Werden auf VeRA im “gemeinsamen Datenhaus” des “polizeilichen Informationsverbunds” auch die Geheimdienste zugreifen können?
VeRA – Sie erinnern sich vielleicht – ist das Projekt zur geplanten Beschaffung einer “verfahrensübergreifenden Recherche- und Analyseplattform” (VeRA – die gefährlichste Entwicklung in der IT der Sicherheitsbehörden seit 75 Jahren). In einem außergewöhnlichen Verfahren (1) machte das Bayerische Landeskriminalamt (BayLKA) dieses Beschaffungsvorhaben am 18.01.2021 bekannt. Bayern bezeichnet sich darin als “Primärauftraggeber”.
Man beschaffe aber auch “im Auftrag anderer öffentlicher Auftraggeber”, namentlich des Bundesministeriums des Inneren (für das Bundeskriminalamt und die Bundespolizei), des Bundesministeriums der Finanzen (für das Zollkriminalamt) und für die anderen 15 Bundesländer. Die werden als “Sekundärauftraggeber” bezeichnet. Sie haben das Recht, aber nicht die Verpflichtung, das System zu erwerben, für das sich das BayLKA entscheiden wird. (Dass Bayern diese Entscheidung allein trifft und ohne enge Abstimmung mit den Sekundärauftraggebern, darf bezweifelt werden.)
Aktuelle Anfrage im Bundestag nach dem Status von VerA
In den zehn Monaten, die seit der Auftragsbekanntmachung aus München vergangen sind, gab es kaum Verlautbarungen über den Fortgang des Vorhabens. Ein guter Grund also für den Abgeordneten Konstantin von Notz von den Grünen, in einer schriftlichen Frage im neuen Bundestag mal nach dem Stand der Dinge zu fragen:
- “Welche Kenntnisse hat die Bundesregierung über Pläne von deutschen Sicherheitsbehörden auf Länder- und Bundesebene über eine (geplante oder erfolgte) Beschaffung der ‘verfahrensübergreifenden Recherche- und Analyseplattform (VeRA)’,
- und wie bewertet die Bundesregierung diese Informationen insbesondere hinsichtlich der grundrechtlichen Implikationen einer Verwendung der Plattform zu Lasten der Bürgerinnen und Bürger,
- unter anderem vor dem Hintergrund der von dem System eröffneten Möglichkeiten zu einem direkten Zugriff auf Daten aus unterschiedlichen Quellen,
- sowie der weitreichenden Zusammenführung und Auswertung dieser Daten (vgl. https://police-it.net/vera-verfahrensuebergreifend e-recherche-und-analyse)?”
[Die Gliederungspunkte wurden der besseren Übersichtlichkeit halber von mir eingefügt.]
Staatssekretär Dr. Teichmann aus dem BMI will sich nicht äußern
Darauf antwortete Dr. Helmut Teichmann, einer der fünf Staatssekretäre aus dem Bundesinnenministerium am 13.10.2021: Es sei
“der Bundesregierung bekannt, dass das Bayerische Landeskriminalamt die Beschaffung einer verfahrensübergreifenden Recherche- und Analyseplattform (VeRA) für die Polizei des Freistaates Bayern durchführt”. Das könne man auf der Europäischen Vergabeplattform TED nachlesen. Zu “laufenden Vergabeverfahren, insbesondere derer, die “in der Verantwortung der Länder liegen”, äußere sich die Bundesregierung nicht.
Herr Dr. Teichmann ist einer der beiden Staatssekretäre, der die Strategie und praktische Politik der Inneren Sicherheit des Bundesinnenministeriums verantwortet. Daher wird er wohl Kenntnis haben von der Mandatierung des BayLKA durch sein Haus. Seine Antwort auf die Anfrage im Bundestag wirkt wie eine schlechte Ausrede. Und provoziert einen genaueren Blick in die Auftragsbeschreibung für VeRA aus dem BayLKA. Und die hat es in sich: Denn VeRA soll
- im Rahmen des Programms Polizei2020
- zur Kooperation der deutschen Polizei- und Sicherheitsbehörden …
eingesetzt werden.
Das neue BKA-Gesetz, Polizei2020 und VeRA
In dem 2017 neu gefassten BKA-Gesetz wurde die polizeiliche Informationsordnung “fundamental umgestaltet” (Der Umsturz kommt zu früh – Anmerkungen zur polizeilichen Informationsordnung nach dem neuen BKA-Gesetz): Im Zentrum steht jetzt der “polizeiliche Informationsverbund”, für den das Bundeskriminalamt als Zentralstelle ein “einheitliches Verbundsystem” zur Verfügung stellt. Innerhalb dieses Systems stellen die teilnehmenden Behörden (Bundes- und Länderpolizeien) “einander Daten zum Abruf und zur Verarbeitung zur Verfügung”.
