Bürgerrechte & Polizei/CILIP 62 (1/1999)

Inpol-neu

Folgen für den Datenschutz

von Antonia Wirth

Das 1972 beim BKA in Betrieb genommene Informationssystem der Polizeien des Bundes und der Länder – kurz: INPOL – ist in die Jahre gekommen. Nach 27jähriger Dienstzeit rund um die Uhr soll es im nächsten Jahr durch ein modernes Datenbanksystem abgelöst werden. Dessen schlichte Bezeichnung INPOL-neu läßt die damit einhergehende Neustrukturierung des Datenbestandes und der Datenverarbeitung nicht erkennbar werden.

Als das aktuelle INPOL-System eingeführt wurde, galt es als technische Meisterleistung. Man hatte es geschafft, die teilweise bereits vorher existierenden und nur begrenzt kompatiblen EDV-Systeme der Länderpolizeien in einem gemeinsamen Datenverbund mit dem BKA zusammenzufassen. Seit den 70er Jahren wurde das System ständig ausgebaut. Insbesondere seit der Einführung der PIOS-Dateien (Personen – Institutionen – Objekte – Sachen) kamen immer neue Anwendungen, neue Dateien, mit unterschiedlichen Operationscodes und Erfassungsmasken hinzu. Eine Folge davon war, daß immer gleiche Grunddaten in verschiedenen Dateien wiederholt erfaßt wurden und die Fallbeschreibungen je nach Anwendung variierten.

INPOL-neu soll dagegen ein Datenbanksystem aus einem Guß werden, dessen Systemarchitektur solchen effizienzhemmenden Wildwuchs von Anfang an ausschließt. An die Stelle der verschiedenen Anwendungen soll ein gemeinsamer Datenpool treten. Die Falldaten sollen für alle Deliktsbereiche einheitlich erfaßt werden, Falldateien und Meldedienste in der bestehenden Form sollen verschwinden. INPOL-neu verspricht einfache Möglichkeiten des Abfragens, der freien Recherche, der Auswertung, der grafischen und tabellarischen Aufbereitung und schließlich die Bereitstellung von Bildinformationen (siehe Grafik, Größe: 15 KB).

Bundesrecht oder Landesrecht

Rechtsgrundlage für INPOL-neu ist das 1997 novellierte BKA-Gesetz. In dessen Entstehungsgeschichte hatte der Bund versucht, seine Kompetenzen und Zuständigkeiten in Bereiche auszudehnen, die die Länder in den 80er Jahren im Zuge der durch das Volkszählungsurteil bedingten Neugestaltung des Polizeirechts besetzt hatten. Bundesrecht breche Landesrecht, hieß die Antwort von Bundesinnenministerium (BMI) und BKA, wenn die LändervertreterInnen auf ihre von den Entwürfen des BKA-Gesetzes abweichenden Vorschriften zu Verarbeitungsvoraussetzungen, Aufbewahrungsfristen und Auskunftserteilung hinwiesen. Das im Grundgesetz verankerte Prinzip, daß Polizeirecht Ländersache ist, wurde dabei nicht zur Kenntnis genommen. Erst im Bundesrat wurde die Kompetenzverlagerung wieder rückgängig gemacht.

Die schließlich verabschiedete Version des BKA-Gesetzes verweist nunmehr bei den Regelungen über die Löschung von Daten und die Auskunft an Betroffene auf das Recht des Bundeslandes, das die Daten eingegeben hat und damit deren „Besitzer“ ist. Es enthält keine Mindestfristen, nach denen die Löschung zu erfolgen hat, sondern nur Fristen, nach deren Ablauf die Daten auf ihre weitere Erforderlichkeit hin zu überprüfen sind. Auch für den Bereich der Gefahrenabwehr einschließlich der unterdessen im Polizeirecht fest verankerten Vorsorge für die künftige Strafverfolgung gilt das jeweilige Landesrecht.

Ungeachtet des gestutzten BKA-Gesetzes wiederholten sich bei der Realisierung von INPOL-neu die Versuche des BKA, über den gesetzlichen Rahmen hinaus Datenspeicherungen zu ermöglichen.

Zugriffsberechtigungssystem

Der Aufbau von INPOL-neu, bei dem alle Datensätze in einem anwendungsunabhängigen Datenpool gespeichert werden, bedingt ein ausdifferenziertes Berechtigungssystem, das einen selektiven Zugriff je nach Aufgabenzuweisung ermöglicht. Die Zugriffsrechte von der Datenbank INPOL-neu bis zur Schnittstelle mit dem polizeilichen Informationssystem des jeweiligen Landes verwaltet das BKA. Die Festlegung der BenutzerInnengruppen bei den Länderpolizeien fällt in die Landeszuständigkeit und wird dort festgelegt.

