Predictive Policing: Automatisierte Datenanalyse und Informationelle Selbstbestimmung

Die Zukunft der Kriminalitätsbekämpfung liegt wahrscheinlich in einem Wandel von der reinen Reaktion hin zur Prävention. Technisch möglich wird dieser Wandel durch die Kombination zweier technologischer Entwicklungen: Auf der einen Seite eine eklatante Anhäufung von Daten („Big Data“) und auf der anderen Seite die zunehmende Möglichkeit, durch bestimmte Formen künstlicher Intelligenz diese Daten nicht nur auszuwerten, sondern daraus auch brauchbare statistische Vorhersagen zu gewinnen. Dies ermöglicht zumindest theoretisch die Vorhersage des Auftretens von Straftaten, das sogenannte Predictive Policing.

Das hatte nun erstmals Gelegenheit, sich zu diesem Thema zu äußern. Die Entscheidung dürfte für Jahrzehnte richtungsweisend sein. Sie beginnt wenig überraschend mit der Klarstellung, dass, wenn gespeicherte Datenbestände mittels einer automatisierten Anwendung zur Analyse oder Auswertung von Daten verarbeitet werden, dies einen Eingriff in die informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) all derjenigen darstellt, deren Daten bei diesem Vorgang personenbezogen verwendet werden (1 BvR 1547/19 und 1 BvR 2634/20). Betroffen sind also nicht nur die Personen, die am Ende der Auswertung möglicherweise Gegenstand von (weiteren) Ermittlungsmaßnahmen sind.

Ebenso hat das Bundesverfassungsgericht ausdrücklich klargestellt, dass dann, wenn die entsprechende automatisierte Datenanalyse oder -auswertung einen schwerwiegenden Eingriff in das informationelle Selbstbestimmungsrecht ermöglicht, dieser nur unter den engen Voraussetzungen gerechtfertigt werden kann, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten. Das heißt: nur zum Schutz besonders gewichtiger Rechtsgüter, sofern für diese eine zumindest hinreichend konkrete Gefahr besteht.

Auf das Erfordernis einer zumindest hinreichend konkretisierten Gefahr für besonders wichtige Rechtsgüter kann aus verfassungsrechtlicher Sicht nur dann verzichtet werden, wenn die zulässigen Analyse- und Auswertungsmöglichkeiten durch Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden normenklar und hinreichend bestimmt so eng begrenzt werden, dass das Eingriffsgewicht der Maßnahmen erheblich reduziert wird. Dabei hat das BVerfG sogar einen Kriterienkatalog für die jeweilige Abwägung gleich mitgeliefert, der äußerst umfangreich ist, zugleich aber eine formelhafte Betrachtung im Keim unterbindet.

Vorbeugende Bekämpfung von Straftaten

In den hier in Rede stehenden Sicherheitsgesetzen aus Hamburg und Hessen wurde die „vorbeugende Bekämpfung von Straftaten“ erstmals definiert – als Verhütung von Straftaten oder zu erwartender Straftaten und als Vorsorge für die Verfolgung künftiger Straftaten. In beiden Alternativen bleibt der Eingriffsanlass nach Auffassung des Bundesverfassungsgerichts weit hinter der verfassungsrechtlich wegen des Eingriffsgewichts gebotenen Schwelle einer konkretisierten Gefahr zurück.

Die hessische Regelung enthält zwar den Zusatz der „zu erwartenden“ Straftat. Aber auch eine solche Formulierung bleibt nach Auffassung des BVerfG weit hinter dem verfassungsrechtlichen Erfordernis einer konkretisierten Gefahr zurück.
Letztlich bleibt die Voraussetzung des gerechtfertigten „Einzelfalls“ jedenfalls hinter der verfassungsrechtlich gebotenen Schwelle einer zumindest konkretisierten Gefahr bei dem Versuch einer vorbeugenden Verbrechensbekämpfung zurück, was bereits in der Natur der Sache liegt.

