ROSENHEIM - Maschinenlesbar: Das neue Attribut des Bundespersonalausweises löst häufig Angst vor dem "gläsernen Bürger" aus. Bei dem bundesweiten Polizei-Informations-System INPOL verhindern derzeit interne wie externe Sicherungen grundsätzlich einen unbefugten Zugriff, erläutert Dr. Horst Herold, ehemaliger BKA-Chef, im zweiten Teil seines Berichts.
Bei dem Aufbau des Systems waren der Kriminalpolizei die Möglichkeiten von Systemmißbräuchen durch Erschließung anderer oder Errichtung neuer Dateien durchaus bewußt. Um sie zu verhindern, realisierten die Gremien der Kriminalpolizei vier von jedermann nachprüfbare Grundsätze, die sich im Aufbau und in der Wirkungsweise des Systems niederschlagen:
1. Grundsatz: Es darf keine bundesweite Verfügungsmacht über die Nutzung von Fahndungsdaten geben - dieser Grundsatz zerlegt das INPOL-System in die Ebenen des Bundes und der Länder und nimmt dadurch jeder Stufe die Mißbrauchsmöglichkeit.
Aus der sternförmigen Natur des INPOL-Leitungsnetzes, von den Landesrechnern zum BKA als Mittelpunkt, folgerte die öffentliche Diskussion zu Unrecht, daß INPOL als striktes Zentralsystem hierarchisch aufgebaut sei und die Informationsdominanz unter den Beteiligten sich daher im Bundeskriminalamt konzentriere. Tatsächlich wurde die Architektur des Systems jedoch bewußt dem föderalen Stufenaufbau der Bund-Länder-Kompetenzen angepaßt. Im INPOL-System obliegt dem BKA lediglich die Aufgabe, den in allen Rechnern des Bundes und der Länder inhaltsgleich parallel geführten Fahndungsbestand ständig zu aktualisieren. Insoweit erfüllt der Bundesrechner die Funktionen eines Dienstleistungs- und Vermittlungsrechner, das heißt, er vermittelt die Daten für die Landesrechner, beantwortet aber selbst keine Anfragen.
Erläßt zum Beispiel das Amtsgericht Lindau einen Haftbefehl gegen den flüchtigen Max Müller, gibt die Lindauer Polizei über ihre Datenstation die Fahndungsdaten in den bayerischen Landesrechner des Landeskriminalamtes in München ein. Der Landesrechner prüft, ob die Daten bereits im Fahndungsbestand enthalten sind. Ist dies nicht der Fall, sind die Daten also neu, so werden sie dem Bundesrechner in Wiesbaden weitergeleitet. Der Bundesrechner speichert die neuen Daten in seinem eigenen Bestand ergänzend ab und leitet sie in derselben Sekunde an die Fahndungsbestände der Landesrechner von Hessen, Baden-Württemberg, Niedersachsen, Nordrhein Westfalen, Berlin, Rheinland-Pfalz und Hamburg weiter, wo sie nach voneinander völlig verschiedenen Methoden und Formen gespeichert werden. Ähnlich, jedoch in umgekehrter Folge, vollziehen sich die Löschungen von Fahndungen.
Auf den Leitungen zwischen Bund und Ländern werden sonach nur Neuzugänge und Löschungen transportiert. Nur diese Datensätze sind nach "Verbundkonventionen" normiert, die die Arbeitsgemeinschaft des Bundeskriminalamtes (AG Kripo) mit den Landeskriminalämtern, im sog. INPOL-Manual festgeschrieben hat. Hinter den "Schnittstellen" der Landesrechner werden die übermittelten Datensätze jeweils landesintern wieder umformatiert, weil die Anlagen sich nach Herstellerangaben, Modell, Datenbankaufbau und Organisation, Formaten und Abläufen in gravierender Weise unterscheiden. Jeder Landesrechner verfügt über einen zwar inhaltsgleichen und ständig aktualisierten, jedoch abweichend aufgebauten Parallelbestand.
