Darf die Polizei all ihre Datenschätze zweckentfremden und mit Big-Data-Software auswerten? Können dabei gegebenenfalls auch die Daten von Unbeteiligten, Verbrechensopfern und Zeug:innen mit einfließen? In Hamburg und Hessen ist das möglich und zwar auf Grundlage zweier fast identischer Paragrafen in den Landespolizeigesetzen. In Hessen existiert bereits eine Software, die das umsetzt. Doch womöglich ist das nicht mehr lange so.
Denn das Bundesverfassungsgericht führte am Dienstag die mündliche Verhandlung von zwei Verfassungsbeschwerden der Gesellschaft für Freiheitsrechte (GFF) und weiterer Bürgerrechtsorganisationen, in denen eben diese Regelungen als unrechtmäßig gerügt werden. Die Bürgerrechtler:innen halten die Rechtsgrundlage für polizeiliche Big-Data-Analysen nach § 25a HSOG in Hessen respektive § 49 HmbPolDVG in Hamburg für verfassungswidrig. Die automatisierte Datenauswertung verletze das Grundrecht auf informationelle Selbstbestimmung und weitere Grundrechte. Die GFF reichte daher im Namen verschiedener Beschwerdeführer:innen 2019 und 2020 Verfassungsbeschwerden in Karlsruhe ein.
Auf Grundlage der Regelung verwendet die hessische Polizei seit 2018 die Software HessenData des kommerziellen US-Anbieters Palantir. Sie ermöglicht es, die Daten zahlreicher polizeilicher Datenbanken und weiterer Quellen, wie Social Media, Mobilfunknutzung oder Meldebehörden, zu verknüpfen, um Beziehungen, Muster und andere Auffälligkeiten zu erkennen. In Hamburg könnte der Einsatz der Software demnächst folgen.
Anlasslos im Visier der Polizei
Unter den Beschwerdeführer:innen sind Journalist:innen, Jurist:innen, Bürgerrechtler:innen. Sie vereint die Sorge, Ziel unangemessener und intransparenter Durchleuchtung durch die Software zu werden. „Als Journalist:in/Rechtsanwält:in muss ich annehmen, im Kontakt mit Personen zu stehen, die als ‚gefährlich‘ gelten. Ich will nicht, dass mich eine Software deshalb selbst als Gefährder:in markiert – und die Polizei mir deshalb die Arbeit erschwert“, hieß es im Vorfeld der Verhandlung vonseiten der GFF.
Auch politische Aktivist:innen haben ein erhöhtes Risiko, in den automatisierten Analysen zu erscheinen. Denn „wer häufig in polizeilichen Datenbanken erfasst wird, hat ein hohes Risiko, dass die Datenanalyse auch zu ihm:ihr Querverbindungen zieht. Das können Zufälle sein – z. B. dass die Person auf der gleichen Versammlung polizeilich erfasst wurde wie eine Zielperson oder auf dem gleichen Foto war oder im gleichen Haus wohnt etc.“, erklärt Sarah Lincoln, Rechtsanwältin bei der GFF und Bevollmächtigte in der Verhandlung. Weitere eingriffsintensive Maßnahmen, wie Wohnungsdurchsuchungen oder Observationen, könnten sich daran anschließen.
Hohe Zahl an Unbeteiligten in der Auswertung
Das Anliegen der Beschwerdeführer:innen, als Unbeteiligte nicht in automatisierten Datenanalysen zu erscheinen, fand Anklang beim Landesdatenschutzbeauftragten Hessens, Alexander Roßnagel. Er kritisierte die hohe Zahl an Unbeteiligten, welche vor allem durch das Vorgangsbearbeitungssystem ComVor in die Analyse miteinbezogen werden. Denn darin werden alle Vorgänge der Polizei dokumentiert. Folglich befinden sich unter den erfassten Personen auch Opfer, Geschädigte, Zeug:innen und weitere Personen, die schlicht „zur falschen Zeit am falschen Ort waren“.
Dass die Sorgen der Beschwerdeführer:innen nicht unbegründet sind, bestätigte sich auch mehrmals anhand der Aussagen der Landesvertretung und Polizei. So ließ sich die hessische Ministerialrätin Elena Benz zu der Aussage verleiten, „aus kriminologischer Sicht können wir nie ausschließen, dass Daten nicht Ermittlungsansätze liefern“, und der in der Verhandlung angehörte Polizist Daniel Muth bemerkte: „Polizeilich kennen wir keine Unbeteiligten.“ Ihm zufolge sei die Einbeziehung der ComVor-Daten gerade deshalb so wichtig. Auch nach den Worten des hessischen Innenministers Peter Beuth (CDU), mit der „exponentiellen Entwicklung der Datenmengen“ müssten „die Sicherheitsbehörden Schritt halten“, um Leib und Leben der Bürger:innen schützen zu können, liegt es nahe, dass die Polizei künftig noch mehr Daten mit Software erschließen soll.
