Things That Are Different Are Not the Same
Die automatisierte Analyse massenhafter Internetdaten und die Vorratsdatenspeicherung
Zu der polizeilichen und strafprozessualen Verwendung von PimEyes sind kürzlich zwei Beiträge auf dem Verfassungsblog erschienen. Mit Hilfe der Software soll es den Strafverfolgungsbehörden gelungen sein, die RAF-Terroristin Daniela Klette über die Homepage eines Kreuzberger Capoeira-Vereins ausfindig zu machen. Christian Thönnes argumentierte, dass durch PimEyes auf „Vorratsdaten“ zugegriffen würde, weshalb die Nutzung dieser Software nur nach den Maßstäben des EuGH zur Vorratsdatenspeicherung zulässig wäre. Dem möchte ich widersprechen und aufzeigen, dass PimEyes zwar sicherheitsrechtlich bedenklich ist, aber keine Form der Vorratsdatenspeicherung darstellt. Es handelt sich um einen anlassbezogenen, strafprozessualen Zugriff auf private, unreguliert vorhandene Massendaten. Das ist ein eigener Problemkreis mit vielen offenen Fragen, zumal die Ermittlungsmaßnahme bislang gesetzlich nicht geregelt ist. Anhand der Rechtsprechung des Bundesverfassungsgerichts lässt sich allerdings schon jetzt in Grundzügen ableiten, welche Anforderungen der Gesetzgeber bei der noch zu schaffenden Ermächtigungsgrundlage für Software wie PimEyes wird beachten müssen.
PimEyes, Quick-Freeze und die Vorratsdatenspeicherung
Noch einmal zur Erinnerung: PimEyes durchforscht das Internet nach Bilddateien und erkennt mittels künstlicher Intelligenz u. a. Gesichter (hier erklärt). Für die Nutzung dieser Software im Rahmen der Strafverfolgung gibt es aktuell (noch) keine spezifische Rechtsgrundlage. Die vermeintliche Nutzung der Software durch Sicherheitsbehörden dürfte daher rechtswidrig sein, denn das „gezielte Zusammentragen allgemein zugänglicher Daten“ bedarf nach dem BVerfG einer eigenen Rechtsgrundlage (hier Rn. 309).
Thönnes hat jedoch auch schon spekuliert, dass eine Rechtsgrundlage für die Anwendung gar nicht oder nur unter engen Grenzen geschaffen werden könnte, da die Nutzung einer „Vorratsdatenspeicherung“ entspreche. Mir scheint, insofern liegt ein Missverständnis zum Begriff der Vorratsdatenspeicherung vor.
Das Thema Vorratsdatenspeicherung ist seit über zwei Jahrzenten ein politischer und juristischer Dauerbrenner, der derzeit schon wieder aufzuflammen droht. Die Bundesregierung hat vor einigen Wochen angekündigt, den Nachfolger der Vorratsdatenspeicherung, das sog. Quick-Freeze-Verfahren nach langem Widerstand der SPD zeitnah einführen zu wollen. Manchen politischen Stimmen geht dies aber schon wieder nicht weit genug. Zu allem Unglück hat der EuGH vor wenigen Tagen auch noch die Anforderungen an den Zugriff auf vorratsmäßig gespeicherte IP-Adressen gesenkt. Ein Ende der Kontroverse ist damit nicht zu erwarten. Ganz im Gegenteil.
Daher ist es höchste Zeit den Begriff der Vorratsdatenspeicherung etwas grundlegender zu beleuchten und die verschiedenen aktuellen Probleme polizeilicher Datennutzung zu differenzieren. Bei genauem Hinsehen zeigt sich nämlich, dass zwischen den Vorratsdatenspeicherungsregimen und Phänomenen wie PimEyes erhebliche Unterschiede bestehen.
Zum Begriff der Vorratsdatenspeicherung
Wenn in der Bundesrepublik von Vorratsdatenspeicherung gesprochen wird, ist fast immer die Speicherung von Telekommunikationsverkehrsdaten gemeint (siehe Albers in Zubik/Podkowik/Rybski (Hrsg.), Data Retention, 2021, S. 117 f.). Verkehrsdaten sind Daten, die keine Telekommunikationsinhalte betreffen, sondern nur die Umstände von Telekommunikation (Wer hat wann mit wem wie lange von wo aus und mit welcher IP oder MAC usw. fernkommuniziert?).
