Wirrwarr um aufgebohrte EU-Polizeidatenbank

Ergebnislos wird seit zehn Jahren ein Upgrade des Schengener Informationssystems (SIS) entwickelt. Die Datensammlung wird entgegen des früheren Zwecks genutzt

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

2001 hatte die Europäische Union ihrer Kommission für Justiz und Inneres den Auftrag zur Erneuerung der Fahndungsdatenbank SIS zum SIS II erteilt. Die für 2006 vorgesehene Fertigstellung wurde mehrmals verschoben und ist jetzt fürs erste Quartal 2013 angekündigt. Nicht nur weil die Kommission den Kauf einer Testplattform vergaß, bahnt sich eine erneute Verzögerung an. Ein privater Netzbetreiber hat derweil unverschlüsselten Zugriff auf gespeicherte Personen- und Sachdaten.

Die Beschaffung des neuen Schengener Informationssystems der zweiten Generation wurde vor zehn Jahren mit der Aufnahme neuer EU-Mitgliedsstaaten begründet, deren Verwaltung die frühere Plattform angeblich nicht mehr leisten könne. Zugriffsberechtigt sind zukünftig alle Polizeibehörden EU-Mitgliedsstaaten, aber auch die EU-Agenturen Europol und Eurojust. Irland, Großbritannien und Zypern nehmen bislang noch nicht am SIS teil, wogegen die Nichtmitglieder Island, Norwegen und die Schweiz bereits an die Polizeidatenbank angebunden sind.

Der Hauptgrund für das Upgrade dürfte indes in neuen Features liegen: So sollen noch mehr Datensätze gespeichert und prozessiert werden wie etwa biometrische Daten neuer Reisedokumente. Zudem sollen alle Abfragen in einer maximalen Bearbeitungszeit von drei Sekunden erfolgen.

2001 waren für das zu besorgende SIS II 15 Millionen Datensätze angenommen worden. Heute wird von rund 100 Millionen Einträgen ausgegangen. Die Projektkosten sind derweil von 15 Millionen auf 143 Millionen Euro gestiegen, weshalb das EU-Parlament im Oktober den Haushalt für 2011 verweigert hatte.

Privater Netzbetreiber hat Zugriff auf Personendaten

Das SIS strukturiert sich in die nationalen Einheiten (N.SIS) und die zentrale Stelle (C.SIS), die von Frankreich in Strasbourg verwaltet und im österreichischen St. Johann im Pongau gespiegelt wird. Zukünftig soll das SIS zusammen mit der Visumsdatenbank (VIS) und der Fingerabdruckdatenbank (EURODAC) von der "Agentur für das Betriebsmanagement von IT-Großsystemen im Bereich Freiheit, Sicherheit und Recht" verwaltet werden. Das C.SIS war letztes Jahr wegen Wartungsarbeiten nur 7 Minuten offline. Alle Mitgliedsstaaten müssen ihre nationalen N.SIS-Systeme mit der ebenfalls auf C.SIS II aufgebohrten Plattform kompatibel machen. Deutschland ist seit der Aufschaltung auf die neue INPOL-Version 6.0 im Oktober 2008 "SIS II-ready".

Die Vernetzung und Übertragung zwischen C.SIS und N.SIS wird verschlüsselt im sogenannten SISNET abgewickelt. An das SISNET ist die jeweilige nationale SIRENE-Kontaktstelle angeschlossen, die im Falle Deutschlands beim Bundeskriminalamt angesiedelt ist. Das SISNET wird von der Firma Orange Service Business verwaltet, die darüber Zugriff auf unverschlüsselte Personen- und Sachdaten hat. Das Datenleck soll jetzt gestopft werden, in einer Untersuchung werden Maßnahmen zum Datenschutz erwogen.

Zwei in letzter Zeit durchgeführte Testläufe ("Meilenstein-Tests") des neuen SIS II haben weitere gravierende technische Mängel aufgezeigt und die österreichische und deutsche Delegation zu einem kritischen Papier bewogen. Laut Bundesregierung wurden "mangelnde Stabilität, mangelnde Performanz, erratisches Verhalten, Fehleranfälligkeit" festgestellt, für die das ausführende Konsortium der österreichischen Firma Steria und dem deutschen Partner Mummert sowie der IT-Multi HP verantwortlich sein soll. Neben Managementfehlern habe der Vertragsnehmer "offensichtlich Probleme, die von ihm ausgewählten technischen Produkte zu beherrschen (z.B.: Datenbank Oracle, Middleware Bea Weblogic").

Deutschland und Österreich hatten auf die Tests bestanden, "um technisch objektiv nachzuweisen, ob der technische Ansatz des zentralen Projekts trägt und ob das System stabil, zuverlässig und performant arbeitet". Sollten zuvor definierte "K.O.-Kriterien" auftreten, hätte dies nach Willen der beiden deutschsprachigen Länder die Einstellung der Entwicklung des SIS II zur Folge haben sollen. Aus ihrer Sicht wurden unter anderem die Einhaltung der Antwortzeiten für Suchanfragen überschritten, obgleich die Datenbank nur in einer kleinen Testumgebung zu funktionieren hatte. Trotzdem wurden die Tests von den Mitgliedsstaaten per Abstimmung im Mehrheitsverfahren gegen den Widerstand von Deutschland, Frankreich und Österreich kurzerhand als "zufriedenstellend" erklärt.

Zur späteren endgültigen Datenmigration hat die EU mit der SIS II-Verordnung und einem Sicherheitsplan eigens neue Rechtsakte erlassen, um legislative Unsicherheiten aufzulösen. Hier muss womöglich nachgebessert werden: Unklar ist etwa der rechtliche Status, wenn bei einem Mitgliedsstaat nach einem Upgrade auf das SIS II technische Probleme auftauchen und diese auf das alte System zurückschalten müssten, wodurch sie nicht mehr am gemeinsamen SIS II teilnehmen könnten. Zu regeln wäre, ob der betreffende Mitgliedsstaat für den Ausfall Folgen wegen Nichteinhaltung von Verträgen zu befürchten hätte.