Welche Daten?
Zur geplanten Einführung automatisierter Datenanalysen bei BKA, Bundespolizei und Staatsanwaltschaften
Die jüngsten Pläne des Bundesministeriums des Innern und für Heimat zur Änderung des BKA-Gesetzes (BKAG) sorgen für Schlagzeilen. Im Fokus der Diskussion stehen dabei vor allem die geplante Einführung von Befugnissen zur heimlichen Wohnungsdurchsuchung und zur Online-Gesichtserkennung. Bundesjustiz- und selbsternannter „Verfassungsminister“ Buschmann lehnt die Pläne ab und meint, es werde „keine Befugnisse zum heimlichen Schnüffeln in Wohnungen geben“. Kaum diskutiert wurde hingegen (am Rande aber von Rath; vgl. auch die Einschätzung von Ruf und Werdermann), dass der Referentenentwurf auch Befugnisse in BKAG, BPolG und StPO zur automatisierten Datenanalyse mittels „Big Data“ schaffen würde. Dabei werfen gerade diese Befugnisse neue verfassungsrechtliche Fragen auf, die das Bundesverfassungsgericht bisher offengelassen hat. Hier wird argumentiert, dass der Gesetzgeber Unbeteiligte wegen des Grundrechts auf informationelle Selbstbestimmung stärker vor einer Verarbeitung ihrer Daten schützen muss. Es ist daher wünschenswert, die Vorschriften im weiteren Verfahren insbesondere hinsichtlich der für die Datenanalyse zu verwendenden Daten zu präzisieren und zu begrenzen.
Der Referentenentwurf
Der Referentenentwurf reiht sich in eine längere Entwicklung ein, die den Einsatz von Datenanalysetools bei Sicherheitsbehörden stärken will, um den Behörden einen effizienteren Umgang mit dem vorhandenen Informationsbestand zu ermöglichen. Entsprechende gesetzliche Regelungen in Hessen und Hamburg erklärte das Bundesverfassungsgericht bereits für verfassungswidrig. Gegen die Neuregelung dieser Vorschriften ist wiederum bereits eine Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte anhängig.
Der hier nur hinsichtlich der automatisierten Datenanalyse zu besprechende Referentenentwurf sieht als neue Vorschriften § 16a BKAG, § 57a BPolG und § 98d StPO vor, die jeweils die automatisierte Datenanalyse regeln sollen. Dabei erlaubt § 16a BKAG-E „im Informationssystem oder im polizeilichen Informationsverbund gespeicherte personenbezogene Daten mittels einer automatisierten Anwendung zur Datenverarbeitung zusammen[zu]führen und darüber hinaus zum Zwecke der Analyse weiter[zu]verarbeiten“. § 57a BPolG-E und § 98d StPO-E haben einen vergleichbaren Wortlaut, zugeschnitten auf deren jeweilige Anwendungsbereiche und unter Nennung der Informationssysteme, die jeweils als Datenquellen zu verwenden sind.
Die präventiven Befugnisse setzen dabei, je nach Vorschrift, eine im Einzelfall bestehende oder eine hinreichend konkretisierte Gefahr für ein besonders gewichtiges Rechtsgut voraus. Die strafprozessuale Ermächtigung knüpft an den tatsachengestützten Verdacht einer Straftat von erheblicher Bedeutung an, die sich gegen ein besonders gewichtiges Rechtsgut richten muss. Die einmal erstellte Analysedatei soll dabei dauerhaft gepflegt, aber nur im Einzelfall genutzt werden (Begründung zu § 16a Abs. 1).
Grundrechtliche Anforderungen an automatische Datenanalysen
Aufgrund der vorausgegangenen Verfahren hinsichtlich vergleichbarer landesrechtlicher Regelungen (s.o.) drängt sich die Frage auf, ob die Vorschriften verfassungswidrig sind. Die Normen sind dabei in erster Linie am grundrechtlichen Maßstab des Rechts auf informationelle Selbstbestimmung, das aus dem allgemeinen Persönlichkeitsrecht abgeleitet wird, zu messen. In das Recht wird durch jede Erhebung und Verarbeitung von personenbezogenen Daten eingegriffen. Somit stellt auch das automatisierte Verknüpfen und Auswerten von Daten einen eigenständigen Eingriff dar. Im Rahmen der Rechtfertigung dieses Eingriffs werden zwei Ausprägungen des Verhältnismäßigkeitsgrundsatzes relevant: Einerseits – dazu sogleich – der Grundsatz hypothetischer Datenneuerhebung und andererseits – dazu anschließend – besondere Rechtfertigungsanforderungen, die sich nach der Rechtsprechung des Bundesverfassungsgerichts speziell für automatisierte Datenanalysen ergeben. In dem letztgenannten Bereich wirft der Entwurf neue Rechtsfragen auf.
