Will das BMI mit dem neuen BKA-Gesetz eigene Fehler der Vergangenheit kaschieren?!

Der bayerische Datenschutzbeauftragte Thomas Petri kritisiert im Gespräch mit CIVES, dass das neue BKA-Gesetz [1] zur Begründung für eine umfassende Umstrukturierung der polizeilichen Datenverarbeitung in Bund und Ländern herangezogen wird. Es gehe darum, die erheblichen Mängel beim Informationsaustausch zwischen den Polizeibehörden zu verbessern und das Bundeskriminalamt sowie Europol als Zentralstellen zu positionieren. Dabei würden nicht nur zentrale Grundsätze des Datenschutzes gefährdet, auch die IT von bisher leistungsstarken Ländern wie Bayern würde um Jahre zurückgeworfen werden.

Petri hält es für bemerkenswert, dass in der gegenwärtigen Diskussion um den Fall Amri nur die Länderpolizeien an den Pranger gestellt werden: „Ich kann das nicht abschließend beurteilen, aber es deutet einiges darauf hin, dass es nicht nur an den Länderpolizeien gelegen hat.“ Er habe den Eindruck, dass diese ihre Möglichkeiten weitgehend ausgereizt hätten. Allenfalls am Rande thematisiert worden sei „aber derjenige, der auf den Informationen gesessen hat, welche die Länderpolizeien in die Lage versetzt hätten, mehr zu machen“. Die Bund-Länder-Zusammenarbeit müsse aber von beiden Seiten gestemmt werden.

Bayerisches Gefährdergesetz: „Sündenfall abgewendet“

Parallelen sieht er auch beim bayerischen „Gefährdergesetz“ sagte Petri: Dort würde die Datenverarbeitung, die für die Bekämpfung des internationalen Terrorismus eingerichtet wurde, auf Standardmaßnahmen übertragen. Die Stichworte sind hier Identitätsfeststellung, Durchsuchung, elektronische Aufenthaltsüberwachung u.a. Die meisten sind polizeiliche Standardmaßnahmen, die es schon vor dem Gefährdergesetz gab und die es auch in allen anderen Ländern gibt. Petri: „Das sprengt den Rahmen. Wir haben deshalb in Verhandlungen mit der Landesregierung erreicht, dass das Gefährdergesetz auf spezielle Fallkonstellationen begrenzt wird.“

Petri hatte in den Verhandlungen darauf bestanden, dass die gesonderte Behandlung von Gefährdern immer einen Terrorismusaspekt haben muss. Zwar werden der Amokläufer und ähnliche Fallkonstellationen immer noch vom Gesetz erfasst, doch das Gesetz bleibe laut Petri im Bereich der Gewaltkriminalität. Petri: „Damit kann ich zur Not leben. Es ist nicht zufriedenstellend, aber der grundsätzliche Sündenfall ist nochmal abgewandt worden.“

Europarechtswidriges Videoüberwachungsverbesserungsgesetz

Das Videoüberwachungsverbesserungsgesetz ist nach Auffassung der Datenschutz-Aufsichtsbehörden von Bund und Ländern europarechtswidrig. Denn das Gesetz erlaubt nicht-öffentlichen Stellen die Videoüberwachung als berechtigtes Interesse zu definieren. Das aber falle eindeutig außerhalb der Regelungskompetenz des Bundes, stellt Petri fest. Er sagt: „Der Fehler liegt darin, dass man hier die falsche Rechtsgrundlage gewählt hat. Es ist wegen der Kompetenzfrage klar europarechtswidrig.“

BKA-Gesetz „hochproblematisch“

Das BKA-Gesetz, das diese Woche vom Bundestag verabschiedet werden soll [2], hält Petri für „hochproblematisch“: „Bundesinnenminister De Maizière hat den kompletten Umbau des IT-Systems im Visier: „Weg von zweckgebundenen Dateisystemen, weg mit den lästigen Hemmnissen des Föderalismus.“ Die gegenwärtige IT-Architektur sei deshalb nicht gut, weil keine Standardisierung der Informationsverarbeitung und –prozesse in Bund und Ländern in der Vergangenheit stattgefunden habe. Die Bundesregierung gab außerdem in der Begründung für das neue BKA-Gesetz zu, dass im bisherigen System die Protokollierungs- und Berichtsmöglichkeiten „nur eingeschränkt möglich“ waren.

