Wird Polizei-Hoffnung «VeRA» zum Datenschutz-Alptraum?

Schlagen Terroristen in Bayern zu, ist die Polizei bei der Suche nach möglichen Drahtziehern zu langsam. Besonders deutlich geworden sei das im Sommer 2016, sagt Martin Peindl vom Landeskriminalamt in München.

Ob bei einem Bomben-Anschlag in Ansbach mit 15 Verletzten oder dem Attentat im Münchner Olympia-Einkaufszentrum mit neun Todesopfern: «War der Täter allein? Wer ist in seinem Umfeld unterwegs? Wir stellen fest, dass wir da vergleichsweise lange brauchen.» Denn die Suche in den eigenen Datenbanken ist für die Polizei oft unnötig kompliziert.

«Unsere historisch gewachsenen Datenbestände sind vergleichbar mit einer Bibliothek, bei der ein Suchindex fehlt», sagt Jürgen Brandl von der IT-Ermittlungsunterstützung des Landeskriminalamts. «Die Analysten sind viel damit beschäftigt, diese Daten erst mal aufzubereiten, wenn sie nach Querverbindungen suchen.» Um sich diese Arbeitszeit zu sparen, setzen die Ermittler auf eine neue Software namens «VeRA» (Verfahrensübergreifende Recherche- und Analyseplattform). Sie soll sämtliche Datenbanken der Polizei auf Verbindungen zu Schwerstkriminellen durchsuchen können.

Was bei Bayerns Polizei Hoffnungen auf schnelle Ermittlungserfolge weckt, lässt bei Datenschützern die Alarmglocken läuten. «Das ist hochproblematisch», sagt der bayerische Landesdatenschutzbeauftragte Thomas Petri. Ein Großteil der Daten, auf die Ermittler zugreifen können, werde für ganz andere Zwecke erhoben als zur Bekämpfung von Terrorismus und organisierter Kriminalität. Wenn nun ein Programm zu diesem Zweck automatisiert sämtliche Datenbanken durchsuche, würden diese Bereiche nicht mehr ausreichend getrennt, sagt Petri.

Doch auch die Frage nach dem Anbieter der Software bereitet Datenschützern Sorgen. Das Landeskriminalamt hat den Wettbewerb um den Auftrag zwar für mehrere Firmen geöffnet. Doch die Bedingungen für eine Teilnahme sind sehr konkret: Zum Beispiel muss der Anbieter ein solches Programm in den vergangenen fünf Jahren an eine Sicherheitsbehörde in Deutschland oder einen EU-Staat geliefert haben. Die Software muss dort noch in Betrieb sein.

«Es gibt genau eine Firma, auf die diese Anforderungen zutreffen», sagt die Linken-Bundestagsabgeordnete Anke Domscheit-Berg, Obfrau des Ausschusses für netzpolitische Themen. «Es ist ein offenes Geheimnis: Das ist Palantir auf den Leib geschnitten.» Die wie die sehenden Steine aus der «Herr der Ringe»-Buchreihe genannte US-Firma wurde bei ihrer Gründung durch den Auslandsgeheimdienst CIA finanziert. Das Unternehmen arbeitet heute unter anderem für das Pentagon.

Domscheit-Berg fürchtet, dass Palantir, sollte es den Auftrag für «VeRA» erhalten, Daten in die USA abzweigen könnte: «Da das Unternehmen auch die Hardware und Software warten soll, können dabei natürlich auch Daten abfließen und sowohl Hardware als auch Software manipuliert werden.»

Das bayerische Landeskriminalamt betont dagegen, die Daten würden ausschließlich im Rechenzentrum der Polizei gespeichert. Auch eine Wartung sei nur vor Ort möglich. Domscheit-Berg überzeugt das nicht: «Ich weiß inzwischen genug über die Digitalkompetenz unserer Ermittlungsbehörden. Die kriegen das nicht mit, falls das passiert.»

Dass man sich auch auf Bundesebene Gedanken bezüglich der bayerischen Software macht, liegt ebenfalls an der Art der Ausschreibung. Die legt fest, dass sämtliche Landeskriminalämter in Deutschland sowie Bundeskriminalamt und Zoll bei «VeRA» eine Kaufoption ziehen können, sollte sich das Programm in Bayern bewähren. Domscheit-Berg hält das für eine Einführung durch die Hintertür: «Wenn der Bund das selbst ausgeschrieben hätte, hätte es mehr Wind gegeben.»

In Hessen und Nordrhein-Westfalen hat die Polizei schon Erfahrungen mit Palantir-Software gesammelt, wenn auch unter unterschiedlichen Namen («Hessendata» und «DAR»). Der kommissarische NRW-Datenschutzbeauftragte Roul Tiaden teilte dem dortigen Innenministerium zuletzt mit, dass der Software seiner Ansicht nach die Rechtsgrundlage fehlt. Innenminister Herbert Reul (CDU) sprach daraufhin von Missverständnissen zur Funktionsweise.

Doch Tiaden ist mit seiner Einschätzung nicht allein. «Bei „VeRA“ hätte ich sehr große Ambitionen, zu sagen, das dürft ihr nicht», sagt sein bayerischer Kollege Thomas Petri. «Da hätte ich Lust, zu sagen, ihr müsst über den Gesetzgeber gehen. Wenn das so ein Herzensprojekt ist, müsst ihr das auch ausfechten.» Das bayerische Innenministerium ist aber der Auffassung, für den Einsatz der Software keine Gesetze ändern zu müssen. Und Petri darf als Datenschutzbeauftragter zwar bemängeln, hat aber keine Möglichkeit, ein Veto einzulegen.

Im bayerischen Landeskriminalamt ist man sich sicher, die Vorgaben des Datenschutzes beim Einsatz der neuen Software erfüllen zu können. «Jeder Analyst muss jederzeit angeben können, auf welcher Rechtsgrundlage er diese Anfrage durchführt», sagt Martin Peindl. Dafür gebe es eine zufällige Protokollierung. «Jeder Schritt wäre recherchierbar», betont auch sein Kollege Jürgen Brandl.

Nach Palantir gefragt heißt es vonseiten des LKA, man habe für «VeRA» bewusst eine offene Ausschreibung gewählt und keinen Anbieter ausgeschlossen. Es gebe mehrere Bewerber, Details könne man aus rechtlichen Gründen nicht nennen. Mit einem Zuschlag sei nicht vor Jahresende zu rechnen. «Wer unsere Anforderungen am Ende am besten abdeckt, ist uns aber egal», sagt Martin Peindl.