Von Volker Eick
Nach Ansicht des Bundesinnenministeriums ist die Bundesregierung derzeit nicht in der Lage, Daten in einer Cloud so abzuspeichern, dass die infrastrukturellen Datenschutzkriterien des Bundesamts für die Sicherheit in der Informationstechnik (BSI) erfüllt werden. Offenbar kann das auch kein deutsches Unternehmen, denn den Auftrag zur Speicherung der bundespolizeilichen BodyCam-Daten erhält die Tochter des US-Konzerns Amazon, Amazon Web Services (AWS). Das berichtete die Neue Osnabrücker Zeitung im März 2019 unter Berufung auf den FDP-Abgeordneten Benjamin Strasser. Der hatte die Bundesregierung gefragt, warum sie „ein kaum kalkulierbares Risiko mit Blick auf hochsensible Daten“ eingehe.[1] Dieses kaum „kalkulierbare Risiko“ bezieht sich einerseits auf Amazon, denn das Unternehmen könnte an die US-Regierung Nutzerdaten weiterleiten und hat an US-amerikanische Polizeien seine selbstentwickelte Überwachungstechnologie „Rekognition“ ausgeliefert, die zur Gesichtserkennung in BodyCam-Bildern genutzt wird. Andererseits bezieht sich das Risiko auf den von der US-Regierung im März 2018 verabschiedeten CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Gestützt auf dieses Gesetz kann die US-Regierung auch auf Server von US-Unternehmen im Ausland zugreifen, eine Befugnis, die im Patriot Act von 2001 und in seinen nachfolgenden Modifizierungen als nicht abschließend geklärt galt. (Die EU plant übrigens derzeit einen EU Cloud Act, ebenfalls mit weltweitem Zugang zu Datenbanken).
Bis Ende 2019 will die Bundespolizei 1.100 BodyCams im Einsatz haben. Ende 2020 sollen alle 475 Dienststellen mit dann insgesamt 2.300 Kameras ausgestattet sein. Die damit erfassten Daten, die die Bundespolizei nun in der AWS-Wolke speichern will, seien auf den Servern „stark verschlüsselt“ und ließen „für sich genommen“ keine Zuordnung zu einzelnen Personen zu. Die Verknüpfung erfolge erst in einem internen „Vorgangsbearbeitungssystem“; Amazon habe daher auf personenbezogene Daten (identifizierte und identifizierbare Personen) keinen Zugriff, und das gespeicherte Material daher für Amazon auch keinerlei Mehrwert. Die Speicherfrist betrage 30 Tage. Länger würde nur gespeichert, wenn das Material als Beweismittel in Gerichtsverfahren dienen soll.
Dass keine deutsche Behörde und auch kein deutsches Unternehmen in der Lage sein soll, Daten sicher in einer Cloud speichern, die den bundesweiten Zugriff einer Behörde erlauben muss, ist jedoch genauso schwer zu glauben wie die Bekundung, dass die Daten so nichtssagend und so gut verschlüsselt seien, dass ein Zugriff nicht möglich und (wenn doch) nicht schädlich sei.
Wie auch immer: In den USA geben Polizeibehörden im Durchschnitt 70 bis 150 Euro pro Polizeikraft im Monat für die Speicherung von BodyCam-Daten in Clouds aus; in Washington D.C., wo 2.000 Polizeibeamt*innen BodyCams tragen und so am Tag 1.000 Stunden Material produzieren, werden zwar 40 Prozent nach 90 Tagen gelöscht, für die Speicherung des ‚restlichen‘ Materials aber zahlt die Polizei Tag für Tag, Monat für Monat, Jahr für Jahr…