Aufsatz : Datamining in der Strafjustiz? : aus der RDV 3/2023 Seite 147 bis 152
Zur Bedeutung der aktuellen verfassungsgerichtlichen Rechtsprechung zur automatisierten Datenverarbeitung in der Gefahrenabwehr für die Strafverfolgungspraxis
Mit seinem Urt. v. 16.02.2023[1] hat der erste Senat des Bundesverfassungsgerichts die Regelungen in Hessen (§ 25a Abs. 1 Alt. 1 HSOG) und Hamburg (§ 49 Abs. 1 Alt. 1 HmbPolDVG) zur automatisierten Datenanalyse oder -auswertung aus aggregierten Quellen („Datamining“) für die vorbeugende Bekämpfung von Straftaten und die Gefahrenabwehr allgemein für verfassungswidrig erklärt. Grund für die Verfassungsbeschwerde war die Rüge, die Weite der polizeirechtlichen Regelungen öffne ungerechtfertigten Eingriffen in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) Tür und Tor. Das BVerfG hat den Beschwerdeführern – zumindest teilweise – recht gegeben und § 25a Abs. 1 Alt. 1 HSOG für mit der Verfassung für unvereinbar erklärt, wobei die Norm bis zur Neuregelung noch eingeschränkt fortgelten soll, und § 49 Abs. 1 Alt. 1 HmbPolDVG für verfassungswidrig und nichtig erklärt.[2] Zwar sei die automatisierte Datenanalyse oder -auswertung „zur vorbeugenden Bekämpfung schwerer Straftaten” grundsätzlich legitim. Beide Regelungen seien aber „mangels ausreichender Eingriffsschwelle” unverhältnismäßig.[3]
Die Bedeutung des Urteils geht dabei weit über den Bereich der gefahrenabwehrenden Datenanalyse auf Basis des Polizeirechts hinaus. Denn das BVerfG setzt einen allgemeinen Rechtsrahmen, der auch für den Bereich der Strafverfolgung maßstäblich sein dürfte. Daher sind die Kernaussagen des komplexen Judikats herauszuarbeiten (I.) und zu der technischen Wirklichkeit in Verhältnis zu setzen (II.). Schließlich ist zu klären, ob und in welchen Fällen Datamining im strafprozessualen Kontext eingesetzt werden kann und soll (III.).
I. Zu den Kernaussagen des Urteils
Das Recht auf informationelle Selbstbestimmung leitet sich aus dem allgemeinen Persönlichkeitsrecht ab und schützt die „Befugnis der Einzelnen (…) selbst über die Preisgabe und Verwendung persönlicher Daten zu bestimmen“.[4]
Die beiden Regelungen aus Hessen und Hamburg greifen laut Erstem Senat in zweierlei Weise in die informationelle Selbstbestimmung derjenigen ein, deren Daten personenbezogen genutzt werden: Zunächst werde durch die Nutzung der Daten über den ursprünglichen Anlass der Datenerhebung hinaus ein neuer Grundrechtseingriff begründet, was eine eigene Rechtfertigung voraussetze.[5] Ein zweiter Eingriff liege darin, dass durch die Datenanalyse oder -auswertung gänzlich neues Wissen gewonnen werden könne.[6]
Ein Eingriff in die informationelle Selbstbestimmung kann verfassungsgemäß sein, solange er durch ein hinreichend bestimmtes Gesetz erfolgt, das im Einklang mit dem Prinzip der Verhältnismäßigkeit steht.[7] Am legitimen Zweck, der Geeignetheit oder der Erforderlichkeit scheitert es hier nicht. Das Problem liegt laut dem BVerfG darin, dass keine hinreichenden Rechtfertigungsanforderungen basierend auf dem Eingriffsgewicht normiert wurden.[8]
Maßstab für die Rechtfertigung ist das Eingriffsgewicht.[9] Je schwerer der Eingriff wiegt, desto höher sind die Anforderungen an die Rechtfertigung. Das Gewicht des Eingriffs ist dabei selbst an zweierlei Anknüpfungspunkten zu messen: Zum einen, ist das Eingriffsgewicht an dem Gewicht der vorausgegangenen Datenerhebungseingriffe zu messen.[10] Zum anderen, ist auch das Eigengewicht der Datenanalyse/-auswertung zu berücksichtigen.[11]