Diese Daten lagen bis vor einigen Jahren regelmäßig bei Telekommunikationsprovidern vor, da sie im kaum erträglichen Zeitalter vor den Flatrate-Verträgen zur Berechnung der Kosten im Rahmen von Mobilfunkverträgen o. Ä. erhoben werden mussten. Da Rechnungen aus handels- und steuerrechtlichen Gründen (§ 257 Abs. 4 HGB, § 147 AO) auch meist aufbewahrt werden müssen, lagen die Verkehrsdaten typischerweise vor und konnten von verschiedenen Behörden für Ermittlungen verwendet werden (Breyer 2005, S. 13). Mit dem Ende der nutzungsabhängigen Kostenerhebung drohten diese Daten verloren zu gehen, weshalb der Europäische Gesetzgeber die Provider kurzerhand zur Speicherung der Verkehrsdaten und zur Übermittlung dieser Daten verpflichtete.
Dass der EuGH diese Richtlinie für unverhältnismäßig befand und nichtig erklärte, ist bekannt. Versuche der nationalen Gesetzgeber, eigenständig entsprechende Regime einzuführen, scheiterten ebenfalls. Insbesondere Frankreich und Belgien zeigten sich aber besonders hartnäckig und brachten den EuGH vor wenigen Jahren dazu, seine Anforderungen deutlich zurückzufahren und Möglichkeiten zur massenhaften Verwendung von Verkehrsdaten aufzuzeigen.
Zulässig ist danach etwa das „Quick-Freeze-Verfahren“ (s. zuletzt hier Rn. 75). Dabei werden Verkehrsdaten nicht anlasslos und universell, sondern nur von einer bestimmten Person bei entsprechendem Anlass auf Anordnung gespeichert. Diese Maßnahme soll nun Einzug in die Sicherheitsgesetze der Bundesrepublik erhalten.
Massendaten in der Strafverfolgung: Regel statt Ausnahme
Heute wird der Begriff der Vorratsdatenspeicherung nicht mehr exklusiv in Verbindung mit Telekommunikationsverkehrsdaten verwendet, da mittlerweile für Fluggast– und Finanzdaten Speicherpflichten bestehen, die der Vorratsdatenspeicherungsrichtlinie nicht unähnlich sind. Geht man allein vom Wortlaut des Begriffs aus, lässt er sich auch nicht auf die genannten Daten begrenzen, denn sämtliche Daten, die irgendwo gespeichert werden, werden „auf Vorrat“ gespeichert.
Tatsächlich ist die Nutzung von massenhaft gespeicherten Daten auch kein Phänomen, das erst aufgrund der vorgenannten Speicherpflichten auftrat, auch wenn das manchmal so klingt. Bei den Strafverfolgungsbehörden herrscht schon immer die Überzeugung vor, dass alle irgendwo vorhandenen Daten grundsätzlich im Rahmen von Ermittlungen erhoben werden können (vgl. Masing, NJW 2012, 2305 [2309]), egal wie lange diese Daten schon „bevorratet“ werden. Die Strafverfolgungsbehörden stützen Anfragen bei Privaten im Zweifel einfach auf die Ermittlungsgeneralklausel aus § 161 Abs. 1 S. 1 Alt. 2 StPO.
Dass die StPO noch heute keine (verfassungskonforme) Grundlage für Auskunftsersuchen gegenüber Privaten enthält, ist übrigens ziemlich bemerkenswert, denn private Akteure haben den Staat längst als größten Datensammler abgelöst. Diesem Umstand wird in der – etwas in die Jahre gekommenen – StPO nicht ausreichend Rechnung getragen (dazu etwa Singelnstein, NStZ 2012, 593 (603 f.); Kölbel in MüKo StPO, § 161 Rn. 26). Dabei gibt es vorbildhafte Regelungen, etwa § 8a Abs. 1 BVerfSchG.
