Missing Link: Digitale Polizei – eine unendliche Geschichte mit vielen Restarts
<html> <header class=„article-header“><h1 class=„articleheading“>Missing Link: Digitale Polizei – eine unendliche Geschichte mit vielen Restarts</h1><div class=„publish-info“> Stefan Krempl</div></header><figure class=„aufmacherbild“><img src=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/2/4/3/2/6/4/shutterstock_1400970128-9705918860654bdb.jpeg“ srcset=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/2/4/3/2/6/4/shutterstock_1400970128-9705918860654bdb.jpeg 700w, https://heise.cloudimg.io/width/1050/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/2/4/3/2/6/4/shutterstock_1400970128-9705918860654bdb.jpeg 1050w, https://heise.cloudimg.io/width/1500/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/2/4/3/2/6/4/shutterstock_1400970128-9705918860654bdb.jpeg 1500w, https://heise.cloudimg.io/width/2300/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/2/4/3/2/6/4/shutterstock_1400970128-9705918860654bdb.jpeg 2300w“ alt=„“ class=„img-responsive“ referrerpolicy=„no-referrer“ /><figcaption class=„akwa-caption“>(Bild: Shutterstock/Cristian Dina)</figcaption></figure><p><strong>Schon seit sechseinhalb Jahren zimmern Bund und Länder am Polizei-Datenhaus P20. Doch schon das Fundament steht auf technisch und rechtlich tönernem Grund.</strong></p><p>Im November 2016 verständigten sich die Innenminister von Bund und Ländern auf die „Saarbrücker Agenda“ zur Modernisierung, Digitalisierung und Vereinheitlichung der polizeilichen IT-Architektur. Das Bundesinnenministerium (BMI) stellte das anspruchsvolle Programm optimistisch unter den Titel „Polizei 2020“. Schon bald war federführenden Beteiligten aber klar, dass sich die Arbeiten an dem <a href=„https://www.heise.de/news/Missing-Link-Polizei-2020-Polizei-2030-4504042.html“><strong>geplanten einheitlichen Datenhaus für Ermittler und Fahnder [1]</strong></a> mindestens bis 2030 hinziehen dürften.</p><h3 class=„subheading“ id=„navdatenseen_mit0“>„Datenseen“ mit Zuflüssen aus allen erdenklichen Quellen</h3><p>Doch selbst dieses Datum könnte ins Wanken geraten. Es gibt sogar Stimmen, die bezweifeln, dass aus der Initiative, die Vielzahl unterschiedlicher Datensilos von Strafverfolgungsbehörden von Bund und Ländern mit verschiedenen Schnittstellen zusammenzuführen und den IT-Flickenteppich zu beseitigen, überhaupt noch etwas wird. Der Trend gehe längst in eine andere, aus bürgerrechtlicher Sicht noch gefährlichere Richtung: hin zu riesigen Datenseen mit Zufuhr aus allen erdenklichen Quellen und dem Versuch, darin etwa mit speziellen, weitgehend undurchsichtigen Algorithmen oder Künstlicher Intelligenz (KI) die Nadel im Heuhaufen zu suchen.</p><p>Offiziell hält die Bundesregierung am <a href=„https://www.heise.de/hintergrund/Missing-Link-Digitale-vernetzte-Polizei-Stand-der-Dinge-Kosten-Datenschutz-7134410.html“><strong>bisherigen Kurs zu Polizei 2020 [2]</strong></a> fest, auch wenn der Dampfer allenfalls langsam Fahrt aufnimmt. Tobias Wiemann, Unterabteilungsleiter für öffentliche Sicherheit im BMI, überraschte in der <a href=„https://www.gdp.de/gdp/gdp.nsf/id/dp202302/$file/DP_2023_02.pdf“ rel=„external noopener“ target=„_blank“><strong>Februarausgabe des Gewerkschaftsmagazins „Deutsche Polizei“ [3]</strong></a> sogar mit der Ansage: Nach sechseinhalbjährigem Vorlauf stünden nun „Grundsatzentscheidungen im Bereich der Polizeilichen Auswertungs- und Analysesysteme“ an, um das mittlerweile als P20 abgekürzte Programm weiter zu „konkretisieren“. Ferner stellte er Bestimmungen etwa zur „fachlichen, technischen und rechtlichen Ausgestaltung des Datenhauses“ in Aussicht. Zeichnet sich nach der ganzen bereits geleisteten Arbeit ein weitgehender Richtungswechsel ab?