Die gesamte Anfragelast der Polizeibasis wird von den Landesrechnern beantwortet, Bremen und Saarland ausgenommen, die noch keine eigenen Rechner besitzen. Das BKA weiß nicht, wer, was, über wen bei den Landesrechnern anfragt und welche Auskünfte diese erteilen. Da zwischen ihm und den Ländern keine Fahndungsabfragen sondern nur Neuzugänge und Löschungen übermittelt werden, ist es außerstandgesetzt auf der Ebene des Bundes aufgrund von Abfragen Dateien zu erschließen oder neue Dateien zu errichten und damit an zentraler Stelle "Bewegungsbilder" zu gewinnen, wie fälschlich immer wieder behauptet wird.
2. Grundsatz: Es darf weder auf der Ebene des Bundes noch der Länder einen Datenverbund der Polizei mit anderen Behörden und Institutionen geben - dieser Grundsatz verbietet über den Fahndungsbereich hinaus die Erschließung oder Errichtung außerpolizeilicher Dateien und sichert dadurch Fahndungsabfragen zusätzlich ab.
Technische Vorkehrungen verhindern, daß die Polizei in keinem ihrer Arbeitsbereiche im Wege eines automatisierten Rechner-Rechner-Verbundes auf außerpolizeiliche Dateien zugreifen oder solche errichten kann. Dies schließt auch für eine Fahndungsabfrage aus, daß diese zum Beispiel zugleich nach den Vorstrafen beim Bundeszentralregister fragt, oder Auskünfte vom Verfassungsschutz, vom Bundesnachrichtendienst (BND) und vom Militärischen Abschirmdienst (MAD) erholt.
Nach dem Volkszählungsurteil vom 15. Dezember 1983 steht Fest, daß das informelle Selbstbestimmungsrecht des Bürgers, auch gegenüber dem Staat grundsätzlich selbst über die Preisgabe oder Verwendung seiner Daten zu bestimmen, einen höheren Rang einnimmt als das bisher geltende Prinzip der informationellen Einheit aller staatlichen Behörden. In informationeller Gewaltenteilung muß jede Behörde künftig ihre personenbezogenen Daten grundsätzlich abgeschottet und isoliert erheben und verarbeiten; Ausnahmen bedürfen ausdrücklicher gesetzlicher Grundlagen. Ob eine solche Ausnahme für eine Datenverbindung der Polizei zum Kraftfahrzeug-Auskunftssystem ZEVIS (Zentrales Verkehrs-Informationssystem) des Kraftfahrtbundesamtes rechtlich zulässig ist, wird derzeit diskutiert. Die sachliche Notwendigkeit ist unbestreitbar. Notwendig wäre auch ein internationaler Verbund der Sachfahndungsdateien aller Polizeien, dem, soweit sichergestellt ist, daß personenbezogene Daten in den Dateien weder enthalten sind noch automatisch erschlossen werden können, keine datenschutzrechtlichen Bedenken entgegenstünden.
3. Grundsatz: Fahndungsabfragen dürfen ausschließlich aus den Beständen der Personen- und Sachfahndung beantwortet werden -dieser Grundsatz soll die Parallelerschließung anderer polizeilicher Dateien verhindern.
Technische Vorkehrungen stellen sicher, daß Fahndungsabfragen kanalisiert nur auf die abgesonderten Fahndungsbestände zulaufen und andere polizeiliche Dateien nicht erschließen. Sonach wird ausgeschlossen, daß der Kontrollbeamte über die Fahndungsauskunft hinaus noch weitere Angaben aus Polizeidateien erhält, etwa, daß die Person zwar nicht gesucht wird, aber zum Beispiel wegen Betrugs bereits mehrfach in Erscheinung getreten ist.