Bisher wurden Zugriffsrechte funktional, d.h. nach fachlichen Kriterien, vergeben. Auf die Arbeitsdatei PIOS Innere Sicherheit können beispielsweise nur die BeamtInnen der Staatsschutzdezernate bzw. -abteilungen zugreifen. Ähnliches gilt für andere Anwendungen. Das Zugriffsberechtigungssystem für INPOL-neu folgt dagegen einem hierarchischen Modell: Die Berechtigungsklasse „organisierte Kriminalität“ ist damit auch zugriffsbefugt für alle unterhalb von „organisierter Kriminalität“ liegenden Klassen wie z.B. „Kfz“ oder „Waffen“. Berechtigte für diese Untergliederungen können auf die Berechtigungsklasse „Fall“ zugreifen. Diese stellt die unterste Stufe dar. Die Zugriffsklasse „Fall“ umfaßt den Bestand der Grunddaten sowie Daten aus besonderen Kriminalitätsbereichen. Ob und inwieweit dieses Konzept der fachlichen Differenzierung innerhalb der polizeilichen Aufgabenerfüllung Rechnung trägt, scheint fraglich.

Vor allem aber berücksichtigt das hierarchische System die bisher bei der Vergabe von Zugriffsrechten erfolgte Definition des zur jeweiligen Aufgabenerfüllung erforderlichen Datenumfangs nicht mehr. Das Berechtigungssystem müßte in der Systemarchitektur des anwendungsunabhängigen Datenpools das leisten, was in INPOL-alt bei der Errichtung einer Datei erfolgte. Es müßte nämlich den erforderlichen Datenumfang festlegen. Obwohl auch in INPOL-neu eine Festlegung des im jeweiligen Kontext zu speichernden Datenumfangs zwingend ist, ist dieser Aspekt völlig offen.

Protokollierung

Die Protokollierung von Zugriffen gibt den Datenschutzbeauftragten ein wichtiges Instrument der Kontrolle an die Hand. Aufgrund der Protokolle läßt sich zumindest stichprobenartig überprüfen, wie häufig und von wem eine entsprechende Datei abgefragt wurde und ob der Zugriff rechtmäßig erfolgte. Für INPOL-neu ist die Protokollierung derzeit so konzipiert, daß jeder zehnte Zugriff einschließlich des zugreifenden Landeskriminalamts automatisch im System festgehalten wird. Im jeweiligen Landessystem soll dagegen eine ausführliche Protokollierung stattfinden. Dabei sollen der Zugriffsberechtigte, Ort, Zeit und das entsprechende Terminal festgehalten werden. Länder, die wie das Saarland oder Brandenburg noch kein eigenes Landessystem betreiben, verfügen allerdings auch nicht über die technischen Kapazitäten für eine derartige Protokollierung.

Integration der Meldedienste

Schon vor der Einführung der EDV in den 70er Jahren übermittelten die Länderpolizeien dem BKA ihre Nachrichten in Form von Meldediensten, deren Zahl in den letzten Jahren massiv gewachsen ist. Der Kriminalpolizeiliche Meldedienst (KPMD) ist seit Jahren ein Problemkind. Trotz diverser Versuche, die Meldewege zu informatisieren, werden die Nachrichten auch heute noch überwiegend konventionell erstellt und abgesetzt.

Durch INPOL-neu soll nun die Automatisierung tatsächlich erfolgen. Dafür muß die Unzahl der Meldedienste auf ihre Erforderlichkeit hin überprüft und neu konzipiert werden, da ein Meldedienst bisher jeweils eine Anwendung in INPOL-alt bediente. Voraussetzung dafür, daß eine Information Eingang in einen Meldedienst bzw. überhaupt in INPOL fand, war die überregionale Bedeutung und die Schwere eines Delikts. Wenn INPOL-Relevanz gegeben war, mußte bisher eine Meldung erfolgen. In INPOL-neu werden die Meldedienste als ganze entweder zu „Kann“- oder zu “Muß“-Fällen. Bei „Muß“-Fällen hat einE SachbearbeiterIn keinen Bewertungsspielraum, ob eine personenbezogene Information überhaupt INPOL-relevant ist. Da hier die Einzelfallprüfung entfällt, ist zu befürchten, daß Daten unterhalb der im BKA-Gesetz vorgeschriebenen Schwelle in INPOL-neu eingegeben werden. Eine ähnliche Regelung soll auch für den Kriminalaktennachweis (KAN) getroffen werden.

Antonia Wirth ist freie Journalistin in Würzburg.