</p><p>Man sollte meinen, dass solche grundsätzlichen strategischen Ausrichtungen am Anfang eines derart umfangreichen technischen Erneuerungsansatzes stehen. Wiemann spricht davon, dass die damit verknüpfte Transformation der polizeilichen IT den Arbeitsalltag der rund 340.000 hiesigen Ordnungshüter „in den nächsten Jahren grundlegend verändern“ werde. Insofern sei P20 „mehr als ein bloßes IT-Projekt: Es ist das wohl ambitionierteste Organisationsentwicklungsvorhaben im Bereich der Polizeiarbeit in der Geschichte der Bundesrepublik Deutschland.“ Es lege das Fundament für sämtliche Tätigkeiten der Strafverfolger in der Zukunft. Diese Basis müsse sorgfältig geplant und ausgeführt werden, denn hierauf baue die gesamte künftige IT-Architektur auf.</p><p>Optimalerweise hätten die Innenminister von Bund und Ländern die erforderliche Sorgfalt schon in ihren ersten Entwürfen walten lassen. Doch offenbar besteht in dieser Hinsicht nach all den Jahren immer noch Nachholbedarf. Wiemann begründet die Notwendigkeit, weiterhin zunächst elementare Wege abzustecken, auch mit einem „Grundsatzurteil des Bundesverfassungsgerichts zur zweckändernden Weiterverarbeitung von polizeilichen Daten“.</p><h3 class=„subheading“ id=„nav_im_austausch1“>Im Austausch mit Datenschutzbehörden</h3><p>Die Karlsruher Richter erklärten <a href=„https://www.heise.de/news/Bundesverfassungsgericht-beanstandet-Regeln-zur-Datenanalyse-bei-der-Polizei-7517629.html“><strong>Mitte Februar den Einsatz automatisierter Datenanalysen durch die Polizei in Hessen und Hamburg in bisheriger Form für verfassungswidrig [4]</strong></a>. Das gilt etwa für das Big-Data-System HessenData der hessischen Polizei, das auf der umstrittenen Software Gotham <a href=„https://www.heise.de/news/Palantir-Mitgruender-Wir-arbeiten-mit-fast-jeder-Demokratie-im-Westen-4313226.html“><strong>des US-Unternehmens Palantir [5]</strong></a> aufbaut. Diese ist als „Schlüsselfirma der Überwachungsindustrie“ verschrien. Die gesetzlichen Vorschriften zu den einschlägigen Programmen schränken laut dem Urteil weder die Art und Menge der Daten, noch die technischen Methoden bis zum Nutzen von Künstlicher Intelligenz (KI) und Profilbildungen ein. Sie verstießen so gegen Persönlichkeits- und Vertraulichkeitsrechte des Grundgesetzes.</p><p>Wiemann sieht trotzdem nicht schwarz für das Großprojekt P20. Dieses „steht im regelmäßigen Austausch mit den Datenschutzbehörden des Bundes und der Länder“, schreibt der Ministeriumsvertreter. „Es gilt, rechtssicher den bestmöglichen Datenschutz zu gewährleisten und zugleich die Polizeiarbeit so effektiv wie möglich zu machen.“ Dass zusätzlich auch andere rechtliche Gegebenheiten in Bund und Ländern wie unterschiedliche Polizeigesetze zu beachten seien, mache das Ganze aber nicht „trivial und erfordert manchmal mehr Zeit, als sich viele Beteiligte selbst wünschen“.</p><p>Die Mitstreiter, zu denen neben den 16 Polizeien der Länder das Bundeskriminalamt (BKA), die Bundespolizei, die Polizei beim Bundestag und das Zollkriminalamt gehören, arbeiten Wiemann zufolge mittlerweile in mehr als 40 Unterprojekten gemeinsam an dem Transformationsvorhaben. Das Programm sei damit zumindest „in Teilen von der Konzeptions- in die Umsetzungsphase eingetreten“. Greifbare Ergebnisse kämen zunehmend im Arbeitsalltag der Beamten an. Das Datenhaus nehme „mehr und mehr Gestalt an“.</p><p>Einige Anwendungen aus dem P20-Portfolio seien „bereits im (eingeschränkten) Wirkbetrieb oder können in naher Zukunft eingesetzt werden“, führt der Insider aus. Als Beispiele nennt er eine von Niedersachsen entwickelte, „auf Künstlicher Intelligenz basierende Software zum Aufspüren von Darstellungen von sexualisierter Gewalt gegen Kinder im Internet oder die Zentrale Informations-Management-Plattform (ZIMP)“. Ferner werkelten das beim BMI angesiedelte, als Gesamtkoordinator dienende „Zentralprogramm“ und weitere Beteiligte „mit Hochdruck daran, die Migration der etablierten Vorgangsbearbeitungssysteme auf die drei sogenannten Interims-Vorgangsbearbeitungssysteme (iVBS) voranzubringen“. Aus diesen heraus erfolge die weitere Annäherung an das „abschließende Zielbild – das Datenhaus-Ökosystem“.