Zur Umsetzung hat das BMI im Jahr 2018 das Programm Polizei2020 aus der Taufe gehoben. Dessen wesentliche Aufgabe besteht darin, beim BKA ein “gemeinsames Datenhaus” aufzubauen.
Dort sollen nicht nur “verbundrelevante Informationen” aus allen Teilnehmerbehörden gespeichert werden. Das sind, in §30 BKAG weit gefasst,
“personenbezogene Daten, deren Verarbeitung für die Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung erforderlich ist …”
Welche Straftaten “nach allgemeiner kriminalistischer Erfahrung” im einzelnen verbundrelevant werden, können die teilnehmenden Behörden einvernehmlich selbst festlegen.
Das gemeinsame Datenhaus soll “mandantenfähig” ausgestaltet werden. Damit die teilnehmenden Behörden (vor allem der Länder) dort auch die Informationen speichern und verarbeiten können, die nicht verbundrelevant sind und auf die nur die besitzende Behörde Zugriff hat. Und wissen, welche Daten ihnen “gehören”.
Aktuell legen BMI und BKA eine hohe Priorität auf die Konsolidierung und Harmonisierung der Vorgangsbearbeitungssysteme auf dem gemeinsamen Datenhaus. Die enthalten, wie jeder Praktiker weiß, einen wahren Schatz über alle Tätigkeiten der Polizei und die damit zusammenhängenden Informationen: Egal, ob es um das Wiederauffinden der dementen alte Dame geht oder um die Ruhestörung, über die sich der Nachbar beschwert, um Laden- oder Fahrraddiebstahl oder schwere Kriminalität.
Die Länder haben schon im Herbst 2016 in ihrer “Saarbrücker Agenda” ein ganz anderes Kernproblem artikuliert: Sie brauchen dringend einen funktionierenden Informationsaustausch, z.B. im polizeilichen Staatsschutz oder für Organisierte Kriminalität, umso mehr als die entsprechenden Ausbaustufen des PIAV für diese Deliktsbereiche zwar seit Jahren versprochen, aber noch immer nicht verfügbar sind.
Dieses Anliegen ist weitaus dringender – übrigens auch für uns Bürger – als prinzipiell funktionsfähige und im Wirkbetrieb befindliche Vorgangsbearbeitungssysteme zu “harmonisieren” und die darin gespeicherten Informationen auf das gemeinsame Datenhaus umzuziehen (oder auch nicht, denn das scheint noch gar nicht entschieden zu sein). Doch BMI und BKA sind ersichtlich sehr daran interessiert, diese Vorgangsbearbeitungssysteme und deren Datenschatz zeitnah auf das gemeinsame Datenhaus zu bringen. Und machen den Teilnehmern / Ländern diese Idee schmackhaft mit angeblichen Einsparmöglichkeiten und erhöhter Wirtschaftlichkeit des Betriebs auf dem gemeinsamen Datenhaus und mit finanziellen Versprechungen einer anteiligen Finanzierung aus dem Polizei-IT-Fonds.
Kennzeichnungspflichten für personenbezogene Daten im Gesetz
Damit personenbezogene Informationen übermittelt oder weiterverarbeitet werden dürfen, muss
- jedes einzelne personenbezogene Datum
- mit mehreren Filterkriterien
gekennzeichnet sein:
Dazu gehören unter anderem die Rolle der Person (Zeuge, Geschädigter, Beschuldiger, Kontaktperson, usw.), die Rechtsgüter bzw. Straftaten, derentwegen die Daten über die Person erhoben wurden oder die Stelle, die die Daten erhoben hat.
Zu kennzeichnen ist insbesondere
- jedes identifizierende oder beschreibende Merkmal zu einer Person (wie Namensbestandteile, Geburtsdatum und -ort, Staatsangehörigkeit, Größe und Aussehen, sowie die so genannten personengebundenen Hinweise u.v.m.)
- jede Beziehung der Person zu anderen Personen, Gruppierungen, Adressen einschließlich Telefon, Email und Internet-URLs, Firmen u.ä. sowie Fahrzeugen und anderen Sachen.
- Noch weitgehend ungeklärt ist die technische Umsetzung der Kennzeichnung von personenbezogenen Informationen, die in (unstrukturierten) Textdokumenten enthalten sind.
