Aktuell besteht ein ziemlicher Wirrwarr an Polizeidatenbanken in Bund und Ländern. Das soll sich mit dem Programm "Polizei 2020" zwar ändern: Damit sollen die verschiedenen IT-Systeme konsolidiert und an zentraler Stelle einheitliche, moderne Verfahren entwickelt werden. Und alle Polizeien sollen diese dann nach den gleichen Standards nutzen. Aber so weit ist es noch nicht. Wie sieht es jetzt also aus: Was für Datenbanken werden von den deutschen Polizeien genutzt, wer hat auf die Daten Zugriff, wie sieht es mit den gespeicherten Datensätzen aus, wie mit Verknüpfungen unterschiedlicher Datenbanken – und wie mit Datenschutz und Bürgerrechten?

"Datenbank" ist ein weit gefasster Begriff, allein bei der Thüringer Polizei gibt es etwa 200 verschiedene IT-Verfahren, und vielen von ihnen liegt eine Datenbank zugrunde. In diesem Artikel geht es nur um jene Systeme zur elektronischen Datenverwaltung, die Datensätze zu Verdächtigen, Überführten, Verbrechen und Ähnliches enthalten. Sie unterscheiden sich anhand der polizeilichen Arbeitsabläufe, Vorgangsbearbeitungssysteme (VBS), Informationssysteme (Personen- und Sachfahndungen) und Fallbearbeitungssysteme (FBS).

Sehr viele Datenbanken basieren auf Produkten von Oracle in der Sprache SQL. Die Polizeien ergänzen sie für ihren spezifischen Bedarf durch Eigenentwicklungen und Zukäufe. Weil die Datenlandschaft des BKA sowie der polizeiliche Verbund seit den 1970er Jahren je nach dem, was die Arbeit forderte und die Technik hergab, aufgebaut und weiterentwickelt werden, wursteln sich die Polizeien heute mit einer Vielzahl unterschiedlicher Datenbanken durch. So ein Durchwursteln ist typisch für große Organisationen und Zusammenhänge. Und nun sind viele Dateien, so das BKA, "kaum miteinander verbunden".

Internationale, nationale und regionale Ebene

Mehrere internationale Behörden unterhalten Systeme, zu denen deutsche Behörden, vor allem das Bundeskriminalamt (BKA), Verbindungen haben. Die (regional) größte Ausbreitung hat "Automated Search Facility" als Fahndungssystem für die Mitgliedstaaten von Interpol. Auf EU-Ebene gibt es seit 2005 das Europol-Informationssystem und von eu-LISA das Schengener Informationssystem (SIS), das europäische daktyloskopische System (Eurodac), das Passenger Name Record System und das VISA-Informationssystem.

Auf Bundesebene gibt es eine Reihe von Datenbanken, auf die Bundes- und Landespolizeibehörden Zugriff haben. Dazu gehören das Zentrale Verkehrsinformationssystem des Kraftfahrt-Bundesamtes (KBA), das Ausländerzentralregister (AZR) des Bundesverwaltungsamtes, das Bundeszentralregister (BZR) des Bundesamtes für Justiz, außerdem die Fahrzeugdatenauskunft (FADA) der Fahrzeughersteller. Das BKA als Zentralstelle der deutschen Polizei betreibt das "Informationsnetz Polizei" (INPOL) im Verbund mit den Polizeien des Bundes und der Länder sowie den Zollbehörden, erstellt vom so genannten Inpol Polas Competence Center (IPCC), nämlich BKA, Länderpolizeien und Zollbehörden. Dabei gibt es den Bundesbestand "INPOL-Zentral" und einen jeweiligen Landesbestand, etwa INPOL-HH für Hamburg. Daten in INPOL stehen gleich nach der Erfassung allen angeschlossenen Behörden, also auch den Polizeien des Deutschen Bundestag und dem Kraftfahrt-Bundesamt zur Verfügung. Zusätzlich zu diesen Informationssystemen bestehen zudem IT-Systeme für die Telekommunikationsüberwachung sowie das Hinweisportal, eine Art Online-Zeugenaufruf, das aber jeweils freigeschaltet werden muss.