</p><div class=„a-boxtarget a-boxcontent a-inline-textboxcontent a-inline-textboxcontent–horizontal-layout“ data-collapse-target=„“><figure class=„a-inline-textboximage-container“><img alt=„“ src=„https://heise.cloudimg.io/width/210/q50.png-lossy-50.webp-lossy-50.foil1/_www-heise-de_/imgs/71/2/1/3/9/8/8/1/MissingLink-5014ce8c801500e5.jpg“ srcset=„https://heise.cloudimg.io/width/420/q30.png-lossy-30.webp-lossy-30.foil1/_www-heise-de_/imgs/71/2/1/3/9/8/8/1/MissingLink-5014ce8c801500e5.jpg 2x“ class=„c1“ referrerpolicy=„no-referrer“ /></figure><div class=„a-inline-textboxcontent-container“><p class=„a-inline-textboxsynopsis“>Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.</p><ul class=„a-u-list“><li><a class=„a-inline-textboxtext“ href=„https://www.heise.de/thema/Missing-Link“ title=„Mehr zum Feuilleton“><strong>Mehr zum Feuilleton „Missing Link“ [6]</strong></a></li></ul></div></div><h3 class=„subheading“ id=„nav_daten_derzeit2“>Daten derzeit händisch übertragen</h3><p>Mit der Vorgangsbearbeitung, in deren Rahmen sämtliche polizeilich relevanten Vorfälle wie Ordnungswidrigkeiten, Strafanzeigen oder Unfälle sowie Daten zu Tätern, Verdächtigen, Geschädigten und Zeugen mit jeweils unterschiedlichen Programmen wie Poliks in Berlin oder ComVor in Baden-Württemberg erfasst und mit Nummern versehen werden, ist es aber längst nicht getan. Die Polizeibehörden von Bund und Ländern haben zudem jeweils eigene Fallbearbeitungssysteme, in denen die potenziellen späteren Vorgänge zunächst aufgenommen werden. Ein Übergang zwischen beiden besteht meist nur per „Turnschuh-Schnittstelle“ – Daten müssen also händisch übertragen werden.</p><p>Als ältere Ausgangsbasis existiert seit 1972 mit dem polizeilichen Informationssystem Inpol auch ein elektronischer Datenverbund zwischen Bund und Ländern. Dieses erreichte Ende der 1980er seine technischen Grenzen und wurde <a href=„https://www.heise.de/news/Schily-Umstellung-auf-neues-Polizei-Computersystem-abgeschlossen-83947.html“><strong>2003 mit viel Hängen und Würgen von Inpol-neu abgelöst [7]</strong></a>. Eigentlich handelt es sich dabei um 'Inpol-neu-neu', denn ein vom BKA federführend mit T-Systems entwickeltes Nachfolgesystem zum ersten Renovierungswerk <a href=„https://www.heise.de/news/Inpol-neu-Gravierende-Maengel-und-fehlende-IT-Experten-42963.html“><strong>brach bei einem Test im April 2001 nach wenigen Minuten zusammen [8]</strong></a>. Die <a href=„https://www.heise.de/news/Neustart-fuer-Polizei-Informationssystem-Inpol-Neu-82901.html“><strong>überarbeitete Version [9]</strong></a> beruht auf dem <a href=„https://www.heise.de/news/BKA-uebernimmt-Polizei-Software-von-Hamburg-und-Hessen-52070.html“><strong>von Hessen und Hamburg entwickelten System Polas [10]</strong></a>.</p><h3 class=„subheading“ id=„nav_dateninseln3“>Dateninseln ohne Brücken zueinander</h3><p>In Inpol-neu werden alle als wichtig erachteten Meldungen über Straftaten und Straftäter, die nicht nur lokalen oder regionalen Charakter haben, gespeichert. Es soll auch automatisiert Beziehungsgeflechte zwischen gesuchten Personen und Gegenständen sowie offenen Fällen herstellen können. Ziel sei es, <a href=„https://www.heise.de/news/Neues-Polizei-Computersystem-so-einfach-wie-Internet-60573.html“><strong>Mehrfacheingaben überflüssig und die diversen Informationen untereinander verknüpfbar zu machen [11]</strong></a>, erklärte der damalige IT-Direktor des BKA, Harald Lemke, 2002. Annette Brückner, Betreiberin des Fachportals Police-IT, <a href=„https://police-it.net/seiten_hauptmenue/ueber-police-it“ rel=„external noopener“ target=„_blank“><strong>ist sich aber sicher [12]</strong></a>: Auch Inpol-neu sowie Folgeentwicklungen wie der Polizeiliche Informations- und Analyseverbund (PIAV) hätten bisher das große Problem der übergreifenden Nutzung von Informationen, die auf sehr vielen Dateninseln ohne Brücken dazwischen gespeichert sind, nicht lösen können.