Die bislang praktizierte automatisierte Datenauswertung bei der Polizei ist verfassungswidrig, entschied heute das Bundesverfassungsgericht. Natürlich ist das Urteil (pdf) ein Sieg für alle, die das Grundrecht auf informationelle Selbstbestimmung wertschätzen. Denn die Praxis, es durch absichtliche gesetzliche Nicht-Regelung allein der Polizei und deren Dienstleistern zu überlassen, wie weit sie in die Grundrechte von Bürgern eingreifen, ist heute faktisch beendet worden. Beide angegriffenen Regelungen aus Hamburg und Hessen sind zwar verfassungswidrig, allerdings bekommt Hessen eine Gnadenfrist bis September, um nachzubessern. Damit dürfte diese Nachbesserung bei der polizeilichen Datenanalyse in Hessen auch gleich zum Wahlkampfthema werden.
Das Gericht hat die Chance nicht verstreichen lassen, sich mit dem Einsatz von Technologien des maschinellen Lernens und auch prognostischer Software genauer auseinanderzusetzen. Schließlich fehlen in beiden gekippten Gesetzen technische und rechtliche Vorgaben, die das Gericht nun einfordert. Künftige gesetzliche Regelungen der automatisierten Datenanalyse werden nicht nur sehr viel detaillierter ausgestaltet und mit Blick auf die genutzten polizeilichen Datenquellen neu austariert werden müssen, um darzulegen, was konkret die Polizei beim Data-Mining darf und was nicht. Zusätzlich müssen sie auch neue Vorgaben des Gerichts erfüllen, welches die verlässliche Dokumentation von Informationen über die Datenanalyse-Software „in einer öffentlich zugänglichen Weise“ verlangt.
Die Anhörung im Dezember drehte sich vor allem um die Ausgestaltung eines konkreten Softwareproduktes des kommerziellen Unternehmens Palantir. Das bedient seit Jahren Polizei, Geheimdienste und Militär und hat vor einigen Jahren auch die deutschen Polizeien als lukrativen Markt entdeckt. Mit allzu anstrengenden Forderungen nach Transparenz oder auch nur sinnvollen Erklärungen dazu, was die teure Software denn technisch tatsächlich leistet oder was die Verträge mit der Polizei besagen, war Palantir bisher nicht konfrontiert. Das wird das heutige Urteil teilweise ändern, da es für die künftige Umsetzung von gesetzlichen Grundlagen fordert, dass die zuständigen Behörden sie nachvollziehbar dokumentieren und veröffentlichen.
Einschränkungen bei Massendatennutzung
Glaubt man der PR des Unternehmens, handelt es sich eine quasi-magische Software, unverzichtbar für Ermittler. In gewisser Weise spiegelt sich diese Darstellung auch im Urteil. Dass die Polizei seit Jahren solche Software einsetzt, trägt offenbar dazu bei, dass die Nutzung von automatisierter Datenanalyse nicht mehr als solche hinterfragt wird. Es hat sich in den Köpfen festgesetzt: Ohne solche digitalen Auguren könne eine moderne Polizei gar nicht mehr auskommen.
Obwohl der Fokus seitens des Gerichts in der Anhörung stark auf die spezielle Palantir-Anwendung in Hessen gerichtet war, erinnert das Urteil daran, was die gesetzlichen Befugnisse eigentlich erlaubt hätten. Denn was die Gesetze angeht, waren die polizeilichen Nutzer durch nichts daran gehindert, noch invasivere Technologien einzusetzen und auch noch ganz andere Datenarten zu verarbeiten als das aktuell praktiziert wird. Natürlich muss einer gesetzlichen Erlaubnis immer auch eine gewisse Technologienoffenheit innewohnen, allerdings konnte die Polizei qua Gesetz qualitativ und quantitativ ganz neue Kapitel aufschlagen.
In der Sprache des Gerichts heißt das „daten- und methodenoffene Ausgestaltung“. Mit diesem Wilden Westen beim Data-Mining der Polizei dürfte zunächst Schluss sein, insbesondere auch bei der Massendatennutzung wie bei den Funkzelleninformationen oder was beispielsweise biometrische Daten angeht. Deren Ausschluss bei der Datenanalyse benennt das Urteil explizit als eingriffsmildernd. Daten aus heimlicher Wohnraumüberwachung, von Staatstrojanereinsätzen oder ähnlich eingriffsintensiven Maßnahmen werden künftig nicht in den Systemen von Palantir landen.
