Datenschmutz Wiki

Diese Seite behandelt alte, möglicherweise nicht mehr bestehende Infrastruktur des BKA. Das BKA bastelt gerade (2017-2019) in großem Stil an seiner EDV (und der der Länder), und es ist unklar, was eigentlich derzeit wie läuft. Mehr Infos bei PIAV. Wer konkrete Informationen hat, möge sie bitte hier (oder an geeigneter Stelle) einarbeiten.

Inhaltsverzeichnis

  1. Rechtsgrundlage
  2. Nachweissysteme
    1. Einzeldateien
  3. Fallbearbeitung
  4. Vorgangsverarbeitung
  5. Weitere beim BKA angesiedelte EDV
    1. BLOS und BLDS
    2. ZaRD
    3. Honeypots
  6. Rechtliche Einzelfragen
    1. Die Verbunddateien-Verordnung
    2. Zuverlässigkeitsüberprüfungen
    3. Speicherung von Unbeteiligen
    4. Auftrags-DV für die Länder
    5. Zuständigkeit der BKA-EDV
    6. Freitexte, Anlagen
    7. Berechtigungssystem
  7. Geschichte
  8. Operativ und Dispositiv
  9. Technik
  10. Skandale
    1. Viele AusländerInnen rechtswidrig in KAN und SIS
    2. BKA hilft NATO gegen polnische Presse
    3. "Gewalttäter"-Dateien
    4. Staatsschutzdelikte aus Brandenburg komplett
    5. Big Brother Award 2002: „Gewalttäter“-Dateien
    6. Unakkreditierungen beim 2017er G20-Gipfel
  11. Weiteres

Das BKA ist der Schrittmacher im Bereich repressiver Datenbanken weit über die BRD hinaus. Neben einer großen Zahl eigener Datenbanken (als "INPOL" bekannt) betreibt das BKA auch die "Anti-Terror-Datenbank" und fungiert als Kontaktstelle und Antreiber für Polizei-EDV auf EU-Ebene.

Mehr zum BKA als Institution auf Datenbanken BKA/Apparat.

Rechtsgrundlage

Nachweissysteme

Das BKA bezeichnet seine Nachweissysteme gerne kollektiv als polizeiliches Informationssystem (INPOL); an ihm sind angeschlossen das BKA selbst, die Landeskriminalämter, sonstige Polizeibehörden der Länder, die Bundespolizei, Dienststellen der Zollverwaltung -- soweit sie grenzpolizeiliche Aufgaben wahrnehmen -- und das Zollkrimialamt beteiligt.

Das ist insoweit relevant, weil sich daraus eine Aufteilung der in INPOL enhaltenen Datenbestände ergibt, nämlich in

An irgendeiner Stelle (spätestens Bundestags-Drucksache 16/2875, 2006) hat das BKA angefangen, den Begriff INPOL-Z auf die drei Dateien KAN, Erkennungsdienst und Personenfahndung anzuwenden. Insbesondere sollten keine Personen in INPOL stehen, die nicht in einer der drei Dateien stehen (was allerdings auch 2012 noch nicht so ist).

Beim Gebrauch des Wortes "Datei" in diesem Zusammenhang ist zu bedenken, dass wohl tatsächlich alle Daten in einer physikalischen Datenbank vorhanden sind und nur logisch in die verschiedenen Bereiche aufgeteilt sind.

Übersichten über vom BKA betriebene Datenbanken geben fast schon regelmäßig Antworten auf Bundestagsanfragen der PDL:

Einzeldateien

INPOL ist aufgeteilt in zahlreiche Teildatenbanken, die jeweils eigene Errichtungsanordnungen haben und zum Teil -- z.B. ViCLAS -- auch ganz eigene Infrastruktur mitbringen. Wir versuchen hier, einen Überblick die länger bestehenden Datenbanken zu geben.

Noch etwa 15 weitere Zentraldateien mit teilweise eher abseitigen Zwecken oder Namen ("Operation Icebreaker", eine Datei zu offenen Haftbefehlen in der "Region Thailand"; "Angie" über die Weiterveräußerung gestohlener Navigationsgeräte) existierten 2006. Darunter sind auch TANFOGLIO zum Umbau von Schreckschusspistolen zu scharfen Wafen oder CAMOUFLAGE generell zum Umbau von Waffen. Der Wildwuchs deutet auf konfligierende Bürokratien innerhalb der EU-Polizeibehörden hin. Auch hier dürfte sich inzwischen eine Absetzbewegung in Richtung der schwächer regulierten Fallbearbeitungen ergeben haben.

