Erkenntnisse aus Auskunftsersuchen an das Inpol Polas Competence Center

Handschlag genügt?! Die Rechtsgrundlagen der Crime-Kooperation

18. Februar 2016 | Von | Kategorie: CRIME, IPCC UND KONSORTEN

Polizeiliche Informationssysteme sind strategisch, operativ und rechtlich ein sensibles Thema. So haben wir das jedenfalls erfahren und selbst aufgefasst in den mehr als zwanzig Jahren, in denen wir selbst in diesem Bereich tätig sind. Und haben daher, das ist offen zugegeben, gewisse Verständnisprobleme, wenn es um das IPCC geht, das Inpol Polas Competence Center. Weil so gar nicht erkennbar ist, auf welcher Grundlage da diverse Polizeibehörden zusammenarbeiten? Wer da wieviel an wen bezahlt und wofür? Warum es angeblich so wirtschaftlich ist, wenn viele Polizeivollzugsbeamte für diese Kooperation arbeiten? Was die diversen, externen Dienstleister zu tun haben, die es in diesem Umfeld seit Jahren gibt? Wer eigentlich Eigentümer, also Inhaber der Urheberrechte an den IT-Produkten ist, die das IPCC vertreibt? Und wer demzufolge anderen Behörden Nutzungsrechte einräumen kann? Wer die Quellcodes dieser Produkte besitzt? Wer sie bearbeiten bzw. manipulieren kann? Wie zukunftssicher und tragfähig Produkte sein können, die seit fünfzehn Jahren eingesetzt und auf die immer nur mehr Anforderungen aufgesattelt wurden? Fragen über Fragen also …

Verstehen Sie diese Fragen bitte nicht falsch: Selbstverständlich haben wir auch eigene Interessen. Es wäre nicht normal, wenn es uns nicht interessierte, was eine IT-Kooperation von Polizeibehörden wohl besser macht oder „wirtschaftlicher“ anbieten kann. Und es interessiert uns auch, wie es sein kann, dass ein europaweit für alle Anbieter geltendes Vergaberecht für das IPCC nicht zu gelten scheint. Vor allem aber interessiert uns, wer bei dieser Gemengelage von Beteiligten und Dienstleistern eigentlich für Überwachung und Kontrolle sorgt und wer die notwendige Sicherheit der betriebenen Systeme gewährleistet. Denn das sind Anforderungen, auf deren Einhaltung durch „Polizei“ jeder Bürger ein Anrecht hat. Und die unsere Kunden – zu Recht – auch von uns immer verlangt haben und die wir einhalten, egal, ob bei Projekten im Deutschen Bundestag (z.B. „Schalck-Golodkowski“) oder für Polizeibehörden im In- und Ausland.

Alle diese Fragen sind nachvollziehbar und legitim und wir haben darauf Antworten gesucht. Hier ist der Erfahrungsbericht, wie es uns dabei ergangen ist und welche Antworten – und neuen Fragen – wir gefunden haben:

Die bekannte Vorgeschichte des Inpol Polas Competence Centers

Über die Vorgeschichte des IPCC ist auf diesem Blog schon wiederholt berichtet worden: Dass das IPCC entstanden ist aus den Trümmern des gescheiterten Projekts Inpol-Neu [1], wie unter dem Dach des hessischen Innenministeriums ein Softwarehaus aufgebaut wurde [2], dass es dort schon erhebliche Kritik an der Beschaffungspolitik gab und das IPCC daher nach Hamburg verlagert wurde [3] und dass schließlich Dataport, der „IT-Dienstleister der Nordländer“ mit Hilfe externer Dienstleister die Aufträge des ICC bearbeitete [4] – das alles hatten wir aus zahlreichen öffentlichen Quellen schon recherchiert und auf diesem Blog berichtet. Doch für einen Hersteller und Dienstleister eines polizeilichen Informationssystems, das im Land Brandenburg seit 1997 im Einsatz ist, stellten sich natürlich weitere Fragen. Insbesondere als man vor einigen Jahren damit begonnen hat, die Einführung von CRIME in Brandenburg mit hohem Engagement voranzutreiben. Die einzige, uns bekannte Begründung für die letztlich dann getroffene Einführungsentscheidung lautete: CRIME sei wirtschaftlicher. Dazu wollten wir gerne mehr wissen …

Direkte Anfragen bei den Ländern der Crime-Kooperation

Direkte Anfragen haben wir mehrfach gestellt bei den Ländern der Crime-Kooperation. Antworten haben wir nicht bekommen. Wir wurden weiter verwiesen … Mal an Dataport, mal an die „IPCC-Geschäftsführung“ in Hamburg. Der Einfachheit halber geschah dies i.d.R. mit ein- und demselben Textbaustein, auf den sich die Angefragten zuvor verständigt hatten.

