Umsetzungskonzept vorliegt. Eine Arbeitsgruppe aus Vertretern des Bundes und der Länder erarbeitet dieses derzeit. Das Umsetzungskonzept soll bis zum Inkrafttreten dieses Gesetzes im Mai 2018 vorliegen.“

Schon jetzt erkennbare Schwächen bei Konzeption und Projektmanagement

Die Definition von Wahnsinn ist, immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten. (Albert Einstein)

Konkrete Vorstellungen über die Umsetzung der IT- und Zentralstellenaufgaben fehlen

Wie der Normenkontrollrat feststellt, existiert derzeit kein Umsetzungskonzept. Ohne zu wissen, wie die Anforderungen zur polizeilichen IT und Zentralstellenaufgabe des BKA umzusetzen sind, also auch ohne eine klar definierte Zielvorgabe für das neue System, sah man sich jedoch in der Lage, einen Gesetzesentwurf vorzulegen. Das ist schon mehrfach schiefgegangen (Mehr Informationen dazu in [d]):

  • Beim Antiterrordateigesetz (ATDG), hat der Gesetzgeber gesetzliche Regelungen vorgesehen, die dann in der Praxis als nicht umsetzbar erklärt wurden.
  • Ähnliches geschah beim Rechtsextremismus-Datei-Gesetz (REDG), wo der Gesetzgeber – über die Köpfe von IT-Fachleuten hinweg – eine Informationsstruktur festlegte, die mit nichts kompatibel war, was sonst in der polizeilichen Informationslandschaft verwendet wird. Entsprechend „erfolgreich“ verläuft auch der Einsatz der Rechtsextremismusdatei in der Praxis.

Der Ansatz, dass „Polizeibeamte Informationssysteme entwickeln“ ist bisher immer schief gegangen …

Erneut soll das Umsetzungskonzept für das jetzt wieder einmal vorgesehene, „neue Informationssystem“ durch eine „Arbeitsgruppe aus Vertretern des Bundes und der Länder“ erarbeitet werden – und zwar bis Mitte 2018. Dieser Ansatz ist bisher in jedem großen IT-Projekt der Polizeibehörden gescheitert. (Mehr Informationen dazu in [e]).

  • Beginnend bei AGIL (Arbeitsgruppe Inpol-Land), die die konzeptionelle Vorarbeit für Inpol-Neu (siehe oben) leisten sollte. Die überbordenden, so genannten polizei-fachlichen Anforderungen aus den Ländern werden von Insidern mitverantwortlich gemacht für das Scheitern von Inpol-Neu.
  • Dann wieder bei PIAV, wo die Zahl der Projektgruppen, Expertengruppen (I, II) und Arbeitsgruppen unübersehbar und die Menge der dafür aufgewendeten Dienstreisen und Abwesenheitstage von Vertretern der Länder für solche Sitzung Legion ist. Herausgekommen ist dabei nichts, was diese Aufwand rechtfertigen würde.

In diesen Gremien versammelten sich in der Vergangenheit ausgebildete Polizisten, die die Delegation in eines dieser Gremien zusätzlich zu ihrem Hauptamt aufs Auge gedrückt bekommen. Ausgebildete Informatiker fanden sich daher – bisher jedenfalls – nicht in diesen Gremien. Doch wie sollen Polizeibeamte beurteilen, geschweige denn festlegen können, wie solche komplexen Anforderungen in funktionierende Informationstechnische Systeme umgesetzt werden?! (Mehr Informationen dazu in [f])

Das angeblich „neue“ Informationssystem soll als „neue Version“ der beim Bund längst vorhandenen Systeme entstehen

Auf dem Europäischen Polizeikongress vor wenigen Wochen war zu vernehmen, dass beim Bundeskriminalamt und der Bundespolizei längst am neuen Informationssystem gearbeitet wird: Indem das bei den Bundesbehörden vorhandene Informationssystem der Firma Rola gründlich überarbeitet wird. Es soll daraus „eine harmonisierte Version“ der Fallbearbeitungssysteme von BKA und Bundespolizei werden, die bisher nicht miteinander kompatibel sind. Ebenfalls auf der ‚Rola‘-Systemplattform setzt auch das Zentralsystem für den PIAV beim BKA auf, also für den Polizeilichen Informations- und Analyseverbund.

Da tun sich Fragen auf: Denn einerseits erklärt die Bundesregierung dem Nationalen Kontrollrat, dass das Umsetzungskonzept von einer Arbeitsgruppe des Bundes und der Länder „bis Mitte 2018“ erarbeitet wird. Andererseits wird angeblich bereits munter an einer Implementierung gearbeitet. Wie passt das zusammen? Wie verträgt sich dieses „unkonventionelle“ Vorgehen der Softwareentwicklung mit den Standards für die Durchführung von IT-Projekten und die Softwarenentwicklung [7], die vom IT-Beauftragten der Bundesregierung („CIO Bund“) erarbeitet wurden. Gelten die für die eigenen IT-Projekte im Hause BMI nicht?!