Aus der Ermittlungspraxis wird jedenfalls deutlich, dass die Nutzung privater Massendaten, selbst wenn diese aus wirtschafts- oder steuerrechtlichen Gründen gespeichert werden müssen (bspw. § 257 HGB), keine Vorratsdatenspeicherung darstellen kann. Andernfalls müsste man § 161 Abs. 1 S. 1 Alt. 2 StPO an den Maßstäben der entsprechenden Urteile des EuGH und des BVerfG messen. Das scheint mir nicht die Intention der Gerichte gewesen zu sein.
Offenkundig geht die Gleichung Massenhafte Datenspeicherung + Möglicher Zugriff der Strafverfolgungs-/Sicherheitsbehörden = Vorratsdatenspeicherung nicht auf.
Vorratsdatenspeicherung im Rechtsstaat und der Grundsatz der Reaktivität
Die Gründe, wieso die Vorratsdatenspeicherungsrichtlinie tatsächlich eine schwere Grundrechtsbeeinträchtigung darstellte, liegen also nicht darin, dass die Richtlinie einen sicherheitsrechtlichen Zugriff auf Massendaten ermöglichte, sondern in der Abkehr von rechtstaatlichen Grundsätzen, die mit der staatlichen Anordnung der Speicherung zu Sicherheitszwecken einhergeht:
Die Vorratsdatenspeicherung von Telekommunikations- Fluggast- und Finanzdaten findet, anders als etwa die Aufbewahrung von Hotelrechnungen, final für eine sicherheitsrechtliche Verwendung der Daten und nicht zu steuer- oder wirtschaftlichen Zwecken statt. Das ist rechtstaatlich bedenklich: Mit der Anordnung der Speicherung bestimmter Daten, ausdrücklich zur Erleichterung oder Ermöglichung von Ermittlungen, gibt der Staat zu erkennen, dass er von der potenziellen Notwendigkeit dieser Daten für die Aufklärung oder Verhinderung kriminellen Verhaltens ausgeht (Puschke/Singelnstein, NJW 2008, 113 [118] und früh schon Lisken, ZRP 1994, 264 [267 f.]).
Mit der Anordnung einer Speicherung von prinzipiell unbedenklichen Daten für etwaige sicherheitsrechtliche Informationserhebungen bricht der Staat mit dem Grundgedanken, dass er den Bürgen grundsätzlich vertraut und nur dann Informationseingriffe aus sicherheitsrechtlichen Gründen vornimmt, wenn er dazu einen entsprechenden Anlass erhält. Der Staat muss sich im Rahmen der Sicherheitsgewährleistung im Grunde eigentlich reaktiv verhalten.
Der Bruch mit dieser reaktiven Struktur ist das, was die Sensibilität der Vorratsdatenspeicherung (und anderer Massenüberwachungsmaßnahmen) ausmacht.
Rechtstaatliche Begrenzung von Analysetools wie PimEyes
Die Analyse des gesamten Netzes durch Webcrawler, die auf Bilddaten spezialisiert sind, unterscheidet sich strukturell von einer „Vorratsdatenspeicherung“. Der Staat selbst speichert hier keine Daten, er ordnet auch keine Speicherung an, sondern er nutzt bei einem bestimmten Anlass PimEyes als Suchvorlage, um frei zugängliche Bilddateien zu durchforsten.
Das heißt aber nicht, dass für deren Einsatz keine hohen Anforderungen gelten sollten. Auch PimEyes führt zu sensiblen Eingriffen in das Recht auf informationelle Selbstbestimmung, denn es beeinträchtigt die Art, wie wir Privatheit im Internet wahrnehmen können: Der polizeiliche Einsatz von Webcrawlern führt dazu, dass die Netznutzer nicht mehr erwarten können, aufgrund der schieren Masse der Daten ein gewisses Maß an Anonymität vor dem Staat zu genießen. Die Nutzung automatisierter Software, die massenhaft Daten verarbeitet, geht über herkömmliche Ermittlungen hinaus.
