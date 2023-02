Das Bundesverfassungsgericht hat den Einsatz automatisierter Datenanalysen durch die Polizei in Hessen und Hamburg in vorliegender Form für verfassungswidrig erklärt. Weil die gesetzlichen Regelungen weder die Art und Menge der Daten, noch die technischen Methoden bis hin zu Künstlicher Intelligenz und Profiling einschränkten, verstoßen sie gegen Persönlichkeits- und Vertraulichkeitsrechte des Grundgesetzes.

Automatisierte Datenanalysen durch die Polizei können aber durchaus ein geeignetes und auch erforderliches Mittel sein in Zeiten "von ständig anwachsenden und nach Qualität und Format zunehmend heterogenen Datenaufkommen", befand das Verfassungsgericht in seinem mit Spannung erwarteten Grundsatzurteil zum Data Mining bei der Polizei. Die beiden angegriffenen Regelungen (§ 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei) erlaubten aber praktisch eine "automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich nicht eingegrenzter Methoden", befanden die Karlsruher Richter. Die beiden Landesgesetzgeber haben damit den Grundsatz der Verhältnismäßigkeit massiv verletzt, lautet das Urteil.

Nahe am Profiling

Klare Eingriffsschwellen und die Eingrenzung auf Fälle, wo es um Leib und Leben geht, sind für die besonders eingriffsintensiven Maßnahmen notwendig. Nur wenn sehr eingegrenzte Datensätze und einfachere Methoden zum Einsatz kommen, könne die Eingriffsschwelle niedriger angesetzt werden, erläutern die Richter. Auch die ursprüngliche Zweckbindung der Daten zugunsten einer Zweckabänderung ist an bestimmte Anforderungen geknüpft.

Automatisierte Datenanalysen oder Datenauswertungen bringen nach Ansicht der Verfassungsrichter dabei besondere Belastungseffekte, "die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen." Über die Verarbeitung großer und komplexer Datenbestände mit praktisch allen informationstechnisch möglichen Methoden könnten weitreichende Erkenntnisse abgeschöpft werden, stellten die Richter fest. Ebenso könnten aus der Auswertung neue Zusammenhänge erschlossen werden." Bei entsprechendem Einsatz komme der Einsatz der in Frage stehenden Polizeitools einem "Profiling" nahe.

Je mehr durch die Datenanalysen über eine Person in Erfahrung gebracht werden könne und je höher die "Fehler- und Diskriminierungsanfälligkeit" sei, desto gravierender sind die Analysen. Auch die Nachvollziehbarkeit softwaregestützter Verknüpfungen fällt nach Ansicht der Richter ins Gewicht.

Gnadenfrist für HessenData

Beteuerungen, dass aktuell eine unbegrenzte Datenauswertung technisch noch gar nicht möglich sei, rettete die einmal mehr vor dem Verfassungsgericht gescheiterten Landesgesetzgeber nicht. "Selbst wenn Funktionsweiterungen erst infolge weiterer technischer Entwicklungen möglich sind, richten sich die verfassungsrechtlichen Anforderungen grundsätzlich nach den rechtlich schon jetzt geschaffenen Eingriffsmöglichkeiten," urteilte Karlsruhe. Der Versuch der Vertreter aus Hamburg, "durch Verwendung des Wortes "Datenauswertung" anstelle des Wortes "Datenanalyse" zu weitgehende Anwendungen auszuschließen, reicht verfassungsrechtlich auch nicht, unterstrich der Vorsitzende Richter.

Hamburgs bislang noch nicht zum Einsatz gekommene Regel kippten die Richter mit sofortiger Wirkung. Für HessenData, das laut dem Richterspruch bereits tausendfach eingesetzt wird, gaben sie noch eine Gnadenfrist bis 30. September 2023. Bis dahin müssen die Landesgesetzgeber die fein ziselierten Differenzierungen zu Eingriffstiefen ihrer Analyse-Software und den abzudeckenden Tatbeständen neu fassen.

"Die Klage der Gesellschaft für Freiheitsrechte hat das Risiko deutlich reduziert, dass unbescholtene Bürgerinnen und Bürger ins Visier der Polizei geraten. Unsere strategische Prozessführung wirkt", freute sich Bijan Moini, Leiter des Legal Teams der Gesellschaft für Freiheitsrechte (GFF). Die GFF hatte zusammen mit der Humanistischen Union und weiteren Organisationen und Einzelpersonen geklagt. Das Urteil ist nach Ansicht der Beschwerdeführer ein wichtiger Meilenstein, denn die Debatte um die Automatisierung der Polizeiarbeit habe gerade erst begonnen.

Auch Bayern will Palantir-Software

Tatsächlich blickte auch das Bayerische Innenministerium heute nach Karlsruhe. Bayern hat im vergangenen Jahr ebenfalls die Software Gotham des US-Anbieters Palantir für das geplante Projekt VeRA (Verfahrensübergreifende Recherche- und Analyseplattform) ausgewählt. Mitte Januar kündigte Bayern Innenminister Hermann an, man werde erst nach dem Karlsruher Urteil eine Rechtsgrundlage im Bayerischen Polizeigesetz für den Gotham Einsatz schaffen.

Während die vorangegangenen Polizeiaufgabengesetze aus Bayern noch auf den Tischen der Verfassungsrichter in München und Karlsruhe liegen, will man sich dieses Mal besser absichern. Für das um die Datenanalysen erweiterte PAG3.0 hat man nicht zuletzt auf Drängen der Opposition in Bayern für 430.000 Euro eine Studie beim Fraunhofer Institut SIT in Auftrag gegeben. Die soll das Risiko von Datenabflüssen aus dem auf Gotham basierenden VeRA abschätzen. Die Studie ist laut Innenminister Winfried Hermann fertig und wird in der zweiten Februarwoche dem zuständigen Ausschuss im Bayerischen Landtag vorgestellt. Dann kann auch hier der Gesetzgebungsprozess starten. Das Bundesland Nordrhein-Westfalen setzt die Software ebenfalls bereits ein.

Gefahr eines Monopols?

Das bayerische Ausschreibungsverfahren ist bedeutsam, weil dabei ein Rahmenvertrag für den Einsatz der Gotham-Analysetools für die Polizeibehörden der Länder und des Bundes ausgehandelt wurden. Damit würde Palantir zu einem fast schon monopolartigen Anbieter für die Datenanalysen in Deutschland, und auch in Europa ist der Anbieter gut im Geschäft.

Zur Kundschaft gehört auch Europol, gegen dessen neue Big Data Praxis aktuell der Europäische Beauftragte für Datenschutz (EDPS) vom Europäischen Gerichtshof prüfen lässt. Denn Europol hatte sich die vom EDPS gerügte Praxis, große Datensätze der Mitgliedsstaaten zum Zwecke von Analysen längerfristig zu speichern, durch eine neue Verordnung absegnen lassen. Diese hatte rückwirkend die nicht Datenschutz-konforme Praxis legalisiert.

(axk)