Anforderungen zur Kennzeichnung von Informationen

Mit der Kennzeichnung soll die gesetzeskonforme Nutzung und Übermittlung von personenbezogenen Informationen gesteuert und kontrolliert werden. So fordert der Gesetzgeber (schon heute) z.B., dass Informationen, die aus einer Telefonüberwachung gewonnen wurden, gesondert zu kennzeichnen sind. Weil diese Informationen nicht automatisch an andere Polizeibehörden übermittelt werden sollen.

Daten dürfen in polizeilichen Informationssystemen auch nicht ohne Anlass, quasi „ins Blaue hinein“ gespeichert werden. Vielmehr muss ein konkreter Zweck für die Datenerhebung vorliegen. Der Zweck der Datenerhebung (z.B. Strafverfolgung) muss (schon heute) im System vermerkt werden. Denn er definiert auch die zulässige spätere Nutzung der Information, insbesondere, wenn sie an andere Polizeibehörden weitergegeben werden.

Diese und weitere Anforderungen an die Kennzeichnung personenbezogener Informationen sind nicht neu. Sie ergeben sich aus den seit langem gültigen gesetzlichen Vorschriften in den Polizeigesetzen der Länder und des Bundes und aus den Datenschutzgesetzen.

Die Anforderungen im neuen Gesetzentwurf

Neu ist lediglich, dass die Bundesregierung nun erstmals im Entwurf für das neue BKA-Gesetz [3] einen eigenen Paragraphen (14) formuliert hat, in dem diese Anforderungen an die Kennzeichnung zusammengefasst sind: Es muss nach dieser Vorschrift im Informationssystem nachvollziehbar gekennzeichnet werden,

  • mit welchen Mitteln die Daten erhoben wurden,
  • in welcher Rolle (neuerdings als „Kategorie“ bezeichnet) die betroffene Person eingestuft ist, also zum Beispiel als Verurteilter, Beschuldigter, Tatverdächtiger oder „sonstige Anlassperson“,
  • welche Rechtsgüter bzw. Straftaten zugrunde liegen, zu deren Schutz bzw. Verfolgung oder Vergütung die Daten erhoben wurden und
  • wer der Besitzer (also Erst-Erheber) der Informationen ist.

Schon heute gibt es Anforderungen zur Kennzeichnung

Wenn der Gesetzgeber in den Begründungen zum Gesetzentwurf so tut, als seien dies vollkommen neue Anforderungen, die deshalb auch ein komplett neues Informationssystem erforderlich machen (sic!), so ist dies eine irreführende Darstellung: Denn richtig ist vielmehr, dass es auch bisher schon sowohl für die Bundespolizeibehörden (also BKA und Bundespolizei) aus deren jeweiligen Gesetzen, wie auch für jede einzelne Landespolizeibehörde gesetzlich vorgeschrieben ist, solche Kennzeichnungen mitzuführen.

Für das Bundeskriminalamt als Zentralstelle für das polizeiliche Informationswesen gelten subsidiär auch die gesetzlichen Bestimmungen aus den Landespolizeigesetzen: Denn das BKA ist insofern Auftragnehmer für die polizeiliche Informationsverarbeitung und muss daher sicherstellen, dass in den IT-Systemen für den Verbund, die das BKA verantwortet, die gesetzlichen Anforderungen an die Informationsverarbeitung eingehalten werden können, denen die Auftraggeber, also die Länder, unterliegen.

Gilt schon heute: Notwendigkeit der Kennzeichnung des Mittels der Datenerhebung:
So heißt es beispielsweise in §33a, Abs. 7 des brandenburgischen Polizeigesetzes (BbgPolG) [8] für personenbezogene Daten, die aus der Überwachung von Wohnungen oder mit anderen Mitteln der verdeckten Datenerhebung, wie insbesondere der Telekommunikationsüberwachung, erlangt worden sind: „Die durch die Überwachung erlangten personenbezogenen Daten sind stets als solche zu kennzeichnen.“

Ähnliche Formulierungen finden sich auch in den Polizeigesetzen der meisten anderen Bundesländer. Ebenso ist in diesen Polizeigesetzen festgelegt, dass Informationen, die mit Mitteln der verdeckten Datenerhebung gewonnen wurden, für den automatischen Datenabruf zu sperren sind. So heißt es beispielsweise in §41, Abs. 3 des BBgPolG [8]: „Personenbezogene Daten, die auf der Grundlage der §§ 32 bis 35 (= Datenerhebung mit verdeckten Mitteln) erhoben worden sind, dürfen nicht im automatisierten Abrufverfahren übermittelt werden.“ Auch dies setzt zwangsläufig voraus, dass so erhobene Daten schon heute gekennzeichnet werden müssen.