Massive Streubreite durch Funkzellendaten
Vor der Verhandlung war nicht bekannt, was eine Aussage des Landesdatenschutzbeauftragten Roßnagel klarmachte: Die gesamten Funkzellendaten aus den vergangenen zwei Jahren in Hessen werden im Quellsystem der Software gespeichert und können damit analysiert werden. Bei der Abfrage solcher Daten erhält die Polizei von den Mobilfunkbetreibern Informationen zu allen Handys, die in einem bestimmten Zeitraum in einem bestimmten Gebiet ins Netz eingewählt waren. Wenn man bedenkt, dass jede einzelne Abfrage laut dem Bundesdatenschutzbeauftragten Ulrich Kelber etwa 100.000 Datensätze enthält und jeder ermittlungsrelevante Treffer in den Daten zu einer Verlängerung der Speicherungsfrist führt, lässt sich dem Datenschützer zufolge von einer versteckten Vorratsdatenspeicherung sprechen.
Zwar hätten nach Angaben des hessischen Ministerialrats Bodo Koch auf diese Daten aktuell nur 50 Beamt:innen Zugriff. Diese Regelung hat sich die hessische Polizei jedoch selbst gegeben, das Gesetz sieht keine solche Begrenzung vor.
Einigkeit bei Datenschützern über mangelhafte Zweckbindung
Alle drei angehörten Datenschutzbeauftragten aus Hessen, Hamburg und für den Bund waren sich darin einig, dass mit der automatisierten Datenanalyse die Zweckbindung der Daten unzulässig aufgebrochen werde. Roßnagel zufolge seien die ComVor-Daten beispielsweise ursprünglich zu Dokumentationszwecken gesammelt worden, es handele sich um polizeiliche Verwaltungsdaten. Ihre Verwendung in der Software zur Analyse enthebe sie diesem Zweck. Er betont deshalb die Wichtigkeit der Klärung der Zweckbindung durch das Bundesverfassungsgericht.
Auch Richterin und Berichterstatterin des Verfahrens Gabriele Britz betonte durch ihre vielen Nachfragen zum Thema der Zweckbindung die Wichtigkeit. Sie stellte mehrfach die Frage an die hessischen Vertreter:innen, ob nicht eine Beachtung der Zweckbindung nur möglich sei, wenn der Ursprung der Daten in der Software-Anwendung gekennzeichnet sei. Das sei aber nach Angaben des hessischen Ministerialrats Koch nicht gegeben. Ihm zufolge fehlt bereits in den Quellsystemen die Kennzeichnung, weshalb auch in der Auswertung nicht feststellbar ist, ob Daten z. B. aus heimlichen und damit eingriffsintensiven Maßnahmen wie Wohnungsraumüberwachungen oder Staatstrojaner-Einsätzen stammen. Solche Daten unterliegen wegen ihrer hohen Eingriffsintensität engeren Zweckbindungen.
Selbst wenn im Nachgang einer Auswertung händisch überprüft würde, woher die Daten eigentlich stammen, wurden die Daten aus eingriffsintensiven Maßnahmen dann bereits ausgewertet, monierte einer der Bevollmächtigten der Beschwerdeführerseite, Tobias Singelnstein. Die Zweckentfremdung sei dann schon geschehen, selbst wenn sich im Nachhinein herausstellt, dass der entsprechende Anlass eigentlich nicht gegeben war.
Intransparenz von Palantir verunmöglicht Evaluation
Constanze Kurz war als technische Sachverständige für den Chaos Computer Club geladen. Sie betonte in ihrem Eingangsstatement, dass das Gesetz nicht bloß technikoffen gestaltet sei, sondern auch datenoffen. Es biete beispielsweise die Möglichkeit, über die aktuellen Quellen hinaus biometrische Daten in die Software einzuspeisen. Der Grundrechtseingriff werde damit ungleich drastischer.
Die Intransparenz des Softwareherstellers Palantir verunmögliche außerdem wissenschaftliche Begleitung. Eine dringend notwendige Evaluation der Maßnahme sei damit ausgeschlossen. Laut Koch gibt es bislang auch keine polizeiinterne Statistik über die Erfolgs- und Misserfolgsquoten der Maßnahme.
Fokus liegt auf polizeilicher Praxis statt Gesetzestext
Wie bereits anhand der Verfahrensgliederung erwartbar, drehte sich die Verhandlung in großen Teilen um die konkrete Praxis der hessischen Polizei. Ersichtlich wurde, dass diese Schranken und Sicherheitsmechanismen eingeführt hatte, um die Datenanalyse zu beschränken. Doch das tat sie größtenteils eigenverantwortlich, teilweise in Zusammenarbeit mit dem hessischen Landesdatenschutzbeauftragten.
Auch bemerkte die Rechtsanwältin Lincoln im Nachgang: „Das, was die Polizei da macht, also Datensysteme zusammenführen und durchsuchen, wirkte jetzt nicht besonders ausgefeilt, technisch, und auch die Beispiele wirkten eher harmlos.“
Mehrmals versuchten die Beschwerdeführer:innen die Verhandlung deshalb von den anwendungsbezogenen Einzelheiten der Software und ihres Einsatzes weg, hin zum eigentlichen Gegenstand der Beschwerde zu lenken: dem Gesetzestext. Denn dieser ermöglicht weitaus mehr, als die Polizei in Hessen offenbar aktuell durchführt und was der Polizei in Hamburg demnächst ermöglicht werden soll.
