Straftaten verhindern oder Verbrechen aufklären und das alles mittels einer Software? Klingt natürlich gut, birgt jedoch sehr hohe Risiken. Kritiker zogen mittel Verfassungsbeschwerde vor das Bundesverfassungsgericht (BVerfG). Dieses hat die Verfassungsbeschwerde zur Datenanalyse im Dezember letzten Jahres verhandelt. Nun hat das Gericht entschieden.
Der Inhalt im Überblick
Um welche Software geht es?
Im Mittelpunkt der Verhandlung stand das Bundesland Hessen, welches eine US-Software nutzt, um Polizeidaten automatisiert zu analysieren. Als rechtliche Grundlage gilt der § 25a des hessischen Polizeigesetzes (HSOG). Auch das Hamburgische Gesetz über die Datenverarbeitung (HmbPolDVG) enthält in § 49 Abs. 1 Alt. 1 eine solche Regelung zur automatisierten Auswertung von Daten, diese wurde aber von der Polizei noch nicht genutzt.
Die Software, um die es in geht, ist die Analysesoftware Gotham der US-Firma Palantir. Gotham integriert und transformiert Daten unabhängig von ihrem Typ oder Umfang in ein einziges zusammenhängendes Datenelement. Während die Daten in die Plattform fließen, werden sie angereichert, definierten Objekten zugeordnet und in eine verbindende Beziehung gesetzt. Mittels der Software lassen sich folglich große Datenbestände katalogisieren und Zusammenhänge erstellen.
Wer kennt wen? Wer war wann wo? Welche Zusammenhänge bestehen? Alles wird automatisiert analysiert. Ein aufwendiges Zusammentragen per Hand ist damit passé.
In Hessen verknüpft die Software unterschiedliche polizeiliche Datenbanken. Dabei soll die Software Muster entdecken, die für die ermittelnden Beamten nicht offensichtlich sind. Die Ergebnisse aus den unterschiedlichen Quellen ergeben nach der Analyse ein komplexes Profil von Verdächtigen.
Regelung zur automatisierten Datenanalyse verfassungswidrig
Durch das heute verkündete Urteil (1 BvR 1547/19, 1 BvR 2634/20) hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG verfassungswidrig sind. Die Vorschriften verstoßen gegen das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG) in seiner Ausprägung als informationelle Selbstbestimmung.
Grund ist die in den Gesetzen nicht hinreichend bestimmte Eingriffsschwelle. Das heißt die Anlässe, wann die automatisierte Datenanalyse eingesetzt werden darf, in den Gesetzen nicht klar genug benannt werden. Stattdessen werde der Polizei
„eine Weiterverarbeitung gespeicherter Datenbestände mittels einer automatisierten Datenanalyse oder -auswertung [ermöglicht], wenn dies zur vorbeugenden Bekämpfung bestimmter Straftaten erforderlich ist. Dieser sehr allgemeine Eingriffsanlass bleibt angesichts der besonders daten- und methodenoffen formulierten Befugnisse weit hinter der wegen des konkreten Eingriffsgewichts verfassungsrechtlich gebotenen Schwelle einer konkretisierten Gefahr zurück.“
Spezielle Anforderungen an den Eingriff
Das Gericht führt in seiner Entscheidung aus, dass eine automatisierte Datenanalyse oder -auswertung nicht grundsätzlich unmöglich ist. Sie bedarf jedoch einer verfassungsrechtlichen Rechtfertigung.
Es werden spezielle Anforderungen an die Rechtfertigung des Grundrechtseingriffs gestellt. Dies ergibt sich aus dem Gebot der Verhältnismäßigkeit im engeren Sinne. Wie streng die Anforderungen im Einzelfall sind, bestimmt sich nach dem Eingriffsgewicht der Maßnahme.
Zweckwahrende oder zweckändernde Weiternutzung
Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung ergebe sich laut BVerfG aus der Summe zweier Aspekte. Erstens aus der Schwere der vorausgegangenen Datenerhebungseingriffe und zweitens aus der Schwere der automatisierte Datenanalyse oder -auswertung selbst. Bei der Bestimmung des ersten Aspekts greifen die Grundsätze der Zweckbindung und Zweckänderung.
Demnach kommt eine zweckwahrende Weiternutzung dann in Betracht, wenn seitens derselben Behörde im Rahmen derselben Aufgabe und für den Schutz derselben Rechtsgüter, die bereits für die Datenerhebung maßgeblich waren, die Daten weitergenutzt werden.
Der Gesetzgeber kann eine weitere Nutzung der Daten aber auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben, sog. zweckändernde Weiternutzung. Hierbei gilt als Maßstab bei der Verhältnismäßigkeitsprüfung das Kriterium der hypothetischen Datenneuerhebung. „Danach kann der Gesetzgeber die zweckändernde Weiternutzung von Daten der Polizeibehörden grundsätzlich dann erlauben, wenn es sich um Informationen handelt, aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Aufdeckung von vergleichbar gewichtigen Straftaten oder zur Abwehr von zumindest auf mittlere Sicht drohenden Gefahren für vergleichbar gewichtige Rechtsgüter wie die ergeben, zu deren Schutz bereits die entsprechende Datenerhebung zulässig ist.“
Personenbezogene Daten dürfen nach § 25a HSOG und § 49 HmbPolDVG sowohl zweckwahrend als auch zweckändernd weiterverarbeitet werden. Zudem erlauben die beiden Vorschriften die Verarbeitung sehr großer Datenmengen. Im Wesentlichen wird hier jedoch nicht nach der Herkunft der Daten und den ursprünglichen Erhebungszwecken unterschieden. Es müssten daher anderweitig hinreichend normierte Regelungen getroffen werden.
