Das Bundesverfassungsgericht befasste sich kürzlich mit den beiden größtenteils identischen Regelungen des § 25a Abs. 1 Hessisches Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Hamburger Gesetz über die Datenverarbeitung der Polizei (HmbPolDVG). Beide Gesetze eröffnen eine spezielle Rechtsgrundlage, bisher nicht miteinander verbundene, automatisierte Dateien und Datenquellen aus Analyseplattformen miteinander zu vernetzen, wodurch die Datenbestände via Suchfunktion erschlossen werden können. Hierdurch ist es der Polizei erlaubt, personenbezogene Daten per Datenanalyse bzw. Auswertung zur Vorbeugung von schweren Straftaten i.S.d § 100a Abs. 2 StPO (Alt. 1) und zur Abwehr von Gefahren bestimmter Rechtsgüter (Alt. 2) zu verarbeiten. Gemäß Abs. 2 kann die Polizei im Rahmen der Verarbeitung nach Abs. 1 insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppen, Institutionen, Organisationen, Objekten und Sachen herstellen. Weiterhin können u. a. Erkenntnisse zu bekannten Sachverhalten zugeordnet und gespeicherte Daten statistisch ausgewertet werden. Die hessische Polizei nutzt auf Grundlage des § 25a HSOG die Analyseplattform „hessenDATA“ jährlich in Tausenden Fällen. Das Hamburger Äquivalent findet derzeit keine Anwendung.

Das Urteil

Das Gericht kam in seinem Urteil zu dem Ergebnis, dass das informationelle Selbstbestimmungsrecht aller greift, sobald gespeicherte Daten mittels einer automatisierten Anwendung zur Analyse oder Auswertung der Daten verarbeitet werden. Das Gericht sah hier einen Eingriff in die Grundrechte, nicht allein in der Verwendung von Daten, die früher getrennt waren, sondern auch im Aufbau von neuem grundrechtsrelevantem Wissen, erlangt durch die automatisierte Auswertung oder Analyse der Daten.

Automatisierte Datenanalysen oder Auswertungen müssen verfassungsrechtlich gerechtfertigt sein, was nicht problematisch ist, solange der Grundsatz der Verhältnismäßigkeit berücksichtigt wird. Das Gericht merkte an, dass es nicht ungewöhnlich ist, dass die Polizei bereits gewonnene Erkenntnisse für Ihre Ermittlungen nutzt und sie für ihre Ermittlungen mit weiteren Informationen verknüpft. Die automatisierte Analyse oder Auswertung eröffnet jedoch eine andere Dimension der polizeilichen Ermittlung, da hierdurch die Verarbeitung großer und komplexer Datenbestände ermöglicht wird, wodurch wieder weitere Erkenntnisse gewonnen werden können, was wiederrum die Extraktion von Informationen aus den vorhandenen Daten intensiviert. Es klingt wie ein Teufelskreis der Informationsgewinnung, da die Beschaffung von weiteren Informationen oder Erkenntnissen die Beschaffung weiterer Informationen erleichtert. Selbst das Bundesverfassungsgericht verglich diese Praxis mit dem sog. „Profiling“ und sagte, dass es diesem nahekommt.

In diesem Zuge legte das Bundesverfassungsgericht die Maßstäbe für einen derartigen Eingriff fest und bemängelte u. a., dass die in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG geregelten Befugnisse die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zulassen. Die Regelungen ermöglichen es der Polizei „mit einem Klick“ umfassende Profile von Personen, Gruppen und Milieus zu erstellen. Hiervon sind sogar Personen bedroht, die zwar mit dem jeweiligen Fall nichts zu tun haben, aber irgendwie Daten hinterlassen haben, die das System mit dem konkreten Fall in Verbindung setzt. Dadurch könnten sogar potenziell unschuldige Personen ins Fadenkreuz der Polizei geraten und entsprechenden polizeilichen Maßnahmen unterzogen werden.

