Akteure | IPCC und Konsorten

Wird Dataport das neue IPCC?!

7. März 2014 | Von | Kategorie: IPCC UND KONSORTEN

2012 wurde es eng für das IPCC in Hessen. Der Bericht des Rechnungshofs und drängende Fragen der Opposition im Landtag machten es notwendig, die bisherige „Vergabepraxis“ zu ändern. Als einen ersten Schritt verlegte man die IPCC-Geschäftsführung nach Hamburg. Ob und wie im Jahr 2013 Aufträge durch bzw. für das IPCC vergeben wurden, ist öffentlich nicht feststellbar. Erst Anfang 2014 gab es wieder einen größeren öffentlichen Auftrag über rund 15 Mio Euro von Dataport an die Trivadis GmbH. Die Firma gehörte schon zum Kreis der Begünstigten zu den Zeiten als das IPCC noch von Hessen aus geführt wurde.
Wie das alles zusammenhängt, vor allem aber, welche Fragen sich stellen für Polizei, Politik und Gesellschaft, davon handelt der Teil 3 dieser Serie …

Es sah ziemlich düster aus für das IPCC am Ende des Jahres 2011: Der Geschäftsführer seit Gründung, Peter H., war im hessischen Innenministerium versetzt worden auf einen anderen Posten und sah sich mit einem Disziplinarverfahren konfrontiert. Die Geschäftsführung des IPCC war verwaist. Freihändige Auftragsvergaben, meist durch die hessische Zentrale für Datenverarbeitung (HZD), wie sie in den vergangenen Jahren an der Tagesordnung gewesen waren, waren nicht mehr so ohne Weiteres machbar. Denn der hessische Rechnungshof hatte ermittelt und in seinen „Bemerkungen 2011“ zahlreiche Verstöße gegen Haushaltsordnung und Vergaberecht festgestellt.

Die Ermittlungsergebnisse der Opposition in Hessen

Und dann stand auch noch die Opposition in Hessen auf dem Plan, damals in Gestalt der SPD und der Grünen, und forderte im Landtag energisch mehr Auskunft. Innenminister Boris Rhein von der CDU und seine Mannen verzögerten und mauerten nach Kräften. Es bedurfte mehrerer ‚dringlicher Berichtsanträge‘ von SPD und Bündnis 90/Die Grünen, bis der Minister endlich im Juli 2012 einen leidlich vollständigen Bericht vorlegte [1], den er bei einer Sitzung des Innenausschusses am 13. 09.2013 nochmals ergänzte [2].

Die Begünstigten dieser über Jahre währenden Vergaben in Höhe von rund 10 Mio Euro sind insbesondere eine Handvoll von Einzelpersonen, in den Parlamentsdokumenten als „Frau H.“ oder „Olaf M.“ oder „Herr Z.“ usw. bezeichnet, die jeweils mit wiederholten Aufträgen bedacht wurden und dem Anschein nach allein von diesen Aufträgen aus Hessen über Jahre ihren Unterhalt bestreiten konnten.
Die meisten von ihnen haben eine Gemeinsamkeit: Sie waren nämlich beteiligt an der ursprünglichen Entwicklung von POLAS bzw. Crime für die Polizei Hamburg. Dies findet sich auch ganz ausdrücklich in der Beschreibung ihrer jeweiligen Qualifikation, von denen hier zwei beispielhaft wiedergegeben werden:

Herr M. war als Mitarbeiter der Fa. Oracle seit 1998 für die Polizei Hamburg in der Entwicklung des neuen Fahndungssystems POLAS sowie im Rahmen der Projektgruppe POLAS Hessen in 2001 und in Folge in der Entwicklung INPOL-Neu im BKA tätig. … Herr M. hat maßgeblich an wesentlichen Komponenten des Zentralsystems INPOL-Neu im BKA mitgewirkt, die in unmittelbarem Zusammenhang zu zahlreichen Softwareprodukten im IPCC stehen.“

 

Frau H. [war] als Mitarbeiterin der Fa. Oracle im Projekt POLAS der Polizei Hamburg, im Rahmen der Projektgruppe POLAS Hessen in 2001 und in Folge bei der Entwicklung INPOL im BKA tätig.“ … „Frau H. [besaß] aufgrund ihrer bisherigen Tätigkeiten eines besonderes technisch-organisatorisches Wissen in Verbindung mit persönlicher Qualifizierung und damit ein am Markt einzigartiges Wissen.“

Diese Herkunft und Qualifikation trug Früchte: „Frau H.“ erhielt im Zeitraum zwischen 2005 und 2007 948.276 Euro, „Olaf M.“ bedachte die HZD in den Jahren 2007 mit 2009 Aufträge von jährlich zwischen 202.000 und 232.000 Euro.

