BVerfG: Regelungen zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten in Hessen und Hamburg verfassungswidrig
BVerfG
Urteil vom 16.02.2023
1 BvR 1547/19 und 1 BvR 2634/20
Das Bundesverfassungsgericht hat entschieden, dass die Regelungen zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten in Hessen und Hamburg verfassungswidrig sind. Es liegt ein rechtswidriger Eingriff in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) vor.
Die Pressemitteilung des Bundesverfassungsgerichts:
Regelungen in Hessen und Hamburg zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten sind verfassungswidrig
Mit heute verkündetem Urteil hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass § 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) verfassungswidrig sind. Sie ermächtigen die Polizei, gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten.
Die Vorschriften verstoßen gegen das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG) in seiner Ausprägung als informationelle Selbstbestimmung, weil sie keine ausreichende Eingriffsschwelle enthalten. Sie ermöglichen eine Weiterverarbeitung gespeicherter Datenbestände mittels einer automatisierten Datenanalyse oder -auswertung in begründeten Einzelfällen, wenn dies zur vorbeugenden Bekämpfung bestimmter Straftaten erforderlich ist. Dieser Eingriffsanlass bleibt angesichts der besonders daten- und methodenoffen formulierten Befugnisse weit hinter der wegen des konkreten Eingriffsgewichts verfassungsrechtlich gebotenen Schwelle einer konkretisierten Gefahr zurück.
§ 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens jedoch bis zum 30. September 2023 mit einschränkender Maßgabe fort. § 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig.
Sachverhalt:
Die beiden weitgehend gleichlautenden Regelungen in § 25a Abs. 1 HSOG und in § 49 Abs. 1 HmbPolDVG schaffen eine spezielle Rechtsgrundlage dafür, bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen zu vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch zu erschließen. Die Vorschriften ermächtigen die Polizei, in begründeten Einzelfällen zur vorbeugenden Bekämpfung schwerer Straftaten im Sinne von § 100a Abs. 2 StPO (Alternative 1) oder zur Abwehr von Gefahren für bestimmte Rechtsgüter (Alternative 2) gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten. Auf diese Weise können nach Absatz 2 der jeweiligen Regelung insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.
In Hessen wird von den Befugnissen des § 25a HSOG jährlich tausendfach über die Analyseplattform „hessenDATA“ Gebrauch gemacht. Demgegenüber wird § 49 HmbPolDVG bislang nicht angewendet.
Wesentliche Erwägungen des Senats:
A. Die Verfassungsbeschwerden sind nur zulässig, soweit sie gegen die Eingriffsschwelle in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG (Datenanalyse oder -auswertung zur vorbeugenden Bekämpfung von Straftaten) gerichtet sind. Im Übrigen sind sie unzulässig.
B. Soweit sie zulässig sind, sind die Verfassungsbeschwerden auch begründet.
I. Werden gespeicherte Datenbestände mittels einer automatisierten Anwendung zur Datenanalyse oder -auswertung verarbeitet, greift dies in die informationelle Selbstbestimmung aller ein, deren Daten bei diesem Vorgang personenbezogen Verwendung finden. Ein Grundrechtseingriff liegt hier nicht nur in der weiteren Verwendung vormals getrennter Daten, sondern darüber hinaus in der Erlangung besonders grundrechtsrelevanten neuen Wissens, das durch die automatisierte Datenauswertung oder -analyse geschaffen werden kann.
II. Eine automatisierte Datenanalyse oder -auswertung bedarf verfassungsrechtlicher Rechtfertigung. Diese ist grundsätzlich möglich. Sie setzt insbesondere die Vereinbarkeit mit dem Grundsatz der Verhältnismäßigkeit voraus, dessen Anforderungen sich nach der konkreten Reichweite der Befugnis richten. Die angegriffenen Regelungen dienen dem legitimen Zweck, vor dem Hintergrund informationstechnischer Entwicklung die Wirksamkeit der vorbeugenden Bekämpfung schwerer Straftaten zu steigern, indem Anhaltspunkte für bevorstehende schwere Straftaten gewonnen werden, die im Datenbestand der Polizei ansonsten unerkannt blieben. Es wurde hier dargelegt, die Polizeibehörden seien infolge der insbesondere in den Bereichen terroristischer und extremistischer Gewalt sowie der organisierten und schweren Kriminalität zunehmenden Nutzung digitaler Medien und Kommunikationsmittel mit einem ständig anwachsenden und nach Qualität und Format zunehmend heterogenen Datenaufkommen konfrontiert. Die dazu in den polizeilichen Datenbeständen enthaltenen Informationen könnten gerade unter Zeitdruck kaum manuell gewonnen werden; eine automatisierte Datenanalyse sei daher von großer Bedeutung für erfolgreiches polizeiliches Handeln. Zur Steigerung der Wirksamkeit vorbeugender Straftatenbekämpfung sind die Regelungen auch im verfassungsrechtlichen Sinne geeignet. Sie sind auch erforderlich, weil durch eine automatisierte Datenanalyse oder -auswertung für die Verhütung von Straftaten relevante Erkenntnisse erschlossen werden können, die auf andere, grundrechtsschonendere Weise nicht gleichermaßen zu gewinnen wären.
III. Spezielle Anforderungen an die Rechtfertigung des Grundrechtseingriffs ergeben sich hier aus dem Gebot der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem Eingriffsgewicht der Maßnahme.
1. Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung ergibt sich zunächst aus dem Gewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die Grundsätze der Zweckbindung und Zweckänderung, wie sie bereits im Urteil zum Bundeskriminalamtgesetz näher konturiert wurden.
Danach kann der Gesetzgeber eine Datennutzung über das für die Datenerhebung maßgebende Verfahren hinaus als weitere Nutzung im Rahmen der ursprünglichen Zwecke dieser Daten erlauben (zweckwahrende Weiternutzung). Diese zweckwahrende Weiternutzung kommt seitens derselben Behörde im Rahmen derselben Aufgabe und für den Schutz derselben Rechtsgüter in Betracht, die bereits für die Datenerhebung maßgeblich waren. Grundsätzlich ist dann die weitere Nutzung als bloßer Spurenansatz erlaubt.
