Die Gesetzesgrundlage für den Einsatz der Palantier Software „Hessendata“, welche umfassendes Datamining von Personen, Milieus und Strukturen ermöglicht, wurde vorerst vom Bundesverfassungsgericht auf den 30.9.2023 terminiert. Im Gegensatz zu den Mainstream-Presse wollen wir insbesondere den letzten Absatz der Gerichtsentscheidung nochmal deutlich hervorheben, was bis dahin trotzdem NICHT legal ist, lieber Herr Beuth:
(…) nur Gebrauch gemacht werden darf, wenn bestimmte, genügend konkretisierte Tatsachen den Verdacht begründen, dass eine besonders schwere Straftat im Sinne von § 100b Absatz 2 StPO begangen wurde und aufgrund der konkreten Umstände eines solchen im Einzelfall bestehenden Tatverdachts für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen ist, die Leib, Leben oder den Bestand oder die Sicherheit des Bundes oder eines Landes gefährden, (…) und wenn sichergestellt ist, dass keine Informationen in die Datenanalyse einbezogen werden, die aus Wohnraumüberwachung, Online-Durchsuchung, Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden.
https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2023/bvg23-018.html;jsessionid=5BA8B2C7DAE0925DF52550F3D35A410A.2_cid507
Im Übrigen findes wir es doch spannend das schon die sogenannten Katalogstraftaten in Hessen alleine 14.000! Abfragen jährlich rechtfertigen würden. Grundsätzlich empfehlen wir zu den Hintergründen und dem Thema die gut informierte Webseite Police-it.net sowie Netzpolitik.org. Ansonsten hier zwei aktuelle Artikel der Hessenschau sowei für die geneigte Leserin das Orginal des Gerichts, was sich doch anders ließt.
Hessen muss bei Polizei-Software nachbessern
Das Bundesverfassungsgericht hat die Regelungen zur Datenanalyse bei der hessischen Polizei beanstandet: Die Vorgaben für den Einsatz der Software „HessenData“ des US-Unternehmens Palantir sind in ihrer derzeitigen Form verfassungswidrig. Bis September muss eine Neuregelung her.
Um potenziellen Straftätern schneller auf die Spur zu kommen, setzt die hessische Polizei seit 2017 auf die Analyse-Software „HessenData“ des US-amerikanischen Unternehmens Palantir.
Das Programm durchforstet Datenbanken, um Querverbindungen zu entdecken, die den Ermittlern sonst vielleicht nie auffallen würden. Das soll der Polizei helfen, potenziellen Tätern auf die Spur zu kommen, noch bevor sie eine Straftat begehen können.
Die Regelungen zu ihrem Einsatz in Hessen und Hamburg sind laut Bundesverfassungsgericht in ihrer derzeitigen Form allerdings verfassungswidrig. Das entschieden die Karlsruher Richter am Donnerstag. Der Einsatz der Software greife in das Grundrecht auf informationelle Selbstbestimmung ein.
Richter: Software-Einsatz in zu vielen Fällen erlaubt
Eine verfassungsgemäße Ausgestaltung sei aber möglich, sagte Gerichtspräsident Stephan Harbarth bei der Urteilsverkündung. Der Einsatz sei grundsätzlich erlaubt. Durch die neue Technik würden „relevante Erkenntnisse erschlossen werden können, die auf andere, grundrechtsschonendere Weise nicht gleichermaßen zu gewinnen wären“.
Die derzeitigen Regelungen ließen einen Einsatz der Software in zu vielen Fällen zu und müssten per Gesetz stark eingeschränkt werden. Das Land Hessen hat nun bis spätestens Ende September Zeit, die problematische Vorschrift neu zu regeln. Bis dahin bleibt sie mit deutlichen Einschränkungen in Kraft.
14.000 Abfragen jährlich
Das Urteil bezieht sich ausschließlich auf die Nutzung der Technik zur vorbeugenden Bekämpfung von Straftaten. In Hessen werden zunächst einmal nur Daten aus Polizeibeständen ausgewertet, insbesondere zur Bekämpfung von Terrorismus, organisierter Kriminalität und Kinderpornografie.
Bei rund 14.000 Abfragen jährlich arbeiten landesweit mehr als 2.000 Polizistinnen und Polizisten mit dem System. Sie sind jeweils nur für ihren Zuständigkeitsbereich freigeschaltet.
In einer der Datenbanken sind allerdings auch Opfer und Zeugen erfasst – oder jemand, der einmal einen Kratzer am Auto zur Anzeige gebracht hat.
Anwälte, Aktivisten und Journalisten fürchten Missbrauch
Kritiker fürchten, auch Unbeteiligte könnten ins Visier der Ermittler geraten. Die Gesellschaft für Freiheitsrechte (GFF), die Humanistische Union und der Verband der Internetwirtschaft hatten deshalb in Karlsruhe geklagt. Auch die Kasseler Friedensaktivistin Silvia Gingold und die Frankfurter Strafverteidigerin Seda Başay-Yıldız wehrten sich gegen den Einsatz der Polizei-Software.