Die frühere Tätigkeit für POLAS bei der Polizei Hamburg und Hessen diente auch als Eignungsnachweis für die beauftragten Firmen: Dazu heißt es im Bericht des HMDiS vom 23.07.2012 [1]:

„Die Firma Steria Mummert Consulting AG war maßgeblich an der Entwicklung INPOL-Neu im BKA beteiligt und verfügte über ein umfangreiches Spezialwissen bzgl. der Fachanwendungen aus dem polizeilichen Umfeld der Produktfamilie INPOL-Land/POLAS. Die Fachkonzeption und Spezifikationen wurden von Steria Mummert Consulting zusammen mit dem BKA entworfen; andere Firmen waren hieran nicht beteiligt.“

Das entsprechende Auftragsvolumen belief sich auf knapp 1,9 Mio Euro. Anfang 2012 konnte die Firma dieses Know-How gewinnbringend mehren: Sie gewann nämlich einen Rahmenvertrag des BKA über IT-Dienstleistungen mit dem Schwerpunkt Test in Höhe von 24,1 Mio Euro. [3]

Die Firma Trivadis GmbH hatte für den Zeitraum September 2004 bis Ende 2007 aus Hessen einen Rahmenvertrag über jährlich rund 600.000 Euro erhalten, und 2009 einen weiteren Rahmenvertrag, aus dem mehr als 4,2 Mio Euro abgerufen wurden. Als Begründung für die (freihändige) Beauftragung der Firma Trivadis hieß es:

Für die zu gewährleistende Weiterentwicklung POLAS/Inpol-Land in 2003 waren umfassende Redesign-Maßnahmen durchzuführen, insbesondere auch die Architektur betreffend. „Die Firma Trivadis beschäftigte Personen, die langjährig für die Fa. Oracle in der Entwicklung der Architektur für POLAS/INPOL tätig waren. … Für das IPCC sollten solche spezialisierten Personen in gleicher Funktion ihre Tätigkeit fortsetzen.“

 

Im Ergebnis hatte sich damit seit zehn Jahren nichts geändert: Die Einzelpersonen, die schon um 2001 herum für Hamburg bzw. Hessen am Projekt POLAS gearbeitet hatten, wurden auch noch zehn Jahre später dafür eingesetzt. Harald Lemke, der „Weiße Ritter“ aus Hamburg und vorgebliche „Retter“ des Projekts Inpol-Neu, hatte seine Leute gut in Stellung gebracht – und in Hessen war dafür gesorgt, dass sie unbeeinträchtigt blieben von lästigen vergabegesetzlichen Vorschriften. [4] [5]

IPCC geht zurück nach Hamburg

Die Politik in Hessen sah die Zeit gekommen, um ein wenig Gras wachsen zu lassen über das IPCC und seine starke Bindung an das hessische Ministerium des Innern und für Sport. Den in die Kritik geratenen Leiter des Referats 6 des hessischen Landespolizeipräsidiums (LPP6) hatte man schon im Sommer 2011 aus der Schusslinie genommen. Zum 01.01.2012 gab Hessen auch die IPCC-Geschäftsführung ab an die Polizei Hamburg, also zurück an die Behörde, von der Inpol-Land/POLAS, ComVor und Crime ursprünglich gekommen waren. Der neue IPCC-Geschäftsführer, ein Regierungsdirektor aus Hamburg, teilte dem Journalisten Helmut Lorscheid mit, „das IPCC stellt lediglich eine Länderzweckgemeinschaft, sowie einen Entwicklungsstandort der Kooperation Brandenburg, Baden-Württemberg, Hessen und Hamburg (Kooperation) dar. Es hat keine eigene Rechtsform.“

