Die Polizei in Hessen und Hamburg nutzt eine vielfach kritisierte Software, die Daten automatisch analysiert und auswertet. Das ist verfassungswidrig, entschied das BVerfG. Die Regelungen seien normenunklar und nicht hinreichend bestimmt.
Der Einsatz einer Datenanalyse-Software durch die Polizei in Hessen und Hamburg ist verfassungswidrig. Das Bundesverfassungsgericht (BVerfG) sieht in der Datenanalyse einen Verstoß gegen das informationelle Selbstbestimmungsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG) (Urt. v. 16.02.2023, Az. 1 BvR 1547/19, 1 BvR 2634/20).
In dem Verfahren vor dem BVerfG geht es um zwei Verfassungsbeschwerden, die sich gegen § 25a des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) bzw. gegen § 49 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) wenden. Bei diesen Regelungen handelt es sich um landesgesetzliche Ermächtigungen der Polizei zur Analyse und Auswertung von Daten mittels einer automatisierten Anwendung.
In § 25a HSOG heißt es "Die Polizeibehörden können in begründeten Einzelfällen gespeicherte personenbezogene Daten mittels einer automatisierten Anwendung zur Datenanalyse weiterverarbeiten zur vorbeugenden Bekämpfung von in § 100a Abs. 2 der Strafprozessordnung genannten Straftaten oder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, oder wenn gleichgewichtige Schäden für die Umwelt zu erwarten sind".
Die Regelungen zum Einsatz der neuartigen Datenanalyse-Software bei der Polizei sind in ihrer derzeitigen Form unzulässig, so das BVerfG. Weil sie keine ausreichende Eingriffsschwelle definieren und unklare Formulierungen enthalten, sind die Vorschriften in ihrer derzeitigen Ausprägung verfassungswidrig und verstoßen gegen das allgemeine Persönlichkeitsrecht in seiner Ausprägung des Rechts auf informationelle Selbstbestimmung, entschied das BVerfG. Die automatisierte Datenanalyse oder -auwertung bedürfe einer verfassungsrechtlichen Rechtfertigung - diese sei momentan jedoch nicht gegeben. Eine verfassungsgemäße Ausgestaltung sei aber möglich, sagte der Vorsitzende des Ersten Senats, Gerichtspräsident Stephan Harbarth, bei der Urteilsverkündung in Karlsruhe.
Software zum Auffinden von Querverbindungen genutzt
Mit der neuen Analyse-Software für riesige Datenmengen will die Polizei potenziellen Straftätern schneller auf die Spur kommen. Das Programm durchforstet Datenbanken, um Querverbindungen zu entdecken, die den Ermittlern sonst vielleicht nie auffallen würden. In der mündlichen Verhandlung im Dezember 2022 schilderte ein hessischer Ministerialbeamter einen typischen Anwendungsfall: Nach einer Serie von Geldautomatensprengungen wurde ein Verdächtiger gefasst. Die Daten aus dem Navigationsgerät des Fluchtfahrzeugs wurden gesichert und mit Hessendata ausgewertet. So konnte nachgewiesen werden, dass der Wagen jeweils an den Tatorten der Sprengserie war, der Verdächtige galt als überführt.
Die Vorschriften ermächtigen die Polizei, in begründeten Einzelfällen zur vorbeugenden Bekämpfung schwerer Straftaten im Sinne von § 100a Abs. 2 Strafprozessordnung (StPO) oder zur Abwehr von Gefahren für bestimmte Rechtsgüter, gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten.
Eingesetzt wird "Hessendata" insbesondere zur Bekämpfung von Terrorismus, organisierter Kriminalität und Kinderpornografie. Bei rund 14.000 Abfragen jährlich arbeiten landesweit mehr als 2.000 Polizistinnen und Polizisten mit dem System. Sie sind jeweils nur für ihren Zuständigkeitsbereich freigeschaltet.
In Hessen werden zunächst einmal nur Daten aus Polizeibeständen ausgewertet. In einer der Datenbanken sind allerdings auch Opfer und Zeugen erfasst - oder jemand, der einmal einen Kratzer am Auto zur Anzeige gebracht hat. Die Gesellschaft für Freiheitsrechte (GFF), die die Überprüfung in Karlsruhe angestoßen hatte, hält das für hochproblematisch. Es sei völlig unklar, aus welchen Quellen, mit welcher Datenmenge und zu welchem Zweck die Befugnis zum sog. Data Mining genutzt werden darf. Das Programm mache auch vor unbescholtenen Menschen nicht Halt. Außerdem sei die Verlockung groß, mit der Zeit auch externe Daten einzuspeisen - etwa aus sozialen Netzwerken. Diese Bedenken haben ihre Berechtigung, bestätigte nun auch das BVerfG.