Der Gesetzgeber kann eine weitere Nutzung der Daten aber auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben (zweckändernde Weiternutzung). Als Maßstab der Verhältnismäßigkeitsprüfung gilt insoweit das Kriterium der hypothetischen Datenneuerhebung. Danach kann der Gesetzgeber die zweckändernde Weiternutzung von Daten der Polizeibehörden grundsätzlich dann erlauben, wenn es sich um Informationen handelt, aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Aufdeckung von vergleichbar gewichtigen Straftaten oder zur Abwehr von zumindest auf mittlere Sicht drohenden Gefahren für vergleichbar gewichtige Rechtsgüter wie die ergeben, zu deren Schutz bereits die entsprechende Datenerhebung zulässig ist.
In beiden Konstellationen gelten strengere Anforderungen für eine Weiternutzung von Daten aus Wohnraumüberwachungen und Online-Durchsuchungen.
Nach § 25a HSOG und § 49 HmbPolDVG können personenbezogene Daten sowohl zweckwahrend als auch zweckändernd weiterverarbeitet werden. Die beiden Vorschriften erlauben die Verarbeitung sehr großer Datenmengen, im Wesentlichen ohne selbst nach der Herkunft der Daten und den ursprünglichen Erhebungszwecken zu unterscheiden. Zur Wahrung der verfassungsrechtlichen Anforderungen der Zweckbindung müssten darum anderweitig hinreichend normenklare Regelungen getroffen sein, die die Einhaltung des Grundsatzes der Zweckbindung rechtlich und praktisch sichern.
2. Darüber hinaus hat die automatisierte Datenanalyse oder -auswertung ein Eigengewicht, weil die weitere Verarbeitung einmal erhobener und gespeicherter Daten durch eine automatisierte Datenanalyse oder -auswertung eigene Belastungseffekte haben kann, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen; insoweit ergeben sich aus dem Grundsatz der Verhältnismäßigkeit im engeren Sinne weitergehende Rechtfertigungsanforderungen.
a) Die automatisierte Datenanalyse oder -auswertung ist darauf gerichtet, neues Wissen zu erzeugen. Die handelnde Behörde kann aus den zur Verfügung stehenden Daten mit praktisch allen informationstechnisch möglichen Methoden weitreichende Erkenntnisse abschöpfen sowie aus der Auswertung neue Zusammenhänge erschließen. Zwar ist es für sich genommen nicht ungewöhnlich, dass die Polizei ihre einmal gewonnenen Erkenntnisse als Spuren- oder Ermittlungsansätze allein oder in Verknüpfung mit anderen ihr zur Verfügung stehenden Informationen als Ausgangspunkt weiterer Ermittlungen nutzt. Die automatisierte Analyse oder Auswertung geht aber schon deshalb weiter, weil sie die Verarbeitung großer und komplexer Informationsbestände ermöglicht. Je nach der eingesetzten Analysemethode können zudem durch verknüpfende Auswertung vorhandener Daten neue persönlichkeitsrelevante Informationen gewonnen werden, die ansonsten so nicht zugänglich wären. Die Maßnahme erschließt die in den Daten enthaltenen Informationen damit intensiver als zuvor. Sie bringt nicht nur in den Daten angelegte, aber zunächst mangels Verknüpfung verborgene Erkenntnisse über Personen hervor, sondern kann sich bei entsprechendem Einsatz einem „Profiling“ annähern. Denn es können sich softwaregestützt neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden. Der Grundsatz der Zweckbindung könnte dem Eingriffsgewicht dann für sich genommen nicht hinreichend Rechnung tragen.
b) Insoweit variieren die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung, da deren eigene Eingriffsintensität je nach gesetzlicher Ausgestaltung ganz unterschiedlich sein kann.
aa) Generell wird das Gewicht eines Eingriffs in die informationelle Selbstbestimmung vor allem durch Art, Umfang und denkbare Verwendung der Daten sowie die Gefahr ihres Missbrauchs bestimmt. Daneben beeinflusst die zugelassene Methode der Datenanalyse oder -auswertung die Eingriffsintensität. Besonderes Eingriffsgewicht kann der Einsatz komplexer Formen des Datenabgleichs haben. Insgesamt ist die Methode automatisierter Datenanalyse oder -auswertung umso eingriffsintensiver, je breitere und tiefere Erkenntnisse über Personen dadurch erlangt werden können, je höher die Fehler- und Diskriminierungsanfälligkeit ist und je schwerer die softwaregestützten Verknüpfungen nachvollzogen werden können.
bb) Mit der vom Gesetzgeber durch Regelungen zu Art und Umfang der Daten und zur Begrenzung der Auswertungsmethode steuerbaren Eingriffsintensität korrespondieren die verfassungsrechtlichen Anforderungen an die Eingriffsvoraussetzungen. Die dem Eingriffsgewicht entsprechenden Anforderungen des Gebots der Verhältnismäßigkeit im engeren Sinne richten sich sowohl an das mit der Maßnahme zu schützende Rechtsgut als auch an die Eingriffsschwelle, also den Anlass der Maßnahme.
Ermöglicht die automatisierte Anwendung einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung der Betroffenen, ist dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten. Sie sind nur zum Schutz besonders gewichtiger Rechtsgüter – etwa Leib, Leben oder Freiheit der Person – zulässig. Die verfassungsrechtlich erforderliche Eingriffsschwelle ist hier die hinreichend konkretisierte Gefahr.