</p><p>Angesichts der vielen offenen Punkte zu P20 fragte die Linksfraktion im Bundestag, die kontinuierlich Licht ins Dunkel der polizeilichen Datenhaltung zu bringen versucht, jüngst bei der Bundesregierung nach. Diese erklärte in der <a href=„https://dserver.bundestag.de/btd/20/069/2006951.pdf“ rel=„external noopener“ target=„_blank“><strong>jetzt vorliegenden Antwort [13]</strong></a>, dass ein solch weitreichendes und komplexes Vorhaben „nur mit einem klaren Zielbild, der Planung der dafür nötigen Zwischenschritte sowie grundsätzlichen Richtungsentscheidungen zu Beginn“ gelingen könnte. Mit dem anvisierten Datenhaus-Ökosystem sei der Kurs prinzipiell auch klar. Eine Initiative wie P20 bedürfe aber zugleich eines agilen und flexiblen Vorgehens, das aktuellen Entwicklungen und Erkenntnissen Rechnung trägt und Raum für Anpassungen lässt. Dies sei in dem Artikel für das Gewerkschaftsmagazin angeklungen.</p><p>Die Umsetzung der mittlerweile über 40 laufenden P20-Projekte erfolge „unter Anwendung agiler Methoden“, teilt das federführende BMI mit. Die übergreifenden Querschnittsdienste („Shared Services“) würden durch das Zentralprogramm bereitgestellt, verantwortet und nach festen Zeitplänen vorangetrieben. Die Aufnahme neuer P20-Projekte werde anhand definierter Anforderungen geprüft.</p><p>Parallel erfolge der Aufbau des Datenhauses in mehreren Stufen durch eine speziell eingerichtete Projektegruppe aus dem Zentralmanagement, verrät die Regierung. Eine erste grundlegende Konzeption für den Mindestumfang eines „initialen Datenhauses“ (iDH) liege vor. Bis Jahresende solle eine „minimal funktionsfähige Version für Test- und Entwicklungszwecke“ stehen. Das iDH werde dann zunächst nur synthetisch generierte Testdaten enthalten. Diese stellten „die Eigenschaften und Strukturen von Echtdaten inklusive ihrer Beziehungen untereinander nach“, beruhten aber nicht auf realen Ereignissen. 2024 und 2025 werde das iDH „zu einem produktiven Sachbearbeitungs-Datenhaus ('SB-Datenhaus') weiterentwickelt“ und der Wirkbetrieb mit Echtdaten aufgenommen. Bis zur Vollendung 2030 kämen noch einzelne Fachservices dazu.</p><h3 class=„subheading“ id=„nav_rollen_rechte4“>Rollen, Rechte, Identitäts- und Zugangsmanagement</h3><p>Auch zum vorgesehenen Rechte- und Rollenkonzept lässt sich das BMI Details entlocken. „Das künftige Datenhaus wird so weit wie möglich frei von Fachlogik aufgebaut“, heißt es. Informationen würden also „fokussiert auf betrieblich beherrschbare und rein technische Datenoperationen“ gehalten. Nutzer könnten etwa Datensätze anlegen, lesen, aktualisieren oder löschen. Polizeifachliche Anwendungsfälle wie Plausibilitätsprüfungen oder Prozessabfolgen stünden zunächst nicht im Zentrum. So wolle man verhindern, dass Änderungen beim fachlichen Umgang mit Informationen „gleichzeitig umfangreiche Datenmigrationen“ oder andere Modifikationen an den Beständen nach sich zögen.</p><p>Die Prüfung und Verwaltung von Rollen und Rechten findet der Antwort zufolge in den einzelnen Fachanwendungen statt. Dafür seien „die jeweiligen Polizeien als Programmteilnehmer auf Grundlage der für sie geltenden bundes- oder landesrechtlichen Regelungen“ zuständig. Dies gelte grundsätzlich auch für die Einführung eines Identitäts- und Zugangsmanagements. Bei P20 betreibe das BKA aber bereits ein solches System, das derzeit föderal ausgebaut werde. Diese Erweiterung solle die Fachanwendungen durch die Authentifizierung von Anwendern und die anschließende Zulieferung von Rollen und Rechten unterstützen. Ein Testbetrieb ist für Ende 2023 geplant.</p><p>Nordrhein-Westfalen, Rheinland-Pfalz und Saarland bemühten sich im Rahmen von P20 ferner gemeinsam etwa mit dem BKA um einen Machbarkeitsnachweis zur Datenkonsolidierung, erklärt die Regierung. Dabei werde in Bälde ein „Personenkerndatenservice“ erprobt, „in dem Personen, die in den Sach- und Fallbearbeitungssystemen der drei Länder als Beschuldigte oder Tatverdächtige angelegt sind, mit einem eingeschränkten Datenkranz beim Bundeskriminalamt gespeichert werden“. Angestrebt werde, „länderübergreifende Tat- und Täterzusammenhänge zu erkennen“.