BMI macht Accenture zum Generalunternehmer für das IT-Projekt Polizei 2020

Bild: Lucas800/CC BY-SA-4.0

Das Programm Polizei 2020 soll die polizeiliche IT-Architektur in Deutschland durch die Schaffung eines gemeinsamen „Datenhauses“ harmonisieren und modernisieren.

Mit einem Rahmenvertrag über fast zehn Jahre und einem Auftragsvolumen zwischen 138 und 207 Millionen Euro macht das Bundesinnenministerium (BMI) Accenture, das größte IT-Beratungs- und Systemintegrationsunternehmen in der BRD mit amerikanischer Muttergesellschaft, zum Generalunternehmer für Polizei2020. Das berichtete der Behörden-Spiegel am 17.05.2022 aufgrund „eigener Informationen“. Sonstige belastbare Quellen, geschweige denn eine Vergabebekanntmachung, fand ich bisher nicht.

Dafür sollen zentrale Konzeptions-, Planungs- und Steuerungsaufgaben im Programm Polizei2020, insbesondere für das zu etablierende zentrale Datenhaus der Polizeien erbracht werden, wofür das BMI als Bedarfsträger fungiert. Die gesetzliche Grundlage, die dem Bundesinnenministerium die Aufgabe der Errichtung bzw. des Unterhalts eines Verbundsystems für die Polizeibehörden des Bundes und der Länder übertragen würde, ist – mir jedenfalls – nicht bekannt. Bisher ist nach §29 BKA-Gesetz dafür das Bundeskriminalamt zuständig.

Größe, Personalstärke und Umsatz – leicht vom Auftraggeber steuerbare Kriterien

Allein schon die schiere Größe solcher Unternehmen, egal ob sie IBM heißen, Cap Gemini oder eben Accenture – letztere mit 2,2 Milliarden Euro Umsatz in 2020 und rund 10.000 Mitarbeitern in Deutschland – sorgt dafür, dass man den Entscheidern später keinen Vorwurf machen kann. Denn die können ja argumentieren, dass es gute Gründe geben muss, damit eine Firma eine solche Größe erreicht.

Auftraggeber, wie das BMI, tragen allerdings aktiv zu dieser Entwicklung bei, weil sie mit den von ihnen bestimmten Formalkriterien, wie Umsatzgröße, Mitarbeiterzahl u.ä. steuern, wer sich überhaupt um einen solchen Auftrag bewerben kann. Damit schränken sie den Kreis der überhaupt in Frage kommenden Bewerber erheblich ein und fördern damit einseitig das weitere Wachstum der Branchengiganten. Was auch bei dieser Ausschreibung wieder der Fall war

Personalprofil und domänenspezifische Kompetenz

Auch das Profil der Mitarbeiter von Accenture passt offensichtlich gut zu den Vorstellungen des Auftraggebers:

Suchergebnis zu „Accenture“ und „Personal“ am Vormittag es 18.5.2022

Ein gewisser Touch von Jugendlichkeit, Kreativität und Großartigkeit mag willkommen sein in einer Riege von Entscheidern, die – gefühlt – zu 95% aus Herren gesetzten Alters bestehen. Das geht einher damit, dass bei solchen Mitarbeitern polizeispezifische Kompetenz, langjährige Berufserfahrung und erfolgreich abgeschlossene Projekte mit Polizeibehörden nicht erwartet werden können. Das stört nicht in der deutschen Polizei, die mit ihrer Betonung auf „Fachlichkeit“ erfahrungsgemäß auf Lösungsvorschläge von Außenstehenden gern verzichtet: Denn nur Polizei weiß, was Polizei braucht! Dafür gibt es dann für die einzelne Aufgabenstellung bis zu sechzehn Länder- und drei Bundesvorschläge für die Umsetzung – ein weiterer Grund dafür, dass man keinen Bedarf hat an Verbesserungsideen von Nicht-Polizisten. …

Warum ist eigentlich das BMI Auftraggeber und Bedarfsträger und nicht das BKA?

Wie selbstverständlich war schon in der Auftragsbekanntmachung das BMI als Auftraggeber genannt und nicht das Bundeskriminalamt. Dabei wäre letzteres doch viel plausibler gewesen, denn das BKA – und nicht das BMI – hat die gesetzliche Aufgabe als „Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei die Polizeien des Bundes und der Länder bei der Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung“: Im Mittelpunkt von Polizei2020 steht das zentrale Datenhaus für den polizeilichen Informationsverbund zwischen Bund und Ländern. Dafür hat das BKA – und nicht das BMI! – ein einheitliches Verbundsystem zur Verfügung zu stellen. So steht es jedenfalls in §29, Abs. 1 des BKA-Gesetzes 2018.

Insofern überrascht, dass Das BMI hier wie ganz selbstverständlich als Auftraggeber auftritt, der einen Generalunternehmer beauftragt für „zentrale Konzeptions-, Planungs- und Steuerungsaufgaben im Programm Polizei2020 … und im Rahmen der jetzt abgeschlossenen mehrjährigen Rahmenvereinbarung „Einzelaufträge an den Auftragnehmer“ erteilen wird.

Welche Rolle und Funktion das Bundes-Innenministerium in diesem Zusammenhang wahrnimmt und aus welchem gesetzlichen (??) Auftrag sich die Befugnisse dafür ergeben sollen, ist – mir jedenfalls – unklar.

