freiheitsfoo Wiki | Main / TKUE-Zentrum-Nord

2016 - Kritik am Zustandekommen der Länderstaatsverträge zur Errichtung des Telekommunikations-Überwachungs-Zentrums Nord

https://freiheitsfoo.de/2016/06/22/tkuez-nord-kritik/

2021 - Tätigkeitsbericht der LfD Niedersachsen

Erhebliche Verzögerungen beim TKÜ-Zentrum im Nordverbund

Zuletzt habe ich in meinem Tätigkeitsbericht für das Berichtsjahr 2019 über die offenen Fragen für ein gemeinsames „Rechen- und Dienstleistungszentrum Telekommunikationsüberwachung der Polizei im Verbund der norddeutschen Küstenländer“ (RDZ-TKÜ) berichtet. Dabei geht es um die Zusammenarbeit der Länder Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen und Schleswig-Holstein, durch die Synergieeffekte für die Länderpolizeien erzielt werden sollen. Die Planungen für dieses RDZ-TKÜ wurden bereits 2011 aufgenommen. Ziel des im August 2016 dafür in Kraft getretenen Staatsvertrages ist eine neue, gemeinschaftlich genutzte TKÜ-Anlage.

Die rechtlichen und technisch-organisatorischen Fragen, die meine Behörde gemeinsam mit den anderen betroffenen Aufsichtsbehörden zu diesem Projekt bis 2019 behandelt hat, entstanden im Rahmen von Beratungen für die Projektleitung. Die Umsetzung war hierbei mit Blick auf die sogenannte JI-Richtlinie, die in nationales Recht umzusetzen war, neu zu bewerten. Diese findet sich in Niedersachsen im zweiten Teil des Niedersächsischen Datenschutzgesetzes (NDSG) wieder. Daneben sind gleichberechtigt die zum Teil unterschiedlichen Bestimmungen der Landesdatenschutzgesetze der anderen beteiligen Länder zu berücksichtigen.

Lehren aus der Mängelliste der alten Anlage

Eine maßgebliche Rolle spielten dabei auch eine Reihe relevanter Anforderungen und Lehren, die sich aus der datenschutzrechtlichen Mängelliste der TKÜ-Anlage ergaben, die in Niedersachsen aktuell noch im Einsatz ist und bis zur Inbetriebnahme des neuen Verfahrens in Betrieb sein wird. Die daraus resultierenden beiden Stellungnahmen der Datenschutzaufsichtsbehörden der fünf beteiligten Länder im Jahr 2019 beinhalteten zahlreiche Details zu datenschutzrechtlichen Anforderungen, spezifischen Risiken und der Angemessenheit technisch-organisatorischer Maßnahmen. Darin waren unter anderem folgende zentrale Gesichtspunkte von besonderer Bedeutung:

Eine vollständige und pflegbare Datenschutz-Folgenabschätzung ist vor Aufnahme des Betriebes notwendig;
Anforderungen der Auftragsverarbeitung müssen auch unter den Aspekten einer möglichen gemeinsamen Verantwortlichkeit für die gemeinsame Plattform des Verfahrens erfüllt werden;
eine transparente und nachvollziehbare Methode zur Risikoidentifizierung, -bewertung und angemessenen -minimierung ist auszuwählen und durchzuführen;
die Schutz- und Gewährleistungsziele sind vollständig abzubilden;
eine hinreichend sichere Mandantentrennung insbesondere unter dem Gesichtspunkt einer mandantenübergreifenden Virtualisierung ist zu gewährleisten. Das heißt, trotz der funktionalen Nutzung gemeinsamer technischer Hard- und Software-Komponenten muss die Trennung der jeweiligen Daten und der funktional teils unterschiedlichen Anforderungen der Länderpolizeien sowie Dienststellen- und Organisationsebenen als Mandanten sichergestellt werden;
es ist eine Möglichkeit zur Erweiterung, Deaktivierung und Reduzierung von Mandanten zu schaffen;
Art und Umfang von Fernzugriffen sind zu definieren;
Aspekte des Zugangs- und Zugriffsschutzes sind darzulegen;
Umfang, Speicherdauer, Revisionssicherheit und Management von Protokolldaten sind zu klären;
Malware-Schutz- und Backup-Lösungen sind auszugestalten.