Gilt schon heute: Notwendigkeit der Kennzeichnung des Zwecks der Datenerhebung
Die Notwendigkeit zur Kennzeichnung ergibt sich ferner aus dem – schon lange gültigen – Grundsatz der Zweckbindung: Denn Daten, die an andere Polizeibehörden weitergegeben werden, dürfen dort nur zu dem Zweck genutzt werden, zu dem sie bei der abgebenden Stelle erhoben worden sind. Und wie könnte das beim Empfänger sichergestellt werden, wenn der Zweck der Datenerhebung nicht bei den jeweiligen Informationen durch eine entsprechende Kennzeichnung mitgegeben wird?!

  • Die Kennzeichnung des Datenbesitzers, also der Dienststelle, die die Ersterhebung durchgeführt ist, ist ein weiteres Beispiel dafür, dass Kennzeichnung schon heute gesetzlich vorgeschrieben ist.
  • Gilt schon heute: Notwendigkeit der Kennzeichnung des Empfängers einer Datenübermittlung
    Und nicht zuletzt müsste ja auch, aus rein praktischen Überlegungen, bei einer Datenübermittlung an andere Behörden gekennzeichnet werden, an wen eigentlich welche Daten übermittelt wurden: Denn wie sonst sollte die für eine Berichtigung von Informationen verantwortliche abgebende Stelle sonst gewährleisten können, dass sie die notwendigen Berichtigungen an alle Empfänger versendet, die die zu berichtigenden Informationen in der Vergangenheit erhalten haben?!

    Aus all diesen Einzelbeispielen folgt daher: Schon heute verlangt es die aktuelle Gesetzeslage, dass die zulässige Nutzung von personenbezogenen Informationen gekennzeichnet wird.

    Sind die aktuell genutzten polizeilichen Informationssysteme in der Lage, die heute schon geltenden gesetzlichen Anforderungen an die Kennzeichnung zu erfüllen?!

    Die aktuell eingesetzten polizeilichen Informationssysteme, allen voran die Fallbearbeitungssysteme in Bund und Ländern, müss(t)en also solche Kennzeichnungen heute schon erfüllen können. Wenn dies der Fall wäre, bräuchte man kein „neues Informationssystem“. Die Bundesregierung bestätigt die Annahme, dass die vorhandenen Systeme diese Anforderungen gerade nicht erfüllen, wenn sie in der Begründung für den Gesetzentwurf ausführt: „Die im bisherigen System … nur eingeschränkt möglichen Protokollierungs- und Berichtsmöglichkeiten für die Datenschutzkontrolle können im neuen System … zu umfassenden Pflichten ausgebaut werden.“

    Wie das im Einzelfall jedoch bewerkstelligt werden soll, ist – technisch – schwer vorstellbar. Denn gerade das marktführende System setzt auf konventionelle relationale Datenbanktechnik. Die macht es schwer bis unmöglich, in der notwendigen, feinen Granularität (also z.B. nur für den Teil der personenbezogenen Informationen, die aus einer Telefonüberwachung stammen,) die notwendige Kennzeichnung am richtigen Informationsfragment anzubringen. Hinzu kommt, so jedenfalls meine persönliche Erfahrung [g], dass die Umsetzung dieser gesetzlichen Anforderungen bisher aus Sicht der Polizeibehörden keine große Rolle spielte.

    „Hilfskonstruktionen“, wie sie bisher verwendet werden, helfen da auch nicht weiter: Denn es genügt (schon heute) eben nicht den gesetzlichen Anforderungen, wenn man solche Kennzeichnungen einmal pro „Fall“ an sehr übergeordneter Stelle bei den Informationen über den „Fall“ (=Straftat, polizeiliche Maßnahme, wie z.B. eine Kontrollstelle oder Gefährderansprache) anbringt und davon ausgeht, dass sich diese Kennzeichnung dann an alle ‚Personenobjekte‘ vererbt, die „in“ diesem Fall eine Rolle spielen. Nehmen Sie dazu ein Beispiel: Aus einer Telefonüberwachung wird bekannt, dass Person B angeblich homosexuell ist und einer bestimmten Religion angehört. Bei beiden Einzelinformationen handelt es sich um besonders sensitive, personenbezogene Informationen, sie wurden, noch dazu, im Rahmen einer verdeckten Datenerhebungsmaßnahme erhoben, sind also für die Datenübermittlung bzw. den automatischen Datenabruf gesperrt. Wie soll diese Sperrung funktionieren, wenn sie lediglich am übergeordneten Fallobjekt als Kennzeichen angebracht wird, an dem u.U. noch 130 andere Personen „hängen“?!

