Sicherheitsrechtliche Wende ohne Gefolgschaft – Verfassungsblog – Cyber Tech
Die von rechtlichen Maßstäben entkoppelte Datenverarbeitung des BKA
Morgen wird das Bundesverfassungsgericht (BVerfG) über das Bundeskriminalamtsgesetz (BKAG) 2018 entscheiden. Die mündliche Verhandlung am 20. Dezember 2023 hinterließ den Eindruck, dass das Gericht die in Frage stehenden Normen zumindest teilweise beanstanden wird. Neben umstrittenen heimlichen Maßnahmen, wie die langfristige Statement gegen sogenannte Kontaktpersonen, ist die Verarbeitung personenbezogener Daten durch das BKA Gegenstand des Verfahrens. Das BVerfG dürfte mit seinem Urteil in erster Linie die Verfassungsmäßigkeit einiger informationeller Befugnisse des BKAG in den Blick nehmen, weniger hingegen die derzeitige Praxis bei der Verarbeitung von personenbezogenen Daten. Dass diese weit von den informationellen Befugnissen und verfassungsrechtlichen und unionsrechtlichen Maßstäben entfernt sind, zeigen unter anderem Dokumente, die auf mehrere Anträge nach dem Informationsfreiheitsgesetz herausgegeben wurden.
Mehrere Millionen Betroffene
Das BKA verarbeitet als Zentralstelle der deutschen Polizeien gem. § 2 BKAG Millionen von personenbezogenen Daten mit überwiegend sensiblen Inhalten. Die so verarbeiteten Daten sind verfahrensexterne Daten, die sich nicht auf ein konkretes Strafverfahren beziehen, „sondern von denen die Polizei annimmt, dass sie zukünftig nützlich sein können, um polizeiliche Aufgaben zu erfüllen“ (so treffend Bäcker). Technisch umgesetzt wird diese Verarbeitung momentan noch durch INPOL, das polizeilichen Informationssystem zwischen Bund und Ländern. In INPOL finden sich ca. 180 Zentral- und Verbundsdateien, auf die nicht nur das BKA selbst, sondern alle deutschen Polizeien Zugriff haben (vgl. § 29 Abs. 3 BKAG). Regelmäßige parlamentarische Anfragen geben einen vagen Eindruck von der Menge an Daten: 6,7 Millionen Portraitaufnahmen in der Datei „DIGILIB“, erkennungsdienstliche Informationen von 6,6 Millionen Asylsuchenden, DNA-Muster von mehr als 800.000 Personen (Anlage zu BT-Drs. 20/6633). Die Abteilung Polizeilicher Staatsschutz des BKA verfügt über spezielle Dateien, die Aufschluss über die politische Gesinnung geben sollen. So befinden sich ca. 10.000 Personendatensätze in der Datei „Gewalttäter Hyperlinks“ (Anlage zu BT-Drs. 19/15346). Noch weniger spezifisch speichert das BKA in der sogenannten „Funkzellendatenbank“. In dieser Datei befinden sich mit knapp 100 Millionen Datensätzen personenbezogene Daten, die durch Funkzellenabfragen erhoben wurde (BfDI, 30. TB, S. 90).