Weiterhin regeln die Vorschriften nicht, welche Arten von Daten und Datenbestände für die Analyse der Daten verwendet werden dürfen und lassen zudem, wie oben erwähnt, die Einbeziehung von Daten von Personen zu, die mit dem jeweiligen Sachverhalt nichts zu tun haben. 

Da die Gesetze keine Eingrenzungen zur Methode der automatisierten Datenanalyse und Auswertung enthalten, ermöglichen sie der Polizei das sog. „Data-Mining“ und sogar den Einsatz von lernfähigen KI-Systemen. Bedenklich ist, dass auch offene Suchanfragen zulässig sind. Die automatisierte Datenauswertung darf ferner für das alleinige Aufdecken von statistischen Auffälligkeiten genutzt werden, woraus dann insbesondere durch die Verknüpfung mit weiteren Daten Schlüsse gezogen werden können. Hieraus könnten in einem nächsten Schritt Prognosen erstellt werden, die in ihrer Entstehungsweise große Ähnlichkeiten zu dem in den USA teilweise eingesetzten „predictive policing“ aufweisen.

Auswirkungen des Urteils

Im Rahmen des Bund-Länder-Vorhabens „Polizei 2020“ wurde dem Unternehmen Palantir für ein neuartiges verfahrensübergreifendes Recherche- und Analysesystem (VeRa), federführend durch das bayrische Landeskriminalamt der Zuschlag erteilt. Die hamburger Polizei bekundete bereits ihr Interesse an dieser Software. Das Urteil führt dazu, dass die Rechtsgrundlage für den Einsatz eines derartigen Verfahrens fürs Erste fehlt, weshalb sie in naher Zukunft wohl nicht zum Einsatz kommen wird.

Das ist jedoch für Kriminelle kein Grund zum Aufatmen. Es besteht Anlass zur Sorge, dass die Gesetzgeber der beiden Länder die Vorschriften auf einer Weise ändern werden, dass sie mit dem Grundrecht auf informationelle Selbstbestimmung vereinbar sind. Mit der Folge, dass die Polizei eine Software wie VeRa in absehbarer Zukunft doch nutzen könnte.

Falls Sie in naher oder ferner Zukunft vor haben, kriminelle Aktivitäten durchzuführen, so tun Sie dies am besten in einem der zahlreichen weiteren Bundesländer Deutschlands, solange dies möglich ist. Sollte sich die Technologie bewähren (im Gegensatz zu Ihnen) wird sie sicher auch in weiteren Bundesländern eingesetzt werden. In diesem Fall bleibt nur das Ausland als Alternative.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In welchen Fällen muss ich eine Auskunft an Ermittlungsbehörden erteilen? Vor ziemlich genau zwei Jahren haben wir uns hier schon einmal mit dem diskussionswürdigen und interesseanten Thema befasst. Die Sache ist weiter praxisrelevant und lohnt einen zweiten Blick. Wiederholungen werden vermieden – also am besten den ersten Beitrag gern noch einmal nachlesen.

Eskalationsträchtig

Bei Nachfragen von Ermittlern (meist Polizeibehörden) liegt „Ärger in der Luft“. Für die Beschuldigten von Seiten der Ermittler, für die verantwortliche Stelle (datenschutzrechtlich), aber meist von Seiten der Beschuldigten: Gibt die verantwortliche Stelle Auskünfte ohne Rechtsgrundlage, wird das den Beschuldigten (datenschutzrechtlich „betroffenen Personen“) nicht gefallen. Datenschutzrechtlich gilt: Auskünfte ohne Rechtsgrundlage sind verboten, auch an Strafverfolgungsbehörden.

Ob am Ermittlungsvorwurf „was dran ist“, spielt dafür keine Rolle. Auch Straftäter haben – auch im Datenschutz – Rechte. Und gerade nach „erfolgreichen“ Ermittlungsverfahren gibt es nicht selten Beschwerden der Betroffenen, denen die Datenschutz-Aufsichtsbehörden dann nachzugehen haben. Also aufgepasst, damit es nicht heißt: Geldstrafe für den Straftäter und Geldbuße für den Auskunftgeber!