Aus dem Jahr 2011 gibt es eine Zusammenstellung der Polizeilichen Datenbanken der Bundesländer, die aber nicht vollständig und auch nicht mehr ganz aktuell ist – ebensowenig wie die Gesetzeslage, so ist am 25.05.2018 das neue Bundeskriminalamtgesetz (BKAG) in Kraft getreten. (Auch die folgende Aufzählung ist nicht vollständig. Dafür aber aktualisiert und gewichtet.) Generell können Länderpolizeien auf mehrere Verbunddateien zugreifen, darunter solche mit Zugriff für alle, wie INPOL – mit je einem zusätzlichen eigenen Datenbestand für die Länder –, SIS sowie PIAV. Daneben gibt es Verbunddateien, an denen nur einige Länder teilnehmen wie das VBS @rtus (Bremen, Schleswig-Holstein, Bundespolizei). Zusätzlich haben die einzelnen Länder eigene Anwendungen eingerichtet und erstellen, erfassen und nutzen sie bei Sonderdienststellen Falldateien.

Die niedersächsische Polizei zum Beispiel nutzt die Landesanwendungen Niedersächsisches Vorgangsbearbeitungs-, Analyse-, Dokumentations- und Informations-System (NIVADIS), das Polizeiliche Auskunftssystem (POLAS), und das FBS Software zur Analyse, Fallbearbeitung, Informationsverarbeitung und Recherche (Safir). Die Polizei Hamburg nutzt für die Vorgangsbearbeitung und zum Informationsaustausch unter anderem das computergestützte Vorgangsbearbeitungssystem ComVor und die Kriminalakte. Die Polizei Bremen nutzte von 1984 bis 2005 ISA-D und von 2005 bis 2014 ISA-Web, seit dem Jahr 2014 nutzt sie @rtus: Dabei handelt es sich um eine Eigenentwicklung im Auftrag der @rtus-Kooperation der Polizei Schleswig-Holstein, der Polizeien im Land Bremen sowie der Bundespolizei, zusammen mit der Firma Dataport. Zur Fallbearbeitung nutzt sie das FBS Polizeiliche Information, Ermittlung und Recherche (PIER) auf der Basis der Software rsCase der Firma rola Security Solutions GmbH.

Die Landespolizei Schleswig-Holstein nutzt das VBS @rtus für die Vorgangsbearbeitung und zum Informationsaustausch, außerdem das FBS Merlin und die Kriminalakte. In Rheinland-Pfalz betreibt die Polizei für die polizeiliche Vorgangsbearbeitung und die Darstellung der Straftatenlage jeweils seit dem Jahr 2002 die Anwendungen POLADIS und POLIS (beide Microsoft), KLAUS und GeopolisK (beides Eigenentwicklungen), und seit 2006 auf der Basis von Oracle KRISTAL (rola Security Solutions GmbH). Die Polizei in Sachsen-Anhalt verfügt über das Informationssystem der Polizei des Landes Sachsen-Anhalt (ILSA), das Integrierte Vorgangsbearbeitungssystem der Polizei (IVOPOL), das Web-Auskunft und -Recherchesystem der Polizei Sachsen-Anhalt (WARSA) und das Elektronische Freiheitsentziehungsbuch (EFB).

Anforderungen an die Informationen

Die Polizeien müssen mit ihren Datenbanken nicht nur die eigenen Informationen, Fälle und Vorgänge verwalten, sondern sie müssen auch die Belange anderer Behörden berücksichtigen. So gibt der Abteilungsleiter der Serviceeinheit Informations- und Kommunikationstechnik (SE IKT) Oliver Knecht zu bedenken: "Wir reden hier über die polizeilichen Datenbanken oder Datensysteme. Aber man darf nicht außer Acht lassen, dass die Polizei sich auch organisieren und verwalten muss. Und wir nehmen spätestens mit der Umsetzung des Berliner E-Government-Gesetzes auch die Systeme, die uns verwalten, in unseren Bereich herein." Viel zu tun, nämlich Finanzsysteme und Personalverwaltungssysteme mit stadtweiter Gültigkeit und große Themen wie die E-Akte oder die Zulieferung polizeilicher Daten an die Justizbehörden. "Dabei handelt es sich um riesige Datenmengen", erklärt er: "Dazu gehören bestimmte Anforderungen zum Teil unter Berücksichtigung verschiedener rechtlicher Belange. Für uns gelten StPO, StGB, ASOG, bestimmte Verkehrsregelungen. Für unsere "Kunden", die Justiz, gelten möglicherweise ganz andere Regelungen, dem müssen wir auch nachkommen."

