Pixabay/Pexels

Freiheit im digitalen Zeitalter

Art. 1, 2, 10, 13

Informationen und Ressourcen zur automatisierten Datenanalyse

Millionen von Datensätzen durchsuchen, analysieren und miteinander in Verbindung setzen: Ermittlungsbehörden setzen immer häufiger auf automatisierte Datenanalyse. Was hat es mit der Technologie auf sich?

Was ist automatisierte Datenanalyse?

Mit einem einzigen Mausklick Millionen von Datensätzen durchsuchen, analysieren und miteinander in Verbindung setzen: Informationen aus Polizeidatenbanken, Verbindungsdaten aus der Telefonüberwachung, ausgelesene Handyinhalte, und vielleicht sogar Informationen aus sozialen Medien. Genau das kann die Polizei bei einer automatisierten Datenanalyse – auch bekannt als „Data Mining“. Das bekannteste Datenanalyse-Tool ist die Software Gotham des US-Unternehmens Palantir. Diese Software setzt inzwischen auch die Polizei in mehreren Bundesländern ein. Die Idee: das Analyseprogramm stellt noch nicht erkannte Verbindungen her und führt in Ermittlungen so zu neuen Informationen.

Das große Problem: Wie genau solche Datenanalyse-Tools Verbindungen herstellen, ist unklar. Ihre Entscheidungen sind nicht nachvollziehbar – die Algorithmen bleiben eine Blackbox. Auch Personen, die gar nicht mit Straftaten in Zusammenhang stehen, können so ins Visier der Polizei geraten: Es reicht schon, etwa als Zeug*in eines Unfalls in einer Polizeiakte aufzutauchen und schon geraten die eigenen Daten in ebensolche Datenanalysen.

Zudem reproduziert die Datenanalyse Fehler in den zugrundeliegenden Daten: Es besteht die Gefahr, dass Menschen häufiger Ziel von Ermittlungen werden, die ohnehin schon von polizeilicher Diskriminierung betroffen sind. Das betrifft viele marginalisierte Gruppen, etwa People of Color. Hinzu kommt: Die Software analysiert Daten von Bürger*innen heimlich – Betroffene bekommen nichts davon mit, genauso wenig wie von möglicherweise folgenden heimlichen Überwachungsmaßnahmen.

Die GFF hat mehrere Verfassungsbeschwerden gegen Befugnisse zur automatisierten Datenanalyse in deutschen Polizeigesetzen erhoben. 2023 erzielten wir dabei einen ersten wichtigen Erfolg vor dem Bundesverfassungsgericht und erstritten zu Regelungen aus Hessen und Hamburg das „Datenanalyse-Urteil“. Aktuell sind zwei weitere Verfassungsbeschwerden anhängig. Dabei geht es um Vorschriften aus Bayern und Hessen.

Franziska Görlitz

Volljuristin und Verfahrenskoordinatorin

Automatisierte Datenanalysen gefährden Grundrechte und die Demokratie. In Verfahren, die die GFF angestoßen hat, hat das Bundesverfassungsgericht der Technologie bereits Grenzen gesetzt. Wir bleiben dran!

Das Grundsatzurteil des Bundesverfassungsgerichts (Februar 2023)

Im Februar 2023 entschied das Bundesverfassungsgericht in einem wegweisenden Urteil zur automatisierten Polizeidatenanalyse – veranlasst durch Verfassungsbeschwerden der GFF gegen die Polizeigesetze in Hessen und Hamburg.

Was das Gericht entschieden hat

Das Bundesverfassungsgericht erklärte die Befugnisse zur automatisierten Datenanalyse in beiden Ländern für verfassungswidrig. Data Mining durch die Polizei ist danach zwar nicht grundsätzlich verboten – aber nur unter strengen Voraussetzungen erlaubt.

Je schwerer die Datenanalyse in die Grundrechte – vor allem das Grundrecht, über die eigenen Daten zu bestimmen – eingreift, desto strenger sind die Voraussetzungen. Dafür entscheidend ist vor allem, welche und wie viele Daten in die Analyse einfließen und wie weitgehend die Analysemethoden ausgestaltet sind. Wenn Datenanalysen unter weniger strengen Voraussetzungen zulässig sein sollen, muss das Gesetz selbst die Datenanalyse beschränken, zum Beispiel dadurch, dass bestimmte Datensammlungen ausgeschlossen werden.

Wenn in eine Datenanalyse sehr viele Daten Unbeteiligter einfließen und dabei etwa auch KI zum Einsatz kommt, gilt sie als schwerwiegender Grundrechtseingriff. Sie ist nur zulässig, um konkrete Gefahren für besonders gewichtige Rechtsgüter abzuwenden. Das bedeutet, dass Sicherheitsbehörden Datenanalysen beispielsweise nur einsetzen dürfen, um Menschenleben, die Sicherheit des Staates oder wichtige Infrastruktur zu schützen.