Bundestags-Drucksache 19/15346 nennt etliche weitere Zentraldateien, die vermutlich größtenteils kurzlebig sein werden. So etwa die „Analysedatei KhAD“ mit 250 Menschen und 23 Organisationen, die in Afghanistan in politische Morde verwickelt sein sollen, die „Auswertung ISA Reise“, die schon seit 2012 Reisebewegungen von Islamist_innen verfolgen soll (mit 6 Einträgen wohl nicht sehr erfolgreich), die Zentraldatei „MDB-AIMI“, die seit 2015 „Publikationsinhalte mit direktem oder indirektem Bezug zum islamischen Terrorismus“ sammelt (und dabei immerhin fast 1000 Leute speichert).

Dazu kommen fast 100 Amtsdateien, in die sich das BKA nur ungern reingucken lässt. Ihre Zwecke umfassen von Mord und Totschlag über §129, §129a, §129b, Schleusung, Nineeleven, Rauschgift, Geldwäsche, Untreue, Menschenhandel, Menschenraub, Kreditbetrug, Kindesmissbrauch, Personenschutz bis hin zu Urheberrecht und Anlagebetrug alles, was man sich so vorstellen kann. Der Datenumfang bewegt sich zwischen einigen wenigen und einigen tausend Einträgen, ihre Lebensdauer ist typischerweise kurz (einige Jahre), auch wenn eine 129a-Amtsdatei unbekannten Namens immerhin schon seit 1995 am Start ist. Eine bekannte Amtsdatei war Global zur Beobachtung von Globalisierungkritiker_innen.

Fallbearbeitung

Bundestags-Drucksache 17/8544 nennt als Fallbeabeitungen "INPOL-Fall" und rsCase (vgl. Länderübergreifende Software, beim BKA auch bCase oder b-case genannt; seit 2005). Die Regierung erläutert nicht das Verhältnis der beiden Systeme (abgesehen davon, dass rsCase auf INPOL-Fall über BLOS zugreift und ggf. Daten über BLDS zurückliefert), insbesondere nicht, ob die Regelung, das BKA solle keine Daten zu Personen speichern, die nicht in INPOL-Z stehen, auch für rsCase durchgesetzt wird. Es scheint, dass einfach ein bestimmter Satz von Dateien (2012: EGE Ausland-S, EGE Ausland-Z, IntTe-Gefahrenabwehrsachverhalte, IntTE-Gefahrenermittlungssachverhalte, IntTE-S, IntTE-Z, PMK-Finanz-Z, PMK-links-S, PMK-links-Z, PMK-rechts-S, PMK-rechts-Z, Spionage/Tec-S, Spionage-Tec-Z) auf der technischen Basis von rsCase betrieben werden.

Bundestags-Drucksache 17/11130 gibt an, die "Analysesoftware" Analyst's Notebook könne aus bCase exportierte Daten lesen.

INPOL-Fall dürfte sich aus den alten Strafverfolgungsdateien bzw. dem Fallbereich von INPOL entwickelt haben; Bundestags-Drucksache 17/8544 beschreibt (S. 26), das BKA selbst habe das Programm 2002 (also wohl im Zuge der Migration weg vom alten INPOL) aus der Länder-Fallbearbeitung Crime (Hamburg, Hessen) geforkt, habe sich aber inzwischen weit weg von Crime entwickelt.

INPOL-Fall bedient auch die Fallbearbeitung der Bundespolizei (Bundestags-Drucksache 17/8544, S. 21).

Das BKA führt INPOL-Fall in seiner Eigenschaft als Strafverfolgungsbehörde, was u.a. durch die Berufung auf §483 StPO (und nicht in erster Linie das BKAG) angezeigt wird wird. Laut Bundestags-Drucksache 16/2875 können diese als Verbunddateien (also von Landespolizeien fütter- und abfragbar) geführt werden, müssen es aber natürlich nicht. Die Theorie hinter diesen Dateien ist grundsätzlich, dass das BKA dann und wann für Staatsanwaltschaften tätig ist und Daten, die mit dieser Tätigkeit in Verbindung stehen, auch irgendwo liegen müssen. Mit dem Abschluss des entsprechenden Strafverfahrens werden die Strafverfahrensdateien gelöscht; ob es Regelungen zu einer Migration von für Gefahrenabwehr oder Aufklärung künftiger Straftaten geeignet scheinender (also weiterspeicherbarer) Daten gibt, ist nicht bekannt.