Der ominöse Lenkungskreis der ‚IT-Leiter‘

Es war vermutlich beruhigend gemeint, als er anfügte, dass „alle Vereinbarungen mit dem IPCC durch den Lenkungsausschuss (der IT-Leiter) der Kooperation autorisiert und getragen werden.“

Funktion bzw. Titel eines ‚IT-Leiters‘ sind allerdings offiziell nicht definiert. Es handelt sich, erfährt man auf Nachfrage, um Herren und Damen aus den Polizeiabteilungen der Innenministerien der Kooperationsländer, die für die IT-Belange der Polizei ihres Landes zuständig sind; mitunter wird die Rolle des IT-Leiters auch wahrgenommen vom IT-Referatsleiter aus den IT-Service- und Beschaffungsorganisationen für die Polizei im Geschäftsbereich des jeweiligen Innenministeriums. Bisher ist nicht bekannt geworden, dass diese Personen persönlich haften würden oder zur Verantwortung gezogen werden könnten für das, was sie da als Lenkungsausschuss gemeinsam „autorisieren und tragen“. Was in gleicher Weise zutrifft für den Referatsleiter aus dem hessischen Polizeipräsidium bzw. den Regierungsdirektor der Polizei Hamburg, die als „Geschäftsführer“ des IPCC“ fungierten.

Wie schließt eine ‚Länderzweckgemeinschaft‘ ohne eigene Rechtsform Verträge mit Auftragnehmern ab?!

Das wesentliche Problem des IPCC bestand darin, dass es ein Konstrukt ohne Rechtsform war bzw. immer noch ist. Also keine juristische Person und auch keine natürliche. Damit war es unmöglich, Mitarbeiter einzustellen oder Aufträge seitens des IPCC zu vergeben. Was hätte als Vertragspartner auf dem Vertrag stehen sollen? Wer hätte ihn als gesetzlicher Vertreter unterschreiben sollen?

Zu Zeiten der hessischen Geschäftsführung hatte die hessische Zentrale für Datenverarbeitung (HZD)

„für die [IPCC-]Kooperation im Auftrag Hessens zur Inanspruchnahme externer Kräfte Rahmenverträge mit Firmen geschlossen. Aus diesen Verträgen abgeforderten Leistungen werden grundsätzlich seit Jahren unter der Leitung des IPCC-Geschäftsführers und vor Ort in Räumlichkeiten der HZD in Hessen und in Räumlichkeiten bei der Polizei Hamburg in Hamburg geleistet.“

So erklärt es der hamburgische Geschäftsführer im Juni 2012.
In bzw. durch Behörden des Landes Hessen war eine weitere, freihändige Auftragsvergabe, wie man sie jahrelang zuvor gepflegt hatte, nicht mehr machbar. Die hessische Landesregierung hatte sich im Mai 2012 zwar noch das Rechtsgutachten einer Anwaltskanzlei besorgt [1, dort Anlage 2], welches bescheinigte, unter welchen, sehr engen, Voraussetzungen überhaupt noch „für eine Übergangszeit“ freihändig Aufträge vergeben werden können. Doch schon im September 2012 stellte die Opposition im Innenausschuss fest, dass auch diese Voraussetzungen nicht beachtet worden waren. Nach Auslaufen der entsprechenden Übergangsverträge war dann endgültig Schluss mit dieser hessischen Form der Auftragsvergabe.

Das Produktportfolio des IPCC – 2011

Dennoch gab es für externe Mitarbeiter weiterhin erheblichen Bedarf: Denn das IPCC hatte sich gewaltige Aufgaben aufgehalst: Da gab es einerseits die Kernprodukte – Inpol-Land/POLAS, Zevis, AZR, …, für deren Pflege und Weiterentwicklung die „Länderzweckgemeinschaft des IPCC“ zuständig war [a, Ziff. 1]. Und andererseits die „Pflegegemeinschaften des IPCC„, die sich – in stets wechselnder Zusammensetzung [a, Ziff. 2] um die Pflege und Weiterentwicklung von sehr unterschiedlichen polizeilichen IT-Anwendungen kümmern sollten, wie

  • ED-DI – Erkennungsdienst Digital,
  • Crime – ermittlungsunterstützende Software und Analysewerkzeug,
  • PKS – polizeiliche Kriminalstatistik,
  • Inpol-Mobil für mobile Kontrollen/Abfragen des Auskunfts- und Fahndungssystems,
  • EWO – ein Zugriff auf Daten des Einwohnermeldediensts,
  • SÜP – eine automatisierte Sicherheitsüberprüfung, sowie
  • KLB -Kriminalitätslagebild.

