Seite 2: In den Ländern gelten weitere Gesetze

Inhaltsverzeichnis

In Sachsen-Anhalt zum Beispiel gilt ein Runderlass des MI von 2013: Es wird protokolliert, wer wann welche personenbezogenen Daten in polizeilichen automatisierten Verfahren verarbeitet oder genutzt hat (Revisionsfähigkeit), sprich: Datum und Uhrzeit (von – bis), Terminal- und Benutzerkennung, Art des Dialogs und eingegebene, abgefragte und gelöschte Daten.

In Bremen ist eingabe- und abfrageberechtigt, wer mit den Ermittlungen beauftragt ist. Dies gilt für die Bediensteten der Polizei Bremen und der Ortspolizeibehörde Bremerhaven und betrifft ihre Abfragen bei INPOL sowie die Eingaben und Abfragen bei VBS @rtus und FBS PIER. INPOL, VBS @rtus und FBS PIER protokollieren den Zugriff systemseitig und speichern ihn 12 (FBS PIER) bzw. 24 (INPOL, VBS @rtus) Monate lang in der jeweiligen Datenbank; Zugriff auf diese Protokolldaten hat jeweils der behördliche Datenschutzbeauftragte.

Auch in Nordrhein-Westfalen wird die Protokollierung der Zugriffe jeweils in den Anwendungen geregelt, die Aufbewahrungszeiten der Protokolldateien sind unterschiedlich und auch abhängig von den jeweiligen Verfahren und ihren Datenspezifika. Maßstab ist insbesondere das Datenschutzgesetz NRW. Bei Verbundanwendungen mit anderen Bundesländern oder dem BKA gelten die jeweiligen Errichtungsanordnungen oder Verfahrensverzeichnisvorschriften.

In Rheinland-Pfalz sind die Zugangsberechtigungen auf POLADIS, KLAUS, GeopolisK, sowie zu POLIS in Generalerrichtungsanordnungen (GEA) geregelt, so die Pressestelle: Der Zugriff auf die Daten wird für 12 Monate protokolliert. Der Zugriff auf die Protokolldatei ist nur unter den Voraussetzungen des § 64 Abs. 3 LDSG zulässig. Solch ein Zugriff zur Sicherstellung eines ordnungsgemäßen Betriebs ist beschränkt auf Einzelpersonen des Polizeipräsidiums Einsatz, Logistik und Technik und den örtlich zuständigen Behördlichen Datenschutzbeauftragten. Ein Zugriff zur Datenschutzkontrolle durch die behördlichen Datenschutzbeauftragten ist mit Genehmigung des Ministeriums des Innern und für Sport möglich, sowie durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Auch der Zugriff auf KRISTAL ist in einer GEA geregelt, Zugriff haben spezialisierte Sachbearbeiter der Polizeipräsidien und des Landeskriminalamtes, wenn sie diese Daten für Auswertungen von Ermittlungs- und Strukturverfahren für die Verbrechensbekämpfung benötigen.

In Baden-Württemberg erfolgt laut Pressestelle in allen Systemen eine 100 Prozent-Protokollierung zur Datenschutzkontrolle, Datensicherheit, Sicherstellung eines ordnungsgemäßen Betriebs der Datenverarbeitungsanlage, wenn dies zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person erforderlich ist und wenn Anhaltspunkte dafür vorliegen, dass ohne ihre Verarbeitung die vorbeugende Bekämpfung oder Verfolgung von Straftaten mit erheblicher Bedeutung (§ 22 Absatz 5 PolG BW) aussichtslos oder wesentlich erschwert wäre. Die Protokolldaten werden für 12 Monate gespeichert und danach automatisiert gelöscht, es sei denn, es liegt zu diesem Zeitpunkt ein Antrag auf Auswertung vor. Ausgewertet werden die Protokolldaten nur auf Antrag des zuständigen Dienststellenleiters oder seines Vertreters im Amt. Der behördliche Datenschutzbeauftragte prüft den Antrag und entscheidet darüber, bei einem positiven Bescheid wertet der Datenbankadministrator die Protokolldaten aus.