Ich halte diese Frage nicht für eine Spitzfindigkeit und auch nicht für eine von nur geringer Relevanz. Denn Vorgänger der aktuellen Bundesinnenministerin haben und insbesondere der langjährige Amtsinhaber Thomas De Maizière hat sich jahrelang daran abgearbeitet, die föderale Struktur der deutschen Polizei zu unterminieren, um damit auch dort eine Zentralisierung beim Bund zu vollenden, die ihm bei den Verfassungsschutzämtern früher schon gelungen war

Strukturen und Entscheider im BMI

Bei näherem Hinsehen stellt man fest, dass nicht ein abstraktes, nicht greifbares Bundesinnenministerium seit Jahren die Landschaft für die polizeiliche IT-Infrastruktur in Deutschland gestaltet. Vielmehr stehen hinter dieser Fassade der Anonymität überraschend wenige konkrete Personen mit einer bemerkenswerten Gestaltungsfülle:

Dr. Christian Klos, der Abteilungsleiter für Öffentliche Sicherheit im BMI

Die einflussreichste graue Eminenz im Hintergrund der polizeilichen IT-Infrastruktur – weit über Polizei2020 hinaus – ist Dr. Christian Klos. Er ist bereits seit 1998 für das BMI tätig und hat auf allen strategisch für die öffentliche Sicherheiten wichtigen Stationen des Ministeriums gearbeitet: für internationale Terrorismusbekämpfung, mehrere Jahre im Leitungsstab des Ministeriums, im Referat für Aufenthaltsrecht und während der so genannten Flüchtlingskrise als Beauftragter für die Rückführung. Seit 2020 ist Dr. Klos Abteilungsleiter für Öffentliche Sicherheit (AL ÖS) im BMI im Rang eines Ministerialdirektors (MinDir)

Zur Abteilung ÖS gehören zwei Unterabteilungen mit jeweils fünf Referaten, darunter (1) auch das Referat für das Polizeiliche Informationswesen, den Datenschutz im Polizeibereich und das BKA-Gesetz, (2) ein anderes Referat für die Zusammenarbeit mit Europol und – seit September 2021 – auch (3) die zuvor beim BKA angesiedelte und nun ins BMI verschobene Projektgruppe für Polizei2020.

Die Projektgruppe Polizei2020 im BMI

In der Projektgruppe Polizei2020 findet die zentrale Steuerung für das genannte Projekt statt. Dort ist die Geschäftsstelle des Verwaltungsrates angesiedelt, eines gemeinsamen Steuerungsgremiums des Bundes und der Länder, dem wiederum Dr. Klos vorsitzt. Dort wird auch der Polizei-IT-Fonds verwaltet, dessen oberster Entscheider ebenfalls Dr. Klos ist. In Kürze also: Bei Polizei2020 geht nichts, wirklich gar nichts, ohne das Wissen bzw. Einverständnis von Dr. Klos.

Holger Gadorosi, der freiberufliche Gesamtprogrammleiter Polizei2020

Fürs tägliche Geschäft gibt es auf der Arbeitsebene eine Reihe von Mitarbeitern, von denen die meisten aus dem Bundeskriminalamt übernommen wurden.

Vor allem wirkt dort der Gesamtprogrammleiter für Polizei2020, ein gewisser Holger Gadorosi. Der ist – jedenfalls hinsichtlich der Firmengröße – das krasse Gegenteil von Accenture. Ein Freiberufler mit dessen Einzelfirma – Holger Gadorosi Consulting – das BMI seit nunmehr fast zwanzig Jahren einen um den anderen, jeweils freihändig vergebenen Vertrag abschließt.

Auf erste Spuren von Gadorosi stößt man, als der 2002/2003 unter dem damaligen IT-Direktor beim Bundeskriminalamt, Harald Lemke, als Umsetzer für die Rettung des Projekts INPOL-Neu tätig wurde. Das war, nachdem das eigentliche INPOL-Neu nach mehreren Jahren der Planung und Entwicklung gescheitert war und mit Hilfe eines von Lemke aus Hamburg mitgebrachten Systems namens POLAS gerettet wurde, nachdem der Bund daran die Rechte erworben hatte. Immerhin gelang es dem Gespann Lemke/Gadorosi aus POLAS ein INPOL-Neu(-Neu) auf die Beine zu stellen, das einigermaßen den wesentlichen Anforderungen an das neue „Fahndungs- und Auskunftssystem der deutschen Polizei“ gerecht wurde.

Das Kardinalproblem – Teilen von Informationen über Behördengrenzen hinweg – ist bis heute ungelöst

Weitere wesentliche Leistungsanforderungen der Länder fielen allerdings unter den Tisch, insbesondere die Forderung aus den Ländern nach einer effektiveren Lösung für den personal- und zeitaufwändigen Kriminalpolizeilichen Meldedienst (KPMD). Dahinter steckt – allgemein gesagt – die Notwendigkeit zum Teilen von Informationen über die Grenzen von (Länder- und Bundes-)Polizeibehörden hinweg. Noch heute, zwanzig Jahre später, ist dieser Mangel nicht ausgemerzt: Denn bis heute gibt es in der Bundesrepublik Deutschland kein IT-System, das es den Polizeibehörden im Falle eines Anschlages oder eines großen Schadensereignisses erlauben würde, zeitnah, über Behördengrenzen hinweg und ohne Mehrfacherfassung Informationen miteinander zu teilen!

Der heutige P2020-Gesamtprogrammleiter Holger Gadorosi war bei dieser Entwicklung von Anfang an dabei und muss daher genau wissen, wie sich dieses Manko entwickelt hat. Zwischenzeitlich wurde Gadorosi vom BMI auch in anderen, nicht so erfolgreichen IT-Projekten beschäftigt, wie zum Beispiel seit (mindestens) 2013 bis (ca.) Ende 2018 bei „Netze des Bundes“, wo der Freiberufler als Co-Projektleiter fungierte. Ab Juli 2019 2019 beauftragte man ihn dann erstmals mit der P2020-Gesamtprogrammleitung und erweiterte diesen Vertrag in jährlichen Abständen.

