BVerfG zur automatisierten Datenanalyse
In einem Urteil des BVerfG vom 16.02.2023 (1 BvR 1547/19, 1 BvR 2634/20) hatte sich der erste Senat mit der Verfassungsmäßigkeit von datenschutzrechtlichen Regelungen aus Hessen und Hamburg zur automatisierten Datenanalyse zu befassen. Dabei musste sich das Gericht schwerpunktmäßig mit der Frage beschäftigen, ob die landesrechtlichen Vorschriften in unverhältnismäßiger Weise in das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 I GG iVm Art. 1 I GG eingreifen. Mit Blick auf die Prüfungsrelevanz des allgemeinen Persönlichkeitsrechts im ersten Staatsexamen eignet sich die Entscheidung hervorragend für eine Klausur im Öffentlichen Recht.
I. Der Sachverhalt (gekürzt)
Im Hessischen Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) und im Hamburgischen Gesetz über die Datenverarbeitung der Polizei (HmbPolDVG) existieren Normen, welche die Polizei ermächtigen, in verschiedenen Datenbanken gespeicherte, aber bisher nicht miteinander verbundene personenbezogene Daten zur vorbeugenden Bekämpfung von Straftaten durch eine automatisierte Anwendung im Rahmen einer Datenanalyse zu vernetzen und weiter zu verarbeiten. Anstatt die einzelnen Datenbanken manuell zu durchsuchen, kann die automatisierte Datenanalyse dafür sorgen, dass Zusammenhänge zwischen den Datenbeständen aus den Datenbanken hergestellt und Muster herausgearbeitet werden. § 25a HSOG lautet auszugsweise wie folgt:
„§ 25a HSOG – Automatisierte Anwendung zur Datenanalyse
(1) Die Polizeibehörden können in begründeten Einzelfällen gespeicherte personenbezogene Daten mittels einer automatisierten Anwendung zur Datenanalyse weiterverarbeiten zur vorbeugenden Bekämpfung von in § 100a Abs. 2 der Strafprozessordnung genannten Straftaten oder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, oder wenn gleichgewichtige Schäden für die Umwelt zu erwarten sind.
(2) Im Rahmen der Weiterverarbeitung nach Abs. 1 können insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, die eingehenden Erkenntnisse zu bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.
[…]“
§ 49 HambPolDVG ist dieser Vorschrift weitegehend wortlautgetreu nachgebildet, sodass dessen Wortlaut an dieser Stelle nicht wiedergegeben werden muss.
In Hamburg wurde bisher noch kein System zur automatisierten Datenanalyse etabliert, weshalb § 49 HambPolDVG noch keine praktische Anwendung erfahren hat. Anders ist die Situation in Hessen, wo seit 2017 eine Software des CIA-nahen Unternehmens „Palantir“ mit dem Namen „HessenDATA“ (Originalname: „Gotham“) zwecks Verhinderung von Straftaten präventiv zur Anwendung kommt. Die Software greift automatisiert auf verschiedene polizeiliche Datenbanken des Landes zu. Ein direkter Zugang auf soziale Netzwerke besteht mangels Anschlusses des Polizeinetzes an das Internet nicht. Ebenso wenig sind andere Datenbanken außerhalb Hessens, wie etwa Datenbanken anderer Länder, des Bundes oder andere öffentlich zugängliche Datenbanken automatisiert eingebunden. Entsprechende Informationen können jedoch trotz fehlender automatisierter Einbindung iRd gesetzlichen Möglichkeiten angefordert und sodann implementiert und somit Gegenstand der Datenanalyse werden. Nach den Ausführungen des Hessischen Ministeriums für Inneres und für Sport kommt die Software in etwa 14.000 Fällen pro Jahr zur Anwendung.
Auf Grund von Zweifeln an der Verfassungsmäßigkeit der Normen gingen beim BVerfG zwei Verfassungsbeschwerden ein. Dabei machen die Beschwerdeführer im Wesentlichen geltend, dass § 25a HSOG bzw. § 49 HmbPolDVG wegen der besonderen Eingriffsintensität mit dem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 I GG iVm Art. 1 I GG unvereinbar seien. Eine automatisierte Datenanalyse dürfe nur bei einem herausragenden öffentlichen Interesse und bei einer konkreten Gefahr für besonders gewichtige Rechtsgüter wie Leib, Leben oder Freiheit der Person, den Bestand oder Sicherheit des Bundes oder eines Landes erfolgen. Diesen Anforderungen tragen die landesrechtlichen Vorschriften jedoch nicht Rechnung, sodass deren Nichtigkeit die Folge seien müsse.
