BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/16436 21. Wahlperiode 12.03.19 Schriftliche Kleine Anfrage der Abgeordneten Anna-Elisabeth von Treuenfels-Frowein, Carl-Edgar Jarchow und Jennyfer Dutschke (FDP) vom 04.03.19 und Antwort des Senats Betr.: Bodycams – Speichert auch die Hamburger Polizei ihre Daten auf Servern von Amazon? Der Antwort der Bundesregierung auf eine Anfrage der FDP-Bundestagsfraktion zufolge speichert die Bundespolizei Daten von sogenannten Bodycams verschlüsselt auf Servern von Amazon in Frankfurt, weil laut Bundesregierung keinerlei andere, geeignete Infrastruktur in Deutschland bereitstünde , die entsprechend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wäre. Das ist insoweit bemerkenswert, als die Dataport -Infrastruktur vom BSI zertifiziert ist und im Rahmen einer Präsentation im Ausschuss Öffentliche Unternehmen auch explizit der Erhalt der digitalen Souveränität des Staates als Unternehmensziel aufgeführt wurde.1 Vor diesem Hintergrund fragen wir den Senat: 1. Wo beziehungsweise auf Servern welcher Dienstleister speicherte und speichert die Hamburger Polizei die Daten, die von ihren Bodycams erfasst wurden? Speicherungen im Sinne der Fragestellung erfolgen bei der Informationstechnik der Polizei, Referat Videotechnik (IT 421), in einem durch ein Zugangskontrollsystem gesondert gesicherten Raum zunächst durch Übertragung der Daten von der Kamera auf einen Stand-Alone-Computer. Anschließend erfolgt durch IT 421 eine Sicherung auf einen gesonderten Datenträger und die Ablage des Datenträgers im gesondert gesicherten Videoarchiv bei IT 421. Die Daten auf der Kamera und dem Stand-Alone- Computer werden unmittelbar nach der Datensicherung durch IT 421 gelöscht. a. Welcher Schutzbedarfskategorie unterliegen diese Daten? Die Polizei hat die Schutzbedarfskategorie „hoch“ festgelegt. b. Inwieweit werden sie verschlüsselt abgespeichert? Wer hat Zugriff auf die Daten und den Schlüssel? Die Daten in den Kameras werden nach dem Advance Encryption Standard (AES) 128 verschlüsselt (systemseitig vom Hersteller vorgegeben). Zugriff auf die in den Kameras gespeicherten Daten haben der kameraführende Beamte (Leseberechtigung ), der „Entscheider“ (Leseberechtigung) und die festgelegten Administratoren von IT 421 (Vollzugriff). Bei IT 421 werden die verschlüsselten Daten per Software entschlüsselt und auf dem Stand-Alone-Computer ausgelesen; im Übrigen siehe Antwort zu 1. Die abschließende Speicherung durch IT 421 auf einem gesonderten Datenträger erfolgt unverschlüsselt. 1 Vergleiche Drs. 21/10612, Seite 3 folgende und Seite 17. Drucksache 21/16436 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 2. Verfügt die Freie und Hansestadt Hamburg beziehungsweise Dataport über Infrastruktur und Software-Lösungen, die vom BSI entsprechend zertifiziert wurden, um die Hamburger Bodycam-Daten zu speichern? Wenn nein, warum nicht? Siehe Antworten zu 1. bis 1. b. Bei der derzeitigen Anzahl von eingesetzten Bodycams ist die aktuelle Verfahrensweise ausreichend. Eine Netzwerklösung im Sinne der Fragestellung ist derzeit nicht erforderlich. 3. Welche maximale Schutzbedarfskategorie kann derzeit über Infrastruktur und Software von Dataport beziehungsweise der Freien und Hansestadt Hamburg abgebildet werden? Dataport AöR kann (gemäß IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik) Lösungen bis zur maximalen Schutzbedarfskategorie „sehr hoch“ umsetzen. 4. Stand die Bundespolizei in Kontakt mit der Freien und Hansestadt Hamburg beziehungsweise Dataport, als sie nach einem geeigneten Speicherort für die Bodycam-Daten gesucht hat? Besteht aktuell Kontakt? Wenn ja, warum fiel die Entscheidung dennoch gegen Dataport? Warum reicht die BSI-Zertifizierung Dataports der Bundespolizei offenbar nicht aus? Einen entsprechenden Kontakt hat es nicht gegeben. Im Übrigen kann der Senat zu Entscheidungen der Bundespolizei keine Aussage treffen.