Die außergewöhnlichen Umstände der Verträge zwischen BMI und Holger Gadorosi

An den Verträgen zwischen BMI und Holger Gadorosi Consulting fallen mehrere gemeinsame ungewöhnliche Regelungen auf:

  •     Sie werden jeweils freihändig vergeben, was laut Vergaberecht die Ausnahme sein sollte.
  •     Begründet wurde die freihändige Vergabe früher und auch jetzt bei P2020 wieder damit, dass „aus technischen Gründen kein Wettbewerb vorhanden“ sei
  •     Mindestens im Fall des Gesamtprogrammleitervertrages P2020 für Gadorosi ist ein weiterer, namentlich nicht genannter Auftragnehmer wie ein Trojanisches Pferd verpackt – sozusagen ein Schatten von Gadorosi (ich nenne ihn „Mr. eFBS“), für den es (angeblich?) auch keinen Wettbewerb gibt …
  •     Das Auftragsvolumen ist für (angeblich) EINEN Freiberufler in Bezug auf die jeweilige Laufzeit jeweils außergewöhnlich hoch, betrug z.B. in einem Vertrag über 30 Monate im Projekt „Netze des Bundes“ 8,7 Millionen Euro
  •     Die Fähigkeiten und Kompetenzen von Gadorosi werden vom BMI als außerordentlich gerühmt.
  •     Der Bundesrechnungshof kam in der Vergangenheit zu anderen Einschätzungen, so z.B. über Netze des Bundes, wo Gadorosi als Co-Projektleiter tätig war.

Angeblich unvermeidliche (?) Risiken im Projekt Polizei2020

Zuletzt 2021 wurde der Vertrag über die P2020-Gesamtprogrammleitung mit Gadorosi auf knapp vier Millionen Euro aufgestockt mit der Begründung, dass sich die Notwendigkeit zur Änderung ergeben habe

„aufgrund von Umständen, die ein öffentlicher Auftraggeber bei aller Umsicht nicht vorhersehen konnte (Artikel 43 Absatz 1 Buchstabe c der Richtlinie 2014/23/EU, Artikel 72 Absatz 1 Buchstabe c der Richtlinie 2014/24/EU, Artikel 89 Absatz 1 Buchstabe c der Richtlinie 2014/25/EU)“.

Welche Umstände das gewesen sein sollen, ist öffentlich nicht bekannt. Laut Begründung waren es Umstände, die „bei aller Umsicht“ vom Auftraggeber angeblich nicht vorher zu sehen waren.

Das wäre für die Risikobewertung des Projekts P2020 allerdings fatal: Denn man fragt sich, ob und wann erneut solche widrigen Umstände auftauchen können, die dann angeblich wieder nicht vorhersehbar waren: Wenn nicht einmal Gadorosi, der herausragend kompetente und daher angeblich wettbewerbslose Fachmann als Gesamtprogrammleiter (so lautete sinngemäß die Begründung für die freihändige Vergabe des Auftrages an ihn), noch Dr. Klos als der Vorsitzende des Verwaltungsrats des hunderte Millionen schweren IT-Fonds und oberste Chef der P2020-Projektgruppe solche Umstände vorhersehen, geschweige denn deren Auswirkungen eindämmen und verhindern können.

Solche Umstände könnten durch das IT-Projektmanagement des BMI verursacht sein

Es könnte natürlich – rein logisch – auch sein, dass solche widrigen Umstände gar nicht aus heiterem Himmel auftauchen, sondern dass die Umstände hausgemacht sind, also Ursachen haben, die sich aus dem Projekt selbst ergeben: Und die vom Programmleiter, seinem wichtigen, aber unbekannten Schatten, dem Verwaltungsratsvorsitzenden und anderen in der Projektleitung deshalb nicht als solche erkannt werden, weil sie alle einfach zu nah dran bzw. mitursächlich für diese Umstände sind.

Dieser Gedanke triggerte bei mir – und vermutlich auch vielen anderen, die schon lange „dabei“ sind – Erinnerungen an viele einzelne Beobachtungen, Erlebnisse und Sachverhalte aus den letzten zwei Jahrzehnten: Darüber, dass einem kein einziges IT-Projekt für Polizeibehörden des BMI bzw. BKA einfällt, bei dem die ursprünglichen, meist sehr vollmundigen Versprechungen in Gänze erreicht worden wären. Dass jedes Projekt (viel) länger dauerte, als anfänglich angekündigt. Dass sich BMI und BKA, besonders in den letzten Jahren, förmlich vollgesaugt haben mit Beratern und Dienstleistern wie ein trockener Schwamm und dafür Aufträge in schwindelerregenden Größenordnungen verteilt haben. Was ja auch für den gerade vergebenen Auftrag für den P2020-Generalunternehmer gilt, der laut Auftragsbekanntmachung für mehrere Jahre Laufzeit eine Größenordnung von zwischen 130 und 207 Millionen Euro haben soll. Nicht etwa für die Entwicklung von Polizei 2020, sondern allein für das Projektmanagement!