4. Grundsatz: Fahndungsabfragen dürfen im System keine Spuren hinterlassen - dieser Grundsatz verhindert die Errichtung neuer Dateien. Trifft eine Fahndungsabfrage auf Bestand, so erscheint der gefundene Datensatz auf dem Bildschirm, anderenfalls die Nachricht: Kein Fahndungsbestand. Die Auskunft erlischt, wenn sie erledigt ist, etwa weil andere Abfragen gehalten werden. Im System bleibt keine Spur der Inhalte von Abfrage oder Auskunft zurück. Sollen diese Inhalte gleichwohl festgehalten werden, so müßten per Programm alle Anfragen und Auskünfte "mitgeschnitten", das heißt aufgezeichnet, registriert oder protokolliert und auf einem gesonderten Datenträger (Magnetplatte oder -band) als neue Datei gespeichert werden.
Bund und Länder kamen bereits 1972 überein, Hard- und Softwarevorkehrungen, die "Mitschnitte" bewirken sollen, im INPOL-System nicht zuzulassen. Die Einhaltung dieser Konvention ist technisch relativ einfach durch "Festverdrahtung" der Ausgangskanäle überprüf- und sicherbar.
Das Zusammenwirken der vier genannten Grundsätze kapselt den Fahndungsbereich innerpolizeilich von anderen Arbeitsrechnern und nach außen von allen außerpolizeilichen Dateien ab. Dadurch wurde sichergestellt, daß von der schätzungsweise halben Milliarde Fahndungsanfragen, die seit 1972 an INPOL gerichtet wurden, weder andere polizeiliche oder außerpolizeiliche Dateien erschlossen noch neue Dateien errichtet worden sind. Sämtliche Anfragen sind im System "spurenlos" geblieben.
Bestehen solche Sicherungen, so kann die Maschinenlesbarkeit des Personalausweises für sich genommen personenbezogene Daten nicht gefährden. Mißbräuche werden nicht durch die Abfrage bewirkt, sondern dadurch, was mit ihr eventuell geschieht.
Auch der Änderungsentwurf der Fraktionen der CDU/CSU und FDP Entwurf eines Fünften Gesetzes zur Änderung des Gesetzes über Personalausweise - BT-Drucksache 10/ 2177 vom 23. Oktober 84) geht davon aus, daß das Feld möglicherweise Mißbräuche der aus dem Ausweis entnommenen personenbezogenen Daten nicht im, sondern hinter dem Personalausweis im Fahndungssystem liegt. In Artikel 3a Abs. 1. gelangt der Entwurf zu drei Grundsätzen, die den letzten drei der hier dargelegten entsprechen. Aus der Gegenüberstellung des Entwurfstextes zur Skizze der Mißbrauchsmöglichkeiten ergeben sich aber auch Unterschiede.
Artikel 3a Satz 1 entspricht dem zweiten Grundsatz (Verbot des Datenverbundes). Er schließt zwar nur das automatische Lesen durch Nichtpolizeibehörden aus, jedoch ergibt sich aus Satz 2, daß auch die Polizei nicht auf außerpolizeiliche Dateien zurückgreifen darf.
Artikel 3a Satz 2 entspricht dem dritten Grundsatz (Beschränkung von Abfragen auf den Fahndungsbestand). Mißverständlich und falsch ist die Aufzählung des Zweckes der "Grenzkontrolle". Die Grenzkontrolle kann entweder Identitätsfeststellung sein, dann findet kein automatisches Lesen statt, weil es Identifizierungsdateien nicht gibt und auch nicht geben soll, oder sie stellt eine Fahndungsabfrage dar, dann ist sie bereits von dem genannten Fahndungszweck umfaßt. Artikel 3a Satz 3 entspricht dem dritten Grundsatz (Spurenlosigkeit im System). Fahndungsabfragen dürfen (vorbehalten der Polizeilichen Beobachtung) nicht zur Errichtung von Dateien führen.
Es fällt auf, daß der Entwurf den ersten Grundsatz (Zweistufigkeit des Systems) als zusätzliches Sicherungselement im Fahndungsbereich nicht nutzt.