1. Rechtfertigungsanforderungen: Gewicht der vorausgehenden Datenerhebungseingriffe
Die Rechtfertigungsanforderungen basierend auf dem Eingriffsgewicht der vorausgehenden Datenerhebung richten sich nach den Grundsätzen der Zweckbindung und Zweckänderung.[12] Dies bedeutet konkret, dass der Gesetzgeber sowohl eine zweckwahrende Weiternutzung der Daten „im Rahmen der für die Datenerhebung maßgeblichen Zwecke” vorsehen darf, als auch eine zweckändernde Weiternutzung.[13]
a) Zweckwahrende Weiternutzung
Bei einer zweckwahrenden Weiternutzung richtet sich die Reichweite der erlaubten Nutzung nach der Ermächtigung für die ursprüngliche Datenerhebung.[14] Vorausgesetzt wird also, dass die Daten im selben Aufgabenkreis, zur Verfolgung oder Verhütung derselben Straftaten und zum Schutz derselben Rechtsgüter genutzt werden, wie es die Datenerhebungsvorschrift erlaubt.[15] Nicht notwendig sei dabei die Erfüllung der „für die Datenerhebung maßgeblichen Anforderungen an Eingriffsschwellen, wie sie traditionell die hinreichend konkretisierte Gefahrenlage im Bereich der Gefahrenabwehr und ein qualifizierter Tatverdacht im Bereich der Strafverfolgung darstellen”.[16] Diese Erfordernisse bestimmen lediglich die Erlaubnis der Datenerhebungsmaßnahme, nicht die Nutzung selbst. Damit können Daten auch als „Spurenansatz“ verwendet werden.[17]
Ausgenommen davon sind Daten, die im Rahmen von eingriffsintensiveren Datenerhebungsmaßnahmen erlangt worden sind, wie beispielsweise bei Wohnraumüberwachungen und durch Online-Durchsuchungen.[18] In diesen Fällen hält das BVerfG an der für die Datenerhebung erforderlichen und im Einzelfall hinreichend konkretisierten Gefahr als Nutzungsvoraussetzung fest.[19] Zudem wird in diesen Fällen eine besonders enge Bindung an die Voraussetzungen und Zwecke der Datenerhebung verlangt.[20]
b) Zweckändernde Nutzung
Das BVerfG sieht grundsätzlich auch eine zweckändernde Weiternutzung als zulässig an. Das Gewicht des Eingriffs der Datenerhebung dient hier als Orientierungshilfe für das Gewicht, das der Nutzung zu anderen Zwecken zukommt. Das BVerfG legt hier den Maßstab der hypothetischen Datenneuerhebung an.[21] Voraussetzung für eine Zweckänderung sei demnach, dass die neue Nutzung der Daten dem Schutz von Rechtsgütern oder der Aufdeckung von Straftaten eines solchen Gewichts dient, die verfassungsrechtlich ihre Neuerhebung mit vergleichbar schwerwiegenden Mitteln rechtfertigen könnten.[22] Die Eingriffsschwelle der Datenerhebung ist dabei jedoch nicht notwendigerweise identisch mit der Eingriffsschwelle für die Nutzung hinsichtlich des Konkretisierungsgrades der Gefahrenlagen respektive des Tatverdachts.[23] Es reicht aus, dass sich „im Einzelfall konkrete Ermittlungsansätze zur Aufdeckung von vergleichbar gewichtigen Straftaten oder zur Abwehr von zumindest auf mittlere Sicht drohenden Gefahren für vergleichbar gewichtige Rechtsgüter wie die ergeben, zu deren Schutz die entsprechende Datenerhebung zulässig ist”.[24]
Ausgenommen davon sind auch hier Daten, die durch eingriffsintensive Maßnahmen, wie Wohnraumüberwachungen und Online-Durchsuchungen, erlangt worden sind. Die Nutzung dieser muss – wie die Datenerhebung selbst – „durch eine dringende Gefahr oder eine im Einzelfall hinreichend konkretisierte Gefahr gerechtfertigt sein”.[25]
2. Rechtfertigungsanforderungen: Eigengewicht der Datenanalyse oder -auswertung