Zugriffskontrolle und -protokollierung

In Berlin sind die gesetzlichen Vorgaben: Strafprozessordnung und Allgemeine Sicherheits- und Ordnungsgesetz des Landes Berlin (ASOG Bln), in Kombination mit der Verordnung über Prüffristen bei polizeilicher Datenspeicherung. Petra Löffler: "Daraus resultierend gibt es für Poliks mehrere Errichtungsanordnungen, wo auch noch einmal ganz klar vorgegeben wird, wie lange welche Daten aufbewahrt werden dürfen."

In Berlin ist ein fünfstufiges Lesestufenkonzept eingerichtet. Das reicht von der Sicht auf Grunddaten – Name des Vorganges und Bearbeiter – bis zur Sicht auf den einzelnen Vorgang und die darin enthaltenen personenbezogenen Daten. Die Anzahl der Nutzer pro Abstufung ist nicht festgelegt: Jeder der insgesamt 16.000 Nutzer hat individuelle Rechte, die für einen Vorgang jeweils errechnet werden. Dies sind also jeweils arbeitsbezogene Berechtigungen, und wenn jemand Dienststelle oder Deliktbereich wechselt, dann werden seine Berechtigungen seinem neuen Aufgabenbereich angepasst. Dies alles funktioniert automatisiert, erklärt Petra Löffler: "Sie rufen den Vorgang auf und direkt beim Aufrufen wird das Lesestufenkonzept berechnet. Dann öffnet sich der Vorgang gleich in entsprechender Form." Achim Walther, der Referatsleiter von SE IKT C ergänzt: "Das geht sogar so weit, dass man beim Start von Poliks nur die Module sieht, zu denen man berechtigt ist. Es gibt Kollegen, die gar nicht wissen, wie viele Module Poliks hat, weil sie damit nichts zu tun haben."

Datenauswertung per Knopfdruck

Das Berliner Poliks hat eine weitere Besonderheit gegenüber den VBS anderer Bundesländer: Es hält eine ganze Reihe Pflichtfelder vor, die man ausfüllen muss, sonst kommt man nicht weiter in der Bearbeitung. "Eine zwiespältige Geschichte", sagt Oliver Knecht, "einerseits gibt es die Kollegen, die zum Teil nachts um drei irgendwo sitzen und mit dem System arbeiten. Andererseits gibt es die Kollegen, die Rede und Antwort stehen müssen, zum Beispiel im Sicherheitsausschuss im Abgeordnetenhaus." Und das ist nicht alles: "Außerdem sind bestimmte statistische Fragestellungen entstanden, die deutlich über die reine Bearbeitung der Kriminalität hinausgehen, also wie viele Morde, Raubtaten, Vergewaltigungen es gab. Jetzt wird auch gefragt, wie viele Jugendliche, Opfer, Täter betroffen waren, wie oft eine Waffe, ein Messer benutzt wurde, oder welche Tatmodalitäten eine Rolle spielten." Der Punkt ist: "Dadurch, dass wir dieses technische Instrument eines Data Warehouse haben, können wir diese Dinge sofort abbilden, sobald sie in Poliks und in der PKS tatsächlich erfasst werden. Andere Länder können das nicht, jedenfalls nicht so schnell und genau und verlässlich."

Wie läuft das ab? Petra Löffler: "Der Polizist bearbeitet seinen Vorgang einer Straftat im VBS Poliks. Wenn er fertig ist, dann schließt er den Vorgang ab. Und damit werden alle PKS-relevanten Daten in einen Bereich innerhalb von Poliks eingespeichert, einem Poliks-Plug-in namens PKS. In diesem Plug-in befinden sich jetzt nur diejenigen Teile des eigentlichen Vorgangs, die PKS-relevant sind. Dazu gehören das Delikt, die Anzahl der Tatverdächtigen oder das Alter des Geschädigten: Das, was die PKS braucht. Und auf Basis dieser Daten wird dann das Data Warehouse berechnet. Diese Daten werden täglich in das Data Warehouse exportiert, so dass die statistischen Daten dort auf Knopfdruck aufbereitet werden können." Achim Walther ergänzt: "Das Data Warehouse ersetzt das händische Auszählen einzelner Straftaten, die jeweils für die PKS abgefragt werden. Poliks gibt das ins Data Warehouse und generiert daraus die Antworten, die vorher mal im Data Warehouse sozusagen hinterlegt wurden."