Die GFF erklärte am Donnerstag, das Urteil habe „das Risiko deutlich reduziert, dass unbescholtene Bürgerinnen und Bürger ins Visier der Polizei geraten“, teilte der GFF-Prozessbevollmächtigte Bijan Moini mit.
Das Gericht habe strenge Vorgaben für den Einsatz von intelligenter Software in der Polizeiarbeit formuliert. „Das war wichtig, weil die Automatisierung von Polizeiarbeit gerade erst begonnen hat.
Landesregierung kündigt schnelle Umsetzung an
Innenministers Peter Beuth (CDU) bezeichnete das Urteil des Bundesverfassungsgerichts als „wichtiges Signal für die weitere Digitalisierung der Ermittlungsarbeit unserer Sicherheitsbehörden“.
Es habe die „Notwendigkeit moderner Analysewerkeuge“ grundsätzlich anerkannt und ermögliche ihren weiteren Einsatz, sagte er nach einer Mitteilung vom Donnerstag. Die Leitplanken des Bundesverfassungsgerichts würden dankbar aufgenommen und in der künftigen Ausgestaltung der gesetzlichen Normen eingearbeitet.
Opposition kritisiert Schwarz-Grün
Die Oppositionsparteien begrüßten die Entscheidung des Gerichts – und kritisierten die schwarz-grüne Landesregierung heftig. Die SPD-Fraktion bezeichnete den Einsatz von „HessenData“ in seiner derzeitigen Form als „neuerlichen Verfassungsbruch mit Ansage“, die FDP sprach von einer „krachenden Niederlage für die Landesregierung“.
Die Linke forderte Beuth auf, die Forderungen des Gerichts priorisiert umzusetzen. Sonst drohe ein weiterer Verlust des Vertrauens der Hessinnen und Hessen in den Rechtsstaat.
Für die AfD stellt die Rechtssprechung ein Rückschlag für die Polizei dar. In einer verfassungskonformen Ausarbeitung sei eine solche Software ein wertvolles Werkzeug für die Polizeiarbeit. Es dürfe nicht passieren, dass Datenschutz zu Täterschutz wird.
Gewerkschaft der Polizei: Software ist praktizierter Opferschutz
Die Gewerkschaft der Polizei (GdP) betonte noch einmal, wie wichtig die Software für die Polizeiarbeit sei. Sie könne nicht nur „die Zusammenarbeit zwischen Auswertern, Ermittlern und Operativkräften deutlich verbessern“, sondern sei auch praktizierter Opferschutz, sagte GdP-Landeschef Jens Mohrherr.
Er forderte Innenminister Beuth auf, den rechtlichen Bedenken gegen die Software wirksam und zeitnah zu begegnen. Die Gesetze müssten für die Polizeibeschäftigten „anwendbar und durchsetzbar“ sein.
Urteil betrifft auch andere Bundesländer
Indirekt hat das Urteil auch Auswirkungen auf andere Bundesländer. Nordrhein-Westfalen setzt die Software ebenfalls bereits ein. Dagegen hatte die GFF im Herbst noch eine dritte Verfassungsbeschwerde eingereicht, diese war in dem Verfahren aber nicht mehr berücksichtigt worden.
Auch Bayern arbeitet an der Einführung – als Vorreiter für andere Länder und den Bund. Der Freistaat hat mit dem US-Unternehmen Palantir einen Rahmenvertrag geschlossen, damit alle anderen Polizeien dessen Programm ohne zusätzliche Vergabeverfahren übernehmen können.
Warum die Polizei-Software „HessenData“ von Palantir so problematisch ist
Top-Instrument für Ermittler oder Big-Data-Alptraum für Bürgerrechtler? Im Streit um die Polizei-Software „HessenData“ hat das Bundesverfassungsgericht nun Nachbesserungen gefordert. Was das für die hessische Polizei bedeutet – und was Kritiker fürchten: Fragen und Antworten.
Verbrecher dingfest machen oder besser: Straftaten verhindern. Und das alles mit Hilfe einer Software. Das klingt super, birgt aber auch Risiken. Kritiker sind deshalb wegen der Polizei-Analysesoftware „HessenData“ vor das Bundesverfassungsgericht gezogen.
Am Donnerstag verkündeten die Karlsruher Richterinnen und Richter ihr Urteil. Die Regelungen zum Einsatz des Programms seien in ihrer derzeitigen Form verfassungswidrig, erklärten sie. Eine verfassungsgemäße Ausgestaltung sei aber möglich.