Gefahr hoch, dass KI-Systeme eingeführt werden
So fragte Lincoln, ob es für die Zusammenführung von Daten, wie sie die Polizei in ihren Beispielen häufig fordert, wirklich die Ermächtigung zur komplexen Datenanalyse braucht. Der Gesetzestext erlaube alles von Excel-Tabellen bis hin zu KI-Systemen, die Personen mit einer zwanzigprozentigen Wahrscheinlichkeit, Terroranschläge zu begehen, ausspuckt. Von solchen Systemen gehe jedoch die Gefahr aus, dass die Polizei „auf dem Holzweg ist und dafür auch noch ein selbstfahrendes Auto bekommt“, warnte Lincoln. Fehlgeleitete Ermittlungsansätze würden verstärkt, strukturelle Diskriminierung in den Daten fortgesetzt.
Auch Roßnagel merkte an, dass die Einführung von KI nur eine Frage von Jahren sei und grundsätzlich jede Neuanbindung von Daten im Interesse der Polizei stehe. Bislang sei die Deutungshoheit darüber, was im Interesse der Sicherheit liegt, allein bei der Polizei. Der Gesetzestext selbst lasse im Grunde alles offen.
Großer Wurf bleibt vermutlich aus
Im Vorfeld war die Erwartung groß, dass vom Gericht Neuland betreten und erstmals Regelungen zum polizeilichen Einsatz von KI gefunden werde. Der Fokus der Richter:innen in der Verhandlung legte aber nahe, dass daran kaum Interesse besteht. Wahrscheinlich dürften kleinere Schritte sein, um die spezifischen polizeilichen Datenanalysen zu regulieren und die existierende Praxis einzuschränken.
Lincoln resümierte im Nachgang: „Es ist an den Fragen und Kommentaren der Richter:innen deutlich geworden, dass die Ermächtigungsgrundlagen zur automatisierten Datenanalyse so nicht stehen bleiben werden. Weil die Menge der einbezogenen Daten zu groß, die Zweckbindung nicht ausreichend sichergestellt und die Eingriffsschwelle zu niedrig ist.“
Die Chance, eine Grundsatzentscheidung zum Umgang mit KI zu treffen, dürfte aber wahrscheinlich ungenutzt bleiben.
Update: Wir haben den Text nach Veröffentlichung geringfügig aktualisiert.
Staat und Behörden, natürlich auch Polizeien und Strafverfolgung sollen sich ihre Hände tunlichst nicht datensch(m)utzig machen.
Wenn schon Demokratie, Grundrechte und das edelste Grundrecht (informationelle Selbstbestimmung) durch einen privaten Datenkapitalismus, natürlich durch aktives Zutun eifriger User:innen, täglich weiter untergraben werden, so sollen zumindest staatliche Stellen weiter im analogen Blindflug durchs digitale Daten-Neuland segeln. Quasi als letzte Bastion, als Gralshüterin eines echten Datenschutzes.
Natürlich weiß Facebook in Echtzeit, wo ich wirklich nachts schlafe (und auch mit wem), während das Einwohnermeldeamt meine tatsächliche Wohnhaft eher nur im Ungefähren zu verorten mag.
Natürlich trackt Google Maps mich und weitere über 60 Millionen Peilsender:innen in D, um mir in real-time sagen zu können vor welcher Ampel es sich möglicherweise um 30 Sekunden staut. Eine Horror-Vorstellung wenn die Straßenbauämter über solche Daten für die Verkehrswegeplanung verfügen würden. Oder gar Kreisgesundheitsämter.
Ganz geschweige denn im Bereich der Strafverfolgungsbehörden. Das BVerfG geht da sicher in die richtige Richtung, wenn es auch hier weiter auf Analog first und KI second setzt.
Idealerweise könnten staatliche Hohheitsaufgaben wie Strafverfolgung zumindest perspektivisch an Dienste von Amazon, wie Alexa und Ring outgesourct werden. Wie das Netz-DG für digitalen Hass und Hetze, so sollten die heimischen Smartgeräte doch imstande sein auch das z.B. das Aufkommen häuslicher Gewalt schon im Keim zu erkennen und ggf. zu dokumentieren. Vermutlich werden Amazon und Facebook schon in ein paar Jahren die „bessere“ Polizei werden; vermutlich auch legitimiert durch die Akzeptanz von Seiten der Bürger:innen. Wenn sie merken, dass ihnen der Police-Serivce-Chat-Bot bspw. in Fällen von Online-Betrug bessser und viel schneller zu ihren Recht verhilft, als der nette Polizit mit Stift und Schreibblock bei der Beweisaufnahme (Wo ist das passiert? Ach, im INTERNET, hmmm…) es suggeriert. Die Bürger:innen werden es lieben. Denn die privaten Datenkonzerne sind eben nicht grundrechtsverpflichtet. Die „dürfen“ das halt…