II. Die Entscheidung (gekürzt)
Das BVerfG erachtete die Verfassungsbeschwerden für zulässig, soweit sie sich gegen die Eingriffsschwelle in § 25a I Alt. 1 HSOG und § 49 I Alt. 1 HmbPolDVG für eine automatisierte Datenanalyse zur vorbeugenden Bekämpfung von Straftaten richten. Denn insoweit besteht jedenfalls die für die Beschwerdebefugnis ausreichende Möglichkeit, dass die in Rede stehenden Vorschriften die Beschwerdeführer selbst, gegenwärtig und unmittelbar in ihrem durch das allgemeine Persönlichkeitsrecht gewährleisteten Recht auf informationelle Selbstbestimmung aus Art. 2 I GG iVm Art. 1 I GG verletzen.
Im Rahmen der Begründetheit wurde sodann festgestellt, dass § 25a HSOG und § 49 HmbPolDVG in zweierlei Hinsicht in die Grundrechte derjenigen eingreift, deren Daten von dem Vorgang der automatisierten Datenanalyse betroffen sind. Zum einen liegt ein Eingriff in der erneuten Verwertung von früher erhobenen personenbezogenen Daten. Zum anderen führt die Zusammenführung von vorher getrennten Daten aber auch zur Erlangung neuen grundrechtsrelevanten Wissens. Damit einher geht ein weiterer Eingriff, der einer Rechtfertigung bedarf.
Zum Zwecke der Rechtfertigung wäre eine gesetzliche Ermächtigungsgrundlage erforderlich, die ihrerseits jedoch dem Verhältnismäßigkeitsgrundsatz und dem Kerngehalt des einzuschränkenden Grundrechts (Art. 2 I GG iVm Art. 1 I GG) Rechnung tragen muss (Stickwort Wechselwirkungslehre). Die grundrechtsbeschränkenden Normen (§ 25a I HSOG bzw. § 49 I Alt. 1 HmbPolDVG) müssten folglich verhältnismäßig sein, also einem legitimen Zweck dienen und zur Erreichung dieses Zwecks geeignet, erforderlich und angemessen sein. Ein legitimer Zweck liegt in der präventiven Bekämpfung von Straftaten. Unter Beachtung des Umstands, dass die automatisierte Datenanalyse dazu beitragen kann, polizeiliche Datenbestände unter Zeitdruck effektiv auszuwerten, ist sie zur Verfolgung des Zwecks auch geeignet. Weniger einschneidende Maßnahmen, die der Erforderlichkeit entgegenstünden, sind nicht ersichtlich, da insbesondere eine manuelle Datengewinnung unter Zeitdruck und unter Beachtung der Masse an Datenaufkommen in polizeilichen Datenbanken nur schwer denkbar ist.
Fraglich erscheint jedoch, ob die Regelungen auch angemessen sind. Um eine Angemessenheitsprüfung vornehmen zu können, muss jedoch zunächst die Intensität des Eingriffs bewertet werden, da die Angemessenheitsanforderungen gemessen an der Intensität des Eingriffs variieren. So können weniger gewichtige Eingriffe schon aus einem geringeren Anlass zu rechtfertigen sein, als besonders schwerwiegende Eingriffe. Es ist zwischen den eingangs geschilderten Eingriffen zu differenzieren.
Soweit es um die Wiederverwendung der zu einem früheren Zeitpunkt erhobenen Daten geht, so ist der in § 5 I lit. b EU-DSGVO niedergelegte Grundsatz der Zweckbindung und der Grundsatz der Zweckänderung zu beachten. Dabei besagt der Grundsatz der Zweckbindung, dass eine erhebungsberechtigte Behörde die gewonnenen Daten im Rahmen der ursprünglichen Zwecksetzung und zur Verfolgung oder Verhütung derselben Straftat wiederverwenden darf. Sollen die Daten hingegen zu anderen Zwecken genutzt werden, so ist die Zweckänderung an den Grundrechten zu messen, die für die Datenerhebung maßgeblich waren, wobei das Kriterium der hypothetischen Datenneuerhebung herangezogen werden kann. Im konkreten Fall hält es das BVerfG jedoch für problematisch, dass für die automatisierte Datenanalyse behördenübergreifend auf Datenbestände zurückgegriffen wird. Wenn jedoch eine Behörde Daten verwendet, die von einer anderen Behörde erhoben worden sind, hat dies zwangsläufig eine Zweckänderung zur Folge. Es gelten damit die strengeren Rechtfertigungsanforderungen. Ob diese tatsächlich gewahrt worden sind war durch das BVerfG jedoch nicht zu prüfen, da es in dieser Hinsicht an einer Rüge der Beschwerdeführenden fehlte.