Das Bundesverfassungsgericht hat die Regelungen zur Datenanalyse bei der hessischen Polizei beanstandet: Die Vorgaben für den Einsatz der Software „HessenData“ des US-Unternehmens Palantir sind in ihrer derzeitigen Form verfassungswidrig. Bis September muss eine Neuregelung her.
Neben Vertretern der Gesellschaft für Freiheitsrechte, der Humanistischen Union und des Verbandes der Internetwirtschaft wehren sich unter anderem die Kasseler Friedensaktivistin Silvia Gingold und die Frankfurter Strafverteidigerin Seda Başay-Yıldız gegen den Einsatz der Polizei-Software.
Worum es ihnen geht – und wer hinter der Software steckt: Die wichtigsten Fragen und Antworten.
- Wer und was hinter „HessenData“ steckt
- Wie die Software der Polizei helfen soll
- Wie das Land die Arbeit mit „HessenData“ organisiert hat
- Wie die Befürworter „HessenData“ verteidigen
- Warum die Kritiker den „gläsernen Bürger“ befürchten
- Was das Urteil bedeutet
Wer und was hinter „HessenData“ steckt
Der Softwareanbieter aus den USA mag den großen Auftritt und heißt „Palantir“. Der Name ist entlehnt aus der fantastischen Welt von Tolkiens Fantasie-Epos „Herr der Ringe“. Palantire sind darin magischen Glaskugeln, in denen man Dinge sieht, die andere nicht sehen. Genau das soll auch die „HessenData“ genannte Analyse-Software von Palantir leisten.
Seit 2017 ist sie bei der hessischen Polizei in Betrieb. Die Idee: „HessenData“ verknüpft unterschiedliche polizeiliche Datenbanken. Die Software entdeckt dabei Muster, die für ermittelnde Beamte nicht offensichtlich sind. Das geschieht per Mausklick in Sekundenschnelle – statt langem Aktenwühlen mit manuellem Abgleich. Es geht um die großen Delikte: Terrorismus, organisierte Kriminalität, Kindesmissbrauch.
Wie die Software der Polizei helfen soll
Wurden zwei Menschen schon einmal zusammen von der Polizei kontrolliert? Sind sie verwandt? Wohnen sie im selben Haus? Das System glaubt nicht an Zufälle. Ergebnisse aus unterschiedlichen Quellen ergeben nach der Analyse ein komplexes Profil von Verdächtigen. Die Verknüpfungen sollen der Polizei helfen, Straftäter schneller zu ermitteln. Oder sogar Straftaten zu verhindern.
Nach Angaben des von Peter Beuth (CDU) geführten hessischen Innenministeriums greift „HessenData“ dafür automatisiert auf drei polizeiliche Datenbanken zu: das Auskunftssytem POLAS, das Vorgangsbearbeitungssystem ComVor und das Fallbearbeitungssystem CRIME-ST. Andere Quellen werden nach offiziellen Angaben nicht angezapft. Auch nicht Datenbanken anderer Bundesländer, des Bundes oder anderer Staaten.
Wie das Land die Arbeit mit „HessenData“ organisiert hat
Analysten, Ermittler und Operativkräfte arbeiten nach Angaben des Innenministeriums in sieben Flächenpräsidien und beim Landeskriminalamt mit dem System. Damit das möglich ist, wurde in Hessen sogar das Gesetz geändert.
In Paragraf 25a des hessischen Gesetzes über die öffentliche Sicherheit und Ordnung heißt es: „Die Polizeibehörden können in begründeten Einzelfällen gespeicherte personenbezogene Daten mittels einer automatisierten Anwendung zur Datenanalyse weiterverarbeiten zur vorbeugenden Bekämpfung von (…) Straftaten.“
Wie die Befürworter „HessenData“ verteidigen
Die Analyse-Software werde für moderne Ermittlungsarbeit im digitalen Zeitalter einfach gebraucht, lautet das Hauptargument. Schließlich seien die Kriminellen dem Staat oft mehrere Schritte voraus, gerade bei der Technik. Für die Sicherheitsbehörden war es demnach längst Zeit, digital aufzurüsten.
Aus dem hessischen Innenministerium heißt es: „HessenData“ leiste seit 2018 einen wichtigen Beitrag zur Polizeiarbeit und habe beispielsweise dabei geholfen, einen Terroranschlag in Hessen zu verhindern. Außerdem werde das Tool nur auf schon vorhandene, polizeiliche Daten zugreifen. Es werde also Social-Media-Profile anders als oft behauptet nicht miteinbeziehen.
Warum die Kritiker den „gläsernen Bürger“ befürchten
Die Gegner von „HessenData“ sehen Grundrechte in Gefahr und warnen: Schnell könnten Unbeteiligte ins Visier der Ermittler geraten. Das wurde schon bei der mündlichen Verhandlung kurz vor Weihnachten des vergangenen Jahres deutlich.
