Und (fast) täglich grüßt das Murmeltier

Anfang Mai 2024 deckte eine Investigativrecherche des Bayerischen Rundfunks auf, dass das Bundeskriminalamt (BKA) offenbar schon im Jahr 2019 heimlich rund fünf Millionen Gesichtsbilder aus dem zentralen polizeilichen Informationssystem INPOL-Z extrahiert und dem Fraunhofer-Institut für Graphische Datenverarbeitung zur Verfügung gestellt hat (s. hier). Das BKA ging hierbei rechtswidrig vor, weil es ohne eine hinreichende Ermächtigungsgrundlage in Grundrechte der Abgebildeten eingriff, insbesondere in deren Grundrecht auf informationelle Selbstbestimmung. Das legt der folgende Beitrag genauer dar, um dann ein allgemeines Problem zu adressieren: Immer wieder verkennen die Sicherheitsbehörden die Reichweite der Datenschutz(grund-)rechte oder ignorieren geflissentlich Vorgaben der Rechtsprechung des Bundesverfassungsgerichts. Darin zeigt sich eine Haltung, die es zu überwinden gilt: Polizeiarbeit und Verfassungsrecht sollten nicht als Widerspruch begriffen werden.

Doch zunächst zurück zu der aufgedeckten massenhaften Weitergabe und Verarbeitung personenbezogener Daten. Das Ziel war eine Art „Produkttest“. Unter dem internen Projekttitel „Ertüchtigung des Gesichtserkennungssystems im BKA (EGES)“ wollte man herausfinden, wie gut das in Wiesbaden bereits eingesetzte System im Vergleich mit anderen, bereits auf dem Markt befindlichen Produkten von vier privaten Herstellern abschnitt (s. hier). Der Zeitpunkt dürfte kein Zufall gewesen sein. Schließlich war im Jahr 2018 ein umstrittenes Pilotprojekt zur Gesichtserkennung am Berliner Bahnhof Südkreuz zu Ende gegangen, das in Sicherheitskreisen trotz gegenteiliger ministerieller Beteuerungen weitgehend als Fehlschlag eingestuft wurde.

Nun ist es einer Polizeibehörde natürlich nicht verwehrt, neue Ermittlungswerkzeuge auf ihre Validität und ihren einsatztaktischen Nutzen zu prüfen. Im Gegenteil: in Zeiten, in denen sich Kriminelle ganz selbstverständlich neuester Informationstechnologie bedienen, müssen auch Gefahrenabwehr- und Strafverfolgungsbehörden gerüstet sein. Nur so hat man die Chance, „vor die Lage zu kommen“. Allerdings darf auch eine moderne und innovative Polizei das geltende Recht, insbesondere das Verfassungsrecht, nicht ausblenden. Nach der Rechtsprechung des Bundesverfassungsgerichts stellt jede zweckändernde Nutzung von personenbezogenen Informationen einen eigenständigen Grundrechtseingriff dar (BVerfGE 154, 152, 266; 162, 1, 108; 163, 43, 78). Dieser ist an dem Grundrecht zu messen, in das bei der ursprünglichen Datenerhebung eingegriffen wurde (ebd.). Will das BKA personenbezogene Daten aus INPOL-Z somit zu anderen Zwecken nutzen, so benötigt es eine bereichsspezifische, hinreichend bestimmte und verhältnismäßige Rechtsgrundlage – an der es hier fehlt.