Die Berliner Polizei nutzt das FBS Computergestützte Anwendung für Sachbearbeitung und Auswertung (CASA), eine Berliner Abwandlung der Software rsCase der Oberhausener Firma rola Security Solutions GmbH. Als Vorgangsbearbeitungssystem (VBS) nutzten die Berliner früher das Informationssystem für Verbrechensbekämpfung (ISVB). Dies wurde im März 2005 abgelöst durch das Polizeiliche Landessystem zur Information, Kommunikation und Sachbearbeitung (Poliks), eine modulare IT-Plattform als zentrales VBS. Entwickelt wurde Poliks von der Deutsche Telekom Health and Security Solutions (DTHS) (früher Gedas), einer hundertprozentigen Tochter der Telekom. Es läuft vor allem mit Linux, die Server stehen im IT Dienstleistungszentrum Berlin (ITDZ). Alle Daten, die in Poliks eingegeben werden, können weiter ausgewertet, aufbereitet und verwendet werden. Die Daten werden generiert und – nach einer händischen Qualitätskontrolle, wie bundesweit gewünscht – über eine Schnittstelle in das zentrale PIAV-System eingespielt, auf das alle Bundesländer zugreifen können. Derzeit sitzt die Polizei daran, das System mit weiteren Modulen zu ergänzen, etwa eine elektronische Asservatenverwaltung, die demnächst in Betrieb gehen soll.

An Poliks arbeitet eine Projektgruppe von ausschließlich Polizeivollzugsbeamten, die formulieren, was für die Kollegen "draußen" entwickelt werden soll. Dazu gehören Anforderungsmanagement, Problemmanagement, die Betreuung der Hotline sowie die Abdeckung eines Testbereiches, wenn neue Software-Releases ausgeliefert werden. Das ist nicht immer einfach. Gruppenleiterin von SE IKT C 2 Petra Löffler: "Wir haben eine Dolmetscherfunktion, weil die Entwicklerfirma eine andere Sprache spricht als die Polizei. Wir übersetzen Polizeisprache in IT-Sprache." Das ist personalintensiv: "Auf der DTHS-Seite haben wir einen festen Personalstamm, der sich uns auch angenähert hat. Das sind bei uns mit der Hotline 26 Polizeibeamte, und bei der Entwicklerfirma ungefähr 10 bis 12 Berater. Wir betreuen komplett die gesamte 'Poliks-Familie'."

Missbrauch innerhalb der Polizei

Die Rechtsanwältin Seda Başay-Yıldız hatte sowohl die Familie eines Mordopfers im NSU-Prozess als auch islamistische Gefährder vor Gericht vertreten. Dann bekam sie Drohbriefe, unterzeichnet mit NSU 2.0, die sich gegen ihre kleine Tochter richteten und in denen interne Daten aus dem Polizeicomputer standen.

Eigentlich haben Polizeibedienstete nur soweit Zugang zu den Dateien, wie sie die gespeicherten Informationen zur rechtmäßigen Erfüllung ihrer Aufgaben benötigen. Abfragen und Eingaben werden im Allgemeinen durch das System protokolliert. Zugriff auf diese Protokolldaten kann beispielsweise ein behördlicher Datenschutzbeauftragter haben. Im Einzelnen gibt es allerdings unterschiedliche Regularien.

Im BKA ist der Zugriff im Wesentlichen durch das BKA-Gesetz (BKAG) geregelt. "Daraus", so die Pressestelle, "resultieren Berechtigungskonzepte, die die Adressatenkreise identifizierbar machen und den Berechtigten durch sogenannte Administratoren den systemischen Zugang erlauben, versagen oder beschränken. Die Protokollierung erfolgt aufgrund der gesetzlichen Regelungen des BKAG sowie des BDSG. Der Zugriff auf die Protokolldaten erfolgt ausschließlich gemäß den Regelungen des BDSG."