Direkte Anfrage nach der IPCC-Geschäftsführung in Hamburg

Um bei dieser IPCC-Geschäftsführung anzufragen, mussten wir wissen, wer eigentlich die zuständige Instanz, bzw. der zuständige Ansprechpartner für dieses IPCC ist. Also fragten wir bei der Polizei in Hamburg, wo ja die IPCC-Geschäftsführung zu dieser Zeit angesiedelt war, nach der richtigen Adresse und dem zuständigen Ansprechpartner. Von dort erhielten wir allerdings eine ruppige Antwort [5], die in Beamtendeutsch zum Ausdruck brachte: „Das geht Sie gar nichts an!“ Ein überraschendes, feindseliges Geschäftsgebaren und eine befremdliche Geheimniskrämerei. Also stellten wir uns auf diese Umgangsformen ein:

Anfrage nach dem Hamburgischen Transparenzgesetz

Das Hamburgische Transparenzgesetz manifestiert und regelt den Rechtsanspruch auf Aktenzugang und Auskunftsrechte. Und macht die Antworten und Auskünfte damit öffentlich. Viele davon werden auch auf dem Hamburgischen Transparenzportal im Internet zugänglich gemacht.

Also beauftragten wir eine renommierte Anwaltskanzlei damit, eine Anfrage nach dem Hamburgischen Transparenzgesetz an die Polizei Hamburg zu richten. Die gestellten Fragen stützten sich vor allem auf öffentlich verfügbare Informationen, die sich aus den Antworten [des Innensenators] auf Anfragen in der Hamburgischen Bürgerschaft ergeben hatten. Denn schon kurz nach der Übersiedlung von Hessen nach Hamburg interessierten sich auch die Abgeordneten in Hamburg für die Produkte und Hintergründe des IPCC [6, 7].

Wir wollten wissen

  1. wie eigentlich die Rechtsgrundlagen der Zusammenarbeit dieses IPCC aussehen,
  2. wie die öffentlich gemachten Kosten für die Pflege und Entwicklung der Kooperationsprodukte zwischen den Kooperationspartnern verteilt sind,
  3. welches Personal aus den Behörden der Kooperationspartner bzw. von externen Dritten die Leistungen für die Pflege und Weiterentwicklung dieser polizeilichen Informationssysteme erbringt
  4. und bei wem eigentlich die Urheberechte liegen für die diversen Produkte, die das IPCC unter dem Dach der jeweiligen Kooperation anbietet bzw. betreut. Grund für diese Frage war, dass die meisten dieser Produkte ursprünglich nicht unter dem Dach des IPCC entwickelt worden waren. Und sich daher die Frage stellt, wie die Rechte an diesen Produkten auf das IPCC übergegangen sind. Bzw. von wem und wie eigentlich die Nutzungsrechte, z.B.an POLAS, COMVOR oder CRIME auf die nutzenden Länder übertragen wurden. Oder wer die Bearbeitungsrechte an den Programmen an den derzeitigen Dienstleister Dataport übertragen hat.

Erste Antwort – Nachfrage – Fristverlängerung

Eine erste Antwort lag nach fünf Wochen vor und war im Wesentlichen eine Wiederholung dessen, was ohnehin in der Antwort an die Bürgerschaft stand. Wir fragten also nach, formulierten jede unserer Fragen aus den oben genannten Fragekomplexen so präzise wie möglich und beschränkten die Fragen auf den Bereich Crime: Zum einen, weil er uns am meisten interessierte und zum zweiten, um den Aufwand auf der anderen Seite überschaubar zu halten. Mit einem Zwischenbescheid wurde mitgeteilt, dass die „Frage des Verwaltungsabkommens der länderübergreifenden IT-Kooperation IPCC eine eingehende Abstimmung mit den beteiligten Länderpolizeien Baden-Württemberg, Brandenburg und Hessen erfordert“ und die Antwortfrist daher verlängert wird. Unsere Anregung, doch die übrigen Fragen inzwischen zu beantworten, blieb ohne Resonanz.

Wohl um unsere Zeit zu überbrücken, beschäftigte man sich und uns in der langen Wartezeit u.a. mit der Gebührenforderung für Abschriften, die wir nicht erhalten haben, einem Gebührenbescheid an die Anwaltskanzlei, der diese nicht betraf und der Forderung von weiteren Gebühren für eine angebliche „neue“ Anfrage, die nach Widerspruch fallengelassen wurde.