Bundestags-Drucksache 17/4833 berichtet in diesem Zusammenhang von einer "Strafverfahrensdatei PMK-links-S" (Antwort auf 11.). Die Regierung erklärt: "Das BKA speichert die im Rahmen seiner Zuständigkeit gewonnenen Daten in der Datei 'PMK-links-S'. Andere Polizeidienststellen, bei denen Spuren und Hinweise eingehen, liefern die Daten auf konventionellem Wege an".

Ebenfalls in den Bereich der Fallbearbeitung gehört eine Software namens Netwitness, die in Bundestags-Drucksache 17/8544 (S. 27) als 2009 vom BKA erworben erwähnt wird. Sie dient zur Analyse von Mitschnitten von Netzwerkverkehr.

Seit 2019 betreibt das BKA auch eine Funkzellendatenbank mit 2023 ca. 50 Millionen Datensätzen, offenbar als Teil der Fallbearbeitung der Länder.

Vorgangsverarbeitung

Bundestags-Drucksache 17/8544 (S. 20) gibt an, das BKA verwende eine Eigenentwicklung als VBS. Das ist ausweislich 28. TB BfDI (der im übrigen die Tatsache der Eigenentwicklung lobt, da Datenschutz-Vorgaben so vergleichsweise schnell umgesetzt werden konnten) auch 2019 noch so. Dort (S. 55f) bemängelt der BfDI auch, dass VBS nicht hinreichend zwischen tatsächlicher Vorgangsbearbeitung, Verbrechensbekämpfung und Dokumentation unterscheidet. Er erwähnt insbesondere eine Funktion „Dateienrundlauf“, die nicht nur über Daten im VBS recherchiert, sondern auch noch über etliche weitere Bestände wie INPOL oder das BZR.

Der BfDI kommentiert das sehr explizit „Das VBS darf deshalb nicht als umfassendes Recherchesystem genutzt werden“ – und es wäre schön, wenn sich das auch bei den Landespolizeien herumsprechen würde.

Bemerkenswert an dem BfDI-Bericht ist noch, dass offenbar große Teile der Vorgangsabwicklung schlicht im Dateisystem liegen („Ein Großteil des Schriftverkehrs und der Vermerke sind lediglich als Dateien in den Gruppenlaufwerken gespeichert“). Wie das in der Realität aussieht und wie die Dateien wieder verschwinden sollen, wenn sie nicht mehr gespeichert werden dürfen, will mensch sich nicht vorstellen (weshalb der BfDI auch diese Praxis beanstandet hat).

Weiter führt er aaO an, dass das BKA kriminaltaktische Anfragen (KTA) der Länder im VBS speichert; Personen werden also dort einfach nur dehalb gehalten, weil irgendwer sich mal beim BKA über sie erkundigt hat. Der BfDI dazu: „Es ist zweifelhaft, was damit genau dokumentiert werden soll.”

Wie üblich bei Vorgangsverwaltungen fand der BfDI auch Wildwuchs bei den Speicherfristen. Offenbar hat das BKA dazu noch weniger Regelungen als die den Bereich ebenfalls gerne chaotisierenden Länder (vgl. Vorgangsverwaltung#Speicherfristen).

auch im 31. TB des BfDI für 2022 bleibt er unzufrieden mit dem VBS:

(vgl. 29. TB Nr. 9.5.3). Mehrfach habe ich das Bundesministerium des Innern, für Bau und Heimat (BMI) darum gebeten, mir einen Zeit- und Maßnahmenplan zukommen zu lassen, wie und wann das BKA die von mir festgestellten Datenschutzverstöße beseitigen wird. Meinem Anliegen ist bislang nicht entsprochen worden.

Darüber hinaus werden für das Kriminaltechnische Institut noch genannt das Kriminaltechnisches Informationssystem (KISS) und Forensisches Informationssystem Handschriften (FISH), hergestellt von einer Firma namens GFaI (Gesellschaft zur Förderung angewandter Informatik). Beide Verfahren wurden auch schon mal als Teile von INPOL geführt. Sie haben jedoch offenbar keine Kopplung mit dem Rest der BKA-EDV (Bundestags-Drucksache 17/8544, S. 21).

Weitere beim BKA angesiedelte EDV

BLOS und BLDS

BLOS (Bund-Länder-Online-Schnittstelle, Hochladen) und BLDS (Bund-Länder-Datei-Schnittstelle, Runterladen) sind Protokolle zum Datenaustausch zwischen INPOL-Fall und Länderpolizeien. Bundestags-Drucksache 17/8544 definiert (S. 25):

Die BLDS erlaubt es den Inpol-Teilnehmern, im jeweiligen Landesbestand vorliegende, verbundrelevante Daten oder im Zusammenhang mit Großschadenslagen gewonnene Daten automatisiert an Inpol-Fall zu übertragen. Die BLDS-Schnittstelle kann durch jeden Inpol-Teilnehmer nach entsprechendem Freigabeverfahren genutzt werden.