Bei IT-Projekten des BMI feststellbare „Standard-„Risiken für große IT-Projekte

Ich greife nur mal die „Standard-Risiken“ heraus, von denen Experten für das IT-Projektmanagement bzw. Studien belegen sagen, dass sie besondere häufig und/oder fatal für den erfolgreichen Abschluss von großen IT-Projekten sind:

  1. IT-Projekte des BMI: Unvollständige oder nicht erbrachte Ergebnisse bleiben ohne Folgen

Es gibt im Bereich der polizeilichen Informationstechnik der letzten zwei Jahrzehnte kein einziges Projekt für Polizeibehörden unter der Federführung des BMI bzw. des BKA, das erfolgreich zu Ende gebracht wurde UND die Leistungsanforderungen erfüllt hätte, die ursprünglich einmal versprochen worden waren. Das gilt insbesondere für alle besonders großen und besonders wichtigen Verbundprojekte des BKA als „Zentralstelle“:

  •     INPOL-Neu, das weit hinter den ursprünglichen Ankündigungen zurückblieb,
  •     INPOL-Fall, das aufgrund politischer Entscheidung und technisch und rechtlich fehlerhafter Einschätzung nicht weiterentwickelt werden durfte und vom BKA mutwillig ausgebremst wurde!
  •     Polizeilicher Informations- und Analyseverbund (PIAV), der um JAHRE hinter den immer wieder verschobenen Teilfertigstellungsterminen herhinkt ;
  •     bis zum Herbst des Jahres 2016, als die Innenminister auf ihrer Herbsttagung in gelinder Verzweiflung mit ihrer Saarbrücker Agenda zwar das Richtige (wenn auch nicht Neue!) forderten, nämlich einen funktionierenden Informationsaustausch zwischen den Polizeibehörden.

Zur Bedeutung der politischen Begleitarbeit

Leider haben die Länder / Innenminister nicht erkannt, jedenfalls haben sie es nicht verhindert, dass ihnen das BMI das Projekt aus der Hand nahm, daraus „Polizei2020“ machte und damit auch das BMI-eigene Interesse an einer wesentlichen Zentralisierung der polizeilichen IT durchzusetzen versucht.

Es dauerte zwar eine ganze Weile – vom Herbst 2016 bis zum Frühjahr 2018, bis das White Paper zu Polizei2020 auf dem Tisch lag. Im gleichen Zeitraum war allerdings auch noch die Novelle des BKA-Gesetzes unter Dach und Fach zu bringen (dazu unten mehr). Im gleichen Zeitraum hatte der Bundesinnenminister / das nebenberufliche CDU-Vorstandsmitglied De Maizière eine Bundestagswahl inhaltlich zu gestalten mit Forderungen nach mehr Sicherheit und mehr Befugnissen für Sicherheitsbehörden. Das gelang ihm – erfolgreich: Schon wenige Tage nach dem nicht verhinderbaren Anschlag vom Breitscheidplatz und der „Weihnachtspause“ Ende 2016 konnte De Maizière am 03.01.2017 in der Frankfurter Allgemeinen seine „Leitlinien für einen starken Staat in schwierigen Zeiten“ veröffentlichen und damit die heiße Phase des Bundestagswahlkampfs einleiten.

Dadurch wurde zwar kein einziges IT-Projekt für Polizeibehörden früher fertig. Diese politische Begleitarbeit UND die Novelle zum BKA-Gesetz, die im gleichen Zeitraum entstand sorgten jedoch dafür, dass die Union weiterhin das Szepter der Gestaltung der Infrastruktur für die öffentliche Sicherheit und Ordnung in der Hand behielt und mit der SPD nach der Wahl vom Herbst 2017 ein Koalitionspartner erhalten blieb, der sich inhaltlich raushielt und auf seine – im Sinne der Union – Kernaufgabe als Garant der notwendigen parlamentarischen Mehrheit für Befugniserweiterungen für Sicherheitsbehörden beschränkte.

  1. Kritik am IT-Projektmanagement des BMI verpufft folgenlos, niemand haftet dafür

Der Bundesrechnungshof (BRH) hat sich in den vergangenen Jahren im wahrsten Sinne des Wortes die Finger wundgeschrieben mit kritischen Bemerkungen zum IT-Projektmanagement im BMI. Er ist die Instanz in der Bundesrepublik, die nach Art. 114, Abs. 2 des Grundgesetzes zuständig ist für die Prüfung der „Rechnung sowie Wirtschaftlichkeit und Ordnungsmäßigkeit der Haushalts- und Wirtschaftsführung des Bundes“.

In den „Bemerkungen“ für 2017 beschäftigte er sich schwerpunktmäßig mit zwei IT-Großprojekten, die modernisiert, zentralisiert und deren Sicherheit verbessert werden sollte: Das Projekt „Netze des Bundes“ (hier war zur fraglichen Zeit Gadorosi Co-Projektleiter) sollte ein sicheres Sprach- und Datennetz für die Bundesverwaltung schaffen. Im Projekt „IT-Konsolidierung Bund“ wollte die Bundesregierung die bisher auf zahlreiche Standorte verteilte IT des Bundes in wenigen Rechenzentren konzentrieren, den Betrieb der IT wirtschaftlich gestalten und die Daten der Bundesverwaltung umfassend schützen. Das BMI trug für beide Projekte die Gesamtverantwortung. Es musste die Termine, Kosten und Qualität der Projektergebnisse sicherstellen.

Die Ergebnisse seiner Prüfung fasste der Bundesrechnungshof so zusammen:

  •     Die früheren Empfehlungen des Bundesrechnungshofs hat das BMI überhaupt nicht umgesetzt.
  •     109 von 110 Beraterverträgen in den beiden Projekten sind Dienstleistungs- und nicht Werkverträge. Das bedeutet, dass lediglich die Arbeitszeit geschuldet ist, nicht jedoch ein bestimmter Arbeitserfolg. Das ist völlig kontraproduktiv: Welcher Berater würde sich bemühen, „fertig“ zu werden, wenn damit verbunden ist, dass sein Vertrag beendet wird?!
  •     Kein Qualitätsmanagement vorhanden; keine Kriterien für die Bewertung der Arbeitsergebnisse.
  •     Ob die erbrachten Leistungen nach Umfang und Qualität angemessen waren, konnte das BMI nicht belegen

Bei den IT-Projekten des BMI für den Polizeibereich sieht es nicht anders aus: Ich kann mich an einen einzige Fall erinnern – und der ist lange her und betraf INPOL-Neu –, als der Haushaltsausschuss des Bundestages die Freigabe weiterer Gelder blockierte, bevor nicht bestimmte Sachverhalte erklärt sind.