Die Anpassung der Polizeiarbeit aufgrund des digitalen Fortschritts ist notwendig, muss aber gesetzlich begleitet werden. Die rudimentären Ermächtigungsgrundlagen klassischer Ermittlungsmaßnahmen (insb. Generalklauseln) reichen insofern nicht mehr aus. Zurecht hat das BVerfG deshalb schon im Urteil zur Online-Durchsuchung festgestellt, dass massenhaften Analysetools eigene Rechtsgrundlagen benötigen, auch wenn die damit verarbeiteten Daten offen verfügbar sind (hier Rn. 309). Dem lässt sich nur beipflichten. Der Anspruch – vor allem – der Strafverfolgungsbehörden, sämtliche existierenden Daten bei Notwendigkeit erhalten zu können, verträgt sich aus Sicht der Grundrechtsträger kaum damit, dass personenbezogene Daten im Informationszeitalter ubiquitär verfügbar sind. Ermittlungen im Internet sollten zwar nicht schwieriger sein als Ermittlungen in der analogen Welt. Das Netz sollte den Ermittlungs- und Sicherheitsbehörden aber andererseits auch nicht als Honigtopf uneingeschränkt zur Verfügung stehen.
Massenhafte Datenanalysen in der Rechtsprechung des BVerfG
Diesen Gegensatz zwischen Privatheitsschutz und Ermittlungseffektivität navigiert das BVerfG seit vielen Jahren erfolgreich, indem es konkrete Anforderungen an die Ermächtigungsgrundlagen für bestimmte Ermittlungsmaßnahmen aus den Grundrechten ableitet.
Für eine automatisierte Analyse massenhafter Daten hat das BVerfG vor etwas mehr als einem Jahr im Urteil zu den Polizeigesetzen in Hamburg und Hessen bestimmte Maßgaben aufgestellt. Diese Rechtsprechung betrifft zwar die Analyse von bei Behörden gespeicherten Datenbeständen, die zuvor aus verschiedenen Gründen erhoben wurden (Registereinträge, Daten aus früheren Ermittlungen etc.). Sie kann daher auch nicht unmittelbar auf PimEyes angewandt werden, passt aber schon deutlich besser als die Urteile zur Vorratsdatenspeicherung.
Automatisierten Datenanalysen attestiert das BVerfG ein eigenständiges Eingriffsgewicht unabhängig von der Herkunft der Daten, denn sie ermöglicht die Verarbeitung großer und komplexer Informationsbestände (Rn 69). Das Eingriffsgewicht bestimmt sich dabei primär nach der Art der verwendeten Daten bzw. der Art des erzeugten Wissens, der Datenquantität und der Heimlichkeit der Maßnahme/Erhebung. Ausgehend von der Gewichtung des Eingriffs lässt sich bestimmen, wie streng die Anforderungen für den Einsatz der Maßnahme sein müssen („Je-Desto-Formel“).
Beim Einsatz von Webcrawlern werden allerdings keine verschiedenen Datenbanken verglichen und kombiniert, sondern es findet nur eine Durchsuchung eines vordefinierten – allerdings sehr großen – Datenbestands statt anhand eines Vorlagebildes statt (hier erklärt). Damit ist die Analyse nicht so persönlichkeitsrelevant wie der strukturelle Abgleich verschiedener Datenbestände. Dennoch werden bei der Maßnahme die Daten einer Vielzahl von Personen heimlich verarbeitet. Der Eingriff dürfte nach den Maßstäben des BVerfG daher erheblich, aber nicht allzu schwer sein.
In der Folge wird man den Einsatz von Webcrawlern zu Ermittlungszwecken wohl jedenfalls auf die Aufklärung oder Verhinderung bestimmter Straftaten, die über eine Bagatellgrenze hinausgehen, begrenzen müssen. Außerdem sollte sich der Verdacht bezüglich der anlassgebenden Person schon verdichtet haben, bzw. eine dringende Gefahr bestehen. Auf einen Richtervorbehalt für die Nutzung wird man verzichten können, nicht aber auf Protokoll-, Berichts- und allgemeine Datenschutzpflichten.