Über die BLOS können Recherchen aus einem Fremdsystem an Inpol-Fall gestellt und das Ergebnis der Anfrage von Inpol-Fall an das Fremdsystem zurückübermittelt werden. Der Umfang der Nutzung wird durch den jeweiligen Inpol-Teilnehmer entsprechend der für ihn eingerichteten Rechte bestimmt.

BLDS ist ein Erbe der Fußball-Weltmeisterschaft der Männer 2006, BLOS wurde 2007 in Betrieb genommen.

Allerdings haben die Länder offenbar die Investition fürs Anflanschen entsprechender Schnittstellen an ihre EDV gescheut. Jedenfalls berichtet Bundestags-Drucksache 18/8533 (2016), lediglich Baden-Württemberg, Bayern, Hessen, Nordrhein-Westfalen, Rheinland-Pfalz und Schleswig-Holstein nutzten die Möglichkeit zum digitalen Austausch, während die anderen Länder weiter „manuell“ erfassten (also wohl: Abtippen).

ZaRD

Zentrale anlassunabhängige Recherche in Datennetzen. Zunächst eine "menschliche Netzstreife" mit deutlichem Fokus auf Pornografie und verwandte Verbrechen -- nach Kinderpornografie an zweiter Stelle waren bei den Verdachtsmeldungen laut Zahlen von 2001 aber immerhin schon "Staatschutzdelikte" mit 8.2% bzw. 89 Meldungen.

Ganz offensichtlich konzentriert sich ZaRD aber auf halbwegs öffentliche Quellen (Usenet, IRC, WWW, Filesharing in dieser Reihenfolge). Angesichts der im Vergleich zu den tatsächlichen einschlägigen Delikten winzigen Zahl von 1086 Meldungen fragt mensch sich allerdings, was die Leute tun und wonach sie suchen. Immerhin lassen etwa die Vorträge bei einer Infoveranstaltung des BKA zur Kriminalität im Internet im Februar 2000 schon ahnen, dass die ZaRD-Leute Größeres vorhatten.

Im September 2004 kündigt das BKA an (Heise-Newsticker dazu), auch hier mit Datenbanktechnik Doppelermittlungen vermeiden zu wollen -- die Datenbank soll mit Zoll, Bundespolizei und LKAs geteilt werden.

Honeypots

Das BKA hat mehrfach eingestanden, die eigenen Webseiten als Honeypots eingesetzt zu haben. Dabei wurden Inhalte, die die BKA-Leute nach "kriminalistischen Erfahrung" für Zielpersonen relevant hielten ins Netz gestellt und dann versucht, über die IP-Adressen der SeitenbesucherInnen zu bestimmen -- Ermittlungspraxis dieser Art ist sicher ein Grund für das Bestehen des BKA auf der Vorratsdatenspeicherung, denn bei einigen Verfahren hat das mit dem Auflösen der Adressen nicht furchtbar gut geklappt.

Diese Praktiken kamen zuerst im Rahmen des Verfahrens gegen die "militante gruppe" ans Tageslicht. heise-Online vom 27.3.2009: "BKA-Honeypot www.bka.de" beschreibt dabei das Verfahren, in dem ein Verweis auf eine BKA-Seite in die interim eingeschleust wurde. Erfreulicherweise konnte das BKA die meisten der 417 daraufhin erbeuteten IP-Adressen nicht auflösen, lediglich (ausgerechnet) die Telekom lieferte 120 Namen, die, so musste das BKA eingestehen, allesamt irrelevant waren.

Angesichts der so dokumentierten Streubreite ist eigentlich schon klar, dass das nicht geht, und tatsächlich "verbot" das Innenministerium dem BKA entsprechende Methoden (vgl. heise.de 21.3.2009: "Innenministerium stoppt Überwachung der BKA-Seite") aufgrund des damit verbundenen Eingriffs in das Telekommunikationsgeheimnis. Warum das Innenministerium erst nach dem Bekanntwerden solcher Methoden zu solchen Schlüssen kam, ist nicht bekannt.

Bei der Untersuchung der behördlichen Verstrickung in die Aktivitäten der NSU kamen weitere BKA-Einsätze von Honeypots ans Tageslicht; vgl. gulli.com 7.9.2012: "BKA nutzte mehr Honeypots als bekannt".