Einfaches zuerst

Gerade weil datenschutzrechtlich manchmal gar nicht einfach zu beurteilen ist, ob eine Auskunftspflicht oder ein Auskunftsrecht besteht, sollte zumindest ein klarer Ablauf geregelt sein: Wenn Ermittler von einer Behörde oder einem Unternehmen Auskünfte verlangen, müssen die dort Beschäftigten wissen, wie sie sich zu verhalten haben. Meist ist sinnvoll, eine konkrete Anlaufstelle zu benennen, an die solche Anfragen weitergeleitet werden. Je nach Größe und Struktur der verantwortlichen Stelle kann das die Behördens-/Unternehmensleitung sein oder die Rechtsabteilung oder z.B. die/der Datenschutzbeauftragte.

Gibt es solche Vorgaben nicht, werden Beschäftigte häufig (nachvollziehbar) nach der landläufigen Regel handeln: (1) Die Polizei wird schon wissen, ob sie fragen darf und (2) am Ende bekomme ich noch selbst Ärger, wenn ich nicht antworte.

Einzelfallprüfung

Ist die Anfrage dann (möglichst schnell) bei der vorgesehenen Stelle „gelandet“, wird geprüft:

(1) Ist die Anfrage „echt“, stammt sie tatsächlich von einer Ermittlungsbehörde?
Bei telefonischen Anfragen lässt sich dies im Telefonat kaum prüfen. Dann sollte man Namen, Dienststelle und Kontaktdaten abfragen, anschließend (z.B. via Internet) kontrollieren und nur über prüfbare (z.B. im Internet veröffentlichte) Kommunikationswege antworten. Ähnliches gilt bei Anfragen per E-Mail oder Fax: Die Regeln zur Erkennung von Phishing-E-Mails sind recht gut übertragbar. Man prüfe also, ob die Nachricht authentisch wirkt und vor allem, ob die verwendeten / angegebenen Kontaktdaten im Internet verifiziert werden können. Ein Rückruf unter der Telefonnummer, die in der E-Mail angegeben wurde, ist keine sinnvolle Absicherung. Stehen die Ermittler leibhaftig vor der Tür, dann ist das Mindeste und überhaupt nicht ungehörig oder unhöflich, den Dienstausweis zu prüfen und sich die Personalien zu notieren.

(2) Darf beauskunftet werden und gegebenenfalls in welchem Umfang?
Die verantwortliche Stelle muss nicht nach Rechtsgrundlagen suchen, sondern kann deren Benennung von der Ermittlungsbehörde verlangen. Leider sind die von den Ermittlern dann genannten Bestimmungen oft falsch, entweder weil sie im konkreten Fall nicht zutreffen oder weil sie keine Rechtsgrundlage für Auskünfte bieten.

Klassische Beispiele:

„Die DSGVO gilt bei Ermittlungen überhaupt nicht. Dafür gibt es die JI-Richtlinie (Richtlinie 2016/680, für „Justiz und Inneres“).“ Diese Richtlinie gilt zwar für die Ermittlungsbehörde selbst ergänzt und ausgefüllt durch nationales Recht, z.B. das Bundesdatenschutzgesetz, die Strafprozessordnung etc. Die Auskunft der verantwortlichen Stelle bemisst sich jedoch nicht nach der Richtlinie, sondern nach der DS-GVO. Bei der Auskunft handelt es sich um eine Datenverarbeitung der verantwortlichen Stelle (nämlich eine Datenübermittlung), nicht um eine Tätigkeit der Ermittler.