Ansonsten folgen kritische Bemerkungen des BRH einem eingespielten Ritual: Der BRH-Präsident überreicht sie dem Präsidenten des Bundestages. Sie werden mit einem Beschluss zur Kenntnis genommen. Darauf folgt der Beamtendreikampf: Knicken, Lochen, Abheften. Und zwischen den Aktendeckeln ruhen sie dann und regen niemanden mehr auf oder gar an zu Veränderungen …

  1. Gegenüber dem Bundesdatenschutzbeauftragten verweigerte das BMI die Kooperation, trickste und täuschte stattdessen

Wie ein roter Faden zieht sich durch die Ergebnisberichte des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu den BMI-/BKA-Projekten die Haltung des BMI der Verweigerung der Zusammenarbeit, des Verzögerns, der Täuschung der Öffentlichkeit, des Ignorierens und jahrelangen Aussitzens von Beanstandungen bzw. Empfehlungen des BfDI. Das betrifft insbesondere auch das Leuchtturmprojekt Polizei2020, wie in dessen Tätigkeitsbericht für 2020 nachzulesen ist:

Anfang 2019, zwei Jahre nach Beginn des Programms Polizei2020, wurde der BfDI erstmals mündlich über das Vorhaben Polizei2020 unterrichtet. Dabei wurde ihm seine weitere Beteiligung zugesagt (ist dies tatsächlich ein Gnadenakt des BMI?!). Im Nachgang erhielt er ein Dokument „fachlicher Bebauungsplan“, das keine adäquate Grundlage für eine datenschutzrechtliche Prüfung darstellte. Und das die Ergebnisse aus zahlreichen datenschutzrechtlichen Kontrollen und Beratungen des BfDI der letzten Jahre gerade NICHT berücksichtigte.

Ebenfalls Anfang 2019 war er von der AG Recht (einer Unterorganisation der Innenministerkonferenz) eingeladen zur Erprobung des geplanten Datenhauses: Anschließend teilte er dem BMI seine Bedenken schriftlich mit. Daraufhin wurde er nicht mehr eingeladen. Am Jahresende 2019 sicherte ihm ein N.N. aus dem BMI mündlich seine erneute Beteiligung zu. „Seither“ wurde er „weder eingeladen“, noch „sonstwie beteiligt“.

In Antworten auf Kleine Anfragen im Deutschen Bundestag erklärte die Bundesregierung allerdings wiederholt, dass BMI, BKA und Bund-Länder-Gremien in ständigem Austausch stünden.

  1. Keine klar definierten Ziele, Dienstverträge statt Werkverträge

Studien belegen und Experten referieren seit vielen Jahren darüber, dass viele IT-Projekte deshalb scheitern, weil Anforderungen an die Funktion, Leistung, Zuverlässigkeit und Sicherheit nicht schriftlich niedergelegt sind. Das zeigt sich auch an den IT-Projekten des BMI.

Für die keine Werkverträge ausgeschrieben und vergeben werden. Die heißen so, weil damit ein zu erstellendes Werk, z.B. ein bestimmtes Programm für eine definierte Problemstellung vom Auftragnehmer, zu entwickeln ist. Voraussetzung dafür ist eine klare, schriftliche Definition der erwarteten Funktionen, Leistungsmerkmale und Einsatzbedingungen usw., die früher einmal „Spezifikation“ genannt wurde. Solche Dokumente gibt es nicht mehr. Also werden auch keine Werkverträge mehr vergeben. Mit der Folge, dass kein Auftragnehmer mehr haftet für von ihm vertraglich zugesicherte Leistungsmerkmale des von ihm erstellten Werks.

Das BMI vergibt vielmehr seit Jahren vor allem Dienstverträge, beauftragt also den auserwählten Auftragnehmer damit, Mitarbeiter mit bestimmten Fähigkeiten auf Zeit zur Verfügung zu stellen. In jüngerer Zeit werden gerne gleich „Rahmenverträge“ abgeschlossen, mit denen sich ein Auftragnehmer über einen längeren Zeitraum verpflichtet, Personal zu stellen. Daraus kann der Auftraggeber dann Einzelaufträge quasi auf Zuruf vergeben.

Bezahlt wird nicht das Werk, also eine zuvor definierte, messbare Leistung, sondern die Zeit, in der Mitarbeiter des Auftragnehmers für den Auftraggeber tätig wurden. Die Frage der Haftung für eine zu erbringende Leistung erübrigt sich damit. Denn ohne Spezifikation der Leistung gibt es auch keine Abnahmekriterien.

Auch hat kein Auftragnehmer ein Interesse daran, zügig und effektiv zu arbeiten: Ganz im Gegenteil: Je länger die Mitarbeiter dem Auftraggeber zur Verfügung stehen, was durch Regieberichte nachgewiesen wird, desto mehr wird bezahlt. Was, wenn überhaupt, dabei rauskommt, ist nicht das Problem des Auftragnehmers.

  1. Die Menge an gleichzeitig bearbeiteten Projekten, Beteiligten und Stake Holdern verursacht eine nicht zu beherrschende Komplexität

Viele „alte Hasen“ in den Polizeibehörden der Länder können sich noch gut an „AGIL“ erinnern, die Arbeitsgemeinschaft der Länder für die Entwicklung des Teilnehmersystems von INPOL-Neu. Die Kakophonie von Anforderungen aus unterschiedlichen Deliktsbereichen der Polizeibehörden und unterschiedliche Einsatzvoraussetzungen waren ein wesentlicher Grund dafür, dass AGIL alles andere als agil war und einen wesentlichen Beitrag zum Scheitern von INPOL-Neu leistete.