Allgemeiner Grundsatz der hypothetischen Datenneuerhebung
Bei allen Zweckänderungen gilt nach der Rechtsprechung des Bundesverfassungsgerichts der Grundsatz der hypothetischen Datenneuerhebung. Nach diesem Grundsatz muss bei jeder Zweckänderung geprüft werden, ob die Daten für den geänderten Zweck mit einer vergleichbar eingriffsintensiven Maßnahme erhoben werden dürften.
Die fraglichen Vorschriften des Entwurfs erlauben die Datenanalyse dabei unter den oben geschilderten Voraussetzungen zur Gefahrenabwehr bzw. Strafverfolgung, und zwar unabhängig davon, in welchem Zusammenhang die Daten erhoben wurden. Die Befugnisse ermöglichen somit zumindest auch zweckändernde Nutzungen.
Die Anwendbarkeit des Grundsatzes hypothetischer Datenneuerhebung wird zwar im Normtext selbst nicht ausdrücklich geregelt, der Referentenentwurf verweist in der Begründung aber auf die Anwendbarkeit der allgemeinen Vorschriften, die diesen Grundsatz enthalten (z.B. § 12 Abs. 2 u. 3 BKAG). Dies dürfte die Anwendbarkeit des Grundsatzes zwar sicherstellen, eine ausdrückliche Regelung wäre gleichwohl wünschenswert.
In der Umsetzungspraxis könnte die angedachte Eingriffsschwelle zu Schwierigkeiten bei der Einhaltung des Grundsatzes führen. Gemäß § 16a Abs. 1 S. 1 BKAG-E soll die automatisierte Datenanalyse bei einer hinreichend konkretisierten Gefahr für ein besonders gewichtiges Rechtsgut möglich sein (s.o.). Manche polizeilichen und strafprozessualen Eingriffsbefugnisse sind aber an noch höhere Eingriffsschwellen gebunden. So erfordert etwa § 46 Abs. 1 BKAG (wegen Art. 13 Abs. 4 S. 1 GG) eine dringende Gefahr, um eine Wohnraumüberwachung durchzuführen. Demnach wäre die Verwendung von Daten aus Wohnungsüberwachungen in der automatisierten Analyse unzulässig, wenn bloß eine hinreichend konkretisierte Gefahr vorliegt. Im Hinblick darauf, dass die Analysedatei nach der Vorstellung des Entwurfs dauerhaft gepflegt werden soll, muss ein Umgang mit dieser Diskrepanz gefunden werden. Denkbar wären etwa technisch-organisatorische Maßnahmen (vgl. § 12 Abs. 5 BKAG), die im Einzelfall sicherstellen, dass der Grundsatz eingehalten wird und die betreffenden Daten aus der Analyse im Einzelfall ausgeschlossen werden. Möglich wäre es aber auch, Daten aus Wohnraumüberwachungen generell auszuschließen.
Besondere Rechtfertigungsanforderungen bei automatischen Datenanalysen
In seiner Hessendata-Entscheidung bestätigte das Bundesverfassungsgericht nicht nur, dass in der automatisierten Datenanalyse ein Eingriff liegt, sondern stellte auch klar, dass diesem Eingriff ein gegenüber der Datenerhebung eigenes Gewicht zukommen kann (Rn. 67 ff.). Dies beruht auf der Überlegung, dass es zwar normale Arbeit von Sicherheitsbehörden ist, Daten und Informationen aus unterschiedlichen Informationsquellen zusammenzuführen, die automatisierte Datenanalyse aber grundsätzlich darauf ausgerichtet ist, in einem Umfang Daten zusammenzuführen und/oder Methoden zur Analyse einzusetzen, die den Behörden manuell nicht zur Verfügung stehen. Es soll so neues Wissen gewonnen werden, das allein durch menschliche Ermittlungen zuvor nicht erkennbar gewesen wäre.
Zur Bestimmung des – für die grundrechtliche Abwägung relevanten – eigenen Eingriffsgewichts der Analyse gibt das Bundesverfassungsgericht sodann verschiedene Kriterien an die Hand (Rn. 75 ff.), wobei dem Senat drei verschiedene „Eingriffsschweren“ der Datenanalyse vorschweben (vgl. Rn. 103 ff.): Solche mit hohem, weniger hohem oder keinem Eigengewicht. Bei Maßnahmen mit einem hohen Eigengewicht ist die automatisierte Datenanalyse nur dann zulässig, wenn eine wenigstens hinreichend konkretisierte Gefahr für ein besonders gewichtiges Rechtsgut vorliegt (Rn. 105 f.). Dieser Anforderung werden §§ 16a BKAG-E, 57a BPolG-E und – übertragen auf die Verdachtskategorien des Strafverfahrens – § 98d StPO-E gerecht.