Die Polizei dürfe nicht einfach Daten aus unterschiedlichen Quellen verknüpfen, warnt etwa die Gesellschaft für Freiheitsrechte (GFF) als eine der Beschwerdeführerinnen in Karlsruhe.
Der Staat müsse Daten von Bürgerinnen und Bürgern sparsam und sorgsam nutzen. Wer sich selbst nie etwas zu Schulden kommen ließ, könne dank „HessenData“ trotzdem ins Fadenkreuz der Ermittler geraten. Mitglied im selben Fußballverein wie ein Verdächtiger zu sein, könne da schon ausreichen.
Was das Urteil bedeutet
Die Karlsruher Richterinnen und Richter haben dem Gesetzgeber mit ihrem Urteil aufgetragen nachzubessern. Eine verfassungsgemäße Ausgestaltung sei möglich, sagte Gerichtspräsident Stephan Harbarth. Das Land Hessen hat nun bis spätestens Ende September Zeit, die problematische Vorschrift neu zu regeln. Bis dahin bleibt sie mit deutlichen Einschränkungen in Kraft.
Denkbar ist zum Beispiel, dass im Gesetz die Fälle konkreter benannt werden müssen, bei denen „HessenData“ zum Einsatz kommen darf. Und auch, dass Speicherfristen definiert werden.
Regelungen in Hessen und Hamburg zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten sind verfassungswidrig
Urteil vom 16. Februar 2023
1 BvR 1547/19, 1 BvR 2634/20
Mit heute verkündetem Urteil hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass § 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) verfassungswidrig sind. Sie ermächtigen die Polizei, gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten.
Die Vorschriften verstoßen gegen das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG) in seiner Ausprägung als informationelle Selbstbestimmung, weil sie keine ausreichende Eingriffsschwelle enthalten. Sie ermöglichen eine Weiterverarbeitung gespeicherter Datenbestände mittels einer automatisierten Datenanalyse oder -auswertung in begründeten Einzelfällen, wenn dies zur vorbeugenden Bekämpfung bestimmter Straftaten erforderlich ist. Dieser Eingriffsanlass bleibt angesichts der besonders daten- und methodenoffen formulierten Befugnisse weit hinter der wegen des konkreten Eingriffsgewichts verfassungsrechtlich gebotenen Schwelle einer konkretisierten Gefahr zurück.
§ 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens jedoch bis zum 30. September 2023 mit einschränkender Maßgabe fort. § 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig.
Sachverhalt:
Die beiden weitgehend gleichlautenden Regelungen in § 25a Abs. 1 HSOG und in § 49 Abs. 1 HmbPolDVG schaffen eine spezielle Rechtsgrundlage dafür, bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen zu vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch zu erschließen. Die Vorschriften ermächtigen die Polizei, in begründeten Einzelfällen zur vorbeugenden Bekämpfung schwerer Straftaten im Sinne von § 100a Abs. 2 StPO (Alternative 1) oder zur Abwehr von Gefahren für bestimmte Rechtsgüter (Alternative 2) gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten. Auf diese Weise können nach Absatz 2 der jeweiligen Regelung insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.
In Hessen wird von den Befugnissen des § 25a HSOG jährlich tausendfach über die Analyseplattform „hessenDATA“ Gebrauch gemacht. Demgegenüber wird § 49 HmbPolDVG bislang nicht angewendet.
Wesentliche Erwägungen des Senats:
A. Die Verfassungsbeschwerden sind nur zulässig, soweit sie gegen die Eingriffsschwelle in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG (Datenanalyse oder -auswertung zur vorbeugenden Bekämpfung von Straftaten) gerichtet sind. Im Übrigen sind sie unzulässig.
B. Soweit sie zulässig sind, sind die Verfassungsbeschwerden auch begründet.
I. Werden gespeicherte Datenbestände mittels einer automatisierten Anwendung zur Datenanalyse oder -auswertung verarbeitet, greift dies in die informationelle Selbstbestimmung aller ein, deren Daten bei diesem Vorgang personenbezogen Verwendung finden. Ein Grundrechtseingriff liegt hier nicht nur in der weiteren Verwendung vormals getrennter Daten, sondern darüber hinaus in der Erlangung besonders grundrechtsrelevanten neuen Wissens, das durch die automatisierte Datenauswertung oder -analyse geschaffen werden kann.
