Missing Link: Digitale, vernetzte Polizei - Stand der Dinge, Kosten, Datenschutz
Die Zielarchitektur der "Polizei 2020" soll 2030 erreicht werden. Kurz vor der Halbzeit daher ein Blick darauf, wie es um die Digitalisierung der Polizei steht.
(Bild: Den Rise/Shutterstock)
"Polizei 2020" – "Polizei 2030?" - etwas Unkerei konnten wir uns nicht verhehlen, als wir vor etwa drei Jahren über das Programm "Polizei 2020" berichteten, mit dem die polizeiliche IT-Architektur harmonisiert und modernisiert werden sollte. Immerhin, die pessimistische Prognose ging auf einen Mitarbeiter der Polizei zurück. Und was soll man sagen: Inzwischen heißt es auch ganz offiziell, dass die "Zielarchitektur" im Jahr 2030 erreicht werden soll.
Von 2016 bis 2030: Jetzt stehen wir also kurz vor der Halbzeit und fragen, wie es aussieht: Wie ist der Stand der Dinge, was kostet das Ganze, und wie steht es eigentlich mit dem Datenschutz?
Rückblick
Zur Erinnerung: Im November 2016 verständigten sich die Innenminister des Bundes und der Länder auf die sogenannte Saarbrücker Agenda zur Modernisierung und Vereinheitlichung der polizeilichen IT-Architektur. Dafür schuf das Bundesministerium des Innern, für Bau und Heimat (BMI, inzwischen: Bundesministerium des Innern und für Heimat) das Programm "Polizei 2020". Im Januar 2018 veröffentlichte das BMI ein "Whitepaper" zum Programm und legte auf 31 Seiten Situation, Ziele, Nutzen und Risiken dar. Es sah als strategisch-politische Steuerungs- sowie oberste Eskalationsinstanz des Programms einen Bund-Länder-Lenkungsausschuss (BLLA) unter Vorsitz der Leitungsebene des BMI vor, Programmleitung und Gesamtprojektleitung sollten beim BKA liegen.
Im Juli 2019 wurde mit Holger Gadorosi ein externer Berater engagiert. Im Dezember 2019 verständigten sich die Innenminister und -senatoren von Bund und Ländern im Rahmen einer Verwaltungsvereinbarung auf die Einrichtung eines Polizei-IT-Fonds. Dieser Fonds ist Teil der Finanzierung des Programms durch Bund und Länder. Er hat einen Verwaltungsrat, der den BLLA ablöste und nun das zentrale strategische Entscheidungsgremium im Programm ist. Der Verwaltungsrat setzt sich zusammen aus Vertretern von Bund und Ländern und steht unter Vorsitz der Abteilungsleitungsebene des BMI.
Im Frühjahr 2021 beschloss er, ein schrittweises Programmvorgehen zu etablieren. Im Herbst 2021 wurde die Gesamtprogrammsteuerung des Programms vom BKA zum BMI verlagert und dabei wurde auch die Organisationsstruktur des Programms geändert. Bis Mitte 2023 sollen einheitliche Systeme der polizeilichen Sachbearbeitung bereitgestellt und ein zentrales Datenhaus begonnen werden. Nach und nach soll auf die neuen zentralen Systeme umgestellt werden, bis zur "Zielarchitektur" im Jahr 2030.
Alle deutschen Polizeien sind beteiligt
Am Programm beteiligt sind alle 20 deutschen Polizeien: Bundespolizei (BPOL), Bundeskriminalamt (BKA), Polizei beim Deutschen Bundestag, Zollkriminalamt und die 16 Landespolizeien. Diese 20 Teilnehmer nutzten 400 einzelne Systeme und zum Programm gehören die Umstellung alter und die Schaffung neuer Systeme, und natürlich die Einarbeitung der Polizisten. Inzwischen, so BKA-Präsident Holger Münch im Herbst 2021, werden im Gesamtprogramm 31 Projekte zeitgleich bearbeitet, 15 davon unter der Federführung des BKA und acht unter seiner aktiven Beteiligung.
In der Hauptsache wird das jetzt schon gemeinsam genutzte Verbundsystem Informationssystem Polizei (Inpol) modernisiert. Inpol enthält vor allem Personen- und Sachfahndungsdateien. Die hier hinterlegten Daten stehen allen angeschlossenen Behörden zur Verfügung, nämlich BKA, BPOL, Landespolizeidienststellen und Zollbehörden. Die Modernisierung von Inpol ist noch nicht abgeschlossen, sie "ist Teil des Programms P20 und wird vor dem Hintergrund der Verbundsysteme insgesamt betrachtet und geht im Zielbild 2030 auf", so eine Sprecherin des BMI. So sei Inpol-Fall aktuell noch in Betrieb und umfasse insbesondere diejenigen Deliktsbereiche, deren Umsetzung in PIAV-Operativ noch aussteht.
