Fußtritte als Chance

Die elektronische Kriminalakte beim BKA

In RHZ 1/14 haben wir einen Überblick über die verschiedenen Sorten von Polizei-EDV gegeben. Von den alten Auskunftssystemen („X ist linker Gewalttäter”) ging es über Vorgangsverwaltungen („X hat zu Neujahr bei der Dienststelle Sterbfritz angerufen”) bis zu Fallbearbeitungen („folgende 40000 Bürger waren zu Blockupy in der Gegend der EZB”). Schließlich, so schrieben wir damals, werde Papier auch bei den Kriminalakten (KAen) zu einem Problem, wenn „die Menschenrechtsverletzungen ein Ausmaß annehmen, das ohne Computer nicht mehr zu bewältigen ist”. Beim BKA ist es seit ein paar Jahren soweit: Die Kriminalakten (KA) kommen in die Computer und werden zur elektronischen Kriminalakte (eKA). Dass die Dinge wirklich schlimm liegen, wurde in diesem Frühjahr durch eine Anfrage nach dem Informationsfreiheitsgesetz (IFG) offenbar.

Anlass der Anfrage war eine beiläufige Mitteilung im 25. Tätigkeitsbericht der Bundesbeauftragten für Datenschutz (BfDI), nach der das BKA inzwischen 1.1 Millionen Kriminalakten digitalisiert habe. Angesichts des Materials, das sich in bei verschiedenen Gelegenheiten geleakten Akten so fand – Zeugenaussagen, Spitzelberichte, Tatortspuren, Aktennotizen und was immer sonst den Beamt_innen in den Sinn kommt – stellt sich natürlich die Frage, wie der Kram eigentlich gespeichert wird, wer darauf Zugriff hat, wie da was gelöscht wird, und vor allem, ob in dem Wust auch gesucht werden kann.

Die Regeln, nach denen Daten bei der Polizei gespeichert, verarbeitet und analysiert werden dürfen, sollten für jede Datensammlung in einer Errichtungsanordnung (ErrAO) festgelegt sein – wir hatten in RHZ 3/15 davon erzählt. Auf diese ErrAO zielte dann auch die IFG-Anfrage, deren Verlauf bei fragdenstaat dokumentiert ist [1].

Wie üblich bei IFG-Anfragen, lavierte das BKA zunächst; die ursprüngliche Antwort, dass nämlich die ErrAOen von Kriminalaktennachweis (KAN) und BKA-Aktennachweis (BKA-AN) schon die ganze Wahrheit sein sollten, hätten wir auch nicht geglaubt: Wie könnte eine Datei, die schon ihrem Namen nach KAen lediglich „nachweist”, bereits die vollen Daten enthalten? Das wäre ja, als sei der Zettelkasten in der Gemeindebücherei schon das ganze Regal. Oder?

Bittere Wahrheiten

Nach einigem Hickhack, das schließlich bis vors Verwaltungsgericht führte, kam schließlich heraus, dass das BKA dieses Mal nicht gelogen hatte: Die elektronische Kriminalakte (eKA) des BKA wird ganz schlicht in den Freitextfeldern von KAN und BKA-AN gehalten.

Dies ist zunächst bemerkenswert, weil genau davor Generationen von Datenschützer_innen gewarnt hatten. Die präzise Bezeichnung von Feldern und ihren Inhalten, wie sie in ErrAOen von Auskunftssystemen Standard war, erlaubt nämlich immerhin die Abschätzung, wie tief die Menschenrechtseingriffe durch die EDV im Einzelfall sein werden. Wenn in einem Feld zum Beispiel nur genau ein Geburtsdatum steht und klar ist, dass es nur genau gegen ein Vergleichsdatum abgeglichen werden darf, ist vielen staatlichen Durchgriffen erstmal vorgebaut. Und wenn die möglichen Werte Personenbezogener Hinweise (vgl. get connected in RHZ 2/16) definiert sind, ist zumindest klar, ob die Polizei zwischen gandhianischen Anarchist_innen und volkskriegerischen Maoist_innen unterscheidet (tut sie, ob das nun Trost ist oder Ärger, in keiner uns bekannten Datenbank).

„Freitext” dagegen kann tatsächlich zunächst mal alles sein, und die Einhaltung der Datenschutzprinzipien – mal ganz grob Angemessenheit des Zwecks sowie Notwendigkeit und Eignung der Daten dazu – obliegt dann den in dieser Hinsicht erwiesen völlig inkompetenten Beamt_innen an der Tastatur.