- Gesetzlich vorgeschriebene Kennzeichnungspflichten wurden unbefristet ausgesetzt
Kurz vor der Abstimmung im Bundestag über den Gesetzentwurf zum neuen BKA-Gesetz der Bundesregierung wurde noch ein §91 ins Gesetz eingefügt. Der besagt, dass die in §14 BKAG gesetzlich verlangte Kennzeichnungspflicht “übergangsweise” ausgesetzt, d.h. also auf unbefristete Zeit nicht verlangt wird.
Diese Anforderungen zur Kennzeichnung sind noch nicht einmal neu: Schon im alten BKA-Gesetz von 2008 gab es Kennzeichnungspflichten. Doch weder die ältere Servertechnik beim BKA – z.B. für das bisherige Verbundsystem INPOL – noch der Zentralserver beim BKA für PIAV Operativ Zentral können diese längst bekannte Anforderung realisieren. Dieser Zustand besteht schon seit Inkrafttreten des Gesetzes Ende Mai 2018. Und wird wohl noch sehr lange weiter anhalten.
Atemberaubend ist die Nonchalance, ein Autor aus der neuesten Auflage des Handbuchs des Polizeirechts nannte es sogar “Chuzpe”, mit der gesetzliche Anforderungen ins Gesetz geschrieben wurden, die mit der vorhandenen technischen Umsetzungsfähigkeit beim BKA gar nicht zu erfüllen sind. Umso mehr, als Fachleute auf IT- bzw. Projektleitungsebene im BKA seit Jahren die Abschaffung des einzigen Systems, nämlich INPOL-Fall, betrieben haben, das in der Lage wäre, die gesetzlichen Kennzeichnungs-Anforderungen zu erfüllen.
Im Gesetz geforderte Datenschutz-Vorkehrungen
Im neuen BKA-Gesetz wird auch gefordert, dass “das BKA durch organisatorische und technische Maßnahmen sicherzustellen hat”, dass “Eingaben von und Zugriffe auf Daten im polizeilichen Informationsverbund” nur durch Berechtigte möglich sind.
Es besteht das Risiko, dass man auch mit dieser klaren gesetzlichen Anforderung umgeht wie mit der Kennzeichnungspflicht: Auch diese Anforderung könnte “übergangsweise” über Bord geworfen und nicht umgesetzt werden. Oder wesentlich abgeschwächt werden. Was für Betroffene überhaupt nicht festzustellen ist. Und von Datenschutzbeauftragten auch nur bei Prüfungen vor Ort bemerkt werden könnte. Die allerdings nicht selbst Hand anlegen dürfen, sondern höflich darum bitten müssen, dass man ihnen bestimmte Funktionen vorführt [b].
Das ist die Gesetzeslage und faktische Situation, wie sie sich aktuell für den polizeilichen Informationsverbund und das gemeinsame Datenhaus darstellt.
Data Mining mit VeRA könnte bestehende technische Unzulänglichkeiten auf einen Schlag erträglich machen
In diese Situation provoziert Staatssekretär Dr. Teichmann Neugierde mit seinem befremdlichen Umschiffen einer klaren Antwort: Und tatsächlich stellt man beim Nachlesen in der Auftragsbeschreibung des bayerischen Beschaffungsvorhabens für VeRA mit Erstaunen fest, dass nun auch VeRA “im Rahmen von Polizei2020 … für die Modernisierung des polizeilichen Informationswesens von Bund und Ländern” eingesetzt werden soll.
DAS nenne ich echte Chuzpe: Denn VeRA ist, ungeachtet der umständlichen Bezeichnung (“verfahrensübergreifende Recherche und Analyse”) vor allem ein Data-Mining-System. Das wie ein riesiger Filter die Daten im gemeinsamen Datenhaus durchsieben kann und in dem hängenbleibt, was Künstliche Intelligenz, Mustererkennung & Co. für signifikant halten.
Und das sich – nach entsprechender Anpassung – auch nicht darum schert, mit welcher Datenbankstruktur die Datenbanken der Quellsysteme aufwarten: Nach der Anpassung kann eine solches System datenbankübergreifend Abgleiche und Auswertungen durchführen und zwar gleichzeitig z.B. im Fahndungs- und Auskunftssystem INPOL, in INPOL-Fall-Datenbanken, dem b-case-System (z.B. in der GED, der Gemeinsamen Ermittlungsdatei im Staatsschutz), in PIAV-Datentöpfen und im konsolidierten Vorgangsbearbeitungssystem (auf das wir gleich noch zu sprechen kommen) auf dem gemeinsamen Datenhaus.