Zweite Antwort

Schließlich waren dann sechs Monate vergangen, bevor wir in der Sache weiterkamen. Die nun vorliegende, zweite Antwort war eingeleitet von einer Belehrung darüber, dass nur solche Auskünfte zu erteilen sind, zu denen die Polizei über Unterlagen verfügt, aus denen sich die erbetenen Antworten ableiten lassen. Was, wie Sie sehen werden, nur die Vorbereitung war für weitere Ablehnungsbegründungen … Ansonsten erhielten wir mit dieser Antwort

  1. eine Kopie des „gegenwärtig gültigen Verwaltungsabkommens vom 16.03.2007“ [Beitritt des Landes Brandenburg zur Kooperation von Hessen, Hamburg und Baden-Württemberg / d. Verf.]. Es handelt sich um ein überraschend allgemeines Dokument, dessen Vertragstext auf zweieinhalb Seiten passt.
  2. Ferner die Mitteilung, dass der Polizei Hamburg als der Geschäftsführung des IPCC „keine Unterlagen vorliegen“ mit Details bezüglich der Pflegekosten, zu den Kosten der Weiterentwicklung, zu Betriebskosten oder Kosten von Betriebsmitteln der von ihr entwickelten und betreuten IT-Produkte. Das bekräftigte die bei uns inzwischen aufgekommene Vermutung: Je weniger eine solche Institution an „Unterlagen“ produziert, desto weniger muss sie später mal rausrücken … Wie jedoch eine Geschäftsführung ihren Aufgaben nachkommen kann, oder auch nur Kosten auf die Kooperationspartner verteilen kann, ohne solche Unterlagen zu haben, ist eines der noch ungeklärten Rätsel des IPCC.
  3. Überhaupt keine Antwort gab es zur Frage nach dem eingesetzten Personal und zur Beschaffung durch Dataport: Das wurde kurzerhand zum „Geschäfts- und Betriebsgeheimnis“ erklärt. Es bestehe keine „Informationspflicht, da das Geheimhaltungsinteresse der Polizei Ihre Informationsinteressen überwiegt.“
  4. Und die Frage nach den Urheberrechten fiel gleich ganz unter den Tisch.

Dritte Nachfrage und Antwort

Der Anwalt fragte also erneut nach: Und drei Tage vor Weihnachten [2015] – rund neun Monate nach der Erstanfrage – sandte die Polizei Hamburg dann ein Schreiben ab mit wenigen weiteren Angaben:

Zu den Rechtsgrundlagen

Beigefügt war nun auch das Verwaltungsabkommen aus dem Jahr 2003, mit dem das Land Baden-Württemberg der Kooperation aus dem Jahr 2002 zwischen Hamburg und Hessen beigetreten war. Auch dieser Vertragstext passt auf zwei Seiten und besteht aus nicht mehr als fünf Paragraphen. Wir hatten auch nach der „Neustrukturierung der IT-Kooperation“ gefragt, die nach der Verlagerung der IPCC-Geschäftsführung von Hessen nach Hamburg vorgenommen worden sein soll. So hatte man das zumindest gegenüber der Bürgerschaft Hamburg erklärt. Jetzt hörten wir: Diese Neustrukturierung beziehe sich lediglich auf „interne organisatorische Maßnahmen und Prozesse.“ Aus denen resultierten „weder rechtliche Bindungswirkungen für die Zusammenarbeit innerhalb der IT-Kooperation, noch wurden sie jemals als Vorlage durch Innenresorts der Kooperationsländer verabschiedet.“ Und deshalb könnten „keine Unterlagen zugänglich gemacht werden.“

Interessante Ausführung! Doch warum soll dann die Polizei Hamburg, die „geschäftsführend“ tätig wird für eine lose IT-Kooperation namens IPCC bzw. eine Körperschaft öffentlichen Rechts namens Dataport zuständig sein, um wichtige rechtliche Fragen zu beantworten, die das Unternehmen Polygon dem Innenministerium des Landes Baden-Württemberg, Hessen oder Brandenburg gestellt hat?! Denn so hatten die genannten Länder geantwortet, als wir dort direkt Anfragen gestellt hatten: Weder ist beispielsweise Baden-Württemberg eine Behörde, die der Polizei Hamburg untersteht, noch ist das Land Brandenburg beispielsweise dem Dataport-Staatsvertrag beigetreten. Ein weiteres Rätsel dieses IPCC!

Zu Dataport

Apropos: Auskünfte zu Dataport könnten wir „ausschließlich von dort erhalten“, erfuhren wir weiter. Diese Behauptung hatte sich schon in der Vergangenheit gerade nicht bewahrheitet: Denn Dataport hatte mindestens drei unserer Anfragen schlicht gar nicht beantwortet.