BVerfG verlangt konkretisierte Gefahr
In seinem Urteil betont das Gericht, dass es für den Einsatz einer solchen Software, die einen Eingriff in Grundrechte darstellt, auf die verfassungsrechtliche Rechtfertigung ankomme, die insbesondere eine Vereinbarkeit mit dem Grundsatz der Verhältnismäßigkeit voraussetzt. Zwar liege ein legitimer Zweck für die Regelungen vor, der in der Verhinderung bevorstehender schwerer Straftaten bestehe. Auch sei aufgrund der Datenmengen eine manuelle Auswertung unter Zeitdruck kaum zu bewältigen und der Einsatz von Software daher geboten. Dennoch müsse die Eingriffsschwelle klar begrenzt werden, um den Grundrechtseingriff zu rechtfertigen.
Soweit die automatisierte Anwendung einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung der Betroffenen ermöglicht, sei dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten. Sie seien daher nach den Voraussetzungen der StPO nur zum Schutz besonders gewichtiger Rechtsgüter wie etwa Leib, Leben oder Freiheit der Person zulässig. Die verfassungsrechtlich erforderliche Eingriffsschwelle bilde hier die hinreichend konkretisierte Gefahr.
Eingriffsschwelle nicht klar definiert
Wann eben diese Schwelle überschritten ist, sei durch die Normen nicht hinreichend konkretisiert worden, bemängelt das BVerfG. Die zugelassenen Analyse- und Auswertungsmöglichkeiten seien nicht normenklar, hinreichend bestimmt und in der Sache so eng begrenzt, dass das Eingriffsgewicht der Maßnahmen erheblich gesenkt sei.
Es sei unklar, welche Arten von Daten und welche Datenbestände für eine automatisierte Datenanalyse oder -auswertung genutzt werden und wann ein "begründeter Einzelfall" vorliege. Die Vorschriften lassen dazu keine Unterscheidung zwischen Daten von Personen, die einen Anlass für die Annahme geben, sie könnten eine Straftat begehen oder in besonderer Verbindung zu solchen Personen stehen und anderen Personen erkennen, so das BVerfG. Zudem sei eine breite Einbeziehung von Daten Unbeteiligter zu erwarten, die anschließend polizeilichen Ermittlungsmaßnahmen unterzogen werden könnten.
"Blick in die Glaskugel untersagt"
Als Kläger waren Journalisten, Anwältinnen und Aktivisten aufgetreten. Die GFF hatte im Herbst noch eine dritte Verfassungsbeschwerde wegen der NRW-Software eingereicht. Diese war in dem Verfahren aber nicht mehr berücksichtigt worden. Indirekt hat das Urteil auch Auswirkungen auf andere Bundesländer. Bayern arbeitet gerade an der Einführung - als Vorreiter für andere Länder und den Bund. Der Freistaat hat mit dem US-Unternehmen Palantir einen Rahmenvertrag geschlossen, damit alle anderen Polizeien dessen Programm ohne zusätzliche Vergabeverfahren übernehmen können.
"Das Bundesverfassungsgericht hat heute der Polizei den ungehinderten Blick in die Glaskugel untersagt und strenge Vorgaben für den Einsatz von intelligenter Software in der Polizeiarbeit formuliert. Das war wichtig, weil die Automatisierung von Polizeiarbeit gerade erst begonnen hat", sagt Bijan Moini, Leiter des Legal Teams der GFF und Prozessbevollmächtigter in dem betreffenden Verfahren. Die Klage der GFF habe das Risiko deutlich reduziert, dass unbescholtene Bürgerinnen und Bürger ins Visier der Polizei geraten, so Moini. "Dieses Urteil strahlt in die ganze Republik aus. Denn viele andere Bundesländer und der Bund arbeiten darauf hin, vergleichbare technische Möglichkeiten einsetzen zu können – oder tun es sogar bereits, wie zum Beispiel Nordrhein-Westfalen."
In Hessen, wo die Polizei schon seit 2017 mit der Software arbeitet, bekommt der Gesetzgeber bis spätestens Ende September Zeit, die problematische Vorschrift neu zu regeln. Bis dahin bleibt sie mit deutlichen Einschränkungen in Kraft. In Hamburg wird die Technik noch nicht genutzt, hier erklärte das Gericht den Passus für nichtig.
ku/pdi/LTO-Redaktion
Mit Material der dpa
BVerfG zu Datenanalyse in Hessen und Hamburg: . In: Legal Tribune Online, 16.02.2023 , https://www.lto.de/persistent/a_id/51066 (abgerufen am: 10.10.2024 )
Infos zum Zitiervorschlag