Die Polizeiliche Beobachtung als Sonderfall meint folgendes: Wenn eine Person schwerer Straftaten verdächtig ist oder von ihr solche Straftaten drohen, stellt die örtliche Polizei die Personalien mit der Bezeichnung "Polizeiliche Beobachtung" in die INPOL-Personenfahndungsdatei ein, falls die Kenntnis der Aufenthalte und Reisewege die Tataufklärung oder die Gefahrenabwehr erwarten läßt. Erzielt ein Kontrollbeamter dann einen "Treffer", so lautet die Bildschirmauskunft: "Kein Haftbefehl. Person ist wegen Verdacht des Rauschgifthandels zu beobachten. Rückmeldung wann, wo und wie angetroffen, fernmündlich oder per FS an die Polizei X-Stadt." Die Rückmeldungen geben der ermittelnden Polizei Aufschluß über die Reisewege und damit gegebenenfalls über den Umfang und die Verflechtungen der Straftat oder der Gefahr. Seit 1974 erlaubt die von den Innenministern von Bund und Ländern gemeinsam erlassene PDV 384.1. die als "Polizeiliche Beobachtung" (früher "Beobachtende Fahndung") bezeichnete Rückmeldung der durch INPOL-Ausschreibung festgestellten Reisebewegungen von Personen, die "verdächtig sind, als Rauschgift- oder Waffenschmuggler, Falschgeldhersteller oder -verbreiter, Mitglied von Banden oder von terroristischen Vereinigungen überregional tätig zu sein oder solche Straftaten vorzubereiten". Im Ermittlungsverfahren ordnet der sachleitende Staatsanwalt, zur Gefahrenabwehr ein Kriminalbeamter des höheren Dienstes, die Polizeiliche Beobachtung an.
Das Bundeskriminalamt besitzt keine Anordnungsbefugnis. Die Ausschreibungen werden alle sechs Wochen auf die Notwendigkeit ihrer Fortdauer geprüft und nach einem Jahr automatisch vom Rechner gelöscht.
Die Polizeiliche Beobachtung ist sonach weder eine Observation noch eine optische (Video-)Überwachung, sondern ein Rückmeldungssystem, das sich auf Identitätsfeststellungen gründet. Die Datensätze der Polizeilichen Beobachtungen werden im Personenfahndungsbestand nach den gleichen Prinzipien wie Fahndungsdatensätze geführt, das heißt, zwischen Bund und Ländern werden nur Neuzugänge und Löschungen übermittelt. Die Polizeiliche Beobachtung erschließt weder andere Dateien noch errichtet sie eine eigene Bewegungsbilddatei. Die Rückmeldungen erfolgen nicht automatisiert durch den Rechner, sondern außerhalb von INPOL fernmündlich oder per Fernschreiben. Die Grundsätze der Zweistufigkeit, des Verbotes eines Datenverbundes, der Beschränkung von Anfragen auf den Fahndungsbestand und der "Spurenlosigkeit im System" werden nicht durchbrochen. Rückmeldungen werden Bestandteil der Ermittlungsakten; soweit sie der Gefahrenabwehr dienen, werden sie vernichtet, wenn die Gefahr beseitigt ist.
Datenschutz nicht umgangen
Die Polizeiliche Beobachtung stellte in den Jahren 1974 bis 1979 eine der Hauptinstrumente zur Bekämpfung des Terrorismus dar. Noch während des Überfalls auf die Deutsche Botschaft in Stockholm im Mai 1975 lieferten die Grenzübertrittsmeldungen die Namen der vermutlich handelnden Terroristen. Mit Hilfe der Polizeilichen Beobachtungen wurden im Herbst 1976 die Personen als RAF-Mitglieder erkannt, die nach ihrem Untertauchen im Jahre 1977 die Morde an Buback, Ponto und Schleyer begingen.
Auch die Datenschutzbeauftragten bestreiten nicht die Notwendigkeit des Instrumentes, sondern beklagen, wie auch die Polizei seit Jahren, das Fehlen einer gesetzlichen Verankerung. (wird fortgesetzt)