Das "Herzstück" des Programms
Darüber hinaus entstehen der Polizeiliche Informations- und Analyseverbund (PIAV). PIAV ist das "Herzstück" des Programms. Früher übermittelten die Polizisten ihre Informationen manuell und manchmal mehrfach. Mit PIAV sollen Informationen nur noch einmal eingegeben werden müssen und dann mehrfach genutzt werden können. Dafür erhalten Teilnehmersysteme eine Schnittstelle zum PIAV-Zentralsystem und die Informationen werden automatisiert bereitgestellt. Alle Polizeien können diese Informationen grundsätzlich abfragen.
PIAV besteht aus zwei Komponenten, PIAV Operativ und PIAV Strategisch. Bei PIAV Operativ befinden sich laut BMI folgende Dateien im Wirkbetrieb: "Gewaltdelikte/Gemeingefährliche Straftaten" (eingeschlossen Waffen- und Sprengstoffkriminalität), "Rauschgiftkriminalität", "Eigentumskriminalität/Vermögensdelikte", "Cybercrime", "Dokumentenkriminalität", "Sexualdelikte" und "Schleusung/Menschenhandel/Ausbeutung". PIAV Strategisch ist, wie vorgesehen, am 1. Juli 2021 in den Wirkbetrieb gestartet. Die Teilnehmer liefern Daten, aber weil das System noch nicht flächendeckend ausgerollt ist, wird es noch nicht in vollem Umfang genutzt.
Aus "Polizei 2020" wurde "Programm P20"
Der dritte Hauptteil ist eFBS. Der Bund hatte angeboten, die Fallbearbeitungssysteme von BKA und BPOL zu vereinheitlichen. Das neue System sollte von den Ländern als PIAV-Zulieferungssystem genutzt werden können. Dieses Projekt wurde im Januar 2017 gestartet und ist seit Mitte 2020 im Wirkbetrieb. Es wird von BKA und BPOL genutzt, außerdem von den Landespolizeien Hamburg, Bremen, Berlin, Brandenburg, Baden-Württemberg und Hessen. Ein Projekt eFBS 1.0 ist abgeschlossen und nun läuft das Folgeprojekt eFBS 1.5.x. Das soll weitere Polizeibehörden aufnehmen und das Ganze fachlich und technisch verbessern.
Interessant ist die Teilnahme von Berlin und Bremen – zunächst einmal war eFBS nämlich bloß für die so genannte "CRIMe-Kooperation" vorgesehen, also BKA, BPOL und die Länderpolizeien von Hamburg, Hessen, Baden-Württemberg und Brandenburg, die gemeinsam ein anderes Fallbearbeitungssystem benutzten und zusammen auf eFBS umsteigen wollen. Und ... es wurde der Name des Programms modernisiert: Aus "Polizei 2020" wurde "Programm P20" (P20).
Was kostet das Ganze eigentlich?
Bis Ende April 2022 wurden laut BMI insgesamt 170 Millionen Euro ausgegeben für gemeinsam aus dem Polizei-IT-Fonds finanzierte Maßnahmen von P20 (ab Einrichtung des Polizei-IT-Fonds im Jahr 2020) sowie Maßnahmen des Zentralprogramms (ab 2018) und des Teilnehmerprogramms beim Bundeskriminalamt (ab 2018).
Die weiteren jährlichen Kosten für das Zentralprogramm schätzt man unter Berücksichtigung der mittelfristigen Finanzplanung bis 2026 auf 160 Millionen Euro, die jährlichen Kosten für den Polizei-IT-Fonds auf 75 Millionen. Allerdings, so die Sprecherin, würden die einzelnen Ausgaben der Teilnehmerprogramme zur Umsetzung der Programmvorgaben nicht zentral erfasst oder erhoben: "Demnach ist auch eine Prognose zu den Gesamtausgaben bis zum Abschluss von P20 nicht vollumfänglich möglich."
Die Gretchenfrage: Wie steht es mit dem Datenschutz?