Die Datenschutz-Folgenabschätzung muss mit einem methodisch einwandfreien Prozess durchgeführt werden. Dieser muss konsequent und ohne Abstriche beim Erfüllungsgrad der final festgelegten datenschutzrechtlichen Anforderungen umgesetzt werden. Andernfalls wären die polizeilichen TKÜ-Maßnahmen mit ihrer umfangreichen Eingriffstiefe in die Rechte und Freiheiten für die Betroffenen nicht tragbar und rechtlich unzulässig.

Die Hardware- und Software-Lösung für das Verfahren wird nicht durch die Polizei selbst, sondern durch einen IT-Dienstleister entwickelt und bereitgestellt. Der dafür erforderlichen Ausschreibung und Zuschlagserteilung im Jahr 2019 folgten 2020 und 2021 die Konkretisierungen und Implementierungen, jedoch noch keine Fertigstellung des Gesamtsystems, wie sie damals geplant war.

Geplanter Start um mehr als zwei Jahre verzögert

Laut Staatsvertrag sollte der Wirkbetrieb schon mit Beginn des Jahres 2020 aufgenommen werden. Dieser Starttermin verzögerte sich erheblich durch die Ausschreibung, einen betrieblichen Standortwechsel und zusätzliche Wechselwirkungen sowie offenbar durch den hohen Komplexitätsgrad des Gesamtverfahrens. Zudem wurde bekannt, dass der IT-Dienstleister bei der Feinkonzeption und Implementierung in den Jahren 2020 und 2021 in Verzug geraten war. Seit 2021 gab es außerdem einen Wechsel in der Leitung und einem Teil des Fachpersonals der Projektgruppe sowie der projektinternen Datenschutzkoordination. Die zentrale Frage der Durchführung einer Datenschutz-Folgeabschätzung wurde durch die geschilderten Verzögerungen ebenfalls nicht zeitgerecht fertig.

Ein geplanter Beratungstermin mit der Datenschutzaufsicht zu offenen Umsetzungsfragen sollte im November 2021 stattfinden. Die dafür erforderliche Dokumentenlage zu einer Datenschutz-Folgenabschätzung konnte von der Projektleitung jedoch nicht zeitgerecht vorgelegt werden. Als neuer Beratungstermin wurde deshalb Anfang 2022 in Aussicht gestellt.

Ich sehe in den erheblichen Verzögerungen dieses Projektes – insbesondere wegen der noch nicht vorliegenden Datenschutz-Folgenabschätzung – ein erhebliches Problem. Die Abnahme des Gesamtverfahrens setzt die Lösung aller offenen Fragen und die vollständige Dokumentation voraus. Zugleich läuft der Betrieb des beanstandeten TKÜ-Altverfahrens weiter. Das ist jedoch angesichts der vor Jahren festgestellten Mängel, die nicht beseitigt worden sind, nicht hinnehmbar. Die Projektgruppe wurde von mir im Dezember 2021 erneut auf diese Konsequenzen hingewiesen.

Quelle: https://lfd.niedersachsen.de/download/184450

10.3.2023 - Presseanfrage an das Nds. Innenministerium

Sehr geehrte Damen und Herren,

weil wir über den Stand von Errichtung und Betrieb des TKÜ-Zentrums Nord berichten möchten haben wir folgende Fragen an Sie und bitten um Beantwortung bis zum 15.3.2023:

1.) Wann ist das TKÜ-Zentrum Nord in Regelbetrieb gegangen bzw. zu welchem Datum ist dieses geplant?

2.) Wie hoch sind die ursprünglich geplanten Errichtungskosten für das TKÜ-Zentrum, die durch das Land Niedersachsen getragen werden und wie hoch sind - nach aktuellem Stand - die dann tatsächlich entstandenen Kosten hierfür?

3.) Wie hoch sind die Betriebskosten, die das Land Niedersachsen jährlich für das TKÜ-Zentrum Nord aufwenden muss?

4.) Wurde nach der Kritik der LfD aus 2016 eine Risikoanalyse zur Gewährleistung der Mandatentrennung erstellt und falls ja: Wann ist das geschehen und zu welchem Ergebnis ist man dabei gekommen?

