Datenschützer fordern Einstellung des Testbetriebs von Polizei-Software

Testbetrieb mit echten Personendaten

Bereits seit März 2023 läuft die Testphase der Polizeisoftware VeRA (Verfahrensübergreifende Recherche- und Analyseplattform) beim Bayerischen Landeskriminalamt. Die verwendete Software verbindet zur automatisierten Analyse von Daten die verschiedenen Polizei-Datenbanken, wurde 2022 von der US-Firma Palantir erworben und beruht auf deren Produkt Gotham. Für das Programm hat der Freistaat nach BR-Angabe bereits über 13 Millionen Euro ausgegeben, obwohl ein echter Einsatz noch nicht erfolgte, da es an der Rechtsgrundlage fehlte.

Diese Rechtsgrundlage müsste zunächst durch den Bayerischen Landtag im Rahmen einer Änderung des Bayerischen Polizeiaufgabengesetzes (PAG) vorgenommen werden. Das Bayerische Innenministerium hat in einem Statement Mitte Januar vorgebracht, dass sich ein entsprechender Entwurf bereits in den letzten Abstimmungen befände. Ein gut ausgearbeiteter Entwurf wird nötig sein, um den engen Grenzen der automatisierten Datenanalysen bei der Polizeiarbeit, wie sie das Bundesverfassungsgericht im Februar 2023 aufgestellt hatte, zu genügen.

Kritik am Testbetrieb mit Echtdaten

Prof. Dr. Thomas Petri, der seit dem 1. Juli 2009 Bayerischer Landesbeauftragte für den Datenschutz ist, kritisierte nun den Testbetrieb, bei dem nach BR-Recherchen vom November 2023 echte Personendaten verwendet werden. Er forderte zur Auswertung des Testbetriebs Unterlagen vom LKA an und kam zu dem Schluss, dass eine Deckung der Vorgehensweise nicht durch das bayerische Datenschutzgesetz gegeben ist, da es an der Rechtsgrundlage fehle. Petri teilte seine Bedenken dem LKA mit und forderte es auf, den Testbetrieb bis zur Klärung der offenen Punkte einzustellen. Dieser Aufforderung muss das LKA zwar nicht nachgehen, bei fortgeführtem Betrieb kann Petri das unterbliebene Nachkommen aber beanstanden.

Auch Mark Zöller, Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München teilt diese Rechtsansicht: „Wenn echte Daten der Bürgerinnen und Bürger verarbeitet werden, dann spielt es rechtlich keine Rolle, ob es sich um einen Testbetrieb oder einen Regelbetrieb handelt.“ Er sieht daher die Aufforderung zur Einstellung als gerechtfertigt, da der Betrieb mit Echtdaten ohne spezielle Gesetzesgrundlage „verfassungs- und damit rechtswidrig“ sei.

Die Frage nach der Rechtmäßigkeit des Testbetriebs wird auch in einem bisher unveröffentlichten Gutachten, auf das sich der BR bezieht, als kritisch angesehen. Dabei wird auch darauf hingewiesen, dass für den Testbetrieb mit Echtdaten dieselben Bedingungen gälten wie für einen echten Einsatz. Somit wäre dieser Betrieb ohne eine glasklare Rechtsgrundlage unzulässig.

Außerdem wird die Integrität des Herstellers der Software infrage gestellt. Dabei wird dem Unternehmen Palantir eine zu große Nähe zu US-Geheimdiensten vorgeworfen und befürchtet, dass sensible Daten abgezogen werden könnten. Eine, durch das Innenministerium veranlasste, Überprüfung des Quellcodes durch das Fraunhofer-Institut für Sichere Informationstechnologie (FHI SIT) konnte aber eine solche Hintertür ausschließen.

Die Antwort des Innenministeriums

Nach Angaben des Bayerischen Innenministeriums würde das Gutachten von Petri nun geprüft und daraufhin über das weitere Vorgehen entschieden. Den Vorwurf, dass ein Testbetrieb mit echten Personendaten rechtswidrig sei, da es an der rechtlichen Grundlage fehle, weist das Ministerium zurück. Grund dafür sei, dass die Verarbeitung der Daten nicht für polizeiliche Zwecke genutzt würde, sondern lediglich die technische und fachliche Funktionsfähigkeit des Systems und die Gewährleistung der Informationssicherheit überprüft werde. Der testweise Betrieb sei somit über die bestehenden Regelungen des Datenschutzgesetzes gedeckt.