II. Eine automatisierte Datenanalyse oder -auswertung bedarf verfassungsrechtlicher Rechtfertigung. Diese ist grundsätzlich möglich. Sie setzt insbesondere die Vereinbarkeit mit dem Grundsatz der Verhältnismäßigkeit voraus, dessen Anforderungen sich nach der konkreten Reichweite der Befugnis richten. Die angegriffenen Regelungen dienen dem legitimen Zweck, vor dem Hintergrund informationstechnischer Entwicklung die Wirksamkeit der vorbeugenden Bekämpfung schwerer Straftaten zu steigern, indem Anhaltspunkte für bevorstehende schwere Straftaten gewonnen werden, die im Datenbestand der Polizei ansonsten unerkannt blieben. Es wurde hier dargelegt, die Polizeibehörden seien infolge der insbesondere in den Bereichen terroristischer und extremistischer Gewalt sowie der organisierten und schweren Kriminalität zunehmenden Nutzung digitaler Medien und Kommunikationsmittel mit einem ständig anwachsenden und nach Qualität und Format zunehmend heterogenen Datenaufkommen konfrontiert. Die dazu in den polizeilichen Datenbeständen enthaltenen Informationen könnten gerade unter Zeitdruck kaum manuell gewonnen werden; eine automatisierte Datenanalyse sei daher von großer Bedeutung für erfolgreiches polizeiliches Handeln. Zur Steigerung der Wirksamkeit vorbeugender Straftatenbekämpfung sind die Regelungen auch im verfassungsrechtlichen Sinne geeignet. Sie sind auch erforderlich, weil durch eine automatisierte Datenanalyse oder -auswertung für die Verhütung von Straftaten relevante Erkenntnisse erschlossen werden können, die auf andere, grundrechtsschonendere Weise nicht gleichermaßen zu gewinnen wären.
III. Spezielle Anforderungen an die Rechtfertigung des Grundrechtseingriffs ergeben sich hier aus dem Gebot der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem Eingriffsgewicht der Maßnahme.
1. Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung ergibt sich zunächst aus dem Gewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die Grundsätze der Zweckbindung und Zweckänderung, wie sie bereits im Urteil zum Bundeskriminalamtgesetz näher konturiert wurden.
Danach kann der Gesetzgeber eine Datennutzung über das für die Datenerhebung maßgebende Verfahren hinaus als weitere Nutzung im Rahmen der ursprünglichen Zwecke dieser Daten erlauben (zweckwahrende Weiternutzung). Diese zweckwahrende Weiternutzung kommt seitens derselben Behörde im Rahmen derselben Aufgabe und für den Schutz derselben Rechtsgüter in Betracht, die bereits für die Datenerhebung maßgeblich waren. Grundsätzlich ist dann die weitere Nutzung als bloßer Spurenansatz erlaubt.
Der Gesetzgeber kann eine weitere Nutzung der Daten aber auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben (zweckändernde Weiternutzung). Als Maßstab der Verhältnismäßigkeitsprüfung gilt insoweit das Kriterium der hypothetischen Datenneuerhebung. Danach kann der Gesetzgeber die zweckändernde Weiternutzung von Daten der Polizeibehörden grundsätzlich dann erlauben, wenn es sich um Informationen handelt, aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Aufdeckung von vergleichbar gewichtigen Straftaten oder zur Abwehr von zumindest auf mittlere Sicht drohenden Gefahren für vergleichbar gewichtige Rechtsgüter wie die ergeben, zu deren Schutz bereits die entsprechende Datenerhebung zulässig ist.
In beiden Konstellationen gelten strengere Anforderungen für eine Weiternutzung von Daten aus Wohnraumüberwachungen und Online-Durchsuchungen.
Nach § 25a HSOG und § 49 HmbPolDVG können personenbezogene Daten sowohl zweckwahrend als auch zweckändernd weiterverarbeitet werden. Die beiden Vorschriften erlauben die Verarbeitung sehr großer Datenmengen, im Wesentlichen ohne selbst nach der Herkunft der Daten und den ursprünglichen Erhebungszwecken zu unterscheiden. Zur Wahrung der verfassungsrechtlichen Anforderungen der Zweckbindung müssten darum anderweitig hinreichend normenklare Regelungen getroffen sein, die die Einhaltung des Grundsatzes der Zweckbindung rechtlich und praktisch sichern.
2. Darüber hinaus hat die automatisierte Datenanalyse oder -auswertung ein Eigengewicht, weil die weitere Verarbeitung einmal erhobener und gespeicherter Daten durch eine automatisierte Datenanalyse oder -auswertung eigene Belastungseffekte haben kann, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen; insoweit ergeben sich aus dem Grundsatz der Verhältnismäßigkeit im engeren Sinne weitergehende Rechtfertigungsanforderungen.