Hingegen können, wenneine konkretisierte Gefahr vorliegt, weniger gewichtige Eingriffe bereits dann zu rechtfertigen sein, wenn sie dem Schutz von Rechtsgütern von zumindest erheblichem Gewicht dienen, etwa zur Verhütung von Straftaten von zumindest erheblicher Bedeutung. Umgekehrt kann dann, sofern die Maßnahme dem Schutz hochrangiger, überragend wichtiger oder auch besonders gewichtiger Rechtsgüter dient, eine Eingriffsschwelle genügen, die noch hinter einer konkretisierten Gefahr zurückbleibt.
Sind die einbeziehbaren Daten gesetzlich nach Art und Umfang in einer Weise reduziert und die möglichen Methoden der automatisierten Analyse oder Auswertung von vornherein so eingeschränkt, dass eine auf die Befugnis gestützte Maßnahme nicht zu tieferen Einsichten in die persönliche Lebensgestaltung der Betroffenen führt als sie die Behörde, wenngleich aufwendiger und langsamer, auch ohne automatisierte Anwendung realistisch erlangen könnte, oder zielt die Befugnis von vornherein nur darauf, gefährliche oder gefährdete Orte zu identifizieren, ohne dabei personenbezogene Informationen zu generieren, kann sogar bereits die Einhaltung des Grundsatzes der Zweckbindung ausreichen, um die automatisierte Datenverarbeitung zu rechtfertigen.
cc) Die Schwelle einer wenigstens konkretisierten Gefahr für besonders gewichtige Rechtsgüter ist nur dann verfassungsrechtlich verzichtbar, wenn die zugelassenen Analyse- und Auswertungsmöglichkeiten normenklar und hinreichend bestimmt in der Sache so eng begrenzt sind, dass das Eingriffsgewicht der Maßnahmen erheblich gesenkt ist. Grundsätzlich kann der Gesetzgeber diese Regelungsaufgabe zwischen sich und der Verwaltung aufteilen. Er muss aber sicherstellen, dass unter Wahrung des Gesetzesvorbehalts insgesamt ausreichende Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden getroffen werden. Zur Regelung von Aspekten, die nicht unmittelbar vom Gesetzgeber selbst zu normieren sind, kommt eine Verordnungsermächtigung in Betracht. Darüber hinaus kann der Gesetzgeber hier die Verwaltung verpflichten, die im Gesetz oder in Rechtsverordnungen geregelten Vorgaben in abstrakt-genereller Form weiter zu konkretisieren. In jedem Fall bedarf die Konkretisierung durch Verwaltungsvorschriften aber einer gesetzlichen Grundlage. Darin hat der Gesetzgeber sicherzustellen, dass die für die Anwendung der Bestimmungen im Einzelfall maßgebliche Konkretisierung und Standardisierung seitens der Behörden nachvollziehbar dokumentiert und veröffentlicht wird.
c) Nach den dargelegten generellen Maßstäben ist das spezifische Eingriffsgewicht der daten- und methodenoffen formulierten Befugnisse zur Datenanalyse oder -auswertung nach § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG potentiell sehr hoch, so dass diese Regelungen von Verfassungs wegen strengen Eingriffsvoraussetzungen genügen müssen. Die Befugnisse lassen die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu. Sie erlauben der Polizei so, mit einem Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat. Daher gilt das Erfordernis einer konkretisierten Gefahr für besonders gewichtige Rechtsgüter.
aa) Die beiden Vorschriften begrenzen die Art und die Menge der bei einer Datenanalyse oder
-auswertung einsetzbaren Daten kaum. Sie regeln nicht, welche Arten von Daten und welche Datenbestände für eine automatisierte Datenanalyse oder -auswertung genutzt werden dürfen. Die Vorschriften unterscheiden insbesondere nicht nach Daten von Personen, die einen Anlass für die Annahme geben, sie könnten eine Straftat begehen oder in besonderer Verbindung zu solchen Personen stehen, und anderen Personen. Sie lassen eine breite Einbeziehung von Daten Unbeteiligter zu, die deshalb polizeilichen Ermittlungsmaßnahmen unterzogen werden könnten.
bb) Dem Wortlaut nach lassen sie zudem sehr weitreichende Methoden der automatisierten Datenanalyse und -auswertung zu. Der Gesetzgeber hat nicht eingegrenzt, welche Methoden der Analyse und Auswertung erlaubt sind. Die angegriffenen Vorschriften ermöglichen auch ein „Data-Mining“ bis hin zur Verwendung selbstlernender Systeme (KI). Dabei sind insbesondere auch offene Suchvorgänge zulässig. Die Datenauswertung oder -analyse darf darauf zielen, allein statistische Auffälligkeiten in den Datenmengen zu entdecken, aus denen dann, möglicherweise auch mit Hilfe weiterer automatisierter Anwendungen, weitere Schlüsse gezogen werden. Die Vorschriften schließen auch bezüglich der erzielbaren Suchergebnisse nichts aus. Nach dem Wortlaut könnte das
Suchergebnis in maschinellen Sachverhaltsbewertungen bestehen – bis hin zu Gefährlichkeitsaussagen über Personen im Sinne eines „predictive policing“.Es könnten also mittels Datenanalyse oder -auswertung neue persönlichkeitsrelevante Informationen erzeugt werden, auf die ansonsten kein Zugriff bestünde. Diese potenzielle Weite erzielbaren neuen Wissens wird auch nicht durch eingriffsmildernde Regelungen zu dessen Verwendung flankiert.
In Hamburg hat der Gesetzgeber den Versuch unternommen, so weitgehende Anwendungen auszuschließen, indem er anstelle des Wortes „Datenanalyse“ das Wort „Datenauswertung“ verwendet hat. Eine verfassungsrechtlich ausreichende Klarstellung, dass durch die automatisierte Anwendung lediglich mittels bestimmter Suchkriterien Übereinstimmungen ausgewiesen werden, nicht jedoch die polizeiliche Aus- und Bewertung der Daten ersetzt werden sollten, ist damit jedoch nicht gelungen.
cc) Die angegriffenen Befugnisse sind auch nicht dadurch verfassungsrechtlich relevant eingegrenzt, dass Techniken einer unbegrenzten Datenauswertung aktuell nicht zur Verfügung stünden. Selbst wenn Funktionsweiterungen erst infolge weiterer technischer Entwicklungen möglich sind, richten sich die verfassungsrechtlichen Anforderungen grundsätzlich nach den rechtlich schon jetzt geschaffenen Eingriffsmöglichkeiten.