Die neue IT-Architektur wolle die Bundesregierung nun aber allein nach den Anforderungen des BKA vereinheitlichen. Es setze ein Meldeverfahren oder einen Informations- und Analyseverband in Gang, der die Länderpolizeien alle mitnehmen solle. Doch das angekündigte neue System werde wohl die funktionalen Anforderungen des BKA, nicht die der Länderpolizeien abbilden [a]. Die der Länder sind aber wesentlich umfassender, weil diese auch die operative Polizeiarbeit in allen (!) Deliktsbereichen zu leisten haben, während das BKA ja operativ nur für einige wenige Deliktsbereiche wie etwa den internationalen Terrorismus zuständig ist.

Petri erwartet deshalb, dass dieser Umbau bei den leistungsstarken Ländern zu Leistungseinbußen führen kann: „Das BKA entwickelt ein Basissystem, das die kriminalpolizeiliche Arbeit in Bayern um mindestens sieben Jahre zurückwerfen wird.“ Denn die Informationstiefe, die derzeit diskutiert wird, habe Bayern bereits vor mindestens sieben Jahren gehabt. Letztlich würde das Bundesinnenministerium mit dem Schritt „unter Umständen eigene Fehler der Vergangenheit kaschieren“. Petri: „Das würde mich am meisten ärgern.“ Die Verabschiedung des BKA-Gesetzes im Bundesrat steht noch aus.

Weg von der Zweckbindung

Hinter dem vom BKA avisierten System steht nach Petri die Idee eines Datenbankenkonzepts, das sich von der Zweckbindung löst – und dies auch in ihrer Architektur reflektiert. Petri erwartet, dass Bayern vermutlich beim Verbund mitmachen, aber daneben sein eigenes System weiterfahren wird. Da dies aber zu einer doppelten Datenhaltung führen würde, werde die Migration vermutlich problematisch.

Verbund-System muss europäische Vorgaben erfüllen

Ein Dauerbrenner ist nach Ansicht von Thomas Petri die Frage, wie weit die Pseudonymisierungspflicht für polizeiliche Informationssysteme geht: „Dürfen Namen in Freitextfeldern genannt werden?“ Die Datenschutzaufsichtsbehörden akzeptieren dies derzeit für bestimmte Fälle. Unter dem Gesichtspunkt der Datenvermeidung fordern sie jedoch eine Pseudonymisierung. Generell gebe es für die Polizeibehörden im Moment keine Pseudonymisierungspflicht, da nur mit dem Erforderlichkeitsprinzip gearbeitet werde.

Petri erwartet, dass diese Frage spätestens dann wieder diskutiert werden wird, wenn die IT-Systeme der europäischen JI-Richtlinie [3] Genüge leisten müssen. Diese enthält in Artikel 4, 1e die zwingende Vorgabe, dass man nicht länger als erforderlich die Identifizierung ermöglichende Daten speichern soll. Dabei müssen man sich an der Erforderlichkeit orientieren. Allgemeine Löschfristen, wie die im BKA derzeit praktizierten zehn Jahre, werden dieser Anforderung nicht gerecht. Petri: „Die Pseudonymisierung ist ein dickes Brett, doch so richtig wird das erst ein Thema, wenn die JI-Richtlinie im Mai 2018 in Kraft ist.“ Die Vorschriften für die Polizeisysteme seien dann EU-Richtlinien-konform auszulegen.