Data Mining im gemeinsamen Datenhaus OHNE Kennzeichnung – ein absolutes No Go
Das ist schon kritisch zu sehen, wenn es mit personenbezogenen Informationen geschieht, die ordnungemäß gekennzeichnet sind. Und daher von einem solchen Mining-Prozess gefiltert werden KÖNNEN.
In Polizei 2020 sollen aber Data-Mining-Verfahren eingesetzt werden, OHNE dass die Daten im gesetzlichen Umfang gekennzeichnet sind. Daher können sie auch nicht gefiltert werden. Das ist für jeden Betroffenen ein Alptraum und wird es für viele auch werden, wenn ein solches System in den Wirkbetrieb geht.
Und ist – übrigens – auch nicht wünschenswert für die Polizeibehörden als Nutzer. Die sich auf die Zusicherung von “Mandantenfähigkeit” (“Welche Daten gehören unserer Behörde und welche nicht?”) verlassen (müssen), und auch nicht zugeschüttet werden wollen mit irrelevanten Mining-Treffern, nur weil beim schlampig programmierten Abgleich von Personennamen Thomas Schmidt, geb. Müller, “verwechselt” wird mit einem der vielen anderen Menschen, von denen jeder Thomas Müller heißt (ein Fall, der tatsächlich so geschehen ist, nur nicht mit “Thomas Müller”).
Soll VeRA das neue Verbundsystem werden zwischen Polizei und Verfassungsschutz?
Ferner überrascht der Zusatz “… und Sicherheitsbehörden” in der Aufgabenbeschreibung für VeRA: Denn Polizei2020 war bisher beschrieben worden als Kooperationsprojekt der Polizeibehörden von Bund und Ländern. Der Zusatz macht jedoch nur dann Sinn, wenn man vorhat, die übrigen Sicherheitsbehörden, vor allem die Verfassungsschutzbehörden, via VeRA in einen Informationsverbund mit den Polizeibehörden einzubeziehen.
Arbeiten die Verfassungsschutzämter heute schon mit einem Data Mining-System à la VeRA?
Der Zusatz deutet außerdem darauf hin, dass diese Sicherheitsbehörden mit Informationen aus bzw. dem System VeRA selbst etwas anfangen können. Bedeutet dies, dass auch die Verfassungsschutzämter – oder zumindest das Bundesamt für Verfassungsschutz – oder Nachrichtendienste mit DEM System arbeiten (werden) oder schon arbeiten, das vom BayLKA erst noch ausgesucht werden soll?
Existiert aktuell eine Rechtsgrundlage für diese Form der Zusammenarbeit zwischen Polizei- und Nachrichtendiensten?
Derzeit geht es ja “nur” um die BESCHAFFUNG des Systems im Rahmen von Polizei2020. Allenfalls der Rechnungshof und der Steuerzahler könnten später Kritik äußern, wenn Geld für ein System VeRA ausgegeben wurde, für dessen NUTZUNG es gar keine Rechnungsgrundlage gibt. Denn damit sieht es etwas verzwickt aus:
Urteil des Bundesverfassungsgerichts Antiterrordatei II
Für die gemeinsame Nutzung von Informationssystemen durch Polizei UND Verfassungsschutz bzw. Nachrichtendienste gab es früher im eingeschränkten Umfang eine Rechtsgrundlage: Im Gesetz für die Antiterrordatei (ATD), die von Polizei und anderen Sicherheitsbehörden in gemeinsamen Projekten genutzt werden durfte. Nach einem ersten Urteil des Bundesverfassungsgerichts im Jahr 2013 wurde das ATD-Gesetz überarbeitet. Doch auch gegen die neue Gesetzesfassung gab es wieder eine Verfassungsbeschwerde. Über die hat das Bundesverfassungsgericht mit Urteil vom 10.11.2020 (“Antiterrordateigesetz II”) entschieden. In den Leitsätzen steht
“1. Regelungen, die den Datenaustausch zwischen Polizeibehörden und Nachrichtendiensten ermöglichen, müssen den besonderen verfassungsrechtlichen Anforderungen der hypothetischen Datenneuerhebung genügen (“informationelles Trennungsprinzip”).
- Das Eingriffsgewicht der gemeinsamen Nutzung einer Verbunddatei der Polizeibehörden und Nachrichtendienste ist bei der “erweiterten Nutzung” (Data mining) weiter erhöht.”
- …
Genau darum geht es auch bei VeRA.