Die Weiterverarbeitung von Daten durch automatisierte Analyseverfahren kann laut dem BVerfG originäre Belastungseffekte haben, die über das Eingriffsgewicht der Datenerhebung und Weiternutzung hinausreichen können.[26] Zwar benutzen Behörden ihre einmal gewonnenen Erkenntnisse regelmäßig als Ausgangspunkt für weitere Ermittlungen. Die automatisierte Datenauswertung verarbeite allerdings größere und komplexere Informationsbestände. Auch die Gewinnung neuer und persönlichkeitsrelevanter Informationen sei je nach Analysemethode möglich und damit eine intensivere Datenerschließung als zuvor.[27] Aus diesen Gründen soll der automatisierten Datenanalyse ein eigenes Eingriffsgewicht zukommen, das besondere Rechtfertigungsanforderungen stellt.[28]
Die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse variieren je nach Eingriffsintensität.[29] Als Kriterien für die Gewichtung des Eingriffs und die daraus resultierenden Rechtfertigungsanforderungen benennt das BVerfG die Art, den Umfang, die denkbare Verwendung der Daten und die Gefahr ihres Missbrauchs.[30] Maßgebend seien die Gestaltung der Eingriffsschwellen, die Zahl der Betroffenen und die Intensität der individuellen Beeinträchtigung im Übrigen.[31] Als besonders eingriffsintensiv stuft der Senat Maßnahmen ein, bei denen die Möglichkeit besteht, dass ein Bewegungs- oder Verhaltensprofil oder ein umfassendes Persönlichkeitsbild entstehen kann.[32] Dadurch erhöhe sich auch das Risiko für objektiv Unbeteiligte, Ziel polizeilicher Maßnahmen zu werden. Als Faktoren für die Gewichtung der individuellen Beeinträchtigung benennt das BVerfG die Anonymität der Betroffenen, den Persönlichkeitsbezug der erhobenen Daten und die drohenden oder nicht grundlos befürchteten Nachteile der Maßnahme.[33] Als besonders eingriffsintensivierende Faktoren wertet es zudem die Heimlichkeit einer Eingriffsmaßnahme, die faktische Verwehrung vorherigen und die Erschwerung nachträglichen Rechtsschutzes.[34]
Je schwerer ein Eingriff in die informationelle Selbstbestimmung aufgrund der obigen Faktoren wiegt, desto strenger sind die Rechtfertigungsanforderungen.[35] Es soll sich deshalb bei besonders schweren Eingriffen, die beispielsweise das Erstellen von Verhaltensprofilen ermöglichen, an den engen Voraussetzungen orientiert werden, „wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten”.[36] Das bedeutet zunächst, dass ein besonders schwerer Eingriff nur dann gerechtfertigt ist, wenn er dem Schutz besonders gewichtiger Rechtsgüter dient, wie „Leib, Leben und Freiheit der Person sowie Bestand oder Sicherheit des Bundes oder eines Landes” oder dem „Schutz von Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, sofern darunter einem engen Verständnis folgend etwa wesentliche Infrastruktureinrichtungen oder sonstige Anlagen mit unmittelbarer Bedeutung für das Gemeinwesen gefasst werden”.[37] Zudem sei auch der Maßnahmenanlass in diesem Fall streng zu begrenzen.[38] In Betracht kommt bei besonders schwerwiegenden Eingriffen als Eingriffsschwelle nur die hinreichend konkretisierte Gefahr.[39] Das BVerfG lässt dem Gesetzgeber dafür bei Eingriffen unterhalb dieser Schwelle offen, welche Eingriffsschwelle er normiert: Setzt man eine konkretisierte Gefahr allgemein als Eingriffsschwelle voraus, so können sowohl schwerwiegende Eingriffe zum Schutz gewichtiger Rechtsgüter als auch weniger gewichtige Eingriffe zugunsten von Rechtsgütern von zumindest erheblichem Gewicht gerechtfertigt sein.[40] Umgekehrt heißt das: Sofern die Maßnahme dem Schutz hochrangiger, überragend wichtiger oder auch besonders gewichtiger Rechtsgüter dient, genügt eine Eingriffsschwelle, die noch hinter der konkretisierten Gefahr zurückbleibt, solange es nicht um besonders schwere Eingriffe geht.[41] Bei Reduzierung der einziehbaren Daten nach Umfang sowie der Möglichkeiten der Auswertung und Analyse in einer Weise, dass der persönliche Lebensbereich nicht betroffen ist – etwa bei der Identifizierung von gefährlichen Orten ohne Generierung von personenbezogenen Daten – genüge dabei sogar eventuell bereits der Grundsatz der Zweckbindung.[42]