Welchem Land gehören die Nutzungsrechte an welchen IPCC-Produkten

Die IPCC-Produkte sind ja keine dinglichen Gegenstände, an denen man Eigentum haben bzw. erwerben kann. Es handelt sich im rechtlichen Sinne um Computerprogramme, für die das Gesetz über Urheberrechte und verwandte Schutzrechte (UrhG) einschlägig ist. Im §31 des Urhebergesetzes ist geregelt, dass (nur) der Eigentümer der Nutzungsrechte einem anderen das Recht einräumen kann, das geschützte Produkt zu nutzen. Das war der Hintergrund für unsere Frage, wer eigentlich der Eigentümer dieser Rechte für die einzelnen IPCC-Produkte ist. Dafür erklärte sich die IPCC-Geschäftsführung nur sehr begrenzt zuständig und erklärte:

„Die IT-Kooperation räumt den Teilnehmern von Pflegegemeinschaften namens und im Auftrag der Kooperationspartner [sic!] ein nicht ausschließliches, räumlich und zeitlich unbeschränktes Recht ein, die Software zum Zwecke der polizeilichen Datenverarbeitung sowie für interne Schulungen zu nutzen.“ [Unterstreichung durch d. Verf.]
„Die entsprechenden Rechte liegen ausschließlich bei den IT-Kooperationspartnern.“

Das ist einerseits eine nicht überraschende Mitteilung: Denn ein Gebilde ohne eigene Rechtspersönlichkeit, wie es das IPCC nun einmal ist, kann nicht Eigentümer von Software-Nutzungsrechten sein. Andererseits wirft das schon wieder Fragen auf: Welchem IT-Kooperationspartner gehören dann eigentlich die Nutzungsrechte an welchem Produkt der IPCC-Kooperation? Gibt es eine Fülle von bilateralen Lizenzvereinbarungen? Hamburg an Hessen, Hessen an das BKA, Baden-Württemberg an Brandenburg, usw.?! Ziemlich unübersichtlich, wie wir finden. Und nachdem es nach Aussagen der IPCC-Geschäftsführung ja kaum „Unterlagen“ gibt in diesem Kosmos, stellt sich die Frage, ob die „Teilnehmer der Pflegegemeinschaften“ die Nutzungsrechte an wichtigen polizeilichen Informationssystemen, wie POLAS, CRIME oder COMVOR etc. durch mündliche Erklärungen vom Rechteinhaber übertragen bekamen?!? Dass dies eine berechtigte Vermutung ist, bestätigt sich durch die weitere Erklärung der IPCC-Geschäftsführung – und zwar im Bezug auf die Rechtsgrundlage für die Crime-Kooperation: „Ein explizites Abkommen für das Produkt „Crime“ liegt nicht vor.

Wir kommen aus dem Staunen nicht mehr heraus: Da werden Nutzungsrechte für polizeiliche Informationssysteme ganzer Bundesländer in mündlichen Vereinbarungen eingeräumt, bzw. liegen schriftliche Vereinbarungen, wenn es sie denn geben sollte, der Geschäftsführung nicht vor. Was ist denn dann noch zu halten von den angeblichen „Verpflichtungen“, von denen ja mitunter die Rede ist und die einen Kooperationspartner angeblich geradezu zwingen würden, CRIME einzusetzen. Gibt es dazu auch nichts Schriftliches?!

Und wie sieht es aus mit den Bearbeitungsrechten?

Und dann wäre da noch der Aspekt des Bearbeitungsrechts: Dieses Recht gewährt der Rechteinhaber demjenigen, der ein urheberrechtlich geschütztes Computerprogramm weiter bearbeitet, der also die Software pflegt, Fehler korrigiert, neue Funktionen implementiert oder eine erweiterte Programmversion entwickelt. Mit diesen Rechten beschäftigt sich ein eigener Abschnitt im UrhG in den Paragraphen 69a bis 69g. Über das abstrakte Rechte hinaus stellen wir allerdings auch die ganz praktische Frage: Welche Personen oder Firmen besitzen denn diese Quellcodes? Und wer kontrolliert den Zugang und Umgang damit?