Rechtliche Einzelfragen

Die Verbunddateien-Verordnung

Die Verordnung für die Dateien nach dem BKA-Gesetz wurde 2010 vom Bundesrat verabschiedet, nachdem durch etliche Instanzen hindurch ein rechtwidriger Betrieb der INPOL-Verbunddateien -- konkret der Gewalttäter Sport -- gerichtlich moniert worden war und bereits eine Löschung im Raum stand. Leider war die gerichtliche Kritik im Groben lediglich, die Länder müssten selbst eine Rechtsgrundlage für eine gemeinsame Datenhaltung schaffen; das könne aus Gründen föderativen Barocks nicht das BKAG alleine leisten (mehr dazu in einem Lawblog-Artikel vom 6.6.2010). Menschenrechtsfragen spielten keine Rolle.

Die Verordnung ist ein Beispiel, warum rein legalistisches Vorgehen nicht weit führt, wiederholt sie doch blind die Regelungen aus dem BKAG. Auch der BfDI zeigt sich in seinem 23. Tätigkeitsbericht 2011 (S. 87) enttäuscht:

Leider wurde die Chance vertan, die zu speichernden Datenarten auf das erforderliche Maß zu beschränken. Mit den Verordnungsregelungen wurde der durch die §§ 8, 9 BKA-Gesetz gesteckte gesetzliche Rahmen vollständig ausgeschöpft. So bin ich mit meiner Forderung, den Satz an „Grunddaten“ zu erfassten Personen zu beschränken, nicht durchgedrungen. Meine Anregung, in dem Verordnungstext die Regelung des § 8 Absatz 5 BKAG zu „sonstigen Personen“ weiter zu konkretisieren, ist ebenso nicht aufgegriffen worden.

Ein Artikel auf Lawblog vom 6.6.2010 weist noch auf folgenden Aspekt hin:

...wenn eventuelle Straftaten sowohl in Düsseldorf als auch in Hamburg begangen werden und irgendein Zusammenhang besteht (zum Beispiel, weil Verdächtige miteinander telefonieren, mailen oder gar eine Ländergrenze überqueren). Bemerkenswert ist auch, dass die Straftaten nicht länderübergreifend und von erheblicher Bedeutung sein müssen. Nein, in der Verordnung steht ein “oder”. Mit anderen Worten: Es sind auch Dateien für Bagatellen, leichte und mittlere Kriminalität denkbar – “politische” Delikte selbstverständlich eingeschlossen.

Zuverlässigkeitsüberprüfungen

Im Gegensatz zu "Sicherheitsüberprüfungen", die rechtlich geregelt von Geheimschutzbeauftragten und Geheimdiensten durchgeführt werden und noch aus der Kommunistenhysterie des kalten Krieges stammen, sind "Zuverlässigkeitsprüfungen" eine Erfindung der Post-9/11-Hysterie. Erfunden wurden sie für die Fußball-Weltmeisterschaft der Männer 2006 und sollten angeblich auf diese beschränkt bleiben. Wenig überraschend ist die ZÜ inzwischen von einmaliger Grundrechtsverletzung zu einem "Standardinstrument" (so der BfDI 2011 in seinem 23. Tätigkeitsbericht, S. 88) geworden (z.B. NATO-Jubiläum 2009, Ski-WM 2011).

Bei der ZÜ müssen Menschen, die bei Großveranstaltungen arbeiten wollen (von Journalist_innen bis Würstlbrater_innen), freiwillig das Einverständnis geben, ihre Daten mit den BKA-Datenbanken abzugleichen. Das Spannungsfeld zwischen "müssen" und "freiwillig" macht schon klar, dass das Verfahren eigentlich nicht haltbar ist. Das hat auch das VG Wiesbaden am 6.10.2010 (6 K 280/10.WI) festgestellt.

Im 23. Tätigkeitsbericht des BfDI 2011, 7.2.3 (S. 88) wird daraus (leider) abgeleitet, statt eines grundsätzlichen Verbotes bedürfe es einer "normenklaren Rechtsgrundlage, die die Voraussetzungen und Begrenzungen eines solchen Verfahrens regelt".