Eine erste Idee der gesetzlichen Umsetzung dieser Maßgaben liefert das BVerfG selbst. Bis zur Neuregelung des § 25a Abs. 1 Alt. 1 HSOG müssen sich die hessischen Behörden auf grund der besonderen Weite der Norm an eine ganze Reihe von Voraussetzungen halten.[43] Eine Datenanalyse nach § 25a dürfe nur dann erfolgen, wenn:
- „bestimmte, genügend konkretisierte Tatsachen den Verdacht begründen, dass eine besonders schwere Straftat im Sinne von § 100b Abs. 2 der Strafprozessordnung begangen wurde”,[44]
- „aufgrund der konkreten Umstände eines solchen im Einzelfall bestehenden Verdachts für die Zukunft mit weiteren, gleich gelagerten Straftaten zu rechnen ist, die Leib, Leben oder den Bestand oder die Sicherheit des Bundes oder eines Landes gefährden”,[45]
- „wenn das Vorliegen dieser Voraussetzungen und die konkrete Eignung der verwendeten Daten zur Verhütung der zu erwartenden Straftat durch eigenständig auszuformulierende Erläuterung begründet wird”[46] und
- „wenn sichergestellt ist, dass keine Informationen in die Datenanalyse einbezogen werden, die aus Wohnraumüberwachung, Online-Durchsuchung, Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden”.[47]
II. Möglichkeiten und Grenzen der Technik
Von besonderer Bedeutung für die Rechtmäßigkeit des Datamining ist damit die technische Ausgestaltung des eingesetzten Analyseprozesses. Denn die Eingriffsintensität einer automatisierten Datenverarbeitung kann reduziert werden, indem sowohl Art und Umfang der Daten als auch der Verarbeitungsmethoden begrenzt werden.
Was Art und Umfang der Daten betrifft, so lässt sich die Eingriffsintensität etwa dadurch reduzieren, dass Regeln über die Herkunft der Daten spezifiziert werden, also beispielsweise ausschließlich Daten aus vorab definierten Quellsystemkategorien in die Analyse einfließen oder indem Daten aus besonders sensiblen Quellsystemen nur unter besonderen Umständen in die Analyse integriert werden. Dies ist technisch – auch in der verfahrensgegenständlichen Software von Palantir – ohne weiteres möglich, setzt aber grundsätzlich voraus, dass Datenherkünfte klar gekennzeichnet sind. Dabei kann zwischen polizeilichen Informationssystemen und föderierten Datenquellen, wie etwa den Daten des Einwohnermeldeamts, differenziert werden. Letztere dürfen nur auf Anfrage und im Einzelfall in die Plattform importiert werden.[48]
Eine klare und einheitliche Kennzeichnung von Daten ist u.a. für die Vergabe von Zugriffsberechtigungen von besonderer Bedeutung.[49] In Palantir-Systemen helfen sogenannte Markings bei der Kennzeichnung sowohl von Herkunft als auch Art der Daten. Sofern zwischen verschiedenen Datenquellen vorab gemäß ihrer jeweiligen Eingriffsintensität unterschieden wird, können Markings diese Klassifizierung über die Datenverarbeitung hinweg kommunizieren. Darüber hinaus können Markings auch auf Objekt- bis hin zur Attributsebene verteilt werden. So werden personenbezogene Daten in der Analyse als Personenobjekte dargestellt, denen bestimmte Attribute (z.B. Haarfarbe, Augenfarbe, aber auch Adresse, Telefonnummer, etc.) zugewiesen sind.