Datenschutz muss in so unterschiedlichen Sphären wie Technik und Recht erfüllt werden, dazu kommt bei P20 die Zusammenarbeit mit unterschiedlichen Behörden auch aus dem Ausland. Im Whitepaper erscheint das Wort "Datenschutz" allein oder als Kompositum (z.B. "datenschutzrechtlich") 15 Mal – wie sieht es das BMI viereinhalb Jahre später, und was sagen Datenschützer?
Laut der Sprecherin des BMI stellen datenschutzrechtliche Fragestellungen "einen zentralen Aspekt und Ausgangspunkt des Programms dar". Laut Whitepaper soll der Datenschutz "durch Technik gestärkt" werden. Dabei, so die Sprecherin, sei die technische Modernisierung der Sachbearbeitungs- und Verbundsysteme für sich betrachtet "schon ein wichtiger Baustein zur besseren Umsetzung datenschutzrechtlicher Anforderungen. So können in modernen Systemen etwa Vorgaben zur Kennzeichnung und Protokollierung wesentlich besser umgesetzt werden."
"Datenschutz durch Technik" – Datenschützer sind skeptisch
Datenschützer sind da etwas skeptisch, so etwa Christof Stein, Sprecher des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein: In welcher Form der Datenschutz durch Technik konkret gestärkt werden soll, wissen nämlich beide noch nicht. Stein: "Das im Jahr 2016 neu gefasste Bundeskriminalamtgesetz sieht in dieser Hinsicht Verbesserungen vor. So müssen zum Beispiel die Protokolldaten den Datenschutzbehörden in auswertbarer Form vorliegen. Das darf aber nicht über die [...] rechtlichen Herausforderungen hinwegtäuschen. Diese umzusetzen, wird dann sicherlich auch technisch nicht einfach."
Daher habe der BfDI seit Beginn des Projekts P 20 immer wieder "gefordert, dass zunächst die rechtlichen Grenzen und Möglichkeiten definiert werden müssen, bevor das System als Ganzes und einzelne Teilprojekte in den Wirkbetrieb gehen." Eine Lösung könnte darin bestehen, speziell für den Datenschutz entwickelte Module in das Projekt zu implementieren, die auch Kontroll- und Zugriffsrechte der Datenschutzaufsichtsbehörden umfassen.
Selbstkontrolle durch Polizeibehörden – vorerst
Steins Kollegin Marit Hansen betont, dass der Verantwortliche seiner Rechenschaftspflicht nachkommen und in der Lage sein müsse, die Einhaltung der datenschutzrechtlichen Vorgaben nachzuweisen. Die in den Behörden benannten Datenschutzbeauftragten müssten die Möglichkeit haben, dort zu prüfen. Dann wäre "Datenschutz durch Technikgestaltung" eine gute Unterstützung der Kontrollen der Datenschutzaufsicht. Für Kontrollen selbst aber reichten die Ressourcen der Datenschützer kaum aus. Kontrolliert werden solle die Umsetzung der Vorgaben durch eine rechtliche Begleitung von Anfang an, so die Sprecherin des BMI, "insbesondere die rechtlichen Fragen zur Bund-Länder-übergreifenden Datenhaltung beziehungsweise dem Bund-Länder-übergreifenden Datenaustausch".
Wichtige Elemente des Programms seien dabei die Festlegung des Zugriffs auf Daten und Systeme über Rollen- und Berechtigungskonzepte, die Prüfung rechtlicher Vorgaben zur Mandantentrennung im Kontext der Bund-Länder-übergreifenden Datenhaltung, die technische Umsetzung der gesetzlichen Vorgaben zur zweckändernden Weiterverarbeitung von Daten, speziell der hypothetischen Datenneuerhebung, in den Programmsystemen und schließlich die deutliche Verbesserung der Kontrolle der Einhaltung datenschutzrechtlicher Normen "mittels einer (noch zu konkretisierenden) eigenen Funktionalität 'Datenschutz by Design'". Dabei obliege die Kontrolle datenschutzrechtlicher Vorgaben zunächst den verantwortlichen Polizeibehörden und darüber hinaus den Datenschutzaufsichtsbehörden des Bundes und der Länder.
Ob das funktioniert, wenn die Polizeibehörden sich – wenn auch nur "zunächst" - selber kontrollieren? Diese Frage gilt im besonderen Maße für das BKA; laut Whitepaper soll diese Behörde "in seiner Zentralstellenfunktion [...] als starker zentraler und serviceorientierter Dienstleister eine unterstützende Rolle für alle weiteren Polizeien in Deutschland einnehmen." Wer kontrolliert das BKA bei dieser Aufgabe? Das BMI, so seine Sprecherin: "Das BMI führt die Fachaufsicht über das BKA und stellt somit das recht- und zweckmäßige Verwaltungshandeln des BKA bei der Erfüllung seiner Aufgaben sicher." Zusätzlich obliegt die Datenschutzkontrolle dem BfDI.