Das hilft der Polizei in der öffentlichen Wahrnehmung. Oliver Knecht: "Denn diese Zahl, wie oft zum Beispiel ein Messer benutzt wurde, steht im Grunddatenbestand von Poliks, und da ziehen wir sie uns raus. Das ist ein Luxus, an den sich viele gewöhnt haben, der aber nicht im bundesweiten Vergleich die Regel ist." Für die Berliner ist das hilfreich: "Weil, das muss man auch ganz klar sagen, wir werden hinterfragt. Behördenleitung, Politik: Die Innenverwaltung muss Rede und Antwort stehen. Und es kommt nicht gut an, wenn im Rahmen verschiedener Anfragen möglicherweise unterschiedliche Zahlen dargestellt werden. Es muss eine verbindliche Zahl geliefert werden, damit nicht der Eindruck entsteht, dass die Polizei im Grunde ihre eigene Arbeit oder ihre Ergebnisse nicht richtig darstellen kann. Aber das haben wir mit Poliks und durch die Verarbeitung der dort gespeicherten Daten im Augenblick ganz gut erreicht." Früher war das anders, wenn etwa im Rahmen der Demonstrationen am 1. Mai nach Festnahmen, Verhaftungen etc. gefragt wurde, was bei Behörden unterschiedliche Dinge sind, für Journalisten und Zeitungsleser jedoch nicht unbedingt.

Um auf die Drohungen gegen die Anwältin Seda Başay-Yıldız zurückzukommen: Ein Polizist wurde im Rahmen der Ermittlungen festgenommen und am selben Tag wieder freigelassen, da keine Haftgründe vorlagen und ein dringender Tatverdacht nicht nachgewiesen werden konnte. Aber es wird weiter ermittelt. Die Protokollierung von Zugriffen ist scheinbar auch zu umgehen.

Datensätze – was steht drin

Ein Beispiel: Seit den Morgenstunden des 18. Februar 2019 wird Rebecca Reusch vermisst. Die Polizei geht inzwischen davon aus, dass sie getötet wurde, hat aber bislang weder einen Mörder noch eine Leiche gefunden. Im Rahmen der Ermittlungen veröffentlichte sie einen Zeugenaufruf nach einem Auto. Nur ein damals Tatverdächtiger hatte darauf Zugriff, und sein Kennzeichen wurde in Brandenburg vom mobilen Kennzeichenerfassungssystem "KESY" erfasst. Es wurde außerdem gespeichert und konnte von der Brandenburger Polizei nachträglich abgerufen werden.

Im Allgemeinen gibt es gesetzliche Grundlagen für die Erhebung, Speicherung und Löschung von Datensätzen, unter anderem StPO, das BKAG, die Polizeigesetze der Länder, Errichtungsanordnungen etc. Beim BKA unterliegt die Einhaltung der rechtlichen Vorgaben einer Kontrolle, unter anderem des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Beim BKA lagern sehr viele Datensätze, in der INPOL-Personenfahndungsdatei waren am 1. April 2019 genau 305.215 Ausschreibungen zur Festnahme und 394.786 Ausschreibungen zur Aufenthaltsermittlung registriert; in der Sachfahndungsdatei etwa 16.000.000 Gegenstände, die wegen eines möglichen Zusammenhangs mit Straftaten gesucht werden. Die Dauer ihrer Speicherung hängt von der Gesetzeslage ab; es können bis zu zehn Jahre sein.

Für so genannte "Kriminalpolizeiliche personenbezogene Sammlungen" (KpS) geben unter anderem das BKAG, die STPO und die Polizeigesetze der Länder Richtlinien vor. So etwa wird in Bremen dem Bremer Polizeigesetz (BremPolG), entsprechend im VBS @rtus gespeichert, die Speicherung bei INPOL und dem FBS PIER richtet sich außerdem nach der STPO und dem BKAG. Mit Stand 25. Februar 2019 waren im VBS @rtus im Modul "elektronische Kriminalakte" (eKA) 42.406 Personendatensätze gespeichert, und in INPOL mit Stand 22. Februar 2019 waren 46.582 Bremer personen- und 260.676 Sachdatensätze gespeichert. Im FBS PIER Stand 25. Februar 2019 waren 55.195 Bremer Personen- und 91.207 Bremer Sachdatensätze gespeichert.