    Wäre es daher nicht höchste Zeit, dass die Einhaltung der heute schon geltenden gesetzlichen Anforderungen in den polizeilichen Informationssystemen durch die entsprechenden Aufsichtsbehörden einmal gründlich überprüft wird?!

    Und im Übrigen der Empfehlung des Sachverständigen, Prof. Dr. Bäcker, zu folgen: „Ich rate daher dringend dazu, diesen Teil des Entwurfs vorerst zurückzustellen und zunächst die praktischen Bedürfnisse, verfassungsrechtlichen Anforderungen und gesetzgebungstechnischen Regelungsoptionen eingehend zu analysieren.“

    _________________________________________________________________________________________________

    Quellen

    [1]   BVerfG, Urteil des Ersten Senats vom 20. April 2016, – 1 BvR 966/09 – Rn. (1-29),
    https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2016/04/rs20160420_1bvr096609.html

    [2]   Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten
    https://www.gesetze-im-internet.de/bundesrecht/bkag_1997/gesamt.pdf

    [3]   Entwurf eines Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes, 14.02.2017, DBT-Drs 18/11163, Deutscher Bundestag
    http://dip21.bundestag.de/dip21/btd/18/111/1811163.pdf

    [4]   Stellungnahme zu dem Entwurf eines Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes, Ausschuss-Drucksache 18(4) 806D, 16.0.2017, Prof. Dr. Matthias Bäcker
    http://www.bundestag.de/blob/498366/7198a2a76c58c684dbcde191752cabc8/18-4-806-d-data.pdf

    [5]   Stellungnahme des Bundesrates in DBT-Drs 18/11658, 22.03.2017
    http://dip21.bundestag.de/dip21/btd/18/116/1811658.pdf

    [6]   Stellungnahme des Nationalen Normenkontrollrates gem. § 6 Abs. 1 NKRG in DBT-Drs 18/11326, 24.02.2017
    http://dip21.bundestag.de/dip21/btd/18/113/1811326.pdf

    [7]   ’Architekturen und Standards‘ auf der Webseite des Bundesbeauftragten für die Informationstechnik
    http://www.cio.bund.de/Web/DE/Architekturen-und-Standards/architekturen_standards_node.html

    [8]   Gesetz über die Aufgaben, Befugnisse, Organisation und Zuständigkeit der Polizei im Land Brandenburg (Brandenburgisches Polizeigesetz – BbgPolG)
    vom 19. März 1996 (GVBl.I/96, [Nr. 07], S.74), zuletzt geändert durch Artikel 14 des Gesetzes vom 25. Januar 2016 (GVBl.I/16, [Nr. 5])
    http://bravors.brandenburg.de/gesetze/bbgpolg_2016

    Verweise auf eigene Beiträge mit detaillierten Informationen

    [a]   ’Das Scheitern von INPOL-Neu‘ in [b]

    [b]    Weit besser als sein Ruf: Inpol-Fall, der Vorläufer des PIAV, 01.10.2013, POLICE-IT
    https://police-it.org/weit-besser-als-sein-ruf-inpol-fall-der-vorlaeufer-des-piav

    [c]   PIAV – der Polizeiliche Informations- und Analyseverbund – Übersichtsseite
    https://police-it.org/dossiers/pit-piav-alle-beitraege

    [d]   IT-Verbundprojekte der Polizei: Die sechs Kardinalfehler, 26.01.2013, POLICE-IT
    https://police-it.org/it-verbundprojekte-der-polizei-die-sechs-kardinalfehler

    [e]   IT-Verbundprojekte der Polizei: Anfällig für spätere Desaster, 21.10.2013, POLICE-IT
    https://police-it.org/it-verbundprojekte-der-polizei-anfaellig-fuer-spaetere-desaster

    [f]   IT-Verbundprojekte der Polizei: Zugleich-Aufgaben sind Ursache für späteres Scheitern, 22.10.2013, POLICE-IT
    https://police-it.org/it-verbundprojekte-der-polizei-haende-hoch-hilft-nicht-weiter

    [g]   Die Autorin, Annette Brückner, war von 1993 bis 2013 tätig als Projektleiterin für das Polizeiliche Informationssystem POLYGON. Und in dieser Funktion über mehrere Jahre auch immer wieder befasst mit Konzepten und Projekten für polizeiliche Informationssysteme und die Gewährleistung der gesetzlichen Anforderungen an solche Systeme.

    Copyright und Nutzungsrechte

    (C) 2017 CIVES Redaktionsbüro GmbH
    Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH.

    Schlagworte: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

    Schreibe einen Kommentar