Das Urteil fällt in eine Zeit, in der über Künstliche Intelligenz wieder viel gesprochen wird. Man kann sich über den Hype wundern und als technisch Interessierter auch manchmal darüber lachen: Aber aktuell wird vielen Menschen durch das Beispiel ChatGPT sehr bewusst, dass maschinelles Lernen in den Alltag eindringen wird. Da stellt sich durchaus die Frage, warum das Bundesverfassungsgericht zu Fragen des Einsatzes der Künstlichen Intelligenz bei der Polizei nicht grundsätzlicher wird. Es ist ja nicht so, als stünden diese Fragen nicht vor der Tür.
Doch im Grunde liefert das Urteil zahlreiche Details dazu, wie künftige Gesetzgeber Befugnisse bei der automatisierten Datenanalyse zu gestalten haben, was dabei „eingriffsverstärkend“, was „eingriffsmildernd“ ist und auch, wo die roten Linien verlaufen. Es wird und muss in Zukunft eine Art obere Grenze der Datenfracht geben, mit der eine Polizei-KI gefüttert werden darf, und auch eine qualitative Grenze in Bezug auf die Art der Daten. Dazu liegen nun detailreiche verfassungsrechtliche Anforderungen vor, an die sich Gesetzgeber zu halten haben. Das Gericht dürfte dennoch nicht das letzte Mal mit Fragen der automatisierten Datenanalyse beschäftigt sein, denn die Erfahrung lehrt: Gesetzgeber haben die Tendenz, sich an die Vorgaben aus Karlsruhe nicht immer zu halten.
Offenlegung: Ich war technische Sachverständige in dem Beschwerdeverfahren.
Die GFF macht gerade den 2. Durchlauf zum BND-Gesetz in Karlsruhe (Ignoranz der Legislative gegenüber der Judikative), heute in der SZ steht, dass die Klage der EU zum nicht erfüllten Whistleblowerschutz gegen DE nun beim EUGH ist, und hier in Berlin hatte ich nach Eurem Artikel über das EU-Vertragsverletzungsverfahren (zur Datenschutzbeauftragten, die die Befugnisse nicht hat, um sich durchzusetzen), eine Petition gemacht, dies bitte schnellstens in Ordnung zu bringen, die gerade abgelehnt wurde (man wartet ab), und sogar im Vorfeld der Gesetzgebung: hat Patrick Breyer nicht gerade daraufhingewiesen, dass die Chatkontrolle offenbar nur abgeschwächt wird, eben nicht verworfen, obwohl allen klar ist, dass sie mit dem Datenschutz nicht vereinbar ist ?
Jetzt kommen doch vermutlich detaillierte Überwachungsstaat-Gesetze zu den Polizei-Datenanalysen, und in den Fernsehnachrichten wird es dann wieder nur als „erledigt“-Kurznachricht konstatiert, nicht etwa mit der Karlsruher Vorgabe verglichen (bei Themen der informationellen Selbstbestimmung braucht man netzpolitik.org und heise news, denn anderswo fehlt verlässliche Information).
—
Julian Assange in Belmarsh. Edward Snowden in Russland. Legislative, die sich nicht an die rote Linie der Verfassung hält, obwohl Grundrechtsverteidigung in den Programmen der Repräsentanten stand, die wir gewählt haben. Geheime Staatstrojaner. Die Realität ist doch einfach hoffnungslos!
„(…) Der Bundestagsabgeordnete Andrej Hunko (Linke) sagt über Hessendata: „Es handelt sich de facto um eine Rasterfahndung, der enge rechtliche Grenzen gesetzt sind. Diese werden aus meiner Sicht in Hessen nicht eingehalten.“ Frankfurts Polizeipräsident Gerhard Bereswill sagt, der hessische Datenschutzbeauftragte habe alles abgesegnet. Löschfristen würden eingehalten: Wer in Datenbanken auftauche, aber kein Verdächtiger sei, würde bald wieder entfernt. (…)“ (Süddeutsche Zeitung, 18.10.18)
https://www.sueddeutsche.de/wirtschaft/innere-sicherheit-gotham-am-main-1.4175521
Dazu muß man wissen, dass der ehemalige hessische Datenschutzbeauftrate (HBDI), Prof. Michael Ronellenfitsch, alles andere als Polizei-Kritisch war.