Gerügt wurde nur, dass das Zusammenfassen der Daten und die dadurch ermöglichte Kenntniserlangung in unverhältnismäßigem Maße in Art. 2 I GG iVm Art. 1 I GG eingreife. Somit musste vom BVerfG auch nur diesbezüglich die Intensität des Eingriffs herausgearbeitet werden, um sodann den Maßstab für die Angemessenheitsprüfung ermitteln zu können. Dabei nennt das BVerfG mehrere Indikatoren zur Feststellung einer besonderen Intensität des Eingriffs. Beachtlich ist, ob die konkrete Ausgestaltung der automatisierten Datenanalyse über die klassische Polizeiarbeit hinausgeht und etwa ein „Profiling“ gestattet. Dies berge besondere Gefahren für die betroffenen Personen in sich, weil zumindest theoretisch ganz detaillierte Verhaltens- und Beziehungsprofile einzelner Personen erstellt werden können. Ferner ist zu beachten, ob die automatisierte Datenanalyse ohne Kenntnis der Betroffenen erfolgt. Heimliche Eingriffsmaßnahmen gehen schließlich grundsätzlich mit beschränkten Rechtsschutzmöglichkeiten der Betroffenen einher, da sie gar keine Kenntnis vom Eingriff haben. Daher ist heimlichen Maßnahmen bei der Beurteilung der Intensität eines Eingriffs ein besonderes Gewicht beizumessen. Selbiges trifft auch zu, wenn besonders sensible Informationen erlangt werden können, die – über einen längeren Zeitraum betrachtet – Rückschlüsse auf Gewohnheiten oder die Lebensgestaltung der Betroffenen erlauben. Besonders intensivierend wirkt in diesem Zusammenhang auch, wenn die Datenanalyse sich nicht einmal auf verdächtige Personen beschränkt, sondern auch die Verwertung von Daten Unbeteiligter – wie etwa Daten von Zeugen und Opfern – gestattet. Darüberhinausgehend wirkt es ebenso verstärkend, wenn sich die Datenanalyse von typischen polizeilichen Suchmustern entfernt und vielmehr allein statistische Auffälligkeiten in Daten aufdeckt, die Gefährlichkeitsaussagen über Personen treffen (sog. „predictive policing“). Im heutigen Zeitalter ebenfalls von Relevanz ist der Einsatz von künstlicher Intelligenz (KI). Diesbezüglich führt das BVerfG aus:
„Deren Mehrwert, zugleich aber auch ihre spezifischen Gefahren liegen darin, dass nicht nur von den einzelnen Polizistinnen und Polizisten aufgegriffene kriminologisch fundierte Muster Anwendung finden, sondern solche Muster automatisiert weiterentwickelt oder überhaupt erst generiert und dann in weiteren Analysestufen weiter verknüpft werden. Mittels einer automatisierten Anwendung könnten so über den Einsatz komplexer Algorithmen zum Ausweis von Beziehungen oder Zusammenhängen hinaus auch selbstständig weitere Aussagen im Sinne eines „predictive policing“ getroffen werden. So könnten besonders weitgehende Informationen und Annahmen über eine Person erzeugt werden, deren Überprüfung spezifisch erschwert sein kann. Denn komplexe algorithmische Systeme könnten sich im Verlauf des maschinellen Lernprozesses immer mehr von der ursprünglichen menschlichen Programmierung lösen, und die maschinellen Lernprozesse und die Ergebnisse der Anwendung könnten immer schwerer nachzuvollziehen sein (vgl. EuGH, Urteil vom 21. Juni 2021, Ligue des droits humains, C-817/19, ECLI:EU:C:2022:491, Rn. 195). Dann droht zugleich die staatliche Kontrolle über diese Anwendung verloren zu gehen. Wird Software privater Akteure oder anderer Staaten eingesetzt, besteht zudem eine Gefahr unbemerkter Manipulation oder des unbemerkten Zugriffs auf Daten durch Dritte (vgl. Wissenschaftlicher Dienst des Deutschen Bundestags, Datenbank-Analysen durch die Polizei. Grundrechte und Datenschutzrecht, 2. März 2020, WD3-3000-018/20, S. 8 m.w.N.). Eine spezifische Herausforderung besteht darüber hinaus darin, die Herausbildung und Verwendung diskriminierender Algorithmen zu verhindern. Daher dürften selbstlernende Systeme in der Polizeiarbeit nur unter besonderen verfahrensrechtlichen Vorkehrungen zur Anwendung kommen, die trotz der eingeschränkten Nachvollziehbarkeit ein hinreichendes Schutzniveau sichern.“