Dies ermöglicht auch eine hochdifferenzierte und nachvollziehbare Verteilung von Zugriffsberechtigungen. So führt das Gericht aus, es sei „unerlässlich, dass eigenständig ausformulierte Begründungen dafür gegeben werden, warum bestimmte Datenbestände zur Verhütung bestimmter Straftaten im Wege automatisierter Anwendung analysiert werden”.[50] Die Erfüllung dieser Bedingung kann technisch unterstützt werden. In Palantir-Systemen müssen Ermittelnde bei jeder Nutzung angeben, auf welcher Rechtsgrundlage ihre Analyse basiert bzw. in welchem Straftatbestand sie sich mit ihrer Analyse befinden. Diese technische Kontrollinstanz kann von Behörden ihren jeweiligen rechtlichen und organisatorischen Anforderungen gemäß konfiguriert werden. So können bei Bedarf nicht nur vorgegebene Auswahlmöglichkeiten genutzt, sondern auch Freitext-Felder hinzugefügt werden, in denen Ermittelnde gefragt sind, zusätzliche Begründungen für die bezweckte Ermittlung zu ergänzen. Zugriffsberechtigungen werden ausschließlich im Einklang mit den angegebenen Zwecken verteilt, einschließlich auf Informationen aus besonders eingriffsintensiven Erhebungen. Die Erteilung von Zugriffsberechtigungen erfolgt dabei in zwei Schritten: Erstens nach Maßgabe der Einschränkung des Zugriffs je nach angegebenem Ermittlungszweck und zweitens basierend auf der jeweils individuell maximalen Berechtigung des Ermittelnden. Das Hinzufügen zusätzlicher Datenquellen, beispielsweise, wenn sich eine Ermittlung für schwere Kriminalität tatsächlich als ein Fall für den polizeilichen Staatsschutz oder als einer der organisierten Kriminalität herausstellt, bedarf wiederum zusätzlicher Begründung. Die von den Ermittelnden angegebenen Begründungen und alle Aktionen eines Nutzenden innerhalb der Plattform werden protokolliert, sodass im Nachhinein nachvollzogen werden kann, ob die vollzogenen Aktionen in Einklang mit der Begründung standen. Die Protokolle können etwa von Datenschutzbeauftragten im Nachgang geprüft werden, was wiederum die Transparenz der Datenverarbeitung erhöht und die aufsichtliche Kontrolle erleichtert. Die diesbezüglichen Forderungen des BVerfG sind somit grundsätzlich umsetzbar.
Was die Art der Datenverarbeitung betrifft, liegt der größte Mehrwert einer automatisierten Verarbeitung von Daten für Ermittelnde in der Prozessoptimierung und Beschleunigung bereits bestehender Arbeitsschritte, wie etwa der Automatisierung des einfachen Datenabgleichs, der „regelmäßig Datenbestände zusammen[bringt], um Übereinstimmungen der Daten festzustellen oder Daten des einen Bestands in den anderen zu überführen”.[51] Dadurch wird eine schnelle und gezielte Suche ermöglicht, basierend auf einem „nachvollziehbaren Suchbegriff und Verdächtigen”.[52] In Palantir-Systemen können darüber hinaus auch sogenannte Feeds über Verdächtige erstellt werden, die Ermittelnde automatisch darüber informieren, sobald neue ermittlungsrelevante Daten vorliegen. Dabei können administrative Regeln darüber erstellt werden, mit welcher Regelmäßigkeit die Notwendigkeit des Weiterbestehens eines Feeds überprüft wird. Eine Suche, die ausschließlich darauf abzielt „statistische Auffälligkeiten in den Datenmengen zu entdecken”,[53] kann insofern relevant sein, wenn sie es Ermittelnden ermöglicht, ein deliktsbezogenes Lagebild zu erstellen, beispielsweise um ortsspezifische Muster bei Wohnungseinbrüchen zu erkennen. In dem Fall handelt es sich aber um phänomenbezogene, nicht personenbezogene Suchen, ähnlich der vom BVerfG mit einer geringeren Eingriffsintensität verbundenen Erkennung gefährlicher oder gefährdeter Orte.[54]
Besonders komplex sind Fragen des Einsatzes Künstlicher Intelligenz (KI). Die Verwendung „selbstlernender Systeme” kann in begrenzten Anwendungsbereichen sachgerecht sein, etwa zum automatisierten Bildabgleich auf Missbrauchsdarstellungen im Bereich der Verfolgung von Straftaten des dreizehnten Abschnitts des Besonderen Teils des Strafgesetzbuchs. Andere Fälle betreffen reine Unterstützungsleistungen, etwa bei einer automatisierten Übersetzung. In beiden Kontexten bedarf es indes der fachlich qualifizierten und kritischen Überprüfung der Ergebnisse der KI durch eine menschliche Instanz. Angesichts des derzeitigen Leistungsvermögens Künstlicher Intelligenz und den ihrer Nutzung inhärenten grundrechtlichen Fragestellungen dürfte eine automatisierte Verarbeitung von Daten, um „Gefährlichkeitsaussagen über Personen im Sinne eines ‚predictive policing’” zu treffen, kaum sachgerecht erscheinen.[55]