„Verbundsrelevanz“ in der Speicherpraxis
Zentraler Baustein von INPOL ist der Kriminalaktennachweis (KAN). Eine Kriminalakte ist die über natürliche Personen nach einheitlichen Kriterien besonders geführte Sammlung personenbezogener Daten. Die Länderpolizeien entscheiden, ob ihre Länder-Kriminalakten eine „Verbundsrelevanz“ aufweisen und stellen deren Eckdaten in INPOL allen Verbundsteilnehmern zur Verfügung. Kriminalaktennachweise von etwa 4 Millionen Personen sind in INPOL gespeichert (Anlage BT-Drs.: 20/6633). Liest man § 30 Abs. 1 Nr. 1 BKAG, überrascht diese Zahl zunächst. Denn danach ist zentraler Maßstab für die Verbundspeicherung die länderübergreifende, internationale oder erhebliche Bedeutung der zu speichernden Daten. Laut der Rahmenrichtlinie des BKAs (hier als Anlage 7) genügt für die bundesweite Verfügbarkeit der Kriminalakte jedoch die gewohnheits- oder gewerbsmäßige Begehung von Straftaten, wie sie regelmäßig etwa bei Armutskriminalität angenommen wird, oder die Verfolgung politischer Ziele bei Straftaten, wie sie bei jeder Straftat nach den Versammlungsgesetzen vorliegen dürfte. Durch den Verweis der KAN-RL auf § 100a StPO sind ebenso Straftaten wie die missbräuchliche Asylantragsstellung nach § 84 Abs. 3 AsylG oder die einfache Brandstiftung nach § 306 StGB erfasst. Letztlich liegt die Entscheidung in der Verantwortung der jeweiligen Sachbearbeiter:in, was zu einer uneinheitlichen Speicherpraxis führen dürfte. Die Speichervoraussetzungen für die oben erwähnten Staatsschutz-Dateien sind noch niedriger. Hier genügt nahezu jede Straftat, wie etwa die Nötigung oder gar jede „sonstige polizeiliche[n] Maßnahmen zur Verhinderung anlassbezogener Straftaten“ (s. EAO Gewalttäter Hyperlinks).
Datenspeicherungen über Unschuldige
Doch werden längst nicht nur Daten rechtskräftig verurteilter Straftäter:innen gespeichert. Denn auch für § 30 BKAG gilt § 16 Abs. 1 sowie § 18 und § 19 BKAG (Lisken/Denninger PolR-HdB/Arzt, G Rn. 1206). Nach § 18 Abs. 1 BKAG können auch Daten von Beschuldigten sowie Personen, die noch keine Beschuldigten sind, aber einer Straftat verdächtig sind, weil wegen der Artwork oder Ausführung der Tat, der Persönlichkeit der betroffenen Particular person oder sonstiger Erkenntnisse Grund zu der Annahme besteht, dass zukünftig Strafverfahren gegen sie zu führen sind, gespeichert werden. Auch die Erstellung dieser „Negativprognose“ liegt im Verantwortungsbereich der Sachbearbeiter:innen der Länderpolizeien. Diese „Negativprognosen“ fehlen jedoch teilweise, wie die Überprüfung durch die datenschutzrechtliche Aufsicht regelmäßig ergaben (siehe etwa: BfDI 30. TB, S. 91; LfDI BW, 33. TB, S. 62).
Selbst Daten von Personen, die freigesprochen wurden oder deren Strafverfahren mangels hinreichenden Tatverdachts gemäß § 170 Abs. 2 StPO eingestellt wurde, dürfen (weiter-)gespeichert werden. Denn laut § 18 Abs. 5 BKAG genügt ein sogenannter Restverdacht (grundlegend dazu: BVerfG, Beschl. v. 16.5.2002 – 1 BvR 2257/01). Die Frage, ob die Speicherung in INPOL wegen einer Verurteilung oder lediglich wegen eines „Restverdachtes“ erfolgt, wird dabei regelmäßig nicht in den Daten ergänzt; teilweise lässt die Staatsanwaltschaft auch die Gründe der Einstellung zu Lasten der Betroffenen offen (zur Problematik: Ogorek, ZRP 2023, 86, 88). Darüber hinaus können gemäß § 18 Abs. 1 Nr. 4 BKAG sogar Daten von Personen gespeichert werden, für die nie ein strafrechtlicher Anfangsverdacht bestand, sondern bei denen lediglich „tatsächliche Anhaltspunkte dafür vorliegen, dass die betroffenen Personen in naher Zukunft Straftaten von erheblicher Bedeutung begehen werden.“ Damit wird eine Personengruppe von großer Unbestimmtheit in die gesetzliche Regelung einbezogen (so Graulich in Schenke/Graulich/Ruthig, BKAG § 18 Rn. 6).