Schwere des Eingriffs bedingt Konkretisierung der Eingriffsschwelle
Bei der Ermittlung der Schwere des Eingriffs durch die automatisierte Datenanalyse oder -auswertung sei zu beachten, dass deren Gewicht sich durch die Art, den Umfang und denkbare Verwendung der Daten sowie die Gefahr ihres Missbrauchs bestimme. Hinzu kommt die Methode der Datenanalyse oder -auswertung. Je komplexer diese ist, je breitere und tiefere Erkenntnisse sie über Personen ermöglicht und je höher die Fehler- und Diskriminierungsanfälligkeit dabei ist, desto höher ist auch ihre Eingriffsintensität.
Diese Eingriffsintensität bedingt wechselwirkend die Anforderungen an die Voraussetzungen für den Eingriff in das Recht auf informationelle Selbstbestimmung. So müssen sowohl das Rechtsgut, dass durch den Eingriff geschützt werden soll, als auch die Eingriffsschwelle im Verhältnis zur Eingriffsintensität stehen. Das BVerfG fasst diese Beziehung wie folgt zusammen:
- Schwerwiegender Eingriff in die informationelle Selbstbestimmung:
Nur zum Schutz besonders gewichtiger Rechtsgüter (Leib, Leben oder Freiheit der Person) zulässig. Eingriffsschwelle ist hier eine hinreichend konkretisierte Gefahr. - Weniger gewichtige Eingriffe in die informationelle Selbstbestimmung:
Zum Schutz von Rechtsgütern von zumindest erheblichem Gewicht (Verhütung von Straftaten von zumindest erheblicher Bedeutung). Eingriffsschwelle ist hier eine hinreichend konkretisierte Gefahr.
Zum Schutz von hochrangiger, überragend wichtiger oder auch besonders gewichtigen Rechtsgütern. Eingriffsschwelle kann hinter einer konkretisierten Gefahr zurückbleiben.
Nur wenn der Gesetzgeber eine Regelung erlässt, die klare Vorgaben zu der Art und dem Umfang der genutzten Daten, den zulässigen Datenverarbeitungsmethoden sowie den Einsatzanlässen macht, könnte diese Regelung in die Kategorie 2 der weniger gewichtigen Eingriffe fallen.
Daher ist das spezifische Eingriffsgewicht der daten- und methodenoffen formulierten Befugnisse zur Datenanalyse oder -auswertung nach § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG als sehr hoch zu bewerten. Denn die Regelungen sind in ihrem jetzigen Zustand so abstrakt, dass sie die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu lassen. Es wird der Polizei gestattet, mit nur einem einzigen Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat. Selbst Datenverarbeitungen von besonderes schwerem Eingriffsgewicht wie etwa „data mining“, der Einsatz von KI oder „predictive policing“ lassen sich dem Wortlaut nach auf die Normen stützen. Daher wären diese nur für Fälle zulässig, bei denen eine konkretisierte Gefahr für besonders gewichtige Rechtsgüter besteht.
Die vorbeugende Bekämpfung von Straftaten im Sinne von § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG umfasst jedoch nach der gesetzlichen Definition nicht nur die Verhütung von Straftaten, sondern auch die Vorsorge zur Verfolgung künftiger Straftaten.
Polizeiliche Datenbestände sollen im Wege der automatischen Datenauswertung genutzt werden, um Erkenntnisse für die zukünftige Aufklärungsarbeit und Ermittlungsverfahren zu gewinnen. Dass bereits eine Sachlage gegeben sein müsste, bei der eine konkrete oder eine konkretisierte Gefahr besteht, ist den Regelungen nicht zu entnehmen. Damit fehlt es auch hier an jeder eingrenzenden Konkretisierung des Eingriffsanlasses.
Nachbesserung ist angesagt
Der Einsatz einer Software zur automatisierten Datenanalyse ist laut Urteil des Bundesverfassungsgericht grundsätzlich erlaubt. Er unterliegt lediglich strengen Voraussetzungen. Länder, die die Software einsetzen, müssen nachbessern. Es bleibt abzuwarten, ob und wie die Länder Änderungen an ihren Vorschriften vornehmen werden. Ob diese Änderungen sodann verfassungsmäßig sind wird sich in der Zukunft zeigen. Es bleibt spannend.
Auch als Datenschützer und liberaler Politiker darf man zweifeln, ob das BVerfG noch Kontakt zur Realität der Strafverfolgung hat. Letztlich schaden diese restriktiven Urteile dem Ansehen des Datenschutzes. RA Oliver Niederjohann
Vielleicht wäre es interessant hinzuzufügen , dass Palantir nicht irgendein Softwareunternehmen ist, sondern mit CIA Geldern finanziertes wurde und wird. Gotham ist ein Geheimdienstwerkzeug.