Bodycams sind mittlerweile ein probates Mittel der Polizei, um Einsätze aber ggf. auch Angriffe auf Polizeikräfte beweissicher zu dokumentieren. Den Kameras wird dabei eine abschreckende Wirkung zugesprochen. Wir haben im Rahmen des Blogs zu den datenschutzrechtlichen Rahmenbedingungen beim Einsatz von Bodycams bereits mehrfach Stellung bezogen.

Die Aufzeichnung und Verwertung der Kamerabilder ist dabei ein datenschutzrechtlicher Aspekt, den wir beleuchtet haben. Nicht weniger bedeutend ist allerdings die mittlerweile von Politik und Experten diskutierte Frage, wo die Bilddaten gespeichert werden. Die Bundespolizei wird derzeit großflächig mit Kameras von Motorola ausgestattet. Motorola speichert die Kameraaufzeichnungen in einer Cloud des US-Unternehmens Amazon Web Services (AWS).

Ins Rollen gebracht wurde die politische Diskussion um den Speicherort der Kameradaten durch den FDP-Bundestagsabgeordneten Benjamin Strasser, der hierzu eine schriftliche Anfrage an die Bundesregierung stellte. Nach seiner Argumentation könnten US-Unternehmen von der US-Regierung dazu gezwungen werden, auf Grundlage des CLOUD Acts Daten der deutschen Bundespolizei an US-Sicherheitsbehörden zu übermitteln. CLOUD steht dabei für „Clarifying Lawful Overseas Use of Data Act“ und erweitert die Reichweite und Kontrollkompetenz von US-Behörden auf ausländische Gesellschaften, sofern diese im Besitz, in Verwahrung oder unter Kontrolle US-amerikanischer Unternehmen stehen (Nähere Informationen zum CLOUD Act finden Sie hier).

Der Bundesbeauftragte für den Datenschutz sieht in der Speicherung der Bilddaten auf AWS-Servern einen Verstoß gegen deutsches Datenschutzrecht. Kritisiert wird, dass die Bundespolizei Daten an Dritte nur weitergeben darf, wenn sichergestellt ist, dass die Bundespolizei weiterhin die Kontrolle über die Daten innehat. Eben dies wäre nicht gewährleistet, wenn ein US-Gericht auf Grundlage des CLOUD Acts die Daten anfordert. Hiergegen könnte im konkreten Fall nur AWS rechtliche Schritte einleiten, nicht aber die Bundespolizei. Nach Auffassung des Bundesdatenschutzbeauftragten Ulrich Kelber wäre daher die Speicherung von Daten der Bundespolizei in der Cloud eines US-Unternehmens – auch in Anbetracht besserer Alternativen – unzulässig.

Amazon teilt hierzu mit, dass man sich gegen Auskunftsanfragen von US-Behörden juristisch zur Wehr setzen werde. Außerdem seien die Daten auf den AWS-Servern so verschlüsselt, dass man nicht in der Lage sei, diese an die US-Behörden herauszugeben. Es sei nur dem Kunden selbst möglich, die Daten zu entschlüsseln.

Technische Anforderungen an die Cloud-Lösung

Aus technischer Sicht wird die Cloud-Infrastruktur von Amazon nicht angezweifelt. Eine Sprecherin des Bundesinnenministeriums hatte bereits betont, die Speicherung der Daten bei Amazon entspreche deutschen Datenschutz-Standards. Die Daten würden „auf deutschen Servern in Deutschland nach deutschem Recht“ gespeichert. Man prüfe, „ob es noch andere Möglichkeiten gibt“, etwa eine Speicherung in der Bundescloud. Aufgrund der Kombination mit den Motorola-Funkgeräten der Bundespolizei sei aber momentan nur eine Speicherung auf der Amazon-Cloud möglich.

Das US-Unternehmen AWS ist Marktführer für Cloud-Lösungen, der überwiegende Teil der DAX-Unternehmen nutzt diese Dienste. Dies gilt auch für Europol, die die Cloud-Infrastruktur von Amazon ebenfalls nutzen.

Für die Bundespolizei war eine zentrale Anforderung, dass die Daten in einer Cloudlösung gespeichert werden. Ein Grund hierfür war die große Zahl an Dienststellen und die hohe Mobilität der Polizeikräfte der Bundespolizei. Bei Einsätzen kann es erforderlich sein, ortsunabhängig raschen Zugriff auf die gespeicherten Daten zu erhalten.

Amazon war der erste Cloud-Anbieter, der die Voraussetzungen der vom Bundesamt für Sicherheit in der Informationstechnik geforderten C5-Zertifizierung erfüllte. Neben weiteren internationalen Anbietern erhielten später die EU-Anbieter CANCOM, die Open-Telekom-Cloud und SAP in 2018 die C5-Zertifizierung. Zu diesem Zeitpunkt hatte man sich auf Seiten der Bundespolizei aber bereits für Motorola und AWS entschieden.

Es kommen jedoch weiterhin Forderungen aus der Politik, die Bundescloud auch für die Speicherung der Bilddaten von Bodycams weiter voranzutreiben. Diese existiert zwar bereits und wird vom Informationszentrum Bund (ITZ) betrieben. Eine Verknüpfung der Bodycam-Daten mit der Bundes-Cloud wird beim ITZ allerdings als eine technische Herausforderung gesehen. Auch verfügt die Bundescloud derzeit nicht über eine C5-Zertifizierung, die es nach aller Voraussicht in absehbarer Zeit auch nicht geben wird.

Fazit

Die Einführung der Bodycams für die polizeiliche Arbeit in den Bundesländern und bei der Bundespolizei war bereits Gegenstand datenschutzrechtlicher Diskussionen. Der Speicherort personenbezogener Daten aus den Kameraaufzeichnungen stellt die Bundespolizei nun vor weitere Herausforderungen. Eine Bundescloud wäre hier ein Schritt in die richtige Richtung, dafür bedarf es aber weiterer Fortschritte seitens des hierfür zuständigen IT-Dienstleisters ITZ.

Wenn weiterhin personenbezogene Daten bei AWS gespeichert werden, bleibt es bei dem datenschutzrechtlichen Dilemma, dass im Fall eines Auskunftsersuchens der US-Behörden entweder gegen die rechtlichen Anforderungen der US-Sicherheitsbehörden verstoßen wird oder gegen die Anforderungen der EU zur Übermittlung personenbezogener Daten in Drittstaaten gem. Art. 44 ff. DSGVO. Ein Zugriff der US-Sicherheitsbehörden auf personenbezogene Daten wäre nach dem CLOUD Act grundsätzlich auch dann möglich, wenn die Daten auf europäischen Servern eines US-Cloudanbieters liegen.

Eine Maßnahme, die den intransparenten Zugriff von US-Behörden auf die Bilddaten der Bodycams bei internationalen Cloud-Anbietern wirksam unterbinden würde, wäre eine wirksame und vollständige Verschlüsselung der Bilddaten auf Datenbank- bzw. Anwendungsebene. Ob die Verschlüsselung der personenbezogenen Kameradaten auf den AWS-Servern ausreicht, um einen Zugriff der US-Behörden zu verhindern, wäre von den deutschen Aufsichtsbehörden zu prüfen. Die Bundespolizei erfüllt hoheitliche Aufgaben, so dass den Anforderungen des deutschen und europäischen Datenschutzrechts an die Übermittlung personenbezogener Daten in Drittstaaten Rechnung getragen werden sollte.