Ohnehin werden die Daten – anders als etwa beim Bundeszentralregister – nicht nach Ablauf einer bestimmten Frist automatisch gelöscht. Sie unterfallen gemäß § 77 Abs. 1 S. 1 BKAG einer Aussonderungsprüffrist. Diese beträgt bei Erwachsenen 10 Jahre und beginnt bei Zuspeicherung neuer Daten aufs Neue. Möchten erwachsene Personen ihre Daten vorher berichtigen oder löschen, etwa weil ein Freispruch erfolgte, mutet ihnen der Gesetzgeber zu, einen Antrag zu stellen. Dabei misst er den Betroffenen nicht nur die finanziellen, sprachlichen und sozialen Kapazitäten zu, um diesen Antrag zu stellen, sondern darüber hinaus auch das Wissen, dass eine solche Speicherung möglich ist, denn Betroffene werden nicht über die Weiterverarbeitung ihrer Daten informiert (eine optimistic Ausnahme stellt hier § 55 Abs. 1 S. 3 BremPolG dar). Sollte das Löschbegehren dann dennoch geprüft werden, so greift das BKA auch 2024 auf eine Verwaltungsvorschrift zurück, die anhand der seit sechs Jahren veralteten Rechtsgrundlage des § 32 BKAG a.F. die Prüfung erläutert.
Personengebundene und ermittlungsbezogene Hinweise
Die Speicherung dieser Informationen hat zur Folge, dass jede:r Polizeibeamt:in in Deutschland (vgl. § 29 Abs. 3 BKAG) diese Informationen einsehen kann. Anlässe sind oft niedrigschwellige Maßnahmen, wie die Passkontrolle am Flughafen oder eine Verkehrskontrolle. Neben dem hinterlegten Delikt sind gem. § 16 Abs. 6 BKAG zudem auch sog. personengebundene Hinweise (PHWs) und ermittlungsbezogene Hinweise (EHWs) für die Polizeibeamt:innen sichtbar. So erscheint deutlich sichtbar etwa der Hinweis „PSYV“, der bedeutet, dass die Particular person nach ärztlichen Erkenntnissen eine „Psychische und Verhaltensstörung“ aufweist. Etwa eine halbe Million Menschen speichert das BKA in der Kategorie „BTMK“ (BtM-Konsument:innen) (Anlage BT-Drs.: 20/6633). Für mehr als 3000 der 65.000 allein durch das BKA vergebenen PHWs gab es keine dokumentierte Begründung, wie der BfDI jüngst bei einer stichprobenartigen Kontrolle feststellte (BfDI, 32. TB, S. 120). Der kurz gehaltene Leitfaden für die Vergabe von PHWs ist bekannt. Ein Leitfaden für EHWs, wie etwa dem unklaren Hinweis „Politisch motivierter Straftäter Ausprägung: – nicht zuzuordnen“ ist bisher als Verschlusssache eingestuft. Länder-Polizeien verwenden darüber hinaus eindeutig stigmatisierende EHWs, wie beispielsweise „Clankriminalität“ und „Clankriminalität-Umfeld“ in Berlin (AGH-Drs. 18/2377, S. 7).
Der Grundsatz der hypothetischen Datenneuerhebung in der Theorie…
Im BKAG-Urteil von 2016 stellte das BVerfG (Urt. v. 20.4.2016 – 1 BvR 966/09, 1 BvR 1140/09) das „Zentralparadigma des Sicherheits-Datenschutzverfassungsrechts“ (Gärditz, GSZ, 2017, 1, 3) auf. Daten sollen grundsätzlich nur zu dem Zweck gespeichert, verändert und genutzt werden dürfen, zu dem sie auch erhoben wurden. Aus der Zweckbindung der Daten folgt, dass Daten, die für einen geänderten Zweck verarbeitet werden sollen, auch für diesen mit vergleichbar schwerwiegenden Mitteln neu erhoben werden dürften. Dieser Grundsatz der „hypothetische Datenneuerhebung“ wurde in § 12 Abs. 2 BKAG einfachgesetzlich normiert (BVerfG, ebd. Rn. 287ff). §§ 14 (Kennzeichnung) und 15 BKAG (Zugriffberechtigung) sollen diese verfassungsrechtlichen Vorgaben umsetzen (vgl. Schenke/Graulich/Ruthig/Graulich, BKAG § 14 Rn. 1). Der Grundsatz ist zentral: Bei jedem datenschutzrechtlichen Verarbeitungsschritt, wie etwa der Speicherung der in einem Strafverfahren erhobenen Daten im Informationsverbund, aber grundsätzlich auch dem Abrufen von Informationen aus dem Informationsverbund, muss geprüft werden, ob die Voraussetzungen, die zur Erhebung der Daten nötig waren, auch jetzt vorliegen.