Beim BMI hat man diese Erfahrung anscheinend verdrängt. Gerade dem Gesamtprogrammleiter Gadorosi sollte das allerdings eigentlich nicht passieren, denn der war auch schon vor rund zwanzig Jahren bei INPOL-Neu(-Neu) Gesamtprojektleiter.

Das BMI verkauft heute seine „agilen Umsetzungsmethoden“ als Tugend. „Durch Anwendung eines iterativen Vorgehensmodells im Sinne einer phasenweisen, modularisierten Transformation der Bestandsverfahren können die Risiken in Bezug auf die Stabilität und Sicherheit im Betrieb erheblich reduziert werden“ – wird jedenfalls im White Paper des BKA zu Polizei 2020 behauptet.

Es würden „schrittweise einzelne Funktionalitäten realisiert und im Anschluss an die Testphase in den Regelbetrieb überführt werden. Ein regelmäßiges Feedback aus dem Regelbetrieb in die Entwicklung und Realisierung ermögliche es, schnell auf sich ändernde Anforderungen zu reagieren und diese möglichst kurzfristig zu berücksichtigen.“

Wer vollmundig solche Behauptungen aufstellt, hat entweder nicht untersucht oder verstanden, warum eigentlich INPOL-Neu gescheitert ist und warum seither kein einziges IT-Projekt für die Polizeibehörden unter der Federführung des BMI auch nur einen Bruchteil des versprochenen Erfolges gebracht hat. Oder eine solche Post-Mortem-Analyse ist ihm schlicht egal.

Weiterhin polizeiliche Bedarfsträger aus den Ländern – die nicht unbedingt über IT-Projektmanagementwissen verfügen müssen – damit zu ködern, dass man „schnell auf sich ändernde Anforderungen reagieren und diese kurzfristig berücksichtigen könne“, ist fahrlässig. Man hat vor, dass „der Aufnahme fachlicher Anforderungen zeitnah – meist in Form von Prototypen – eine erste technische Umsetzung folgen (soll), um Feedback aus dem Anwenderkreis aufzunehmen“. Das wird absehbar zu einem Sammelsurium an Prototypen führen, zu einer Aufblähung der nicht mehr für den Polizeidienst zur Verfügung stehenden Beamten, die zwar als Polizisten ausgebildet wurden, jedoch – ohne IT-Ausbildung als Hilfskräfte bzw. „Berater für die Fachlichkeit“ zweckentfremdet eingesetzt werden. Und das meist noch neben ihrer eigentlichen Haupttätigkeit.

Das wesentliche Ziel aus der Saarbrücker Agenda ist damit nicht zu erreichen, „dass jede Polizistin und jeder Polizist nach Maßgabe jederzeit und überall Zugriff auf diejenigen Informationen hat, welche für ihre/seine Aufgaben erforderlich sind“.

Es entstehen vielmehr erneut viele weitere Datentöpfe, diesmal sind es „Zimmer“ im gemeinsamen Datenhaus. Von denen man anscheinend erhofft, dass sie mit dem Wundermittel VeRA = das Big-Data-System von Palantir, für das sich das Bayerische Landeskriminalamt vor wenigen Wochen als Primus inter Pares entschieden hat, zimmerübergreifend ausgewertet und inhaltlich erschlossen werden können.

  1. Das BMI definiert sich selbst die Gesetze und erwünschten Befugnisse für „seine“ Sicherheitsbehörden

Im BMI hat man – besonders in der langen Phase der CDU-/CSU-Regentschaft in diesem Hause – das Verfahren perfektioniert, um eigentlich verfassungswidrige Gesetze für die Sicherheitsbehörden (Bundeskriminalamt, Bundespolizei, Bundesnachrichtendienst, Bundesamt für die Sicherheit in der Informationstechnik (BSI), usw.) trotz ihrer Verfassungswidrigkeit jahrelang nutzen zu können. Dazu wurde wiederholt

  •     ein klar und deutlich verfassungswidriges Gesetz mit der Mehrheit der Koalition, der die Unionsfraktionen angehören, durch den Bundestag gebracht. Besonders wenig Widerstand hatte dabei jeweils die SPD-Fraktion geleistet. So beispielhaft geschehen mit dem BKA-Gesetz von 2008.
  •     Jahre später wurde von Dritten eine Verfassungsbeschwerde eingelegt und vom Bundesverfassungsgericht zur Verhandlung angenommen.
  •     Acht bis zehn Jahre, nachdem das Gesetz Rechtskraft erlangt hatte, erklärte das Bundesverfassungsgericht wesentliche Teile dieses Gesetzes für verfassungswidrig bzw. nichtig. So geschehen im Frühjahr 2016 mit dem BKA-Gesetz von 2008, aber auch mit dem BSI- oder dem BND-Gesetz.
  •     Also legte das BMI eine Gesetzesnovelle vor, um den Rügen des Verfassungsgerichts (angeblich) abzuhelfen. So geschehen mit der Novelle zum BKA-Gesetz vom Frühjahr 2017, die 2018 Rechtskraft erlangte.
  •     Dort baute man auch noch Aufreger ein, wie z.B. die elektronische Fußfessel oder erweiterte Überwachungsbefugnisse, die einen Zweck sicher erfüllten: Viele Medien und Fachfrauen und -männer dort ereiferten sich über Wochen ob dieser neuen unverhältnismäßigen Befugnisse. Bei so viel Fokus auf dem Aufreger-Thema fiel dann niemandem mehr auf, dass hinten im Gesetz auf unbestimmte Zeit ausgesetzt wurde, was vorne scheinheilig als Verbesserung des Datenschutzes eingeführt worden war.