IV. § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG genügen danach nicht den Anforderungen der Verhältnismäßigkeit im engeren Sinne, weil sie keine hinreichende Eingriffsschwelle enthalten.
1. Soweit die angegriffenen Vorschriften zur Datenanalyse oder -auswertung zwecks Verhütung der in § 100a Abs. 2 StPO genannten Straftaten ermächtigen, ist der Eingriffsanlass angesichts des beschriebenen Eingriffsgewichts unverhältnismäßig weit und damit verfassungswidrig geregelt. Auch die weitere Maßgabe beider Regelungen, es müsse ein begründeter Einzelfall vorliegen, enthält hier kaum nähere inhaltliche Festlegungen. In der mündlichen Verhandlung wurde zwar ein engeres Konzept beschrieben, nach dem die Voraussetzung des „Einzelfalls“ in der hessischen Polizeipraxis verstanden und angewendet werde. Es werde durchgehend an eine bereits begangene Straftat oder wenigstens den durch Tatsachen belegten Verdacht einer bereits begangenen Straftat angeknüpft und daraus eine Prognose für die Zukunft hergeleitet: Zum einen müsse für die Vergangenheit davon ausgegangen werden können, dass bereits eine Straftat nach § 100a Abs. 2 StPO begangen wurde. Zum anderen müsse aufgrund dieser Situation für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen sein.
Ungeachtet der näheren Ausgestaltung der hessischen Anwendungspraxis sind die verfassungsrechtlichen Anforderungen derzeit aber schon deshalb nicht erfüllt, weil das Konzept der hessischen Praxis von vornherein nicht auf die Identifizierung einer wenigstens konkretisierten Gefahr und der zu deren Abwehr geeigneten Daten zielt. Das ist aber wegen der daten- und methodenoffenen Ausgestaltung der Befugnis in § 25a HSOG und § 49 HmbPolDVG erforderlich.
Die angegriffenen Vorschriften regeln auch deshalb keine hinreichende Eingriffsschwelle, weil über den Katalog des § 100a Abs. 2 StPO auch Gefährdungstatbestände erfasst sind. Zwar ist dem Gesetzgeber verfassungsrechtlich nicht verwehrt, zur Bestimmung der Eingriffsvoraussetzungen auch an die Gefahr der Begehung von Vorfeldtatbeständen anzuknüpfen. Er muss dann aber eigens sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für die durch den Straftatbestand geschützten Rechtsgüter vorliegt. Daran fehlt es hier.
2. Die vorbeugende Bekämpfung von Straftaten im Sinne von § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG umfasst nach der gesetzlichen Definition nicht nur die Verhütung von Straftaten, sondern auch die Vorsorge zur Verfolgung künftiger Straftaten. Polizeiliche Datenbestände sollen im Wege der automatischen Datenauswertung genutzt werden, um Erkenntnisse für die zukünftige Aufklärungsarbeit und Ermittlungsverfahren zu gewinnen. Dass bereits eine Sachlage gegeben sein müsste, bei der eine konkrete oder eine konkretisierte Gefahr besteht, ist dem nicht zu entnehmen. Damit fehlt es auch hier an jeder eingrenzenden Konkretisierung des Eingriffsanlasses.
C. § 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens bis zum 30. September 2023 fort. Angesichts der Bedeutung, die der Gesetzgeber der Befugnis für die staatliche Aufgabenwahrnehmung beimessen darf, und wegen ihrer Bedeutung für die hessische Polizeipraxis ist eine befristete Fortgeltung eher hinzunehmen als eine Nichtigerklärung.
Die befristete Anordnung der Fortgeltung bedarf mit Blick auf die betroffenen Grundrechte jedoch einschränkender Maßgaben, die eine Neuregelung durch den Gesetzgeber aber nicht präjudizieren. Unter Zugrundelegung des in der hessischen Praxis gewählten Konzepts wird angeordnet, dass von der Befugnis des § 25a Abs. 1 Alt. 1 HSOG nur Gebrauch gemacht werden darf, wenn bestimmte, genügend konkretisierte Tatsachen den Verdacht begründen, dass eine besonders schwere Straftat im Sinne von § 100b Absatz 2 StPO begangen wurde und aufgrund der konkreten Umstände eines solchen im Einzelfall bestehenden Tatverdachts für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen ist, die Leib, Leben oder den Bestand oder die Sicherheit des Bundes oder eines Landes gefährden, wenn das Vorliegen dieser Voraussetzungen und die konkrete Eignung der verwendeten Daten zur Verhütung der zu erwartenden Straftat durch eigenständig auszuformulierende Erläuterung begründet wird und wenn sichergestellt ist, dass keine Informationen in die Datenanalyse einbezogen werden, die aus Wohnraumüberwachung, Online-Durchsuchung, Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden.
§ 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig. Es sind keine Umstände ersichtlich, die eine befristete Fortgeltungsanordnung erforderten und rechtfertigten.
Urteil vom 16.02.2023
1 BvR 1547/19 und 1 BvR 2634/20
Das Bundesverfassungsgericht hat entschieden, dass die Regelungen zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten in Hessen und Hamburg verfassungswidrig sind. Es liegt ein rechtswidriger Eingriff in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) vor.
Die Pressemitteilung des Bundesverfassungsgerichts:
Regelungen in Hessen und Hamburg zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten sind verfassungswidrig
Mit heute verkündetem Urteil hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass § 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) verfassungswidrig sind. Sie ermächtigen die Polizei, gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten.
