Trojaner für den Verfassungsschutz, Big-Data-Werkzeuge für die Polizei
Wir haben Verfassungsbeschwerde gegen das Hamburgische Polizei- und Verfassungsschutzgesetz eingelegt. Mit Erfolg: Im Februar 2023 erklärte das Bundesverfassungsgericht die Hamburger Regelung zur automatisierten Datenauswertung für nichtig.
Die Verfassungsbeschwerde gegen die Änderungen der Hamburgischen Gesetze zum Verfassungsschutz und zur Datenverarbeitung durch die Polizei steht in einem bundespolitischen Zusammenhang: Im Sommer 2021 wurde das Artikel 10-Gesetz so geändert, dass nun alle Geheimdienste sowie die Polizei in Deutschland die schärfsten Überwachungsinstrumente verwenden dürfen, die dem Staat zur Verfügung steht: Trojaner und Big-Data. Die Reform des Artikel 10-Gesetzes leidet an den gleichen Mängeln wie das Hamburgische Verfassungsschutzgesetz. Unsere Beschwerde gegen das Hamburger Gesetz ist damit ein Musterverfahren für die Reform auf Bundesebene.
Verhandlung vor dem Bundesverfassungsgericht: Gläserner Mensch durch automatisierte Datenanalyse
Die mündlichen Verhandlung vor dem Bundesverfassungsgericht konzentrierte sich auf § 49 des neuen Hamburgischen Gesetzes über die Datenverarbeitung der Polizei. Dieser Paragraph gestattet es der Polizei, automatisierte Personenprofile aus einer nicht näher bestimmten Menge an Daten zu erstellen, darunter jedenfalls die Daten aus Polizeidatenbanken und gegebenenfalls auch öffentlich verfügbare Daten etwa aus den sozialen Medien. Es ist unklar, von wem Profile angefertigt werden können und welche Konsequenzen etwaiger „Beifang“ für die Betroffenen hat, also die Erfassung von Personen, die nicht als gefährlich gelten. Unklar ist auch, für welche Zwecke genau Software eingesetzt werden kann und wie lange die Profile gespeichert werden.
Solche Big-Data-Lösungen, die der umstrittene US-Konzern Palantir der hessischen Polizei bereits erfolgreich angedient hat, gehören rechtsstaatlich deutlich besser eingehegt und kontrolliert als durch die völlig unbestimmte gegenwärtige Regelung. In Hamburg wird die Befugnis noch nicht genutzt.
Richter*innen fragten kritisch nach
Die Rechtsgrundlagen für den Einsatz der Software Gotham ist extrem vage und lässt viele Fragen offen - das wurde auch in der Verhandlung deutlich, in der sowohl das Hamburgische als auch das Hessische Gesetz verhandelt wurden: Ist - wie nach Ansicht der jeweiligen Regierungsvertreter - die Automatisierte Datenauswertung nur die Fortsetzung klassischer Polizeiarbeit mit „mehr Power“? Oder begründet die Möglichkeit, riesige Datenpoole zusammenzuziehen, Verbindungen und Muster zu generieren eine ganz neue Eingriffsqualität, die auch entsprechend strenge Grenzen braucht?
Die vielen detaillierten Nachfragen des Gerichts zeigten bereits, dass die Richterinnen und Richter die vagen Normen zur automatisierten Datenauswertung ebenfalls kritisch sehen. Insbesondere stand an vielen Stellen die Frage im Raum, ob die Einhaltung der rechtlichen Grenzen überhaupt technisch umsetzbar ist. So bohrte das Gericht z.B. beim Stichwort „Zweckbindung“ nach: einmal erhobene Daten dürfen nicht ohne weiteres für einen anderen Zweck weiterverwendet werden. Derzeit wird die Herkunft der Daten aber gar nicht gekennzeichnet – wie soll dann bei ihrer Weiterverarbeitung die Einhaltung der Zweckbindung funktionieren? Diese Fragen wurden aus unserer Sicht nicht ausreichend beantworten.
Bundesverfassungsgericht weist automatisierte Datenauswertung in die Schranken
Im Februar 2023 machten die Karlsruher Richter*innen in einem Grundsatzurteil deutlich: Die Polizei darf zwar grundsätzlich mithilfe einer Software auf Knopfdruck Informationen und Querverbindungen zu Personen herstellen, um Straftaten vorzubeugen (Data Mining). Dann muss das Gesetz aber klare Vorgaben dazu machen, unter welchen Bedingungen dies zulässig ist. Sonst verstoßen die Regelungen gegen das Recht über die eigenen Daten zu bestimmen. Wir hatten unter anderem angegriffen, dass die Rechtsgrundlage in Hamburg völlig unklar lässt, aus welchen Quellen, mit welcher Datenmenge und zu welchem Zweck die Polizei die Befugnis zum Data Mining nutzen darf. Unsere Verfassungsbeschwerde hat das Risiko deutlich reduziert, dass unbescholtene Bürger*innen in das Visier der Polizei geraten. Das Urteil entfaltet bundesweit Ausstrahlungswirkung: Viele andere Bundesländer und der Bund arbeiten darauf hin, vergleichbare technische Möglichkeiten einsetzen zu können – oder tun es sogar bereits, wie zum Beispiel Nordrhein-Westfalen.
Staatstrojaner für den Verfassungsschutz
Nach einer Gesetzesänderung im April 2020 darf sich das Hamburger Amt für Verfassungsschutz ohne Gerichtsbeschluss oder ähnliche Vorab-Kontrolle in Geräte bestimmter Personen hacken (§ 8 Abs. 12 des Hamburgischen Verfassungsschutzgesetzes). Das gefährdet die vertrauliche Kommunikation von Berufsgeheimnisträgern wie Anwält*innen und Journalist*innen und damit die Pressefreiheit, das Telekommunikationsgeheimnis und das sogenannte IT-Grundrecht (Recht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme).
Trojaner in Händen von Geheimdiensten sind verfassungswidrig, wenn ihr Einsatz nicht streng begrenzt wird, nicht von einem Gericht genehmigt werden muss und nicht gewährleistet ist, dass der Staat keine Sicherheitslücken in IT-System aufrechterhält, die auch für völlig Unbescholtene brandgefährlich werden können (s. dazu unsere Verfassungsbeschwerde gegen den Staatstrojaner-Einsatz nach der StPO).
Insbesondere haben wir in unserem Verfahren gegen die Auslandsüberwachung durch den Bundesnachrichtendienst vor dem Bundesverfassungsgericht erstritten, dass das Kontrollregime der heimlichen Überwachungsmaßnahmen deutlich ausgebaut werden muss. Das lässt sich erst recht auf die Inlandsgeheimdienste übertragen: Deren Überwachungsmaßnahmen können für die Betroffenen noch weit gravierendere Folgen haben, weil ein Zugriff durch den Staat viel unmittelbarer droht. Wenn nun in Hamburg die Überwachungsbefugnisse noch erweitert werden, statt erst das Kontrollregime nach den Maßgaben des Bundesverfassungsgerichts für den BND zu verbessern, ist der Verfassungsverstoß vorprogrammiert.
Journalist*innen, Rechtsanwältin und Aktivistin klagen
Kläger*innen in dem Verfahren waren eine Aktivistin, die Strafverteidigerin Britta Eder und mehrere Journalist*innen, darunter Sebastian Friedrich (freier Journalist, u.a. NDR) und Katharina Schipkowski (taz). Verfasst hat die Beschwerdeschrift Jun.-Prof. Dr. Sebastian Golla (Ruhr-Universität Bochum).
Freedom needs fighters
Für die Grundrechte vor Gericht