In der alten KAN-ErrAO von 2006 wurden immerhin noch die zu jeder Gruppe von Daten gehörigen Freitextfelder eingeschränkt durch ein „nur zur Erläuterung/Ergänzung der vorgenannten Datenfelder”. Es ist bedauerlich genug, dass diese windelweiche Sprache am damligen BfDI vorbeikam. In der in Vorbereitung auf die eKA reformierten ErrAO von 2013 wurde aber selbst das noch auf „die Personendaten betreffende Besonderheiten in freier Form” zusammengestutzt.

Diese „Besonderheiten” machen also die eKA aus. Und zwar, so räumt das BKA ein, so, dass in den Freitextfelder zu einer Person gemeinsam gesucht werden kann, nicht jedoch global über mehrere gespeicherte Personen hinweg.

Verhältnismäßigkeit be damned

Für eine Datensammlung, in der locker über politische Orientierungen und sexuelle Präferenzen gerne auch zunächst Unbeteiligter geredet wird – wie etwa in unserem Klassiker „Weiter privat über Liebe” (RHZ 3/13) berichtet wird, ist sowas zumindest in Ermittlungsakten ganz normal – ist das eine bemerkenswert dürre Regelung. Schon eine normenklare Abgrenzung des Speicherzwecks fehlt völlig. Es ist dann fast folgerichtig, dass kein Wort darüber verloren wird, welche Speicherfristen für die verschiedenen neuen Kategorien von Daten einzuhalten wären und wie das überhaupt passieren soll. Denn natürlich müssten an sich persönliche Daten von Zeug_innen oder Spekulationen über mögliche Kontaktpersonen viel früher gelöscht werden als ein gerichtlich bestätigter Tatvorwurf. In einem Stück PDF oder dem daraus extrahierten Text ist das zumindest höchst komplex und unserer Ansicht nach allenfalls manuell zu bewältigen. Das BKA scheint sich dazu weiter weder Sorgen noch Gedanken zu machen.

Das mutmaßliche Versagen des BKA bei der datenschutzkonformen Löschung von Teilinformationen aus ihren eKAen wiegt noch schwerer, weil deutsche Polizeien, solange ihnen niemand auf die Finger schaut, bei „Zuspeicherung” die Fristen aller einschlägigen Daten wieder auf das Maximum zurücksetzen. Wenn euch ein eifriger Polizist also mal mit einer gesehen hat, die alle neun Jahre mal Castoren oder Panzer blockiert (Speicherfrist für diese Sorte „politischer Kriminalität” ist recht typisch zehn Jahre), könnt ihr sehr, sehr lange im Polizeicomputer verbleiben.

Solange so eine Erwähnung in einem schimmligen Aktenschrank ruhte, war die Wahrscheinlichkeit, dass daraus Ärger resultieren könnte, ziemlich verschwindend. So, wie die eKA jetzt angelegt ist, sind die Dokumente hingegen auf Knopfdruck bundesweit und vermutlich von zehntausenden Beamt_innen einzusehen – zumindest regelt die ErrAO keine Beschränkungen beim Zugriff auf die Freitextfelder.

Richtig fürchterlich würden die Dinge, wenn die Freitextfelder global suchbar würden, denn dann bekäme, wer „Damian Zybotka” in die Suchmaske am Polzeicomputer tippen würde, vermutlich eine fast vollständige Geschichte des polizeilichen Interesses an der durch den Suchbegriff recht eindeutig identifizierten Person zurück. Wohl der, die Stefanie Müller heißt.

Eine Fußnote in der ErrAO schließt so ein Szenario derzeit hoffentlich aus: „Die Erschließung des KAN erfolgt über Name, Vorname, Geburtsdatum in jeder Verbindung, die den Namen enhält. Suchbegriffe der Personenbeschreibung (L-Gruppe) sind noch nicht realisiert.” Angesichts der profunden Implikationen ist allerdings ein Fußnötchen in der jederzeit ohne öffentliche Beteilung änderbaren ErrAO ein erschütternd kläglicher Schutz.

Die Forderung nach „technischen und organisatorischen Maßnahmen”, die nach Datenschutzgesetz zu treffen seien, um zumal so gravierenden Verstößen vorzubeugen, liegt hier also sehr nahe. Unter diesen gäbe es eine einfache, naheliegende und ziemlich sichere: Da nicht zu erkennen ist, wieso der Speicherzweck der eKA – so undefiniert er derzeit auch ist – eine Suchbarkeit der eKA auch nur auf der Ebene einer einzelnen Person ermöglichen sollte, könnten die Akten doch einfach als Bilder gespeichert werden. Technologie, in schlichten Scans schnell zu suchen, dürfte noch eine Weile auf sich warten lassen.