Welche Daten dürfen getauscht werden?
Es geht beim Datenschutz aber nicht nur um die technische Umsetzung rechtlicher Vorgaben beziehungsweise deren Kontrolle. P20 zielt schließlich auf Datenaustausch. Wie also wird geregelt, welche Daten getauscht werden dürfen? Laut Whitepaper wird der "Zugriff [...] über ein dynamisches und modernes Zugriffsmanagement geregelt. Dabei stehen die verbundrelevanten Informationen allen Teilnehmern zur Verfügung. Die Verantwortung für die Daten verbleibt beim Datenbesitzer. Auf die landeseigenen, nicht verbundrelevanten Daten hat ausschließlich der berechtigte Datenbesitzer Zugriff (Mandantenfähigkeit des Systems).
"Verbundrelevanz wird in § 30 des Bundeskriminalamtsgesetzes (BKAG) geregelt: Da geht es vor allem um Straftaten "mit länderübergreifender, internationaler oder erheblicher Bedeutung". "'Landeseigen'", so die Sprecherin des BMI, "sind alle von den Landespolizeien erhobenen Daten; eine Teilmenge der landeseigenen Daten ist zudem auch verbundrelevant, selbst mit festgestellter Verbundrelevanz bleiben die Daten weiterhin landeseigen."
Das Problem mit der Verbundrelevanz
"Für die Daten im Verbundsystem sei gemäß § 29 Abs. 5 BKAG immer die eingebende Behörde verantwortlich, was Veränderung, Berichtigung und Löschung betrifft. "Stellt ein Verbundteilnehmer fest, dass Daten bereits gelöscht hätten werden müssen oder unrichtig sind, informiert er die bereitstellende Behörde (ebenso nach dieser Vorschrift). [...] Ob bei einem konkreten Einzeldatum die Definition einschlägig ist, bewertet die eingebende bzw. bereitstellende Stelle."
Und genau da könnte der Hase im Pfeffer liegen: Die Definition ist klar – aber wie sieht es mit der Bewertung beziehungsweise Einordnung der jeweiligen Daten aus? Immerhin: "Die Prüfung [der Verbundrelevanz] muss für jeden Einzelfall erfolgen. Die Aufsichtsbehörden können im Einzelfall tätig werden, wenn zum Beispiel im Rahmen von Prüfungen auffällt, dass die gesetzlichen Voraussetzungen für die Verbundrelevanz nicht vorliegen", so Marit Hansen. Aber dafür müsste eben erst einmal geprüft werden.
Möglichkeiten zur Beratung und Kontrolle
"Das BKA", so eine Sprecherin des BMI, "ist einer von 20 Programmteilnehmern, der wie die übrigen Teilnehmer Programmprojekte initiieren und operativ verantworten kann." Das BMI kontrolliere übergreifend im Rahmen der "ministeriellen Fachaufsicht" das BKA, und die Gesamtprogrammleitung, die inzwischen im BMI liege, nehme "die operative Steuerung und Koordinierung der Programmaktivitäten aller Teilnehmer (inklusive BKA)" wahr.
Die Datenschutzaufsichtsbehörden des Bundes und der Länder, so BfDI-Sprecher Stein, seien nicht im BLLA vertreten gewesen. Sie würden aber "als AG Inpol der DSK [Arbeitsgemeinschaft der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder] über die Kerngruppe Datenschutz, die im BMI angesiedelt ist, beteiligt" und hätten gegenüber dem BKA gesetzlich vorgesehene Möglichkeiten zur Beratung und Kontrolle.
Zusammenarbeit mit ausländischen Polizeibehörden
Und die Anderen? Welche datenschutzrechtlichen Risiken werden bei der Zusammenarbeit mit ausländischen Polizeibehörden bedacht, und wie wird ihnen begegnet? Zwar soll das Programm vor allem die Zusammenarbeit der innerstaatlichen Polizeien stärken. Aber es werden eben auch Daten an öffentliche Stellen anderer Staaten übermittelt. Dabei "sind die datenschutzrechtlichen Vorgaben des Grundgesetzes zu wahren, insbesondere ein hinreichend rechtsstaatlicher Umgang mit Daten im Empfängerstaat. Dies ist durch entsprechende organisatorische und technische Maßnahmen zu gewährleisten", so die Sprecherin des BMI.