„Wir ermitteln für die Staatsanwaltschaft nach § 163 Strafprozessordnung.“ Daraus ergibt sich kein Auskunftsrecht für Verantwortliche. Ganz im Gegenteil regelt § 163 Abs. 3 StPO z.B. ausdrücklich, dass Zeugen zu einem polizeilichen Vernehmungstermin nicht einmal erscheinen (und auch nicht aussagen) müssen. Diese Pflichten bestehen erst bei entsprechender Anordnung der Staatsanwaltschaft. Eine solche Anordnung müssten die Ermittler dann also nachweisen. Außerdem ergibt sich aus § 163 Abs. 1 StPO noch eine Auskunftspflicht für Behörden (aber eben nur für Behörden) und zwar nur bei Gefahr im Verzug (!): Gemäß § 163 Abs. 1 Satz 2 StPO sind die Ermittler „befugt, alle Behörden um Auskunft zu ersuchen“, können aber nur „bei Gefahr im Verzug auch die Auskunft verlangen“. Berufen sich die Ermittler auf diese Norm, müssen sie den Eilbedarf darstellen. „Gefahr im Verzug“ ist nicht gegeben, wenn eine Entscheidung der Staatsanwaltschaft herbeigeführt werden kann. Für die Praxis heißt das: Hat die Sache 24 Stunden Zeit, gibt es keine Auskunftspflicht nach § 163 Abs. 1 StPO.

„Wir handeln nach dem Landespolizeigesetz (in Sachsen z.B. nach § 18 des Sächsischen Polizeigesetzes)“. Das Polizeirecht regelt nicht die Strafverfolgung, sondern die sogenannte „Gefahrenabwehr“ (also u.a. die Verhütung / Vermeidung von Straftaten). Dafür kann die Polizei meist (z.B. nach § 18 Abs. 3 des Sächsischen Polizeigesetzes) die Personalien ihrer Gesprächspartner erfragen. Weitergehende Auskünfte „zur Sache“ gibt es – wenn nicht andere Gesetze eingreifen – nur in besonders wichtigen Fällen (nach § 18 Abs. 6 Satz 1 i.V.m. Abs. 5 Nr. 1 des Sächsischen Polizeigesetzes z.B. bei „Gefahren für Leben, Gesundheit oder Freiheit einer Person oder für bedeutende fremde Sach- oder Vermögenswerte“). Wenn diese Voraussetzungen nicht vorliegen, dürfen Private (z.B. Nachbarn …) Fragen der Polizei beantworten, müssen es jedoch nicht. Verantwortliche Stellen (und alle Personen, die gemäß Art. 29 DS-GVO für die verantwortlichen Stellen handeln) sind durch die DS-GVO gebunden. Sie dürfen (anders als Private) nicht selbst über die Auskunftserteilung entscheiden (sondern müssen sie – mangels Rechtsgrundlage – verweigern.)

Auch Negativauskünfte sind Auskünfte

Datenschutzrechtlich – aber nicht allen Ermittlern und Befragten – ist klar: Auch die Mitteilung „Sie/er arbeitet hier nicht.“ hat Personenbezug und ist nach denselben Datenschutz-Regeln zu betrachten, wie die Positiv-Angabe.

Oft vergessen: Informationspflicht?

Die vom Ermittler angefragten Informationen waren bei der verantwortlichen Stelle ganz sicher nicht für den Zweck gespeichert, Ermittlungsanfragen zu beantworten. In dieser Verwendung (unterstellen wir einmal, die Auskunft war auf einer bestimmten Rechtsgrundlage zu erteilen) liegt also eine Zweckänderung. Wie steht es dann mit Art. 14 Abs. 4 DS-GVO? Muss der Verantwortliche vor der Auskunft an die Ermittlungsbehörde zuerst die betroffene Person informieren? „Das wäre ja noch schöner“ denkt und sagt die Ermittlungsbehörde. Auch hier gilt jedoch: Heimliche Datenverarbeitungen sind der verantwortlichen Stelle nach DS-GVO grundsätzlich nicht erlaubt. Von den Ermittlern darf (und muss gegebenenfalls) eine Rechtsgrundlage verlangt werden, die den Auskunftgebern das Schweigen vorschreibt (und datenschutzrechtlich erlaubt).

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.