Das INPOL-System

INPOL ist das wichtigste Informationssystem für die polizeiliche Praxis in der Bundesrepublik Deutschland. Es dient als Fahndungs- und Auskunftssystem, in dem zu Zwecken der Strafverfolgung und Gefahrenabwehr Informationen zu Personen und Sachen gespeichert sind. Dabei bildet INPOL-Z wiederum das zentrale Herzstück für den bundesweiten polizeilichen Datenaustausch. Gespeichert sind darin insbesondere die Grunddaten zur Person bzw. deren Personalien, der zentrale Kriminalaktennachweis (KAN), die Fahndungsdateien, erkennungsdienstliche Daten, personengebundene- und ermittlungsunterstützende Hinweise sowie weitere Daten zu den gespeicherten Personen (Arzt, in: Lisken/Denninger, Handbuch des Polizeirechts, 7. Aufl. 2021, G. Rn. 1204). Damit sind naturgemäß auch Millionen von Lichtbildern enthalten, insbesondere von Personen, die bei Verdacht der Begehung einer Straftat erkennungsdienstlich behandelt worden sind. Will das BKA diese Lichtbilder als personenbezogene Informationen nun über ihren ursprünglichen Erhebungszweck hinaus verwenden, um Gesichtserkennungssysteme zu testen, stellt dies eine Zweckänderung und damit einen erneuten Grundrechtseingriff für die Betroffenen dar. Allerdings sind hierbei zwei unterschiedliche Datenverarbeitungsschritte zu unterscheiden: zum einen die Zurverfügungstellung der Gesichtsbilder von Seiten des BKA gegenüber dem Fraunhofer Institut und zum anderen die Nutzung dieser Daten durch das Institut für die eigentliche Testung.

Es bedarf zweier Ermächtigungsgrundlagen

Ein solcher „Produkttest“ erfordert also gleich zwei gesetzliche Ermächtigungsgrundlagen mit unterschiedlichen Ausgangsvoraussetzungen: Die Zurverfügungstellung der Bilddateien aus INPOL-Z an das Fraunhofer Institut stellt in der datenschutzrechtlichen Terminologie eine Datenübermittlung dar. Dass die Testungen innerhalb der Räumlichkeiten des BKA in Wiesbaden stattfanden, ändert hieran nichts. Eine solche Übermittlung setzt lediglich voraus, dass neben der datenübermittelnden Stelle einer zusätzlichen Stelle die Kenntnisnahme von Daten ermöglicht wird, die diese zu einem anderen Zweck als die übermittelnde Stelle verwenden soll (Zöller, in: Roggan/Kuscha (Hrsg.), Handbuch zum Recht der Inneren Sicherheit, 2006, S. 445, 449.).  Mit Hilfe einer Datenübermittlung wird also faktisch die Zahl der datenverarbeitenden Stellen erhöht, auch wenn sie sprichwörtlich unter ein und demselben Dach untergebracht sind. Für die Rechtmäßigkeit der Datenübermittlung an das Fraunhofer Institut ist zwingend eine bereichsspezifische Ermächtigungsgrundlage im BKAG erforderlich. Schließlich wurden die betreffenden Datensätze ursprünglich zu Zwecken der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten gewonnen. Zudem erfolgte die Testung juristisch nicht „im luftleeren Raum“, sondern zur Prüfung der Effektivität eines polizeilichen Eingriffsinstruments. Damit ist der Anwendungsbereich der JI-Richtlinie eröffnet, die mittlerweile in den Sicherheitsgesetzen des Bundes und der Länder umgesetzt ist. Ein Rückgriff auf allgemeine datenschutzrechtliche Bestimmungen, insbesondere auf das Bundesdatenschutzgesetz (BDSG) oder die Datenschutz-Grundverordnung (DS-GVO), ist damit ausgeschlossen.