Petri will technische Umsetzung der gesetzlichen Kennzeichnungspflicht prüfen

Auch das Thema der gesetzlichen Kennzeichnungen steht auf Petris Tagesordnung. Informationen können sich beispielsweise im Nachhinein als falsch herausstellen und müssen korrigiert werden. Dafür muss bekannt sein, an welchen anderen Empfänger diese Information bereits weitergegeben wurde, damit eine entsprechende Korrektur „hinterhergeschickt“ werden kann. Ob solche Kennzeichnungen heute schon in den bestehenden polizeilichen Informationssystemen vorgenommen werden, ist sehr fraglich.

Petri sagt in Bezug auf die Kontrolltätigkeit der Datenschutzaufsichtsbehörden: „Mir ist nicht bekannt, dass einer meiner Kollegen eine präzise Kennzeichnung im letzten Jahrzehnt bei der Polizei näher geprüft hätte.“ Für ihn steht fest: „Die Kennzeichnung ist eine ganz zentrale Voraussetzung dafür, dass die Polizei personenbezogene Daten verarbeiten darf. Das gucken wir uns so bald wie möglich an.“ Tatsächlich besteht nun die Chance, mit dem Neuaufsetzen des polizeilichen Verbundsystems das Kennzeichnungsproblem zu lösen.

Überdies verweist Petri auch auf Artikel 20 der europäischen Richtlinie über den Datenschutz der Strafjustiz (JI-Richtlinie). Dieser fordert, dass bei der Festlegung der Mittel für die Datenverarbeitung die geeigneten technisch-organisatorischen Maßnahmen umgesetzt werden müssen. Wirksame Instrumente müssten nach Auffassung von Petri also spätestens bei Zuschlag der Ausschreibung festgelegt sein. Petri: „Wenn ich das nicht mache, verstoße ich gegen EU-Recht.“

Ob es überhaupt zu einer Ausschreibung kommt, steht aber im Moment in den Sternen. Denn das BKA lässt schon heute das „neue“ System unter dem Stichwort der Harmonisierung der beiden (alten) Fallbearbeitungssysteme der Bundespolizeibehörden [b] entwickeln. Von einer Ausschreibung der Neuentwicklung ist bislang nichts zu hören, womit Anforderung der EU-Richtlinie unterlaufen werden könnte. Mehr zu diesem Thema in [4].

Fußnote

[a]   Bei der Herbsttagung 2016 der Innenministerkonferenz hat Bundesinnenminister De Maizière angekündigt, dass der Bund allen interessierten Ländern „kostenneutral“ ein auf Kosten des Bundes entwickeltes „einheitliches Fallbearbeitungssystem“ (eFBS) zur Verfügung stellen wolle. Dies scheint also Teil der neuen Gesamtarchitektur des künftigen polizeilichen Verbundsystems zu werden.

[b]   Derzeit setzt die Bundespolizei ein Fallbearbeitungssystem auf der Basis von RSCase der Firma Rola ein und das Bundeskriminalamt das Fallbearbeitungssystem b-case, das ebenfalls aus dem System RSCase von Rola hervorgegangen ist.

Quellen

[1]   Unkeusche Begründungen im Entwurf zum neuen BKA_Gesetz, 070.4.2017, POLICE-IT
https://police-it.org/unkeusche-begruendungen-im-entwurf-zum-neuen-bka-gesetz

[2]   Mit der Brechstange: Wie die GroKo ihr neues BKA-Gesetz durchsetzen will, 18.04.2017, POLICE-IT
https://police-it.org/mit-der-brechstange-wie-die-groko-ihr-neues-bka-gesetz-durchsetzen-will

[3]   EU-Richtlinie für den Datenschutz bei Polizei und Justiz, 16.03.2017, CIVES
https://cives.de/eu-richtlinie-fuer-den-datenschutz-bei-polizei-und-justiz-4668

[4]   Neues BKA-Gesetz: Polizeiarbeit soll Bundessache werden, 03.02.2017, POLICE-IT
https://cives.de/neues-bka-gesetz-polizeiarbeit-bundessache-staatsstreich-teil3-4458

Copyright und Nutzungsrechte

(C) 2017 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. dem oder den namentlich genannten Autor(en).