a) Die automatisierte Datenanalyse oder -auswertung ist darauf gerichtet, neues Wissen zu erzeugen. Die handelnde Behörde kann aus den zur Verfügung stehenden Daten mit praktisch allen informationstechnisch möglichen Methoden weitreichende Erkenntnisse abschöpfen sowie aus der Auswertung neue Zusammenhänge erschließen. Zwar ist es für sich genommen nicht ungewöhnlich, dass die Polizei ihre einmal gewonnenen Erkenntnisse als Spuren- oder Ermittlungsansätze allein oder in Verknüpfung mit anderen ihr zur Verfügung stehenden Informationen als Ausgangspunkt weiterer Ermittlungen nutzt. Die automatisierte Analyse oder Auswertung geht aber schon deshalb weiter, weil sie die Verarbeitung großer und komplexer Informationsbestände ermöglicht. Je nach der eingesetzten Analysemethode können zudem durch verknüpfende Auswertung vorhandener Daten neue persönlichkeitsrelevante Informationen gewonnen werden, die ansonsten so nicht zugänglich wären. Die Maßnahme erschließt die in den Daten enthaltenen Informationen damit intensiver als zuvor. Sie bringt nicht nur in den Daten angelegte, aber zunächst mangels Verknüpfung verborgene Erkenntnisse über Personen hervor, sondern kann sich bei entsprechendem Einsatz einem „Profiling“ annähern. Denn es können sich softwaregestützt neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden. Der Grundsatz der Zweckbindung könnte dem Eingriffsgewicht dann für sich genommen nicht hinreichend Rechnung tragen.
b) Insoweit variieren die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung, da deren eigene Eingriffsintensität je nach gesetzlicher Ausgestaltung ganz unterschiedlich sein kann.
aa) Generell wird das Gewicht eines Eingriffs in die informationelle Selbstbestimmung vor allem durch Art, Umfang und denkbare Verwendung der Daten sowie die Gefahr ihres Missbrauchs bestimmt. Daneben beeinflusst die zugelassene Methode der Datenanalyse oder -auswertung die Eingriffsintensität. Besonderes Eingriffsgewicht kann der Einsatz komplexer Formen des Datenabgleichs haben. Insgesamt ist die Methode automatisierter Datenanalyse oder -auswertung umso eingriffsintensiver, je breitere und tiefere Erkenntnisse über Personen dadurch erlangt werden können, je höher die Fehler- und Diskriminierungsanfälligkeit ist und je schwerer die softwaregestützten Verknüpfungen nachvollzogen werden können.
bb) Mit der vom Gesetzgeber durch Regelungen zu Art und Umfang der Daten und zur Begrenzung der Auswertungsmethode steuerbaren Eingriffsintensität korrespondieren die verfassungsrechtlichen Anforderungen an die Eingriffsvoraussetzungen. Die dem Eingriffsgewicht entsprechenden Anforderungen des Gebots der Verhältnismäßigkeit im engeren Sinne richten sich sowohl an das mit der Maßnahme zu schützende Rechtsgut als auch an die Eingriffsschwelle, also den Anlass der Maßnahme.
Ermöglicht die automatisierte Anwendung einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung der Betroffenen, ist dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten. Sie sind nur zum Schutz besonders gewichtiger Rechtsgüter – etwa Leib, Leben oder Freiheit der Person – zulässig. Die verfassungsrechtlich erforderliche Eingriffsschwelle ist hier die hinreichend konkretisierte Gefahr.
Hingegen können, wenneine konkretisierte Gefahr vorliegt, weniger gewichtige Eingriffe bereits dann zu rechtfertigen sein, wenn sie dem Schutz von Rechtsgütern von zumindest erheblichem Gewicht dienen, etwa zur Verhütung von Straftaten von zumindest erheblicher Bedeutung. Umgekehrt kann dann, sofern die Maßnahme dem Schutz hochrangiger, überragend wichtiger oder auch besonders gewichtiger Rechtsgüter dient, eine Eingriffsschwelle genügen, die noch hinter einer konkretisierten Gefahr zurückbleibt.
Sind die einbeziehbaren Daten gesetzlich nach Art und Umfang in einer Weise reduziert und die möglichen Methoden der automatisierten Analyse oder Auswertung von vornherein so eingeschränkt, dass eine auf die Befugnis gestützte Maßnahme nicht zu tieferen Einsichten in die persönliche Lebensgestaltung der Betroffenen führt als sie die Behörde, wenngleich aufwendiger und langsamer, auch ohne automatisierte Anwendung realistisch erlangen könnte, oder zielt die Befugnis von vornherein nur darauf, gefährliche oder gefährdete Orte zu identifizieren, ohne dabei personenbezogene Informationen zu generieren, kann sogar bereits die Einhaltung des Grundsatzes der Zweckbindung ausreichen, um die automatisierte Datenverarbeitung zu rechtfertigen.