Die Vorschriften verstoßen gegen das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG) in seiner Ausprägung als informationelle Selbstbestimmung, weil sie keine ausreichende Eingriffsschwelle enthalten. Sie ermöglichen eine Weiterverarbeitung gespeicherter Datenbestände mittels einer automatisierten Datenanalyse oder -auswertung in begründeten Einzelfällen, wenn dies zur vorbeugenden Bekämpfung bestimmter Straftaten erforderlich ist. Dieser Eingriffsanlass bleibt angesichts der besonders daten- und methodenoffen formulierten Befugnisse weit hinter der wegen des konkreten Eingriffsgewichts verfassungsrechtlich gebotenen Schwelle einer konkretisierten Gefahr zurück.
§ 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens jedoch bis zum 30. September 2023 mit einschränkender Maßgabe fort. § 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig.
Sachverhalt:
Die beiden weitgehend gleichlautenden Regelungen in § 25a Abs. 1 HSOG und in § 49 Abs. 1 HmbPolDVG schaffen eine spezielle Rechtsgrundlage dafür, bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen zu vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch zu erschließen. Die Vorschriften ermächtigen die Polizei, in begründeten Einzelfällen zur vorbeugenden Bekämpfung schwerer Straftaten im Sinne von § 100a Abs. 2 StPO (Alternative 1) oder zur Abwehr von Gefahren für bestimmte Rechtsgüter (Alternative 2) gespeicherte personenbezogene Daten mittels automatisierter Anwendung im Rahmen einer Datenanalyse (Hessen) oder einer Datenauswertung (Hamburg) weiter zu verarbeiten. Auf diese Weise können nach Absatz 2 der jeweiligen Regelung insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.
In Hessen wird von den Befugnissen des § 25a HSOG jährlich tausendfach über die Analyseplattform „hessenDATA“ Gebrauch gemacht. Demgegenüber wird § 49 HmbPolDVG bislang nicht angewendet.
Wesentliche Erwägungen des Senats:
A. Die Verfassungsbeschwerden sind nur zulässig, soweit sie gegen die Eingriffsschwelle in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG (Datenanalyse oder -auswertung zur vorbeugenden Bekämpfung von Straftaten) gerichtet sind. Im Übrigen sind sie unzulässig.
B. Soweit sie zulässig sind, sind die Verfassungsbeschwerden auch begründet.
I. Werden gespeicherte Datenbestände mittels einer automatisierten Anwendung zur Datenanalyse oder -auswertung verarbeitet, greift dies in die informationelle Selbstbestimmung aller ein, deren Daten bei diesem Vorgang personenbezogen Verwendung finden. Ein Grundrechtseingriff liegt hier nicht nur in der weiteren Verwendung vormals getrennter Daten, sondern darüber hinaus in der Erlangung besonders grundrechtsrelevanten neuen Wissens, das durch die automatisierte Datenauswertung oder -analyse geschaffen werden kann.
II. Eine automatisierte Datenanalyse oder -auswertung bedarf verfassungsrechtlicher Rechtfertigung. Diese ist grundsätzlich möglich. Sie setzt insbesondere die Vereinbarkeit mit dem Grundsatz der Verhältnismäßigkeit voraus, dessen Anforderungen sich nach der konkreten Reichweite der Befugnis richten. Die angegriffenen Regelungen dienen dem legitimen Zweck, vor dem Hintergrund informationstechnischer Entwicklung die Wirksamkeit der vorbeugenden Bekämpfung schwerer Straftaten zu steigern, indem Anhaltspunkte für bevorstehende schwere Straftaten gewonnen werden, die im Datenbestand der Polizei ansonsten unerkannt blieben. Es wurde hier dargelegt, die Polizeibehörden seien infolge der insbesondere in den Bereichen terroristischer und extremistischer Gewalt sowie der organisierten und schweren Kriminalität zunehmenden Nutzung digitaler Medien und Kommunikationsmittel mit einem ständig anwachsenden und nach Qualität und Format zunehmend heterogenen Datenaufkommen konfrontiert. Die dazu in den polizeilichen Datenbeständen enthaltenen Informationen könnten gerade unter Zeitdruck kaum manuell gewonnen werden; eine automatisierte Datenanalyse sei daher von großer Bedeutung für erfolgreiches polizeiliches Handeln. Zur Steigerung der Wirksamkeit vorbeugender Straftatenbekämpfung sind die Regelungen auch im verfassungsrechtlichen Sinne geeignet. Sie sind auch erforderlich, weil durch eine automatisierte Datenanalyse oder -auswertung für die Verhütung von Straftaten relevante Erkenntnisse erschlossen werden können, die auf andere, grundrechtsschonendere Weise nicht gleichermaßen zu gewinnen wären.
III. Spezielle Anforderungen an die Rechtfertigung des Grundrechtseingriffs ergeben sich hier aus dem Gebot der Verhältnismäßigkeit im engeren Sinne. Wie streng diese Anforderungen im Einzelnen sind, bestimmt sich nach dem Eingriffsgewicht der Maßnahme.
1. Das Eingriffsgewicht einer automatisierten Datenanalyse oder -auswertung ergibt sich zunächst aus dem Gewicht der vorausgegangenen Datenerhebungseingriffe; insoweit gelten die Grundsätze der Zweckbindung und Zweckänderung, wie sie bereits im Urteil zum Bundeskriminalamtgesetz näher konturiert wurden.
Danach kann der Gesetzgeber eine Datennutzung über das für die Datenerhebung maßgebende Verfahren hinaus als weitere Nutzung im Rahmen der ursprünglichen Zwecke dieser Daten erlauben (zweckwahrende Weiternutzung). Diese zweckwahrende Weiternutzung kommt seitens derselben Behörde im Rahmen derselben Aufgabe und für den Schutz derselben Rechtsgüter in Betracht, die bereits für die Datenerhebung maßgeblich waren. Grundsätzlich ist dann die weitere Nutzung als bloßer Spurenansatz erlaubt.