Vielen Dank und viele gute Grüße,

14.3.2023 - Antwort vom LKA Niedersachsen

Sehr geehrter Herr xxx,

das niedersächsische Innenministerium hat uns Ihre Anfrage mit der Bitte um Beantwortung übermittelt. Dem kommen wir fristgerecht gern nach. Das LKA Niedersachsen nimmt wie folgt Stellung:

1.) Wann ist das TKÜ-Zentrum Nord in Regelbetrieb gegangen bzw. zu welchem Datum ist dieses geplant?

Die Wirkbetriebsaufnahme des länderübergreifenden Rechen- und Dienstleistungszentrum (kurz RDZ) soll schnellstmöglich erfolgen.

Gemäß Staatsvertrag über die Einrichtung und den Betrieb eines RDZ zur Telekommunikationsüberwachung (TKÜ) der Polizeien im Verbund der norddeutschen Küstenländer ist für die Erstbeschaffung einer gemeinsamen TKÜ-Anlage eine Investitionsobergrenze in Höhe von 18,3 Millionen Euro festgelegt. Der niedersächsische Anteil beträgt hierbei rund 9,4 Millionen Euro. Nach aktuellen Planungen bleiben die Investitionskosten im Rahmen der festgeschriebenen Obergrenze.

3.) Wie hoch sind die Betriebskosten, die das Land Niedersachsen jährlich für das TKÜ-Zentrum Nord aufwenden muss?

Der Anteil des Landes Niedersachsen an den gem. Staatsvertrag von sämtlichen Partnerländern zu tragenden Betriebskosten betrug im Jahr 2021 ca. 123.000 Euro und im Jahr 2022 ca. 1,2 Mio. Euro. Die Betriebskosten für das laufende und das künftige Jahr können noch nicht abschließend beziffert werden.

4.) Wurde nach der Kritik der LfD aus 2016 eine Risikoanalyse zur Gewährleistung der Mandatentrennung erstellt und falls ja: Wann ist das geschehen und zu welchem Ergebnis ist man dabei gekommen?

Im Rahmen des Ausschreibungsverfahrens für den Aufbau und den Betrieb des RDZ TKÜ der norddeutschen Küstenländer im Jahr 2018 wurde eine konsequente Mandatentrennung als zwingend zu erfüllendes Kriterium gefordert. Sie wird im Weiteren beim Aufbau der Anlage umgesetzt. Dabei steht das LKA Niedersachsen im Austausch mit den Landesdatenschutzbeauftragten der beteiligten Länder.

Die abschließende datenschutzrechtliche Prüfung findet durch die Landesdatenschutzbeauftragten der beteiligen Länder zu gegebenen Zeit statt.

Mit freundlichen Grüßen

Im Auftrag

XXX

Pressesprecherin
Presse- und Öffentlichkeitsarbeit

15.3.2023 - Nachfragen an das LKA

Sehr geehrte Frau xxx,
sehr geehrte Herren,

vielen Dank soweit!

Was bedeutet "schnellstmöglich"?

Gibt es bereits einen Testbetrieb und falls ja, seit wann?

Inwiefern finden die Überwachungsmaßnahmen der beteiligten Länder bereits jetzt über das TKÜZ-Nord statt?

Ist der Beginn des stabilen Regulärbetriebs noch für 2023 geplant?

Viele gute Grüße,

16.3.2023 - "Antworten" vom LKA

Sehr geehrter Herr xxx,

Ihre Nachfragen zur o.g. Presseanfrage beantworten wir wie folgt:

1. Was bedeutet "schnellstmöglich"?

Nach wie vor ist es im Nordverbund oberstes Ziel, die Wirkbetriebsaufnahme des länderübergreifenden Rechen- und Dienstleistungszentrums (RDZ) schnellstmöglich, im Sinne von „sobald wie möglich“, umzusetzen.

2. Gibt es bereits einen Testbetrieb und falls ja, seit wann?

Nein.

3. Inwiefern finden die Überwachungsmaßnahmen der beteiligten Länder bereits jetzt über das TKÜZ-Nord statt?

Durch das RDZ wurden bisher keine TKÜ-Maßnahmen durchgeführt.

4. Ist der Beginn des stabilen Regulärbetriebs noch für 2023 geplant?

Siehe Frage 1.

Mit freundlichen Grüßen

Im Auftrag

xxx

Pressesprecherin
Presse- und Öffentlichkeitsarbeit

Landeskriminalamt Niedersachsen
Am Waterlooplatz 11 | 30169 Hannover