Dieser Befund wirft nun eine Frage auf, die das Bundesverfassungsgericht in der Hessendata-Entscheidung ausdrücklich offengelassen hat: Sind ergänzende gesetzliche Regelungen zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Verarbeitungsmethoden auch dann zu treffen, wenn die Befugnis eine hinreichend konkretisierte Gefahr für ein besonders gewichtiges Rechtsgut voraussetzt (s. Rn. 111)?
Gewichtige verfassungsrechtliche Argumente sprechen dafür, diese Frage zu bejahen. Dies ergibt sich aus einer Kombination zweier Argumentationsstränge. Ausgangspunkt ist der grundlegende Gedanke, den das Bundesverfassungsgericht für die automatische Datenanalyse geäußert hat, nämlich, dass diese darauf gerichtet ist, neues Wissen zu erzeugen (Rn. 69). Da also faktisch neue Informationen gewonnen werden, sind auch die allgemeinen verfassungsrechtlichen Anforderungen an sicherheitsbehördliche Informationsgewinnung zu berücksichtigen, wie das Bundesverfassungsgericht sie insbesondere in seiner BKAG-Entscheidung von 2016 formuliert hat. Demnach ist es zwar grundsätzlich zulässig, Informationen über diejenigen, die Gefahren verantworten oder einer Straftat verdächtig sind, zu erheben. In der Regel muss die Informationsgewinnung aber eben auch bei diesen Personen erfolgen. „Eine Überwachung ins Blaue hinein, allein getragen von der Hoffnung auf Erkenntnisse, genüg[t] nicht“, um Informationserhebung zu rechtfertigen (Rn. 188). Dies zeigt sich auch darin, dass das Gericht Überwachungsmaßnahmen bei Nicht-Verantwortlichen ein deutlich höheres Eingriffsgewicht beimisst (Rn. 191 f.). Auch eine höhere Streubreite von Überwachungsmaßnahmen – wenn also bei der Maßnahme mehr Daten von Unbeteiligten gesammelt werden – führt zu einem höheren Eingriffsgewicht (BVerfGE 120, 378 [402 Rn. 78]). Solche Unbeteiligte können beispielsweise anzeigende Personen, Zeug:innen oder (zufällige) Telekommunikationsgesprächspartner:innen von Verdächtigen sein.
Insofern erscheint es naheliegend, auch bei der Informationsgewinnung durch Datenweiterverarbeitung zu verlangen, dass Informationen in der Regel über Gefahrenverantwortliche bzw. Verdächtige gewonnen werden müssen. So würde gewährleistet, dass Folgemaßnahmen, die aus der Datenerhebung resultieren, auch die wahrscheinlich beteiligten Personen treffen. Dieser Gedanke spiegelt sich auch in der Hessendata-Entscheidung wider (Rn. 84) – dort als Möglichkeit, das Eigengewicht des Eingriffs der Datenanalyse zu mildern. Da sich dieses Kriterium aber (wie oben dargelegt) aus allgemeinen Gedanken über sicherheitsbehördliche Datenverarbeitung herleiten lässt, ist es aber auch dann von Relevanz, wenn man bereits ein hohes Eigengewicht des Eingriffs durch die Datenanalyse annimmt. Dieses Kriterium ist dann bei der weiteren Ausgestaltung der Befugnisse zu berücksichtigen.
Demnach muss die Regelungsstruktur gewährleisten, dass Informationen über Unbeteiligte nicht erhoben werden oder dies jedenfalls nur in minimalem Umfang geschieht. Verschärft wird das Problem vorliegend noch dadurch, dass der Regelungsentwurf die anzuwendenden Methoden nicht beschränkt und somit auch die Nutzung einer KI ermöglicht, bei der keine Steuerung – oder auch nur Nachvollziehbarkeit (Blackbox-Problem) – der Erkenntnisgewinnung möglich ist. Der effektivste Weg, Nichtverantwortliche zu schützen, ist daher, Informationen über Dritte von vornherein aus der Datenanalyse auszuschließen.
Wie im folgenden Abschnitt gezeigt wird, begrenzt die bisherige Regelungsstruktur die Einbeziehung von Daten Dritter allerdings nur geringfügig.