Der Gesetzgeber kann eine weitere Nutzung der Daten aber auch zu anderen Zwecken als denen der ursprünglichen Datenerhebung erlauben (zweckändernde Weiternutzung). Als Maßstab der Verhältnismäßigkeitsprüfung gilt insoweit das Kriterium der hypothetischen Datenneuerhebung. Danach kann der Gesetzgeber die zweckändernde Weiternutzung von Daten der Polizeibehörden grundsätzlich dann erlauben, wenn es sich um Informationen handelt, aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Aufdeckung von vergleichbar gewichtigen Straftaten oder zur Abwehr von zumindest auf mittlere Sicht drohenden Gefahren für vergleichbar gewichtige Rechtsgüter wie die ergeben, zu deren Schutz bereits die entsprechende Datenerhebung zulässig ist.
In beiden Konstellationen gelten strengere Anforderungen für eine Weiternutzung von Daten aus Wohnraumüberwachungen und Online-Durchsuchungen.
Nach § 25a HSOG und § 49 HmbPolDVG können personenbezogene Daten sowohl zweckwahrend als auch zweckändernd weiterverarbeitet werden. Die beiden Vorschriften erlauben die Verarbeitung sehr großer Datenmengen, im Wesentlichen ohne selbst nach der Herkunft der Daten und den ursprünglichen Erhebungszwecken zu unterscheiden. Zur Wahrung der verfassungsrechtlichen Anforderungen der Zweckbindung müssten darum anderweitig hinreichend normenklare Regelungen getroffen sein, die die Einhaltung des Grundsatzes der Zweckbindung rechtlich und praktisch sichern.
2. Darüber hinaus hat die automatisierte Datenanalyse oder -auswertung ein Eigengewicht, weil die weitere Verarbeitung einmal erhobener und gespeicherter Daten durch eine automatisierte Datenanalyse oder -auswertung eigene Belastungseffekte haben kann, die über das Eingriffsgewicht der ursprünglichen Erhebung hinausgehen; insoweit ergeben sich aus dem Grundsatz der Verhältnismäßigkeit im engeren Sinne weitergehende Rechtfertigungsanforderungen.
a) Die automatisierte Datenanalyse oder -auswertung ist darauf gerichtet, neues Wissen zu erzeugen. Die handelnde Behörde kann aus den zur Verfügung stehenden Daten mit praktisch allen informationstechnisch möglichen Methoden weitreichende Erkenntnisse abschöpfen sowie aus der Auswertung neue Zusammenhänge erschließen. Zwar ist es für sich genommen nicht ungewöhnlich, dass die Polizei ihre einmal gewonnenen Erkenntnisse als Spuren- oder Ermittlungsansätze allein oder in Verknüpfung mit anderen ihr zur Verfügung stehenden Informationen als Ausgangspunkt weiterer Ermittlungen nutzt. Die automatisierte Analyse oder Auswertung geht aber schon deshalb weiter, weil sie die Verarbeitung großer und komplexer Informationsbestände ermöglicht. Je nach der eingesetzten Analysemethode können zudem durch verknüpfende Auswertung vorhandener Daten neue persönlichkeitsrelevante Informationen gewonnen werden, die ansonsten so nicht zugänglich wären. Die Maßnahme erschließt die in den Daten enthaltenen Informationen damit intensiver als zuvor. Sie bringt nicht nur in den Daten angelegte, aber zunächst mangels Verknüpfung verborgene Erkenntnisse über Personen hervor, sondern kann sich bei entsprechendem Einsatz einem „Profiling“ annähern. Denn es können sich softwaregestützt neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden. Der Grundsatz der Zweckbindung könnte dem Eingriffsgewicht dann für sich genommen nicht hinreichend Rechnung tragen.
b) Insoweit variieren die verfassungsrechtlichen Anforderungen an die Rechtfertigung einer automatisierten Datenanalyse oder -auswertung, da deren eigene Eingriffsintensität je nach gesetzlicher Ausgestaltung ganz unterschiedlich sein kann.
aa) Generell wird das Gewicht eines Eingriffs in die informationelle Selbstbestimmung vor allem durch Art, Umfang und denkbare Verwendung der Daten sowie die Gefahr ihres Missbrauchs bestimmt. Daneben beeinflusst die zugelassene Methode der Datenanalyse oder -auswertung die Eingriffsintensität. Besonderes Eingriffsgewicht kann der Einsatz komplexer Formen des Datenabgleichs haben. Insgesamt ist die Methode automatisierter Datenanalyse oder -auswertung umso eingriffsintensiver, je breitere und tiefere Erkenntnisse über Personen dadurch erlangt werden können, je höher die Fehler- und Diskriminierungsanfälligkeit ist und je schwerer die softwaregestützten Verknüpfungen nachvollzogen werden können.
bb) Mit der vom Gesetzgeber durch Regelungen zu Art und Umfang der Daten und zur Begrenzung der Auswertungsmethode steuerbaren Eingriffsintensität korrespondieren die verfassungsrechtlichen Anforderungen an die Eingriffsvoraussetzungen. Die dem Eingriffsgewicht entsprechenden Anforderungen des Gebots der Verhältnismäßigkeit im engeren Sinne richten sich sowohl an das mit der Maßnahme zu schützende Rechtsgut als auch an die Eingriffsschwelle, also den Anlass der Maßnahme.
Ermöglicht die automatisierte Anwendung einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung der Betroffenen, ist dies nur unter den engen Voraussetzungen zu rechtfertigen, wie sie allgemein für eingriffsintensive heimliche Überwachungsmaßnahmen gelten. Sie sind nur zum Schutz besonders gewichtiger Rechtsgüter – etwa Leib, Leben oder Freiheit der Person – zulässig. Die verfassungsrechtlich erforderliche Eingriffsschwelle ist hier die hinreichend konkretisierte Gefahr.