</p><h3 class=„subheading“ id=„nav_kritik_des5“>Kritik des Bundesdatenschutzbeauftragten</h3><p>Ob dabei mehr herauskommt als altbackene und fragwürdige Markierungen wie „Berufsverbrecher“, ist offen. Die Kritik des Bundesdatenschutzbeauftragten Ulrich Kelber in seinem <a href=„https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/31TB_22.html“ rel=„external noopener“ target=„_blank“><strong>31. Tätigkeitsbericht vom März [14]</strong></a>, wonach dieser „Proof of Concept“ rechtswidrig sei, wischt das BMI weg: Diese Auffassung teile es nicht. Vor allem erachte man die hier erfolgende Auftragsverarbeitung durch das BKA für die Länder als zulässig. Sanktionsbefugnisse hat Kelber gegenüber Strafverfolgungsbehörden bislang nicht, da der hiesige Gesetzgeber die <a href=„https://www.heise.de/news/Datenschutz-bei-Polizei-Neues-EU-Vertragsverletzungsverfahren-gegen-Deutschland-6666483.html“><strong>Datenschutzrichtlinie für diesen Bereich auch nach mehreren Jahren noch nicht umgesetzt hat [15]</strong></a>.</p><p>Seit 2017 sind in die Realisierung von P20 laut der Regierung bereits rund 190 Millionen Euro allein an Mitteln aus dem Bundeshaushalt geflossen. Die Länder hatten bislang 76 Millionen bereitgestellt. Nur für 2023 sind von beiden Seiten insgesamt noch einmal 250 Millionen Euro veranschlagt. Bei einem großen Teil davon soll es sich aber um nicht verbrauchte Restmittel aus dem Vorjahr handeln.</p><h3 class=„subheading“ id=„nav_gescheiterte6“>Gescheiterte Anläufe</h3><p>Die Exekutive äußert sich zudem – ebenfalls mit einem Funken Hoffnung – zum weiteren Ausbau von PIAV. Die Saga dieses Informations- und Analyseverbund reicht bereits bis 2007 zurück, also noch fast ein Jahrzehnt länger als P20. Trotzdem sind die Arbeiten an dem vielgliedrigen System, das einmal das „Herzstück“ des übergeordneten Datenhaus-Ökosystems bilden soll, nach wie vor keineswegs abgeschlossen. PIAV sollte schon ursprünglich das leisten, was die verschiedenen Inpol-Spielarten nie konnten, erläutert die IT-Police-Expertin Brückner, die selbst vor einiger Zeit an der Entwicklung von Datenbanken für die Polizei beteiligt war: „Tat-Tat- und Tat-Täter-Beziehungen aufzeigen, auch wenn die Einzelinformationen aus unterschiedlichen Ländern und Behörden stammen“.</p><p>Die bisherige PIAV-Leidensgeschichte hört sich ähnlich an wie die von P20: Nach einem um Jahre verschobenen Projektstart und nicht minder langen Verzögerungen bei der Einführung der ersten drei von sieben geplanten Ausbaustufen sei die Initiative zunächst „klammheimlich in der Versenkung“ verschwunden, erinnert sich Brückner. Jahre später sei dann verschämt zu hören gewesen, dass der Systemkern von PIAV beim BKA – im Fachjargon „Operativ Zentral“ – nicht leisten könne, was schon seit Jahren verlangt worden sei. Also hätten die Entwickler wieder einmal alles neu aufsetzen müssen.</p><h3 class=„subheading“ id=„nav_kriminalität7“>Kriminalität tagesaktuell analysieren</h3><p>Aktuell kommt der PIAV-Ausbau erneut nur zäh voran. 2019 hieß es noch, dass im Sommer 2021 die letzte Stufe erreicht werde. Jetzt soll erst 2025 etwas daraus werden, wie die Bundesregierung vor Kurzem <a href=„https://dserver.bundestag.de/btd/20/066/2006633.pdf“ rel=„external noopener“ target=„_blank“><strong>auf eine andere Anfrage der Linken hin Bescheid gab [16]</strong></a>: Am 1. Juni 2018 erfolgte demnach die Wirkbetriebsaufnahme der PIAV-Operativ Stufe 2 (Rauschgiftkriminalität und gemeingefährliche Straftaten/Gewaltdelikte). Ferner seien am 17. Juni 2020 die PIAV-Operativ-Stufen 3 (Cybercrime, Eigentumskriminalität/Vermögensdelikte, Sexualdelikte) und 4 (Dokumentenkriminalität, Schleusung/Menschenhandel/Ausbeutung) umgesetzt worden. Sie ermöglichten es den Nutzern seither, auch in diesen Bereichen Informationen „zur Erkennung von phänomenübergreifenden Bezügen zusammenzuführen“.