Datenbestand bei den Sicherheitsbehörden
Nach dem Referentenentwurf soll das BKA für die automatisierte Datenanalyse auf die Informationen zugreifen dürfen, die im Informationssystem nach § 13 BKAG und im polizeiliche Informationsverbund gem. § 29 BKAG gespeichert sind (§ 16a Abs. 1 S. 1 BKAG-E). Für die Bundespolizei soll eine Analyse aller personenbezogenen Daten, die sie zur Erfüllung ihrer Aufgaben weiterverarbeitet und für die sie eine Berechtigung zum Abruf hat, möglich sein (§ 57a Abs. 1 BPolG-E). Die Strafverfolgungsbehörden sollen personenbezogene Daten im Datei- und Informationssystem (§ 483 Abs. 1 S. 1 u. 2 StPO) analysieren dürfen (§ 98d Abs. 1 S. 1 StPO-E).
Diese Datenbestände erlauben einen sehr weitgehenden Zugriff auf personenbezogene Daten, auch Daten von unbeteiligten Dritten. So definiert etwa das BKAG in § 13 Abs. 2 gewisse Grundfunktionen des Informationssystems, wozu u.a. die Unterstützung bei der polizeilichen Informationsverdichtung (Nr. 3) und die Durchführung des Abgleichs von personenbezogenen Daten (Nr. 4) gehören. Dies impliziert bereits, dass große Mengen erhobener personenbezogener Daten in diesem System gespeichert werden dürfen. Im Übrigen ist die Aufzählung in § 13 Abs. 2 BKAG auch nicht abschließend (s. etwa Eichenhofer, in: Barzcak (Hrsg.), BKAG, 2023, § 13 Rn. 16.). Insbesondere findet keine Beschränkung dahingehend statt, dass nur durch das BKA selbst erhobene Daten in das Informationssystem gespeist werden (dies hält das BVerfG für relevant, um die Eingriffsintensität zu verringern, Rn. 79 der Hessendata-Entscheidung). Eine bloß faktische, nicht aber normative Beschränkung der gespeicherten Daten genügt nicht (Rn. 121).
Zudem verfügt das BKA über weitreichende Befugnisse mit erheblicher Streubreite. Bei all diesen Maßnahmen können als „Beifang“ auch Daten über unbeteiligte Personen erhoben werden. Hierzu gehören insbesondere Telekommunikationsüberwachungen (§ 51 – Gesprächsinhalte mit Unbeteiligten), Telekommunikations-Verkehrsdatenabfragen (§ 52 – Rahmendaten der Kommunikation mit Unbeteiligten), der Einsatz von IMSI-Catchern (§ 53 – Daten aller Mobiltelefone in Funkreichweite), Online-Durchsuchungen (§ 49 – Informationen von Dritten auf dem Zielgerät), V-Leute und verdeckte Ermittler (§ 45 Abs. 2 Nrn. 4, 5 – Berichte über Entwicklungen abseits von der jeweiligen Zielperson) und die Rasterfahndung (§ 48 – Erhebung von Abgleichsdaten von einer Vielzahl von Personen). Dies ist zwar von den jeweiligen Ermächtigungsgrundlagen gedeckt; der Verarbeitung solcher Daten kommt jedoch bei einer verfassungsrechtlichen Abwägung ein besonderes Gewicht zu, da die Betroffenen hier keinen Anlass zur Datenerhebung geliefert haben (vgl. Rn. 77).
Beschränkungen des legitimerweise vorhandenen und somit für die automatisierte Analyse in Betracht kommenden Datenbestands können sich aber aus allgemeinen oder besonderen Löschungsvorschriften ergeben. Bei einigen Überwachungsvorschriften bestehen besondere Löschungstatbestände für Daten, die über Unbeteiligten erhobene wurden. So schreibt etwa § 53 Abs. 2 S. 2 BKAG die unverzügliche Löschung von Daten Dritter vor, die beim Einsatz eines IMSI-Catchers erlangt wurden; ähnliches gilt für bei einer Rasterfahndung erhobene Daten, § 48 Abs. 3 S. 1 BKAG. Solche Vorschriften bestehen aber nicht für alle Überwachungsmaßnahmen. Beispielsweise trifft § 45 BKAG für die Löschung von durch V-Leuten erhobenen Daten über Dritte keine Regelungen. Stattdessen besteht zwar für Überwachungsmaßnahmen die besondere Löschvorschrift des § 79 Abs. 1 S. 1 BKAG. Diese Vorschrift steht aber unter dem Vorbehalt einer Weiterverarbeitung nach den Vorschriften des Abschnitts 2 Unterabschnitt 2, wozu eben auch der geplante § 16a BKAG-E gehört. Und auch die allgemeinen Löschvorschriften in §§ 77, 78 BKAG iVm. § 75 BDSG können keinen effektiven Schutz davor gewährleisten, dass Daten Unbeteiligter in da