Speicherung von Unbeteiligen

Bei Straftaten von erheblicher Bedeutung können nach dem BKA-Gesetz auch Daten von sogenannten Kontakt- und Begeleitpersonen gespeichert werden. Schon INPOL-Alt enthielt Daten von Personen, gegen die kein Ermittlungsverfahren lief. Im 17. Tätigkeitsbericht des BfDI (1998) steht dazu Folgendes:

In der Projektgruppe INPOL-neu gab es in Anlehnung an die bisherige INPOL-Praxis Überlegungen, auch personenbezogene Daten von nicht beschuldigten und nicht verdächtigen Personen im Rahmen der INPOL-Neukonzeption zu speichern. Das können Daten von Personen sein, die z. B. im Zusammenhang mit der Beschlagnahme eines Notizbuches gefunden werden, die sich nicht auf die beschuldigte oder verdächtige Person beziehen, jedoch auch prima facie nicht eindeutig als irrelevant bewertet werden können.

Die #Verbunddateien-Verordnung hat das weiter verrechtlicht.

Auftrags-DV für die Länder

Ein pikanter Aspekt der vom BKA immer wieder betriebenen Zentralisierung der polizeilichen DV ist die Auftrags-DV des BKA für einige Länder im Rahmen von INPOL-Land. Dabei ließen in der Vergangenheit einige Länder ihre Nachweissysteme auf BKA-Rechnern laufen, was damals verschiedentlich für datenschutzrechtlich bedenklich gehalten wurde. Inzwischen ist der Betrieb von Nachweissystemen so einfach und billig, dass das wohl nicht mehr gemacht wird.

Die Auftrags-DV (bei der das Landes-System beim BKA lief) ist natürlich etwas ganz anderes als die Speicherung in Verbund- und Zentraldateien (bei denen das BKA für die Länder speichert).

Zuständigkeit der BKA-EDV

Da Polizeidinge in der BRD zunächst Ländersache ist, sind an eine Speicherung beim BKA an sich spezielle Anforderungen zu stellen, es muss also ein über die normale Polizeiarbeit hinausgehender Zweck verfolgt werden. Die Standardformulierung ist, das BKA werde zuständig, wenn es sich um Straftaten von länderübergreifender, internationaler oder erheblicher Bedeutung (oder ihre Abwehr) handelt. In der Praxis speichert das BKA aber natürlich Bagtelldelikte -- schöne Beispiele sind da alte Kamellen aus PAD, bei denen etwa um 1996 in der Landstadt Balingen 66% der Speicherungen im Landessystem BKA-würdig gewesen sein sollen (u.a. Klau von Kirschbaumholz im Wert von 100 Mark).

Während solche Speicherungen damals wie heute unrechtmäßig waren, können auch Trivialdelikte nach ständiger Rechtsprechung in BKA-Systemen liegen, wenn diese "gewohnheitsmäßig" begangen werden oder die Polizeien länderübergreifende Zusammenhänge wittern.

Das BKA darf weiter auch Kontaktpersonen speichern (vgl. #Speicherung von Unbetiligten).

Freitexte, Anlagen

INPOL beherrscht mittlerweile Freitexte und Anlagen zu Datensätzen, was zumindest in Arbeits- und Falldateien auch genutzt wird. Auch wenn Freitexte vielleicht manchmal nicht indiziert werden, erlauben solche Möglichkeiten natürlich die Aushebelung von Beschränkungen der speicherbaren Merkmale, wie sie in Errichtungsanordnungen festgelegt werden. Im 21. TB BfDI (2006) (S. 67f) steht dazu folgendes:

Arbeits- und Falldateien setzen sich aus einzelnen Objekten zusammen (z. B. "Sachen", "Personen", "Ereignis"), an die jeweils auch Bilder oder importierte Textdateien ­ wie z. B. Vernehmungsprotokolle ­ angehängt werden können. Alle Informationsobjekte einer Datei lassen sich zudem über beliebige Beziehungen verknüpfen und erlauben eine entsprechende Auswertung der dabei gewonnenen Erkenntnisse.

Der BfDI ließ sich damals vom Innenministerium versichern, in Anhängen seien "nur Daten zu Personen enthalten, zu denen nach Maßgabe des BKA-Gesetzes ein Personendatensatz angelegt wurde", "anderweitige personenbezogene Daten" würden daraus entfernt. Dies scheint allein angesichts des dabei anfallenden Arbeitsaufwands schwer vorstellbar.

Es dürfen "Lichtbilder nur zu Beschuldigten, Verdächtigen und 'sonstigen Personen' im Sinne von § 8 Abs. 5 BKA-Gesetz"" gespeichert werden. Der BfDI ist weiter besorgt über die Inflation von Freitextfeldern.