cc) Die Schwelle einer wenigstens konkretisierten Gefahr für besonders gewichtige Rechtsgüter ist nur dann verfassungsrechtlich verzichtbar, wenn die zugelassenen Analyse- und Auswertungsmöglichkeiten normenklar und hinreichend bestimmt in der Sache so eng begrenzt sind, dass das Eingriffsgewicht der Maßnahmen erheblich gesenkt ist. Grundsätzlich kann der Gesetzgeber diese Regelungsaufgabe zwischen sich und der Verwaltung aufteilen. Er muss aber sicherstellen, dass unter Wahrung des Gesetzesvorbehalts insgesamt ausreichende Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden getroffen werden. Zur Regelung von Aspekten, die nicht unmittelbar vom Gesetzgeber selbst zu normieren sind, kommt eine Verordnungsermächtigung in Betracht. Darüber hinaus kann der Gesetzgeber hier die Verwaltung verpflichten, die im Gesetz oder in Rechtsverordnungen geregelten Vorgaben in abstrakt-genereller Form weiter zu konkretisieren. In jedem Fall bedarf die Konkretisierung durch Verwaltungsvorschriften aber einer gesetzlichen Grundlage. Darin hat der Gesetzgeber sicherzustellen, dass die für die Anwendung der Bestimmungen im Einzelfall maßgebliche Konkretisierung und Standardisierung seitens der Behörden nachvollziehbar dokumentiert und veröffentlicht wird.
c) Nach den dargelegten generellen Maßstäben ist das spezifische Eingriffsgewicht der daten- und methodenoffen formulierten Befugnisse zur Datenanalyse oder -auswertung nach § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG potentiell sehr hoch, so dass diese Regelungen von Verfassungs wegen strengen Eingriffsvoraussetzungen genügen müssen. Die Befugnisse lassen die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu. Sie erlauben der Polizei so, mit einem Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat. Daher gilt das Erfordernis einer konkretisierten Gefahr für besonders gewichtige Rechtsgüter.
aa) Die beiden Vorschriften begrenzen die Art und die Menge der bei einer Datenanalyse oder
-auswertung einsetzbaren Daten kaum. Sie regeln nicht, welche Arten von Daten und welche Datenbestände für eine automatisierte Datenanalyse oder -auswertung genutzt werden dürfen. Die Vorschriften unterscheiden insbesondere nicht nach Daten von Personen, die einen Anlass für die Annahme geben, sie könnten eine Straftat begehen oder in besonderer Verbindung zu solchen Personen stehen, und anderen Personen. Sie lassen eine breite Einbeziehung von Daten Unbeteiligter zu, die deshalb polizeilichen Ermittlungsmaßnahmen unterzogen werden könnten.
bb) Dem Wortlaut nach lassen sie zudem sehr weitreichende Methoden der automatisierten Datenanalyse und -auswertung zu. Der Gesetzgeber hat nicht eingegrenzt, welche Methoden der Analyse und Auswertung erlaubt sind. Die angegriffenen Vorschriften ermöglichen auch ein „Data-Mining“ bis hin zur Verwendung selbstlernender Systeme (KI). Dabei sind insbesondere auch offene Suchvorgänge zulässig. Die Datenauswertung oder -analyse darf darauf zielen, allein statistische Auffälligkeiten in den Datenmengen zu entdecken, aus denen dann, möglicherweise auch mit Hilfe weiterer automatisierter Anwendungen, weitere Schlüsse gezogen werden. Die Vorschriften schließen auch bezüglich der erzielbaren Suchergebnisse nichts aus. Nach dem Wortlaut könnte das
Suchergebnis in maschinellen Sachverhaltsbewertungen bestehen – bis hin zu Gefährlichkeitsaussagen über Personen im Sinne eines „predictive policing“.Es könnten also mittels Datenanalyse oder -auswertung neue persönlichkeitsrelevante Informationen erzeugt werden, auf die ansonsten kein Zugriff bestünde. Diese potenzielle Weite erzielbaren neuen Wissens wird auch nicht durch eingriffsmildernde Regelungen zu dessen Verwendung flankiert.
In Hamburg hat der Gesetzgeber den Versuch unternommen, so weitgehende Anwendungen auszuschließen, indem er anstelle des Wortes „Datenanalyse“ das Wort „Datenauswertung“ verwendet hat. Eine verfassungsrechtlich ausreichende Klarstellung, dass durch die automatisierte Anwendung lediglich mittels bestimmter Suchkriterien Übereinstimmungen ausgewiesen werden, nicht jedoch die polizeiliche Aus- und Bewertung der Daten ersetzt werden sollten, ist damit jedoch nicht gelungen.
cc) Die angegriffenen Befugnisse sind auch nicht dadurch verfassungsrechtlich relevant eingegrenzt, dass Techniken einer unbegrenzten Datenauswertung aktuell nicht zur Verfügung stünden. Selbst wenn Funktionsweiterungen erst infolge weiterer technischer Entwicklungen möglich sind, richten sich die verfassungsrechtlichen Anforderungen grundsätzlich nach den rechtlich schon jetzt geschaffenen Eingriffsmöglichkeiten.
IV. § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG genügen danach nicht den Anforderungen der Verhältnismäßigkeit im engeren Sinne, weil sie keine hinreichende Eingriffsschwelle enthalten.