…und in der Praxis
Bis heute wurde jedoch versäumt, diese Vorgaben technisch umzusetzen. Dass das BKAG 2018 an den damaligen technischen Voraussetzungen der Praxis vorbeigeschrieben wurde, ist bedauerlich. Dass acht Jahre nach dem BKAG-Urteil die Umsetzung dieser Prinzipien technisch immer noch nicht vollzogen ist, „unterstreicht, mit welcher Chuzpe hier gesetzliche und verfassungsrechtliche Anforderungen seitens des BKA und BMI ignoriert werden“ (Lisken/Denninger PolR-HdB/Arzt, G Rn. 1201). Auf die durch das BKAG-Urteil großflächig festgestellten Eingriffe in die informationelle Selbstbestimmung reagiert das BKA mit dem Grundsatz, „dass die Datenverarbeitung im Informationssystem des BKA und im Informationsverbund nicht „großflächig beeinträchtigt“ werden dürfe.
„Übergang“ advert infinitum
Deutlich werden die Versäumnisse durch ein Rechercheprojekt von FragDenStaat zur Verarbeitung personenbezogener Daten beim BKA. Zentraler Ansatzpunkt des BKA zur Rechtfertigung des established order ist der erst spät in das BKAG hineinverhandelte § 91, der sich der Kritik ausgesetzt sieht, „eine verfassungswidrige Rechtslage auf unbestimmte Zeit“ fortzuschreiben (NK-BKAG/Barczak, 1. Aufl. 2023, BKAG § 91 Rn. 2). Diese unbefristete „Übergangsvorschrift“ setzt die Kennzeichnungspflicht für alle vor dem Inkrafttreten des BKAG am 25. Mai 2018 gespeicherten personenbezogenen Daten außer Kraft. Allein dies ist verfassungsrechtlich bedenklich, denn ohne Kennzeichnungspflicht ist die Umsetzung der hypothetischen Datenneuerhebung kaum denkbar. Das BKA erkennt in einem zentralen Vermerk zu dieser Norm den Willen des Gesetzgebers, sich über die verfassungsrechtlichen Maßstäbe hinwegzusetzen.
Das BKA legt die Norm noch weiter aus und wendet diese auf sogenannte „unechte Altdaten“ an. Dies sind neue Daten (ab dem 25. Mai 2018), die die Voraussetzungen der alten Errichtungsanordnungen erfüllen. Errichtungsanordnungen sind nach § 34 BKAG a.F. Verwaltungsvorschriften, die die Inhalte einer Zentral- oder Verbunddatei festlegen. Für diese Daten suspendiert das BKA eigenmächtig den § 14 Abs. 1 BKAG und fordert eine Kennzeichnung nur „soweit dies technisch möglich und handhabbar ist.“ Auf die Anwendung dieser alten Errichtungsanordnungen battle das BKA jedoch bestens vorbereitet – so sind alle bisher im Rahmen der o.g. IFG-Anfrage herausgegebenen Errichtungsanordnungen pünktlich zum Inkrafttreten des BKAG aktualisiert worden und weisen den Stand von 11. Mai 2018 aus.