Hingegen können, wenneine konkretisierte Gefahr vorliegt, weniger gewichtige Eingriffe bereits dann zu rechtfertigen sein, wenn sie dem Schutz von Rechtsgütern von zumindest erheblichem Gewicht dienen, etwa zur Verhütung von Straftaten von zumindest erheblicher Bedeutung. Umgekehrt kann dann, sofern die Maßnahme dem Schutz hochrangiger, überragend wichtiger oder auch besonders gewichtiger Rechtsgüter dient, eine Eingriffsschwelle genügen, die noch hinter einer konkretisierten Gefahr zurückbleibt.
Sind die einbeziehbaren Daten gesetzlich nach Art und Umfang in einer Weise reduziert und die möglichen Methoden der automatisierten Analyse oder Auswertung von vornherein so eingeschränkt, dass eine auf die Befugnis gestützte Maßnahme nicht zu tieferen Einsichten in die persönliche Lebensgestaltung der Betroffenen führt als sie die Behörde, wenngleich aufwendiger und langsamer, auch ohne automatisierte Anwendung realistisch erlangen könnte, oder zielt die Befugnis von vornherein nur darauf, gefährliche oder gefährdete Orte zu identifizieren, ohne dabei personenbezogene Informationen zu generieren, kann sogar bereits die Einhaltung des Grundsatzes der Zweckbindung ausreichen, um die automatisierte Datenverarbeitung zu rechtfertigen.
cc) Die Schwelle einer wenigstens konkretisierten Gefahr für besonders gewichtige Rechtsgüter ist nur dann verfassungsrechtlich verzichtbar, wenn die zugelassenen Analyse- und Auswertungsmöglichkeiten normenklar und hinreichend bestimmt in der Sache so eng begrenzt sind, dass das Eingriffsgewicht der Maßnahmen erheblich gesenkt ist. Grundsätzlich kann der Gesetzgeber diese Regelungsaufgabe zwischen sich und der Verwaltung aufteilen. Er muss aber sicherstellen, dass unter Wahrung des Gesetzesvorbehalts insgesamt ausreichende Regelungen insbesondere zur Begrenzung von Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden getroffen werden. Zur Regelung von Aspekten, die nicht unmittelbar vom Gesetzgeber selbst zu normieren sind, kommt eine Verordnungsermächtigung in Betracht. Darüber hinaus kann der Gesetzgeber hier die Verwaltung verpflichten, die im Gesetz oder in Rechtsverordnungen geregelten Vorgaben in abstrakt-genereller Form weiter zu konkretisieren. In jedem Fall bedarf die Konkretisierung durch Verwaltungsvorschriften aber einer gesetzlichen Grundlage. Darin hat der Gesetzgeber sicherzustellen, dass die für die Anwendung der Bestimmungen im Einzelfall maßgebliche Konkretisierung und Standardisierung seitens der Behörden nachvollziehbar dokumentiert und veröffentlicht wird.
c) Nach den dargelegten generellen Maßstäben ist das spezifische Eingriffsgewicht der daten- und methodenoffen formulierten Befugnisse zur Datenanalyse oder -auswertung nach § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG potentiell sehr hoch, so dass diese Regelungen von Verfassungs wegen strengen Eingriffsvoraussetzungen genügen müssen. Die Befugnisse lassen die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu. Sie erlauben der Polizei so, mit einem Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat. Daher gilt das Erfordernis einer konkretisierten Gefahr für besonders gewichtige Rechtsgüter.
aa) Die beiden Vorschriften begrenzen die Art und die Menge der bei einer Datenanalyse oder
-auswertung einsetzbaren Daten kaum. Sie regeln nicht, welche Arten von Daten und welche Datenbestände für eine automatisierte Datenanalyse oder -auswertung genutzt werden dürfen. Die Vorschriften unterscheiden insbesondere nicht nach Daten von Personen, die einen Anlass für die Annahme geben, sie könnten eine Straftat begehen oder in besonderer Verbindung zu solchen Personen stehen, und anderen Personen. Sie lassen eine breite Einbeziehung von Daten Unbeteiligter zu, die deshalb polizeilichen Ermittlungsmaßnahmen unterzogen werden könnten.
bb) Dem Wortlaut nach lassen sie zudem sehr weitreichende Methoden der automatisierten Datenanalyse und -auswertung zu. Der Gesetzgeber hat nicht eingegrenzt, welche Methoden der Analyse und Auswertung erlaubt sind. Die angegriffenen Vorschriften ermöglichen auch ein „Data-Mining“ bis hin zur Verwendung selbstlernender Systeme (KI). Dabei sind insbesondere auch offene Suchvorgänge zulässig. Die Datenauswertung oder -analyse darf darauf zielen, allein statistische Auffälligkeiten in den Datenmengen zu entdecken, aus denen dann, möglicherweise auch mit Hilfe weiterer automatisierter Anwendungen, weitere Schlüsse gezogen werden. Die Vorschriften schließen auch bezüglich der erzielbaren Suchergebnisse nichts aus. Nach dem Wortlaut könnte das
Suchergebnis in maschinellen Sachverhaltsbewertungen bestehen – bis hin zu Gefährlichkeitsaussagen über Personen im Sinne eines „predictive policing“.Es könnten also mittels Datenanalyse oder -auswertung neue persönlichkeitsrelevante Informationen erzeugt werden, auf die ansonsten kein Zugriff bestünde. Diese potenzielle Weite erzielbaren neuen Wissens wird auch nicht durch eingriffsmildernde Regelungen zu dessen Verwendung flankiert.