(BVerfG, Urteil v. 16.02.2023 – 1 BvR 1547/19, 1 BvR 2634/20, Rn. 100)
Gemessen am konkreten Fall stellte das BVerfG eine besondere Eingriffsintensität fest, da der verarbeitungsfähige Umfang und die Verarbeitungsmethode in den zur Prüfung gestellten Landesvorschriften kaum beschränkt werden. Die vorstehend genannten Indikatoren, die zu einer besonderen Intensität des Eingriffs führen, werden überwiegend erfüllt. So können heimlich Persönlichkeitsprofile erstellt werden und der Datenumfang ist in keiner Weise begrenzt. Vielmehr besteht auch ein Zugriff auf Datenbestände aus Datenbanken, in denen Daten von Opfern und Zeugen enthalten sind, die überhaupt nicht verdächtigt werden, zukünftig eine Straftat zu begehen. Es ist auch nicht ausdrücklich geregelt, dass Daten aus einem anderen Zuständigkeitsbereich (etwa aus den Datenbeständen anderer Bundesländer oder gar anderer Staaten) nicht Gegenstand der automatisierten Datenanalyse sein können. Auch die Methode zur Datenverarbeitung erfährt nahezu keiner Restriktion. Selbst dem Einsatz einer selbstlernenden KI stehen die Normtexte nicht entgegen.
Ausgehend von dieser Eingriffsintensität sind besondere Anforderungen an die Angemessenheit zu stellen. Die automatisierte Datenanalyse ist nach Ansicht des BVerfG in diesem Falle nur dann angemessen, wenn der Schutz besonders gewichtiger Rechtsgüter wie Leib, Leben, Freiheit, der Bestand oder die Sicherheit des Bundes oder eines Landes oder der Schutz von Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, in Rede steht. Das allein soll für sich genommen jedoch noch nicht genügen, denn vielmehr muss auch der Eingriffsanlass selbst begrenzt werden. Allgemeine Erfahrungssätze reichen nicht aus. Vielmehr ist auch eine konkrete Gefahr für eines der genannten Rechtsgüter erforderlich. Das heißt, dass das Bestehen einer Gefahrenlage anhand konkreter Momente im Einzelsachverhalt nachweisbar sein muss. Kumulativ ist bei dem hier in Rede stehenden Eingriff von hoher Intensität somit das Vorliegen eines besonderen gewichtigen Rechtsguts und einer konkreten Gefahr für selbiges erforderlich.
Diesen strengen Anforderungen trägt nach Ansicht des BVerfG jedoch weder § 25a I Alt. 1 HSOG, noch § 49 I Alt. 1 HmbPolDVG Rechnung. Was den Eingriffsanlass angeht, so wird nur von der „zu erwartenden“ Straftat, nicht jedoch von einer konkreten Gefahr gesprochen. Dies sei für sich betrachtet eine geringere Anforderung als eine konkrete Gefahr. Das Erfordernis der „zu erwartenden“ Straftat wird auch nicht dadurch ausreichend eingegrenzt, dass die Regelungen einen „begründeten Einzelfall“ verlangen. Dieser Begriff ist für sich genommen schon nicht ausreichend bestimmt und inhaltsarm. Es ist nicht ersichtlich, welche materiellen Maßgaben aus dieser Formulierung folgern. Selbst wenn durch das Erfordernis des „begründeten Einzelfalls“ eine Restriktion Einzug erhält, so bleibt das Erfordernis jedoch gleichwohl weit hinter dem Erfordernis einer konkreten Gefahr zurück. Auch der Versuch, die Vorschrift durch den Verweis auf den Katalog der schweren Straftaten aus § 100a II StPO einengend auszulegen, gelingt im Ergebnis nicht. Die Vorschrift verweist auch auf Gefährdungstatbestände, sodass nach dem Wortlaut von § 25a I Alt. 1 HSOG bzw. § 49 I Alt. 1 HmbPolDVG für eine automatisierte Datenanalyse ausreichende wäre, dass sich aus einem begründeten Einzelfall irgendwelche Anzeichen für die Begehung eines Gefährdungstatbestands ergeben. Das genügt jedoch bei weitem nicht aus, wenn die besondere Intensität des Eingriffs in Art. 2 I GG iVm Art. 1 I GG beachtet wird.