</p><p>Die Inbetriebnahme der Stufen 5 bis 7 ist bis Mitte 2025 geplant, wirft das BMI einen Blick nach vorn. In diesem Rahmen sollen die PIAV-Dateien Arzneimittelkriminalität, Falschgeldkriminalität, Geldwäsche, Korruption, politisch motivierte Kriminalität, organisierte Kriminalität sowie Wirtschafts- und Umweltkriminalität implementiert werden.</p><p>Im Fokus steht momentan vor allem die Variante „PIAV-Strategisch“, die der Regierung zufolge als „Werkzeug zur tagesaktuellen Analyse des Kriminalitätsgeschehens auf lokaler, regionaler und bundesweiter Ebene konzipiert“ worden ist. Die zugrundeliegenden strukturierten Daten stammen ihr zufolge aus laufenden Vorgangsbearbeitungen, „sodass sich die aktuellen Ermittlungsstände unmittelbar auf die Kennzahlen des Systems auswirken“. Dadurch würden den Polizisten die Früherkennung von deliktspezifischen oder übergreifenden Kriminalitätsphänomenen sowie zeitlichen oder geografischen Brennpunkten ermöglicht. Dieser Teil des Verbunds diene insofern auch als polizeiliches Führungsinformationssystem.</p><p>„PIAV-Strategisch wird fachlich und technisch kontinuierlich weiterentwickelt“, lässt das BMI wissen. Die zur Analyse verwendete Datenbasis werde tagesaktuell und anonymisiert aus den Teilnehmersystemen bereitgestellt. Eine Ablösung dieses Systems sei genauso wenig geplant wie seine Verknüpfung „mit weiteren Anwendungen“.</p><h3 class=„subheading“ id=„nav_alle_daten8“>Alle Daten unter einem Dach?</h3><p>Die Regierung versucht sich mit dieser vorsichtigen Beschreibung vor allem von VeRA abzugrenzen. Diese „verfahrensübergreifende Recherche- und Analyseplattform“ der bayerischen Polizei basiert – wie HessenData und das immer kostspieliger werdende <a href=„https://www.heise.de/news/Polizei-NRW-Kostenexplosion-und-Verzoegerung-bei-umstrittener-Palantir-Software-7277494.html“><strong>System zur datenbankübergreifenden Analyse und Auswertung (DAR) der Polizei Nordrhein-Westfalen [17]</strong></a> – auf Gotham von Palantir. Der Beschaffung durch Bayern ging eine umstrittene Ausschreibung voraus, die auf das Big-Data-Unternehmen mit Kontakten etwa zu US-Geheimdiensten zugeschnitten war.</p><p>Entscheidend bei VeRA ist, dass der Freistaat dabei – vertreten durch das bayerische Landeskriminalamt (LKA) – als „Primärauftraggeber“ auftritt. Er hat als alleiniger Vertragspartner mit dem Auftragnehmer eine Rahmenvereinbarung für den Einsatz von Gotham abgeschlossen, der sich die Polizeibehörden der Länder und des Bundes einfach anschließen können. Das federführende LKA habe im Rahmen des Vergabeverfahrens bereits den Bedarf bei den Ländern abgefragt, führt das BMI dazu aus. Die Prüfung der Nutzung von VeRA als eine gemeinsame Plattform für die Teilnehmer von P20 dauere indes an. Insofern sei bislang auch nicht über die Anbindung von Dateien an VeRA entschieden worden.</p><p>Brückner bezeichnet Gotham beziehungsweise die von Bayern beschaffte Variante <a href=„https://police-it.net/vera-verfahrensuebergreifende-recherche-und-analyse“ rel=„external noopener“ target=„_blank“><strong>als „die gefährlichste Entwicklung in der IT der Sicherheitsbehörden seit 75 Jahren“ [18]</strong></a>. Der Ansatz laufe darauf hinaus, über die bestehenden polizeilichen Informationssysteme ein Dach zu spannen. VeRA sei in der Lage, daraus bei Bedarf Daten abzufragen beziehungsweise für Analysen und Auswertungen abzugreifen und in einem Auswertesystem zu konsolidieren. Das sei zunächst legitim.</p><div class=„opt-incontent-container“><h2 class=„opt-intitle“>Empfohlener redaktioneller Inhalt</h2><p class=„opt-indescription“>Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.