Kernproblem des IPCC – die fehlende Rechtsform – ist immer noch ein Thema

Am Kernproblem des IPCC änderte allerdings auch der Ortswechsel nach Hamburg nichts: Verträge abschließen kann nur eine natürliche oder juristische Person. Ein ‚IPCC ohne Rechtsform‘ ist jedoch weder das eine noch das andere. Wer aber keine Verträge abschließen kann, der kann auch keine Mitarbeiter einstellen oder Verträge mit Auftragnehmern abschließen.

Wie die anstehenden Aufgaben im Zeitraum 2012/2013 beauftragt und bezahlt wurden, ist eine interessante Frage. Denn es gab ja genug Aufgaben für „Pflege und Weiterentwicklung“. Zu nennen sind z.B. nur die notwendigen Anpassungen an das IMP – Informationsmodell Polizei, die Integration der RED – Rechtsextremismusdatei, Auswirkungen der Entdeckung des NSU-Trios und insbesondere der in den Startlöchern stehende PIAV – der polizeiliche Informations- und Analyseverbund.

Für alle anderen Aufgaben, wo ‚Polizei‘ nicht unbedingt die alteingeführten Entwickler brauchte, setzte man in den Ländern der IPCC-Kernkooperation verstärkt auf gegenseitige Unterstützung. Polizeibeamte aus den IT-Abteilungen des jeweiligen Landeskriminalamts oder des behördlichen IT-Dienstleisters unterstützten ihre Kollegen in anderen Kooperationsländern, wenn es um Support, Service, Einführungsunterstützung u.ä. ging.

Vergaberechtlich sei das alles in bester Ordnung, versicherte man sich gegenseitig und beteuerte man gegenüber Außenstehenden. Mal wurde argumentiert mit der „interkommunalen Zusammenarbeit„, mal behauptet, es handle sich bei den Dienstleistungen der einen Behörde für eine andere in einem anderen Land um (vergaberechts-freie) „Inhouse-Vergaben„. Beide Begründungen treffen nicht zu, sagen die Juristen, die es wissen sollten.

Lösungsansätze – ab Mitte 2013

Ab Mitte 2013 gab es dann zwei bemerkenswerte Ansätze: Am 03.07.2013 veröffentlichte die Polizei Hamburg eine Auftragsbekanntmachung. Es ging um die Entwicklung eines „Recherchetools/Entwicklungsvorhabens innovativer/semantischer Methoden und interaktiver Visualisierung … für die IT-gestützte Suche/Analyse“. [6]

Unsere Firma wollte sich an diesem Teilnahmewettbewerb beteiligen und stellte einige fachliche Fragen an die Beschaffungsstelle in Hamburg. Den Antworten war zunächst zu entnehmen, dass Crime auf diese Weise ‚aufgepeppt‘ und ausgebaut werden sollte. 14 Tage später und nach weiteren Fragen, wurde das Vergabeverfahren dann sang- und klanglos eingestellt. Zur Begründung erklärte die Beschaffungsstelle, „die große Anzahl der … Nachfragen … haben deutlich gemacht, dass die angestrebten Inhalte … nicht hinreichend genug beschrieben wurden.“

Nur drei Tage danach veröffentlichte Dataport eine Auftragsbekanntmachung [für einen Teilnahmewettbewerb, an dem sich unsere Firma nicht beteiligt hat; dies nur zur Klarstellung / d. Verf] [6]. Anders als das IPCC, hat Dataport eine Rechtsform, ist nämlich eine Anstalt öffentlichen Rechts und „der Informations- und Kommunikations-Dienstleister der öffentlichen Verwaltung für die Bundesländer Hamburg, Schleswig-Holstein und Bremen sowie für die Steuerverwaltungen in Mecklenburg-Vorpommern und Niedersachsen“. Der Bekanntmachung ist zu entnehmen, dass Dataport