Schade, dass der BfDI bei der Neuauflage der ErrAO darauf nicht geachtet hat. Aber vielleicht war ja auch ihm nicht klar, worauf das alles hinausläuft. Dann aber wäre es für seine Nachfolgerin jetzt Zeit, der OCR (Wandlung von Scans in Text) beim BKA ein Ende zu setzen.

Endlich Einblick

Klar, niemand kann das dumme Gewäsch von der „Krise als Chance” mehr hören. In diesem Fall allerdings könnte darin ein Körnchen Wahrheit stecken. Denn durch die Aufnahme der KAen in Rechner unterliegen diese jetzt voll dem Datenschutzgesetz, und weil es für die Freitextfelder des KAN keine speziellen Auskunftsregeln gibt, müssen diese auch beauskunftet werden. Eigentlich.

Nun sind die Kriminalakten aus Tradition top secret für alle außerhalb des Apparats, allen voran natürlich für die Betroffenen. Insofern ist nicht davon auszugehen, dass das BKA beim nächsten Auskunftsersuchen freiwillig einen Stapel Ausdrucke der Dokumente in den Freitextfeldern mitschickt. Wir behaupten aber, dass es dazu verpflichtet wäre, wo nötig mit Schwärzungen zum Schutz von personenbezogenen Daten Dritter.

Und da suchen wir nun nach Aktivist_innen, die eine (interessante) Kriminalakte beim BKA haben könnten und sich vorstellen können, diese freizuklagen – wir würden natürlich helfen, wo wir können. Wer sich angesprochen fühlt, möge doch bitte mit einem üblichen Auskunftsersuchen [2] beim BKA anfangen (es spricht nichts dagegen, für dieses Mal gleich eine polizeilich bestätigte Ausweiskopie beizulegen). Wenn es darin einen Hinweis auf eKAen gibt, rührt euch doch bitte bei uns (Kontakt unten).

Ansonsten gilt auch hier wieder: der Rechtsweg ist nicht erschöpfend. Es braucht auch eine politische Auseinandersetzung. Beim sich an Macht und Wichtigkeit berauschenden BKA ist diese besonders nötig.

Die Tiefe dieses Rauschs zeigte sich bei der hier diskutierten IFG-Anfrage etwa an der Argumentation, mit der das Amt Details zu ihrer Implementierung der eKA verweigert hat. Diese könnten nämlich Angriffe erleichtern, die die EDV des BKA stören könnten, was wiederum das Funktionieren des ganzen BKA beeinträchtigen könnte, was wiederum (wir paraphrasieren behutsam) die Bevölkerung in Panik versetzen und so (an der Panik wäre ja erstmal nichts falsch) den Bestand der BRD gefährden würde. Völlig hypothetische Szenarien zur Staatsgefährdung sind für das BKA Grund genug, elementare Menschenrechte zu verweigern. Das Amt entzieht sich weiter jeder Kritik an dieser Fantasie durch flinkes Ziehen eines Kafka:

Auch bei einer näheren Beschreibung möglicher Angriffsszenarien könnten Informationen publik werden, die für die Vorbereitung eines Angriffs auf die Informationstechnik des Bundeskriminalamts nützlich sein könnten.

Ein Laden, der seine Prioritäten so setzt und ohnehin eine eindrucksvolle Sammlung von haarsträubenden Fußtritten gegen Bürgerrechte aufzuweisen hat – wir möchten dazu erneut zur Lektüre unseres Beitrags in RHZ 3/13 einladen –, ein solcher Laden wäre nach unserem Geschmack der nächste. Gleich, nachdem der „Verfassungsschutz” endlich Geschichte geworden ist.

Datenschutzgruppe der Roten Hilfe Heidelberg

Kontakt und Artikel-Archiv: https://datenschmutz.de

PGP Fingerprint (vgl. https://datenschmutz.de/pgp-transition.txt): 4FD3 B3EE 7FCE 9FFD EC75 CAF9 4847 5F52 5C0C 5DB1

[1]https://fragdenstaat.de/anfrage/dokumente-zur-elektronischen-kriminalakte/
[2]http://datenschmutz.de/auskunft – natürlich ist euch das auch anempfohlen, wenn ihr keine Lust habt, eure eKA freizuklagen.

Dieser Artikel ist in der Kolumne get connected der Zeitung der Roten Hilfe erschienen. Weiterverwendung unter CC-SA oder GNU FDL ohne invariante Teile ist willkommen; wenn für diese Zwecke einE Copyright-HalterIn relevant werden sollte, wendet euch vertrauensvoll an uns.

get connected wird von der Datenschutzgruppe der Roten Hilfe Heidelberg betreut.