Wäre interessant, die Kriminalstatistiken von Hamburg und Hessen auf Sprünge bei der Einführung und demnächst bei der Abschaffung von Data mining zu untersuchen: Hat die Zahl von Schwerverbrechen und Terroranschlägen, die Zahl von Verhaftungen von Schwerverbrechern tatsächlich signifikant ab – und später wieder zugenommen?
Eine einzigartige Gelegenheit, um zu untersuchen, was die neuen Wunderwaffen wirklich bringen in der Praxis.
Meine süddeutsche Zeitung, die GFF und netzpolitik.org sind alle glücklich über das Karlsruher Urteil, offenbar sehe ich den Lichtstrahl noch nicht, wenn ich (s.o.) „hoffnungslos“ schreibe, – dann frage ich mal konkret: welche Chance haben denn nun die Datenschutzbeauftragten in den Bundesländern, das Abfließen/Löschen/Ändern/Hinzufügen/Manipulieren von polizeilichen Datenbank-Infos durch Demokratiegefährder wie Peter Thiel (Palantir: Hessendata) zu verhindern? Bleiben unsere Daten und die Analyse-Regeln nun bei unserer Polizei, oder hat sie Palantir schon ? Ich lese das nicht aus den Artikeln zum Thema so heraus, dass ich die Frage beantworten könnte.
Im zugehörigen Artikel steht: „Es [Das Unternehmen Palantir] importiert aus den polizeilichen Quellsystemen die Daten in eine Analyseplattform“. Also gehe ich davon aus, dass Palantir die Daten schon hat. Und nicht nur sie, da die Plattform wahrscheinlich auf US-Servern läuft. Dass unsere Datenschützer irgendeine Handhabe hätten, würde ich bezweifeln. Da hilft vielleicht irgendwann mal Schrems III (oder höhere Nummer)…
Das dürfte illegal sein, Landesverrat o.ä.
Soweit ich weiß, bedeutet Plattform nicht US-Cloud. Es kann auch Software sein.
Sie schreiben im Artikel, dass Gericht habe zur Vorgabe gemacht, dass Informationen über die jeweilig von den Behörden genutzte Überwachungssoftware „in einer öffentlich zugänglichen Weise“ dokumentiert werden müsse.
Bedeutet dies, dass die Behörden bloß nennen müssen, welche Software genutzt wird und welche Datenquellen diese anzapft oder auch detaillierter die internen Prozesse wie die Software die Daten verarbeitet oder sogar Teile des sourcecodes; bzw. ist jetzt schon halbwegs absehbar, was unter dieser Anforderung an die Behörden zu verstehen ist.
Im Urteil sind mehrere neue Vorgaben für die öffentliche Dokumentation. Schon in den Leitsätzen des Urteils findet sich folgende Forderung nach verlässlicher öffentlicher Dokumentation:
„Soweit er [der Gesetzgeber] die Verwaltung zur näheren Regelung organisatorischer und technischer Einzelheiten ermächtigt, hat der Gesetzgeber zu gewährleisten, dass die Verwaltung die für die Durchführung einer automatisierten Datenanalyse oder -auswertung im Einzelfall maßgeblichen Vorgaben und Kriterien in abstrakt-genereller Form festlegt, verlässlich dokumentiert und in einer vom Gesetzgeber näher zu bestimmenden Weise veröffentlicht. Das sichert auch die verfassungsrechtlich gebotene Kontrolle, die insbesondere durch Datenschutzbeauftragte erfolgen kann.“
In 113 findet sich auch noch ein Passus, der die Verwaltungsvorschriften (auf gesetzlicher Grundlage) für Art und Umfang der Daten und die Verarbeitungsmethoden betrifft: „Darin hat der Gesetzgeber sicherzustellen, dass die für die Anwendung der Bestimmungen im Einzelfall maßgebliche Konkretisierung und Standardisierung seitens der Behörden nachvollziehbar dokumentiert und veröffentlicht wird.“
In 117, 119, 121 und 142 wird das nochmal für die Datenbestände, die Auswertung und die Zugriffe unterstrichen, deren technische Einzelheiten „in zu veröffentlichenden Verwaltungsvorschriften“ geregelt werden können.