Ermächtigungsgrundlage für Datenübermittlungen im BKA-Gesetz nicht ausreichend

Die thematisch einzig einschlägige Ermächtigungsgrundlage für die Datenübermittlung durch das BKA ist insoweit § 21 Abs. 2 S. 1 BKAG. Danach kann das BKA personenbezogene Daten an Hochschulen, andere Einrichtungen, die wissenschaftliche Forschung betreiben, und öffentliche Stellen übermitteln, soweit dies für die Durchführung bestimmter wissenschaftlicher Forschungsarbeiten erforderlich (1.), eine Weiterverarbeitung anonymisierter Daten zu diesem Zweck nicht möglich ist (2.) und das öffentliche Interesse an der Forschungsarbeit das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Übermittlung erheblich überwiegt (3.). Diese gesetzlichen Übermittlungsvoraussetzungen dürften im Ergebnis zum EGES-Projektbeginn nicht vorgelegen haben. Zwar wird man die Fraunhofer-Gesellschaft, die als privatrechtlicher Verein auftritt, ohne Zweifel als Einrichtung einstufen können, die wissenschaftliche Forschung betreibt. Auch sind Gesichtsbilder von Natur aus nicht anonymisierbar, da hier jedenfalls durch Recherche- und Abgleichmaßnahmen theoretisch immer ein Personenbezug (wieder-)hergestellt werden kann. Allerdings lassen sich schon Zweifel daran anmelden, dass die Übermittlung im konkreten Fall tatsächlich für die Durchführung wissenschaftlicher Forschungsarbeiten erforderlich war. Zwar legt das Bundesverfassungsgericht den Begriff der Forschung weit aus. Gemeint ist insoweit jede geistige Tätigkeit mit dem „Ziele, in methodischer, systematischer und nachprüfbarer Weise neue Erkenntnisse zu gewinnen“ (BVerfGE 35, 79, 113.). Allerdings ging es im vorliegenden Fall nicht um neue wissenschaftliche Erkenntnisse im Zusammenhang mit technischen Grundlagen von Gesichtserkennungssystemen. Es sollten de facto lediglich vier kommerzielle, bereits entwickelte und auf dem Markt befindliche Systeme mit der beim BKA im Einsatz befindlichen Software verglichen werden. Der Erkenntnis-Mehrwert bestand also lediglich darin, zu erfahren, wie sich die verschiedenen, bereits vorhandenen Systeme im Leistungsvergleich durch das Fraunhofer Institut schlagen würden. Ob man das noch unter anwendungsbezogener Forschung subsumieren kann, erscheint äußerst fraglich. Wie der Bayrische Rundfunk berichtet, ist auch das BKA selbst mittlerweile von seiner zuvor geäußerten Rechtsansicht i.S. wissenschaftlicher Forschung abgerückt. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat zu Recht die Erforderlichkeit der Tests durch das Fraunhofer Institut bezweifelt, weil offenbar diverse Testergebnisse von Herstellern kommerzieller Gesichtserkennungssoftware ohnehin öffentlich zugänglich zur Verfügung gestanden haben. Entscheidend ist jedoch, dass die dritte und letzte Voraussetzung des § 21 Abs. 2 S. 1 BKAG nicht erfüllt ist. Denn dass das öffentliche Interesse an einem solchen reinen Produkttest die Interessen von rund drei Millionen betroffenen Personen am Schutz ihrer Grundrechte, insbesondere ihres Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) „erheblich überwiegen“, ist eindeutig zu verneinen. Schließlich enthält INPOL-Z auch Bilddatensätze von Personen, deren Strafverfahren später eingestellt oder die vor Gericht freigesprochen wurden. Personenbezogene Bilddaten Unschuldiger für Effektivitätstests polizeilicher Softwarelösungen – das geht eindeutig zu weit! Insofern war mangels Erfüllung der Voraussetzungen von § 21 BKAG schon die Zurverfügungstellung der Daten an Mitarbeiter des Fraunhofer Instituts rechtswidrig.

Vor diesem Hintergrund kommt es auch gar nicht mehr darauf an, ob sich – wie jüngst offenbar BKA und BfDI unisono vortragen – die eigentliche Produkttestung durch das Fraunhofer Institut als nichtöffentliche Stelle nun auf allgemeine datenschutzrechtliche Bestimmungen der DS-GVO oder des BDSG stützen lassen. Denn sie hätten die von ihnen für ihre Evaluierung verarbeiteten Daten aus bzw. in Wiesbaden niemals erhalten dürfen.