Noch grundlegender setzt das BKA auch am Zentralparadigma des Sicherheits-Datenschutzverfassungsrechts, der hypothetischen Datenneuerhebung, an. So will es auch den § 12 Abs. 1 BKAG für „echte Altdaten“ suspendiert sehen. Dabei erwähnt der § 91 BKAG den § 12 BKAG ausdrücklich nicht. Dennoch sei bei „echten Altdaten“ eine hypothetische Datenneuerhebung nicht erforderlich, da diese mangels Informationen ja gar nicht möglich sei. Mit anderen Worten: Eine Speicherung sei rechtmäßig, weil die Tatsachengrundlage für die Verhältnismäßigkeitsprüfung verfassungswidrig nicht erfasst wurde.
Vereinbarkeit mit Unionsrecht und BDSG
Eine weitere Baustelle des Datenhauses ist die Konformität mit der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (sog. Justiz- und Inneres Richtlinie, kurz: JI-RL). Dies geschieht im Wesentlichen durch den 3. Teil des BDSG (§§ 45 bis 84), der eine „Minimalumsetzung“ der JI-RL darstellt (Arzt, DÖV 2023, 991). Ein allgemeiner Verweis auf die Anwendbarkeit des 3. Teils des BDSG fehlt jedoch bisher im BKAG. Besonders deutlich tritt der fehlende Umsetzungswille des Gesetzesgebers bei Artwork. 10 der JI-RL hervor. Demnach sind ist die Verarbeitung besonderer Kategorien personenbezogener Daten, wie beispielsweise die rassische oder ethnische Herkunft, die politische Meinung, religiöse Überzeugungen aber auch biometrischen Daten nur dann erlaubt, wenn sie u.a. unbedingt erforderlich ist und vorbehaltlich geeigneter Garantien für die Rechte und Freiheiten der betroffenen Particular person erfolgt. Die Umsetzung durch § 48 BDSG gilt als zu unbestimmt und dürfte unionsrechtlicher Kontrolle nicht standhalten (Stellungnahme der DSK zum BDSG v. 2.3.2021, S. 13). Diese unionsrechtswidrige Umsetzung lässt Raum für eine diskriminierende polizeiliche Praxis. Zu jeder in der Verbund- und Zentralsystem des BKA gespeicherten Particular person werden Daten gespeichert, die eine „unmittelbare oder mittelbare Zuschreibung ‚rassischer oder ethnischer Herkunft* erlauben“. Das birgt das Risiko rassistischer Diskriminierung (Töpfer, Analyse Risiken rassistischer Diskriminierung durch polizeiliche Datenverarbeitung, S. 29, S. 42). So zählen zu den Grunddaten einer Particular person die „Volkszugehörigkeit“ (§ 1 Abs. 1 Nr. 17 BKADV), die „äußere Erscheinung“ (§ 1 Abs. 2 Nr. 2e BKADV), „verwendete Sprachen“ (§ 1 Abs. 2 Nr. 4 BKADV) oder eine „Mundart“ (§ 1 Abs. 2 Nr. 5 BKADV).
Doch auch an der Umsetzung klarer, einfachgesetzlicher Vorgaben mit unionsrechtlichem Hintergrund scheitert das BKA bisher. So muss es gem. § 67 BDSG eine Datenschutzfolgenabschätzung abgeben und gem. § 70 BDS ein Verarbeitungsverzeichnis zu führen. Der BfDI konnte eine Umsetzung bisher nicht feststellen (vgl. BfDI, 31. TB, S. 64).
Im Zentrum des Sonnensystems
Hält man das BKAG-Urteil von 2016, wie Richter Wolff, für die „Kopernikanische Wende“ des Sicherheitsrechts, so hängen BKA und BMI nach wie vor am geozentrischen Weltbild. Bei der Diskussion des kommenden BKAG-II-Urteils sollte die aktuelle Verarbeitungspraxis und die tatsächlich vorhandenen technischen Voraussetzungen berücksichtigt werden. Auch bei den um sich greifenden Diskussionen über den Einsatz von KI und über das Coaching der KI müssen der Umgang des BKA mit Daten von Millionen von Menschen und die „langwierige Beseitigung der […] festgestellten Datenschutzverstöße“ (so der BfDI bezüglich des VBS des BKA, 30. TB, S. 89) mitgedacht werden.