Das Bundesverfassungsgericht befasste sich kürzlich mit den beiden größtenteils identischen Regelungen des § 25a Abs. 1 Hessisches Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Hamburger Gesetz über die Datenverarbeitung der Polizei (HmbPolDVG). Beide Gesetze eröffnen eine spezielle Rechtsgrundlage, bisher nicht miteinander verbundene, automatisierte Dateien und Datenquellen aus Analyseplattformen miteinander zu vernetzen, wodurch die Datenbestände via Suchfunktion erschlossen werden können. Hierdurch ist es der Polizei erlaubt, personenbezogene Daten per Datenanalyse bzw. Auswertung zur Vorbeugung von schweren Straftaten i.S.d § 100a Abs. 2 StPO (Alt. 1) und zur Abwehr von Gefahren bestimmter Rechtsgüter (Alt. 2) zu verarbeiten. Gemäß Abs. 2 kann die Polizei im Rahmen der Verarbeitung nach Abs. 1 insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppen, Institutionen, Organisationen, Objekten und Sachen herstellen. Weiterhin können u. a. Erkenntnisse zu bekannten Sachverhalten zugeordnet und gespeicherte Daten statistisch ausgewertet werden. Die hessische Polizei nutzt auf Grundlage des § 25a HSOG die Analyseplattform „hessenDATA“ jährlich in Tausenden Fällen. Das Hamburger Äquivalent findet derzeit keine Anwendung.
Das Urteil
Das Gericht kam in seinem Urteil zu dem Ergebnis, dass das informationelle Selbstbestimmungsrecht aller greift, sobald gespeicherte Daten mittels einer automatisierten Anwendung zur Analyse oder Auswertung der Daten verarbeitet werden. Das Gericht sah hier einen Eingriff in die Grundrechte, nicht allein in der Verwendung von Daten, die früher getrennt waren, sondern auch im Aufbau von neuem grundrechtsrelevantem Wissen, erlangt durch die automatisierte Auswertung oder Analyse der Daten.
Automatisierte Datenanalysen oder Auswertungen müssen verfassungsrechtlich gerechtfertigt sein, was nicht problematisch ist, solange der Grundsatz der Verhältnismäßigkeit berücksichtigt wird. Das Gericht merkte an, dass es nicht ungewöhnlich ist, dass die Polizei bereits gewonnene Erkenntnisse für Ihre Ermittlungen nutzt und sie für ihre Ermittlungen mit weiteren Informationen verknüpft. Die automatisierte Analyse oder Auswertung eröffnet jedoch eine andere Dimension der polizeilichen Ermittlung, da hierdurch die Verarbeitung großer und komplexer Datenbestände ermöglicht wird, wodurch wieder weitere Erkenntnisse gewonnen werden können, was wiederrum die Extraktion von Informationen aus den vorhandenen Daten intensiviert. Es klingt wie ein Teufelskreis der Informationsgewinnung, da die Beschaffung von weiteren Informationen oder Erkenntnissen die Beschaffung weiterer Informationen erleichtert. Selbst das Bundesverfassungsgericht verglich diese Praxis mit dem sog. „Profiling“ und sagte, dass es diesem nahekommt.
In diesem Zuge legte das Bundesverfassungsgericht die Maßstäbe für einen derartigen Eingriff fest und bemängelte u. a., dass die in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG geregelten Befugnisse die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zulassen. Die Regelungen ermöglichen es der Polizei „mit einem Klick“ umfassende Profile von Personen, Gruppen und Milieus zu erstellen. Hiervon sind sogar Personen bedroht, die zwar mit dem jeweiligen Fall nichts zu tun haben, aber irgendwie Daten hinterlassen haben, die das System mit dem konkreten Fall in Verbindung setzt. Dadurch könnten sogar potenziell unschuldige Personen ins Fadenkreuz der Polizei geraten und entsprechenden polizeilichen Maßnahmen unterzogen werden.
Weiterhin regeln die Vorschriften nicht, welche Arten von Daten und Datenbestände für die Analyse der Daten verwendet werden dürfen und lassen zudem, wie oben erwähnt, die Einbeziehung von Daten von Personen zu, die mit dem jeweiligen Sachverhalt nichts zu tun haben.
Da die Gesetze keine Eingrenzungen zur Methode der automatisierten Datenanalyse und Auswertung enthalten, ermöglichen sie der Polizei das sog. „Data-Mining“ und sogar den Einsatz von lernfähigen KI-Systemen. Bedenklich ist, dass auch offene Suchanfragen zulässig sind. Die automatisierte Datenauswertung darf ferner für das alleinige Aufdecken von statistischen Auffälligkeiten genutzt werden, woraus dann insbesondere durch die Verknüpfung mit weiteren Daten Schlüsse gezogen werden können. Hieraus könnten in einem nächsten Schritt Prognosen erstellt werden, die in ihrer Entstehungsweise große Ähnlichkeiten zu dem in den USA teilweise eingesetzten „predictive policing“ aufweisen.
Auswirkungen des Urteils
Im Rahmen des Bund-Länder-Vorhabens „Polizei 2020“ wurde dem Unternehmen Palantir für ein neuartiges verfahrensübergreifendes Recherche- und Analysesystem (VeRa), federführend durch das bayrische Landeskriminalamt der Zuschlag erteilt. Die hamburger Polizei bekundete bereits ihr Interesse an dieser Software. Das Urteil führt dazu, dass die Rechtsgrundlage für den Einsatz eines derartigen Verfahrens fürs Erste fehlt, weshalb sie in naher Zukunft wohl nicht zum Einsatz kommen wird.
Das ist jedoch für Kriminelle kein Grund zum Aufatmen. Es besteht Anlass zur Sorge, dass die Gesetzgeber der beiden Länder die Vorschriften auf einer Weise ändern werden, dass sie mit dem Grundrecht auf informationelle Selbstbestimmung vereinbar sind. Mit der Folge, dass die Polizei eine Software wie VeRa in absehbarer Zukunft doch nutzen könnte.
Falls Sie in naher oder ferner Zukunft vor haben, kriminelle Aktivitäten durchzuführen, so tun Sie dies am besten in einem der zahlreichen weiteren Bundesländer Deutschlands, solange dies möglich ist. Sollte sich die Technologie bewähren (im Gegensatz zu Ihnen) wird sie sicher auch in weiteren Bundesländern eingesetzt werden. In diesem Fall bleibt nur das Ausland als Alternative.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