Nur wenn im Gesetz selbst die Datenanalysen eingeschränkt sind, dürfen die Voraussetzungen für ihren Einsatz geringer sein.

Die damaligen Gesetze in Hessen und Hamburg erfüllten diese Anforderungen nicht. Die Rechtsgrundlagen ließen völlig unklar, aus welchen Quellen, mit welcher Datenmenge und zu welchem Zweck die Polizei Data Mining betreiben darf. Für diese weitgehenden Datenanalysen waren die Eingriffsschwellen, also die Voraussetzungen, zu niedrig: Automatisierte Datenanalyse darf nicht eingesetzt werden, um weniger schwere Straftaten zu verhindern.

Das Bundesverfassungsgericht erklärte das Hamburger Gesetz deshalb für nichtig. Das Gericht stellte außerdem fest, dass das hessische Gesetz ebenfalls gegen das Grundgesetz verstößt. Es gewährte Hessen aber eine Übergangsfrist, um Datenanalysen neu zu regeln, weil die Analyseplattform „Hessendata“ (mit der Software Gotham von Palantir) bereits im Einsatz war.

Was das Urteil bedeutet

Das Urteil setzt Maßstäbe. Es macht deutlich, dass automatisierte Datenanalyse eine ganz neue Eingriffsqualität darstellt – es handelt sich nicht um klassische Polizeiarbeit mit fortgeschrittener Technik, sondern um einen eigenständigen, schwerwiegenden Grundrechtseingriff, der entsprechend strenge gesetzliche Grenzen erfordert.

Warum wir weitere Verfassungsbeschwerden erhoben haben

Das Bundesverfassungsgericht verpflichtete Hessen, seine Gesetze nachzubessern. Doch auch nach dem Urteil verabschiedete Gesetze – in Hessen, Bayern und anderswo – halten die Karlsruher Vorgaben nicht ein. Die GFF hat deshalb weitere Verfassungsbeschwerden erhoben.

Vortrag "Blackbox Palantir" von Franziska Görlitz und Constanze Kurz (CCC) beim 39. Chaos Communication Congress in Hamburg (2025)

Unsere Verfahren im Überblick

Die GFF führt mehrere strategische Verfahren gegen automatisierte Datenanalyse durch Polizei. Ein erstes Grundsatzurteil haben wir bereits erreicht – weitere Verfahren sind noch anhängig.

Abgeschlossene Verfahren

Polizeigesetz Hessen I (Hessendata)

Die GFF erhob 2019 gemeinsam mit mehreren Organisationen Verfassungsbeschwerde gegen die Novelle des Hessischen Polizeigesetzes von 2018. Im Zentrum: die Befugnis zum Data Mining, mit der Plattform „Hessendata“, die auf der Palantir-Software Gotham basiert, sowie weitreichende Überwachungs- und Staatstrojaner-Befugnisse.

Ergebnis: Im Februar 2023 erklärte das Bundesverfassungsgericht die Befugnis zur automatisierten Datenanalyse für verfassungswidrig. Hessen musste das Gesetz anpassen.

Zur Fallseite

Polizeidatenverarbeitungsgesetz Hamburg

Die GFF erhob gemeinsam mit mehreren Organisationen Verfassungsbeschwerde gegen das Hamburgische Polizeidatenverarbeitungsgesetz. Angegriffen wurden sowohl die Befugnis der Polizei, automatisierte Datenanalyse zu nutzen, als auch Staatstrojaner-Befugnisse des Hamburger Verfassungsschutzes.

Ergebnis: Im Februar 2023 erklärte das Bundesverfassungsgericht auch die Hamburger Befugnis zur automatisierten Datenanalyse für verfassungswidrig.

Zur Fallseite

Nordrhein-westfälisches Polizeigesetz

Im Oktober 2022 erhob die GFF Verfassungsbeschwerde gegen das nordrhein-westfälische Polizeigesetz. Es ermöglichte der Polizei, zur Verhinderung von Straftaten eine Vielzahl von Daten aus unterschiedlichsten Quellen automatisiert zu analysieren. Dafür nutzte die nordrhein-westfälische Polizei die Palantir-Software Gotham als Plattform „DAR“.

Ergebnis: Ende 2025 änderte Nordrhein-Westfalen das Gesetz umfangreich. Das Bundesverfassungsgericht nahm die Verfassungsbeschwerde im Februar 2026 nicht zur Entscheidung an. Auch nach der neuen Rechtslage darf die Polizei NRW Gotham einsetzen.