In Hamburg hat der Gesetzgeber den Versuch unternommen, so weitgehende Anwendungen auszuschließen, indem er anstelle des Wortes „Datenanalyse“ das Wort „Datenauswertung“ verwendet hat. Eine verfassungsrechtlich ausreichende Klarstellung, dass durch die automatisierte Anwendung lediglich mittels bestimmter Suchkriterien Übereinstimmungen ausgewiesen werden, nicht jedoch die polizeiliche Aus- und Bewertung der Daten ersetzt werden sollten, ist damit jedoch nicht gelungen.
cc) Die angegriffenen Befugnisse sind auch nicht dadurch verfassungsrechtlich relevant eingegrenzt, dass Techniken einer unbegrenzten Datenauswertung aktuell nicht zur Verfügung stünden. Selbst wenn Funktionsweiterungen erst infolge weiterer technischer Entwicklungen möglich sind, richten sich die verfassungsrechtlichen Anforderungen grundsätzlich nach den rechtlich schon jetzt geschaffenen Eingriffsmöglichkeiten.
IV. § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG genügen danach nicht den Anforderungen der Verhältnismäßigkeit im engeren Sinne, weil sie keine hinreichende Eingriffsschwelle enthalten.
1. Soweit die angegriffenen Vorschriften zur Datenanalyse oder -auswertung zwecks Verhütung der in § 100a Abs. 2 StPO genannten Straftaten ermächtigen, ist der Eingriffsanlass angesichts des beschriebenen Eingriffsgewichts unverhältnismäßig weit und damit verfassungswidrig geregelt. Auch die weitere Maßgabe beider Regelungen, es müsse ein begründeter Einzelfall vorliegen, enthält hier kaum nähere inhaltliche Festlegungen. In der mündlichen Verhandlung wurde zwar ein engeres Konzept beschrieben, nach dem die Voraussetzung des „Einzelfalls“ in der hessischen Polizeipraxis verstanden und angewendet werde. Es werde durchgehend an eine bereits begangene Straftat oder wenigstens den durch Tatsachen belegten Verdacht einer bereits begangenen Straftat angeknüpft und daraus eine Prognose für die Zukunft hergeleitet: Zum einen müsse für die Vergangenheit davon ausgegangen werden können, dass bereits eine Straftat nach § 100a Abs. 2 StPO begangen wurde. Zum anderen müsse aufgrund dieser Situation für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen sein.
Ungeachtet der näheren Ausgestaltung der hessischen Anwendungspraxis sind die verfassungsrechtlichen Anforderungen derzeit aber schon deshalb nicht erfüllt, weil das Konzept der hessischen Praxis von vornherein nicht auf die Identifizierung einer wenigstens konkretisierten Gefahr und der zu deren Abwehr geeigneten Daten zielt. Das ist aber wegen der daten- und methodenoffenen Ausgestaltung der Befugnis in § 25a HSOG und § 49 HmbPolDVG erforderlich.
Die angegriffenen Vorschriften regeln auch deshalb keine hinreichende Eingriffsschwelle, weil über den Katalog des § 100a Abs. 2 StPO auch Gefährdungstatbestände erfasst sind. Zwar ist dem Gesetzgeber verfassungsrechtlich nicht verwehrt, zur Bestimmung der Eingriffsvoraussetzungen auch an die Gefahr der Begehung von Vorfeldtatbeständen anzuknüpfen. Er muss dann aber eigens sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für die durch den Straftatbestand geschützten Rechtsgüter vorliegt. Daran fehlt es hier.
2. Die vorbeugende Bekämpfung von Straftaten im Sinne von § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG umfasst nach der gesetzlichen Definition nicht nur die Verhütung von Straftaten, sondern auch die Vorsorge zur Verfolgung künftiger Straftaten. Polizeiliche Datenbestände sollen im Wege der automatischen Datenauswertung genutzt werden, um Erkenntnisse für die zukünftige Aufklärungsarbeit und Ermittlungsverfahren zu gewinnen. Dass bereits eine Sachlage gegeben sein müsste, bei der eine konkrete oder eine konkretisierte Gefahr besteht, ist dem nicht zu entnehmen. Damit fehlt es auch hier an jeder eingrenzenden Konkretisierung des Eingriffsanlasses.
C. § 25a Abs. 1 Alt. 1 HSOG gilt bis zu einer Neuregelung, längstens bis zum 30. September 2023 fort. Angesichts der Bedeutung, die der Gesetzgeber der Befugnis für die staatliche Aufgabenwahrnehmung beimessen darf, und wegen ihrer Bedeutung für die hessische Polizeipraxis ist eine befristete Fortgeltung eher hinzunehmen als eine Nichtigerklärung.
Die befristete Anordnung der Fortgeltung bedarf mit Blick auf die betroffenen Grundrechte jedoch einschränkender Maßgaben, die eine Neuregelung durch den Gesetzgeber aber nicht präjudizieren. Unter Zugrundelegung des in der hessischen Praxis gewählten Konzepts wird angeordnet, dass von der Befugnis des § 25a Abs. 1 Alt. 1 HSOG nur Gebrauch gemacht werden darf, wenn bestimmte, genügend konkretisierte Tatsachen den Verdacht begründen, dass eine besonders schwere Straftat im Sinne von § 100b Absatz 2 StPO begangen wurde und aufgrund der konkreten Umstände eines solchen im Einzelfall bestehenden Tatverdachts für die Zukunft mit weiteren, gleichgelagerten Straftaten zu rechnen ist, die Leib, Leben oder den Bestand oder die Sicherheit des Bundes oder eines Landes gefährden, wenn das Vorliegen dieser Voraussetzungen und die konkrete Eignung der verwendeten Daten zur Verhütung der zu erwartenden Straftat durch eigenständig auszuformulierende Erläuterung begründet wird und wenn sichergestellt ist, dass keine Informationen in die Datenanalyse einbezogen werden, die aus Wohnraumüberwachung, Online-Durchsuchung, Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernder Observation, unter Einsatz von verdeckt ermittelnden Personen oder Vertrauenspersonen oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden.
§ 49 Abs. 1 Alt. 1 HmbPolDVG ist nichtig. Es sind keine Umstände ersichtlich, die eine befristete Fortgeltungsanordnung erforderten und rechtfertigten.