Berechtigungssystem

Die Anlage von INPOL-Neu war, alle Daten in einer großen Datenbank zu halten ("anwendungsunabhängige Einfacherfassung"). Die Zugriffskontrolle erfolgt über Zugriffsbeschränkungen auf einzelne Tabellen. Auf welcher Ebene Rollen und damit "Berechtigungsbereiche" in der Datenbank vergeben werden (einzelne Beamte, Dienststellen, Programmschnittstellen) ist nicht bekannt.

Das BKA spricht von einem "komplexen Berechtigungssystem", d.h. es gibt einige Bereiche auf die alle Polizist_innen Zugriff haben und andere Bereiche auf die nur die mit Ermittlungen beschäftigten Kriminalbeamt_innen Zugriff haben.

Bekannte Berechtigungsbereiche sind nach Datenschleuder 82:

Geschichte

INPOL wurde 1972 die zentrale Datenbank des BKA (vgl. Datenbanken BKA) genannt; inzwischen werden kurzerhand die Datenhaltungen des BKA insgeamt als INPOL ("Polizeiliches Informationssystem") bezeichnet.

Das System kam im Rahmen einer Großreform des BKA durch den damaligen BKA-Chef und technophilen Sonnenstaats-Theoretiker Horst Herold, mit der der SPD-Mann den, freundlich gesagt, altbackenen und technophoben Nachfolgeapparats des Reichssicherheitshauptamts zu einer Art kleinen großen Bruder umgestalten wollten.

Im Laufe des Ausbaus der Überwachungsgesellschaft während der 70er und 80er Jahre wurden das System mit immer neuen Aufgaben betraut, es entstand eine unüberschaubare Menge von Einzel- und Unterdateien, die niemand mehr recht durchschaute. Erschwerend kam hinzu, dass das System auf dem proprietären Betriebssystem BS-1000 von Siemens anfing und zwar noch auf den Nachfolger BS-2000 portiert werden konnte, ein Umstieg auf zeitgemäßere Systeme aber ohnehin erheblichen Aufwand verursacht hätte.

So wurde 1990 das Projekt INPOL-neu zum kompletten Umbau auf den Weg gebracht. Als wichtigstes neues Prinzip sollte INPOL-neu die "anwendungsunabhängige Einfacherfassung" im Gegensatz zur anwendungsbezogenen, potenziell mehrfachen Erfassung von INPOL-alt bringen.

Im Jahr 2000 hätte das alles bei Kosten von knapp 20 Millionen Mark fertig sein sollen, doch wurde da nichts draus, wohl vor allem wegen des bei öffentlicher Softwareentwicklung üblichen Wasserkopfs von Bürokratie in Verbindung mit den Reibungsverlusten beim Outsourcing (die Entwicklung wurde vor allem von Debis betrieben).

Nachdem über die 90er Jahre hinweg der damalige Generalkontraktor Debis (zunächst eine Tochter von Daimler, dann von T-Systems) schon gegen 100 Millionen Mark verbrannt hatte, war der damalige Bundesinnenminister Otto Schily im Juli 2001 zu einer Inspektion hereingerauscht. Weil vergessen worden war, ein paar Indizes über die Datenbank laufen zu lassen, war das Antwortverhalten katastrophal, und es wurde laut Heise-Newsticker die Unternehmensberatung KPMG geholt. Die vergessenen Indizes waren indessen zu einer nach einem Bundestagprotokoll zu einer Haupt- und Staatsaktion geworden.

Die KPMG verriss in einem Gutachten das dem Vernehmen nach eigentlich schon ganz ordentlich laufende System, so dass die Arbeit eingestampft und das Projekt unter Federführung der KPMG selbst neu aufgesetzt wurde. Die KPMG-Leute schmissen alle anspruchsvollen Elemente aus INPOL-neu raus, importierten die alten Daten in eine Oracle-Datenbank, übernahmen ein paar Elemente aus der Landesentwicklung POLAS und bekamen die laut PM die Inbetriebnahme zum 16.8.2003 hin.

Mehr zum alten INPOL unter INPOL-Alt.

Operativ und Dispositiv

Das ursprüngliche INPOL-neu sollte "operative" (Erkenntnisabfragen und Co) und "dispositive" (Analyse, "Prävention") Elemente integrieren (BFD TB2001/02). Im Zuge des Projektneustarts wurden die dispositiven Elemente zunächst gestrichen und werden erst nach und nach implementiert.