So geschah es mit der Novelle zum BKA-Gesetz vom Frühjahr 2017: Darin wurde – vorne – Wohlverhalten simuliert,

  •     insbesondere durch Par. 12, in dem es um die Nutzung personenbezogener Daten geht, die ursprünglich zu anderen Zwecken erhoben und gespeichert wurden als sie jetzt genutzt werden sollen, was unter der Bezeichnung Hypothetische Datenneuerhebung – abgekürzt HyDaNe – vor allem zu Abschreckungszwecken für im Thema nicht sattelfeste Diskutanten verwendet wird (das sind leider die meisten).
  •     Im Par. 14 wurden unter der Überschrift „Kennzeichnung“ relativ banale Festlegungen getroffen darüber, dass bei personenbezogenen Daten zu kennzeichnen ist,
  •         mit welchem Mittel der (polizeilichen) Datenerhebung diese Daten erhoben wurden (das Mittel kann von Befragung des Betroffenen reichen bis zur verdeckten Telekommunikationsüberwachung),
  •         in welcher Rolle für die betroffene Person solche Daten gespeichert werden (Zeugen, Hinweisgeber, Familienangehöriger, Tatverdächtiger, Beschuldigter – sind alles typische Rollen)
  •         zu welchem Zweck …
  •         und von welcher Polizeibehörde diese Daten erhoben wurden.

Das war schon zum Zeitpunkt des Gesetzentwurfs nichts radikal Neues: Neu war allerdings ein Verwendungsverbot für nicht solcherart gekennzeichnete Daten. Das war unidentifizierten Kreisen, mutmaßlich aus dem BMI, ein Dorn im Auge. Sie sorgten daher dafür, dass dieses Verwendungsverbot klammheimlich gestrichen wurde. Indem wenige Stunden vor der zweiten und dritten Lesung im Bundestag ein Par. 91 – als Übergangsvorschrift hinzugefügt wurde, der dafür sorgt, dass das vorne, in Par. 14, Abs. 2 vorgesehene Verwendungsverbot für nicht gekennzeichnete Daten auf unbestimmte Zeit außer Kraft gesetzt wurde. Und das blieb es bis heute: Am 28.5.2022 jährt sich zum vierten Mal das Inkrafttreten des neuen BKA-Gesetzes mit dem faktisch nie zur faktischen Durchsetzbarkeit gediehenen, in Par. 14 vorgesehenen Kennzeichnungsgebot.

Dieses dreiste und unredliche Vorgehen war Auslöser für die Verleihung des diesjährigen Negativpreises Big Brother Award 2022 in der Kategorie „Behörden und Verwaltung“ an das Bundeskriminalamt und die Polizeibehörden der Länder: Denn sie sind die Nutznießer der faktischen Aussetzung auf unbestimmte Zeit der vorne im Gesetz scheinheilig versprochenen Verbesserung der Kennzeichnung personenbezogener Daten.

  1. Lernen aus Fehlern – im BMI weder bekannt noch als sinnvoll erachtet

Mit diesen Verfahrensweisen hat das BMI in den knapp zwanzig Jahren der Regentschaft der Unionsfraktionen – zumindest aus der eigenen Sicht – sehr befriedigende Erfolge auf dem Gebiet der öffentlichen Sicherheit erzielt:

Man wurstelt seit Jahren – nicht nur im Bereich der IT der Sicherheitsbehörden – nach Gutdünken und mit wenig fachlicher, IT- oder Projektmanagement-Kompetenz drauflos, gibt Milliarden von Steuermitteln aus für Projekte bei denen nicht das ursprünglich Versprochene rauskommt, füttert damit willfährige oder zumindest leicht zu steuernde Auftragnehmer, die keine Fragen stellen und tun, was der Entscheider will. Was damit versüßt wird, dass sie – dank der Dienstverträgen umso mehr verdienen, je länger ein Projekt dauert.

Kein Entscheider im BMI schert sich um die wiederholte, konkret begründete Kritik des Bundesrechnungshofes, denn die Geldquellen sprudeln ja weiter. Den Bundesdatenschutzbeauftragten behandelt man arrogant und drückt damit eine schwer erträgliche Missachtung vor den Datenschutzrechten aus, für deren Kontrolle und Schutz diese Instanz zuständig ist.

Vor Kritik ist man im BMI generell gefeit, denn auf Minderheitsmeinungen der Oppositionsfraktionen braucht man nicht zu hören und kann sich ausruhen und verlassen auf eine geradezu naive Gutgläubigkeit, vor allem von Abgeordneten der Fraktionen der Regierungskoalition im Bundestag, die trotz möglichen besseren Wissens nicht erkennen wollen, dass nicht alles redlich, gut und erfolgreich ist, was ihnen die Sicherheitsbehörden und Ministerialen zu diesem Thema erklären.

All das sorgte dafür, dass vom BMI und mit der Mehrheit der Union und ihrer Koalitionäre reihenweise Gesetze für Sicherheitsbehörden durchgedrückt wurden, die in Summe die Autobahn dafür angelegt haben, dass sich Deutschland in einen Überwachungsstaat verwandelt hat.

Die Ampelkoalition hat schon jetzt die Chance auf Lernen aus den Fehlern der Vergangenheit vertan

Wenn diese Entwicklung parlamentarisch, politisch oder medial zur Kenntnis genommen worden wäre, unter Umständen auch noch zu der Überzeugung geführt hätte, dass sich etwas ändern muss, wäre jetzt, beim Wechsel von der großen Koalition zur Ampelkoalition eine gute Gelegenheit gewesen, damit anzufangen. Anstatt es nur bei wohlfeilen Worten im Koalitionsvertrag bewenden zu lassen. Unter Frau Faeser ist von einer Revision der bisher eingeschlagenen Verfahrensweise allerdings NICHTS zu bemerken: Gut möglich, dass ihr DIESES Problem, das jeden einzelnen Bürger betreffen kann, noch gar nicht bewusst ist.

