Seite 4: Alle Daten unter einem Dach?

Inhaltsverzeichnis

Die Regierung versucht sich mit dieser vorsichtigen Beschreibung vor allem von VeRA abzugrenzen. Diese "verfahrensübergreifende Recherche- und Analyseplattform" der bayerischen Polizei basiert – wie HessenData und das immer kostspieliger werdende System zur datenbankübergreifenden Analyse und Auswertung (DAR) der Polizei Nordrhein-Westfalen – auf Gotham von Palantir. Der Beschaffung durch Bayern ging eine umstrittene Ausschreibung voraus, die auf das Big-Data-Unternehmen mit Kontakten etwa zu US-Geheimdiensten zugeschnitten war.

Entscheidend bei VeRA ist, dass der Freistaat dabei – vertreten durch das bayerische Landeskriminalamt (LKA) – als "Primärauftraggeber" auftritt. Er hat als alleiniger Vertragspartner mit dem Auftragnehmer eine Rahmenvereinbarung für den Einsatz von Gotham abgeschlossen, der sich die Polizeibehörden der Länder und des Bundes einfach anschließen können. Das federführende LKA habe im Rahmen des Vergabeverfahrens bereits den Bedarf bei den Ländern abgefragt, führt das BMI dazu aus. Die Prüfung der Nutzung von VeRA als eine gemeinsame Plattform für die Teilnehmer von P20 dauere indes an. Insofern sei bislang auch nicht über die Anbindung von Dateien an VeRA entschieden worden.

Brückner bezeichnet Gotham beziehungsweise die von Bayern beschaffte Variante als "die gefährlichste Entwicklung in der IT der Sicherheitsbehörden seit 75 Jahren". Der Ansatz laufe darauf hinaus, über die bestehenden polizeilichen Informationssysteme ein Dach zu spannen. VeRA sei in der Lage, daraus bei Bedarf Daten abzufragen beziehungsweise für Analysen und Auswertungen abzugreifen und in einem Auswertesystem zu konsolidieren. Das sei zunächst legitim.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden Umfrage jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Das Besondere an VeRA sei aber, dass es externe, teils unstrukturierte Daten einbeziehen und einen Abgleich damit ermöglichen solle, schlägt Brückner Alarm. Das sei ein unbestimmter und dehnbarer Begriff, unter den etwa die großen Datenbanken von Unternehmen wie Autoherstellern, Social-Media-Betreibern oder Telekommunikationsdienstleistern fielen. Auch Informationen etwa der Finanzämter, der Bundesanstalt für Arbeit, von Banken, Krankenkassen und Versicherungen oder den Beitragskonten der öffentlich-rechtlichen Sender könnten einbezogen werden.

Dabei handle es sich um Daten, die der Polizei bislang "nur im begründeten Einzelfall und in vielen Fällen nur nach entsprechender richterlicher oder staatsanwaltschaftlicher Genehmigung zur Verfügung standen", gibt die Fachfrau zu bedenken. So liege der Verdacht nahe, dass Polizei und andere Sicherheitsbehörden "mit einem zentralen Beobachtungs- und Überwachungsmonitor für jedermann ausgestattet werden sollen".

"Einfach machen" – rechtliche Bedingungen kommen später

Mit dem jüngsten einschlägigen Urteil des Bundesverfassungsgerichts zu HessenData & Co. stehen die Karten für VeRA eher schlecht. Mitte Januar hatte Bayerns Innenminister Joachim Herrmann (CSU) angekündigt, erst nach dem Karlsruher Urteil eine Rechtsgrundlage im bayerischen Polizeigesetz für den Gotham-Einsatz zu schaffen. Eine beim Fraunhofer-Institut für sichere Informationstechnologie (SIT) in Auftrag gegebene Studie, die das Risiko von Datenabflüssen aus VeRA abschätzen sollte, gab laut dem LKA zunächst Entwarnung. Die Bundesregierung versichert trotzdem vorsorglich: "Eine zentrale Nutzung von VeRA erfolgt derzeit nicht (auch nicht durch das BKA oder die Bundespolizei)".

"Dass in absehbarer Zeit die Innenbehörden ein rechtlich sauberes und polizeilich nutzbringendes System der länderübergreifenden Datenhaltung einrichten, ist nicht sicher", kommentiert Martina Renner, Obfrau der Linken im Innenausschuss des Bundestags, die Einlassungen der Bundesregierung gegenüber heise online. Die noch immer laufende Prüfung der Nutzbarkeit von VeRA erinnere sie an die Vorgehensweise des Bundesnachrichtendiensts (BND), die während des NSA-Untersuchungsausschusses bekannt wurde: "einfach machen und die rechtlichen Bedingungen später den Einsatzmöglichkeiten anpassen."

"Eine unendliche Geschichte"

Positiv wertet Renner, dass die Regierung endlich eingeräumt habe, dass "längst zu löschende Datensätze" von Sicherheitsbehörden wie dem Zoll entfernt würden. Wie künftig sichergestellt werde, dass Informationen "kein Zombiedasein mehr im Datenhaus der Polizei fristen, bleibt aber wie vieles andere vage". Sie halte nichts davon, wenn Polizei und Geheimdienste ihre rechtlichen Grenzen selbst festlegen: "Hier muss die Koalition endlich eine klare Linie finden und der Regierung gesetzliche Vorgaben machen." Bereits vor Kurzem hatte sich die Linke gewundert, dass die Exekutive gar nicht erklären könne, "wo der Unterschied von PIAV und VeRA liegt". Es sei überfällig, dem Palantir eine Absage zu erteilen, da mit PIAV schon ein System zur übergreifenden Recherche in Datenbanken bereitstehe: "Allerdings ist das PIAV eine vor allem unendliche Geschichte."

Sehr skeptisch beäugen auch Rechtswissenschaftler die Entwicklung: Generell handle es sich bei Informationssystemen wie Inpol oder PIAV um eine "Datenbevorratung" für künftige, noch nicht absehbare Fälle, legt der Mainzer Staatsrechtler Matthias Bäcker dar. Diese würden dann teils in neue polizeiliche Verfahren überführt, was die Frage der Zweckbindung aufwerfe. Besonders heikel werde es, sobald die gespeicherten Informationen maschinell ausgewertet werden sollten. Sehr strenge, bestenfalls bereits gesetzlich festgeschriebene Anforderungen wären erforderlich, wenn Ermittler mithilfe von KI "über riesige Datenbestände drüberfahren" dürften, "um irgendwelche Korrelationen zu entdecken".

(tiw)