„mit dem Wechsel der Geschäftsführung/Gesamtkoordination [des IPCC / d. Verf.] nach Hamburg [beabsichtigt], sich als Full-Service-Provider für die Polizei mit Leistungen über die Entwicklung, Pflege und den Betrieb von IT-Verfahren zu positionieren. In diesem Zusammenhang übernimmt Dataport Leistungen der Pflege und Fortentwicklung einer komplexen Umgebung miteinander vernetzter Verfahren im Umfeld polizeilicher Auskunftssysteme [= Inpol-Land/POLAS / d. Verf.], des Erkennungsdienstes [= ED-DI / d. Verf.], der Fallbearbeitungs- und Ermittlungssysteme [= Crime / d. Verf.], sowie der Lagebildanwendungen [= KLB / d. Verf.] und der Sicherheitsüberprüfung [= SÜP / d. Verf.]

Für eine beabsichtigte dreijährige Vertragslaufzeit waren 15.000 Personentage vorgesehen. Umgerechnet sind das insgesamt 75 Mannjahre [bei 200 Arbeitstagen pro Jahr] bzw. 25 Mannjahre pro Jahr, d.h. ein Auftrag, der jeweils 25 Personen über drei Jahre beschäftigt.

Trivadis erhält den Auftrag

Für den Beobachter der IPCC-Saga kommt nicht überraschend, dass die Trivadis GmbH als der glückliche Gewinner aus diesem Vergabeverfahren hervorgeht [7]. Sie erinnern sich: Es handelt sich um die Firma, von der es im Bericht des HMDiS [1] heißt, sie „beschäftigte Personen, die langjährig für die Fa. Oracle in der Entwicklung der Architektur für POLAS/INPOL tätig waren“.

Dieses Eignungsprofil erklärt dann auch, warum Dataport mit seinen rund 1.800 Mitarbeitern einen Auftrag für 25 Mann vermutlich leicht selbst ausführen könnte, aber dennoch einen externen Anbieter sucht. Hier ging es wohl nicht um die personelle Kapazität, sondern es musste INPOL/POLAS-Fach-Know-How eingekauft werden.

Doch nach wie vor sind wesentliche Fragen nicht gestellt – bzw. beantwortet

Wird Dataport der Nachfolger des IPCC?

Bisher ist ja die „Länderzweckgemeinschaft des IPCC“ zuständig für die Pflege und Weiterentwicklung von Inpol-Land/POLAS, Zevis, AZR, … So steht es im Bericht des HMDIs vom 23.07.2012 [1].

  • Wird nun Dataport diese Aufgabe übernehmen? Und, wenn ja:
  • Was geschieht dann mit der IPCC-Länderzweckgemeinschaft?
  • Wie bezahlen die Teilnehmer der IPCC-„Gemeinschaften“ die Leistungen der Dataport?
  • Welche Auswirkungen hat dies auf früher angestellte Wirtschaftlichkeitsbetrachtungen, die u.U. Grundlage waren für Entscheidungen?
  • Wie wird die technische Leitung und Lenkung geregelt?
  • Was geschieht mit den sonstigen Pflegegemeinschaften, die sich bisher unter dem Dach des IPCC befanden (siehe oben)?
  • Und wie verträgt sich diese Aufgabenstellung mit dem Dataport-Staatsvertrag [6], in dessen Par. 3 es heißt: „Dataport unterstützt die öffentlichen Verwaltungen in dem Land Schleswig-Holstein, einschließlich der Kommunalverwaltungen, der Freien und Hansestadt Hamburg und der Freien Hansestadt Bremen sowie weiterer Träger … durch Informations- und Kommunikationstechniken. Sie fungiert insbesondere als zentrale IT-Dienstleisterin des Landes Schleswig Holstein, der Freien und Hansestadt Hamburg und der Freien Hansestadt Bremen“?

Oder ist das mit dem „Full-Service-Provider“ gar nicht so ernst gemeint und handelt es sich wieder einmal um einen Kunstgriff zur Erteilung von Aufträgen für ein IPCC, das dazu selbst nicht in der Lage ist?!