III. Strafprozessualer Kontext
Aus technischer Sicht dürfte damit der Handlungsrahmen der verfassungsgerichtlichen Rechtsprechung abbildbar sein. Ob er auch in der Strafverfolgungspraxis abgebildet werden kann, erscheint höchst unsicher. Dies gilt zunächst mit Blick auf die praktische Leistungsfähigkeit der informationstechnischen Ausstattung der Strafverfolgungsbehörden. Die Vorgaben des BVerfG verlangen im Ergebnis eine umfassende Mikrokategorisierung aller Daten über deren gesamte behördliche Lebenszeit. Denn nur so kann das komplexe Verhältnis zwischen Datenherkunft und Datenverwendung in jedem Einzelfall verfassungskonform austariert werden. Dies gilt nicht nur für die in einen Datenverarbeitungsvorgang einfließenden, sondern auch die aus ihm generierten Erkenntnisse.[56] In dieser besonderen Granularität der verfassungsgerichtlichen Vorgaben liegt eine erhebliche Sprengkraft für die Ausgestaltung der behördlichen Informationshaltung. Soweit diese die Anforderungen des Gerichts bislang nicht – in praxi nicht einmal annähernd – abbilden, könnte und sollte sich die verfassungsrechtliche Rechtsprechung als Innovations- und Modernisierungstreiber entpuppen. So hält etwa das „White Paper“ zum polizeilichen IT-Modernisierungsprogramm „Polizei 20/20“ fest, der Grundsatz der hypothetischen Datenneuerhebung sei als zentrales Element des Urteils des Bundesverfassungsgerichts – gemeint ist das Urteil des Ersten Senats vom 20. April 2016 – 1 BvR 966/09 – effektiv und effizient in der zu entwickelnden IT-Architektur Polizei 2020 umzusetzen.[57] Gleichzeitig bekennt es zutreffend, „die Anforderungen, die sich aus dem Urteil des Bundesverfassungsgerichts ergeben, insbesondere der Aspekt der hypothetischen Datenneuerhebung, können nicht mit vertretbarem Aufwand in der bestehenden IT-Struktur [der] Polizeien von Bund und Ländern umgesetzt werden.“[58] Durch die Ergänzungen des aktuellen Urteils unter der Perspektive der automatisierten Datenauswertung dürfte der Innovationsbedarf für die polizeilichen und strafverfolgungsbehördlichen Infrastrukturen insgesamt weiter zunehmen.
Die Verfügbarkeit moderner Anwendungen für eine automatisierte Datenanalyse wird dabei für die Strafrechtspraxis zunehmend bedeutsam. Dies gilt vor allem für datengetriebene Deliktsphänomene etwa aus dem Bereich der Cyberkriminalität. Prägend für den Bereich der organisierten und der (dritt-)staatlich induzierten Cyberkriminalität ist neben ihrem strukturierten und arbeitsteiligen Aufbau das hohe Maß an technischer Abschottung und Anonymisierung respektive Pseudonymisierung in allen Tathandlungen. Je mehr Datenquellen und Datenpunkte für eine Auswertung zur Verfügung stehen, umso höher ist die Wahrscheinlichkeit eine identifizierungsfähige Spur zu entdecken. Den „Vorgang der automatisierten Datenanalyse oder -auswertung methodisch einem einfachen Datenabgleich“ anzunähern,[59] mag die Eingriffsintensität deutlich reduzieren. Es reduziert jedoch auch und vor allem die Wahrscheinlichkeit eines kriminalistischen Mehrwerts der automatisierten Datenanalyse.
Daher gilt es für die Strafverfolgungsbehörden vor allem, denjenigen Grenzbereich auszuloten, in dem die verfassungsrechtlichen Vorgaben erfüllt werden können und gleichwohl ein fachlicher Erkenntnisgewinn realistisch erscheint. Die zahlreichen „Je-desto“ – Kriterien des BVerfG erleichtern diese Positionsbestimmungen nicht. Auch die Strafprozessordnung bietet wenig Orientierung. Es mangelt an einer konkreten Befugnisnorm, die das Datamining als zulässige Ermittlungsmaßnahme auswiese. Soweit § 98c StPO den maschinellen Abgleich mit vorhandenen Daten gestattet, kann – korrespondierend mit den sehr niedrigen Eingriffsschwellen der Norm – der grundrechtsintensive Eingriff des Dataminings nicht hierauf gestützt werden.[60] Der in seinen Voraussetzungen restriktivere § 98a StPO knüpft an ein spezifisches Verdächtigenprofil an[61] und wird damit ebenfalls dem Anwendungsfall einer automatisierten Datenanalyse nicht gerecht. Auch der Bund sieht sich – wenn er den Strafverfolgungsbehörden das Instrument der automatisierten Datenanalyse erschließen will – damit denselben Anforderungen gegenüber, denen sich der hessische und der hamburgische Gesetzgeber werden stellen müssen.