Das insoweit bestehende Einzelfallerfordernis dürfte aus verfassungsrechtlicher Sicht, wie das BVerfG ausdrücklich festgestellt hat, etwa dem Erfordernis eines Spurenansatzes entsprechen. Allein aus dem Umstand, dass Daten und Datenbestände durch einen Einzelakt einbezogen werden und für die konkrete Präventionsmaßnahme erforderlich sein müssen, mag sich daher in der Praxis eine gewisse Begrenzungswirkung ergeben. Von einer zumindest konkretisierten Gefahr ist dies aber noch weit entfernt.

Zugleich betont das BVerfG, dass das Erfordernis des Einzelfalls, wenn es auf jede einzelne Datenanalyse oder -auswertung angewendet wird, gerade nicht ausschließt, dass automatisierte Datenanalysen oder -auswertungen ins Blaue hinein angestoßen werden und so durch massenhafte Datenverarbeitung überhaupt erst tatsächliche Anhaltspunkte für die künftige Begehung von Straftaten generiert werden. Das BVerfG stellt insoweit ausdrücklich klar, dass weder seine Rechtsprechung noch das einem grundsätzlichen Ansatz des „Predictive Policing“ entgegenstehen. Es macht aber sehr detailliert deutlich, dass hier enorme Anforderungen bestehen.

Definition des Eingriffsgewichts

Der Umstand, dass Predictive Policing nicht per se verfassungswidrig ist, zugleich aber ein Grundrechtseingriff vorliegt, der alle betrifft und der sich am Erfordernis einer konkreten Gefahr im Einzelfall orientieren muss, öffnet die in unserem Rechtssystem übliche Schere: Im Ergebnis ist die gesetzliche Regelung, die eine solche Analyse ermöglicht, einer Verhältnismäßigkeitsprüfung unter Berücksichtigung des Spektrums der in Betracht kommenden Analysemaßnahmen zu unterziehen.

Maßgeblich ist sodann das in Rede stehende Eingriffsgewicht: Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung und die Anforderungen an ihre verfassungsrechtliche Rechtfertigung ergeben sich zum einen aus dem Gewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die Grundsätze der Zweckbindung und der Zweckänderung. Zum anderen hat die automatisierte Datenanalyse oder -auswertung ein eigenes Gewicht, weil die Weiterverarbeitung durch eine automatisierte Datenanalyse oder -auswertung spezifische Belastungswirkungen haben kann, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen; insoweit ergeben sich weitergehende Rechtfertigungsanforderungen aus dem Grundsatz der Verhältnismäßigkeit im engeren Sinne.

Das Eingriffsgewicht wird vor allem durch Art und Umfang der verarbeiteten Daten bestimmt. Eine wesentliche Besonderheit des Eingriffspotentials von Maßnahmen der elektronischen Datenverarbeitung liegt in der Menge der verarbeiteten Daten, die auf konventionellem Wege nicht zu bewältigen wäre. Je mehr in die automatisierte Datenanalyse und -auswertung einbezogen werden können, je weniger also der Gesetzgeber die Menge der verwendbaren Daten begrenzt, desto schwerer wiegt der Eingriff. Eng verbunden mit der Regelung des Umfangs der verwendbaren Daten ist die Regelung der Art der verwendbaren Daten. Je weniger die Art der verwendbaren Daten eingeschränkt wird, desto größer ist die zur Verarbeitung gelangende Datenmenge und desto höher ist tendenziell das Gewicht des Eingriffs. Die Art der Daten ist aber auch für sich genommen für das Eingriffsgewicht von Bedeutung, weil die Verwendung unterschiedlicher Daten unmittelbar oder mittelbar unterschiedliche Persönlichkeitsrelevanz entfalten kann. Art und Umfang der einbezogenen Daten und ihre Auswirkungen auf das Gewicht des Grundrechtseingriffs können durch verschiedene Vorkehrungen näher bestimmt und begrenzt werden.