Wie ist die Vertragssituation bezüglich der Urheberrechte an Programmen/Systemen?

Jedes Programm, jedes Datenbanksystem und somit auch alle hier in Frage stehenden polizeilichen IT-Anwendungen und -Systeme haben einen Urheber. Das steht so im Urheberrechtsgesetz und kann man nachlesen, z.B. bei Wikipedia [9]. Urheber ist der Entwickler des entsprechenden Programm- oder System(teil)s.

In Arbeitsverträgen zwischen Firmen und ihren angestellten Entwicklern geht das Urheberrecht des angestellten Entwicklers kraft Gesetzes [nach §69b UrhG] auf den Arbeitgeber über. Dieser kann dann über das entwickelte Programm oder System verfügen, d.h. es Dritten zur Nutzung überlassen oder anderweitig verwerten (z.B. vermieten), vervielfältigen, und das Programm/System selbst bearbeiten oder durch andere bearbeiten lassen.

Das IPCC hatte keine Arbeitnehmer. Also gibt es auch keine entsprechenden Arbeitsverträge. Wenn Arbeitsverträge mit Angestellten bzw. Beamten existieren, dann allenfalls mit Polizeibehörden oder technischen Dienstleistern, wie dem HZD. Mit den Freiberuflern und Einzelunternehmen kann es Werkverträge geben oder Dienstverträge: Vertragsgegenstand von Werkverträgen ist die Entwicklung (oder Bearbeitung) eines bestimmten ‚Werkes‘. Was juristisch korrekt wäre, davon hat sich die Praxis jedoch schon seit langem verabschiedet: Polizeibehörden bevorzugen Dienstverträge, die den Auftragnehmer z.B. zu einer „Unterstützung bei der Entwicklung …“ verpflichten und ihn dafür nach Zeitaufwand bezahlen. Eine eindeutige [!] gesetzliche Regelung über die Übertragung von Urheberrechten bei Dienst- bzw. Werkverträgen existiert nicht. Auf diesem Fachgebiet erfahrene Juristen empfehlen daher eine klare, individualvertragliche Regelung, da „ein Rechtsstreit sonst einem Roulette-Spiel gleicht“ … und „bei wichtiger Software extrem gefährlich (oder teuer)“ werden kann.

Wer ist Eigentümer der Bearbeitungsrechte an den „IPCC-„Programmen?!

Die hier in Frage stehenden Programme, z.B. Inpol-Land/POLAS, Crime (und das davon abgespaltene Inpol-Fall) und die sonstigen polizeifachlichen Anwendungen haben seit 2001 mehrfach den Besitzer gewechselt. Dafür gibt es diverse öffentliche Quellen, z.B. in Antworten der Bundesregierung auf Anfragen im Deutschen Bundestag. Aber auch der Geschäftsführer des IPCC aus Hamburg äußerte sich dazu gegenüber dem Journalisten Helmut Lorscheid. Dass diverse Behörden Nutzungsrechte an diesen Produkten haben, ist unstrittig und notwendig. Weniger klar ist allerdings, wer eigentlich der jeweilige Eigentümer der Bearbeitungsrechte ist, z.B. an Inpol-Land, an Crime, ED-DI, der KLB – Kriminallagebildanwendung oder der SÜP – Sicherheitsüberprüfung.

Bei den vielen Entwickler-Wechseln in der Vergangenheit, den diversen beteiligten Einzelpersonen, „Frau H.“, „Herr M.“, „Herr Z.“, „TOMS (EDV-)Beratung“ usw., müßte für jeden einzelnen Entwicklungsauftrag mit jedem einzelnen Entwickler ein Vertrag vorliegen, der dem jeweiligen Auftraggeber (also z.B. der Polizei Hamburg) nicht nur das Nutzungs- und Verwertungsrecht, sondern vor allem auch das Bearbeitungsrecht am neu bzw. weiter entwickelten Programm/System einräumt.

Es müßte dann ferner für jede Übertragung an Bearbeitungsrechten (wie sie nach Auskunft des hamburgischen IPCC-Geschäftsführers zwischen der Kooperation HH/HE und dem BKA wechselseitig vorliegt) jeweils ein entsprechender Vertrag vorhanden sein, der dem Empfänger nicht nur die Nutzungsrechte, sondern insbesondere die Bearbeitungsrechte am jeweils genau bezeichneten Programm oder System(teil) einräumt.