"Aus Sicht des BfDI ist das Projekt eine enorm große Herausforderung", so Christof Stein. Vor allem wegen eines so genannten "Datenhauses". "Bereits im Gesetzgebungsverfahren hatte sich der BfDI – auch aus verfassungsrechtlichen Gründen – kritisch dazu geäußert, die bisherige Aufteilung der Systeme in einzelne Dateien aufzugeben und sämtliche Daten in einen 'polizeilichen Dateneintopf' zu geben. Unsere größte Sorge dabei ist, dass die polizeiinternen Zweckbindungen möglicherweise nicht garantiert werden können."
Ziele und Prozesse der Datenverarbeitung
Besonders wichtig ist Stein die Trennung zwischen Zielen und Prozessen der Datenverarbeitung. Polizisten verarbeiten Daten, wenn sie ihren Job machen. Aber was geschieht nach Abschluss einer Ermittlung? Bevorratung dieser Daten zur Vorsorge? "Das ist datenschutzrechtlich sensibel und daher an bestimmte gesetzliche Schwellen geknüpft." Wenn sich jemandes Unschuld herausgestellt hat, oder wenn ein 14-Jähriger einmal was im Laden geklaut hat – die Daten dieser Menschen sollten nicht bundesweit recherchierbar sein.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Stein: "Natürlich muss die Tätigkeit der Polizei auch in diesen Fällen dokumentiert werden. Diese Dokumentation darf aber kein bundesweiter Informationspool sein. Sonst würde die im Beispiel genannte Person stigmatisiert, zu der das Strafverfahren eingestellt beziehungsweise die freigesprochen wurde. Wenn man jetzt aber die Datenbestände – also hier einerseits Aufgabenerfüllung und Dokumentation, anderseits Datenbevorratung – nicht klar voneinander abgrenzt, dann dienen faktisch alle Daten der Bevorratung. Das darf nicht passieren.
"Dies Problem hatte schon bei bisherigen Systemen zu Diskussionen geführt, etwa beim Vorgangsbearbeitungssystem des BKA". Bei einem Datenhaus seien die Probleme vielleicht schwieriger zu lösen, vielleicht aber sei die Technik auch besonders gut und setze eindeutige Zugriffsberechtigungen. "Das muss sich aber erst noch zeigen. Denn ein fachliches Konzept zum Datenhaus liegt dem BfDI noch nicht als Entwurf vor", so Stein.
Risiko Datenübermittlung an ausländische Polizeibehörden
Auch dürfe die Zusammenarbeit mit ausländischen Polizeibehörden nicht dazu führen, dass nationale gesetzliche Vorgaben unterlaufen würden: "Ein Datenaustausch mit ausländischen Polizeibehörden setzt zudem voraus, dass in dem jeweiligen Land ein entsprechendes Schutzniveau besteht."
Seine schleswig-holsteinische Kollegin Marit Hansen ist noch kritischer: "Grundsätzlich besteht bei der Übermittlung von Daten an ausländische Polizeibehörden das Risiko, dass die Daten durch den Empfänger nicht nach den gleichen Standards verarbeitet werden wie in Deutschland. Innerhalb der EU gilt seit 2016 die Richtlinie 2016/680, die genau diese Risiken adressiert und für den Bereich der Strafverfolgung ein gleichwertiges Datenschutzniveau in der EU schaffen soll. [...] Einige EU-Länder, darunter auch Deutschland auf Ebene des Bundes und der Länder, haben die Richtlinie 2016/680 nicht vollständig umgesetzt." Dies betreffe aber nicht speziell den Punkt der Übermittlung.
Und nun?
Im Januar 2018 hatte das BMI das "Whitepaper" zum Programm veröffentlicht. Seitdem ist außer ein paar Pressemitteilungen wenig erschienen. "Wir würden uns die Veröffentlichung eines aktuellen Sachstandes wünschen. Hierdurch würde eine öffentliche Diskussion zum Thema gefördert", so Christof Stein. Vielleicht geht dieser Wunsch bald in Erfüllung: "Angesichts des inzwischen fortgeschrittenen Projektstandes wird das BMI in diesem Jahr der Öffentlichkeit vermehrt Informationen zum Programm P20 zur Verfügung stellen", so die Sprecherin des BMI, "geprüft" würden die Aktualisierung des Whitepapers und die Veröffentlichung weiterer Informationsunterlagen, und im zweiten Halbjahr 2022 würden ein Imagefilm sowie eine Programmbroschüre veröffentlicht. Wir sind gespannt.
(bme)