Umdenken in den Sicherheitsbehörden ist dringend erforderlich

Über diese recht speziellen rechtlichen Besonderheiten hinaus gibt der Fall aber auch Anlass, sich Gedanken über die generelle Einstellung der deutschen Innenministerien und der ihnen nachgeordneten Polizeibehörden zum Verfassungs- und Datenschutzrecht zu machen. In jüngerer Zeit häufen sich Meldungen, nach denen von Seiten der Polizei ohne intensive und vor allem unabhängige Prüfung der Rechtslage bei der Testung und dem Einsatz IT-gestützter Ermittlungsinstrumente vorgeprescht wird. Beispiele sind etwa die Einführung der Palantir-Software in Bayern, der Einsatz von computergestützten Kamerasystemen gegen Smartphone-Nutzer am Steuer in Rheinland-Pfalz oder das Durchforsten des Internets nach Bilddateien mit der Software PimEyes im Fall der RAF-Terroristin Daniela Klette. Dass man auch für den Test- und Probebetrieb neuer Technologien, bei dem personenbezogenen Daten von Bürgerinnen und Bürgern verarbeitet und damit in Grundrechte eingegriffen wird, erst eine Rechtsgrundlage schaffen muss, wird geflissentlich ignoriert. Gut 40 Jahre nach dem wegweisenden Urteil des Bundesverfassungsgerichts zum Volkszählungsurteil vom 15. Dezember 1983 (BVerfGE 65, 1.) gilt in weiten Teilen der Polizei noch immer der beliebte Slogan „Datenschutz ist Täterschutz“. Verweise auf Grundrechtspositionen werden mit leichter Hand beiseitegeschoben, zwingende Vorgaben aus Karlsruhe so lange relativiert und als praxisuntauglich diskreditiert, bis sich davon im einschlägigen Sicherheitsgesetz kaum noch Substanzielles wiederfindet. Manchmal nimmt die Tendenz der Innenbehörden, sich jeglichem externen juristischen Sachverstand zu verschließen oder nur solchen einzuholen, der die eigene rechtspolitische Linie bestätigt, fast schon autistische Züge an. Juristinnen und Juristen gelten in vielen Polizeibehörden noch immer als Fremdkörper und überflüssige Bedenkenträger. Und auch an den Fachhochschulen der Polizei, die Anwärter auf die Tätigkeit in einer modernen und rechtsstaatsorientierten Bürgerpolizei vorbereiten sollen, fallen immer wieder Sätze wie „Das mit dem Datenschutz, das macht bei uns der Manfred, der ist auch gut mit Power-Point!“. Ein Umdenken scheint hier dringend erforderlich. Ansonsten sind die nächsten polizeilichen Datenschutzskandale und -skandälchen vorprogrammiert. Polizeiarbeit und Verfassungsrecht dürfen bei allem verständlichen Frust im Polizeialltag nicht als Widerspruch wahrgenommen werden. Sie bilden eine notwendige Einheit. Die erforderliche Veränderung muss in den Köpfen der Innenministerien und Polizeibehörden beginnen. Das geht nach wie vor nur sehr langsam. Polizeibeamtinnen und Polizeibeamte haben verfassungskonforme und damit vor allem auch gerichtsfeste Rechtsgrundlagen für ihren wichtigen Einsatz für uns alle verdient. Eine Halbwertszeit neuer Befugnisse von wenigen Jahren bis zur nächsten Bundesverfassungsgerichtsentscheidung ist für alle Seiten frustrierend. Und Millionen von Datensätzen ohne saubere juristische Prüfung zweckwidrig einfach ins Blaue hinein zu verarbeiten, verstößt gegen die Bindung der Exekutive an Recht und Gesetz nach Art. 20 Abs. 3 GG. Auch beim polizeilichen Datenschutz ist insgesamt betrachtet mehr Professionalität und weniger Amateurhaftigkeit gefragt.