Projektbezogene gemeinsame Dateien in §17 des BKA-Gesetzes
Die Bundesregierung hatte jedoch schon vor dem Urteil des BVerfG Vorkehrungen getroffen. Wie schon im BKA-Gesetz von 2008 gibt es auch im BKA-Gesetz von 2017 einen eigenen Paragraphen (§17) über “projektbezogene gemeinsame Dateien”, der so beginnt:
“(1) Das Bundeskriminalamt kann für die Dauer einer befristeten projektbezogenen Zusammenarbeit mit den Verfassungsschutzbehörden des Bundes und der Länder, dem Militärischen Abschirmdienst, dem Bundesnachrichtendienst, Polizeibehörden des Bundes und der Länder und dem Zollkriminalamt eine gemeinsame Datei errichten.”
Die hypothetische Datenneuerhebung im neuen BKA-Gesetz
HyDaNe, dieser im Gesetz neue Grundsatz (in §12) besagt (hier etwas vereinfacht dargestellt), dass das BKA personenbezogene Daten, DIE ES SELBST ERHOBEN HAT, weiterverarbeiten, also insbesondere nutzen und auswerten kann
- zur Erfüllung derselben Aufgabe und
- zum Schutz derselben Rechtsgüter oder zur Verfolgung oder Verhütung derselben Straftaten.
Kennzeichnungen nach dem Urteil des Bundesverfassungsgerichts zur Antiterrordatei II
Voraussetzung für diese Befugnis ist, nach dem 1. Leitsatz im o.g. Urteil des BVerfG, dass bei der Speicherung jedes einzelne personenbezogenen Datums gekennzeichnet wird,
- welche Behörde die Information erhoben hat (hier also nur das BKA),
- zu welcher Aufgabe die Information erhoben wurde und
- zum Schutz welcher Rechtsgüter.
Wir hatten ja oben schon generell über die Kennzeichnungspflichten aus dem neuen BKA-Gesetz geschrieben. Die drei gerade genannten kommen nun noch hinzu aus dem Urteil zur Antiterrordatei II. Auch diese Kriterien wirken wie ein Filter: Nur solche personenbezogenen Informationen, die diese drei Filterkriterien erfüllen, dürften nach dem Leitsatz 1 überhaupt geteilt werden.
Wir können die weitere Betrachtung schon an dieser Stelle abbrechen: Denn die aktuell eingesetzten Informationssysteme beim BKA, egal ob INPOL, b-case/eFBS oder PIAV sind technisch NICHT in der Lage, solche Kennzeichnungen bei jedem einzelnen personenbezogenen Datum zu speichern. (INPOL-Fall müsste und könnte aufgerüstet werden, um die Kennzeichnungspflichten darzustellen). Das hat zur Folge, dass wegen der fehlenden Kennzeichnung weder gemeinsame Dateien noch ein Data Mining “für Sicherheitsbehörden” “eigentlich” zulässig sind.
Wieder einmal gilt die Einschränkung “eigentlich”: Denn die Erfahrung seit dem BKA-Gesetz 2008 zeigt, dass das CDU/CSU-geführte Bundesinnenministerium in seinen Gesetzentwürfen für die Sicherheitsbehörden Maximalforderungen zur Rechtsgrundlage für viele Jahre macht. Die erst dann wieder kassiert werden, wenn jemand auf den Plan tritt, der die notwendigen Voraussetzungen und Kenntnisse mitbringt für die nächste Verfassungsbeschwerde. Bis die dann verhandelt ist, wenn sie denn überhaupt verhandelt wird, vergehen erfahrungsgemäß Jahre. Und bis dahin können die Sicherheitsbehörden mit personenbezogenen Informationen nahezu tun und lassen, was sie wollen.
Fußnoten
(1) In der Regel übernehmen große Beschaffungsbehörden, wie insbesondere das Beschaffungsamt des Bundesministeriums des Innern Beschaffungsvorhaben im Auftrag (auch) von anderen Behörden. Dass dies ein einzelnes LKA für die anderen Bundesländer übernimmt, ist eher ungewöhnlich.
(2) So die Datenschutzbeauftragte des Landes Schleswig-Holstein, Frau Marit Hansen, auf meine Frage beim Online-Symposium des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit am 6.10.2021.
Der Artikel von Annette Brückner erschien zuerst auf Police IT. Brückner war mitverantwortlich für die Konzeption und Entwicklung von POLYGON, das als informationstechnische Plattform für die Sachbearbeitung, Analyse und Auswertung von komplexen Verfahren seit 1993 bei großen Polizeibehörden im Ausland (Ungarn, Slowakei, u.a. im Auftrag des Bundesministerium des Innern) und in Brandenburg eingesetzt wurde bzw. wird. Mit Police IT will sie “fachlich und technisch fundierte Informationen über Polizei, ihre Informationssystem und Polizeidatenbanken” zur Verfügung stellen.