Wie genau die Ausgestaltung erfolgen soll, kann am Ende nur das BVerfG bestimmen. Dass der Gesetzgeber eine grundrechtskonforme Gestaltung selbst erzielt, darf man aufgrund der vergangenen Erfahrungen bezweifeln. Auf die „Segelanweisungen“ aus den Urteilen zur Vorratsdatenspeicherung sollte er bei seinen Versuchen aber nicht achten, da sich PimEyes von den Regimen der Vorratsdatenspeicherung grundlegend unterscheidet.
Lieber Lukas,
vielen Dank für diese wichtige Begriffsklärung und -differenzierung! Ich nehme deine kritische Anmerkung, dass die Rechtsprechung zur Vorratsdatenspeicherung (VDS) nicht hundertprozentig übertragbar ist, gern an. Diese Rechtsprechung ist ja ohnehin sehr im Fluss (siehe Ligue des droits humains und zuletzt QDN II) und es ist deshalb gar nicht mehr ganz klar, was man meint, wenn man sagt, dass “die VDS-Kriterien” gelten sollen.
Tatsächlich gibt es ja, wie du schreibst, keine fixierte Begriffsbestimmung zur VDS. Wir müssen eben, jedenfalls aus unionsrechtlicher Perspektive, gewissermaßen von der VDS her maßstabsbildend extrapolieren, weil es hier nunmal die ausgeprägteste Rechtsprechung gibt. Ich stimme dir zu, dass die Dinge auf phänomenaler Ebene anders liegen, wenn die Speicherung nicht staatlich und zu Sicherheitszwecken angeordnet ist. Deine materiellrechtlichen Erwägungen kann ich nachvollziehen. Die Grundtendenz, dass PimEyes-artige Eingriffe weniger schwerwiegend seien (so lese ich deinen Text), möchte ich aber zumindest noch ein bisschen nuancieren, beispielhaft an zwei Punkten:
Erstens finde ich nicht, dass der Zugriff auf einen privaten Datenspeicher pauschal weniger schwer wiegt, nur weil die Vorratsspeicherung nicht staatlich zu Sicherheitszwecken angeordnet ist. Insbesondere wiegen vorratsartig angelegte Datenbanken à la PimEyes m.E. wesentlich schwerer als beispielsweise handelsrechtliche Speicherpflichten. Bei letzteren Daten gibt es eine allgemeine Verkehrserwartung, dass bspw. wirtschaftliches Handeln dokumentiert und nachvollziehbar ist – und die Speicherung ist rechtlich reguliert und eingehegt. Bei PimEyes gibt es *gar keinen* klar definierten, legitimen Zweck. Es handelt sich um Private, die wild-west-mäßig, datenschutzrechtswidrig das Internet durchscrapen, dabei die alltägliche Anonymität untergraben und sich jedweder Aufsicht und prozeduralem Schutz entziehen. Wer weiß, was die mit den Daten anstellen. Damit dass der Staat sich nun diese Daten zunutze machen will, erntet er die Früchte von Verhalten, das er eigentlich verbietet – das ist doch auch ein riesiger Vertrauensbruch?
Zweitens verweist du darauf, dass PimEyes nur mit einer Datenbank arbeitet, und deshalb keine so komplexe Datenverknüpfung wie im Hessen-Data-Szenario geschieht. An sich stimmt das natürlich. Allerdings ist durchaus denkbar, dass die biometrische Fernidentifizierung durch PimEyes und co Teil einer umfassenden Profilbildung im Rahmen eines explorativen Ermittlungsansatzes ist (Wann hat sich die Person wo aufgehalten? Mit welchen Personen ist sie abgebildet? Was tut sie auf den Bildern? etc). Dann besteht meines Erachtens auch eine ähnliche Belastungswirkung.
Ich stimme dir also zu, dass VDS hier nicht hundertprozentig passt. Insgesamt und in allen Szenarien von weniger schwerwiegenden Eingriffen ausgehen würde ich aber auch nicht (in dieser Pauschalität hast du das natürlich auch nicht behauptet). Es ist ein ganz spezielles sicherheitsrechtliches Instrument, das ganz eigene, kontextabhängige Maßstäbe braucht.