Der Vergleich der Organigramme der Abteilung ÖS in BMI zwischen August 2021, also vor der Wahl und Mai 2022 zeigt vielmehr, dass dort alles beim Alten geblieben ist: Dr. Christian Klos, der Abteilungsleiter ÖS sitzt fest im Sattel.

Er herrscht weiterhin über zwei Unterabteilungen mit jeweils fünf Referaten. Die früheren zwei Unterabteilungsleiter sind nach wie vor im Amt, neun der zehn Referatsleiter auf der Ebene darunter haben ebenfalls noch den gleichen Posten. Der eine, fehlende Ministerialrat konnte sich verbessern und ist inzwischen Leiter der Zentralabteilung, während nach einem neuen Leiter für das Referat „Grundsatz Polizei und Strafverfolgung“ aktuell noch gesucht wird.

Die Erfahrung der langen Zeit der Union-Regentschaft im BMI und der inhaltlich beschränkte Fokus von Frau Faeser auf das Thema Rechtsextremismus – so berechtigt er auch sein mag – sorgen dafür, dass es aus dem Hause BMI keinerlei Veranlassung für Veränderungen bzw. Verbesserungen gibt.

Der neue Generalunternehmer Accenture passt ideal zum bisherigen Stil im Hause BMI

Accenture als Generalunternehmer für das Leuchtturmprojekt Polizei2020 trifft an den Versäumnissen der Vergangenheit keine Verantwortung. Jedoch passt ein solcher Auftragnehmer zum bisherigen Stil des IT-Projektmanagements im Haus BMI.

Kein plausibler Grund ist zu entdecken, der einen Auftragnehmer veranlassen sollte, daran etwas zu ändern. Solange der umso besser und länger bezahlt wird, je komplexer, diversifizierter und länger dauernd ein solches Projekt gemacht wird: Wie sich das eben für ein echtes Perpetuum-Mobile-Projekt aus dem Hause BMI gehört und seit Jahren aus dessen Sicht als zielführend und erfolgreich erwiesen hat.

Neben dieser möglichen Formalie geben weitere Sachverhalte Anlass zur Sorge: So wurden im Hause BMI in den vergangenen zwei Jahrzehnten alle wesentlichen IT-Verbundprojekte für die Polizei zwar angepackt – zu nennen sind INPOL-Neu, INPOL-Fall, der Polizeiliche Informations- und Analyseverbund (PIAV) und nach der Saarbrücker Agenda der Innenminister von 2016 das jüngste Leuchtturmprojekt Polizei2020. Keines dieser Projekte hat jedoch die Ergebnisse erreicht, die ursprünglich versprochen worden waren. Jedes hat die anfänglich avisierten Fertigstellungstermine um Längen überschritten. Und belastbare Angaben zu den Gesamtkosten existieren nicht.

Dafür sind jedoch nicht „Umstände“ verantwortlich, die selbst bei großer Umsicht „nicht vorhersehbar waren“, wie das BMI in einem jüngeren Fall anführte. Vielmehr liefern die vergangenen zwei Jahrzehnte zahlreiche Hinweise darauf, dass die Probleme hausgemacht sind: Und dem sehr engen Kreis der Projektverantwortlichen im BMI u.U. deshalb nicht auffallen, weil sie alle einfach zu nah dran bzw. mitursächlich für diese Umstände sind.

Aus dem erst vor wenigen Wochen endlich veröffentlichten Organigramm des BMI ergibt sich die Befürchtung, dass sich daran auch nichts ändern wird. Denn die bisherige graue Eminenz im BMI für Polizei2020 und seine Abteilung sind nach wie vor unverändert gegenüber dem Zustand vor der Bundestagswahl im Amt. Frau Faeser hat mit ihrem Fokus auf Rechtsextremismus – so berechtigt der auch sein mag – anscheinend das hohe Risikopotenzial des nächsten Fehlschlags bei der Modernisierung der Informationstechnik der Polizeibehörden noch gar nicht erkannt.

 

Der Artikel von Annette Brückner ist auch Police-IT erschienen. Dort finden Sie auch Links zu weiteren Artikeln zum Thema.

Ähnliche Beiträge:

Sei der erste, der diesen Beitrag teilt:

2 Kommentare

  1. Dr. Christian Klos ist Jurist.
    Der Mangel scheint nicht, daß er zu nah dran ist sondern von der Sache nichts versteht.
    Dafür ist er allerdings schon lange dabei.

    Große Firmen machen alle paar Jahre Reorganisation damit sich keine Erbhöfe bilden.
    Hier stoßen inkompatible Weltsichten gegeneinander (und die Realität).

    Bei Putin nannte mans dictator trap. Als der Krieg schlecht lief hat Putin Generale gefeuert.
    Theoretisch sollte „Demokratie“ vorher vor inkompetentem Personal schützen.

    1. Guten Morgen,

      ich teile Ihre Ansicht über „Sache“ und den überfälligen Schutz des Staatswesens (und von uns allen) vor Inkompetenz.

      Zur „Sache“ jedoch eine Ergänzung: Von IT hat er ersichtlich wenig Ahnung, aber seine Haupt-„Sache“ ist es, das BMI in die zentrale Position zu bringen zur Verfügung über sämtliche Daten der Polizeibehörden – auch der Länder. Und das macht er erfolgreich …

      Zur Rolle des Abteilungsleiters Öffentliche Sicherheit (AL ÖS) = Dr. Klos schrieb Prof. Werner Schiffauer im Verfassungsblog am 21.08.2021:
      https://verfassungsblog.de/das-ortskraefte-debakel-hat-im-innenministerium-seinen-ursprung/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.