Es erscheint jedoch angesichts der Hemdsärmeligkeit und rechtlichen Unbekümmertheit [, um es wohlwollend zu formulieren], mit der jahrelang ein Konstrukt ohne Rechtsform und klare gesetzliche Vertretung betrieben wurde, mehr als fraglich, ob all diese Verträge tatsächlich existieren und ob rechtsicher dokumentiert werden kann, dass die notwendigen Bearbeitungsrechte nunmehr bei Dataport liegen und gegenüber der Firma Trivadis eingeräumt werden können. Denn nur dann kann diese ihren Auftrag erfüllen …

Wenn nicht, kann sich der einzelne Entwickler, der dann ja immer noch im vollen Besitz seiner umfassenden (gesetzlichen) Urheberrechte steht, nur freuen und u.U. erheblichen Ärger auslösen, wenn er seine Urheberrechte geltend macht: Dazu gehört nämlich auch das Recht, die weitere Nutzung zu versagen – oder an andere Interessenten zu veräußern.
Für Polizei,Politik und Gesellschaft stellt sich dann allerdings auch die Frage, auf welcher Rechtsgrundlage eigentlich wesentliche Teile des polizeilichen Auskunfts- und Fahndungssystems der Polizeibehörden der Bundesrepublik Deutschland stehen und betrieben werden.

Wer kontrolliert den Quellcode der „IPCC“-Programme?

Auch im Zusammenhang mit dem ‚Bundestrojaner‘ wurde die folgende Frage schon einmal gestellt: Wer kontrolliert eigentlich den Quellcode von polizeilich genutzten Anwendungen, vor allem, wenn diese nicht intern entwickelt, sondern von externen Mitarbeitern? Beim Bundestrojaner war die Frage aufgetaucht, nachdem der Chaos Computer Club im Herbst 2011 diesen ‚Bundestrojaner‘ untersucht und festgestellt hatte, dass er weder den gesetzlichen Vorgaben genügte, noch ausreichend gesichert war. Der Einsatz war technisch unsicher und schlicht verfassungswidrig.

Die gleiche Frage stellt sich auch für sämtliche Produkte des IPCC:

  • Entsprechen sie den gesetzlichen Vorgaben, z.B. aus den Polizeigesetzen?
  • Ist wirklich sichergestellt, dass die gesetzlich zwingend vorgeschriebene Zweckbindung für die erhobenen und gespeicherten Informationen mitgespeichert und ausgewertet wird, so wie das jeweilige Polizeigesetz das vorschreibt? Um damit zu verhindern, dass Informationen in den polizeilichen Systemen später zu anderen Zwecken genutzt werden als sie ursprünglich erhoben und gespeichert wurden?
  • Ist sichergestellt, dass verdeckt erhobene Informationen (z.B. aus TK-Überwachung) besonders geschützt sind und nicht an andere Empfänger weitergeleitet werden? Was in den Polizeigesetzen schlicht verboten wird!
  • Sind die Informationen in diesen Programmen/Systemen wirklich geschützt vor Zugriffen von außen?
  • Oder hat sich auch hier die Praxis mancher Entwickler eingeschlichen, die – der Einfachheit halber – einen kleinen, wenn auch ‚eigentlich‘ niemandem sonst bekannten Hintereingang in das System eingebaut haben (in der IT-Sprache daher auch „Backdoor“ genannt), was einen heimlichen Zugang von außen ermöglicht?! Weil es so viel einfacher ist, „mal schnell“ eine Fehlermeldung nachzustellen?!

Es ist nicht unwahrscheinlich, dass diese Fragen Empörung auslösen, oder [von Betroffenen?!] als ‚Verschwörungstheorie‘ oder ‚Unterstellung‘ dargestellt werden. Dabei sind dies lediglich Fragen, wie sie jeder IT-Sicherheits- und Datenschutzbeauftragte in jeder Behörde stellen würde und müßte. Statt sich also mit Empörung aufzuhalten, wäre es doch am einfachsten, sich mit diesen Fragen einmal auseinanderzusetzen und sie zu beantworten – offen und ehrlich, transparent und nachvollziehbar.