</p><div class=„opt-incta-container“><label class=„opt-incta-persistence“><input class=„opt-inpersistence-checkbox“ data-should-persist=„“ type=„checkbox“ /> Umfragen immer laden</label> <button class=„opt-incta“ data-opt-in=„“>Umfrage jetzt laden</button></div><p class=„opt-infootnote“>Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer <a href=„https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html“><strong>Datenschutzerklärung [19]</strong></a>.</p><noscript></noscript></div><p>Das Besondere an VeRA sei aber, dass es externe, teils unstrukturierte Daten einbeziehen und einen Abgleich damit ermöglichen solle, schlägt Brückner Alarm. Das sei ein unbestimmter und dehnbarer Begriff, unter den etwa die großen Datenbanken von Unternehmen wie Autoherstellern, Social-Media-Betreibern oder Telekommunikationsdienstleistern fielen. Auch Informationen etwa der Finanzämter, der Bundesanstalt für Arbeit, von Banken, Krankenkassen und Versicherungen oder den Beitragskonten der öffentlich-rechtlichen Sender könnten einbezogen werden.</p><p>Dabei handle es sich um Daten, die der Polizei bislang „nur im begründeten Einzelfall und in vielen Fällen nur nach entsprechender richterlicher oder staatsanwaltschaftlicher Genehmigung zur Verfügung standen“, gibt die Fachfrau zu bedenken. So liege der Verdacht nahe, dass Polizei und andere Sicherheitsbehörden „mit einem zentralen Beobachtungs- und Überwachungsmonitor für jedermann ausgestattet werden sollen“.</p><h3 class=„subheading“ id=„naveinfach9“>„Einfach machen“ – rechtliche Bedingungen kommen später</h3><p>Mit dem jüngsten einschlägigen Urteil des Bundesverfassungsgerichts zu HessenData & Co. stehen die Karten für VeRA eher schlecht. Mitte Januar hatte Bayerns Innenminister Joachim Herrmann (CSU) angekündigt, erst nach dem Karlsruher Urteil eine Rechtsgrundlage im bayerischen Polizeigesetz für den Gotham-Einsatz zu schaffen. Eine beim Fraunhofer-Institut für sichere Informationstechnologie (SIT) in Auftrag gegebene Studie, die das Risiko von Datenabflüssen aus VeRA abschätzen sollte, gab <a href=„https://www.heise.de/news/Pruefbericht-Keine-Bedenken-bei-Analyse-Software-der-bayerischen-Polizei-7539788.html“><strong>laut dem LKA zunächst Entwarnung [20]</strong></a>. Die Bundesregierung versichert trotzdem vorsorglich: „Eine zentrale Nutzung von VeRA erfolgt derzeit nicht (auch nicht durch das BKA oder die Bundespolizei)“.</p><p>„Dass in absehbarer Zeit die Innenbehörden ein rechtlich sauberes und polizeilich nutzbringendes System der länderübergreifenden Datenhaltung einrichten, ist nicht sicher“, kommentiert Martina Renner, Obfrau der Linken im Innenausschuss des Bundestags, die Einlassungen der Bundesregierung gegenüber heise online. Die noch immer laufende Prüfung der Nutzbarkeit von VeRA erinnere sie an die Vorgehensweise des Bundesnachrichtendiensts (BND), die während des NSA-Untersuchungsausschusses bekannt wurde: „einfach machen und die rechtlichen Bedingungen später den Einsatzmöglichkeiten anpassen.“</p><h3 class=„subheading“ id=„naveine10“>„Eine unendliche Geschichte“</h3><p>Positiv wertet Renner, dass die Regierung endlich eingeräumt habe, dass „längst zu löschende Datensätze“ von Sicherheitsbehörden wie dem Zoll entfernt würden. Wie künftig sichergestellt werde, dass Informationen „kein Zombiedasein mehr im Datenhaus der Polizei fristen, bleibt aber wie vieles andere vage“. Sie halte nichts davon, wenn Polizei und Geheimdienste ihre rechtlichen Grenzen selbst festlegen: „Hier muss die Koalition endlich eine klare Linie finden und der Regierung gesetzliche Vorgaben machen.“ Bereits vor Kurzem hatte sich die Linke gewundert, dass die Exekutive gar nicht erklären könne, „wo der Unterschied von PIAV und VeRA liegt“. Es sei überfällig, dem Palantir eine Absage zu erteilen, da mit PIAV schon ein System zur übergreifenden Recherche in Datenbanken bereitstehe: „Allerdings ist das PIAV eine vor allem unendliche Geschichte.