Das Gewicht des Eingriffs ist zudem umso größer, je offener die Methode des Suchvorgangs ausgestaltet ist und je weniger die automatisierte Datenanalyse bzw. -auswertung durch – auch aus Kenntnissen und Vermutungen über den konkreten Sachverhalt gespeiste – polizeiliche Suchmuster gesteuert wird. Denn je offener ein automatisierter Suchvorgang zur vorbeugenden Bekämpfung von Straftaten im Vorfeld konkreter Gefahren ausgestaltet ist, je weniger also die Suche einen Sachbezug hat, desto eher werden durch die Suche überhaupt erst Anhaltspunkte für eine Gefahr generiert. Das Gewicht des Eingriffs erhöht sich insbesondere dann, wenn die Datenanalyse oder -auswertung nicht auf einem Suchbegriff, jedenfalls nicht auf einem auf den bisher erkennbaren Sachverhalt bezogenen Suchbegriff beruht, sondern allein auf die Entdeckung statistischer Auffälligkeiten in der Datenmenge gerichtet ist, die zudem in weiteren Abgleichschritten (automatisiert) mit bestimmten Datenbeständen verknüpft werden und so zu weiteren Informationen führen können, nach denen zu suchen die Polizei zuvor keine Veranlassung hatte.

Der Grundrechtseingriff gewinnt auch dann an Gewicht, wenn sich die Recherchen nicht gegen näher bestimmbare Personen richten und kein sachlicher Bezug zwischen dem gefährdeten Rechtsgut und den von der automatisierten Anwendung Betroffenen vorausgesetzt wird. Es fehlt dann jeder auf Tatsachen beruhende Bezug zu einer konkret verantwortlichen Person. Ein solcher Bezug wird dann erst durch die Maßnahme hergestellt und es steigt die Gefahr, dass Personen in weitere polizeiliche Maßnahmen einbezogen werden, die hierfür keinen zurechenbaren Anlass gegeben haben.

Der Unterschied: Ort oder Person

Neben einer Vielzahl von Kriterien, deren Aufzählung an dieser Stelle zu weit führen würde (und auch nicht sinnvoll ist), macht das BVerfG eine ganz klare Aussage:

  • Die Eingriffsintensität ist regelmäßig geringer, wenn die Datenanalyse oder -auswertung nicht auf personenbezogene Erkenntnisse, sondern etwa auf die Erkennung gefährlicher oder gefährdeter Orte gerichtet ist.
  • Besonders eingriffsintensiv ist die Datenanalyse aber dann, wenn das Ergebnis der automatisierten Anwendung personenbezogene Erkenntnisse sind und dieses Ergebnis maschinelle Bewertungen von Sachverhalten enthält, die also über die bloße Anzeige von Übereinstimmungen zwischen dem Suchkriterium und den durchsuchten Daten hinausgehen. Eingriffsintensiv ist es insbesondere, wenn im Sinne eines „predictive policing“ maschinell Gefährlichkeitsaussagen über Personen getroffen werden.

Oder kurz: Der Einsatz von Datenanalysen zur Vorhersage räumlich definierter Verbrechensschwerpunkte wird eher wenig kritisch zu sehen sein; wenn aber eine Datenanalyse alleine aufgrund der statistischen Verarbeitung von Datensätzen zu einer Person oder Personengruppe führt, wird es kaum tragbar, dies zulässig auszugestalten.

Fazit zum Predictive Policing

Die nun vorliegende Entscheidung des Bundesverfassungsgerichts hatte bereits einige Beachtung, ich denke, sie wird auf Jahrzehnte prägend sein und an Bedeutung massiv gewinnen. Inhaltlich erscheint sie mir vorwiegend wie eine Weiterentwicklung der Grundsätze, die schon zur Rasterfahndung erarbeitet wurden – geht in der Bedeutung aber schon deswegen weiter, weil der moderne Ansatz der Vorhersage von Verbrechen durch technische Weiterentwicklung immer stärker in den Fokus gerückt wird.

Dabei dürfte es absehbar sein, dass irgendwann der Punkt erreicht ist, dass die statistische Vorhersage von „Crime-Hotspots“ so gut funktioniert, dass es gerade der verfassungsrechtliche Schutz gebietet, diese Möglichkeit auch im polizeilichen Einsatz umzusetzen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.