IV. Fazit
Ob ein „Datamining“-Tatbestand in dem vom Bundesverfassungsgericht gesetzten Rahmen jedoch sinnvoll umgesetzt werden kann, darf mit Blick auf die Vorgaben des Gerichts für die einstweilige Fortgeltung der hessischen Norm bezweifelt werden. Das Anknüpfen an den Tatbestandskatalog des § 100b Abs. 2 StPO ist dabei eine sachgerechte und praxisnahe Eingrenzung der Anwendungsfälle. Erhebliche Bedenken bestehen jedoch in Bezug auf die Vorgabe, dass keine Informationen in die Datenanalyse einbezogen werden dürfen, die aus Wohnraumüberwachung, Online-Durchsuchung, Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden.[62] Mit einer Eingrenzung dieser Reichweite und Pauschalität stürbe das Instrument den stillen Tod der Bedeutungslosigkeit.
Markus Hartmann ist Leitender Oberstaatsanwalt bei der Generalstaatsanwaltschaft Köln und Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW).
Paula Cipierre leitet den Bereich Datenschutz und Datenethik bei Palantir Technologies.
Leonie Beeck ist Studienpraktikantin bei der ZAC NRW und Absolventin des Bachelorstudiengangs im englischen und deutschen Recht am University College London und der Universität zu Köln.
[1] 1 BvR 1547/19, 1 BvR 2634/20, abrufbar unter https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2023/02/rs20230216_1bvr154719.html.
[2] Ebd., (175, 177).
[3] Becklink 2026158, beck-online, 1 BvR 1547/19, (173).
[4] Schmidt, in: ErfK GG, 23. Aufl. 2023, Art. 2 Rn. 41; 1 BvR 3309/13, (56), abrufbar unter https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2016/04/rs20160419_1bvr330913.html.
[5] 1 BvR 1547/19 (50).
[6] Ebd.
[7] Schmidt, in: ErfK GG, 23. Aufl. 2023, Art. 2 Rn. 41.
[8] Vgl. 1 BvR 1547/19 (53, 54).
[9] Ebd., (54).
[10] Ebd.
[11] Ebd
[12] Vgl. 1 BvR 209/83; 1 BvR 1547/19, (55).
[13] 1 BvR 1547/19, (55).
[14] Ebd., (57).
[15] Ebd
[16] Ebd., (58).
[17] 1 BvR 1547/19
[18] Ebd., (59).
[19] Ebd.
[20] Ebd.
[21] 1 BvR 966/09, abrufbar unter: https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2016/04/rs20160420_1bvr096609.html.
[22] 1 BvR 1547/19, (62).
[23] Ebd.
[24] Ebd., (63).
[25] Ebd., (64).
[26] 1 BvR 1547/19, (66).
[27] Ebd., (69).
[28] Ebd., (70)
[29] Ebd., (71)
[30] Ebd., (76).
[31] Ebd
[32] Ebd., (77)
[33] Ebd., (76).
[34] Ebd
[35] Ebd., (73-75).
[36] Ebd., (104).
[37] 1 BvR 1547/19, (105)
[38] Ebd., (106)
[39] Ebd.
[40] Ebd., (107)
[41] Ebd.
[42] Ebd., (108).
[43] Ebd., (176).
[44] Ebd.
[45] Ebd.
[46] Ebd.
[47] 1 BvR 1547/19, (176).
[48] Ebd., (88).
[49] Ebd., (109).
[50] Ebd., (118).
[51] 1 BvR 1547/19, (91).
[52] Ebd., (93).
[53] Ebd.
[54] Ebd., (97)
[55] 1 BvR 1547/19, (147)
[56] Ebd., (99).
[57] White Paper Polizei 2020, S. 6; abrufbar unter https://www.bmi.bund.de/DE/themen/sicherheit/programm-p20/programm-p20-node.html.
[58] Ebd., S. 3
[59] 1 BvR 1547/19, (91).
[60] Gerhold, in: BeckOK StPO, 46. Ed. 01.01.2023, § 98c Rn. 11
[61] Gerhold, in: BeckOK StPO, 46. Ed. 01.01.2023, § 98a Rn. 8.
[62] 1 BvR 1547/19, (176).