"Operativ" sind dabei anfragen wie: "Was liegt gegen Herrn X vor?" oder "Kennen wir das Fahrzeug mit der Nummer Y". Anfragen an den dispositiven Teil von INPOL hätten dann sein können: "Welcher Zusammenhang besteht zwischen Herrn X und dem Fahrzeug mit der Nummer Y?" Das ursprüngliche INPOL-Neu enthielt eine recht komplexe Ontologie, um solche Anfragen bearbeiten zu können. Über den gegenwärtigen Stand der Umsetzung ist nichts Gewisses bekannt, klar ist, dass die KPMG bei der Übergabe die Nachrüstung entsprechender Funktionen zugesagt hat.

Technik

INPOL wird weiterentwickelt, offenbar u.a. um die zwischenzeitlich aufgegebenen dispositiven Elemente nachzurüsten, aber gewiss auch zur weiteren Integration biometrischer Daten. Bekannt ist u.a. der Einsatz der Report und Analysesoftware COGNOS ausgestattet.

INPOL lief von Beginn an auf einem Cluster von HP-UX-Systemen; das BKA möchte aber dem Vernehmen nach davon wegmigrieren.

Skandale

Weitere Skandale finden sich auf den von INPOL aus verlinkten Seiten zu INPOL-Einzeldateien, z.B. AFIS, FDR usf.

Viele AusländerInnen rechtswidrig in KAN und SIS

Im 25. Tätigkeitsbericht des LfD BaWü, 2.1/2 wird von einer Untersuchung von Ausschreibungen von AusländerInnen aus BaWü berichtet, die in SIS oder in KAN zur Fahndung ausgeschrieben wurden. Dabei kam unter anderem heraus:

BKA hilft NATO gegen polnische Presse

Im Vorfeld des NATO-Jubiläums 2009 hat das BKA nicht nur belgische Datensätze nach Frankreich verschickt, sondern wegen einer INPOL-Auskunft auch die Akkreditierung eines Mitarbeiters der polnischen Ausgabe von Le Monde Diplomatique sowie eines des Neuen Deutschland verhindert; dabei ging es jedenfalls in zweiterem Fall um irgendwelche halbverschimmelten Ermittlungsverfahren, in ersterem Fall ist die Datengrundlage jedenfalls hier nicht bekannt. Es entspann sich eine umfangreiche Auseinandersetzung, die Labournet. Die Maßnahme selbst wurde im Oktober 2010 vom Verwaltungsgericht Wiesbaden gerügt, allerdings nicht, weil das BKA die Daten nicht hätte haben dürfen oder sollen, sondern weil es keine Rechtsgrundlage für die Übertragung an die NATO gab.

"Gewalttäter"-Dateien

Laut einer in Ratsdokument 5450/09 dokumentierten Umfrage im Auftrag des EU-Rates von 2009 war die BRD das einzige Land der EU war, die Datenbanken für "Gewalttäter" (bzw. "Troublemaker") hatte. Schon eine rechtliche Definition des Begriffs gab es nur noch in Dänemark.

Das BKA lässt unterdessen eifrig für entsprechende Kategorien werben, insbesondere im Zusammenhang mit Initiativen zu ECRIS und EPRIS.

Inzwischen gibt es Dateien für „Gewalttäter“ in allen möglichen Bereichen von Sport bis Links, einschließlich „politisch nicht zuzuordnen“.

Staatsschutzdelikte aus Brandenburg komplett

Der LfD Brandenburg bemängelt im 13. TB (2004/05), Abschnitt 5, dass sämtliche Straftaten aus dem Staatsschutz-Bereich in INPOL übernommen werden, selbst wenn die Details nicht den INPOL-Kriterien entsprechen.

Big Brother Award 2002: „Gewalttäter“-Dateien

Das BKA bekam den Big Brother Award für 2002 für die Errichtung der INPOL-Teildatenbanken LIMO (linksmotivierte Straftaten), REMO (Rechtsmotivierte Straftaten) und AUMO (Ausländermotivierte Straftaten). Vgl. dazu die Laudatio von Rolf Gößner.

Unakkreditierungen beim 2017er G20-Gipfel

Noch während G20-Gipfel in Hamburg im Juli 2017 hat das BKA aufgrund von gewohnt obskuren Datenbankeinträgen die Akkreditierung von mindestens 30 Journalist_innen aufgrund von „Sicherheitsbedenken” zurückgezogen. Eine Momentaufnahme der für Verhältnisse der BKA-Kritik relativ scharfen Debatte, die sich daraus ergab ist dieser heise-online-Artikel vom 21.8.2017.

Weiteres

Datenschmutz Wiki: Datenbanken BKA (zuletzt geändert am 2023-03-25 14:27:12 durch anonym)