“</p><p>Sehr skeptisch beäugen auch Rechtswissenschaftler die Entwicklung: Generell handle es sich bei Informationssystemen wie Inpol oder PIAV <a href=„https://www.heise.de/news/Polizei-und-Unschuldsvermutung-Wenn-KI-ueber-riesige-Datenbestaende-verfuegt-6211210.html“><strong>um eine „Datenbevorratung“ für künftige, noch nicht absehbare Fälle [21]</strong></a>, legt der Mainzer Staatsrechtler Matthias Bäcker dar. Diese würden dann teils in neue polizeiliche Verfahren überführt, was die Frage der Zweckbindung aufwerfe. Besonders heikel werde es, sobald die gespeicherten Informationen maschinell ausgewertet werden sollten. Sehr strenge, bestenfalls bereits gesetzlich festgeschriebene Anforderungen wären erforderlich, wenn Ermittler mithilfe von KI „über riesige Datenbestände drüberfahren“ dürften, „um irgendwelche Korrelationen zu entdecken“.</p><p>() </p><p><strong>URL dieses Artikels:</strong><small><code>https://www.heise.de/-9163798</code></small></p><p><strong>Links in diesem Artikel:</strong><small><code><strong>[1]</strong> https://www.heise.de/news/Missing-Link-Polizei-2020-Polizei-2030-4504042.html</code></small><small><code><strong>[2]</strong> https://www.heise.de/hintergrund/Missing-Link-Digitale-vernetzte-Polizei-Stand-der-Dinge-Kosten-Datenschutz-7134410.html</code></small><small><code><strong>[3]</strong> https://www.gdp.de/gdp/gdp.nsf/id/dp202302/$file/DP_2023_02.pdf</code></small><small><code><strong>[4]</strong> https://www.heise.de/news/Bundesverfassungsgericht-beanstandet-Regeln-zur-Datenanalyse-bei-der-Polizei-7517629.html</code></small><small><code><strong>[5]</strong> https://www.heise.de/news/Palantir-Mitgruender-Wir-arbeiten-mit-fast-jeder-Demokratie-im-Westen-4313226.html</code></small><small><code><strong>[6]</strong> https://www.heise.de/thema/Missing-Link</code></small><small><code><strong>[7]</strong> https://www.heise.de/news/Schily-Umstellung-auf-neues-Polizei-Computersystem-abgeschlossen-83947.html</code></small><small><code><strong>[8]</strong> https://www.heise.de/news/Inpol-neu-Gravierende-Maengel-und-fehlende-IT-Experten-42963.html</code></small><small><code><strong>[9]</strong> https://www.heise.de/news/Neustart-fuer-Polizei-Informationssystem-Inpol-Neu-82901.html</code></small><small><code><strong>[10]</strong> https://www.heise.de/news/BKA-uebernimmt-Polizei-Software-von-Hamburg-und-Hessen-52070.html</code></small><small><code><strong>[11]</strong> https://www.heise.de/news/Neues-Polizei-Computersystem-so-einfach-wie-Internet-60573.html</code></small><small><code><strong>[12]</strong> https://police-it.net/seiten_hauptmenue/ueber-police-it</code></small><small><code><strong>[13]</strong> https://dserver.bundestag.de/btd/20/069/2006951.pdf</code></small><small><code><strong>[14]</strong> https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/31TB_22.html</code></small><small><code><strong>[15]</strong> https://www.heise.de/news/Datenschutz-bei-Polizei-Neues-EU-Vertragsverletzungsverfahren-gegen-Deutschland-6666483.html</code></small><small><code><strong>[16]</strong> https://dserver.bundestag.de/btd/20/066/2006633.pdf</code></small><small><code><strong>[17]</strong> https://www.heise.de/news/Polizei-NRW-Kostenexplosion-und-Verzoegerung-bei-umstrittener-Palantir-Software-7277494.html</code></small><small><code><strong>[18]</strong> https://police-it.net/vera-verfahrensuebergreifende-recherche-und-analyse</code></small><small><code><strong>[19]</strong> https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html</code></small><small><code><strong>[20]</strong> https://www.heise.de/news/Pruefbericht-Keine-Bedenken-bei-Analyse-Software-der-bayerischen-Polizei-7539788.html</code></small><small><code><strong>[21]</strong> https://www.heise.de/news/Polizei-und-Unschuldsvermutung-Wenn-KI-ueber-riesige-Datenbestaende-verfuegt-6211210.html</code></small><small><code><strong>[22]</strong> mailto:tiw@heise.de</code></small></p><p class=„printversioncopyright“><em>Copyright © 2023 Heise Medien</em></p> </html>
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International