Wir hatten die IPCC-Geschäftsführung im Rahmen unseres Antrags nach dem Hamburgischen Transparenzgesetz u.a. auch gefragt, wann und wie eigentlich die Bearbeitungsrechte am IPCC-Auskunftssystem [= POLAS], an CRIME, PKS und SÜP an Dataport übertragen wurden. Denn Dataport soll ja der externe Dienstleister sein, der (hauptsächlich) mit der Pflege und Weiterentwicklung dieser Produkte beauftragt ist. Und Dataport hat ja seinerseits einen Rahmenvertrag mit der Firma Trivadis für solche Arbeiten geschlossen. Irritierenderweise erklärt jedoch die IPCC-Geschäftsführung: „Die von der IT-Kooperation beauftragten Dienstleister verfügen über keinerlei [sic!] Urheberrechte an den Produkten der IT-Kooperation.“ Ein weiteres Rätsel im Zusammenhang mit dem IPCC!

Wird es nicht allmählich Zeit, dass sich die Nutzer-Behörden der IPCC-Produkte Gedanken machen über die rechtlichen und faktischen Grundlagen der Systeme, auf denen ihre polizeilichen Informationssysteme arbeiten?

Der in den Antworten der Polizei Hamburg schriftlich dokumentierte, sehr (!) branchen-unübliche Umgang mit Software und den damit zusammenhängenden Rechten spricht nicht dafür, dass man sich beim IPCC der inhärenten rechtlichen, finanziellen und technischen Risiken bewusst ist, die diese extrem laxe Handhabung mit sich bringt. Ob es dem IPCC weiterhin gelingt, dafür zu sorgen, dass die bisher geübte Praxis fortgesetzt werden kann, liegt außerhalb unseres Einflusses. Letztlich ist diese Frage von denen zu beantworten, die für den Einsatz dieser Produkte die politische Verantwortung tragen.

Wir würden jedoch gerne vermeiden, dass auch hier geschieht, was in einer solchen Situation nicht unüblich ist: Dass nämlich der Bote zum Übeltäter erklärt wird. Und machen daher deutlich darauf aufmerksam, dass die in diesem Artikel wiedergegebenen Sachverhalte auf öffentlichen Quellen beruhen, die entweder schon früher publiziert worden waren oder aber Ergebnis unserer Anfragen nach dem Hamburgischen Transparenzgesetz sind. In dessen Par.1 – Gesetzeszweck – heißt es:

„Zweck dieses Gesetzes ist es, durch ein umfassendes Informationsrecht die bei [Behörden] vorhandenen Informationen unter Wahrung des Schutzes personenbezogener Daten unmittelbar der Allgemeinheit zugänglich zu machen und zu verbreiten, um über die bestehenden Informationsmöglichkeiten hinaus die demokratische Meinungs- und Willensbildung zu fördern und eine Kontrolle des staatlichen Handelns zu ermöglichen.“

____________________________________________________________________________________________

Belege zu diesem Artikel

Die Quellen/Belege zum jeweiligen Thema sind jeweils am Ende dieser Artikel genannt.

[1]   Ein eigener Fall: Inpol-Fall, 01.10.2013, Polygon-Blog
http://blog.polygon.de/pit/itsysteme-projekte/inpol-polas/pit-piav-03-4335

[2]   Das IPCC – marktbeherrschend, aber weitgehend unbekannt, 12.02.2014, Polygon-Blog
http://blog.polygon.de/pit/akteure/ipcckonsorten/pit_hiddenplayers_ipcc_1-5477

[3]   Das IPCC und seine Form der Public-Private Partnerschaft, 13.02.2014, Polygon-Blog
http://blog.polygon.de/pit/akteure/ipcckonsorten/pit_hiddenplayers_ipcc_2-5495

[4]   Wird Dataport das neue IPCC?, 07.03.2014, Polygon-Blog
http://blog.polygon.de/pit/akteure/ipcckonsorten/pit_hiddenplayers_ipcc_3-5671

[5]   Offener Brief an die Polizei Hamburg, 18.03.2015, Polygon-Blog
http://blog.polygon.de/pit/akteure/ipcckonsorten/pit_ipcc6_offenerbrief_polhh-9887

[6]   Unglaublich günstig! Die Kosten von CRIME, 04.03.2015, Polygon-Blog
http://blog.polygon.de/pit/akteure/ipcckonsorten/pit_ipcc_crime-8384

[7]   IPCC 2015: Kosten, Budget und umstrittene Rechtsauffassungen, 05.03.2015, Polygon-Blog
http://blog.polygon.de/pit/akteure/ipcckonsorten/pit_ipcc5_kosten-budget-vergaberecht-9673

[8]   Tricksereien bei der IT-Beschaffung, 18.12.2015, Polygon-Blog
http://blog.polygon.de/pit/akteure/ipcckonsorten/tricksereien-bei-der-it-beschaffung-hamburg-13392

Schlagworte: , , , , , , , , , , , , , , ,

Schreibe einen Kommentar