1. Soweit die angegriffenen Vorschriften zur Datenanalyse oder -auswertung zwecks Verhütung der in § 100a Abs. 2 StPO genannten Straftaten ermächtigen, ist der Eingriffsanlass angesichts des beschriebenen Eingriffsgewichts unverhältnismäßig weit und damit verfassungswidrig geregelt. Auch die weitere Maßgabe beider Regelungen, es müsse ein begründeter Einzelfall vorliegen, enthält hier kaum nähere inhaltliche Festlegungen. In der mündlichen Verhandlung wurde zwar ein engeres Konzept beschrieben, nach dem die Voraussetzung des „Einzelfalls“ in der hessischen Polizeipraxis verstanden und angewendet werde. Es werde durchgehend an eine bereits begangene Straftat oder wenigstens den durch Tatsachen belegten Verdacht einer bereits begangenen Straftat angeknüpft und daraus eine Prognose für die Zukunft hergeleitet: Zum einen müsse für die Vergangenheit davon ausgegangen werden können, dass bereits eine Straftat nach § 100a Abs. 2 StPO begangen wurde. Zum anderen müsse aufgrund dieser Situation für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen sein.
Ungeachtet der näheren Ausgestaltung der hessischen Anwendungspraxis sind die verfassungsrechtlichen Anforderungen derzeit aber schon deshalb nicht erfüllt, weil das Konzept der hessischen Praxis von vornherein nicht auf die Identifizierung einer wenigstens konkretisierten Gefahr und der zu deren Abwehr geeigneten Daten zielt. Das ist aber wegen der daten- und methodenoffenen Ausgestaltung der Befugnis in § 25a HSOG und § 49 HmbPolDVG erforderlich.
Die angegriffenen Vorschriften regeln auch deshalb keine hinreichende Eingriffsschwelle, weil über den Katalog des § 100a Abs. 2 StPO auch Gefährdungstatbestände erfasst sind. Zwar ist dem Gesetzgeber verfassungsrechtlich nicht verwehrt, zur Bestimmung der Eingriffsvoraussetzungen auch an die Gefahr der Begehung von Vorfeldtatbeständen anzuknüpfen. Er muss dann aber eigens sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für die durch den Straftatbestand geschützten Rechtsgüter vorliegt. Daran fehlt es hier.
2. Die vorbeugende Bekämpfung von Straftaten im Sinne von § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG umfasst nach der gesetzlichen Definition nicht nur die Verhütung von Straftaten, sondern auch die Vorsorge zur Verfolgung künftiger Straftaten. Polizeiliche Datenbestände sollen im Wege der automatischen Datenauswertung genutzt werden, um Erkenntnisse für die zukünftige Aufklärungsarbeit und Ermittlungsverfahren zu gewinnen. Dass bereits eine Sachlage gegeben sein müsste, bei der eine konkrete oder eine konkretisierte Gefahr besteht, ist dem nicht zu entnehmen. Damit fehlt es auch hier an jeder eingrenzenden Konkretisierung des Eingriffsanlasses.
C. § 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens bis zum 30. September 2023 fort. Angesichts der Bedeutung, die der Gesetzgeber der Befugnis für die staatliche Aufgabenwahrnehmung beimessen darf, und wegen ihrer Bedeutung für die hessische Polizeipraxis ist eine befristete Fortgeltung eher hinzunehmen als eine Nichtigerklärung.
Die befristete Anordnung der Fortgeltung bedarf mit Blick auf die betroffenen Grundrechte jedoch einschränkender Maßgaben, die eine Neuregelung durch den Gesetzgeber aber nicht präjudizieren. Unter Zugrundelegung des in der hessischen Praxis gewählten Konzepts wird angeordnet, dass von der Befugnis des § 25a Abs. 1 Alt. 1 HSOG nur Gebrauch gemacht werden darf, wenn bestimmte, genügend konkretisierte Tatsachen den Verdacht begründen, dass eine besonders schwere Straftat im Sinne von § 100b Absatz 2 StPO begangen wurde und aufgrund der konkreten Umstände eines solchen im Einzelfall bestehenden Tatverdachts für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen ist, die Leib, Leben oder den Bestand oder die Sicherheit des Bundes oder eines Landes gefährden, wenn das Vorliegen dieser Voraussetzungen und die konkrete Eignung der verwendeten Daten zur Verhütung der zu erwartenden Straftat durch eigenständig auszuformulierende Erläuterung begründet wird und wenn sichergestellt ist, dass keine Informationen in die Datenanalyse einbezogen werden, die aus Wohnraumüberwachung, Online-Durchsuchung, Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden.
§ 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig. Es sind keine Umstände ersichtlich, die eine befristete Fortgeltungsanordnung erforderten und rechtfertigten.