Niemand kann von außen feststellen, ob ein Programm oder System Hintertürchen enthält. Solche Untersuchungen sollten von fachlich kompetenten Polizei-Mitarbeitern durchgeführt werden, was ein Problem aufwirft, da die dafür notwendige IT-fachliche Kompetenz und Berufserfahrung in der Polizei eher nicht anzutreffen sind. Wer „so gut“ ist, verdient sein Einkommen vermutlich längst auf dem freien Markt.
Problematisch ist allerdings auch die Beauftragung eines externen Prüfers, jedenfalls dann, wenn man sich dazu wieder aus der kleinen Riege der immer wieder mit Aufträgen aus Polizeibehörden bedachten Auftragsnehmer versorgt. Über den jüngsten Fall dieser Art hat der Spiegel gerade gestern wieder berichtet [10]: Es geht um CSC Deutschland Solutions GmbH, den mit einem weit mehr als 20 Millionen Euro schweren Auftrag bedachten Dienstleister des BKA [3]. Diese Firma wurde schon vor etlichen Monaten beauftragt, den Quellcode des Bundestrojaners zu überprüfen, konnte bis heute allerdings noch keine Ergebnisse vorweisen. Es wirkt in diesem Zusammenhang nicht vertrauensfördernd, wenn, wie der Spiegel dies ausdrückt, die amerikanische Muttergesellschaft von CSC Deutschland „einer der größten Auftragnehmer der US-Geheimdienste“ ist.

Zahlreiche, spannende Fragen sind also offen im Zusammenhang mit einem der großen Hidden Player in polizeilichen IT-Projekten, dem IPCC: Einem Konstrukt ohne Rechtsform, das seit Jahren die Pflege und Weiterentwicklung des polizeilichen Auskunfts- und Fahndungssystems betreibt und verantwortet, welches das Rückgrat des polizeilichen Informationssystems in der Bundesrepublik Deutschland darstellt. Ein Konstrukt aber auch, das die für diese Aufgabe und Verantwortung notwendige Professionalität und Transparenz – öffentlich jedenfalls – nicht zu erkennen gibt …

________________________________________________________________________________________________________________________________

Fußnote

[a] Kooperationsübersichten des IPCC

IPCC-Kooperationsübersichten (20110914)_kl

Kooperationsübersichten des IPCC per 14.09.2011 (aus [1], Anlage 1)

Quellen zu diesem Beitrag

[1] Bericht zu dem Berichtsantrag der Fraktionen der SPD und Bündnis 90/Die Grünen betreffend Vergabeverstöße bei Auftragsvergaben des Landespolizeipräsidiums, 23.07.2012, Drs.-Nr. INA/18/85 (Ausschussvorlage) des Hessischen Landtags
[2] Stenografischer Bericht der 80. Sitzung des Innenausschusses [im hessischen Landtag] am 13.09.2012 – öffentlicher Teil, zu Punkt 8 = Drs.-Nr. 18/5665 des Hessischen Landtags
[3] Vergabebekanntmachung über Leistungen zur (Weiter-)Entwicklung und dem Betrieb von im BKA hoheitlich betriebenen (Groß-)Verfahren
[4] Neues vom PIAV (3): Ein eigener Fall: Inpol-Fall, 01.10.2013, Polygon-Blog
[5] Hidden Players in polizeilichen IT-Projekten: Das IPCC – marktbeherrschend, aber weitgehend unbekannt (1), 12.02.2014, Polygon-Blog
[6] Aktuelle Beschaffungsprojekte für polizeiliche IT, 23.07.2013, Polygon-Blog
[7] Bekanntmachung des von Dataport an Trivadis vergebenen Auftrags, 18.12.2013, TED, Nr. 2013/S 245-427428
[8] Dataport-Staatsvertrag, 24.02.2014
[9] Wikipedia, Urheberrecht Deutschland, abgerufen am 06.03.2014
[10] Staatstrojaner-Fiasko verbittert Polizisten, 05.03.2014, SpiegelOnline

Schlagworte: , , , , , , , , ,

Schreibe einen Kommentar