Im Ergebnis stellte das BVerfG folglich die Verfassungswidrigkeit von § 25a I Alt. 1 HSOG und § 49 I Alt. 1 HmbPolDVG fest. Sie sind mit dem Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 I GG iVm Art. 1 I GG unvereinbar.
III. Einordnung der Entscheidung
Die ergangene Entscheidung des BVerfG erweist sich als Ergebnis einer umfassenden Verhältnismäßigkeitsprüfung. Es erteilt der automatisierten Datenanalyse dabei nicht pauschal eine Absage, sondern erachtet lediglich die streitgegenständlichen Normen aus Hessen und Hamburg als zu weitgehend. Auffällig im Rahmen der Verhältnismäßigkeitsprüfung im engeren Sinne bzw. der Angemessenheitsprüfung ist, wie sich das BVerfG – ohne dies auszusprechen – auf die iRd Art. 2 I GG iVm Art. 1 I GG entwickelte „Sphärentheorie“ zurückbesinnt. So untersucht es sehr umfassend, wie weit die automatisierte Datenanalyse reicht und ob sie die Grundlage für die Erstellung von genauen Persönlichkeitsprofilen und für das sog. „predictive policing“ schafft, um darauf aufbauend die rechtlichen Anforderungen an eine die Datenanalyse legitimierenden Ermächtigungsgrundlage bestimmen zu können. Da mit Hinblick auf die fehlende Restriktion bei den zur Verfügung stehenden Daten die Persönlichkeit des Einzelnen besonders betroffen ist, muss die Rechtsgrundlage entsprechend restriktiv ausgestaltet sein und eine konkrete Gefahr für bedeutende Rechtsgüter verlangen. Da die datenschutzrechtlichen Normen aus Hessen und Hamburg diesem Erfordernis nicht Rechnung tragen, muss dies im Ergebnis zu ihrer Verfassungswidrigkeit führen.
Die Entscheidung gibt Anlass, sich nochmals mit den verschiedenen Facetten des allgemeinen Persönlichkeitsrechts aus Art. 2 I GG iVm Art. 1 I GG auseinanderzusetzen. Zu unterscheiden ist insoweit das Selbstbestimmungsrecht, das Selbstbewahrungsrecht, das Selbstdarstellungsrecht und das Grundrecht auf „Vertraulichkeit und Integrität informationstechnischer Systeme“ (umgangssprachlich auch als „Computergrundrecht“ bezeichnet). Während beim Selbstbestimmungsrecht die Gewährleistung im Mittelpunkt steht, eigenständig bestimmen zu können, wer man sein will, steht beim Selbstbewahrungsrecht die Möglichkeit zur Abschirmung des Einzelnen von der Allgemeinheit im Fokus. Das Selbstdarstellungsrecht gewährleistet sodann das Recht, sich heimlicher, unerbetener oder verfälschter Wahrnehmung in der Öffentlichkeit erwehren zu können. Als Unterfall des Selbstdarstellungsrecht hat das BVerfG in seinem bekannten Volkszählungsurteil vom 15.12.1983 (BVerfGE 65, 1) zudem das für die hier besprochene Entscheidung relevante Recht auf informationelle Selbstbestimmung entwickelt, das dem Einzelnen das Recht gibt, selbst über die Preisgabe und Verwertung seiner personenbezogenen Daten zu entscheiden. Vor diesem Hintergrund erklärt sich, dass Datenschutz in erster Linie Persönlichkeitsschutz ist. In Prüfungsarbeiten sollte im Kontext mit Datenverarbeitungen daher stets eine Verknüpfung zu Art. 2 I GG iVm Art. 1 I GG hergestellt werden. Dies belegt nicht nur die hier erörterte Entscheidung, sondern auch die prüfungsrelevante Debatte über die Vorratsdatenspeicherung.