Zur Fallseite

Laufende Verfahren

Hessisches Sicherheits- und Ordnungsgesetz (HSOG) – Novelle 2023 (Hessendata II)

Nach dem BVerfG-Urteil 2023 novellierte Hessen sein Polizeigesetz – ohne die Vorgaben aus Karlsruhe wirklich einzuhalten. Statt klare Grenzen zu ziehen, überließ der Gesetzgeber wesentliche Einsatzregeln der Polizei selbst. Die GFF erhob im Juni 2024 erneut Verfassungsbeschwerde.

Status: Anhängig beim Bundesverfassungsgericht, die Verfassungsbeschwerde wurde mittlerweile an die anderen Verfahrensbeteiligten zugestellt

Zur Fallseite

Bayerisches Polizeiaufgabengesetz (BayPAG) – Art. 61a (VeRA/Palantir)

Das Bayerische Polizeiaufgabengesetz erlaubt der Polizei Data Mining. Dabei wertet das Programm VeRA, das auf der Palantir-Software Gotham basiert, riesige Datenmengen aus und stellt Verbindungen her – auch zu unbeteiligten Personen, die keinen Anlass für staatliche Ermittlungen gegeben haben. Die bayerische Polizei setzte VeRA mindestens ein Jahr lang ohne jede gesetzliche Grundlage ein. Die GFF hat im Juli 2025 mit Unterstützung des Chaos Computer Club Verfassungsbeschwerde erhoben.

Status: Anhängig beim Bundesverfassungsgericht

Zur Fallseite

Dokumente & Ressourcen

Hier finden sich alle wichtigen Dokumente und Ressourcen, die mit unserer Arbeit zur automatisierten Datenanalyse zusammenhängen: unter anderem Beschwerdeschriften, Urteile und Stellungnahmen.

Verfassungsbeschwerden:

Hessisches Sicherheits- und Ordnungsgesetz & Hessisches Verfassungsschutzgesetz (Hessen I)

Beschwerdeschrift (Juli 2019)
Urteil des Bundesverfassungsgerichtes (Februar 2023, Link zur Website des BVerfG)

Hamburgisches Gesetz über die Datenverarbeitung der Polizei & Hamburgisches Verfassungsschutzgesetz

Beschwerdeschrift (November 2020)
Urteil des Bundesverfassungsgerichtes (Februar 2023, Link zur Website des BVerfG)

Novelle des Hessischen Sicherheits- und Ordnungsgesetzes (Hessen II)

Beschwerdeschrift (Juni 2024)

Bayerisches Polizeiaufgabengesetz

Beschwerdeschrift (Juli 2025)

Stellungnahmen

Bundes-VeRA (BKA und Bundespolizei)

Stellungnahme zum Antrag der CDU/CSU-Bundestagsfraktion „Handlungsfähigkeit der Strafverfolgungsbehörden sichern – Entscheidung des Bundesministeriums des Innern und für Heimat bezüglich der polizeilichen Analyse-Software Bundes-VeRA revidieren“ (April 2024)

Geplanter Einsatz automatisierter Datenanalyse in Sachsen-Anhalt

Stellungnahme zum Entwurf eines Elften Gesetzes zur Änderung des Gesetzes über die öffentliche Sicherheit und Ordnung des Landes Sachsen-Anhalt (Mai 2025)

Geplanter Einsatz automatisierter Datenanalyse in Baden-Württemberg

Stellungnahme zum Entwurf eines Gesetzes zur Einführung einer automatisierten Datenanalyse und zur Änderung weiterer polizeirechtlicher Vorschriften (August 2025)

Geplanter Einsatz automatisierter Datenanalysen bei BKA, Bundespolizei und Strafverfolgungsbehörden:

Stellungnahme zum Referentenentwurf des Bundesjustizministeriums zur Änderung der Strafprozessordnung im Bereich digitaler Ermittlungsmaßnahmen (April 2026)
Stellungnahme zu Referentenentwürfen des Bundesinnenministeriums zur Stärkung digitaler Ermittlungsbefugnisse (April 2026)

Weitere Ressourcen

Vortrag "Blackbox Palantir" von Franziska Görlitz und Constanze Kurz (CCC) beim 39. Chaos Communication Congress in Hamburg (Link zur Website des CCC)
Vortrag „Der sehende Stein der Polizeibehörden – Der Einsatz von Palantir Gotham aus technischer und rechtlicher Sicht“ von Constanze Kurz (CCC), Jürgen Bering und Simone Ruf beim 37. Chaos Communication Congress in Hamburg (Link zur Website des CCC)